2025年國家網(wǎng)絡安全知識競賽題庫附參考答案【典型題】一、單項選擇題（每題2分，共40分）1.根據(jù)《中華人民共和國網(wǎng)絡安全法》，關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險（）至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。A.每半年B.每年C.每兩年D.每三年2.某企業(yè)收集用戶位置信息用于精準營銷，根據(jù)《個人信息保護法》，下列哪項不屬于必須向用戶告知的內容？A.信息存儲的地理位置B.信息處理的目的、方式C.信息共享的第三方名稱D.用戶行使刪除權的方式3.以下哪種行為符合《數(shù)據(jù)安全法》中“數(shù)據(jù)分類分級保護”的要求？A.某金融機構將客戶交易記錄與內部通知文件存儲在同一服務器B.電商平臺將用戶姓名、手機號與支付密碼設置相同的訪問權限C.政務部門按“核心數(shù)據(jù)-重要數(shù)據(jù)-一般數(shù)據(jù)”三級劃分數(shù)據(jù)敏感程度D.醫(yī)療系統(tǒng)將患者診療記錄與醫(yī)院宣傳圖片標記為同一安全等級4.攻擊者通過偽造銀行官網(wǎng)鏈接發(fā)送短信，誘導用戶輸入賬號密碼，這種攻擊方式屬于（）。A.DDoS攻擊B.釣魚攻擊C.勒索軟件攻擊D.緩沖區(qū)溢出攻擊5.根據(jù)《網(wǎng)絡安全等級保護條例》，第三級信息系統(tǒng)的安全保護監(jiān)管要求是（）。A.自行保護B.指導保護C.監(jiān)督保護D.強制保護6.某單位使用微信工作群傳輸涉密文件，違反了以下哪項網(wǎng)絡安全基本原則？A.最小權限原則B.縱深防御原則C.責任明確原則D.公開設計原則7.以下哪種密碼設置方式符合強密碼要求？A.abc12345B.P@ssw0rd!2025C.11111111D.用戶姓名全拼8.當發(fā)現(xiàn)個人信息泄露后，用戶最優(yōu)先應當采取的措施是（）。A.聯(lián)系社交媒體賬號客服B.修改所有關聯(lián)賬戶密碼C.向公安機關報案D.在網(wǎng)絡上公開譴責泄露方9.工業(yè)控制系統(tǒng)（ICS）中，為防止非法設備接入，最有效的技術措施是（）。A.部署入侵檢測系統(tǒng)（IDS）B.啟用端口訪問控制列表（ACL）C.定期更新殺毒軟件D.對操作日志進行加密存儲10.根據(jù)《生成式人工智能服務管理暫行辦法》，生成式AI服務提供者應當（）。A.對用戶輸入信息和輸出結果進行全量保存B.無需對生成內容進行安全評估C.在顯著位置標注生成內容來源D.允許用戶利用服務生成任何類型內容11.某企業(yè)發(fā)生數(shù)據(jù)泄露事件，造成500萬用戶個人信息（含姓名、手機號、住址）泄露，根據(jù)《個人信息保護法》，監(jiān)管部門可對其處以最高（）的罰款。A.100萬元B.5000萬元或上一年度營業(yè)額5%C.2000萬元D.上一年度營業(yè)額10%12.以下哪項不屬于區(qū)塊鏈技術的安全特性？A.不可篡改性B.去中心化C.匿名性D.無限可擴展性13.物聯(lián)網(wǎng)設備默認使用“admin”“123456”等弱密碼，主要面臨的安全風險是（）。A.拒絕服務攻擊B.暴力破解入侵C.數(shù)據(jù)篡改D.流量劫持14.網(wǎng)絡安全等級保護中，“安全通信網(wǎng)絡”層面的要求不包括（）。A.網(wǎng)絡邊界劃分B.通信過程加密C.惡意代碼檢測D.網(wǎng)絡訪問控制15.根據(jù)《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施的認定應當堅持（）。A.誰運營誰認定B.屬地管理原則C.最小必要原則D.動態(tài)調整原則16.某用戶收到郵件提示“您的支付寶賬戶存在異常，點擊鏈接驗證”，最安全的處理方式是（）。A.直接點擊鏈接輸入密碼B.撥打支付寶官方客服核實C.轉發(fā)給好友提醒注意D.