2025年安全網(wǎng)絡知識競賽題庫及其答案一、單項選擇題（每題2分，共40分）1.根據(jù)《中華人民共和國網(wǎng)絡安全法》，關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險至少進行一次檢測評估的周期是？A.每季度B.每半年C.每年D.每兩年答案：C2.以下哪種加密算法屬于對稱加密算法？A.RSAB.AESC.ECCD.SHA256答案：B（解析：AES為對稱加密，RSA、ECC為非對稱加密，SHA256為哈希算法）3.釣魚攻擊中，攻擊者最常利用的用戶心理是？A.好奇心理B.恐懼心理C.貪婪心理D.以上都是答案：D（解析：釣魚郵件常通過“中獎通知”“賬戶異常”“限時優(yōu)惠”等觸發(fā)用戶好奇、恐懼或貪婪心理）4.物聯(lián)網(wǎng)設備（如智能攝像頭）最常見的安全漏洞是？A.硬編碼默認密碼B.數(shù)據(jù)傳輸未加密C.固件更新機制缺失D.以上都是答案：D（解析：多數(shù)物聯(lián)網(wǎng)設備因資源限制，常存在默認密碼未修改、傳輸用明文、固件無法及時更新等問題）5.根據(jù)《個人信息保護法》，處理敏感個人信息應當取得個人的單獨同意，以下哪類信息不屬于敏感個人信息？A.生物識別信息B.宗教信仰信息C.手機號碼D.醫(yī)療健康信息答案：C（解析：敏感個人信息包括生物識別、宗教信仰、醫(yī)療健康、金融賬戶、行蹤軌跡等，普通聯(lián)系方式不屬于）6.以下哪項是防范DDoS攻擊的有效手段？A.部署入侵檢測系統(tǒng)（IDS）B.限制單個IP的連接數(shù)C.使用內容分發(fā)網(wǎng)絡（CDN）D.以上都是答案：D（解析：CDN可分散流量，限制IP連接數(shù)可防止連接耗盡，IDS可識別異常流量）7.當收到“您的銀行賬戶涉嫌洗錢，需將資金轉入指定安全賬戶驗證”的短信時，正確的做法是？A.立即聯(lián)系短信中的客服電話核實B.登錄銀行官方APP或撥打銀行客服熱線確認C.按照短信提示操作轉賬D.轉發(fā)給好友提醒答案：B（解析：官方渠道核實是最安全的方式，勿輕信短信中的聯(lián)系方式）8.企業(yè)員工使用個人設備接入公司內網(wǎng)（BYOD）時，最關鍵的安全措施是？A.安裝免費殺毒軟件B.開啟設備定位功能C.部署移動設備管理（MDM）系統(tǒng)D.關閉藍牙功能答案：C（解析：MDM可統(tǒng)一管理設備的訪問權限、數(shù)據(jù)加密、遠程擦除等，是BYOD場景的核心防護）9.以下哪種行為不會導致個人信息泄露？A.在正規(guī)電商平臺填寫收貨地址B.掃描陌生人提供的“免費WiFi”二維碼C.參與街頭“掃碼送禮品”活動D.使用公共電腦登錄個人郵箱后未退出答案：A（解析：正規(guī)平臺有隱私保護機制，其他選項均可能被植入惡意程序或收集信息）10.區(qū)塊鏈技術的核心安全特性是？A.可篡改性B.去中心化存儲C.單點故障D.數(shù)據(jù)透明不加密答案：B（解析：區(qū)塊鏈通過分布式賬本實現(xiàn)去中心化，數(shù)據(jù)一旦上鏈難以篡改）11.某企業(yè)數(shù)據(jù)庫發(fā)生泄露，導致10萬條用戶姓名、身份證號、銀行卡號被公開，根據(jù)《數(shù)據(jù)安全法》，該企業(yè)可能面臨的最高罰款是？A.100萬元B.500萬元C.上一年度營業(yè)額5%D.2000萬元答案：C（解析：《數(shù)據(jù)安全法》規(guī)定，嚴重違法可處上一年度營業(yè)額5%以下罰款，最高2000萬元，但5%為上限標準）12.防范勒索軟件的最佳實踐不包括？A.定期離線備份重要數(shù)據(jù)B.開啟系統(tǒng)自動更新C.隨意打開郵件附件D.安裝終端安全防護軟件答案：C（解析：勒索軟件常通過惡意附件傳播，需嚴格限制附件打開）13.以下哪項屬于網(wǎng)絡安全等級保護（等保2.0）的核心要求？A.僅保護物理設備B.動態(tài)防御、主動防御C.無需進行安全培訓D.數(shù)據(jù)無需分類分級答案：B（解析：等保2.0強調動態(tài)、主動、整體防護，覆蓋技術、管理、運營全維度）14.