2025年國(guó)家網(wǎng)絡(luò)安全知識(shí)競(jìng)賽題庫(kù)答案2一、單項(xiàng)選擇題（每題2分，共40分）1.根據(jù)2024年修訂的《中華人民共和國(guó)數(shù)據(jù)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)通過(guò)（）安全評(píng)估。A.國(guó)家網(wǎng)信部門(mén)組織的B.省級(jí)數(shù)據(jù)安全主管部門(mén)C.行業(yè)主管部門(mén)D.第三方認(rèn)證機(jī)構(gòu)答案：A2.以下哪項(xiàng)不屬于生成式人工智能服務(wù)提供者應(yīng)當(dāng)履行的安全義務(wù)？（）A.對(duì)生成內(nèi)容進(jìn)行審核B.提供服務(wù)時(shí)明確標(biāo)識(shí)生成內(nèi)容C.存儲(chǔ)用戶個(gè)人生物信息滿3年后自動(dòng)刪除D.制定并公開(kāi)算法備案信息答案：C（解析：《生成式人工智能服務(wù)安全基本要求》規(guī)定，生物信息存儲(chǔ)需符合最小必要原則，無(wú)固定3年期限要求）3.工業(yè)互聯(lián)網(wǎng)場(chǎng)景中，OT（運(yùn)營(yíng)技術(shù)）網(wǎng)絡(luò)與IT（信息技術(shù)）網(wǎng)絡(luò)的核心差異是（）。A.OT網(wǎng)絡(luò)更注重實(shí)時(shí)性，IT網(wǎng)絡(luò)更注重?cái)?shù)據(jù)處理B.OT網(wǎng)絡(luò)使用IPv6協(xié)議，IT網(wǎng)絡(luò)使用IPv4C.OT網(wǎng)絡(luò)不連接互聯(lián)網(wǎng)，IT網(wǎng)絡(luò)必須連接D.OT網(wǎng)絡(luò)設(shè)備無(wú)需更新補(bǔ)丁，IT網(wǎng)絡(luò)需定期維護(hù)答案：A4.某企業(yè)發(fā)現(xiàn)其用戶數(shù)據(jù)庫(kù)被惡意爬取，泄露用戶姓名、手機(jī)號(hào)、住址等信息，根據(jù)《個(gè)人信息保護(hù)法》，用戶可主張的最高賠償為（）。A.實(shí)際損失的2倍B.侵權(quán)人違法所得的5倍C.5000萬(wàn)元或上一年度營(yíng)業(yè)額5%（取較高者）D.無(wú)上限，由法院裁量答案：C（解析：《個(gè)人信息保護(hù)法》第66條規(guī)定，情節(jié)嚴(yán)重的，可處5000萬(wàn)元以下或上一年度營(yíng)業(yè)額5%以下罰款）5.量子密鑰分發(fā)（QKD）的安全性基于（）。A.計(jì)算復(fù)雜度B.量子不可克隆定理C.哈希函數(shù)碰撞抵抗D.非對(duì)稱加密算法答案：B6.某單位使用零信任架構(gòu)（ZeroTrustArchitecture）進(jìn)行網(wǎng)絡(luò)安全防護(hù)，其核心原則是（）。A.默認(rèn)信任內(nèi)部網(wǎng)絡(luò)，嚴(yán)格驗(yàn)證外部訪問(wèn)B.持續(xù)驗(yàn)證所有訪問(wèn)請(qǐng)求，永不默認(rèn)信任C.僅允許已知設(shè)備接入，禁止未知終端D.依賴防火墻構(gòu)建邊界，隔離內(nèi)外網(wǎng)答案：B7.2024年《網(wǎng)絡(luò)安全審查辦法》修訂后，以下哪類企業(yè)必須申報(bào)網(wǎng)絡(luò)安全審查？（）A.處理100萬(wàn)人以上個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市B.中小電商平臺(tái)采購(gòu)國(guó)產(chǎn)數(shù)據(jù)庫(kù)軟件C.高校實(shí)驗(yàn)室開(kāi)發(fā)的開(kāi)源人臉識(shí)別系統(tǒng)D.地方國(guó)企使用的內(nèi)部OA系統(tǒng)升級(jí)答案：A8.移動(dòng)應(yīng)用（App）收集用戶位置信息時(shí)，正確的合規(guī)操作是（）。A.安裝時(shí)默認(rèn)開(kāi)啟位置權(quán)限B.在首次使用位置功能前單獨(dú)彈窗征得用戶同意C.后臺(tái)持續(xù)獲取位置信息用于廣告推送D.