2025年網(wǎng)絡(luò)安全重要知識考核試題及答案一、單項(xiàng)選擇題（每題2分，共20題，合計(jì)40分）1.零信任架構(gòu)的核心設(shè)計(jì)原則是？A.基于網(wǎng)絡(luò)邊界的靜態(tài)信任B.持續(xù)驗(yàn)證所有訪問請求C.依賴單一身份認(rèn)證機(jī)制D.優(yōu)先保護(hù)內(nèi)部網(wǎng)絡(luò)資產(chǎn)2.根據(jù)《數(shù)據(jù)安全法》，重要數(shù)據(jù)的處理活動應(yīng)當(dāng)遵循的核心要求是？A.最小必要原則B.完全匿名化C.無條件本地存儲D.無需風(fēng)險(xiǎn)評估3.以下哪項(xiàng)不屬于生成式AI（AIGC）帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)？A.偽造逼真的釣魚郵件B.自動化漏洞挖掘C.生成惡意代碼D.增強(qiáng)用戶隱私保護(hù)4.工業(yè)物聯(lián)網(wǎng)（IIoT）設(shè)備的典型安全隱患不包括？A.硬編碼默認(rèn)密碼B.固件更新機(jī)制缺失C.支持多因素認(rèn)證（MFA）D.缺乏安全漏洞修復(fù)能力5.《個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息處理者向境外提供個(gè)人信息時(shí)，需通過的安全評估主體是？A.行業(yè)協(xié)會B.用戶自行同意C.國家網(wǎng)信部門D.第三方檢測機(jī)構(gòu)6.云安全中的“共享責(zé)任模型”指的是？A.云服務(wù)商與用戶共同承擔(dān)安全責(zé)任B.僅云服務(wù)商承擔(dān)所有安全責(zé)任C.僅用戶承擔(dān)數(shù)據(jù)安全責(zé)任D.政府部門介入責(zé)任劃分7.勒索軟件攻擊的關(guān)鍵階段不包括？A.數(shù)據(jù)加密B.漏洞利用C.數(shù)據(jù)脫敏D.贖金索要8.網(wǎng)絡(luò)安全等級保護(hù)2.0中，第三級信息系統(tǒng)的安全保護(hù)要求強(qiáng)調(diào)？A.自主保護(hù)B.指導(dǎo)保護(hù)C.監(jiān)督保護(hù)D.強(qiáng)制保護(hù)9.以下哪種技術(shù)屬于隱私計(jì)算的典型應(yīng)用？A.聯(lián)邦學(xué)習(xí)B.數(shù)據(jù)明文傳輸C.簡單哈希加密D.暴力破解數(shù)據(jù)10.供應(yīng)鏈安全中，針對軟件組件的風(fēng)險(xiǎn)防控重點(diǎn)是？A.僅關(guān)注開源組件的知名度B.檢測組件中的已知漏洞（如CVE）C.忽略閉源組件的安全評估D.無需記錄組件使用情況11.網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的核心目標(biāo)是？A.完全避免事件發(fā)生B.最小化事件造成的損失C.追究相關(guān)人員責(zé)任D.替代日常安全防護(hù)措施12.物聯(lián)網(wǎng)（IoT）設(shè)備大規(guī)模被植入惡意軟件后，可能形成的攻擊平臺是？A.僵尸網(wǎng)絡(luò)（Botnet）B.區(qū)塊鏈節(jié)點(diǎn)C.云存儲集群D.數(shù)據(jù)中心服務(wù)器13.根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)當(dāng)在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)前進(jìn)行的活動是？A.直接簽訂采購合同B.開展安全風(fēng)險(xiǎn)評估C.僅審查供應(yīng)商資質(zhì)D.無需向監(jiān)管部門報(bào)備14.以下哪項(xiàng)是生物特征信息（如指紋、人臉）的特殊安全風(fēng)險(xiǎn)？A.可通過簡單密碼重置恢復(fù)B.泄露后無法像密碼一樣更換C.存儲要求低于普通個(gè)人信息D.無需符合最小必要原則15.移動應(yīng)用（App）收集用戶位置信息時(shí)，違反《個(gè)人信息保護(hù)法》的行為是？A.明確告知收集目的、方式和范圍B.用戶拒絕提供后限制其他功能使用C.獲得用戶單獨(dú)同意D.僅在必要時(shí)收集精確位置16.人工智能模型的“對抗樣本攻擊”指的是？A.