2025年信息安全與計算機網絡合法使用考試試卷及答案一、單項選擇題（共20題，每題1.5分，共30分。每題只有一個正確選項）1.根據(jù)《中華人民共和國網絡安全法》，網絡運營者收集、使用個人信息時，下列哪項行為不符合“合法、正當、必要”原則？A.電商平臺在用戶注冊時僅收集姓名、手機號和收貨地址B.社交軟件在用戶未同意的情況下，將聊天記錄提供給第三方用于廣告推送C.銀行APP在用戶登錄時驗證身份證號與手機號一致性D.教育平臺在課程結束后自動清除學員臨時上傳的作業(yè)文件2.以下哪種攻擊方式屬于“高級持續(xù)性威脅（APT）”的典型特征？A.利用已知漏洞對目標網站發(fā)起DDoS攻擊B.通過釣魚郵件長期滲透某能源企業(yè)內網，竊取核心數(shù)據(jù)C.對公共WiFi網絡實施ARP欺騙，截獲用戶HTTP請求D.利用弱口令暴力破解家庭路由器管理后臺3.《個人信息保護法》規(guī)定，處理敏感個人信息應當取得個人的單獨同意，以下不屬于敏感個人信息的是？A.14周歲以下未成年人的個人信息B.醫(yī)療健康信息C.電子郵箱地址D.生物識別信息4.某企業(yè)部署了入侵檢測系統(tǒng)（IDS），其核心功能是？A.阻止未經授權的網絡訪問B.實時監(jiān)控網絡流量，識別異常行為C.對傳輸數(shù)據(jù)進行加密處理D.定期掃描系統(tǒng)漏洞并自動修復5.以下關于數(shù)字簽名的描述，正確的是？A.數(shù)字簽名僅能驗證數(shù)據(jù)完整性，無法確認發(fā)送方身份B.數(shù)字簽名使用發(fā)送方的公鑰加密哈希值，接收方用私鑰解密驗證C.數(shù)字簽名的安全性依賴于非對稱加密算法（如RSA）的不可破解性D.數(shù)字簽名與手寫簽名具有相同的法律效力，無需額外技術驗證6.根據(jù)《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對網絡安全狀況進行檢測評估的周期是？A.每季度一次B.每半年一次C.每年至少一次D.每兩年至少一次7.以下哪種密碼算法屬于對稱加密？A.RSAB.AESC.ECCD.SHA2568.某用戶收到短信：“您的銀行賬戶異常，點擊鏈接登錄核實”，這屬于哪種網絡攻擊手段？A.社會工程學攻擊B.緩沖區(qū)溢出攻擊C.中間人攻擊D.拒絕服務攻擊9.《數(shù)據(jù)安全法》規(guī)定，國家建立數(shù)據(jù)分類分級保護制度，數(shù)據(jù)分類分級的依據(jù)是？A.數(shù)據(jù)的產生時間與存儲位置B.數(shù)據(jù)的重要程度以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用后的危害程度C.數(shù)據(jù)的格式（如文本、圖片、視頻）D.數(shù)據(jù)的所有權歸屬（個人、企業(yè)、政府）10.以下哪項是IPv6相對于IPv4的主要優(yōu)勢？A.支持更高效的對稱加密B.內置IPSec協(xié)議，增強網絡層安全C.簡化路由表結構，降低轉發(fā)效率D.減少地址空間，便于集中管理11.某企業(yè)員工通過辦公電腦訪問公司內部OA系統(tǒng)時，系統(tǒng)要求輸入用戶名、靜態(tài)密碼和動態(tài)驗證碼（OTP），這種驗證方式屬于？A.單因素認證B.雙因素認證C.三因素認證D.零信任認證12.以下關于網絡安全等級保護（等保2.0）的描述，錯誤的是？A.分為五個保護等級，等級越高要求越嚴格B.適用于關鍵信息基礎設施、網絡運營商和數(shù)據(jù)處理者C.要求“一個中心，三重防護”（安全管理中心，計算環(huán)境、區(qū)域邊界、通信網絡防護）D.僅需技術層面的防護，無需制定安全管理制度13.為防止SQL注入攻擊，最有效的措施是？A.關閉數(shù)據(jù)庫的遠程訪問端口B.對用戶輸入的數(shù)據(jù)進行嚴格的參數(shù)化查詢或轉義處理C.定期更新數(shù)據(jù)庫管理系統(tǒng)（DBMS）的版本D.限制數(shù)據(jù)庫管理員的賬號權限14.《網絡安全審查辦法》規(guī)定，關鍵信息基礎設施運營者采購網絡產品和服務，影響或者可能影響國家安全的，應當按照規(guī)定進行網絡安全審查。審查的重點不包括？A.產品和服務使用后帶來的網絡安全風險B.產品和服務的性價比C.產品和服務的供應鏈安全風險D.產品和服務收集、處理數(shù)據(jù)的安全性15.