2025年國(guó)家網(wǎng)絡(luò)安全知識(shí)競(jìng)賽題庫(kù)附答案2一、單項(xiàng)選擇題（每題2分，共40分）1.根據(jù)《網(wǎng)絡(luò)安全法》及《數(shù)據(jù)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在數(shù)據(jù)出境時(shí)，應(yīng)當(dāng)通過(guò)（）進(jìn)行安全評(píng)估？A.國(guó)家網(wǎng)信部門(mén)組織B.行業(yè)主管部門(mén)自行C.第三方檢測(cè)機(jī)構(gòu)D.省級(jí)網(wǎng)信部門(mén)備案答案：A2.2024年修訂的《網(wǎng)絡(luò)安全審查辦法》明確，掌握超過(guò)（）用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查？A.100萬(wàn)B.500萬(wàn)C.1000萬(wàn)D.1億答案：C3.以下哪種行為不屬于《個(gè)人信息保護(hù)法》規(guī)定的“告知-同意”原則的例外情形？A.為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件B.為履行法定職責(zé)或法定義務(wù)C.為個(gè)人信息主體自行公開(kāi)的信息D.為提高服務(wù)質(zhì)量，對(duì)用戶行為進(jìn)行個(gè)性化分析答案：D4.物聯(lián)網(wǎng)設(shè)備（如智能攝像頭）的默認(rèn)密碼未修改，最可能導(dǎo)致的安全風(fēng)險(xiǎn)是（）？A.設(shè)備被遠(yuǎn)程控制，成為僵尸網(wǎng)絡(luò)節(jié)點(diǎn)B.設(shè)備硬件損壞C.設(shè)備運(yùn)行速度變慢D.設(shè)備數(shù)據(jù)存儲(chǔ)容量減少答案：A5.某企業(yè)員工通過(guò)郵件接收了一份“財(cái)務(wù)報(bào)表更新”的附件，打開(kāi)后發(fā)現(xiàn)是惡意軟件，這種攻擊方式屬于（）？A.釣魚(yú)攻擊B.拒絕服務(wù)攻擊（DDoS）C.中間人攻擊（MITM）D.緩沖區(qū)溢出攻擊答案：A6.依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》，三級(jí)信息系統(tǒng)的安全保護(hù)要求中，“安全通信網(wǎng)絡(luò)”層面需實(shí)現(xiàn)（）？A.網(wǎng)絡(luò)鏈路冗余設(shè)計(jì)B.僅開(kāi)放必要端口C.流量單向傳輸D.基于標(biāo)識(shí)的訪問(wèn)控制答案：A7.以下哪種加密算法屬于對(duì)稱加密？A.RSAB.ECC（橢圓曲線加密）C.AESD.SHA-256答案：C8.2025年新發(fā)布的《生成式人工智能服務(wù)安全基本要求》規(guī)定，生成式AI服務(wù)提供者應(yīng)當(dāng)對(duì)生成內(nèi)容進(jìn)行（），防止生成虛假信息或違法內(nèi)容？A.實(shí)時(shí)審計(jì)B.人工審核C.水印標(biāo)注D.風(fēng)險(xiǎn)評(píng)估答案：D9.某單位發(fā)現(xiàn)其辦公系統(tǒng)存在SQL注入漏洞，最直接的修復(fù)措施是（）？A.安裝殺毒軟件B.對(duì)輸入數(shù)據(jù)進(jìn)行參數(shù)化處理C.關(guān)閉系統(tǒng)對(duì)外服務(wù)端口D.升級(jí)服務(wù)器硬件配置答案：B10.工業(yè)控制系統(tǒng)（ICS）與傳統(tǒng)IT系統(tǒng)的核心安全差異在于（）？A.更注重可用性，容忍部分功能性降級(jí)B.僅需防范外部攻擊，無(wú)需考慮內(nèi)部威脅C.數(shù)據(jù)加密要求更低D.網(wǎng)絡(luò)架構(gòu)更簡(jiǎn)單答案：A11.