2025年網(wǎng)絡安全與信息保護基礎知識考試題及答案一、單項選擇題（共20題，每題2分，共40分）1.以下哪種加密算法屬于非對稱加密？A.AES256B.RSAC.DESD.ChaCha20答案：B2.釣魚攻擊（Phishing）的核心目的是？A.破壞目標設備硬件B.獲取用戶敏感信息（如賬號密碼）C.占用網(wǎng)絡帶寬D.植入勒索病毒答案：B3.以下哪項是《中華人民共和國個人信息保護法》規(guī)定的“最小必要原則”的具體體現(xiàn)？A.收集用戶信息前需明確告知用途B.僅收集實現(xiàn)服務功能必需的最少信息C.對用戶信息進行加密存儲D.向第三方共享信息時取得用戶單獨同意答案：B4.某企業(yè)數(shù)據(jù)庫存儲的用戶密碼采用“明文+MD5哈希”方式存儲，這種做法的主要安全隱患是？A.MD5算法已被證明可碰撞，無法保證唯一性B.明文存儲導致泄露后直接暴露密碼C.哈希值無法逆向解密，影響用戶找回密碼D.存儲方式不符合《網(wǎng)絡安全法》要求答案：A（注：MD5存在弱碰撞性，更安全的做法是使用鹽值+PBKDF2或BCrypt）5.以下哪種網(wǎng)絡攻擊屬于“中間人攻擊（MITM）”？A.攻擊者通過偽造WiFi熱點截獲用戶HTTP請求B.向目標服務器發(fā)送大量偽造的SYN請求C.利用系統(tǒng)漏洞執(zhí)行任意代碼D.向用戶郵箱發(fā)送含惡意附件的郵件答案：A6.物聯(lián)網(wǎng)設備（IoT）的典型安全風險不包括？A.固件未及時更新導致漏洞暴露B.設備默認密碼過于簡單C.設備與云端通信使用TLS1.3加密D.設備存儲空間有限，難以部署復雜安全防護答案：C7.根據(jù)《數(shù)據(jù)安全法》，重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展？A.數(shù)據(jù)泄露演練B.風險評估C.用戶滿意度調(diào)查D.數(shù)據(jù)備份測試答案：B8.以下哪種身份認證方式屬于“雙因素認證（2FA）”？A.指紋識別+面部識別B.密碼+手機短信驗證碼C.用戶名+密碼D.U盾+數(shù)字證書答案：B9.勒索軟件（Ransomware）的主要攻擊流程是？A.掃描漏洞→植入惡意代碼→加密文件→索要贖金B(yǎng).發(fā)送釣魚郵件→誘導點擊→破壞系統(tǒng)→刪除數(shù)據(jù)C.占用內(nèi)存→導致系統(tǒng)崩潰→要求支付修復費用D.監(jiān)聽網(wǎng)絡流量→竊取敏感數(shù)據(jù)→威脅公開信息答案：A10.某網(wǎng)站響應頭中未包含“XContentTypeOptions:nosniff”字段，可能導致的安全風險是？A.跨站腳本攻擊（XSS）B.內(nèi)容類型嗅探攻擊（MIMESniffing）C.跨站請求偽造（CSRF）D.拒絕服務攻擊（DoS）答案：B11.以下哪項是量子計算對現(xiàn)有密碼體系的主要威脅？A.加速對稱加密算法的破解B.破解基于大整數(shù)分解的RSA算法C.破壞哈希函數(shù)的抗碰撞性D.干擾網(wǎng)絡傳輸?shù)奈锢韺有盘柎鸢福築12.數(shù)據(jù)脫敏（DataMasking）的常用技術(shù)不包括？A.替換（如將“1381234”替換真實手機號）B.混淆（如將“20231001”隨機改為“20230925”）C.加密（如對身份證號進行AES加密）D.保留（完全保留原始數(shù)據(jù)）答案：D13.以下哪種日志類型對網(wǎng)絡攻擊溯源最關(guān)鍵？A.應用程序日志（記錄功能操作）B.系統(tǒng)日志（記錄系統(tǒng)事件）C.網(wǎng)絡流量日志（記錄IP、端口、協(xié)議）D.訪問控制日志（記錄權(quán)限變更）答案：C14.根據(jù)《網(wǎng)絡安全等級保護條例》，第三級信息系統(tǒng)的安全保護要求中，“安全通信網(wǎng)絡”層面需實現(xiàn)？A.網(wǎng)絡設備重要配置備份B.網(wǎng)絡邊界處檢測和阻斷攻擊行為C.關(guān)鍵網(wǎng)絡設備冗余部署D.以上均是答案：D15.零信任模型（ZeroTrust）的核心假設是？A.網(wǎng)絡內(nèi)部比外部更安全B.所有訪問請求（無論內(nèi)外）均需驗證C.信任已認證的用戶和設備D.僅允許已知安全的設備接入答案：B16.以下哪種攻擊利用了操作系統(tǒng)或應用程序的設計缺陷？A.社會工程學攻擊B.緩沖區(qū)溢出攻擊C.暴力破解攻擊D.DNS劫持答案：B17.某企業(yè)員工通過個人郵箱發(fā)送公司機密文件，這種行為違反了？A.數(shù)據(jù)分類分級制度B.