當發(fā)現(xiàn)手機流量異常消耗（如未使用時流量突增），可能的原因是？A.手機開啟了自動同步功能B.安裝了惡意APPC.運營商系統(tǒng)故障D.以上都可能答案：D（解析：惡意APP可能后臺偷傳數(shù)據(jù)，自動同步或運營商問題也可能導致流量異常）15.以下哪種密碼設置符合強密碼要求？A.12345678B.Password123C.Lq9f@kP7D.手機尾號+生日答案：C（解析：強密碼需包含大小寫字母、數(shù)字、特殊符號，長度≥8位，C選項符合）16.工業(yè)控制系統(tǒng)（ICS）面臨的主要安全威脅是？A.辦公電腦感染病毒B.操作站與生產網(wǎng)絡未隔離C.員工使用私人U盤D.以上都是答案：D（解析：ICS安全涉及網(wǎng)絡隔離、移動存儲管控、終端安全等多方面）17.根據(jù)《網(wǎng)絡安全審查辦法》，關鍵信息基礎設施運營者采購網(wǎng)絡產品和服務，影響或可能影響國家安全的，應當向（）申報網(wǎng)絡安全審查。A.國家互聯(lián)網(wǎng)信息辦公室B.工業(yè)和信息化部C.公安部D.市場監(jiān)督管理總局答案：A（解析：網(wǎng)絡安全審查由國家網(wǎng)信辦聯(lián)合相關部門開展）18.以下哪項是社會工程學攻擊的典型手段？A.發(fā)送帶病毒的郵件附件B.冒充客服索要驗證碼C.植入木馬程序D.攻擊服務器漏洞答案：B（解析：社會工程學利用人性弱點，如冒充身份騙取信任獲取信息）19.移動支付時，為防止信息泄露，最有效的措施是？A.使用公共WiFi支付B.開啟“小額免密支付”C.設置支付密碼+指紋雙重驗證D.保存支付截圖至手機相冊答案：C（解析：雙重驗證可大幅降低被盜刷風險，其他選項均增加風險）20.某網(wǎng)站顯示“HTTPS”標識，說明？A.網(wǎng)站內容絕對安全B.數(shù)據(jù)傳輸經過加密C.網(wǎng)站已通過等保三級認證D.網(wǎng)站不會被攻擊答案：B（解析：HTTPS僅保證傳輸層加密，不代表內容或系統(tǒng)絕對安全）二、多項選擇題（每題3分，共45分）1.根據(jù)《個人信息保護法》，個人信息處理者應當遵循的原則包括？A.合法、正當、必要B.公開、透明C.最小必要D.質量保證答案：ABCD（解析：《個保法》明確處理個人信息需遵循合法正當必要、公開透明、最小必要、質量保證等原則）2.以下屬于常見網(wǎng)絡釣魚形式的有？A.仿冒銀行官網(wǎng)的虛假網(wǎng)站B.聲稱“中獎”要求先繳納手續(xù)費的短信C.偽裝成快遞通知的惡意鏈接D.手機應用商店的正規(guī)APP答案：ABC（解析：正規(guī)APP不屬于釣魚，其他選項均通過仿冒或誘導獲取信息）3.企業(yè)網(wǎng)絡安全防護體系應包括哪些層面？A.物理安全（如機房門禁）B.網(wǎng)絡安全（如防火墻）C.終端安全（如端點檢測）D.管理安全（如安全制度）答案：ABCD（解析：防護體系需覆蓋物理、網(wǎng)絡、終端、管理等全維度）4.以下哪些行為可能導致數(shù)據(jù)泄露？A.員工將機密文件通過私人郵箱發(fā)送B.數(shù)據(jù)庫未設置訪問權限C.定期對數(shù)據(jù)進行加密備份D.離職員工賬號未及時注銷答案：ABD（解析：加密備份是保護措施，其他選項均可能導致數(shù)據(jù)泄露）5.物聯(lián)網(wǎng)（IoT）設備的安全風險包括？A.設備默認密碼未修改B.固件漏洞未修復C.數(shù)據(jù)傳輸使用明文協(xié)議（如HTTP）D.支持遠程管理但未加密答案：ABCD（解析：IoT設備因資源限制，常存在默認密碼、固件更新難、傳輸不加密、遠程管理不安全等問題）6.防范SQL注入攻擊的措施有？A.使用參數(shù)化查詢B.對用戶輸入進行轉義過濾C.關閉數(shù)據(jù)庫錯誤提示D.僅開放必要的數(shù)據(jù)庫端口答案：ABCD（解析：參數(shù)化查詢和輸入過濾是核心，關閉錯誤提示可防止信息泄露，限制端口減少攻擊面）7.根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)分類分級保護的依據(jù)包括？A.數(shù)據(jù)的重要程度B.