2025全國(guó)大學(xué)生網(wǎng)絡(luò)安全知識(shí)競(jìng)賽題庫(kù)及答案1.單選題（1）OSI參考模型中，負(fù)責(zé)將數(shù)據(jù)分割為數(shù)據(jù)包并提供端到端可靠傳輸?shù)氖悄囊粚?？A.物理層B.數(shù)據(jù)鏈路層C.傳輸層D.網(wǎng)絡(luò)層答案：C解析：傳輸層（如TCP協(xié)議）負(fù)責(zé)端到端的可靠傳輸，通過確認(rèn)、重傳機(jī)制保證數(shù)據(jù)完整性；網(wǎng)絡(luò)層（IP協(xié)議）負(fù)責(zé)路由和尋址。（2）以下哪個(gè)端口通常用于HTTPS協(xié)議？A.21B.80C.443D.22答案：C解析：21是FTP控制端口，80是HTTP，22是SSH，443是HTTPS默認(rèn)端口。（3）以下哪種加密算法屬于非對(duì)稱加密？A.AES-256B.DESC.RSAD.3DES答案：C解析：RSA基于大整數(shù)分解難題，使用公鑰和私鑰對(duì)；AES、DES、3DES均為對(duì)稱加密，僅使用同一密鑰。（4）SQL注入攻擊的核心原理是？A.利用操作系統(tǒng)漏洞B.向數(shù)據(jù)庫(kù)提交惡意SQL代碼C.篡改網(wǎng)絡(luò)數(shù)據(jù)包D.暴力破解賬號(hào)密碼答案：B解析：攻擊者通過用戶輸入接口（如表單）注入額外SQL語句，干擾原有查詢邏輯，實(shí)現(xiàn)數(shù)據(jù)竊取或破壞。（5）以下哪項(xiàng)是防范XSS攻擊的有效措施？A.關(guān)閉防火墻B.對(duì)用戶輸入進(jìn)行HTML轉(zhuǎn)義C.僅使用IE瀏覽器D.不使用Cookie答案：B解析：XSS（跨站腳本）通過注入惡意腳本攻擊，對(duì)輸出內(nèi)容進(jìn)行轉(zhuǎn)義（如將“<”轉(zhuǎn)為“<”）可有效阻止腳本執(zhí)行。（6）根據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)至少多久進(jìn)行一次檢測(cè)評(píng)估？A.每季度B.每半年C.每年D.每?jī)赡甏鸢福篊解析：《網(wǎng)絡(luò)安全法》第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者需每年至少進(jìn)行一次檢測(cè)評(píng)估。（7）以下哪種攻擊屬于應(yīng)用層DDoS？A.SYNFloodB.ICMPFloodC.HTTPFloodD.UDPFlood答案：C解析：HTTPFlood通過大量偽造HTTP請(qǐng)求消耗服務(wù)器資源，屬于應(yīng)用層（七層模型第七層）攻擊；SYNFlood（傳輸層）、ICMP/UDPFlood（網(wǎng)絡(luò)層）為網(wǎng)絡(luò)層攻擊。（8）哈希函數(shù)的“碰撞抵抗性”指的是？A.無法從哈希值逆推原始數(shù)據(jù)B.難以找到兩個(gè)不同輸入產(chǎn)生相同哈希值C.哈希值長(zhǎng)度固定D.哈希算法不可逆答案：B解析：碰撞抵抗性（CollisionResistance）是哈希函數(shù)的核心特性之一，即無法找到m1≠m2使得H(m1)=H(m2)。（9）以下哪項(xiàng)不屬于數(shù)據(jù)脫敏技術(shù)？A.掩碼處理（如將身份證號(hào)顯示為“4401061234”）B.加密存儲(chǔ)（如AES加密用戶密碼）C.隨機(jī)替換（用隨機(jī)字符串代替真實(shí)姓名）D.