2025年網(wǎng)絡(luò)空間安全知識(shí)普及試題及答案解析一、單項(xiàng)選擇題（每題2分，共30分）1.依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行（）次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)。A.1B.2C.3D.42.以下哪種加密算法屬于對(duì)稱(chēng)加密？A.RSAB.ECCC.AESD.SHA2563.某用戶收到一封郵件，標(biāo)題為“您的銀行賬戶存在異常，請(qǐng)點(diǎn)擊鏈接驗(yàn)證”，鏈接地址為“”（實(shí)際為仿冒域名）。這種攻擊方式屬于（）。A.釣魚(yú)攻擊B.DDoS攻擊C.勒索軟件攻擊D.緩沖區(qū)溢出攻擊4.2024年修訂的《網(wǎng)絡(luò)安全審查辦法》明確，數(shù)據(jù)處理者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或者可能影響（）的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。A.個(gè)人信息安全B.關(guān)鍵信息基礎(chǔ)設(shè)施安全C.企業(yè)商業(yè)秘密D.數(shù)據(jù)跨境流動(dòng)5.以下哪項(xiàng)不是常見(jiàn)的Web應(yīng)用層漏洞？A.SQL注入B.XSS跨站腳本C.ARP欺騙D.CSRF跨站請(qǐng)求偽造6.為防范手機(jī)支付風(fēng)險(xiǎn)，用戶最有效的措施是（）。A.開(kāi)啟“免密支付”功能以提升效率B.定期更換支付密碼并設(shè)置復(fù)雜密碼C.在公共WiFi下進(jìn)行大額支付D.所有支付賬戶綁定同一手機(jī)號(hào)7.依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者因業(yè)務(wù)需要向境外提供個(gè)人信息的，應(yīng)當(dāng)通過(guò)（）或者按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證。A.數(shù)據(jù)出境安全評(píng)估B.網(wǎng)絡(luò)安全等級(jí)保護(hù)C.加密傳輸測(cè)試D.用戶書(shū)面授權(quán)8.某企業(yè)數(shù)據(jù)庫(kù)因未開(kāi)啟訪問(wèn)日志審計(jì)功能，導(dǎo)致數(shù)據(jù)泄露后無(wú)法追蹤操作源頭。這違反了網(wǎng)絡(luò)安全的（）原則。A.最小權(quán)限B.縱深防御C.可審計(jì)性D.完整性9.以下哪種行為符合“隱私計(jì)算”的核心目標(biāo)？A.在不泄露原始數(shù)據(jù)的前提下完成數(shù)據(jù)聯(lián)合分析B.對(duì)用戶個(gè)人信息進(jìn)行全量加密存儲(chǔ)C.限制用戶訪問(wèn)自身數(shù)據(jù)的權(quán)限D(zhuǎn).強(qiáng)制要求用戶提供額外個(gè)人信息以使用服務(wù)10.2024年新型“AI生成式釣魚(yú)”攻擊的典型特征是（）。A.利用AI生成高度仿真的用戶好友對(duì)話誘導(dǎo)轉(zhuǎn)賬B.通過(guò)暴力破解用戶密碼登錄賬戶C.植入惡意代碼破壞本地文件D.篡改DNS解析記錄劫持網(wǎng)站訪問(wèn)11.某網(wǎng)站登錄頁(yè)面要求用戶輸入密碼并通過(guò)短信驗(yàn)證碼驗(yàn)證，這種驗(yàn)證方式屬于（）。A.單因素認(rèn)證B.雙因素認(rèn)證C.多因素認(rèn)證D.無(wú)密碼認(rèn)證12.以下哪項(xiàng)是物聯(lián)網(wǎng)設(shè)備（IoT）特有的安全風(fēng)險(xiǎn)？A.弱默認(rèn)密碼B.SQL注入C.勒索軟件D.釣魚(yú)郵件13.依據(jù)《數(shù)據(jù)安全法》，國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行（）。A.統(tǒng)一保護(hù)B.分級(jí)保護(hù)C.重點(diǎn)保護(hù)D.