根據(jù)《數(shù)據(jù)安全法》，國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，數(shù)據(jù)分類分級(jí)的依據(jù)是（）？A.數(shù)據(jù)的產(chǎn)生時(shí)間與存儲(chǔ)介質(zhì)B.數(shù)據(jù)的重要程度、對(duì)國(guó)家安全、公共利益或個(gè)人/組織合法權(quán)益的影響程度C.數(shù)據(jù)的格式（如文本、圖片、視頻）D.數(shù)據(jù)的傳輸方式（有線或無(wú)線）答案：B12.以下哪種行為符合“最小必要”原則？A.電商平臺(tái)收集用戶姓名、手機(jī)號(hào)、收貨地址用于訂單配送B.社交軟件要求用戶提供身份證號(hào)以注冊(cè)賬號(hào)C.醫(yī)療APP要求讀取用戶通訊錄權(quán)限用于健康提醒D.銀行APP要求訪問(wèn)用戶位置信息以“提升服務(wù)體驗(yàn)”答案：A13.零信任架構(gòu)的核心思想是（）？A.所有訪問(wèn)請(qǐng)求默認(rèn)不信任，需持續(xù)驗(yàn)證身份與環(huán)境安全B.僅信任內(nèi)部網(wǎng)絡(luò)，拒絕外部訪問(wèn)C.依賴防火墻實(shí)現(xiàn)邊界防護(hù)D.一次性身份驗(yàn)證后無(wú)需再次驗(yàn)證答案：A14.某政務(wù)云平臺(tái)發(fā)生大規(guī)模數(shù)據(jù)泄露，經(jīng)調(diào)查是由于管理員賬號(hào)被盜用，最可能的安全防護(hù)缺失是（）？A.未部署入侵檢測(cè)系統(tǒng)（IDS）B.未實(shí)施多因素認(rèn)證（MFA）C.未進(jìn)行數(shù)據(jù)加密存儲(chǔ)D.未定期備份數(shù)據(jù)答案：B15.區(qū)塊鏈技術(shù)中，“51%攻擊”主要威脅的是（）？A.交易的不可篡改性B.節(jié)點(diǎn)的計(jì)算能力C.智能合約的執(zhí)行效率D.數(shù)字錢(qián)包的私鑰安全答案：A16.依據(jù)《網(wǎng)絡(luò)安全審查辦法》，網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估的風(fēng)險(xiǎn)不包括（）？A.產(chǎn)品和服務(wù)使用后對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施可用性的影響B(tài).產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的影響C.產(chǎn)品和服務(wù)收集、處理數(shù)據(jù)對(duì)國(guó)家安全的影響D.產(chǎn)品和服務(wù)的市場(chǎng)占有率對(duì)行業(yè)競(jìng)爭(zhēng)的影響答案：D17.以下哪種行為屬于《網(wǎng)絡(luò)安全法》禁止的“危害網(wǎng)絡(luò)安全”行為？A.對(duì)自己所有的網(wǎng)站進(jìn)行滲透測(cè)試B.向網(wǎng)絡(luò)運(yùn)營(yíng)者報(bào)告其系統(tǒng)漏洞C.制作、傳播計(jì)算機(jī)病毒D.為提高網(wǎng)絡(luò)性能，對(duì)流量進(jìn)行合理整形答案：C18.移動(dòng)應(yīng)用（App）違反《個(gè)人信息保護(hù)法》的常見(jiàn)行為不包括（）？A.未公開(kāi)隱私政策B.收集與服務(wù)無(wú)關(guān)的個(gè)人信息C.經(jīng)用戶同意后共享個(gè)人信息D.超范圍讀取設(shè)備傳感器數(shù)據(jù)答案：C19.某企業(yè)使用云服務(wù)存儲(chǔ)客戶數(shù)據(jù)，根據(jù)“數(shù)據(jù)主權(quán)”原則，數(shù)據(jù)的所有權(quán)屬于（）？A.云服務(wù)提供商B.數(shù)據(jù)產(chǎn)生方（企業(yè)或個(gè)人）C.國(guó)家D.