2025年網(wǎng)絡(luò)安全意識(shí)培訓(xùn)試卷及答案一、單選題（每題2分，共30分。每題只有一個(gè)正確答案，請(qǐng)將正確選項(xiàng)字母填在括號(hào)內(nèi)）1.2024年12月，某境外APT組織利用國(guó)內(nèi)某郵件系統(tǒng)0day漏洞發(fā)起定向釣魚，首次投遞的惡意附件后綴名為（）。A..exeB..docxC..isoD..pdf答案：C2.根據(jù)《個(gè)人信息保護(hù)法》第38條，因業(yè)務(wù)需要向境外提供個(gè)人信息時(shí)，企業(yè)必須完成的安全評(píng)估報(bào)告有效期為（）。A.6個(gè)月B.1年C.2年D.3年答案：C3.2025年3月，微軟補(bǔ)丁日修復(fù)的CVE20250796屬于哪一類漏洞（）。A.遠(yuǎn)程代碼執(zhí)行B.權(quán)限提升C.信息泄露D.拒絕服務(wù)答案：A4.在零信任架構(gòu)中，用于動(dòng)態(tài)評(píng)估終端安全狀態(tài)的協(xié)議是（）。A.RADIUSB.TACACS+C.PostureAgentD.Kerberos答案：C5.某員工收到“工資補(bǔ)貼未領(lǐng)取”的短信，點(diǎn)擊鏈接后手機(jī)自動(dòng)安裝“××助手”，該木馬常用權(quán)限申請(qǐng)方式是（）。A.懸浮窗B.輔助服務(wù)C.設(shè)備管理器D.通知監(jiān)聽答案：B6.2025年1月1日起施行的《數(shù)據(jù)出境安全評(píng)估辦法》將“敏感個(gè)人信息”閾值從10萬人下調(diào)至（）人。A.1萬B.5千C.3千D.1千答案：D7.采用SM4GCM模式加密時(shí)，IV長(zhǎng)度應(yīng)為（）字節(jié)。A.8B.12C.16D.32答案：B8.2024年BlackHat公布的“HTTP/2RapidReset”DDoS攻擊主要利用的協(xié)議特性是（）。A.流復(fù)用B.服務(wù)器推送C.優(yōu)先級(jí)樹D.流量控制答案：A9.在Windows1124H2中，默認(rèn)啟用可阻止所有Office宏的策略名稱是（）。A.ASRB.MOTWC.BlockMacrosD.VBAKill答案：A10.某單位使用密碼器生成SM2簽名，若私鑰d_A泄露，攻擊者最可能發(fā)起的攻擊是（）。A.偽造簽名B.破解密文C.中間人D.重放答案：A11.2025年QSAC發(fā)布的《云原生安全白皮書》將“容器逃逸”首要風(fēng)險(xiǎn)歸為（）層。A.內(nèi)核B.運(yùn)行時(shí)C.鏡像D.編排答案：A12.依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，運(yùn)營(yíng)者發(fā)生較大安全事件后，向保護(hù)工作部門報(bào)告的時(shí)限為（）小時(shí)。A.1B.2C.4D.8答案：A13.2025年4月，IETF發(fā)布的TLS1.3擴(kuò)展草案中，用于后量子密鑰交換的算法是（）。A.KyberB.DilithiumC.FalconD.Saber答案：A14.某單位采用“人臉識(shí)別+短信驗(yàn)證碼”雙因子，其中短信驗(yàn)證碼被運(yùn)營(yíng)商“短信保管箱”功能同步至云端，該場(chǎng)景主要違反的原則是（）。A.最小權(quán)限B.隱私最小化C.可審計(jì)D.可撤銷答案：B15.2025年新版《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》將“云等?！睌U(kuò)展為（）個(gè)安全層面。A.5B.6C.7D.8答案：D二、多選題（每題3分，共30分。每題有兩個(gè)或兩個(gè)以上正確答案，多選、少選、錯(cuò)選均不得分）16.以下哪些屬于2025年OWASPTop10新增風(fēng)險(xiǎn)（）。A.服務(wù)器端請(qǐng)求偽造B.供應(yīng)鏈缺陷C.身份識(shí)別失敗D.日志與監(jiān)控不足答案：AB17.關(guān)于“量子計(jì)算對(duì)RSA的威脅”，下列說法正確的是（）。A.Shor算法可在多項(xiàng)式時(shí)間分解大整數(shù)B.2048位RSA在擁有1000邏輯量子比特時(shí)即存在實(shí)質(zhì)風(fēng)險(xiǎn)C.對(duì)稱加密密鑰長(zhǎng)度需至少翻倍才能保持同等安全D.哈希算法不受量子計(jì)算顯著影響答案：AC18.2025年3月，Google披露的“Chrome0day（CVE20251234）”攻擊鏈包含（）。A.沙箱逃逸B.V8類型混淆C.內(nèi)核提權(quán)D.字體解析漏洞答案：ABC19.以下哪些日志源可用于檢測(cè)“LivingofftheLand”攻擊（）。