分類(lèi)保護(hù)14.為防止U盤(pán)感染惡意代碼，正確的操作是（）。A.直接打開(kāi)U盤(pán)中的陌生文檔B.在電腦上啟用“自動(dòng)播放”功能C.定期對(duì)U盤(pán)進(jìn)行病毒掃描D.將U盤(pán)格式化為FAT32文件系統(tǒng)15.某企業(yè)使用云服務(wù)存儲(chǔ)敏感數(shù)據(jù)，若云服務(wù)商發(fā)生數(shù)據(jù)泄露，責(zé)任劃分的關(guān)鍵依據(jù)是（）。A.云服務(wù)合同中的“責(zé)任邊界條款”B.數(shù)據(jù)存儲(chǔ)的物理位置C.企業(yè)是否購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn)D.云服務(wù)商的市場(chǎng)份額二、判斷題（每題1分，共10分）1.只要安裝了殺毒軟件，電腦就不會(huì)感染病毒。（）2.公共WiFi可以隨意連接，不會(huì)導(dǎo)致個(gè)人信息泄露。（）3.收到“中獎(jiǎng)短信”要求先繳納手續(xù)費(fèi)才能領(lǐng)取獎(jiǎng)金，屬于典型的電信詐騙。（）4.網(wǎng)站“HTTPS”標(biāo)識(shí)表示該網(wǎng)站絕對(duì)安全，用戶輸入的信息不會(huì)被竊取。（）5.個(gè)人信息處理者可以將用戶的姓名、手機(jī)號(hào)用于內(nèi)部營(yíng)銷(xiāo)，無(wú)需額外征得用戶同意。（）6.手機(jī)“恢復(fù)出廠設(shè)置”可以徹底刪除所有數(shù)據(jù)，無(wú)法被恢復(fù)。（）7.企業(yè)內(nèi)網(wǎng)因?yàn)槲锢砀綦x，不會(huì)受到網(wǎng)絡(luò)攻擊。（）8.區(qū)塊鏈技術(shù)的“不可篡改性”意味著鏈上數(shù)據(jù)絕對(duì)無(wú)法被篡改。（）9.未成年人的個(gè)人信息處理需取得其父母或其他監(jiān)護(hù)人的同意。（）10.釣魚(yú)郵件的發(fā)件人地址一定是偽造的。（）三、簡(jiǎn)答題（每題6分，共30分）1.簡(jiǎn)述“零信任架構(gòu)（ZeroTrustArchitecture）”的核心原則及其在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用場(chǎng)景。2.列舉三種常見(jiàn)的DDoS攻擊類(lèi)型，并說(shuō)明企業(yè)可采取的防御措施。3.依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者應(yīng)履行哪些基本義務(wù)？（至少列出4項(xiàng)）4.分析“弱密碼”對(duì)個(gè)人和企業(yè)的安全威脅，并提出提升密碼安全性的具體建議。5.什么是“APT攻擊（高級(jí)持續(xù)性威脅）”？其與普通網(wǎng)絡(luò)攻擊的主要區(qū)別是什么？四、案例分析題（每題15分，共30分）案例1：2024年3月，某電商平臺(tái)用戶發(fā)現(xiàn)賬戶內(nèi)余額被莫名轉(zhuǎn)走，部分用戶收到短信提示“因系統(tǒng)升級(jí)，需點(diǎn)擊鏈接重新綁定銀行卡”。經(jīng)調(diào)查，該平臺(tái)存在以下問(wèn)題：登錄頁(yè)面未啟用雙因素認(rèn)證；用戶信息數(shù)據(jù)庫(kù)未加密存儲(chǔ)，且訪問(wèn)權(quán)限未嚴(yán)格限制；未對(duì)異常登錄行為（如異地登錄）進(jìn)行實(shí)時(shí)監(jiān)控。問(wèn)題：（1）分析該事件中可能涉及的網(wǎng)絡(luò)攻擊手段；（2）指出平臺(tái)在安全管理上的漏洞（至少3項(xiàng)）；（3）提出針對(duì)性的改進(jìn)措施。案例2：某中小企業(yè)為降低成本，使用默認(rèn)密碼配置了20臺(tái)IoT智能攝像頭，并將視頻流直接暴露在公網(wǎng)。2024年5月，黑客通過(guò)掃描工具批量破解攝像頭密碼，竊取了一個(gè)月內(nèi)的監(jiān)控視頻，并威脅企業(yè)支付比特幣贖回?cái)?shù)據(jù)。