數(shù)據(jù)存儲(chǔ)地所在國(guó)答案：B20.2025年，某高校實(shí)驗(yàn)室研發(fā)的AI模型因訓(xùn)練數(shù)據(jù)包含大量個(gè)人敏感信息被查處，其違反的主要法規(guī)是（）？A.《網(wǎng)絡(luò)安全法》B.《數(shù)據(jù)安全法》C.《密碼法》D.《反不正當(dāng)競(jìng)爭(zhēng)法》答案：B二、判斷題（每題1分，共15分）1.公共WiFi環(huán)境下，使用HTTPS協(xié)議訪問(wèn)網(wǎng)站可以完全避免信息泄露。（）答案：×（HTTPS可加密傳輸，但無(wú)法防范釣魚(yú)WiFi偽造網(wǎng)站或中間人攻擊）2.員工將公司內(nèi)部文檔拍照發(fā)送至個(gè)人微信，屬于數(shù)據(jù)泄露行為。（）答案：√（涉及敏感信息非授權(quán)傳輸）3.為提升效率，企業(yè)可以將員工的生物識(shí)別信息（如指紋、人臉）明文存儲(chǔ)。（）答案：×（《個(gè)人信息保護(hù)法》要求生物識(shí)別信息需加密存儲(chǔ)）4.網(wǎng)絡(luò)安全等級(jí)保護(hù)中，一級(jí)系統(tǒng)的安全防護(hù)要求高于二級(jí)系統(tǒng)。（）答案：×（等級(jí)越高，要求越嚴(yán)格，二級(jí)高于一級(jí)）5.釣魚(yú)郵件的發(fā)件人地址可能顯示為正規(guī)機(jī)構(gòu)，但實(shí)際為偽造。（）答案：√（釣魚(yú)攻擊常偽造可信來(lái)源）6.關(guān)閉手機(jī)的“位置權(quán)限”后，APP無(wú)法通過(guò)其他方式獲取用戶位置信息。（）答案：×（可通過(guò)IP地址、基站定位等間接獲取）7.企業(yè)只需對(duì)用戶個(gè)人信息進(jìn)行保護(hù)，對(duì)內(nèi)部業(yè)務(wù)數(shù)據(jù)無(wú)需分類分級(jí)。（）答案：×（《數(shù)據(jù)安全法》要求所有重要數(shù)據(jù)均需分類分級(jí)保護(hù)）8.區(qū)塊鏈的“去中心化”特性意味著其完全不受監(jiān)管。（）答案：×（各國(guó)已出臺(tái)法規(guī)對(duì)區(qū)塊鏈數(shù)據(jù)和交易進(jìn)行監(jiān)管）9.定期修改密碼可以有效降低賬號(hào)被盜風(fēng)險(xiǎn)，因此密碼無(wú)需設(shè)置復(fù)雜。（）答案：×（需同時(shí)滿足復(fù)雜度和定期更換要求）10.工業(yè)控制系統(tǒng)（ICS）為保障穩(wěn)定性，無(wú)需安裝安全補(bǔ)丁。（）答案：×（需評(píng)估后及時(shí)修復(fù)高危漏洞，避免被攻擊）11.生成式AI服務(wù)提供者可以未經(jīng)用戶同意，將用戶輸入的文本用于模型訓(xùn)練。（）答案：×（需遵守《生成式人工智能服務(wù)管理暫行辦法》的“告知-同意”原則）12.網(wǎng)絡(luò)安全事件發(fā)生后，只需向本單位領(lǐng)導(dǎo)報(bào)告，無(wú)需向監(jiān)管部門(mén)報(bào)備。（）答案：×（《網(wǎng)絡(luò)安全法》要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者需在規(guī)定時(shí)限內(nèi)向行業(yè)主管部門(mén)和網(wǎng)信部門(mén)報(bào)告）13.無(wú)線局域網(wǎng)（WLAN）的WPA3協(xié)議比WPA2更安全，可防范“KRACK”攻擊。（）答案：√（WPA3改進(jìn)了密鑰協(xié)商機(jī)制，修復(fù)了WPA2的部分漏洞）14.企業(yè)購(gòu)買(mǎi)了網(wǎng)絡(luò)安全保險(xiǎn)后，無(wú)需再投入資源加強(qiáng)自身防護(hù)。（）答案：×（保險(xiǎn)是風(fēng)險(xiǎn)轉(zhuǎn)移手段，不能替代基礎(chǔ)防護(hù)）15.