2025年國(guó)家網(wǎng)絡(luò)安全知識(shí)競(jìng)賽題庫(kù)(答案+解析)一、單項(xiàng)選擇題（每題2分，共30題）1.根據(jù)《數(shù)據(jù)安全法》，重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展數(shù)據(jù)安全評(píng)估，并向有關(guān)主管部門報(bào)送評(píng)估結(jié)果。評(píng)估周期最長(zhǎng)不超過(guò)（）A.半年B.1年C.2年D.3年答案：B解析：《數(shù)據(jù)安全法》第三十條規(guī)定，重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展數(shù)據(jù)安全評(píng)估，并向有關(guān)主管部門報(bào)送評(píng)估結(jié)果。評(píng)估周期不得超過(guò)1年。2.以下哪種密碼算法屬于非對(duì)稱加密算法？A.AES-256B.RSAC.SHA-256D.DES答案：B解析：非對(duì)稱加密算法使用公鑰和私鑰成對(duì)加密，RSA是典型代表；AES和DES是對(duì)稱加密算法，SHA-256是哈希算法。3.某企業(yè)發(fā)現(xiàn)員工通過(guò)個(gè)人云盤傳輸公司客戶信息，違反了《個(gè)人信息保護(hù)法》中的（）原則A.最小必要B.公開透明C.目的明確D.完整性答案：A解析：《個(gè)人信息保護(hù)法》第六條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。使用非企業(yè)授權(quán)的云盤傳輸客戶信息超出了必要范圍，違反最小必要原則。4.釣魚攻擊中，攻擊者偽造銀行官網(wǎng)誘導(dǎo)用戶輸入賬號(hào)密碼，主要利用了（）A.社會(huì)工程學(xué)B.緩沖區(qū)溢出C.DDoS攻擊D.漏洞利用答案：A解析：釣魚攻擊通過(guò)偽造可信場(chǎng)景誘導(dǎo)用戶主動(dòng)泄露信息，核心是利用人性弱點(diǎn)（如輕信、恐慌），屬于社會(huì)工程學(xué)攻擊。5.以下哪項(xiàng)不屬于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中的“一個(gè)中心”？A.安全管理中心B.安全計(jì)算環(huán)境C.安全運(yùn)維中心D.安全通信網(wǎng)絡(luò)答案：B解析：等保2.0體系包括“一個(gè)中心，三重防護(hù)”，其中“一個(gè)中心”指安全管理中心，“三重防護(hù)”包括安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界。6.某APP在用戶注冊(cè)時(shí)要求提供身份證號(hào)、銀行卡號(hào)、通訊錄權(quán)限，但功能僅為天氣查詢，違反了（）A.目的限制原則B.公開透明原則C.質(zhì)量原則D.責(zé)任原則答案：A解析：《個(gè)人信息保護(hù)法》第六條明確處理個(gè)人信息應(yīng)當(dāng)與處理目的直接相關(guān)，天氣查詢無(wú)需身份證、銀行卡等信息，違反目的限制原則。7.以下哪種攻擊方式會(huì)導(dǎo)致目標(biāo)服務(wù)器無(wú)法處理正常請(qǐng)求？A.SQL注入B.XSSC.DDoSD.社工釣魚答案：C解析：DDoS（分布式拒絕服務(wù)）攻擊通過(guò)大量偽造請(qǐng)求耗盡服務(wù)器資源，導(dǎo)致無(wú)法響應(yīng)正常請(qǐng)求；SQL注入和XSS是針對(duì)應(yīng)用層的代碼漏洞攻擊。8.我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響（）的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查A.網(wǎng)絡(luò)安全B.數(shù)據(jù)安全C.國(guó)家安全D.公共利益答案：C解析：《網(wǎng)絡(luò)安全法》第三十五條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過(guò)國(guó)家安全審查。9.以下哪項(xiàng)是防范勒索軟件的最佳實(shí)踐？A.定期離線備份數(shù)據(jù)B.關(guān)閉所有端口C.使用弱密碼D.不安裝殺毒軟件答案：A解析：勒索軟件通過(guò)加密數(shù)據(jù)勒索贖金，定期離線備份（如物理隔離的存儲(chǔ)設(shè)備）可在數(shù)據(jù)被加密后恢復(fù)，是最有效防范措施。10.依據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》，數(shù)據(jù)處理者向境外提供數(shù)據(jù)，屬于應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的情形是（）A.數(shù)據(jù)量100人以下B.