問(wèn)題：（1）分析該企業(yè)IoT設(shè)備面臨的主要安全風(fēng)險(xiǎn)；（2）結(jié)合《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》，說(shuō)明企業(yè)應(yīng)承擔(dān)的法律責(zé)任；（3）提出IoT設(shè)備的安全防護(hù)建議（至少4項(xiàng)）。答案及解析一、單項(xiàng)選擇題1.答案：A解析：《網(wǎng)絡(luò)安全法》第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)每年至少進(jìn)行一次檢測(cè)評(píng)估。2.答案：C解析：AES（高級(jí)加密標(biāo)準(zhǔn)）是對(duì)稱(chēng)加密算法；RSA、ECC為非對(duì)稱(chēng)加密；SHA256為哈希算法。3.答案：A解析：釣魚(yú)攻擊通過(guò)仿冒可信源（如銀行）誘導(dǎo)用戶點(diǎn)擊惡意鏈接，竊取信息。4.答案：B解析：2024年修訂的《網(wǎng)絡(luò)安全審查辦法》重點(diǎn)關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施安全。5.答案：C解析：ARP欺騙屬于網(wǎng)絡(luò)層攻擊，非Web應(yīng)用層漏洞（SQL注入、XSS、CSRF均為Web層常見(jiàn)漏洞）。6.答案：B解析：定期更換復(fù)雜密碼是防范支付風(fēng)險(xiǎn)的核心措施；免密支付、公共WiFi支付、綁定同一手機(jī)號(hào)均增加風(fēng)險(xiǎn)。7.答案：A解析：《個(gè)人信息保護(hù)法》第三十八條規(guī)定，數(shù)據(jù)出境需通過(guò)安全評(píng)估或認(rèn)證。8.答案：C解析：可審計(jì)性要求記錄操作日志，以便追溯和排查安全事件。9.答案：A解析：隱私計(jì)算的核心是“數(shù)據(jù)可用不可見(jiàn)”，在保護(hù)原始數(shù)據(jù)的前提下完成分析。10.答案：A解析：AI生成式釣魚(yú)利用AI模仿用戶社交關(guān)系（如好友、同事）生成高仿真對(duì)話，誘導(dǎo)轉(zhuǎn)賬。11.答案：B解析：密碼（知識(shí)因素）+短信驗(yàn)證碼（占有因素）屬于雙因素認(rèn)證。12.答案：A解析：IoT設(shè)備常因廠商默認(rèn)弱密碼（如“admin/admin”）導(dǎo)致易被攻擊；其他選項(xiàng)為通用風(fēng)險(xiǎn)。13.答案：B解析：《數(shù)據(jù)安全法》第二十一條明確數(shù)據(jù)分級(jí)保護(hù)制度。14.答案：C解析：定期掃描是防范U盤(pán)病毒的有效措施；自動(dòng)播放、直接打開(kāi)陌生文件會(huì)增加感染風(fēng)險(xiǎn)。15.答案：A解析：云服務(wù)責(zé)任劃分以合同中的“責(zé)任邊界條款”為準(zhǔn)，明確數(shù)據(jù)控制者（企業(yè)）與處理者（云服務(wù)商）的義務(wù)。二、判斷題1.×（殺毒軟件無(wú)法覆蓋所有新型病毒，需定期更新并配合其他防護(hù)措施）2.×（公共WiFi可能被中間人攻擊，竊取傳輸數(shù)據(jù)）3.√（以“中獎(jiǎng)”為由要求先繳費(fèi)是典型詐騙套路）4.×（HTTPS僅加密傳輸過(guò)程，若網(wǎng)站本身存在漏洞仍可能泄露信息）5.×（《個(gè)人信息保護(hù)法》規(guī)定，用于營(yíng)銷(xiāo)需單獨(dú)征得用戶同意）6.×（恢復(fù)出廠設(shè)置后數(shù)據(jù)可能通過(guò)技術(shù)手段恢復(fù)，需徹底格式化或物理銷(xiāo)毀）7.×（內(nèi)網(wǎng)可通過(guò)移動(dòng)存儲(chǔ)設(shè)備、釣魚(yú)郵件等方式被攻擊）8.×（區(qū)塊鏈不可篡改性依賴多數(shù)節(jié)點(diǎn)共識(shí)，若51%攻擊成功可篡改數(shù)據(jù)）9.√（《個(gè)人信息保護(hù)法》第三十一條規(guī)定，未成年人信息需監(jiān)護(hù)人同意）10.×（部分釣魚(yú)郵件會(huì)偽裝成真實(shí)地址，通過(guò)“發(fā)件人顯示名”欺騙用戶）三、簡(jiǎn)答題1.