未成年人的個(gè)人信息屬于敏感個(gè)人信息，處理時(shí)需取得其父母或其他監(jiān)護(hù)人的同意。（）答案：√（《個(gè)人信息保護(hù)法》第二十九條規(guī)定）三、簡(jiǎn)答題（每題5分，共30分）1.請(qǐng)簡(jiǎn)述《數(shù)據(jù)安全法》中“重要數(shù)據(jù)”的定義及識(shí)別標(biāo)準(zhǔn)。答案：重要數(shù)據(jù)是指一旦泄露、篡改、破壞或非法獲取、非法利用，可能危害國(guó)家安全、公共利益或個(gè)人、組織合法權(quán)益的數(shù)據(jù)。識(shí)別標(biāo)準(zhǔn)包括：對(duì)國(guó)家主權(quán)、安全、發(fā)展利益的影響；對(duì)經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康的影響；對(duì)個(gè)人信息主體權(quán)益的影響程度；數(shù)據(jù)涉及的領(lǐng)域（如國(guó)防、金融、能源、公共衛(wèi)生等關(guān)鍵領(lǐng)域）。2.什么是“APT攻擊”？其主要特點(diǎn)有哪些？答案：APT（高級(jí)持續(xù)性威脅）是指針對(duì)特定目標(biāo)，由專業(yè)團(tuán)隊(duì)長(zhǎng)期策劃、持續(xù)實(shí)施的網(wǎng)絡(luò)攻擊。特點(diǎn)包括：目標(biāo)明確（針對(duì)關(guān)鍵機(jī)構(gòu)或高價(jià)值目標(biāo)）；隱蔽性強(qiáng)（長(zhǎng)期潛伏，不易被常規(guī)防御手段發(fā)現(xiàn)）；技術(shù)復(fù)雜（綜合利用0day漏洞、社會(huì)工程等多種手段）；持續(xù)性（攻擊周期可達(dá)數(shù)月甚至數(shù)年）。3.請(qǐng)說(shuō)明“隱私計(jì)算”的核心目標(biāo)及常見(jiàn)技術(shù)手段。答案：核心目標(biāo)是在不泄露原始數(shù)據(jù)的前提下，實(shí)現(xiàn)跨機(jī)構(gòu)的數(shù)據(jù)協(xié)同計(jì)算與分析。常見(jiàn)技術(shù)手段包括：聯(lián)邦學(xué)習(xí)（各參與方在本地訓(xùn)練模型，僅交換模型參數(shù)）、安全多方計(jì)算（通過(guò)加密協(xié)議在多方間協(xié)同計(jì)算）、可信執(zhí)行環(huán)境（TEE，利用硬件隔離區(qū)域處理數(shù)據(jù)）、同態(tài)加密（在加密數(shù)據(jù)上直接進(jìn)行運(yùn)算）。4.依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》，三級(jí)信息系統(tǒng)的“安全管理中心”需實(shí)現(xiàn)哪些功能？答案：需實(shí)現(xiàn)集中管控功能，包括：安全策略統(tǒng)一管理（如訪問(wèn)控制策略、審計(jì)策略）；安全狀態(tài)集中監(jiān)測(cè)（實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)、主機(jī)、應(yīng)用的安全狀態(tài)）；系統(tǒng)日志集中審計(jì)（收集并分析各設(shè)備日志，發(fā)現(xiàn)異常行為）；應(yīng)急預(yù)案協(xié)同處置（聯(lián)動(dòng)防火墻、入侵檢測(cè)系統(tǒng)等進(jìn)行響應(yīng)）。5.請(qǐng)列舉三種常見(jiàn)的物聯(lián)網(wǎng)（IoT）設(shè)備安全風(fēng)險(xiǎn)，并提出對(duì)應(yīng)的防護(hù)措施。答案：風(fēng)險(xiǎn)1：默認(rèn)弱密碼（如“admin/admin”），易被暴力破解；措施：強(qiáng)制用戶首次使用時(shí)修改密碼，禁用默認(rèn)密碼。