以下哪種技術用于實現(xiàn)網絡訪問的“最小權限原則”？A.虛擬專用網絡（VPN）B.訪問控制列表（ACL）C.入侵防御系統(tǒng)（IPS）D.域名系統(tǒng)（DNS）16.某社交平臺用戶發(fā)布了他人隱私信息（如身份證號、住址），平臺未及時采取刪除、屏蔽等措施，根據(jù)《民法典》和《網絡安全法》，平臺可能承擔的責任是？A.僅需配合用戶刪除信息，無需擔責B.與侵權用戶承擔連帶責任C.由侵權用戶單獨承擔責任D.由平臺監(jiān)管部門承擔主要責任17.以下關于SSL/TLS協(xié)議的描述，錯誤的是？A.用于在客戶端和服務器之間建立安全通信通道B.握手階段通過非對稱加密交換對稱密鑰C.僅能保證數(shù)據(jù)的機密性，無法驗證服務器身份D.TLS1.3相比TLS1.2減少了握手延遲18.某企業(yè)因數(shù)據(jù)泄露被用戶起訴，根據(jù)《個人信息保護法》，企業(yè)需要自證清白的情形是？A.證明數(shù)據(jù)泄露是由于第三方攻擊導致，且企業(yè)已采取合理保護措施B.證明用戶主動向他人泄露了個人信息C.證明數(shù)據(jù)泄露發(fā)生在用戶個人設備上，與企業(yè)無關D.證明企業(yè)未存儲用戶的敏感個人信息19.以下哪種漏洞屬于應用層漏洞？A.交換機配置錯誤導致的廣播風暴B.操作系統(tǒng)內核的緩沖區(qū)溢出漏洞C.Web應用程序的跨站腳本（XSS）漏洞D.路由器的路由協(xié)議（OSPF）認證缺陷20.根據(jù)《生成式人工智能服務管理暫行辦法》，生成式AI服務提供者應當對生成內容進行審核，重點審核的內容不包括？A.危害國家安全、破壞社會穩(wěn)定的內容B.侵犯他人知識產權的內容C.符合社會主義核心價值觀的內容D.虛假信息或誤導性信息二、填空題（共10題，每題2分，共20分）1.《中華人民共和國網絡安全法》自____年6月1日起施行。2.個人信息的“匿名化”是指通過技術處理，使得個人信息無法識別特定自然人且____的過程。3.常見的無線網絡安全協(xié)議中，____（填縮寫）是WPA3之前的主流協(xié)議，但存在弱密鑰漏洞（如KRACK攻擊）。4.網絡安全領域的“CIA三元組”指的是機密性、完整性和____。5.《數(shù)據(jù)安全法》規(guī)定，數(shù)據(jù)處理者應當按照數(shù)據(jù)分類分級保護制度，對重要數(shù)據(jù)進行____保護。6.釣魚攻擊的常見類型包括郵件釣魚、____釣魚和水坑攻擊。7.密碼學中，____算法用于將任意長度的消息壓縮為固定長度的摘要，常見算法有SHA256。8.等保2.0中，第三級信息系統(tǒng)的安全保護對象受到破壞后，會對____、社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。9.為防止WiFi網絡被非法接入，除了設置強密碼外，還應關閉____（如SSID廣播）功能。10.網絡安全事件發(fā)生的風險增大時，省級以上人民政府有關部門可以采取的臨時措施包括：要求有關部門、機構和人員及時收集、報告有關信息，加強對網絡安全風險的監(jiān)測；組織有關部門、機構和專業(yè)人員，對網絡安全風險進行評估；向社會發(fā)布網絡安全風險預警，發(fā)布避免、減輕危害的措施；以及____。三、判斷題（共10題，每題1分，共10分。正確填“√”，錯誤填“×”）1.網絡運營者可以將用戶個人信息提供給合作方用于市場分析，無需用戶同意。（）2.藍牙設備的“配對”過程本質上是建立安全連接的過程，配對后傳輸?shù)臄?shù)據(jù)一定是加密的。（）3.云服務提供商對用戶數(shù)據(jù)的安全負全部責任，用戶無需采取額外保護措施。（）4.量子密碼（如量子密鑰分發(fā)）的安全性基于量子力學原理，理論上無法被竊聽而不被發(fā)現(xiàn)。（）5.企業(yè)內部網絡中，所有員工的訪問權限應統(tǒng)一設置，以簡化管理。（）6.《網絡安全法》規(guī)定，任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數(shù)據(jù)等危害網絡安全的活動。（）7.網頁中的“cookies”僅用于記錄用戶偏好，不會泄露個人敏感信息。（）8.物聯(lián)網設備（如智能攝像頭）默認使用弱口令（如“admin/admin”）屬于常見的安全隱患。（）9.