2025年全國大學(xué)生網(wǎng)絡(luò)安全知識競賽題庫含答案一、單項選擇題1.以下哪項是網(wǎng)絡(luò)安全中“CIA三元組”的正確組成？A.機密性、完整性、可用性B.可控性、完整性、可追溯性C.機密性、可審計性、可用性D.完整性、可認證性、不可抵賴性答案：A2.以下哪種攻擊方式通過向目標(biāo)服務(wù)器發(fā)送大量偽造的請求，耗盡其資源導(dǎo)致服務(wù)不可用？A.SQL注入B.DDoS攻擊C.XSS跨站腳本D.緩沖區(qū)溢出答案：B3.AES加密算法的密鑰長度不包括以下哪一項？A.128位B.192位C.256位D.512位答案：D4.根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每（）至少進行一次檢測評估。A.三個月B.六個月C.一年D.兩年答案：C5.以下哪種協(xié)議用于在不安全網(wǎng)絡(luò)中建立安全的加密通道，常用于VPN？A.HTTPB.FTPC.TLSD.SMTP答案：C6.釣魚攻擊的主要目的是？A.破壞目標(biāo)系統(tǒng)硬件B.獲取用戶敏感信息（如賬號、密碼）C.傳播惡意軟件D.干擾網(wǎng)絡(luò)通信答案：B7.以下哪項不屬于哈希函數(shù)的特性？A.輸入任意長度，輸出固定長度B.單向性（無法從哈希值逆推原始輸入）C.抗碰撞性（難以找到兩個不同輸入產(chǎn)生相同哈希值）D.可加密性（支持解密還原原始數(shù)據(jù)）答案：D8.某網(wǎng)站用戶登錄界面要求輸入用戶名、密碼和短信驗證碼，這屬于哪種安全機制？A.單因素認證B.雙因素認證C.多因素認證D.無因素認證答案：B（注：用戶名+密碼為知識因素，短信驗證碼為占有因素，故屬于雙因素）9.以下哪種惡意軟件無需用戶交互即可自動傳播？A.計算機病毒（需宿主程序）B.蠕蟲（可獨立傳播）C.木馬（需誘騙用戶安裝）D.勒索軟件（需感染后加密文件）答案：B10.根據(jù)《個人信息保護法》，處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意，以下哪項不屬于敏感個人信息？A.生物識別信息B.宗教信仰C.普通手機號碼D.醫(yī)療健康信息答案：C二、多項選擇題1.以下屬于網(wǎng)絡(luò)安全防護技術(shù)的有？A.防火墻B.入侵檢測系統(tǒng)（IDS）C.漏洞掃描D.病毒查殺答案：ABCD2.以下哪些是SQL注入攻擊的防范措施？A.使用預(yù)編譯語句（PreparedStatement）B.對用戶輸入進行嚴格過濾和轉(zhuǎn)義C.關(guān)閉數(shù)據(jù)庫錯誤提示（避免泄露結(jié)構(gòu)信息）D.提升數(shù)據(jù)庫管理員權(quán)限（增強控制）答案：ABC（注：提升權(quán)限可能增加風(fēng)險，非防范措施）3.以下關(guān)于SSL/TLS協(xié)議的描述正確的有？A.SSL是TLS的前身，已逐步被TLS取代B.TLS1.3相比舊版本提升了加密效率和安全性C.HTTPS默認使用TLS協(xié)議加密通信D.TLS僅能保護客戶端到服務(wù)器的單向通信答案：ABC（注：TLS保護雙向通信）4.數(shù)據(jù)脫敏的常用方法包括？A.替換（如將身份證號后四位替換為）B.混淆（如隨機修改部分數(shù)據(jù)）C.加密（如對手機號進行AES加密）D.截斷（如只保留姓名的首字母）答案：ABCD5.以下哪些行為可能導(dǎo)致個人信息泄露？A.掃描來路不明的二維碼B.