收集精度為經(jīng)緯度小數(shù)點(diǎn)后6位的詳細(xì)位置數(shù)據(jù)答案：B9.關(guān)于區(qū)塊鏈安全，以下說(shuō)法錯(cuò)誤的是（）。A.51%攻擊可能導(dǎo)致區(qū)塊鏈分叉B.智能合約漏洞可能引發(fā)資產(chǎn)損失C.共識(shí)機(jī)制（如PoW）完全避免了雙花攻擊D.私鑰丟失將無(wú)法恢復(fù)鏈上資產(chǎn)答案：C（解析：PoW可降低雙花概率，但無(wú)法完全避免）10.某政務(wù)云平臺(tái)發(fā)生數(shù)據(jù)泄露事件，經(jīng)調(diào)查系運(yùn)維人員誤將測(cè)試環(huán)境數(shù)據(jù)庫(kù)暴露公網(wǎng)且未設(shè)密碼。根據(jù)《網(wǎng)絡(luò)安全法》，對(duì)直接責(zé)任人員的最高處罰是（）。A.警告B.10萬(wàn)元罰款C.50萬(wàn)元罰款D.吊銷相關(guān)職業(yè)資格答案：B（解析：《網(wǎng)絡(luò)安全法》第64條規(guī)定，對(duì)直接負(fù)責(zé)人員處1萬(wàn)元以上10萬(wàn)元以下罰款）11.物聯(lián)網(wǎng)設(shè)備（IoT）的典型安全風(fēng)險(xiǎn)不包括（）。A.固件漏洞導(dǎo)致設(shè)備被遠(yuǎn)程控制B.設(shè)備默認(rèn)弱密碼C.數(shù)據(jù)傳輸使用TLS1.2加密D.大量設(shè)備被劫持形成僵尸網(wǎng)絡(luò)（Botnet）答案：C（解析：TLS1.2是合規(guī)加密協(xié)議，非風(fēng)險(xiǎn)點(diǎn)）12.依據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》，數(shù)據(jù)出境活動(dòng)中，數(shù)據(jù)處理者應(yīng)當(dāng)在申報(bào)評(píng)估前完成的準(zhǔn)備工作不包括（）。A.開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估B.與境外接收方簽訂法律文件C.對(duì)數(shù)據(jù)接收方進(jìn)行安全能力審查D.向社會(huì)公開(kāi)數(shù)據(jù)出境的具體內(nèi)容答案：D13.以下哪種行為符合《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》（2024年修訂）要求？（）A.三級(jí)信息系統(tǒng)未進(jìn)行安全測(cè)評(píng)直接上線運(yùn)行B.二級(jí)信息系統(tǒng)每年進(jìn)行一次安全自查C.四級(jí)信息系統(tǒng)使用國(guó)產(chǎn)密碼算法但未通過(guò)國(guó)家密碼檢測(cè)D.一級(jí)信息系統(tǒng)未制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案答案：B（解析：二級(jí)系統(tǒng)需每年自查，三級(jí)需每年測(cè)評(píng)，四級(jí)需半年測(cè)評(píng)）14.電子郵件釣魚(yú)攻擊的關(guān)鍵特征是（）。A.發(fā)送包含惡意附件的郵件B.利用用戶信任誘導(dǎo)點(diǎn)擊鏈接或提供信息C.通過(guò)漏洞植入木馬D.大規(guī)模發(fā)送垃圾郵件答案：B15.云計(jì)算環(huán)境中，“數(shù)據(jù)主權(quán)”問(wèn)題主要表現(xiàn)為（）。A.云服務(wù)商破產(chǎn)后數(shù)據(jù)無(wú)法恢復(fù)B.數(shù)據(jù)存儲(chǔ)地法律與本國(guó)法律沖突C.多租戶環(huán)境下的數(shù)據(jù)隔離失效D.云服務(wù)器硬件故障導(dǎo)致數(shù)據(jù)丟失答案：B16.某企業(yè)開(kāi)發(fā)的兒童智能手表需符合《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》，其應(yīng)采取的特殊保護(hù)措施不包括（）。A.僅收集實(shí)現(xiàn)功能必要的最少信息B.征得兒童監(jiān)護(hù)人的明示同意C.存儲(chǔ)兒童信息不超過(guò)1年D.提供便捷的監(jiān)護(hù)人刪除信息功能答案：C（解析：存儲(chǔ)期限需符合最小必要原則，無(wú)固定1年要求）17.