2026年注册网络安全分析师(CNSA)考试四川真题卷

1.（单选）某单位采用零信任架构，身份认证由SDP控制器统一完成。若攻击者通过伪造TCP三次握手包试图绕过SDP网关，下列哪种机制最能直接阻断该尝试？

A.网关对客户端证书进行OCSP实时校验

B.网关检查握手包中TCP选项的MSS值一致性

C.网关要求首个数据包必须携带SPA（SinglePacketAuthorization）令牌

D.网关记录源IP并在60s内限制SYN重传次数

答案：C

解析：SDP的“先认证后连接”原则要求首个包必须携带SPA令牌，无令牌则网关静默丢弃，TCP三次握手无法完成。

2.（单选）在Lin