數(shù)據(jù)一旦泄露可能造成的危害程度C.數(shù)據(jù)的產生時間D.數(shù)據(jù)的存儲介質答案：AB（解析：分類分級需考慮數(shù)據(jù)本身的重要性及泄露后的影響，與產生時間、存儲介質無關）8.以下屬于弱口令的有？A.111111B.admin123C.qwertyuiD.包含用戶姓名+生日的組合答案：ABCD（解析：弱口令通常為簡單數(shù)字、常見組合或與個人信息相關的密碼）9.網(wǎng)絡安全應急響應的關鍵步驟包括？A.檢測與分析（Identify）B.遏制（Contain）C.根除（Eradicate）D.恢復（Recover）答案：ABCD（解析：NIST應急響應框架包括準備、檢測分析、遏制、根除、恢復、總結六個階段）10.以下哪些場景需要特別注意個人信息保護？A.使用公共WiFi連接社交平臺B.參加線上問卷調查填寫身份證號C.在二手平臺出售舊手機前恢復出廠設置D.掃碼注冊新APP時勾選“同意全部權限”答案：ABD（解析：公共WiFi可能被嗅探，問卷索要敏感信息需謹慎，隨意授權APP權限會泄露信息；舊手機恢復出廠設置需配合格式化存儲）11.區(qū)塊鏈技術可能面臨的安全風險有？A.51%攻擊（算力壟斷）B.智能合約漏洞C.私鑰丟失導致資產無法找回D.交易記錄可篡改答案：ABC（解析：區(qū)塊鏈的不可篡改性是核心特性，D錯誤；51%攻擊、合約漏洞、私鑰管理是主要風險）12.工業(yè)互聯(lián)網(wǎng)安全的重點保護對象包括？A.工業(yè)控制系統(tǒng)（PLC、DCS）B.工業(yè)設備（如數(shù)控機床）C.工業(yè)數(shù)據(jù)（如工藝參數(shù)）D.工業(yè)云平臺答案：ABCD（解析：工業(yè)互聯(lián)網(wǎng)覆蓋設備、系統(tǒng)、數(shù)據(jù)、平臺等全環(huán)節(jié)）13.以下哪些是《網(wǎng)絡安全法》規(guī)定的網(wǎng)絡運營者義務？A.制定內部安全管理制度和操作規(guī)程B.采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施C.為公安機關偵查犯罪提供技術支持D.定期進行網(wǎng)絡安全檢測、評估和改進答案：ABCD（解析：《網(wǎng)絡安全法》第二十一條、第二十八條等明確了運營者的安全義務）14.防范WiFi釣魚的方法有？A.連接WiFi前確認SSID是否為官方名稱（如“ChinaNetXXXX”）B.不連接名稱為“免費WiFi”的開放網(wǎng)絡C.使用WiFi時關閉“自動連接”功能D.通過HTTPS訪問敏感網(wǎng)站（如網(wǎng)銀）答案：ABCD（解析：以上均為防范釣魚WiFi的有效措施）15.員工網(wǎng)絡安全意識培訓應包含哪些內容？A.識別釣魚郵件和虛假鏈接B.強密碼設置與定期更換C.移動存儲設備（U盤）的安全使用D.數(shù)據(jù)泄露的法律責任答案：ABCD（解析：意識培訓需覆蓋識別攻擊、日常操作規(guī)范、責任教育等）三、判斷題（每題1分，共10分）1.只要安裝了殺毒軟件，電腦就不會感染病毒。（）答案：×（解析：殺毒軟件無法防御所有新型病毒或0day漏洞攻擊）2.公共WiFi下使用支付寶支付是安全的，因為支付寶有加密。（）答案：×（解析：公共WiFi可能被中間人攻擊，截取傳輸數(shù)據(jù)，需使用HTTPS并確認網(wǎng)絡可信）3.收到“您的賬戶異常，點擊鏈接登錄驗證”的短信，直接點擊鏈接是安全的，因為鏈接來自官方。（）答案：×（解析：釣魚鏈接常仿冒官方域名，需通過官方APP或客服核實）4.手機“root”或越獄后，系統(tǒng)安全性會提高。（）答案：×（解析：root/越獄會繞過系統(tǒng)安全限制，增加被惡意軟件控制的風險）5.企業(yè)刪除員工離職前的所有工作郵件，即可避免數(shù)據(jù)泄露。（）答案：×（解析：員工可能已將數(shù)據(jù)備份至私人設備，需通過權限管理、數(shù)據(jù)加密等綜合措施防范）6.區(qū)塊鏈的“去中心化”意味著沒有任何管理節(jié)點。（）答案：×（解析：去中心化是指無單一控制節(jié)點，但存在多個參與節(jié)點共同維護）7.