2025年大學(xué)生網(wǎng)絡(luò)安全知識競賽試題庫及答案一、單項選擇題（每題2分，共40分）1.以下哪種攻擊方式通過向目標(biāo)服務(wù)器發(fā)送大量偽造的請求，消耗其資源導(dǎo)致服務(wù)不可用？A.SQL注入B.DDoS攻擊C.跨站腳本（XSS）D.中間人攻擊答案：B2.根據(jù)《中華人民共和國個人信息保護(hù)法》，處理個人信息應(yīng)當(dāng)遵循“最小必要原則”，其核心要求是？A.收集的個人信息種類和數(shù)量應(yīng)限于實現(xiàn)處理目的的最小范圍B.必須獲得用戶書面同意C.個人信息存儲時間無限制D.可將個人信息提供給任意第三方答案：A3.以下哪種加密算法屬于非對稱加密？A.AES-256B.DESC.RSAD.SHA-256答案：C4.某高校學(xué)生收到一封郵件，標(biāo)題為“教務(wù)系統(tǒng)密碼重置通知”，要求點擊鏈接輸入學(xué)號和密碼。這最可能是哪種攻擊？A.釣魚攻擊B.勒索軟件攻擊C.緩沖區(qū)溢出攻擊D.端口掃描答案：A5.下列哪項不屬于網(wǎng)絡(luò)安全等級保護(hù)的基本要求？A.物理安全B.數(shù)據(jù)備份C.應(yīng)用安全D.管理安全答案：B6.物聯(lián)網(wǎng)設(shè)備（如智能攝像頭）常見的安全隱患不包括？A.默認(rèn)弱密碼B.固件未及時更新C.支持5G通信D.缺乏訪問控制機(jī)制答案：C7.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對網(wǎng)絡(luò)安全狀況進(jìn)行檢測評估，頻率至少為？A.每季度一次B.每半年一次C.每年一次D.每兩年一次答案：C8.以下哪種技術(shù)可用于防止數(shù)據(jù)被篡改？A.數(shù)字簽名B.對稱加密C.VPND.防火墻答案：A9.某用戶登錄社交平臺時，系統(tǒng)要求輸入短信驗證碼，這屬于哪種安全措施？A.單因素認(rèn)證B.雙因素認(rèn)證C.多因素認(rèn)證D.零信任認(rèn)證答案：B10.以下關(guān)于區(qū)塊鏈安全的描述，錯誤的是？A.區(qū)塊鏈的共識機(jī)制（如PoW）可防止雙花攻擊B.智能合約漏洞可能導(dǎo)致資產(chǎn)損失C.私鑰丟失后可通過區(qū)塊鏈節(jié)點恢復(fù)D.51%攻擊可能破壞區(qū)塊鏈的一致性答案：C11.網(wǎng)絡(luò)安全中“零信任架構(gòu)”的核心原則是？A.信任內(nèi)部網(wǎng)絡(luò)所有設(shè)備B.持續(xù)驗證訪問請求的合法性C.僅允許管理員訪問關(guān)鍵系統(tǒng)D.關(guān)閉所有外部網(wǎng)絡(luò)接口答案：B12.下列哪項是勒索軟件的典型特征？A.竊取用戶隱私信息B.加密用戶文件并索要贖金C.監(jiān)控用戶鍵盤輸入D.篡改瀏覽器首頁答案：B13.根據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定____，及時處置系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險。A.網(wǎng)絡(luò)安全應(yīng)急預(yù)案B.用戶信息刪除制度C.數(shù)據(jù)加密方案D.員工培訓(xùn)計劃答案：A14.以下哪種協(xié)議用于安全傳輸網(wǎng)頁數(shù)據(jù)？A.HTTPB.FTPC.HTTPSD.SMTP答案：C15.