A.SysmonEventID1B.PowerShellScriptBlockC.WMIEventConsumerD.IIS訪問日志答案：ABC20.依據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理活動(dòng)包括（）。A.收集B.存儲(chǔ)C.使用D.刪除答案：ABCD21.2025年新版《個(gè)人信息安全規(guī)范》要求，App在后臺(tái)運(yùn)行時(shí)，如需持續(xù)獲取位置信息，必須滿足（）。A.顯著告知B.單獨(dú)同意C.提供30秒內(nèi)關(guān)閉選項(xiàng)D.每次使用前重新彈窗答案：ABC22.以下哪些屬于“數(shù)據(jù)分類分級(jí)”中“核心數(shù)據(jù)”特征（）。A.涉及國(guó)家主權(quán)B.一旦泄露造成重大危害C.覆蓋人口超過100萬D.精度達(dá)街道級(jí)答案：AB23.2025年5月，CNCERT發(fā)布的“挖礦木馬自查清單”建議關(guān)閉的常用端口包括（）。A.3333B.4444C.5555D.7777答案：ABCD24.關(guān)于“安全多方計(jì)算（MPC）”描述正確的是（）。A.可在不泄露各自輸入前提下完成聯(lián)合計(jì)算B.需可信第三方參與C.基于秘密共享或同態(tài)加密D.2025年國(guó)內(nèi)金融場(chǎng)景首次實(shí)現(xiàn)千萬級(jí)樣本聯(lián)合建模答案：ACD25.2025年1月，某省政務(wù)云采用“國(guó)密雙證書”體系，包含（）。A.SM2簽名證書B.SM2加密證書C.RSA加密證書D.SM9標(biāo)識(shí)密碼證書答案：AB三、判斷題（每題1分，共10分。正確打“√”，錯(cuò)誤打“×”）26.2025年起，所有等級(jí)保護(hù)三級(jí)系統(tǒng)必須采用“國(guó)密算法”進(jìn)行數(shù)據(jù)存儲(chǔ)加密。（）答案：√27.Windows1124H2默認(rèn)關(guān)閉SMBv1，但允許管理員手動(dòng)開啟用于兼容老舊打印機(jī)。（）答案：√28.2025年發(fā)布的《人工智能安全治理框架》要求，生成式AI產(chǎn)品上線前須通過“紅隊(duì)測(cè)試”備案。（）答案：√29.采用TLS1.3后，由于強(qiáng)制前向保密，企業(yè)無法通過SSL可視化解密進(jìn)行合規(guī)審計(jì)。（）答案：×30.2025年3月，Linux內(nèi)核合并的“KernelRuntimeSecurityInstrumentation”可實(shí)時(shí)攔截eBPF惡意程序。（）答案：√31.依據(jù)《密碼法》，任何單位和個(gè)人不得利用密碼從事危害國(guó)家安全活動(dòng)，但可自主開發(fā)加密算法用于商業(yè)。（）答案：×32.2025年新版《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)指南》將工業(yè)APP納入二級(jí)以上監(jiān)管。（）答案：√33.2025年5月，蘋果iOS17.5修復(fù)的0day漏洞可繞過LockdownMode。（）答案：√34.2025年起，國(guó)內(nèi)所有公共API接口必須在響應(yīng)頭中返回“XDataProvince”字段用于數(shù)據(jù)出境溯源。（）答案：×35.2025年5月，國(guó)家網(wǎng)信辦對(duì)“匿名群聊”實(shí)施備案管理，要求平臺(tái)保存群主實(shí)名信息不少于三年。（）答案：√四、填空題（每空2分，共20分）36.2025年2月，ApacheLog4j再曝漏洞CVE20251010，其CVSSv4評(píng)分為________。答案：9.837.在零信任參考架構(gòu)NISTSP800207中，________模塊負(fù)責(zé)持續(xù)信任評(píng)估。答案：PolicyEngine38.2025年1月，國(guó)內(nèi)首個(gè)“數(shù)據(jù)海關(guān)”試點(diǎn)城市為________。答案：上海39.SM2簽名算法中，若橢圓曲線參數(shù)p為256位，則私鑰長(zhǎng)度固定為________字節(jié)。答案：3240.2025年4月，國(guó)家網(wǎng)信辦對(duì)“算法推薦”新規(guī)要求，關(guān)閉個(gè)性化推薦按鈕需在________步操作內(nèi)完成。答案：441.2025年5月，IETF發(fā)布的HTTP/3RFC9114將默認(rèn)擁塞控制算法改為________。答案：BBRv242.2025年3月，某APT組織利用GitHubAction投毒，其惡意工作流文件名為________。答案：build.yml43.2025年新版《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》要求，廠商在收到漏洞報(bào)告后________小時(shí)內(nèi)公開致謝。