2025年度全國(guó)大學(xué)生網(wǎng)絡(luò)安全知識(shí)競(jìng)賽題庫(kù)及答案(四)一、單項(xiàng)選擇題（每題2分，共40分）1.以下哪項(xiàng)是OSI參考模型中負(fù)責(zé)端到端可靠數(shù)據(jù)傳輸?shù)膶樱緼.物理層B.傳輸層C.網(wǎng)絡(luò)層D.數(shù)據(jù)鏈路層答案：B2.下列加密算法中，屬于非對(duì)稱加密的是？A.AESB.DESC.RSAD.SHA-256答案：C3.某網(wǎng)站訪問(wèn)時(shí)地址欄顯示“”，其中“https”的默認(rèn)端口號(hào)是？A.80B.443C.21D.25答案：B4.釣魚攻擊（Phishing）的核心手段是？A.利用系統(tǒng)漏洞植入惡意代碼B.通過(guò)偽造可信來(lái)源誘導(dǎo)用戶泄露信息C.對(duì)目標(biāo)服務(wù)器發(fā)起DDoS攻擊D.破解用戶賬戶的弱密碼答案：B5.以下哪種攻擊方式利用了操作系統(tǒng)或應(yīng)用程序的未授權(quán)訪問(wèn)漏洞？A.SQL注入B.緩沖區(qū)溢出C.CSRF（跨站請(qǐng)求偽造）D.暴力破解答案：C6.根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)至少多久進(jìn)行一次檢測(cè)評(píng)估？A.每季度B.每半年C.每年D.每?jī)赡甏鸢福篊7.以下哪個(gè)協(xié)議用于在網(wǎng)絡(luò)中安全傳輸電子郵件？A.SMTPB.POP3C.IMAPD.SMTPS答案：D8.某用戶收到短信：“您的銀行賬戶涉嫌洗錢，需點(diǎn)擊鏈接驗(yàn)證身份”，這屬于哪種網(wǎng)絡(luò)攻擊？A.水坑攻擊B.社會(huì)工程學(xué)攻擊C.中間人攻擊D.零日攻擊答案：B9.以下哪項(xiàng)不是區(qū)塊鏈的核心特性？A.去中心化B.不可篡改C.匿名性D.集中式存儲(chǔ)答案：D10.用于檢測(cè)網(wǎng)絡(luò)中異常流量的技術(shù)是？A.防火墻B.入侵檢測(cè)系統(tǒng)（IDS）C.虛擬專用網(wǎng)（VPN）D.反病毒軟件答案：B11.以下哪種密碼策略最符合安全要求？A.密碼長(zhǎng)度8位，包含字母和數(shù)字B.密碼長(zhǎng)度12位，包含大小寫字母、數(shù)字和特殊符號(hào)C.密碼為“123456”D.密碼與用戶名相同答案：B12.當(dāng)發(fā)現(xiàn)計(jì)算機(jī)感染勒索軟件后，最優(yōu)先的操作是？A.立即支付贖金獲取解密密鑰B.斷開(kāi)網(wǎng)絡(luò)連接防止擴(kuò)散C.格式化硬盤重新安裝系統(tǒng)D.運(yùn)行殺毒軟件全盤掃描答案：B13.以下哪個(gè)是常見(jiàn)的Web應(yīng)用層攻擊？A.ARP欺騙B.DNS劫持C.XSS（跨站腳本攻擊）D.ICMP洪水攻擊答案：C14.《數(shù)據(jù)安全法》規(guī)定，國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行？A.統(tǒng)一保護(hù)B.重點(diǎn)保護(hù)C.分類分級(jí)保護(hù)D.動(dòng)態(tài)保護(hù)答案：C15.以下哪項(xiàng)是物聯(lián)網(wǎng)（IoT）設(shè)備特有的安全風(fēng)險(xiǎn)？A.弱默認(rèn)密碼B.DDoS攻擊C.數(shù)據(jù)泄露D.病毒感染答案：A16.量子計(jì)算對(duì)現(xiàn)有密碼體系的最大威脅是？A.破解對(duì)稱加密算法（如AES）B.破解非對(duì)稱加密算法（如RSA）C.破壞哈希算法的碰撞抵抗性D.干擾網(wǎng)絡(luò)通信協(xié)議答案：B17.某企業(yè)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶身份證號(hào)、手機(jī)號(hào)等信息屬于？