去標(biāo)識(shí)化（移除用戶手機(jī)號(hào)、地址等直接標(biāo)識(shí)符）答案：B解析：數(shù)據(jù)脫敏是對(duì)敏感數(shù)據(jù)進(jìn)行變形處理（如掩碼、替換），使其不泄露真實(shí)信息；加密存儲(chǔ)仍保留原始數(shù)據(jù)的可恢復(fù)性，不屬于脫敏。（10）釣魚郵件的典型特征不包括？A.發(fā)件人郵箱為“”B.內(nèi)容包含“點(diǎn)擊鏈接驗(yàn)證賬戶，否則凍結(jié)”C.附件為“工資表.zip”但后綴實(shí)為.exeD.正文存在大量拼寫錯(cuò)誤答案：A解析：釣魚郵件常仿冒真實(shí)機(jī)構(gòu)，但發(fā)件人郵箱可能通過拼寫錯(cuò)誤（如“”）或非官方域名偽造；A選項(xiàng)為真實(shí)域名，不屬于典型特征。2.多選題（1）以下哪些屬于網(wǎng)絡(luò)安全等級(jí)保護(hù)（等保2.0）的核心要求？A.安全物理環(huán)境B.安全通信網(wǎng)絡(luò)C.安全區(qū)域邊界D.安全計(jì)算環(huán)境答案：ABCD解析：等保2.0將要求分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五大層面。（2）以下哪些措施可防范密碼暴力破解？A.啟用賬戶鎖定策略（如連續(xù)錯(cuò)誤5次鎖定30分鐘）B.要求密碼包含字母、數(shù)字、符號(hào)組合C.使用雙因素認(rèn)證（2FA）D.定期修改密碼答案：ABCD解析：以上均為有效措施：鎖定策略限制嘗試次數(shù)，復(fù)雜密碼提高破解難度，2FA增加驗(yàn)證維度，定期修改降低長(zhǎng)期泄露風(fēng)險(xiǎn)。（3）以下屬于常見Web應(yīng)用漏洞的是？A.CSRF（跨站請(qǐng)求偽造）B.緩沖區(qū)溢出C.文件上傳漏洞D.目錄遍歷答案：ACD解析：緩沖區(qū)溢出是操作系統(tǒng)或二進(jìn)制程序的漏洞（屬于系統(tǒng)層），CSRF、文件上傳、目錄遍歷均為Web應(yīng)用層漏洞。（4）根據(jù)《個(gè)人信息保護(hù)法》，處理個(gè)人信息應(yīng)當(dāng)遵循的原則包括？A.最小必要原則（僅收集實(shí)現(xiàn)目的所需的最少信息）B.公開透明原則（明確處理規(guī)則并告知用戶）C.目的明確原則（處理目的需具體、明確）D.絕對(duì)匿名原則（所有個(gè)人信息必須匿名化）答案：ABC解析：《個(gè)人信息保護(hù)法》第六條規(guī)定需遵循最小必要、公開透明、目的明確原則；絕對(duì)匿名非強(qiáng)制要求，部分場(chǎng)景允許在用戶同意下處理非匿名信息。（5）以下哪些屬于物聯(lián)網(wǎng)（IoT）設(shè)備的安全風(fēng)險(xiǎn)？A.默認(rèn)密碼未修改（如“admin/admin”）B.固件長(zhǎng)期未更新（存在已知漏洞）C.設(shè)備與云端通信未加密D.設(shè)備算力低，無法支持復(fù)雜加密算法答案：ABCD解析：IoT設(shè)備常見風(fēng)險(xiǎn)包括弱密碼、固件漏洞、通信明文傳輸、資源限制導(dǎo)致的安全能力不足。3.判斷題（1）Wireshark是一款用于網(wǎng)絡(luò)抓包分析的工具，只能捕獲TCP/IP協(xié)議數(shù)據(jù)。（）答案：×解析：Wireshark支持捕獲幾乎所有網(wǎng)絡(luò)協(xié)議數(shù)據(jù)（如ARP、ICMP、DNS等），不僅限于TCP/IP。（2）所有木馬程序都需要用戶主動(dòng)點(diǎn)擊才能運(yùn)行。