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者數(shù)據(jù)出境C.累計(jì)向境外提供不滿10萬(wàn)人個(gè)人信息D.自上年1月1日起累計(jì)向境外提供不滿1萬(wàn)人敏感個(gè)人信息答案：B解析：《數(shù)據(jù)出境安全評(píng)估辦法》第四條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者數(shù)據(jù)出境應(yīng)當(dāng)申報(bào)安全評(píng)估；其他情形需滿足數(shù)據(jù)量（100萬(wàn)人以上個(gè)人信息/10萬(wàn)人敏感信息）才需申報(bào)。11.以下哪種協(xié)議用于安全的網(wǎng)頁(yè)瀏覽？A.HTTPB.FTPC.HTTPSD.SMTP答案：C解析：HTTPS（超文本傳輸安全協(xié)議）通過(guò)TLS/SSL加密傳輸數(shù)據(jù)，保障網(wǎng)頁(yè)瀏覽安全；HTTP是明文傳輸。12.某單位員工使用默認(rèn)密碼登錄核心業(yè)務(wù)系統(tǒng)，違反了網(wǎng)絡(luò)安全“三同步”原則中的（）A.同步規(guī)劃B.同步建設(shè)C.同步使用D.同步維護(hù)答案：B解析：“三同步”指網(wǎng)絡(luò)安全措施與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用。默認(rèn)密碼屬于建設(shè)階段未落實(shí)安全措施，違反同步建設(shè)。13.以下哪項(xiàng)屬于敏感個(gè)人信息？A.姓名B.手機(jī)號(hào)碼C.生物識(shí)別信息D.電子郵箱答案：C解析：《個(gè)人信息保護(hù)法》第二十八條規(guī)定，敏感個(gè)人信息包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息。14.防范DNS劫持的有效措施是（）A.使用公共WiFiB.手動(dòng)設(shè)置可信DNS服務(wù)器C.關(guān)閉防火墻D.不更新系統(tǒng)補(bǔ)丁答案：B解析：DNS劫持通過(guò)篡改DNS解析結(jié)果引導(dǎo)用戶訪問(wèn)釣魚網(wǎng)站，手動(dòng)設(shè)置可信DNS（如14、）可避免使用被劫持的DNS服務(wù)器。15.根據(jù)《網(wǎng)絡(luò)安全審查辦法》，掌握超過(guò)（）用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查A.100萬(wàn)B.500萬(wàn)C.1000萬(wàn)D.1億答案：C解析：2022年修訂的《網(wǎng)絡(luò)安全審查辦法》第七條規(guī)定，掌握超過(guò)1000萬(wàn)用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市，必須申報(bào)審查。二、判斷題（每題1分，共15題）1.員工在公司內(nèi)部使用弱密碼不會(huì)造成安全風(fēng)險(xiǎn)（）答案：×解析：弱密碼易被暴力破解，攻擊者可通過(guò)弱密碼入侵內(nèi)部系統(tǒng)，竊取數(shù)據(jù)或破壞業(yè)務(wù)，屬于重大安全隱患。2.公共WiFi可以放心使用，因?yàn)樯碳姨峁┑木W(wǎng)絡(luò)是安全的（）答案：×解析：公共WiFi可能被攻擊者搭建釣魚熱點(diǎn)，或通過(guò)中間人攻擊竊取用戶傳輸?shù)拿舾行畔ⅲㄈ绲卿洃{證），需謹(jǐn)慎使用。3.個(gè)人信息處理者可以將用戶同意作為處理敏感個(gè)人信息的唯一條件（）答案：×解析：《個(gè)人信息保護(hù)法》第二十九條規(guī)定，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。同意不是唯一條件，還需滿足必要性等要求。4.定期更新操作系統(tǒng)和應(yīng)用程序補(bǔ)丁可以防范已知漏洞攻擊（）答案：√解析：補(bǔ)丁通常修復(fù)已發(fā)現(xiàn)的安全漏洞，及時(shí)更新可降低被利用風(fēng)險(xiǎn)。5.數(shù)據(jù)脫敏是指將敏感信息替換為虛構(gòu)數(shù)據(jù)，使脫敏后的數(shù)據(jù)無(wú)法還原真實(shí)信息（）答案：√解析：數(shù)據(jù)脫敏通過(guò)匿名化、去標(biāo)識(shí)化等技術(shù)處理敏感信息，確保脫敏數(shù)據(jù)無(wú)法關(guān)聯(lián)到特定個(gè)人或?qū)嶓w。6.網(wǎng)絡(luò)安全等級(jí)保護(hù)制度僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施（）答案：×解析：《網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，所有網(wǎng)絡(luò)運(yùn)營(yíng)者都應(yīng)按等級(jí)保護(hù)要求落實(shí)安全措施，關(guān)鍵信息基礎(chǔ)設(shè)施是重點(diǎn)保護(hù)對(duì)象。