A.公開(kāi)信息B.敏感個(gè)人信息C.匿名化數(shù)據(jù)D.非結(jié)構(gòu)化數(shù)據(jù)答案：B18.以下哪種技術(shù)用于防止網(wǎng)絡(luò)中的MAC地址欺騙？A.端口安全（PortSecurity）B.訪問(wèn)控制列表（ACL）C.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）D.虛擬局域網(wǎng)（VLAN）答案：A19.電子郵件加密協(xié)議PGP（PrettyGoodPrivacy）主要使用的加密方式是？A.僅對(duì)稱加密B.僅非對(duì)稱加密C.對(duì)稱加密與非對(duì)稱加密結(jié)合D.哈希算法答案：C20.以下哪項(xiàng)屬于移動(dòng)應(yīng)用（App）的安全風(fēng)險(xiǎn)？A.應(yīng)用權(quán)限濫用B.屏幕分辨率過(guò)低C.電池續(xù)航不足D.操作系統(tǒng)版本過(guò)舊答案：A二、判斷題（每題1分，共15分）1.所有網(wǎng)絡(luò)攻擊都需要利用系統(tǒng)漏洞。（）答案：×（社會(huì)工程學(xué)攻擊不依賴技術(shù)漏洞）2.關(guān)閉防火墻可以提高網(wǎng)絡(luò)訪問(wèn)速度，因此企業(yè)內(nèi)網(wǎng)無(wú)需部署防火墻。（）答案：×（防火墻是內(nèi)網(wǎng)安全的基礎(chǔ)防護(hù)手段）3.微信、支付寶等應(yīng)用的“記住密碼”功能會(huì)將密碼明文存儲(chǔ)在本地，因此不安全。（）答案：×（通常采用加密存儲(chǔ)或令牌機(jī)制）4.區(qū)塊鏈的“挖礦”過(guò)程本質(zhì)是通過(guò)計(jì)算哈希值競(jìng)爭(zhēng)記賬權(quán)。（）答案：√5.釣魚郵件的發(fā)件人地址一定是偽造的。（）答案：√6.操作系統(tǒng)的安全補(bǔ)丁可以隨意推遲安裝，不會(huì)影響安全性。（）答案：×（漏洞可能被攻擊者利用）7.數(shù)據(jù)脫敏是指對(duì)敏感信息進(jìn)行變形處理，使其無(wú)法直接識(shí)別特定個(gè)體。（）答案：√8.無(wú)線局域網(wǎng)（WLAN）使用WEP協(xié)議比WPA2協(xié)議更安全。（）答案：×（WEP存在嚴(yán)重加密缺陷）9.手機(jī)開(kāi)啟“開(kāi)發(fā)者模式”不會(huì)增加安全風(fēng)險(xiǎn)。（）答案：×（可能允許未授權(quán)調(diào)試或安裝惡意應(yīng)用）10.云計(jì)算環(huán)境中，用戶數(shù)據(jù)的所有權(quán)歸云服務(wù)提供商所有。（）答案：×（所有權(quán)仍屬用戶）11.僵尸網(wǎng)絡(luò)（Botnet）的核心是通過(guò)控制大量聯(lián)網(wǎng)設(shè)備發(fā)起協(xié)同攻擊。（）答案：√12.生物識(shí)別（如指紋、人臉）絕對(duì)安全，不會(huì)被偽造。（）答案：×（存在復(fù)制或欺騙攻擊風(fēng)險(xiǎn)）13.《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。（）答案：√14.物聯(lián)網(wǎng)設(shè)備由于資源受限，無(wú)法安裝殺毒軟件，因此無(wú)需考慮安全配置。（）答案：×（需通過(guò)強(qiáng)密碼、固件更新等方式防護(hù)）15.數(shù)字簽名的作用是驗(yàn)證數(shù)據(jù)完整性和發(fā)送方身份，無(wú)法防止抵賴。（）答案：×（數(shù)字簽名可防止抵賴）三、填空題（每題2分，共20分）1.常見(jiàn)的DDoS攻擊防護(hù)技術(shù)包括流量清洗、黑洞路由和______。答案：速率限制（或“負(fù)載均衡”）2.