答案：4844.2025年，國(guó)內(nèi)首個(gè)通過商用密碼產(chǎn)品認(rèn)證的“量子隨機(jī)數(shù)發(fā)生器”芯片型號(hào)為________。答案：QRNG10045.2025年6月，歐盟《AI法案》正式生效，將“社會(huì)信用評(píng)分系統(tǒng)”劃為________風(fēng)險(xiǎn)等級(jí)。答案：不可接受五、簡(jiǎn)答題（每題10分，共30分）46.2025年4月，某金融App被曝出“熱更新”通道遭劫持，導(dǎo)致用戶下載惡意SDK。請(qǐng)簡(jiǎn)述該事件的技術(shù)攻擊路徑，并給出三項(xiàng)可落地的加固建議。答案：攻擊路徑：（1）攻擊者通過控制第三方CDN節(jié)點(diǎn)，替換熱更新包index.js；（2）App未校驗(yàn)更新包簽名，直接加載惡意SDK；（3）惡意SDK動(dòng)態(tài)加載so，劫持SSL校驗(yàn)，上傳用戶證書PIN碼。加固建議：①熱更新包采用SM2SM3雙簽名，公鑰硬編碼在native層；②啟用證書鏈校驗(yàn)+證書鎖定（SSLPinning），so文件段加密；③在服務(wù)端部署“更新包透明日志”（TransparencyLog），用戶端可校驗(yàn)Merkle樹一致性。47.2025年5月，某政務(wù)云采用“機(jī)密計(jì)算”SGX方案處理敏感戶籍?dāng)?shù)據(jù)，請(qǐng)說明SGXEnclave在運(yùn)行時(shí)如何抵御物理內(nèi)存嗅探，并列舉兩項(xiàng)限制。答案：抵御方式：（1）Enclave內(nèi)存區(qū)域由CPU內(nèi)存加密引擎（MEE）加密，每64字節(jié)緩存行附加64位MAC；（2）硬件隔離，非Enclave代碼無法訪問EPC頁(yè)；（3）遠(yuǎn)程證明可驗(yàn)證Enclave身份與初始度量值。限制：①側(cè)信道（如CacheTiming、ForeshadowNG）仍可推斷數(shù)據(jù)模式；②EPC容量受限，單CPU上限256MB，大數(shù)據(jù)集需分頁(yè)導(dǎo)致性能下降。48.2025年6月，某車企OTA平臺(tái)遭“中間人”攻擊，導(dǎo)致固件被降級(jí)到含漏洞版本。請(qǐng)?jiān)O(shè)計(jì)一套基于“雙通道+雙簽名”的防護(hù)方案，并說明如何回滾。答案：方案：（1）雙通道：蜂窩模組（主）+車載WiFi（備）同時(shí)拉取固件，哈希不一致即告警；（2）雙簽名：國(guó)密SM2簽名+車企RSA4096雙證書，任一簽名無效即拒絕；（3）固件包頭增加“最小版本號(hào)”字段，ECU引導(dǎo)程序拒絕低于當(dāng)前版本的固件；（4）在TBox安全芯片中存儲(chǔ)“回滾計(jì)數(shù)器”，僅允許服務(wù)端增量計(jì)數(shù)器簽名后才能降級(jí)，防止攻擊者重放舊包。六、綜合案例分析（30分）49.閱讀下列材料并回答問題：2025年7月，某三甲醫(yī)院“互聯(lián)網(wǎng)醫(yī)院”小程序遭黑產(chǎn)團(tuán)伙撞庫(kù)，24小時(shí)內(nèi)出現(xiàn)3.2萬次異常登錄，隨后5名患者的基因檢測(cè)數(shù)據(jù)被境外論壇出售。溯源發(fā)現(xiàn)：（1）小程序使用手機(jī)號(hào)+短信驗(yàn)證碼登錄，驗(yàn)證碼6位純數(shù)字，有效期10分鐘，未限制請(qǐng)求頻率；（2）基因數(shù)據(jù)存儲(chǔ)于醫(yī)院本地EMR數(shù)據(jù)庫(kù)，字段包含患者身份證號(hào)、疾病名稱、BRCA1突變?cè)斍椋捎肁ES128CBC加密，密鑰硬編碼在Java代碼；（3）醫(yī)院在邊界部署了傳統(tǒng)WAF，但未對(duì)API接口“/api/v1/gene/download”開啟防護(hù)；（4）日志顯示攻擊者使用“XForwardedFor:”繞過源IP限速，且下載接口返回的JSON未脫敏。問題：（1）請(qǐng)給出本次事件涉及的違法違規(guī)條款（至少3條）。（6分）（2）請(qǐng)畫出攻擊者完整攻擊鏈（6分）。（3）請(qǐng)從“技術(shù)+管理”角度，提出五項(xiàng)可立即落地的整改措施，并說明預(yù)期效果。（18分）答案：（1）違法違規(guī)條款：①《個(gè)人信息保護(hù)法》第10條：非法處理敏感個(gè)人信息；②《數(shù)據(jù)安全法》第27條：未采取分類分級(jí)保護(hù)措施；③《網(wǎng)絡(luò)安全法》第42條：未履行安全保護(hù)義務(wù)，導(dǎo)致數(shù)據(jù)泄露。（2）攻擊鏈：信息收集→撞庫(kù)（驗(yàn)證碼爆破）→獲取session→越權(quán)調(diào)用“/api/v1/gene/download”→批量