某高校圖書館Wi-Fi未設(shè)置密碼，學(xué)生連接后可能面臨的風(fēng)險不包括？A.中間人攻擊（監(jiān)聽通信內(nèi)容）B.設(shè)備被植入惡意軟件C.免費訪問所有學(xué)術(shù)資源D.個人敏感信息泄露答案：C16.以下關(guān)于生物識別技術(shù)（如指紋、人臉識別）的安全風(fēng)險，描述錯誤的是？A.生物特征信息一旦泄露無法更改（如指紋）B.偽造的指紋或3D人臉模型可能繞過識別系統(tǒng)C.生物特征數(shù)據(jù)存儲應(yīng)采用加密技術(shù)D.所有生物識別系統(tǒng)均絕對安全答案：D17.物聯(lián)網(wǎng)（IoT）設(shè)備的安全防護(hù)重點不包括？A.硬件安全（如防物理篡改）B.軟件安全（如固件更新機(jī)制）C.通信安全（如使用加密協(xié)議）D.設(shè)備顏色設(shè)計答案：D18.以下哪種行為符合網(wǎng)絡(luò)安全規(guī)范？A.共享個人賬號給同學(xué)用于訪問教學(xué)平臺B.定期更新操作系統(tǒng)和應(yīng)用程序補(bǔ)丁C.將重要文件保存在桌面且不加密D.點擊陌生郵件中的“中獎鏈接”答案：B19.云計算環(huán)境中，“數(shù)據(jù)主權(quán)”問題主要指？A.數(shù)據(jù)存儲位置是否符合法律法規(guī)（如境內(nèi)存儲）B.云服務(wù)商的服務(wù)器品牌C.數(shù)據(jù)的計算速度D.云服務(wù)的價格答案：A20.以下哪項是社會工程學(xué)攻擊的典型手段？A.通過漏洞掃描工具獲取系統(tǒng)權(quán)限B.冒充客服索要用戶密碼C.利用SQL注入獲取數(shù)據(jù)庫數(shù)據(jù)D.發(fā)送攜帶惡意代碼的電子郵件附件答案：B二、判斷題（每題1分，共15分）1.弱密碼（如“123456”）僅影響個人賬戶安全，不會對其他用戶造成威脅。（）答案：×（弱密碼可能導(dǎo)致賬號被破解后，攻擊者利用該賬號訪問共享資源或發(fā)起進(jìn)一步攻擊）2.所有通過HTTPS傳輸?shù)臄?shù)據(jù)都是絕對安全、無法被截獲的。（）答案：×（HTTPS加密僅保護(hù)傳輸過程，但無法防止釣魚網(wǎng)站或客戶端被植入惡意程序）3.安裝殺毒軟件后，無需再更新系統(tǒng)補(bǔ)丁。（）答案：×（殺毒軟件無法覆蓋所有漏洞，及時更新補(bǔ)丁是關(guān)鍵防護(hù)措施）4.社交平臺上公開個人生日、住址等信息不會引發(fā)安全風(fēng)險。（）答案：×（這些信息可能被用于社工攻擊或密碼猜測）5.區(qū)塊鏈的“去中心化”特性意味著其完全不受網(wǎng)絡(luò)攻擊影響。（）答案：×（區(qū)塊鏈可能面臨51%攻擊、智能合約漏洞等風(fēng)險）6.網(wǎng)絡(luò)安全等級保護(hù)（等保2.0）要求對第三級以上信息系統(tǒng)進(jìn)行強(qiáng)制保護(hù)。（）答案：√7.手機(jī)開啟“位置共享”功能后，只有授權(quán)用戶能獲取實時位置，因此絕對安全。（）答案：×（惡意軟件或系統(tǒng)漏洞可能導(dǎo)致位置信息被非法獲取）8.使用公共Wi-Fi時，通過VPN連接可有效保護(hù)通信安全。（）答案：√9.數(shù)據(jù)脫敏是指將敏感信息（如身份證號）替換為虛構(gòu)但格式一致的數(shù)據(jù)（如“4401061234”）。（）答案：√10.電子郵件的“已讀回執(zhí)”功能可以防止郵件內(nèi)容被篡改。