2025年國家網(wǎng)絡(luò)安全知識競賽題庫含答案一、單項選擇題（共15題）1.我國《數(shù)據(jù)安全法》正式施行的日期是？A.2021年6月1日B.2021年9月1日C.2022年1月1日D.2022年6月1日答案：B

解析：《中華人民共和國數(shù)據(jù)安全法》于2021年6月10日由全國人大常委會通過，自2021年9月1日起正式施行。2.以下哪種攻擊方式通過大量請求耗盡目標(biāo)服務(wù)器資源？A.釣魚攻擊B.DDoS攻擊C.SQL注入D.跨站腳本（XSS）答案：B

解析：DDoS（分布式拒絕服務(wù)）攻擊通過控制大量傀儡設(shè)備向目標(biāo)發(fā)送海量請求，導(dǎo)致服務(wù)器資源耗盡，無法正常提供服務(wù)。3.根據(jù)《個人信息保護法》，處理敏感個人信息時需取得個人的？A.口頭同意B.書面同意C.單獨同意D.默示同意答案：C

解析：《個人信息保護法》第二十九條規(guī)定，處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。4.以下哪項是密碼設(shè)置的最佳實踐？A.使用“123456”等簡單數(shù)字B.定期更換不同賬號的密碼C.所有賬號使用同一密碼D.密碼包含姓名、生日等個人信息答案：B

解析：定期更換密碼（尤其是不同賬號使用不同密碼）可降低因單一密碼泄露導(dǎo)致多賬號被盜的風(fēng)險；簡單密碼、重復(fù)密碼或包含個人信息的密碼安全性極低。5.物聯(lián)網(wǎng)（IoT）設(shè)備的主要安全風(fēng)險不包括？A.默認(rèn)密碼未修改B.固件更新不及時C.支持多因素認(rèn)證D.缺乏數(shù)據(jù)加密傳輸答案：C

解析：支持多因素認(rèn)證是提升設(shè)備安全性的措施，而非風(fēng)險；默認(rèn)密碼、固件漏洞和未加密傳輸均為IoT設(shè)備常見安全隱患。6.以下哪種技術(shù)用于驗證用戶身份的“是什么”因素？A.指紋識別B.密碼C.手機驗證碼D.智能卡答案：A

解析：身份驗證的三大因素為“知道什么”（如密碼）、“擁有什么”（如智能卡）、“是什么”（如生物特征，指紋識別屬于此類）。7.《網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或委托第三方每年至少進行幾次網(wǎng)絡(luò)安全檢測評估？A.1次B.2次C.3次D.4次答案：A

解析：《網(wǎng)絡(luò)安全法》第三十八條明確要求，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估。8.以下哪種行為屬于合法的數(shù)據(jù)跨境流動？A.未經(jīng)用戶同意將個人信息傳輸至境外B.通過國家網(wǎng)信部門組織的安全評估后傳輸C.將重要數(shù)據(jù)直接提供給境外機構(gòu)D.利用虛擬專用網(wǎng)絡(luò)（VPN）繞過監(jiān)管傳輸數(shù)據(jù)答案：B

解析：根據(jù)《數(shù)據(jù)安全法》和《個人信息保護法》，數(shù)據(jù)跨境流動需通過安全評估、認(rèn)證或簽訂標(biāo)準(zhǔn)合同等合法途徑；未經(jīng)同意、直接傳輸或繞過監(jiān)管均屬違法。9.勒索軟件的主要攻擊目標(biāo)是？A.加密用戶文件并索要贖金B(yǎng).竊取用戶隱私信息C.監(jiān)控用戶網(wǎng)絡(luò)行為D.破壞用戶硬件設(shè)備答案：A

解析：勒索軟件（Ransomware）通過加密用戶文件或系統(tǒng)，迫使受害者支付贖金以獲取解密密鑰，核心目的是經(jīng)濟勒索。10.以下哪項是防范社會工程學(xué)攻擊的有效措施？A.隨意點擊郵件中的鏈接B.核實來電者身份后再提供信息C.向陌生人透露賬號密碼D.不設(shè)置屏幕保護密碼答案：B

解析：社會工程學(xué)攻擊依賴欺騙手段獲取信任，核實身份、拒絕敏感信息泄露是關(guān)鍵防范措施；點擊鏈接、透露密碼或忽視屏幕鎖會增加風(fēng)險。11.我國網(wǎng)絡(luò)安全等級保護制度（等保2.0）的核心是？A.分等級保護、動態(tài)調(diào)整B.僅保護關(guān)鍵信息基礎(chǔ)設(shè)施C.不涉及云計算和物聯(lián)網(wǎng)D.由企業(yè)自主決定保護措施答案：A

解析：等保2.0覆蓋云計算、物聯(lián)網(wǎng)等新技術(shù)，強調(diào)“分等級保護、動態(tài)調(diào)整”，要求根據(jù)信息系統(tǒng)重要程度采取差異化保護措施。12.以下哪種加密算法屬于對稱加密？A.RSAB.AESC.ECCD.SHA-256答案：B