弱口令攻擊只能通過暴力破解實現(xiàn)。（）答案：×（解析：弱口令攻擊還包括字典攻擊、社工庫匹配等方式）8.根據(jù)《個人信息保護法》，個人信息處理者無需告知用戶信息處理的目的，只需獲得同意即可。（）答案：×（解析：處理者需明確告知處理目的、方式、范圍等，遵循公開透明原則）9.物聯(lián)網(wǎng)設備的安全漏洞可以通過定期更新固件修復。（）答案：√（解析：固件更新是修復設備漏洞的主要方式）10.網(wǎng)絡安全等級保護（等保2.0）僅適用于關鍵信息基礎設施，普通網(wǎng)站無需遵守。（）答案：×（解析：等保2.0覆蓋所有網(wǎng)絡運營者，根據(jù)重要程度劃分不同保護等級）四、案例分析題（每題5分，共25分）案例1：某企業(yè)財務部門員工張某收到一封郵件，標題為“2025年稅務申報通知”，附件為“稅務申報表.docx”。張某因急于處理稅務，未仔細查看發(fā)件人郵箱（實際為偽造的“tax@”），直接下載并打開附件。隨后，張某的電腦出現(xiàn)卡頓，財務系統(tǒng)登錄密碼被修改，50萬元公款被轉入陌生賬戶。問題：（1）張某的操作存在哪些安全隱患？（2）企業(yè)應如何防范此類事件？答案：（1）隱患：未核實發(fā)件人身份（仿冒官方郵箱）；隨意打開陌生郵件附件；未安裝終端防護軟件（未檢測到附件中的惡意程序）。（2）防范措施：①開展員工安全培訓，強調郵件附件的風險；②部署郵件過濾系統(tǒng)，攔截仿冒官方域名的郵件；③啟用終端檢測與響應（EDR）系統(tǒng)，實時監(jiān)控異常進程；④對財務系統(tǒng)實施多因素認證（如密碼+動態(tài)令牌）；⑤定期備份財務數(shù)據(jù)，避免數(shù)據(jù)被篡改后無法恢復。案例2：某社區(qū)醫(yī)院將患者姓名、病歷、聯(lián)系方式等信息存儲在未加密的數(shù)據(jù)庫中，且數(shù)據(jù)庫未設置訪問權限。一名黑客通過掃描發(fā)現(xiàn)數(shù)據(jù)庫開放在公網(wǎng)，下載了2000條患者信息并在暗網(wǎng)出售。問題：（1）醫(yī)院違反了哪些法律法規(guī)？（2）應采取哪些技術措施防止類似事件？答案：（1）違反法規(guī)：《個人信息保護法》（未對敏感個人信息加密、未限制訪問權限）；《數(shù)據(jù)安全法》（未履行數(shù)據(jù)安全保護義務）；《基本醫(yī)療衛(wèi)生與健康促進法》（未保護患者隱私）。（2）技術措施：①對數(shù)據(jù)庫進行加密（如靜態(tài)加密、傳輸加密）；②關閉公網(wǎng)暴露，僅允許內網(wǎng)或VPN訪問；③實施訪問控制（如角色權限管理，僅授權人員可訪問）；④部署數(shù)據(jù)庫審計系統(tǒng)，記錄所有訪問操作；⑤定期進行安全檢測（如漏洞掃描、滲透測試）。案例3：用戶李某在商場連接了名為“MallFreeWiFi”的免費WiFi，隨后登錄個人網(wǎng)銀查詢余額。次日，李某發(fā)現(xiàn)網(wǎng)銀賬戶被盜刷2萬元，交易記錄顯示通過某第三方支付平臺轉出。問題：（1）李某的賬戶被盜刷的可能原因是什么？（2）用戶在公共場合使用WiFi時應注意什么？答案：（1）可能原因：連接的WiFi為釣魚WiFi，攻擊者通過中間人攻擊截取了李某的網(wǎng)銀登錄信息（如密碼、短信驗證碼），并利用信息完成盜刷。（2）注意事項：①確認WiFi名稱是否為商場官方提供（可咨詢工作人員）；②避免使用公共WiFi登錄網(wǎng)銀、支付平臺等敏感賬號；③開啟手機的“數(shù)據(jù)流量”替代WiFi，或使用運營商提供的安全WiFi服務；④檢查瀏覽器是否強制跳轉至可疑頁面（釣魚WiFi常強制跳轉廣告或仿冒網(wǎng)站）；⑤使用HTTPS協(xié)議訪問網(wǎng)站（地址欄顯示鎖形圖標）。案例4：某科技公司開發(fā)的兒童教育類APP要求用戶授權“讀取通訊錄”“定位”“攝像頭”等權限，但APP功能僅涉及在線課程播放和作業(yè)提交。部分家長發(fā)現(xiàn)，APP在后臺頻繁讀取孩子的位置信息，并將數(shù)據(jù)上傳至非公司服務器。問題：（1）該APP的行為違反了哪