密碼學(xué)中，______算法用于將任意長(zhǎng)度的消息壓縮為固定長(zhǎng)度的摘要，常見(jiàn)算法有SHA-256。答案：哈希（或“散列”）3.網(wǎng)絡(luò)安全領(lǐng)域的“CIA三元組”指的是機(jī)密性、完整性和______。答案：可用性4.釣魚攻擊的常見(jiàn)形式包括郵件釣魚、______和二維碼釣魚。答案：短信釣魚（或“網(wǎng)頁(yè)釣魚”）5.操作系統(tǒng)的安全加固措施通常包括關(guān)閉不必要的服務(wù)、安裝安全補(bǔ)丁和______。答案：設(shè)置強(qiáng)密碼（或“啟用防火墻”）6.根據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全，這些措施包括技術(shù)措施和______措施。答案：管理7.無(wú)線局域網(wǎng)中，______協(xié)議通過(guò)WPA3替代了舊版協(xié)議，增強(qiáng)了加密強(qiáng)度。答案：Wi-Fi保護(hù)訪問(wèn)（或“WPA”）8.緩沖區(qū)溢出攻擊的原理是向程序的緩沖區(qū)寫入超出其容量的數(shù)據(jù)，導(dǎo)致______被覆蓋，從而執(zhí)行惡意代碼。答案：返回地址（或“內(nèi)存指針”）9.云安全中的“零信任”模型核心原則是______，即默認(rèn)不信任任何內(nèi)部或外部的設(shè)備或用戶。答案：永不信任，始終驗(yàn)證10.移動(dòng)應(yīng)用安全測(cè)試中，______測(cè)試用于檢測(cè)應(yīng)用是否存在未授權(quán)的數(shù)據(jù)訪問(wèn)漏洞，如越權(quán)讀取其他應(yīng)用數(shù)據(jù)。答案：數(shù)據(jù)存儲(chǔ)（或“權(quán)限”）四、簡(jiǎn)答題（每題5分，共25分）1.請(qǐng)簡(jiǎn)述SQL注入攻擊的原理及防范措施。答案：原理：攻擊者通過(guò)在Web應(yīng)用的輸入?yún)?shù)中插入惡意SQL代碼，使后端數(shù)據(jù)庫(kù)執(zhí)行非預(yù)期的查詢，從而獲取、修改或刪除數(shù)據(jù)。例如，輸入用戶名時(shí)提交“'OR'1'='1”，導(dǎo)致SQL語(yǔ)句變?yōu)椤癝ELECTFROMusersWHEREusername=''OR'1'='1'”，繞過(guò)身份驗(yàn)證。防范措施：①使用預(yù)編譯語(yǔ)句（PreparedStatement）或ORM框架，參數(shù)化查詢，避免直接拼接用戶輸入；②對(duì)用戶輸入進(jìn)行嚴(yán)格的類型檢查和轉(zhuǎn)義處理（如轉(zhuǎn)義單引號(hào)）；③限制數(shù)據(jù)庫(kù)用戶權(quán)限，避免使用具有高權(quán)限的數(shù)據(jù)庫(kù)賬號(hào)連接應(yīng)用；④定期對(duì)Web應(yīng)用進(jìn)行安全測(cè)試（如SQL注入檢測(cè)工具掃描）；⑤關(guān)閉數(shù)據(jù)庫(kù)錯(cuò)誤信息的前端顯示，防止攻擊者獲取數(shù)據(jù)庫(kù)結(jié)構(gòu)信息。2.請(qǐng)說(shuō)明SSL/TLS協(xié)議的作用及握手過(guò)程的主要步驟。答案：作用：SSL（安全套接層）/TLS（傳輸層安全）是用于在客戶端和服務(wù)器之間建立安全通信的協(xié)議，提供數(shù)據(jù)加密、身份驗(yàn)證和完整性校驗(yàn)，防止中間人攻擊、數(shù)據(jù)泄露或篡改。