解析：對稱加密使用相同密鑰加密和解密，AES（高級加密標(biāo)準(zhǔn)）是典型對稱算法；RSA、ECC為非對稱加密，SHA-256為哈希算法。13.發(fā)現(xiàn)個人信息泄露后，用戶應(yīng)首先？A.聯(lián)系平臺要求刪除或更正B.向公安機關(guān)報案C.在社交平臺公開泄露信息D.更換所有賬號密碼答案：A

解析：根據(jù)《個人信息保護法》，用戶有權(quán)要求個人信息處理者刪除或更正泄露信息，后續(xù)可根據(jù)情況報案或采取其他措施。14.以下哪項不屬于網(wǎng)絡(luò)安全“三同步”原則？A.同步規(guī)劃B.同步建設(shè)C.同步使用D.同步淘汰答案：D

解析：網(wǎng)絡(luò)安全“三同步”原則指信息系統(tǒng)的規(guī)劃、建設(shè)、使用需與網(wǎng)絡(luò)安全措施同步進行，不包括“同步淘汰”。15.以下哪種攻擊利用了操作系統(tǒng)或軟件的未公開漏洞？A.零日攻擊（Zero-dayAttack）B.暴力破解C.中間人攻擊（MITM）D.拒絕服務(wù)攻擊（DoS）答案：A

解析：零日攻擊針對未被修復(fù)的漏洞（0day漏洞），攻擊者在官方補丁發(fā)布前利用漏洞實施攻擊，危害性極大。二、填空題（共10題）1.網(wǎng)絡(luò)安全等級保護制度中，信息系統(tǒng)的安全保護等級分為____級。答案：五

解析：根據(jù)《網(wǎng)絡(luò)安全等級保護條例》，等級保護分為五個級別，從第一級（用戶自主保護）到第五級（?？乇Ｗo）。2.密碼學(xué)中，“哈希函數(shù)”的主要作用是____。答案：生成數(shù)據(jù)摘要（或驗證數(shù)據(jù)完整性）

解析：哈希函數(shù)將任意長度數(shù)據(jù)轉(zhuǎn)換為固定長度摘要，用于驗證數(shù)據(jù)是否被篡改（如文件下載后的MD5校驗）。3.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定應(yīng)當(dāng)堅持____、動態(tài)調(diào)整的原則。答案：最小必要

解析：條例強調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定需遵循“最小必要”原則，避免過度擴大范圍。4.物聯(lián)網(wǎng)設(shè)備的“固件”是指存儲在____中的軟件程序。答案：硬件芯片（或非易失性存儲器）

解析：固件通常存儲在設(shè)備的只讀存儲器（ROM）或閃存中，負(fù)責(zé)控制硬件基本功能。5.多因素認(rèn)證（MFA）至少需要結(jié)合____種不同的身份驗證因素。答案：兩

解析：多因素認(rèn)證需結(jié)合“知道什么”（密碼）、“擁有什么”（令牌）、“是什么”（生物特征）中的至少兩種。6.數(shù)據(jù)分類分級的核心目的是____。答案：實現(xiàn)差異化保護（或根據(jù)數(shù)據(jù)重要性采取不同安全措施）

解析：通過分類（如公共數(shù)據(jù)、敏感數(shù)據(jù)）和分級（如一般、重要、核心），針對性提升保護效率。7.防范SQL注入攻擊的關(guān)鍵措施是____。答案：使用參數(shù)化查詢（或預(yù)編譯語句）

解析：參數(shù)化查詢將用戶輸入與SQL語句分離，避免惡意代碼被執(zhí)行。8.我國網(wǎng)絡(luò)安全領(lǐng)域的最高領(lǐng)導(dǎo)和決策機構(gòu)是____。答案：中央網(wǎng)絡(luò)安全和信息化委員會（或中央網(wǎng)信委）

解析：中央網(wǎng)信委負(fù)責(zé)統(tǒng)籌協(xié)調(diào)全國網(wǎng)絡(luò)安全和信息化工作。9.移動應(yīng)用（App）收集用戶信息時，應(yīng)遵循____原則，僅收集實現(xiàn)功能必需的信息。答案：最小必要

解析：《個人信息保護法》要求處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并限制在對實現(xiàn)目的充分必要的最小范圍內(nèi)。10.僵尸網(wǎng)絡(luò)（Botnet）的核心控制機制是____。答案：命令與控制服務(wù)器（C2服務(wù)器）

解析：攻擊者通過C2服務(wù)器遠(yuǎn)程控制被感染的“僵尸主機”，發(fā)起DDoS等攻擊。三、判斷題（共10題）1.釣魚郵件的常見特征包括使用官方機構(gòu)名義發(fā)送、包含可疑鏈接或附件。()答案：√

解析：釣魚郵件通常通過仿冒銀行、政府等機構(gòu)名義，誘導(dǎo)用戶點擊惡意鏈接或下載附件，是社會工程學(xué)攻擊的典型手段。2.所有個人信息的處理都需要取得用戶同意。()答案：×

解析：根據(jù)《個人信息保護法》，為履行法定職責(zé)或義務(wù)、應(yīng)對公共衛(wèi)生事件等情形，可在無需同意的情況下處理個人信息。3.弱密碼的主要風(fēng)險是容易被暴力破解工具猜測。()答案：√