工業(yè)控制系統(tǒng)（ICS）中，以下哪種防護(hù)措施最能防止“物理接觸攻擊”？（）A.部署入侵檢測(cè)系統(tǒng)（IDS）B.對(duì)設(shè)備訪問(wèn)實(shí)施生物識(shí)別認(rèn)證C.關(guān)閉不必要的網(wǎng)絡(luò)端口D.限制非授權(quán)人員進(jìn)入控制機(jī)房答案：D18.關(guān)于AI模型安全，以下說(shuō)法正確的是（）。A.對(duì)抗樣本攻擊僅影響圖像識(shí)別模型B.模型訓(xùn)練數(shù)據(jù)中的偏見(jiàn)不會(huì)傳遞到輸出結(jié)果C.模型可解釋性差可能導(dǎo)致決策不透明D.強(qiáng)化學(xué)習(xí)模型不存在過(guò)擬合風(fēng)險(xiǎn)答案：C19.2024年《密碼法》實(shí)施細(xì)則明確，以下哪類場(chǎng)景必須使用商用密碼進(jìn)行保護(hù)？（）A.涉及國(guó)家秘密的信息系統(tǒng)B.金融機(jī)構(gòu)客戶信息查詢系統(tǒng)C.個(gè)人之間的微信聊天D.企業(yè)內(nèi)部文件共享答案：B（解析：金融等關(guān)鍵領(lǐng)域需強(qiáng)制使用商用密碼）20.網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中，“遏制階段”的核心目標(biāo)是（）。A.恢復(fù)受影響系統(tǒng)至正常狀態(tài)B.防止攻擊范圍擴(kuò)大或數(shù)據(jù)進(jìn)一步泄露C.分析攻擊來(lái)源和技術(shù)手段D.向監(jiān)管部門(mén)報(bào)告事件詳情答案：B二、判斷題（每題1分，共15分。正確填“√”，錯(cuò)誤填“×”）1.企業(yè)為提升用戶體驗(yàn)，可將用戶輸入的密碼明文存儲(chǔ)在數(shù)據(jù)庫(kù)中。（）答案：×（解析：《個(gè)人信息保護(hù)法》要求密碼必須加密存儲(chǔ)）2.公共Wi-Fi環(huán)境下使用HTTPS協(xié)議訪問(wèn)網(wǎng)頁(yè)可以完全避免信息泄露。（）答案：×（解析：HTTPS僅加密傳輸，無(wú)法防止設(shè)備被植入惡意軟件）3.物聯(lián)網(wǎng)設(shè)備無(wú)需安裝殺毒軟件，因?yàn)槠涔δ軉我弧L(fēng)險(xiǎn)低。（）答案：×（解析：物聯(lián)網(wǎng)設(shè)備固件漏洞可能被利用，需定期更新防護(hù)）4.數(shù)據(jù)脫敏技術(shù)中的“匿名化”處理后，數(shù)據(jù)不再受《個(gè)人信息保護(hù)法》約束。（）答案：√（解析：匿名化數(shù)據(jù)無(wú)法識(shí)別特定自然人，不屬于個(gè)人信息）5.網(wǎng)絡(luò)安全等級(jí)保護(hù)中，信息系統(tǒng)的等級(jí)由其業(yè)務(wù)重要性單獨(dú)決定。（）答案：×（解析：等級(jí)需結(jié)合受侵害的客體和可能造成的損害程度綜合判定）6.量子計(jì)算機(jī)的發(fā)展將完全破解現(xiàn)有的非對(duì)稱加密算法（如RSA）。（）答案：×（解析：量子計(jì)算機(jī)可破解基于大整數(shù)分解的算法，但后量子密碼算法已在研發(fā)中）7.企業(yè)使用開(kāi)源軟件時(shí)，無(wú)需承擔(dān)其漏洞導(dǎo)致的安全責(zé)任。（）答案：×（解析：企業(yè)需對(duì)使用的開(kāi)源軟件進(jìn)行安全管理，漏洞導(dǎo)致事故仍需擔(dān)責(zé)）8.移動(dòng)應(yīng)用在用戶拒絕授權(quán)相機(jī)權(quán)限后，仍可在后臺(tái)調(diào)用相機(jī)功能。（）答案：×（解析：《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》要求，未授權(quán)不得強(qiáng)制或悄悄調(diào)用）9.工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系中，每個(gè)設(shè)備的標(biāo)識(shí)具有全球唯一性。（）答案：√10.釣魚(yú)郵件中，發(fā)件人郵箱顯示為“bank@”即代表郵件真實(shí)來(lái)自該銀行。