网络与信息安全技术考试试题及答案.docxVIP

网络与信息安全技术考试试题及答案

一、单项选择题（每题2分，共20分）

1.在TLS1.3握手过程中，用于实现前向保密的核心机制是

A.RSA密钥传输

B.静态DH密钥协商

C.ECDHE临时密钥交换

D.预共享密钥PSK

答案：C

解析：TLS1.3彻底废弃了RSA静态密钥传输，强制使用ECDHE等临时密钥交换算法，每次握手生成一次性密钥，即使长期私钥泄露也无法回溯历史会话，从而实现前向保密。

2.某企业内网部署了基于802.1X的NAC系统，发现部分员工通过自制路由器接入内网。最有效的缓解措施是

A.关闭所有交换机端口

B.启用DHCPSnooping与DAI联动

C.强制要求EAP-TLS证书双向认证

D.提高SSID广播功率

答案：C

解析：EAP-TLS基于数字证书完成双向认证，自制路由器无法提供合法客户端证书，从根本上阻断非法接入；DHCPSnooping与DAI只能缓解后续横向移动，无法阻止初始接入。

3.关于国密SM4分组密码算法，下列说法正确的是

A.分组长度128位，密钥长度可变128/192/256位

B.加密与解密采用不同结构，需额外实现反函数

C.采用32轮非平衡Feistel结构

D.密钥扩展算法与加密算法共享S盒但迭代轮函数不同

答案：D

解析：SM4分组128位、密钥128位固定；加解密结构相同，仅轮密钥逆序使用；整体为32轮非对称Feistel结构；密钥扩展与加密共用S盒但轮函数常量不同，保证密钥扩展独立性。

4.在一次红队演练中，攻击者利用DNS隧道外传数据，下列检测特征最不适用的是

A.域名长度超过63字节

B.请求域名熵值高于6.5

C.响应包中TXT记录大于512字节

D.请求域名包含大量连字符“-”

答案：A

解析：DNS协议本身允许标签最长63字节，但域名总长度可达255字节，仅凭单标签长度无法判定隧道；高熵、大TXT、连字符模式均为典型隧道特征。

5.针对容器逃逸漏洞CVE-2019-5736（runc），最彻底的修复方案是

A.升级DockerEngine至18.09.2+并重启所有容器

B.使用gVisor或KataContainers等安全运行时

C.在宿主机启用SELinux严格策略

D.将/var/lib/docker挂载为noexec

答案：B

解析：该漏洞本质是runc与宿主机共享/proc/self/exe句柄，升级只能修复当前版本；gVisor通过用户态内核重放系统调用，Kata通过轻量虚机隔离，均从根源上消除共享内核攻击面。

6.在零信任架构中，用于实现“动态信任评估”的核心组件是

A.SIEM

B.SDP控制器

C.PolicyEngine

D.微隔离网关

答案：C

解析：PolicyEngine基于多源上下文（身份、设备、行为、威胁情报）实时计算信任分数，并下发访问决策；SDP控制器负责建立加密隧道，微隔离网关执行细粒度策略，SIEM仅做事后分析。

7.某Web应用使用JWT访问令牌，签名算法为HS256，密钥硬编码在客户端JavaScript中。最合理的利用方式是

A.直接伪造管理员JWT并访问后台

B.修改payload中alg为none后提交

C.通过密钥泄露重新签名任意令牌

D.将密钥作为公钥上传至JWK端点

答案：C

解析：HS256是对称算法，密钥泄露即可重新签名；alg为none需服务端支持无签名模式；客户端无法直接上传JWK；伪造需先获得密钥，故C最直接。

8.在IPv6网络中，用于替代ARP的协议是

A.NDP

B.DHCPv6

C.MLD

D.SEND

答案：A

解析：NDP（NeighborDiscoveryProtocol）通过ICMPv6实现地址解析、重复地址检测、前缀发现等功能，直接替代ARP；SEND是NDP的安全扩展，非替代。

9.关于同态加密，下列场景最适合使用的是

A.云端数据库密文状态下的精确搜索

B.外包计算中对密文进行乘法与加法运算

C.实时视频流端到端加密传输

D.区块链上公开可验证投票

答案：B

解析：同态加密核心优势在于密文可计算，外包计算场景可直接对密文做运算而无需解密；密文搜索需可搜索加密；实时视频对性能要求极高；公开投票需可验证而非同态。

10.某单位使用Kerberos认证，发现用户登录TGT有效期为10小时，但访问业务系统仍频繁提示重新认证。最可能的原因是

A.业务系统SPN配置错误

B.用户密码已过期

C.业务系统设置了较短的ServiceTicket最大老化时间

D.KDC时钟偏移超过5分钟

答案：C

解析：TGT只是票据授予票据，具体ServiceTicket（ST）可由