數(shù)據(jù)跨境流動時，只要數(shù)據(jù)接收方所在國的網絡安全標準低于我國，就無需進行安全評估。（）10.零信任架構的核心假設是“永不信任，始終驗證”，即默認不信任網絡內外部的任何設備或用戶。（）四、簡答題（共4題，每題5分，共20分）1.簡述《個人信息保護法》中“最小必要”原則的具體要求。2.列舉三種常見的網絡釣魚防范措施，并說明其原理。3.解釋“APT攻擊”與普通網絡攻擊的主要區(qū)別，并舉例說明其典型場景。4.說明網絡安全等級保護（等保2.0）中“一個中心，三重防護”的具體含義。五、案例分析題（共2題，每題10分，共20分）案例1：某電商平臺用戶舉報，其賬戶在未登錄的情況下被異地消費2萬元，交易記錄顯示通過“免密支付”完成。經調查，平臺系統(tǒng)存在以下問題：（1）用戶開啟“免密支付”時，僅通過短信驗證碼驗證，未進行二次身份驗證；（2）交易金額超過5000元時，系統(tǒng)未觸發(fā)額外驗證流程；（3）平臺日志系統(tǒng)未記錄完整的交易IP地址和設備信息。問題：（1）分析該平臺違反了哪些網絡安全與數(shù)據(jù)保護相關法律法規(guī)的具體條款？（5分）（2）提出至少三條針對性的整改措施。（5分）案例2：某教育機構將學生的姓名、成績、家庭住址等信息存儲在未加密的云數(shù)據(jù)庫中，因云服務商配置錯誤導致數(shù)據(jù)庫暴露在公網，被黑客下載并在暗網出售。事件導致部分學生收到騷擾電話和詐騙短信。問題：（1）指出該教育機構在數(shù)據(jù)安全管理中的主要過失。（5分）（2）根據(jù)《數(shù)據(jù)安全法》和《個人信息保護法》，分析其可能承擔的法律責任。（5分）參考答案一、單項選擇題1.B2.B3.C4.B5.C6.C7.B8.A9.B10.B11.B12.D13.B14.B15.B16.B17.C18.A19.C20.C二、填空題1.20172.不能復原3.WPA24.可用性5.重點6.網頁（或“網絡”）7.哈希（或“散列”）8.國家安全9.無線接入點標識（SSID）廣播10.組織對可能受到影響的網絡關鍵設備和軟件進行檢測、評估和維護三、判斷題1.×2.×（部分舊協(xié)議如藍牙2.0可能未加密）3.×4.√5.×6.√7.×（可能記錄跟蹤信息）8.√9.×10.√四、簡答題1.答：“最小必要”原則要求個人信息處理者在收集、使用個人信息時，僅收集實現(xiàn)處理目的所必需的最少個人信息，且信息類型、數(shù)量應與處理目的直接相關；不得過度收集與處理目的無關的信息；處理方式應限于實現(xiàn)目的的最小范圍，避免冗余操作（如非必要不共享、存儲）。2.答：（1）郵件過濾：通過反垃圾郵件系統(tǒng)識別釣魚郵件中的特征（如仿冒域名、誘導性鏈接），自動攔截；（2）鏈接驗證：用戶點擊鏈接前，通過瀏覽器插件或手動檢查URL真實地址（如懸停查看），避免跳轉至仿冒網站；（3）用戶教育：培訓用戶識別異常發(fā)件人、不合理請求（如索要密碼）等釣魚特征，提高警惕性。3.答：區(qū)別：APT攻擊具有持續(xù)性（長期滲透）、針對性（特定目標）、高級性（使用0day漏洞等未知攻擊手段）；普通攻擊多為隨機、短期、利用已知漏洞。典型場景：某國黑客組織針對他國能源企業(yè)，通過釣魚郵件植入木馬，持續(xù)6個月竊取電力調度數(shù)據(jù)。4.答：“一個中心”指安全管理中心，負責集中管理、監(jiān)控和調度安全措施；“三重防護”包括：（1）計算環(huán)境防護：終端設備的身份認證、訪問控制、入侵檢測；（2）區(qū)域邊界防護：網絡邊界的防火墻、入侵防御、流量審計；（3）通信網絡防護：傳輸鏈路的加密（如IPSec）、抗拒絕服務攻擊。五、案例分析題案例1（1）違反條款：①《網絡安全法》第二十二條（網絡產品、服務應符合相關國家標準的強制性要求，保障網絡安全）；②《個人信息保護法》第二十九條（處理敏感個人信息應取得單獨同意，且采取嚴格保護措施）；③《電子商務法》第五十三條（電子支付服務提供者應確保支付安全，對支付風險進行監(jiān)測并采取必要措施）。（2）整改措施：①升級“免密支付”驗證流程，超過一定金額（如2000元）時要求指紋/人臉等生物識別或動態(tài)口令二次驗證；②完善日志記錄，完整采集交易IP、設備指紋、操作時間等信息并留存至少6個月；③定期進行支付系統(tǒng)安全評估，修復驗證碼強度不足、交易限額邏輯漏洞等問題。案例2（1）主要過失：①未對學生個人信息進行加密存儲（違反