（）答案：×（已讀回執(zhí)僅提示對方是否閱讀，無法防止篡改）11.智能手表連接手機(jī)后，其存儲的運動數(shù)據(jù)無需加密，因為僅用戶本人可見。（）答案：×（設(shè)備丟失或被入侵時，未加密數(shù)據(jù)可能泄露）12.《數(shù)據(jù)安全法》規(guī)定，數(shù)據(jù)處理者應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度，對重要數(shù)據(jù)進(jìn)行重點保護(hù)。（）答案：√13.網(wǎng)站“記住密碼”功能會將密碼明文存儲在瀏覽器中，因此存在安全風(fēng)險。（）答案：×（現(xiàn)代瀏覽器通常采用加密存儲，但仍可能因設(shè)備被入侵導(dǎo)致泄露）14.拒絕服務(wù)攻擊（DoS）的目的是破壞目標(biāo)系統(tǒng)的數(shù)據(jù)完整性。（）答案：×（DoS的目的是導(dǎo)致服務(wù)不可用，破壞可用性）15.網(wǎng)絡(luò)安全中“最小權(quán)限原則”指用戶僅獲得完成任務(wù)所需的最低權(quán)限。（）答案：√三、填空題（每題2分，共20分）1.網(wǎng)絡(luò)安全的核心目標(biāo)是保護(hù)信息的____、____和____（填寫三個關(guān)鍵詞）。答案：機(jī)密性、完整性、可用性2.常見的身份認(rèn)證方式包括____認(rèn)證（如密碼）、____認(rèn)證（如指紋）和____認(rèn)證（如動態(tài)令牌）。答案：知識型、生物特征型、持有型3.《中華人民共和國網(wǎng)絡(luò)安全法》自____年____月____日起施行。答案：2017、6、14.物聯(lián)網(wǎng)（IoT）設(shè)備的通信協(xié)議中，____（填縮寫）是一種低功耗、短距離無線通信技術(shù)，常見于智能家居設(shè)備。答案：ZigBee5.數(shù)據(jù)庫安全中，防止未授權(quán)用戶讀取數(shù)據(jù)的措施稱為____，防止數(shù)據(jù)被篡改的措施稱為____。答案：訪問控制、完整性校驗6.釣魚攻擊的常見手段包括____釣魚（通過郵件）、____釣魚（通過即時通訊工具）和____釣魚（通過虛假網(wǎng)站）。答案：郵件、即時通訊、網(wǎng)頁7.區(qū)塊鏈的三大核心技術(shù)是____、____和____。答案：分布式賬本、共識機(jī)制、加密算法8.網(wǎng)絡(luò)安全領(lǐng)域的“APT攻擊”指____，其特點是____、____和____。答案：高級持續(xù)性威脅、隱蔽性強(qiáng)、攻擊周期長、目標(biāo)明確9.云計算的三種服務(wù)模式是____（IaaS）、____（PaaS）和____（SaaS）。答案：基礎(chǔ)設(shè)施即服務(wù)、平臺即服務(wù)、軟件即服務(wù)10.個人信息“去標(biāo)識化”是指通過技術(shù)手段將個人信息處理為____，使其無法單獨或結(jié)合其他信息識別特定自然人的過程。答案：無法識別特定自然人且不能復(fù)原四、簡答題（每題5分，共20分）1.簡述SQL注入攻擊的原理及防范措施。答案：原理：攻擊者通過在用戶輸入字段中插入惡意SQL代碼，利用程序未對輸入進(jìn)行嚴(yán)格校驗的漏洞，使數(shù)據(jù)庫執(zhí)行非預(yù)期的SQL命令，從而獲取、修改或刪除數(shù)據(jù)。