（）答案：×解析：部分木馬可利用系統(tǒng)漏洞（如永恒之藍(lán)MS17-010）主動(dòng)植入，無需用戶交互。（3）數(shù)據(jù)泄露事件中，加密存儲(chǔ)的數(shù)據(jù)不會(huì)被竊取者獲取真實(shí)信息。（）答案：×解析：若加密密鑰同時(shí)泄露（如存儲(chǔ)在數(shù)據(jù)庫(kù)同一位置），竊取者可通過密鑰解密數(shù)據(jù)；僅加密存儲(chǔ)無法完全避免泄露風(fēng)險(xiǎn)。（4）IPv6地址長(zhǎng)度為128位，理論上可解決IPv4地址耗盡問題。（）答案：√解析：IPv6地址空間為2^128，遠(yuǎn)大于IPv4的2^32，可滿足未來長(zhǎng)期地址需求。（5）使用公共WiFi時(shí)，只要不訪問銀行網(wǎng)站就不會(huì)有安全風(fēng)險(xiǎn)。（）答案：×解析：公共WiFi可能被攻擊者搭建釣魚熱點(diǎn)或中間人攻擊，即使訪問普通網(wǎng)站，用戶輸入的賬號(hào)、密碼等信息可能被截獲。4.簡(jiǎn)答題（1）請(qǐng)簡(jiǎn)述TCP三次握手的過程及作用。答案：三次握手是TCP建立連接的過程：①客戶端發(fā)送SYN包（同步序列編號(hào)），請(qǐng)求建立連接，包中包含初始序列號(hào)x；②服務(wù)端收到后發(fā)送SYN-ACK包，確認(rèn)客戶端的SYN（ACK=x+1），并發(fā)送自己的SYN（序列號(hào)y）；③客戶端發(fā)送ACK包（ACK=y+1），確認(rèn)服務(wù)端的SYN，連接建立完成。作用：確保雙方均具備發(fā)送和接收能力，防止失效的連接請(qǐng)求報(bào)文段被接收，避免資源浪費(fèi)。（2）什么是社會(huì)工程學(xué)攻擊？舉例說明常見手段及防范方法。答案：社會(huì)工程學(xué)攻擊通過心理操縱而非技術(shù)漏洞獲取信息或權(quán)限。常見手段：①釣魚郵件：偽裝成銀行發(fā)送“賬戶異常，點(diǎn)擊鏈接驗(yàn)證”，誘導(dǎo)用戶輸入密碼；②電話詐騙：冒充客服稱“您的快遞丟失，提供銀行卡號(hào)辦理賠償”；③假冒維修：攻擊者偽裝成IT人員，要求員工提供內(nèi)網(wǎng)賬號(hào)以“修復(fù)系統(tǒng)”。防范方法：核實(shí)身份（如通過官方電話回?fù)埽⒉稽c(diǎn)擊陌生鏈接、不向他人透露敏感信息（如驗(yàn)證碼、密碼）。（3）請(qǐng)解釋“零信任”安全模型的核心思想，并列舉其關(guān)鍵實(shí)施原則。答案：零信任模型的核心思想是“永不信任，始終驗(yàn)證”，默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外部的任何設(shè)備、用戶或系統(tǒng)，必須通過持續(xù)驗(yàn)證確認(rèn)其身份和安全狀態(tài)后才允許訪問資源。關(guān)鍵原則：①最小權(quán)限訪問：僅授予完成任務(wù)所需的最小權(quán)限；②持續(xù)驗(yàn)證：對(duì)用戶、設(shè)備、網(wǎng)絡(luò)流量進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估；③網(wǎng)絡(luò)微隔離：將網(wǎng)絡(luò)劃分為小區(qū)域，限制橫向攻擊；④可見性與分析：監(jiān)控所有訪問行為，及時(shí)發(fā)現(xiàn)異常。（4）簡(jiǎn)述SQL注入攻擊的防范措施。