風(fēng)險(xiǎn)2：固件未及時(shí)更新，存在已知漏洞；措施：建立固件自動(dòng)更新機(jī)制，定期推送安全補(bǔ)丁。風(fēng)險(xiǎn)3：通信協(xié)議未加密（如使用未加密的MQTT），數(shù)據(jù)易被截獲；措施：采用TLS/SSL加密傳輸，或使用物聯(lián)網(wǎng)專用安全協(xié)議（如DTLS）。6.某企業(yè)計(jì)劃將核心業(yè)務(wù)系統(tǒng)遷移至云端，需重點(diǎn)評(píng)估哪些云安全風(fēng)險(xiǎn)？答案：需評(píng)估：①數(shù)據(jù)泄露風(fēng)險(xiǎn)（云服務(wù)商內(nèi)部人員違規(guī)訪問(wèn)、接口漏洞）；②數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)（若云服務(wù)器位于境外，需符合《數(shù)據(jù)出境安全評(píng)估辦法》）；③服務(wù)中斷風(fēng)險(xiǎn)（云平臺(tái)故障導(dǎo)致業(yè)務(wù)不可用）；④合規(guī)風(fēng)險(xiǎn)（是否符合行業(yè)監(jiān)管要求，如金融行業(yè)需通過(guò)云服務(wù)安全審查）；⑤第三方依賴風(fēng)險(xiǎn)（云服務(wù)商的安全能力是否滿足企業(yè)需求）。四、案例分析題（每題15分，共15分）案例背景：2025年3月，某電商平臺(tái)“樂(lè)購(gòu)網(wǎng)”發(fā)生用戶數(shù)據(jù)泄露事件，涉及1200萬(wàn)用戶的姓名、手機(jī)號(hào)、收貨地址及部分支付記錄（包含銀行卡后四位）。經(jīng)調(diào)查，事件原因?yàn)椋海?）樂(lè)購(gòu)網(wǎng)數(shù)據(jù)庫(kù)未開(kāi)啟訪問(wèn)審計(jì)功能，導(dǎo)致運(yùn)維人員張某（已離職）在離職前通過(guò)默認(rèn)賬號(hào)“root”登錄數(shù)據(jù)庫(kù)，導(dǎo)出用戶數(shù)據(jù)；（2）數(shù)據(jù)庫(kù)存儲(chǔ)的支付記錄未加密，直接以明文形式存儲(chǔ)；（3）樂(lè)購(gòu)網(wǎng)未及時(shí)發(fā)現(xiàn)數(shù)據(jù)異常導(dǎo)出行為，直至用戶投訴收到陌生快遞后才報(bào)警。問(wèn)題：1.分析樂(lè)購(gòu)網(wǎng)在數(shù)據(jù)安全防護(hù)中存在的主要漏洞。2.依據(jù)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》，樂(lè)購(gòu)網(wǎng)可能面臨哪些法律責(zé)任？3.提出至少三條針對(duì)性的整改措施。答案：1.主要漏洞：①訪問(wèn)控制缺失：數(shù)據(jù)庫(kù)使用默認(rèn)賬號(hào)且未及時(shí)禁用離職員工權(quán)限，未實(shí)施最小權(quán)限原則；②數(shù)據(jù)加密缺失：支付敏感信息未加密存儲(chǔ)，違反“最小必要”和“加密存儲(chǔ)”要求；③監(jiān)測(cè)與響應(yīng)機(jī)制缺失：未開(kāi)啟審計(jì)功能，無(wú)法實(shí)時(shí)監(jiān)測(cè)異常數(shù)據(jù)操作，導(dǎo)致事件發(fā)現(xiàn)滯后。2.法律責(zé)任：①行政責(zé)任：根據(jù)《個(gè)人信息保護(hù)法》第六十六條，可能被責(zé)令改正、警告、沒(méi)收違法所得，并處五千萬(wàn)元以下或上一年度營(yíng)業(yè)額5%以下罰款；對(duì)直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款。②民事責(zé)任：需對(duì)受影響用戶承擔(dān)損害賠償責(zé)任（如因數(shù)據(jù)泄露導(dǎo)致的財(cái)產(chǎn)損失）。③刑事責(zé)任：若張某的行為構(gòu)成非法獲取、出售公