忽略郵件不做處理17.量子計算對現(xiàn)有密碼體系的主要威脅是（）。A.破解對稱加密算法（如AES）B.加速哈希碰撞攻擊（如SHA-256）C.破解基于大數(shù)分解的公鑰算法（如RSA）D.破壞數(shù)字簽名的不可否認性18.云服務提供者在提供IaaS服務時，應當對客戶數(shù)據(jù)承擔的安全責任是（）。A.完全管理客戶數(shù)據(jù)B.確保物理服務器安全C.代客戶進行數(shù)據(jù)加密D.不干涉客戶數(shù)據(jù)訪問19.網(wǎng)絡安全應急響應中，“遏制階段”的核心目標是（）。A.恢復系統(tǒng)正常運行B.防止攻擊范圍擴大C.收集攻擊證據(jù)D.分析攻擊手段20.以下哪種行為符合《網(wǎng)絡安全法》中“網(wǎng)絡產(chǎn)品和服務安全可控”的要求？A.使用未通過安全審查的境外數(shù)據(jù)庫軟件B.采購經(jīng)國家認證的加密通信設備C.對開源代碼直接編譯后上線使用D.服務器操作系統(tǒng)使用默認配置二、多項選擇題（每題3分，共30分，少選、錯選均不得分）1.根據(jù)《數(shù)據(jù)安全法》，國家建立數(shù)據(jù)分類分級保護制度，數(shù)據(jù)分類分級的依據(jù)包括（）。A.數(shù)據(jù)來源B.數(shù)據(jù)規(guī)模C.數(shù)據(jù)對國家安全、公共利益的影響D.數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度2.個人信息處理者應當遵循的基本原則包括（）。A.合法、正當、必要原則B.最小必要原則C.公開透明原則D.目的明確原則3.以下屬于常見網(wǎng)絡安全漏洞的有（）。A.SQL注入B.跨站腳本（XSS）C.零日漏洞（Zero-day）D.雙因素認證（2FA）4.關鍵信息基礎設施運營者應當履行的安全保護義務包括（）。A.設置專門安全管理機構和安全管理負責人B.對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份C.每年至少進行一次網(wǎng)絡安全檢測評估D.優(yōu)先采購境外安全產(chǎn)品5.防范勒索軟件攻擊的有效措施包括（）。A.定期離線備份重要數(shù)據(jù)B.啟用系統(tǒng)自動更新C.對員工進行安全意識培訓D.關閉不必要的端口和服務6.網(wǎng)絡安全等級保護2.0中，安全技術要求包括（）。A.安全物理環(huán)境B.安全區(qū)域邊界C.安全計算環(huán)境D.安全管理中心7.根據(jù)《個人信息保護法》，個人信息主體享有（）。A.查閱、復制權B.更正、刪除權C.要求解釋說明權D.強制刪除他人信息權8.工業(yè)互聯(lián)網(wǎng)面臨的典型安全風險包括（）。A.設備固件被篡改B.生產(chǎn)數(shù)據(jù)泄露C.控制系統(tǒng)被遠程劫持D.辦公電腦感染病毒9.以下屬于密碼法規(guī)定的核心密碼保護對象的有（）。A.國家秘密信息B.政務核心系統(tǒng)C.普通商業(yè)合同D.個人銀行賬戶10.網(wǎng)絡安全事件發(fā)生后，運營者應當履行的報告義務包括（）。A.立即采取處置措施B.及時向網(wǎng)信部門報告C.向社會公眾如實披露D.隱瞞事件細節(jié)避免恐慌三、判斷題（每題1分，共10分，正確填“√”，錯誤填“×”）1.網(wǎng)絡運營者可以收集與其提供的服務無關的個人信息。（）2.所有網(wǎng)絡安全事件都需要向省級以上網(wǎng)信部門報告。（）3.生物識別信息（如指紋、人臉）屬于敏感個人信息，處理時需取得單獨同意。（）4.為提高效率，企業(yè)可以將員工賬號權限設置為“管理員”級別。（）5.釣魚網(wǎng)站的URL中可能包含仿冒的字母（如“”）。（）6.數(shù)據(jù)安全責任僅由數(shù)據(jù)控制者承擔，數(shù)據(jù)處理者無需負責。（）7.物聯(lián)網(wǎng)設備數(shù)量龐大，無需進行安全配置管理。