核心原則：默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外部任何實(shí)體（用戶、設(shè)備、應(yīng)用），需通過(guò)持續(xù)驗(yàn)證身份、設(shè)備狀態(tài)、環(huán)境安全等因素后再授權(quán)訪問(wèn)；“永不信任，始終驗(yàn)證”。應(yīng)用場(chǎng)景：企業(yè)遠(yuǎn)程辦公（如員工通過(guò)互聯(lián)網(wǎng)訪問(wèn)內(nèi)部系統(tǒng)）、多租戶云服務(wù)（隔離不同租戶資源）、跨部門(mén)數(shù)據(jù)共享（限制非必要權(quán)限）。2.常見(jiàn)類(lèi)型：ICMP洪水攻擊（利用大量ICMP請(qǐng)求耗盡帶寬）；SYN洪水攻擊（偽造TCP連接請(qǐng)求消耗服務(wù)器資源）；HTTP洪水攻擊（模擬大量用戶訪問(wèn)網(wǎng)站拖垮服務(wù)）。防御措施：部署DDoS清洗設(shè)備（如流量清洗服務(wù)）；限制單IP并發(fā)連接數(shù)；啟用云服務(wù)商的DDoS防護(hù)服務(wù)（如AWSShield）；提前擴(kuò)容帶寬應(yīng)對(duì)突發(fā)流量。3.基本義務(wù)：遵循“最小必要”原則（僅收集與服務(wù)相關(guān)的必要信息）；公開(kāi)個(gè)人信息處理規(guī)則（如隱私政策）；采取加密、去標(biāo)識(shí)化等安全技術(shù)措施；響應(yīng)用戶的查詢、更正、刪除請(qǐng)求；發(fā)生數(shù)據(jù)泄露時(shí)及時(shí)通知用戶并報(bào)告監(jiān)管部門(mén)。4.安全威脅：個(gè)人：弱密碼易被暴力破解，導(dǎo)致賬戶被盜、資金損失；企業(yè)：?jiǎn)T工弱密碼可能被攻擊者利用，入侵內(nèi)網(wǎng)竊取商業(yè)秘密或植入勒索軟件。提升建議：使用“字母+數(shù)字+符號(hào)”組合（如“P@ssw0rd2024!”）；不同賬戶使用不同密碼（避免“一密通用”）；啟用密碼管理器存儲(chǔ)復(fù)雜密碼；定期更換密碼（建議每36個(gè)月一次）。5.APT攻擊：針對(duì)特定目標(biāo)（如政府、企業(yè)）的長(zhǎng)期、隱蔽性攻擊，攻擊者具備高級(jí)技術(shù)能力，目的是竊取敏感數(shù)據(jù)或破壞系統(tǒng)。區(qū)別：普通攻擊：隨機(jī)目標(biāo)、短期、手段單一（如勒索軟件廣撒網(wǎng)）；APT攻擊：定向目標(biāo)、持續(xù)數(shù)月甚至數(shù)年、結(jié)合社會(huì)工程學(xué)與零日漏洞。四、案例分析題案例1解析：（1）攻擊手段：釣魚(yú)攻擊（通過(guò)仿冒短信誘導(dǎo)點(diǎn)擊鏈接）、賬戶劫持（利用弱認(rèn)證竊取登錄憑證）。（2）安全漏洞：未啟用雙因素認(rèn)證（單因素認(rèn)證易被破解）；用戶信息未加密存儲(chǔ)（數(shù)據(jù)泄露后直接暴露敏感信息）；未監(jiān)控異常登錄行為（無(wú)法及時(shí)發(fā)現(xiàn)攻擊）。（3）改進(jìn)措施：登錄頁(yè)面強(qiáng)制啟用雙因素認(rèn)證（如密碼+短信驗(yàn)證碼/指紋）；對(duì)用戶數(shù)據(jù)庫(kù)進(jìn)行加密存儲(chǔ)（如AES256加密），并限制數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限（最小權(quán)限原則）；部署入侵檢測(cè)系統(tǒng)（IDS），監(jiān)控異地登錄、高頻登錄等異常行為并觸發(fā)警報(bào)。案例2解析：（1）安全風(fēng)險(xiǎn)：默認(rèn)弱密碼（易被批量破解）；設(shè)備暴露公網(wǎng)（無(wú)防火墻防護(hù)，易被掃描攻擊）；視頻數(shù)據(jù)未加密存儲(chǔ)（竊取后可直接查看）；缺乏安全事件響應(yīng)機(jī)制（被勒索后無(wú)應(yīng)對(duì)方案）。（2）法律責(zé)任：違反《網(wǎng)絡(luò)安全法》第二十一條（未履行網(wǎng)絡(luò)安全保護(hù)