防范措施：①使用預(yù)編譯語句（PreparedStatement），參數(shù)化查詢；②對用戶輸入進(jìn)行嚴(yán)格的類型檢查和轉(zhuǎn)義處理；③限制數(shù)據(jù)庫用戶權(quán)限（如僅授予查詢權(quán)限）；④定期更新數(shù)據(jù)庫補(bǔ)丁，關(guān)閉不必要的存儲過程；⑤啟用Web應(yīng)用防火墻（WAF）檢測異常SQL語句。2.說明“零信任架構(gòu)”的核心原則及其在高校網(wǎng)絡(luò)中的應(yīng)用場景。答案：核心原則：①永不信任，持續(xù)驗證：所有訪問請求（無論來自內(nèi)部還是外部）均需驗證身份、設(shè)備狀態(tài)、網(wǎng)絡(luò)環(huán)境等；②最小權(quán)限訪問：根據(jù)用戶角色和任務(wù)需求，僅授予必要的訪問權(quán)限；③動態(tài)調(diào)整策略：基于實時風(fēng)險評估，動態(tài)調(diào)整訪問控制策略。高校應(yīng)用場景：①學(xué)生訪問教務(wù)系統(tǒng)時，需驗證賬號密碼+短信驗證碼+設(shè)備信任狀態(tài)（如是否為校園網(wǎng)終端）；②教師訪問科研數(shù)據(jù)庫時，根據(jù)其所屬學(xué)院和研究方向，限制可訪問的數(shù)據(jù)范圍；③校外人員通過VPN接入校園網(wǎng)時，需額外驗證訪問目的（如學(xué)術(shù)交流）并記錄行為日志。3.列舉三種常見的社會工程學(xué)攻擊手段，并舉例說明。答案：①冒充權(quán)威：攻擊者偽裝成學(xué)校IT部門工作人員，致電學(xué)生稱“賬號存在安全風(fēng)險，需提供密碼重置”；②誘騙下載：通過社交平臺發(fā)送“最新考試資料”鏈接，誘導(dǎo)用戶下載含惡意軟件的壓縮包；③釣魚郵件：發(fā)送標(biāo)題為“獎學(xué)金到賬通知”的郵件，要求點擊鏈接填寫銀行卡信息；④尾隨和觀察：在圖書館觀察學(xué)生輸入校園卡密碼，隨后盜用賬號。（任選三種即可）4.結(jié)合《個人信息保護(hù)法》，說明高校在處理學(xué)生個人信息時應(yīng)遵循的合規(guī)要求。答案：①合法正當(dāng)必要：收集學(xué)生信息需有明確法律依據(jù)（如教學(xué)管理），且限于最小必要范圍（如僅收集姓名、學(xué)號、聯(lián)系方式，不額外收集家庭住址）；②公開透明：通過隱私政策告知學(xué)生信息處理目的、方式、存儲期限等，獲得學(xué)生或其監(jiān)護(hù)人（未成年人）的同意；③安全保障：采取加密存儲、訪問控制等技術(shù)措施，防止信息泄露；④權(quán)利保障：學(xué)生有權(quán)查詢、更正、刪除個人信息，高校需提供便捷渠道；⑤跨境傳輸限制：若需向境外提供學(xué)生信息，需通過安全評估或簽訂標(biāo)準(zhǔn)合同。五、案例分析題（共5分）案例背景：某高校學(xué)生小王在圖書館連接公共Wi-Fi后，登錄了個人網(wǎng)上銀行。次日，發(fā)現(xiàn)銀行賬戶被盜刷2000元。經(jīng)調(diào)查，該Wi-Fi為攻擊者偽造的“圖書館-免費”熱點，小王連接后，攻擊者通過中間人攻擊截獲了其網(wǎng)銀登錄信息。問題：（1）分析小王遭遇的安全風(fēng)險類型及攻擊者的主要手段；（2）提出三條小王在未來使用公共Wi-Fi時可采取的防護(hù)措施。答案：（1）風(fēng)險類型：網(wǎng)絡(luò)通信劫持（中間人攻擊）；攻擊者手段：偽造熱點（仿冒合法Wi-Fi名稱）、監(jiān)聽未加密的通信數(shù)據(jù)、截獲網(wǎng)銀登