通過輸入特定擾動數(shù)據(jù)使模型誤判B.增強(qiáng)模型的泛化能力C.提高模型的計(jì)算效率D.優(yōu)化模型的訓(xùn)練數(shù)據(jù)質(zhì)量17.網(wǎng)絡(luò)安全審查的重點(diǎn)評估內(nèi)容不包括？A.產(chǎn)品和服務(wù)的安全性、可控性B.用戶的使用體驗(yàn)C.數(shù)據(jù)處理活動的風(fēng)險(xiǎn)D.對國家安全的影響18.數(shù)據(jù)脫敏技術(shù)中，“去標(biāo)識化”與“匿名化”的主要區(qū)別是？A.去標(biāo)識化不可復(fù)原，匿名化可復(fù)原B.去標(biāo)識化可通過其他信息復(fù)原，匿名化不可復(fù)原C.兩者均不可復(fù)原D.兩者均可復(fù)原19.工業(yè)控制系統(tǒng)（ICS）的安全防護(hù)中，最關(guān)鍵的隔離措施是？A.辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)物理隔離B.僅使用老舊操作系統(tǒng)C.不部署任何安全監(jiān)控設(shè)備D.允許所有外部設(shè)備接入20.網(wǎng)絡(luò)安全意識培訓(xùn)的核心目標(biāo)是？A.讓員工掌握漏洞挖掘技術(shù)B.提升員工對安全風(fēng)險(xiǎn)的識別和應(yīng)對能力C.替代技術(shù)防護(hù)措施D.減少安全設(shè)備的采購成本二、多項(xiàng)選擇題（每題3分，共10題，合計(jì)30分。每題至少有2個(gè)正確選項(xiàng)，錯(cuò)選、漏選均不得分）1.以下屬于《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)運(yùn)營者義務(wù)的是？A.制定內(nèi)部安全管理制度和操作規(guī)程B.采取技術(shù)措施防范網(wǎng)絡(luò)攻擊C.留存網(wǎng)絡(luò)日志不少于六個(gè)月D.向用戶免費(fèi)提供所有網(wǎng)絡(luò)服務(wù)2.數(shù)據(jù)分類分級的主要依據(jù)包括？A.數(shù)據(jù)的重要程度B.數(shù)據(jù)泄露可能造成的影響C.數(shù)據(jù)的產(chǎn)生時(shí)間D.數(shù)據(jù)的存儲介質(zhì)類型3.云環(huán)境下的典型安全風(fēng)險(xiǎn)包括？A.共享資源隔離失效B.云服務(wù)商內(nèi)部違規(guī)操作C.用戶身份認(rèn)證漏洞D.物理服務(wù)器的自然災(zāi)害4.防范釣魚攻擊的有效措施有？A.部署郵件過濾系統(tǒng)（SPAMFilter）B.開展員工釣魚模擬演練C.使用多因素認(rèn)證（MFA）D.僅使用明文傳輸協(xié)議5.物聯(lián)網(wǎng)設(shè)備安全加固的措施包括？A.定期更新固件補(bǔ)丁B.禁用默認(rèn)賬號和密碼C.關(guān)閉不必要的網(wǎng)絡(luò)端口D.不進(jìn)行任何安全配置6.根據(jù)《數(shù)據(jù)出境安全評估辦法》，數(shù)據(jù)出境需要申報(bào)安全評估的情形包括？A.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)出境B.處理100萬人以上個(gè)人信息的數(shù)據(jù)出境C.自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息的數(shù)據(jù)出境D.所有企業(yè)的數(shù)據(jù)出境7.人工智能安全的關(guān)鍵挑戰(zhàn)包括？A.模型可解釋性不足B.訓(xùn)練數(shù)據(jù)中的偏見C.對抗攻擊威脅D.計(jì)算資源消耗低8.供應(yīng)鏈安全管理需要覆蓋的環(huán)節(jié)有？A.供應(yīng)商資質(zhì)審核B.軟件組件漏洞檢測（如SBOM）C.交付后的持續(xù)監(jiān)控D.僅關(guān)注最終產(chǎn)品的功能9.網(wǎng)絡(luò)安全事件分級的主要依據(jù)是？A.事件的影響范圍B.事件造成的經(jīng)濟(jì)損失C.事件的技術(shù)復(fù)雜度D.事件對國家安全、社會秩序的影響10.隱私計(jì)算的應(yīng)用場景包括？A.金融機(jī)構(gòu)聯(lián)合風(fēng)控B.