握手過(guò)程主要步驟：①客戶端向服務(wù)器發(fā)送“ClientHello”消息，包含支持的TLS版本、加密套件列表和隨機(jī)數(shù)；②服務(wù)器響應(yīng)“ServerHello”，選擇具體的TLS版本和加密套件，并發(fā)送服務(wù)器證書（含公鑰）及隨機(jī)數(shù)；③客戶端驗(yàn)證服務(wù)器證書的有效性（如CA簽名、域名匹配），生成預(yù)主密鑰（Pre-MasterSecret）并用服務(wù)器公鑰加密后發(fā)送；④服務(wù)器使用私鑰解密預(yù)主密鑰，雙方基于預(yù)主密鑰和之前的隨機(jī)數(shù)生成主密鑰（MasterSecret）；⑤客戶端和服務(wù)器分別發(fā)送“ChangeCipherSpec”消息，通知對(duì)方后續(xù)通信將使用主密鑰加密；⑥雙方發(fā)送“Finished”消息，驗(yàn)證握手過(guò)程的完整性，完成握手。3.列舉三種常見(jiàn)的社會(huì)工程學(xué)攻擊手段，并說(shuō)明其防范方法。答案：常見(jiàn)手段：①釣魚郵件：偽裝成可信機(jī)構(gòu)（如銀行、電商）發(fā)送郵件，誘導(dǎo)用戶點(diǎn)擊惡意鏈接或填寫敏感信息；②冒充客服：攻擊者通過(guò)電話或聊天工具自稱官方客服，以“賬戶異?！薄坝唵问А睘橛伤饕?yàn)證碼或密碼；③物理滲透：攻擊者通過(guò)混入公司辦公區(qū)域，竊取未鎖定的電腦或紙質(zhì)文件。防范方法：①提高安全意識(shí)，不輕易點(diǎn)擊陌生鏈接或下載附件，驗(yàn)證郵件發(fā)件人地址和域名真實(shí)性；②官方客服不會(huì)主動(dòng)索要驗(yàn)證碼、密碼等敏感信息，遇到此類請(qǐng)求應(yīng)通過(guò)官方渠道核實(shí)；③加強(qiáng)物理安全管理（如電腦自動(dòng)鎖屏、重要文件加密存儲(chǔ)），限制陌生人進(jìn)入辦公區(qū)域；④定期開(kāi)展員工安全培訓(xùn)，普及社會(huì)工程學(xué)攻擊的常見(jiàn)套路。4.簡(jiǎn)述《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)分類分級(jí)保護(hù)的要求及企業(yè)的應(yīng)對(duì)措施。答案：要求：《數(shù)據(jù)安全法》規(guī)定，國(guó)家根據(jù)數(shù)據(jù)的重要程度和一旦受損可能造成的危害，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，實(shí)行分類分級(jí)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和數(shù)據(jù)處理者需制定數(shù)據(jù)分類分級(jí)制度，明確保護(hù)范圍和措施。企業(yè)應(yīng)對(duì)措施：①開(kāi)展數(shù)據(jù)資產(chǎn)梳理，識(shí)別業(yè)務(wù)涉及的各類數(shù)據(jù)（如用戶信息、交易記錄、研發(fā)數(shù)據(jù)）；②根據(jù)數(shù)據(jù)的敏感性和影響范圍，制定內(nèi)部分類分級(jí)標(biāo)準(zhǔn)（如“公開(kāi)級(jí)”“內(nèi)部級(jí)”“機(jī)密級(jí)”）；③對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)采取額外保護(hù)措施，如加密存儲(chǔ)、訪問(wèn)控制、審計(jì)日志；④建立數(shù)據(jù)安全管理制度，明確數(shù)據(jù)收集、存儲(chǔ)、傳輸、刪除的流程和責(zé)任；⑤定期進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，及時(shí)更新保護(hù)策略。5.請(qǐng)分析勒索軟件的攻擊流程及被攻擊后的應(yīng)急處置步驟。