使用公共WiFi時訪問網(wǎng)銀C.在社交平臺公開個人行程信息D.定期更新手機操作系統(tǒng)答案：ABC（注：定期更新系統(tǒng)是防護措施）三、判斷題1.所有HTTP網(wǎng)站都不安全，HTTPS網(wǎng)站一定安全。（）答案：×（注：HTTPS若證書被篡改或使用弱加密算法仍可能不安全）2.緩沖區(qū)溢出攻擊的原理是向程序分配的內(nèi)存區(qū)域?qū)懭氤銎淙萘康臄?shù)據(jù)，覆蓋相鄰內(nèi)存空間，從而執(zhí)行惡意代碼。（）答案：√3.比特幣的底層技術(shù)區(qū)塊鏈采用的是對稱加密算法。（）答案：×（注：區(qū)塊鏈主要使用非對稱加密，如橢圓曲線加密ECDSA）4.《數(shù)據(jù)安全法》規(guī)定，國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。（）答案：√5.弱口令（如“123456”“password”）不會導(dǎo)致安全風(fēng)險，因為現(xiàn)代系統(tǒng)都有登錄失敗鎖定機制。（）答案：×（注：弱口令仍是暴力破解的主要目標(biāo)，鎖定機制僅能緩解部分風(fēng)險）四、簡答題1.請簡述“零信任模型”的核心思想及其關(guān)鍵原則。答案：零信任模型的核心思想是“永不信任，始終驗證”，即默認不信任網(wǎng)絡(luò)內(nèi)外部的任何設(shè)備、用戶或系統(tǒng)，必須通過持續(xù)驗證所有訪問請求的身份、設(shè)備狀態(tài)、網(wǎng)絡(luò)環(huán)境等信息，才能授予最小化的訪問權(quán)限。其關(guān)鍵原則包括：（1）持續(xù)驗證：對每次訪問請求進行動態(tài)評估；（2）最小權(quán)限：僅授予完成任務(wù)所需的最低權(quán)限；（3）全流量檢測：監(jiān)控所有網(wǎng)絡(luò)流量，無論內(nèi)外網(wǎng)；（4）身份為中心：以身份認證為訪問控制的核心，而非傳統(tǒng)的網(wǎng)絡(luò)位置。2.請列舉三種常見的社會工程學(xué)攻擊手段，并分別說明其特點。答案：（1）釣魚郵件：通過偽裝成可信機構(gòu)（如銀行、電商）發(fā)送郵件，誘導(dǎo)用戶點擊惡意鏈接或提供敏感信息，特點是利用用戶的信任心理；（2）水坑攻擊：攻擊者猜測目標(biāo)群體常訪問的網(wǎng)站并植入惡意代碼，等待目標(biāo)訪問時感染，特點是針對性強、隱蔽性高；（3）電話詐騙：通過冒充客服、公檢法人員等，以“賬戶異常”“涉嫌違法”等理由誘導(dǎo)用戶轉(zhuǎn)賬或透露信息，特點是利用用戶的恐慌或急切心理。3.請解釋“APT攻擊”（高級持續(xù)性威脅）的定義，并說明其與普通網(wǎng)絡(luò)攻擊的主要區(qū)別。答案：APT攻擊是指由特定組織（通常為國家或有資源支持的團體）發(fā)起的，針對特定目標(biāo)進行長期、隱蔽的網(wǎng)絡(luò)攻擊，旨在竊取敏感信息或破壞關(guān)鍵系統(tǒng)。與普通網(wǎng)絡(luò)攻擊的主要區(qū)別：（1）目標(biāo)明確：針對特定組織（如政府、科研機構(gòu)）；（2）持續(xù)性強：攻擊周期可能長達數(shù)月甚至數(shù)年；（3）技術(shù)高級：使用定制化惡意軟件、0day漏洞等未公開的攻擊手段；（4）隱蔽性高：通過加密通信、擦除日志等方式規(guī)避檢測。