最小權(quán)限原則C.數(shù)據(jù)泄露應急響應流程D.安全審計要求答案：A18.以下哪項是DNS安全擴展（DNSSEC）的主要作用？A.防止DNS緩存投毒B.加速DNS解析速度C.加密DNS查詢內(nèi)容D.替代傳統(tǒng)DNS協(xié)議答案：A19.移動應用（App）違反《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》的典型行為是？A.地圖類App收集位置信息B.社交類App收集通訊錄C.天氣類App要求訪問攝像頭D.購物類App收集支付信息答案：C20.工業(yè)控制系統(tǒng)（ICS）的安全防護重點是？A.防止數(shù)據(jù)泄露B.保障業(yè)務連續(xù)性C.阻斷外部網(wǎng)絡訪問D.強化用戶身份認證答案：B二、填空題（共10題，每題2分，共20分）1.常見的DDos攻擊類型中，基于流量洪泛的攻擊包括__________（如UDP洪水）和__________（如SYN洪水）。答案：反射型攻擊；消耗型攻擊2.《中華人民共和國網(wǎng)絡安全法》正式實施的時間是__________年__________月。答案：2017；63.數(shù)據(jù)泄露的三要素是__________、__________和__________（或數(shù)據(jù)被未授權(quán)訪問、使用、披露）。答案：數(shù)據(jù)被非法獲取；數(shù)據(jù)被非法傳輸；數(shù)據(jù)被非法利用4.哈希函數(shù)的三個核心特性是__________、__________和__________。答案：單向性；抗碰撞性；固定長度輸出5.物聯(lián)網(wǎng)設備的安全防護措施通常包括__________（如禁用默認密碼）、__________（如定期更新固件）和__________（如限制網(wǎng)絡暴露面）。答案：配置加固；漏洞修復；網(wǎng)絡隔離6.網(wǎng)絡安全中“CIA三元組”指的是__________、__________和__________。答案：機密性（Confidentiality）；完整性（Integrity）；可用性（Availability）7.釣魚郵件的常見特征包括__________（如仿冒官方域名）、__________（如緊急支付通知）和__________（如誘導點擊可疑鏈接）。答案：偽造發(fā)件人；制造緊急場景；隱藏真實鏈接8.數(shù)據(jù)庫安全防護技術(shù)包括__________（如行級/列級訪問控制）、__________（如SQL注入防護）和__________（如敏感數(shù)據(jù)加密存儲）。答案：權(quán)限管理；語句過濾；數(shù)據(jù)加密9.量子密碼學的典型應用是__________，其核心原理是基于__________。答案：量子密鑰分發(fā)（QKD）；量子不可克隆定理10.網(wǎng)絡安全事件分級的主要依據(jù)是__________、__________和__________（如影響范圍、數(shù)據(jù)泄露量、業(yè)務中斷時長）。答案：事件性質(zhì)；影響程度；潛在風險三、判斷題（共10題，每題1分，共10分）1.弱口令（如“123456”）屬于客觀存在的系統(tǒng)漏洞。（）答案：×（弱口令屬于主觀安全隱患，由用戶行為導致）2.HTTPS協(xié)議默認使用的端口是443，其核心是通過TLS/SSL實現(xiàn)通信加密。（）答案：√3.數(shù)據(jù)脫敏后的“匿名化數(shù)據(jù)”可以直接對外共享，無需遵守個人信息保護法規(guī)。（）答案：×（匿名化數(shù)據(jù)需滿足“無法復原”要求，否則仍可能涉及個人信息）4.防火墻可以完全阻止所有網(wǎng)絡攻擊，因此無需其他安全措施。（）答案：×（防火墻是邊界防護手段，無法防御內(nèi)部攻擊或應用層漏洞）5.區(qū)塊鏈技術(shù)的“不可篡改性”依賴于哈希鏈和共識機制。（）答案：√6.企業(yè)只需在數(shù)據(jù)流出時進行安全檢測，數(shù)據(jù)流入時無需驗證。（）答案：×（數(shù)據(jù)流入和流出均需檢測，防止惡意數(shù)據(jù)注入）7.社會工程學攻擊主要利用技術(shù)漏洞而非人為心理弱點。（）答案：×（社會工程學核心是利用信任、恐懼等心理弱點）8.操作系統(tǒng)補丁更新可能導致業(yè)務中斷，因此應盡量延遲更新。（）答案：×（需評估風險后及時更新，延遲可能導致漏洞被利用）9.云計算環(huán)境中，“云服務提供商（CSP）”承擔全部安全責任。（）答案：×（遵循“責任共擔模型”，用戶需保護自身數(shù)據(jù)和應用）10.