（）答案：×（解析：發(fā)件人地址可偽造，需通過(guò)SPF、DKIM等協(xié)議驗(yàn)證）11.云服務(wù)提供商（CSP）對(duì)客戶數(shù)據(jù)的安全負(fù)全部責(zé)任，客戶無(wú)需采取額外防護(hù)措施。（）答案：×（解析：云安全遵循“共享責(zé)任模型”，客戶需保護(hù)自身數(shù)據(jù)和應(yīng)用）12.區(qū)塊鏈的“不可篡改性”意味著所有交易記錄一旦上鏈就無(wú)法修改。（）答案：×（解析：在51%攻擊或硬分叉等特殊情況下，記錄可能被修改）13.企業(yè)開(kāi)展數(shù)據(jù)跨境流動(dòng)時(shí)，只需與境外接收方簽訂合同即可，無(wú)需進(jìn)行安全評(píng)估。（）答案：×（解析：達(dá)到一定規(guī)模需通過(guò)國(guó)家數(shù)據(jù)出境安全評(píng)估）14.網(wǎng)絡(luò)安全事件發(fā)生后，企業(yè)應(yīng)優(yōu)先向媒體披露信息，再向監(jiān)管部門(mén)報(bào)告。（）答案：×（解析：需在規(guī)定時(shí)間內(nèi)（如24小時(shí)）優(yōu)先向行業(yè)主管部門(mén)報(bào)告）15.人工智能模型訓(xùn)練時(shí)，使用已匿名化的用戶數(shù)據(jù)無(wú)需取得用戶同意。（）答案：√（解析：匿名化數(shù)據(jù)不涉及個(gè)人信息，無(wú)需單獨(dú)授權(quán)）三、簡(jiǎn)答題（每題5分，共30分）1.簡(jiǎn)述《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中“關(guān)鍵信息基礎(chǔ)設(shè)施”的認(rèn)定標(biāo)準(zhǔn)。答案：關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定需滿足三個(gè)條件：①關(guān)系國(guó)家安全、國(guó)計(jì)民生、公共利益；②一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公眾健康和安全；③由縣級(jí)以上保護(hù)工作部門(mén)結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定認(rèn)定規(guī)則，組織認(rèn)定并備案。2.列舉工業(yè)控制系統(tǒng)（ICS）的3類典型安全防護(hù)措施，并說(shuō)明其作用。答案：①物理隔離：將控制網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)分離，防止外部網(wǎng)絡(luò)攻擊滲透至生產(chǎn)環(huán)境；②白名單機(jī)制：僅允許已知合法的程序或通信流量運(yùn)行，阻止惡意軟件執(zhí)行；③定期固件更新：修復(fù)設(shè)備漏洞，避免利用舊版本漏洞的攻擊（如Stuxnet病毒針對(duì)未更新的西門(mén)子PLC）。3.數(shù)據(jù)分類分級(jí)的核心步驟有哪些？請(qǐng)結(jié)合企業(yè)實(shí)際場(chǎng)景說(shuō)明。答案：步驟：①明確數(shù)據(jù)范圍（如用戶信息、業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)）；②定義分類維度（如按業(yè)務(wù)屬性分為客戶數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)；按敏感程度分為公開(kāi)、內(nèi)部、敏感、絕密）；③制定分級(jí)標(biāo)準(zhǔn)（如敏感數(shù)據(jù)中，用戶身份證號(hào)為高敏感，手機(jī)號(hào)為中敏感）；④實(shí)施分類標(biāo)記（在數(shù)據(jù)庫(kù)表、文件元數(shù)據(jù)中標(biāo)注類別和級(jí)別）；⑤動(dòng)態(tài)調(diào)整（根據(jù)業(yè)務(wù)變化或新法規(guī)更新分類分級(jí)結(jié)果）。例如，電商企業(yè)需將用戶支付信息（含銀行卡號(hào)）定為最高級(jí)別，采取加密存儲(chǔ)、訪問(wèn)審批等嚴(yán)格保護(hù)措施。