醫(yī)療數(shù)據(jù)跨機(jī)構(gòu)共享C.政府部門數(shù)據(jù)協(xié)同分析D.個(gè)人信息無限制公開三、判斷題（每題1分，共10題，合計(jì)10分。正確填“√”，錯(cuò)誤填“×”）1.網(wǎng)絡(luò)安全等級保護(hù)是僅針對政府部門的安全要求。（）2.數(shù)據(jù)加密后，原數(shù)據(jù)的安全風(fēng)險(xiǎn)可完全消除。（）3.員工誤點(diǎn)釣魚鏈接不會導(dǎo)致企業(yè)數(shù)據(jù)泄露。（）4.物聯(lián)網(wǎng)設(shè)備數(shù)量多、分布廣，無需納入統(tǒng)一安全管理。（）5.云服務(wù)商應(yīng)承擔(dān)用戶數(shù)據(jù)泄露的全部責(zé)任。（）6.個(gè)人信息處理者無需告知用戶信息處理的具體規(guī)則。（）7.工業(yè)控制系統(tǒng)（ICS）可以直接連接互聯(lián)網(wǎng)以提高效率。（）8.供應(yīng)鏈安全僅需關(guān)注直接供應(yīng)商，無需審查次級供應(yīng)商。（）9.生成式AI生成的內(nèi)容無需標(biāo)注來源即可公開傳播。（）10.網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)立即向社會公眾公布所有細(xì)節(jié)。（）四、簡答題（每題5分，共6題，合計(jì)30分）1.簡述零信任架構(gòu)的“持續(xù)驗(yàn)證”原則及其在實(shí)際部署中的關(guān)鍵措施。2.列舉《數(shù)據(jù)安全法》中數(shù)據(jù)處理者的三項(xiàng)核心義務(wù)。3.說明物聯(lián)網(wǎng)（IoT）設(shè)備與傳統(tǒng)IT設(shè)備在安全防護(hù)上的主要差異。4.解釋“軟件物料清單（SBOM）”在供應(yīng)鏈安全中的作用。5.簡述應(yīng)對勒索軟件攻擊的事前預(yù)防與事后處置措施。6.分析生成式AI（AIGC）對網(wǎng)絡(luò)安全防護(hù)帶來的雙重影響（機(jī)遇與挑戰(zhàn)）。五、案例分析題（每題10分，共2題，合計(jì)20分）案例1：某醫(yī)療健康平臺因數(shù)據(jù)庫權(quán)限管理漏洞，導(dǎo)致10萬條患者個(gè)人信息（包含姓名、病歷、聯(lián)系方式）被非法獲取。經(jīng)調(diào)查，平臺未對敏感數(shù)據(jù)進(jìn)行加密存儲，且未設(shè)置訪問日志審計(jì)功能。問題：（1）分析該事件暴露的主要安全隱患。（2）指出平臺違反的相關(guān)法律法規(guī)（至少2部）。（3）提出后續(xù)整改的具體措施。案例2：某企業(yè)近期頻繁收到員工反饋，收到“來自財(cái)務(wù)部門”的郵件，要求點(diǎn)擊鏈接填寫銀行賬戶信息以發(fā)放獎(jiǎng)金。經(jīng)安全團(tuán)隊(duì)分析，郵件中的鏈接指向仿冒的企業(yè)官網(wǎng)，且內(nèi)容與真實(shí)財(cái)務(wù)流程不符。進(jìn)一步檢測發(fā)現(xiàn)，仿冒郵件的文本內(nèi)容、簽名格式與真實(shí)郵件高度相似，疑似使用生成式AI技術(shù)生成。問題：（1）判斷該攻擊的類型，并分析生成式AI在其中的作用。（2）提出企業(yè)應(yīng)對此類攻擊的技術(shù)與管理措施。答案一、單項(xiàng)選擇題1.B2.A3.D4.C5.C6.A7.C8.C9.A10.B11.B12.A13.B14.B15.B16.A17.B18.B19.A20.B二、多項(xiàng)選擇題1.ABC2.AB3.ABC4.ABC5.ABC6.AB7.ABC8.ABC9.ABD10.ABC三、判斷題1.×2.×3.×4.×5.×6.×7.×8.×9.×10.×四、簡答題1.零信任的“持續(xù)驗(yàn)證”原則指對所有訪問請求（無論來自內(nèi)部或外部）進(jìn)行動態(tài)身份認(rèn)證、權(quán)限檢查和風(fēng)險(xiǎn)評估，而非基于靜態(tài)網(wǎng)絡(luò)邊界信任。實(shí)際部署措施包括：（1）實(shí)施多因素認(rèn)證（MFA）；（2）基于用戶行為分析（UBA）動態(tài)調(diào)整訪問權(quán)限；（3）部署網(wǎng)絡(luò)微隔離，限制橫向移動；（4）實(shí)時(shí)監(jiān)控終端設(shè)備的安全狀態(tài)（如補(bǔ)丁更新、病毒庫狀態(tài)）。