生物識別信息（如指紋、人臉）屬于敏感個人信息，處理時需取得用戶單獨同意。（）答案：√四、簡答題（共4題，每題5分，共20分）1.簡述“零信任模型”的核心原則及其與傳統(tǒng)邊界安全模型的區(qū)別。答案：零信任模型的核心原則是“永不信任，始終驗證”，即所有訪問請求（無論來自內(nèi)部還是外部網(wǎng)絡）都需經(jīng)過身份驗證、設備安全狀態(tài)檢查和訪問權(quán)限評估后，方可獲得最小化的資源訪問權(quán)限。傳統(tǒng)邊界安全模型假設“內(nèi)部網(wǎng)絡是安全的”，主要通過防火墻等設備構(gòu)建物理或邏輯邊界，信任邊界內(nèi)的用戶和設備，僅對外部流量進行嚴格檢查。零信任模型打破了“網(wǎng)絡邊界=安全邊界”的假設，更適應移動辦公、云化架構(gòu)等動態(tài)場景。2.列舉至少4種常見的Web應用安全漏洞，并說明其危害。答案：常見Web應用安全漏洞包括：（1）跨站腳本攻擊（XSS）：攻擊者注入惡意腳本，可竊取用戶Cookie、劫持會話；（2）SQL注入（SQLi）：通過構(gòu)造惡意SQL語句，可非法訪問、修改或刪除數(shù)據(jù)庫數(shù)據(jù)；（3）跨站請求偽造（CSRF）：誘導用戶執(zhí)行非自愿操作（如轉(zhuǎn)賬、修改密碼）；（4）文件上傳漏洞：允許上傳惡意文件（如Webshell），進而控制服務器；（5）路徑遍歷（DirectoryTraversal）：訪問未授權(quán)的文件或目錄，導致敏感信息泄露。3.說明“數(shù)據(jù)分類分級”在數(shù)據(jù)安全管理中的作用，并舉例說明如何實施。答案：數(shù)據(jù)分類分級的作用：（1）明確數(shù)據(jù)重要性，針對性分配保護資源；（2）制定差異化的訪問控制、加密、備份策略；（3）滿足法規(guī)要求（如《數(shù)據(jù)安全法》要求對重要數(shù)據(jù)加強保護）。實施步驟舉例：某電商企業(yè)可將數(shù)據(jù)分為：一級（核心數(shù)據(jù)）：用戶支付信息、交易記錄（需加密存儲，僅限高級權(quán)限賬戶訪問，每日備份）；二級（重要數(shù)據(jù)）：用戶基本信息（姓名、手機號）（需脫敏處理，限制跨部門共享）；三級（一般數(shù)據(jù)）：商品瀏覽記錄（匿名化后可用于統(tǒng)計分析）。4.簡述勒索軟件的防范措施（至少5條）。答案：勒索軟件防范措施包括：（1）定期備份數(shù)據(jù)（離線存儲，避免被加密）；（2）啟用自動更新，及時修復系統(tǒng)和軟件漏洞；（3）部署終端安全軟件（如EDR），檢測異常文件加密行為；（4）加強員工安全培訓，識別釣魚郵件、可疑鏈接；（5）禁用不必要的端口和服務，減少攻擊面；（6）啟用文件系統(tǒng)權(quán)限控制，限制惡意程序?qū)﹃P(guān)鍵目錄的寫入權(quán)限；（7）部署網(wǎng)絡入侵檢測系統(tǒng)（IDS），監(jiān)測異常流量（如大量加密數(shù)據(jù)傳輸）。五、綜合分析題（共1題，10分）【背景】某小型電商平臺近期發(fā)生用戶信息泄露事件，泄露數(shù)據(jù)包括5萬條用戶姓名、手機號、收貨地址及部分加密的支付密碼（使用SHA1哈希，無鹽值）。經(jīng)調(diào)查，泄露原因是：（1）數(shù)據(jù)庫服務器未啟用防火墻，暴露在公網(wǎng)；（2）數(shù)據(jù)庫管理員賬號使用默認密碼“admin”；（3）用戶支付密碼存儲僅使用SHA1哈希，未添加鹽值；（4）日志系統(tǒng)未開啟，無法追蹤攻擊路徑。請結(jié)合上述案例，回答以下問題：（1）分析該平臺存在的安全漏洞（至少4條）；（2）提出針對性的整改措施（至少5條）。答案：（1）安全漏洞分析：①網(wǎng)絡暴露風險：數(shù)據(jù)庫服務器直接公網(wǎng)開放，未通過防火墻限制訪問源IP，擴大了攻擊面；②身份認證薄弱：管理員賬號使用默認弱密碼，易被暴力破解；③密碼存儲不規(guī)范：僅使用SHA1哈希且無鹽值（SHA1已被證明不安全，無鹽值導致相同密碼哈希值相同，易被彩虹表攻擊）；④日志缺失：未開啟日志記錄，無法及時發(fā)現(xiàn)攻擊行為或追溯攻擊路徑；⑤訪問控制缺失：未對數(shù)據(jù)庫訪問權(quán)限進行最小化限制，可能存在越權(quán)訪問風險。（2）整改措施：①網(wǎng)絡防護：將數(shù)據(jù)庫服務器遷移至內(nèi)網(wǎng)，通過防火墻設置僅允許應用服務器所在IP訪問，關(guān)閉不必要的端口；②身份認證強化：修改管理員賬號密碼為強密碼（包含大小寫字母、