4.簡(jiǎn)述零信任架構(gòu)（ZTA）的“持續(xù)驗(yàn)證”原則及其實(shí)現(xiàn)方式。答案：持續(xù)驗(yàn)證原則指對(duì)任何訪問(wèn)請(qǐng)求（無(wú)論來(lái)自內(nèi)部還是外部），需在訪問(wèn)全周期內(nèi)動(dòng)態(tài)驗(yàn)證身份、設(shè)備狀態(tài)、網(wǎng)絡(luò)環(huán)境等因素，而非僅在首次連接時(shí)驗(yàn)證一次。實(shí)現(xiàn)方式包括：①多因素認(rèn)證（MFA），如密碼+短信驗(yàn)證碼+生物識(shí)別；②設(shè)備健康檢查（檢測(cè)是否安裝最新補(bǔ)丁、殺毒軟件是否運(yùn)行）；③上下文感知（根據(jù)登錄地點(diǎn)、時(shí)間、IP地址判斷是否異常）；④最小權(quán)限分配（僅授予完成當(dāng)前任務(wù)所需的最低權(quán)限）。5.面對(duì)社交工程攻擊，個(gè)人用戶應(yīng)采取哪些防范措施？答案：①提高信息甄別能力：不輕易點(diǎn)擊陌生鏈接，驗(yàn)證郵件/短信發(fā)件人真實(shí)性（如通過(guò)官方電話確認(rèn)）；②保護(hù)個(gè)人信息：避免在社交平臺(tái)公開(kāi)敏感信息（如住址、行程）；③設(shè)置強(qiáng)密碼并定期更換：避免使用“123456”“生日”等弱密碼，不同賬戶使用不同密碼；④開(kāi)啟雙重驗(yàn)證：在銀行、郵箱等關(guān)鍵賬戶啟用MFA；⑤安裝安全軟件：及時(shí)更新系統(tǒng)和應(yīng)用補(bǔ)丁，防范惡意軟件植入。6.簡(jiǎn)述生成式人工智能（AIGC）服務(wù)的安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施。答案：風(fēng)險(xiǎn)：①內(nèi)容安全風(fēng)險(xiǎn)（生成虛假信息、違法內(nèi)容）；②數(shù)據(jù)泄露風(fēng)險(xiǎn)（訓(xùn)練數(shù)據(jù)含敏感信息，生成內(nèi)容可能暴露隱私）；③算法偏見(jiàn)風(fēng)險(xiǎn)（訓(xùn)練數(shù)據(jù)偏差導(dǎo)致輸出歧視性內(nèi)容）；④濫用風(fēng)險(xiǎn)（被用于詐騙、深度偽造等犯罪）。應(yīng)對(duì)措施：①建立內(nèi)容審核機(jī)制（人工+AI自動(dòng)過(guò)濾）；②實(shí)施數(shù)據(jù)去標(biāo)識(shí)化處理（訓(xùn)練前脫敏敏感信息）；③開(kāi)展算法公平性測(cè)試（檢測(cè)并修正偏見(jiàn)）；④部署水印技術(shù)（標(biāo)識(shí)生成內(nèi)容來(lái)源，防止濫用）；⑤遵守《生成式人工智能服務(wù)管理暫行辦法》，履行算法備案、安全評(píng)估等義務(wù)。四、案例分析題（共15分）【案例背景】2024年11月，某省醫(yī)療健康平臺(tái)（三級(jí)等保系統(tǒng)）發(fā)生數(shù)據(jù)泄露事件：黑客通過(guò)爆破攻擊破解了平臺(tái)運(yùn)維人員的弱密碼（密碼為“admin123”），登錄后臺(tái)后下載了包含12萬(wàn)條患者的姓名、身份證號(hào)、診斷結(jié)果的數(shù)據(jù)庫(kù)。經(jīng)調(diào)查，該平臺(tái)存在以下問(wèn)題：①運(yùn)維賬戶未啟用多因素認(rèn)證；②數(shù)據(jù)庫(kù)未加密存儲(chǔ)敏感信息；③近6個(gè)月未進(jìn)行安全漏洞掃描；④事件發(fā)生后48小時(shí)才向省級(jí)網(wǎng)信部門(mén)報(bào)告。問(wèn)題：1.分析該平臺(tái)違反了哪些網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的具體條款？（8分）2.提出針對(duì)該事件的應(yīng)急響應(yīng)改進(jìn)建議。（7分）答案：1.違規(guī)分析：①違反《網(wǎng)絡(luò)安全法》第21條（網(wǎng)絡(luò)安全等級(jí)保護(hù)制度）：三級(jí)系統(tǒng)應(yīng)落實(shí)身份認(rèn)證（如MFA）、數(shù)據(jù)加密等技術(shù)措施，平