答案：防范SQL注入的核心是避免將用戶輸入直接拼接到SQL語句中，具體措施包括：①使用預(yù)編譯語句（PreparedStatement）：參數(shù)化查詢，將用戶輸入與SQL命令分離（如Java的PreparedStatement）；②輸入驗(yàn)證：對(duì)用戶輸入進(jìn)行格式校驗(yàn)（如郵箱需包含“@”），拒絕非法字符（如單引號(hào)、分號(hào)）；③最小權(quán)限原則：數(shù)據(jù)庫(kù)賬戶僅授予執(zhí)行必要操作的權(quán)限（如只讀權(quán)限），避免使用管理員賬戶連接；④輸出編碼：對(duì)數(shù)據(jù)庫(kù)返回的數(shù)據(jù)進(jìn)行轉(zhuǎn)義（如Web頁面輸出時(shí)使用HTML轉(zhuǎn)義），防止二次注入；⑤部署WAF（Web應(yīng)用防火墻）：檢測(cè)并攔截包含SQL特征的惡意請(qǐng)求。（5）根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理者應(yīng)履行哪些安全義務(wù)？（至少列舉5項(xiàng)）答案：《數(shù)據(jù)安全法》規(guī)定數(shù)據(jù)處理者的義務(wù)包括：①建立數(shù)據(jù)安全管理制度（如崗位責(zé)任、風(fēng)險(xiǎn)評(píng)估）；②對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)，采取相應(yīng)技術(shù)措施；③開展數(shù)據(jù)安全培訓(xùn)，提高員工安全意識(shí)；④發(fā)生數(shù)據(jù)安全事件時(shí)，立即采取措施并向有關(guān)部門報(bào)告；⑤重要數(shù)據(jù)出境需通過安全評(píng)估或認(rèn)證；⑥定期進(jìn)行數(shù)據(jù)安全審計(jì)，留存記錄。5.綜合分析題某高校圖書館官網(wǎng)近期頻繁出現(xiàn)用戶登錄后被重定向至釣魚網(wǎng)站的情況，管理員檢查發(fā)現(xiàn)：-網(wǎng)站使用PHP開發(fā)，用戶登錄表單直接將輸入的用戶名拼接到SQL查詢中（如“SELECTFROMusersWHEREusername='{$_POST['username']}'”）；-網(wǎng)站未設(shè)置Cookies的HttpOnly屬性；-服務(wù)器日志顯示大量異常IP訪問登錄頁面，請(qǐng)求參數(shù)包含“'OR'1'='1”。（1）請(qǐng)分析可能存在的安全漏洞及攻擊類型。（2）提出具體的修復(fù)建議。答案：（1）存在的漏洞及攻擊類型：①SQL注入漏洞：用戶輸入的用戶名未經(jīng)過濾直接拼接到SQL語句中（如輸入“'OR'1'='1”會(huì)導(dǎo)致“SELECTFROMusersWHEREusername=''OR'1'='1'”，返回所有用戶信息），攻擊者可利用此漏洞竊取或篡改數(shù)據(jù)庫(kù)數(shù)據(jù)；②XSS或會(huì)話劫持風(fēng)險(xiǎn)：Cookies未設(shè)置HttpOnly屬性，攻擊者可通過腳本讀取用戶會(huì)話Cookie，冒充用戶登錄；③暴力破解或自動(dòng)化攻擊：大量異常IP訪問登錄頁面，可能嘗試暴力破解賬號(hào)或使用腳本批量提交惡意參數(shù)。（2）修復(fù)建議：①修復(fù)SQL注入：使用預(yù)編譯語句（如PHP的PDO預(yù)處理），將用戶輸入作為參數(shù)綁定，而非直接拼接（示例：$stmt=$pdo->prepare('SELECTFROMusersWHEREusername=:username');$stmt->execute(['username'=>$_POST['username']]);）；②增