解析：弱密碼（如短數(shù)字、簡單字母組合）可通過暴力破解（枚舉所有可能組合）快速獲取，威脅賬號安全。4.公共Wi-Fi環(huán)境下使用HTTPS協(xié)議訪問網(wǎng)站可以完全避免信息泄露。()答案：×

解析：HTTPS加密傳輸數(shù)據(jù)，但攻擊者仍可能通過DNS劫持、釣魚熱點等方式誘導(dǎo)用戶訪問偽造網(wǎng)站，需結(jié)合其他措施（如驗證網(wǎng)站證書）提升安全。5.企業(yè)可以將員工的生物信息（如指紋、人臉）用于考勤，無需告知員工。()答案：×

解析：《個人信息保護法》規(guī)定，處理生物識別等敏感個人信息需向個人告知處理目的、方式和范圍，并取得單獨同意。6.關(guān)閉操作系統(tǒng)的自動更新功能可以避免因更新導(dǎo)致的系統(tǒng)崩潰，因此是安全的。()答案：×

解析：自動更新通常包含安全補丁，關(guān)閉更新會導(dǎo)致系統(tǒng)暴露于已知漏洞中，增加被攻擊風(fēng)險。7.區(qū)塊鏈技術(shù)的“不可篡改性”意味著所有上鏈數(shù)據(jù)都無法被修改。()答案：×

解析：區(qū)塊鏈通過哈希鏈接和共識機制保證數(shù)據(jù)難以篡改，但在私鏈或聯(lián)盟鏈中，經(jīng)授權(quán)節(jié)點仍可修改數(shù)據(jù)（需符合預(yù)設(shè)規(guī)則）。8.手機“位置信息”屬于敏感個人信息，處理時需取得用戶單獨同意。()答案：√

解析：《個人信息保護法》將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等列為敏感個人信息，處理時需單獨同意。9.網(wǎng)絡(luò)安全事件發(fā)生后，運營者只需向本企業(yè)內(nèi)部報告，無需向監(jiān)管部門報告。()答案：×

解析：《網(wǎng)絡(luò)安全法》規(guī)定，發(fā)生網(wǎng)絡(luò)安全事件時，運營者應(yīng)立即啟動應(yīng)急預(yù)案，采取補救措施，并按照規(guī)定向有關(guān)主管部門報告。10.兒童個人信息的處理需取得其父母或其他監(jiān)護人的同意。()答案：√

解析：《個人信息保護法》第三十一條明確，處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得其父母或其他監(jiān)護人的同意。四、簡答題（共5題）1.請簡述“APT攻擊”的主要特點。(1).針對性強：攻擊目標(biāo)通常為特定組織（如政府、科研機構(gòu)），經(jīng)過長期預(yù)謀。(2).隱蔽性高：使用零日漏洞、定制化惡意軟件等手段，長期潛伏不易被發(fā)現(xiàn)。(3).多階段滲透：從信息收集、漏洞利用到數(shù)據(jù)竊取，分階段逐步推進。(4).目的明確：以竊取敏感數(shù)據(jù)（如知識產(chǎn)權(quán)、機密文件）為主要目標(biāo)，而非破壞系統(tǒng)。答案：見解析內(nèi)容2.《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)運營者的主要義務(wù)有哪些？(1).制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人。(2).采取技術(shù)措施防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全的行為。(3).采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并留存相關(guān)記錄（不少于六個月）。(4).對用戶進行真實身份信息認(rèn)證（如“實名制”）。(5).在發(fā)生網(wǎng)絡(luò)安全事件時，立即啟動應(yīng)急預(yù)案并向有關(guān)主管部門報告。答案：見解析內(nèi)容3.簡述防范勒索軟件的主要措施。(1).定期備份重要數(shù)據(jù)：本地與離線（如移動硬盤、云存儲）備份結(jié)合，確保數(shù)據(jù)可恢復(fù)。(2).及時更新系統(tǒng)和軟件：安裝安全補丁，修復(fù)漏洞（尤其是零日漏洞）。(3).開啟防火墻和殺毒軟件：實時監(jiān)測異常網(wǎng)絡(luò)行為和惡意程序。(4).提高安全意識：不點擊可疑鏈接、不下載未知附件，避免社會工程學(xué)攻擊。(5).限制管理員權(quán)限：減少惡意軟件獲取系統(tǒng)最高控制權(quán)的風(fēng)險。答案：見解析內(nèi)容4.請說明“數(shù)據(jù)脫敏”的常見技術(shù)手段。(1).替換：用虛構(gòu)值替換敏感數(shù)據(jù)（如將“138****1234”替換真實手機號）。(2).掩碼：隱藏部分?jǐn)?shù)據(jù)（如身份證號顯示為“420101********1234”）。(3).泛化：將精確數(shù)據(jù)模糊化（如將“28歲”泛化為“20-30歲”）。(4).加密：對敏感數(shù)據(jù)進行加密處理（如使用AES算法加密銀行卡號）。(5).匿名化：通過數(shù)據(jù)變形使個人信息無法被識別（如刪除姓名、身份證號等