答案：攻擊流程：①滲透階段：通過(guò)釣魚郵件、漏洞利用（如永恒之藍(lán)）、弱密碼爆破等方式入侵目標(biāo)設(shè)備；②掃描階段：在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，掃描可訪問(wèn)的文件服務(wù)器、數(shù)據(jù)庫(kù)等；③加密階段：使用AES等對(duì)稱加密算法對(duì)重要文件（如文檔、數(shù)據(jù)庫(kù)）進(jìn)行加密，生成勒索提示文件；④勒索階段：攻擊者要求受害者支付比特幣等虛擬貨幣作為贖金，提供解密工具或密鑰。應(yīng)急處置步驟：①立即隔離受感染設(shè)備，斷開(kāi)網(wǎng)絡(luò)連接（包括物理網(wǎng)絡(luò)和無(wú)線連接），防止攻擊擴(kuò)散；②關(guān)閉受影響的服務(wù)器和應(yīng)用，避免更多數(shù)據(jù)被加密；③檢查最近的系統(tǒng)和數(shù)據(jù)備份，使用未感染的備份恢復(fù)數(shù)據(jù)（優(yōu)先選擇離線備份或空氣隔離的備份）；④不要輕易支付贖金（無(wú)法保證攻擊者會(huì)提供有效密鑰，且可能鼓勵(lì)更多攻擊）；⑤收集攻擊證據(jù)（如勒索信息、日志、樣本文件），向公安機(jī)關(guān)報(bào)案并聯(lián)系專業(yè)安全團(tuán)隊(duì)分析；⑥修復(fù)系統(tǒng)漏洞（安裝補(bǔ)?。?、重置弱密碼、升級(jí)安全防護(hù)措施（如部署EDR端點(diǎn)檢測(cè)響應(yīng)系統(tǒng)），防止再次攻擊。五、案例分析題（每題10分，共20分）案例1：某高校教務(wù)系統(tǒng)近期頻繁出現(xiàn)用戶登錄異常，部分學(xué)生賬戶被盜，成績(jī)被篡改。經(jīng)技術(shù)人員排查，發(fā)現(xiàn)登錄頁(yè)面存在以下問(wèn)題：（1）用戶輸入的用戶名和密碼直接拼接成SQL查詢語(yǔ)句（如：SELECTFROMusersWHEREusername='{user}'ANDpassword='{pass}'）；（2）登錄成功后，會(huì)話ID（SessionID）通過(guò)URL參數(shù)傳遞（如：/index.php?sessionid=abc123）；（3）系統(tǒng)日志僅記錄了用戶登錄成功的時(shí)間，未記錄登錄IP和失敗嘗試次數(shù)。問(wèn)題：請(qǐng)分析該教務(wù)系統(tǒng)存在的安全漏洞，并提出整改建議。答案：存在的安全漏洞：①SQL注入漏洞：用戶輸入未做參數(shù)化處理，直接拼接SQL語(yǔ)句，攻擊者可通過(guò)輸入“'OR'1'='1”等惡意字符繞過(guò)密碼驗(yàn)證；②會(huì)話管理不安全：會(huì)話ID通過(guò)URL傳遞，易被中間人截獲（如通過(guò)瀏覽器歷史記錄、日志泄露），導(dǎo)致會(huì)話劫持；③日志記錄不完整：未記錄登錄IP和失敗次數(shù)，無(wú)法追溯攻擊來(lái)源或檢測(cè)暴力破解行為；④缺乏登錄失敗限制：未對(duì)連續(xù)錯(cuò)誤登錄進(jìn)行鎖定，攻擊者可通過(guò)暴力破解猜測(cè)密碼。整改建議：①修復(fù)SQL注入漏洞：使用預(yù)編譯語(yǔ)句（如PDO預(yù)處理）或ORM框架，將用戶輸入作為參數(shù)傳遞，避免直接拼接；②強(qiáng)化會(huì)話管理：將會(huì)話ID存儲(chǔ)在HTTPCookie中，并設(shè)置“HttpOnly”和“Secure”屬性，防止XSS竊??；③完善日志記錄：記錄登錄IP、用戶代理（User-Agent）、成功/失敗時(shí)間及次數(shù)，定期審計(jì)日志；④實(shí)施登錄限制：設(shè)置連續(xù)5次錯(cuò)誤登錄后鎖定賬戶30分鐘，或要求輸入驗(yàn)證碼；⑤對(duì)敏感操作（如成績(jī)修改）增加二次驗(yàn)證（如短信驗(yàn)證碼、動(dòng)態(tài)令牌）；⑥定期使用安全工具（如OWASPZAP）掃描系統(tǒng)，修復(fù)潛在漏洞。案例2：某企業(yè)財(cái)務(wù)部門員工張某收到一封主題為“2025年稅務(wù)申報(bào)通知”的郵件，發(fā)件人顯