（）8.網(wǎng)絡安全等級保護是我國網(wǎng)絡安全的基本制度。（）9.量子通信技術可以實現(xiàn)絕對安全的信息傳輸。（）10.發(fā)現(xiàn)他人利用網(wǎng)絡傳播違法信息，應當立即轉發(fā)提醒更多人注意。（）四、案例分析題（共20分）【案例1】2024年12月，某省醫(yī)療健康平臺發(fā)生數(shù)據(jù)泄露事件，攻擊者通過爆破醫(yī)院HIS系統(tǒng)弱口令進入后臺，竊取了12萬條患者診療記錄（包含姓名、身份證號、診斷結果、用藥信息）。經(jīng)調查，該平臺未對數(shù)據(jù)庫進行加密存儲，且近一年未更新安全補丁；安全管理部門僅有1名兼職人員，未制定應急預案。問題1：該事件中，平臺運營者違反了哪些網(wǎng)絡安全相關法律法規(guī)的具體條款？（5分）問題2：從技術和管理層面分析，平臺應采取哪些改進措施？（5分）【案例2】2025年3月，某高校學生李某收到短信：“您的校園卡已欠費200元，點擊鏈接補繳”。李某點擊鏈接后跳轉至仿冒的校園網(wǎng)登錄頁面，輸入學號和密碼后，其校園卡余額被轉走500元，同時關聯(lián)的支付寶賬戶被盜刷800元。問題1：該攻擊屬于哪種類型？攻擊者利用了哪些用戶安全意識薄弱點？（5分）問題2：作為學生，應如何防范此類攻擊？（5分）參考答案一、單項選擇題1.B2.A3.C4.B5.C6.A7.B8.B9.B10.C11.B12.D13.B14.C15.D16.B17.C18.B19.B20.B二、多項選擇題1.CD2.ABCD3.ABC4.ABC5.ABCD6.ABCD7.ABC8.ABC9.AB10.AB三、判斷題1.×2.×3.√4.×5.√6.×7.×8.√9.√10.×四、案例分析題【案例1】問題1：（1）違反《網(wǎng)絡安全法》第二十一條“網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度要求，采取技術措施和其他必要措施，保障網(wǎng)絡免受干擾、破壞”；（2）違反《數(shù)據(jù)安全法》第二十七條“開展數(shù)據(jù)處理活動應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施”；（3）違反《個人信息保護法》第二十九條“處理敏感個人信息應當取得個人的單獨同意”及第三十四條“個人信息處理者應當對其個人信息處理活動負責”；（4）違反《關鍵信息基礎設施安全保護條例》第十七條“運營者應當設置專門安全管理機構，履行安全管理職責”。問題2：技術層面：①對數(shù)據(jù)庫采用加密存儲（如AES-256），關鍵字段（身份證號、診斷結果）進行脫敏處理；②啟用多因素認證（MFA），禁止弱口令（設置密碼復雜度策略：8位以上，包含字母、數(shù)字、符號）；③定期進行漏洞掃描和補丁更新（至少每月一次），部署入侵檢測系統(tǒng)（IDS）監(jiān)測異常訪問；④對HIS系統(tǒng)進行網(wǎng)絡分段，限制數(shù)據(jù)庫訪問權限（最小權限原則）。管理層面：①設立專職網(wǎng)絡安全崗位（至少2人），明確安全管理責任；②制定《數(shù)據(jù)泄露應急預案》，每季度開展應急演練；③對員工進行網(wǎng)絡安全培訓（每年至少2次），重點培訓弱口令風險、數(shù)據(jù)分類分級知識；④委托第三方機構每年進行一次網(wǎng)絡安全檢測評估，并向衛(wèi)生健康部門報送結果?！景咐?】問題1：攻擊類型：釣魚攻擊（短信釣魚+網(wǎng)頁釣魚）。利用的安全意識薄弱點：①輕信短信中的緊急通知（“欠費”制造焦慮）；②未核實鏈接來源（未通過官方渠道確認）；③輸入敏感信息（學號、密碼）到非官方頁面；④未區(qū)分校園卡與支付寶的關聯(lián)風險（同一密碼或弱密碼導致連鎖被盜）。問題2：防范措施：①核實信息來源：收到涉及資金、賬號的通知時，通過官方渠道（校園網(wǎng)官網(wǎng)、財務處電話）確認，不點擊短信/郵件中的鏈接；②保護個人信息