2.《數(shù)據(jù)安全法》規(guī)定的核心義務(wù)：（1）建立數(shù)據(jù)分類分級制度，采取相應(yīng)保護(hù)措施；（2）開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估并及時(shí)整改；（3）履行數(shù)據(jù)安全事件報(bào)告義務(wù)（發(fā)生數(shù)據(jù)泄露等事件時(shí)，及時(shí)向有關(guān)部門報(bào)告）；（4）對重要數(shù)據(jù)的處理活動進(jìn)行安全審查（可選三項(xiàng)）。3.主要差異：（1）IoT設(shè)備資源受限（計(jì)算、存儲能力弱），難以部署復(fù)雜安全軟件；（2）IoT設(shè)備通常24小時(shí)運(yùn)行，固件更新難度大；（3）IoT設(shè)備分布分散（如智能家居、工業(yè)傳感器），管理復(fù)雜度高；（4）部分IoT設(shè)備直接連接物理世界（如醫(yī)療設(shè)備、工業(yè)控制器），安全漏洞可能導(dǎo)致物理損害。4.SBOM（軟件物料清單）是軟件組件的“成分表”，記錄所有第三方/開源組件的名稱、版本、供應(yīng)商等信息。其作用：（1）幫助識別組件中的已知漏洞（如通過CVE數(shù)據(jù)庫匹配）；（2）明確供應(yīng)鏈責(zé)任邊界；（3）支持漏洞的快速溯源與修復(fù)；（4）滿足法規(guī)（如美國《網(wǎng)絡(luò)安全行政令》）對供應(yīng)鏈透明性的要求。5.事前預(yù)防：（1）定期備份數(shù)據(jù)（離線存儲、異機(jī)備份）；（2）部署端點(diǎn)檢測與響應(yīng)（EDR）系統(tǒng)；（3）關(guān)閉不必要的端口和服務(wù)；（4）開展員工安全培訓(xùn)（如不點(diǎn)擊可疑鏈接）。事后處置：（1）立即隔離受感染設(shè)備，防止橫向傳播；（2）啟動應(yīng)急預(yù)案，評估數(shù)據(jù)加密范圍；（3）向公安機(jī)關(guān)、監(jiān)管部門報(bào)告；（4）聯(lián)系安全廠商分析攻擊路徑，修復(fù)漏洞；（5）謹(jǐn)慎考慮是否支付贖金（需評估法律風(fēng)險(xiǎn)與數(shù)據(jù)恢復(fù)可能性）。6.機(jī)遇：（1）AI可自動化分析日志，快速識別異常行為；（2）生成式AI可模擬攻擊場景，輔助測試防御系統(tǒng)；（3）AI驅(qū)動的威脅情報(bào)分析提升風(fēng)險(xiǎn)預(yù)警能力。挑戰(zhàn)：（1）生成偽造內(nèi)容（如釣魚郵件、虛假身份）更難識別；（2）自動化生成惡意代碼（如勒索軟件變種）加速攻擊擴(kuò)散；（3）AI模型本身可能存在漏洞（如對抗樣本攻擊），導(dǎo)致誤判或失效。五、案例分析題案例1：（1）主要隱患：①數(shù)據(jù)庫權(quán)限管理松散（未最小化授權(quán)）；②敏感數(shù)據(jù)未加密存儲（如病歷屬于敏感個(gè)人信息）；③缺乏訪問日志審計(jì)（無法追蹤違規(guī)操作）；④未落實(shí)數(shù)據(jù)安全保護(hù)技術(shù)措施（如《數(shù)據(jù)安全法》要求的加密、訪問控制）。（2）違反法規(guī)：《個(gè)人信息保護(hù)法》（未對敏感個(gè)人信息采取嚴(yán)格保護(hù)措施）、《數(shù)據(jù)安全法》（未履行數(shù)據(jù)安全保護(hù)義務(wù)）、《醫(yī)療數(shù)據(jù)管理辦法》（醫(yī)療數(shù)據(jù)的特殊保護(hù)要求）。（3）整改措施：①對數(shù)據(jù)庫進(jìn)行權(quán)限最小化配置（如僅允許必要人員訪問）；②對患者姓名、病歷等敏感數(shù)據(jù)進(jìn)行加密存儲（如AES加密）；③部署日志審計(jì)系統(tǒng)，記錄所有數(shù)據(jù)庫訪問操作（包括時(shí)間、用戶、操作內(nèi)容）；④開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，完善安全管理制度；⑤向受影響用戶告知事件情況并采取補(bǔ)救措施（如身份保護(hù)服務(wù)）。案例2：（1）攻擊類型：AI增強(qiáng)型釣魚攻擊（或“深度偽造釣魚攻擊”）。生成式AI的作用：①