五、案例分析題某高校圖書館管理系統(tǒng)近日出現(xiàn)異常：管理員發(fā)現(xiàn)后臺數(shù)據(jù)庫中部分學(xué)生借閱記錄被篡改（如將超期記錄刪除），同時服務(wù)器日志顯示凌晨2點有大量來自同一IP的POST請求，請求路徑為“/api/borrow”，但該接口正常情況下僅允許管理員在工作時間調(diào)用。經(jīng)技術(shù)人員檢查，數(shù)據(jù)庫連接日志中存在類似“SELECTFROMborrow_recordsWHEREstudent_id='12345'OR1=1”的查詢語句。問題1：請分析可能的攻擊類型及攻擊路徑。問題2：提出至少三種針對性的防御措施。答案：問題1：可能的攻擊類型為SQL注入攻擊。攻擊路徑：攻擊者通過分析圖書館系統(tǒng)的“/api/borrow”接口，發(fā)現(xiàn)該接口未對用戶輸入（如student_id參數(shù)）進行嚴格過濾，直接將輸入拼接到SQL查詢語句中。攻擊者構(gòu)造惡意輸入（如“12345'OR1=1--”），使SQL語句變?yōu)椤癝ELECTFROMborrow_recordsWHEREstudent_id='12345'OR1=1--”，導(dǎo)致數(shù)據(jù)庫返回所有借閱記錄（OR1=1使條件恒真），進而攻擊者可能通過進一步的注入語句（如UPDATE）篡改記錄。問題2：防御措施：（1）使用預(yù)編譯語句（PreparedStatement）或ORM框架，避免直接拼接用戶輸入到SQL語句中；（2）對用戶輸入進行嚴格的白名單校驗（如僅允許數(shù)字作為student_id），并對特殊字符（如單引號、分號）進行轉(zhuǎn)義；（3）限制數(shù)據(jù)庫接口的訪問權(quán)限，如設(shè)置IP白名單（僅允許校內(nèi)IP訪問）、時間限制（非工作時間關(guān)閉接口）；（4）啟用數(shù)據(jù)庫審計功能，記錄所有SQL操作，便于及時發(fā)現(xiàn)異常查詢；（5）定期進行漏洞掃描和滲透測試，檢測系統(tǒng)中存在的SQL注入風(fēng)險。六、綜合應(yīng)用題假設(shè)你是某高校網(wǎng)絡(luò)安全社團成員，需為新生舉辦“校園網(wǎng)絡(luò)安全”主題講座。請設(shè)計一份包含“常見風(fēng)險場景”“防護技巧”“法律法規(guī)”三個模塊的講解大綱，并針對每個模塊列舉至少兩項具體內(nèi)容。答案：1.常見風(fēng)險場景模塊：（1）校園網(wǎng)釣魚：新生可能收到偽裝成“校園卡充值”“選課系統(tǒng)通知”的郵件或鏈接，點擊后輸入賬號密碼導(dǎo)致信息泄露；（2）公共WiFi風(fēng)險：使用圖書館、食堂的免費WiFi時，未加密的網(wǎng)絡(luò)可能被攻擊者嗅探，竊取瀏覽記錄或登錄信息；（3）社交平臺隱私泄露：在微博、朋友圈等公開個人課表、宿舍號等信息，可能被不法分子利用實施詐騙。2.防護技巧模塊：（1）郵件/鏈接驗證：收到含鏈接的郵件時，通過官網(wǎng)核實通知（如登錄學(xué)校信息門戶查看公告），不直接點擊陌生鏈接；（2）WiFi使用規(guī)范：連接公共WiFi時，關(guān)閉自動連接功能，優(yōu)先使用學(xué)校官方認證的加密WiFi（如WPA2/WPA3），避免訪問網(wǎng)銀等敏感網(wǎng)站；（3）隱私設(shè)置管理：調(diào)整社交平臺隱私權(quán)限（如設(shè)置“僅好友可見”），不隨意填寫陌生人發(fā)送的“校園調(diào)研”問卷（可能竊取信息）。3.法律法規(guī)模塊：（1）《網(wǎng)絡(luò)安全法》