7.釣魚郵件的發(fā)件人郵箱一定是偽造的（）答案：×解析：高級(jí)釣魚攻擊可能通過(guò)劫持真實(shí)郵箱（如員工郵箱被入侵）發(fā)送郵件，發(fā)件人顯示為可信地址，需結(jié)合內(nèi)容（如異常鏈接、緊急要求）判斷。8.存儲(chǔ)加密后的個(gè)人信息無(wú)需遵守《個(gè)人信息保護(hù)法》（）答案：×解析：加密是技術(shù)保護(hù)措施，不影響法律適用。處理加密個(gè)人信息仍需遵守目的明確、最小必要等原則。9.物聯(lián)網(wǎng)設(shè)備（如智能攝像頭）默認(rèn)密碼可以長(zhǎng)期使用（）答案：×解析：默認(rèn)密碼公開可查，長(zhǎng)期使用易被攻擊者利用，應(yīng)立即修改為強(qiáng)密碼。10.網(wǎng)絡(luò)安全事件發(fā)生后，只需向本單位領(lǐng)導(dǎo)報(bào)告，無(wú)需向監(jiān)管部門報(bào)備（）答案：×解析：《網(wǎng)絡(luò)安全法》第五十一條規(guī)定，發(fā)生網(wǎng)絡(luò)安全事件，應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。三、簡(jiǎn)答題（每題10分，共5題）1.簡(jiǎn)述“零信任架構(gòu)”的核心原則。答案：零信任架構(gòu)的核心原則包括：（1）持續(xù)驗(yàn)證：所有訪問(wèn)請(qǐng)求（無(wú)論內(nèi)外網(wǎng)）必須經(jīng)過(guò)身份驗(yàn)證和授權(quán)；（2）最小權(quán)限：僅授予完成任務(wù)所需的最小權(quán)限；（3）動(dòng)態(tài)評(píng)估：根據(jù)用戶、設(shè)備、環(huán)境等實(shí)時(shí)狀態(tài)調(diào)整訪問(wèn)控制策略；（4）全流量檢測(cè)：對(duì)所有網(wǎng)絡(luò)流量進(jìn)行加密和監(jiān)控，防止未授權(quán)訪問(wèn)。解析：零信任的本質(zhì)是“永不信任，始終驗(yàn)證”，打破傳統(tǒng)“內(nèi)網(wǎng)即安全”的邊界思維，通過(guò)多維驗(yàn)證確保每一次訪問(wèn)的安全性。2.列舉三種常見(jiàn)的數(shù)據(jù)脫敏方法，并說(shuō)明適用場(chǎng)景。答案：（1）替換法：將敏感字段替換為固定符號(hào)（如身份證號(hào)后四位用“”代替），適用于需要保留數(shù)據(jù)格式但隱藏關(guān)鍵信息的場(chǎng)景；（2）隨機(jī)化：將真實(shí)數(shù)據(jù)替換為同類型隨機(jī)值（如將隨機(jī)提供），適用于測(cè)試環(huán)境需要保持?jǐn)?shù)據(jù)分布特征的場(chǎng)景；（3）去標(biāo)識(shí)化：移除或加密可直接識(shí)別個(gè)人的信息（如姓名+身份證號(hào)關(guān)聯(lián)加密），適用于數(shù)據(jù)共享時(shí)保護(hù)個(gè)人隱私。解析：數(shù)據(jù)脫敏需根據(jù)使用場(chǎng)景選擇方法，確保脫敏后數(shù)據(jù)既滿足使用需求，又無(wú)法還原真實(shí)信息。3.簡(jiǎn)述防范SQL注入攻擊的主要措施。答案：（1）使用參數(shù)化查詢（預(yù)編譯語(yǔ)句）：將用戶輸入與SQL語(yǔ)句分離，防止惡意代碼拼接；（2）輸入驗(yàn)證：對(duì)用戶輸入進(jìn)行格式、長(zhǎng)度、類型檢查，拒絕非法字符；（3）最小權(quán)限原則：數(shù)據(jù)庫(kù)賬戶僅授予執(zhí)行必要操作的權(quán)限，避免使用管理員賬戶直接連接；（4）輸出編碼：對(duì)數(shù)據(jù)庫(kù)返回的數(shù)據(jù)進(jìn)行HTML轉(zhuǎn)義，防止二次注入；（5）定期掃描：使用漏洞掃描工具檢測(cè)SQL注入漏洞并及時(shí)修復(fù)。解析：SQL注入攻擊利用應(yīng)用程序未對(duì)用戶輸入進(jìn)行有效過(guò)濾的漏洞，通過(guò)以上措施可阻斷攻擊路徑。4.依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者在處理個(gè)人信息時(shí)應(yīng)履行哪些義務(wù)？答案：（1）告知義務(wù)：明確告知處理目的、方式、范圍、保存期限等信息；（2）最小必要義務(wù)：僅處理與目的直接相關(guān)的最小范圍信息；（3）安全保障義務(wù)：采取技術(shù)和管理措施確保個(gè)人信息安全；（4）響應(yīng)義務(wù)：對(duì)個(gè)人的查詢、更正、刪除等請(qǐng)求及時(shí)處理；（5）合規(guī)審計(jì)義務(wù)：定期開展個(gè)人信息保護(hù)影響評(píng)估并記錄。解析：《個(gè)人信息保護(hù)法》第五章詳細(xì)規(guī)定了處理者的義務(wù)，核心是平衡數(shù)據(jù)利用與隱私保護(hù)。5.簡(jiǎn)述DDoS