2025年網(wǎng)絡(luò)與信息安全意識培訓(xùn)測試題一、單項選擇題（每題2分，共30分。每題只有一個正確答案，請將正確選項的字母填入括號內(nèi)）1.2025年3月，某員工收到一封主題為“工資補(bǔ)貼調(diào)整通知”的郵件，發(fā)件人顯示為hr@，但郵件頭中的ReturnPath指向外部域名。下列哪項處置方式最符合企業(yè)郵件安全規(guī)范？（）A.直接點(diǎn)擊郵件內(nèi)鏈接填寫銀行卡號B.回復(fù)郵件詢問詳情C.將郵件標(biāo)記為垃圾郵件并報告SOCD.轉(zhuǎn)發(fā)給同事確認(rèn)是否也收到答案：C2.在零信任架構(gòu)中，對“持續(xù)信任評估”理解正確的是（）A.用戶登錄成功后即獲得永久訪問令牌B.每次HTTP請求都需重新進(jìn)行多因子認(rèn)證C.根據(jù)用戶行為、設(shè)備狀態(tài)等動態(tài)調(diào)整權(quán)限D(zhuǎn).僅在網(wǎng)絡(luò)邊界部署一次性認(rèn)證網(wǎng)關(guān)答案：C3.2025年1月，某AI客服系統(tǒng)被曝出“提示詞注入”漏洞，攻擊者通過聊天窗口誘導(dǎo)模型輸出企業(yè)內(nèi)部知識庫文件路徑。該漏洞最貼切的CWE編號是（）A.CWE79（XSS）B.CWE89（SQL注入）C.CWE77（命令注入）D.CWE1336（提示詞注入）答案：D4.某員工在咖啡廳使用公共WiFi登錄公司OA，為防止中間人攻擊，下列哪項措施最有效？（）A.關(guān)閉筆記本電腦藍(lán)牙B.啟用系統(tǒng)內(nèi)置VPN客戶端并校驗證書C.將DNS改為D.使用隱藏SSID答案：B5.2025年5月，NIST發(fā)布《后量子密碼遷移路線圖》草案，建議優(yōu)先替換的算法是（）A.RSA2048B.AES256C.SHA384D.ECDHP256答案：A6.某單位采用“數(shù)據(jù)分類分級”制度，將客戶身份證照片標(biāo)記為“核心數(shù)據(jù)，等級4”，其備份策略應(yīng)滿足（）A.每日增量、云端明文存儲B.每周全量、異地加密存儲C.實時同步、本地明文存儲D.每月光盤刻錄、辦公室抽屜保管答案：B7.2025年新版《個人信息保護(hù)法實施條例》新增“敏感個人信息處理日志留存期限”，要求不少于（）A.1個月B.3個月C.6個月D.36個月答案：D8.某員工收到微信好友發(fā)來“2025年最新補(bǔ)貼名單.xlsx”，文件打開后彈出“啟用宏”提示，下列說法正確的是（）A.宏文件不可能含惡意代碼B.若發(fā)件人是熟人，可放心啟用C.應(yīng)先提交沙箱檢測D.將文件后綴改為.pdf即可安全打開答案：C9.在Windows1124H2中，默認(rèn)啟用的“內(nèi)核級內(nèi)存保護(hù)”技術(shù)名稱是（）A.CFGB.CETC.VBSD.HVCI答案：D10.2025年6月，某云廠商對象存儲桶因“ACL繼承”機(jī)制錯誤，導(dǎo)致用戶可下載他人備份。該問題屬于（）A.SSRFB.權(quán)限配置錯誤C.供應(yīng)鏈投毒D.日志泄露答案：B11.某單位使用FIDO2密鑰登錄，若密鑰丟失，管理員應(yīng)優(yōu)先（）A.立即停用該密鑰對應(yīng)的公私鑰對B.在AD中刪除用戶賬戶C.格式化用戶電腦D.通知用戶自行購買新密鑰答案：A12.2025年新版《網(wǎng)絡(luò)安全事件分級指南》規(guī)定，涉及1000萬以上個人信息泄露的事件應(yīng)定為（）A.特別重大（Ⅰ級）B.重大（Ⅱ級）C.較大（Ⅲ級）D.一般（Ⅳ級）答案：A13.某開發(fā)團(tuán)隊采用“安全左移”實踐，在CI/CD流水線中嵌入SCA工具，其主要目的是（）A.檢測源代碼語法錯誤B.識別第三方組件已知漏洞C.優(yōu)化算法復(fù)雜度D.壓縮鏡像體積答案：B14.2025年7月，某手機(jī)銀行App被曝出“剪貼板劫持”漏洞，攻擊者可讀取用戶復(fù)制的一次性驗證碼。該漏洞最佳修復(fù)方案是（）A.禁止App訪問網(wǎng)絡(luò)B.驗證碼輸入框禁用剪貼板C.將驗證碼有效期縮短至5秒D.使用短信鏈接代替驗證碼答案：B15.某單位開展“釣魚演練”，員工甲收到仿冒郵件后點(diǎn)擊鏈接并輸入密碼，10秒后意識到被騙，立即修改密碼。根據(jù)ISO/IEC27035，該事件處于（）A.準(zhǔn)備階段B.檢測階段C.遏制階段D.根除階段答案：B二、多項選擇題（每題3分，共30分。每題有兩個或兩個以上正確答案，多選、少選、錯選均不得分）16.2025年8月，某企業(yè)采用“生成式AI助手”編寫營銷文案，為防范數(shù)據(jù)泄露，應(yīng)至少采取哪些措施？（）A.部署本地私有化大模型B.啟用提示詞過濾與脫敏C.允許員工上傳任意客戶名單D.記錄并審計所有提問與回答E.與云廠商簽署數(shù)據(jù)不出境協(xié)議答案：A、B、D、E17.下列哪些行為可能違反《數(shù)據(jù)跨境傳輸安全評估辦法》？（）A.將含車牌照片的數(shù)據(jù)庫備份到境外云服務(wù)器B.員工出差時隨身攜帶加密筆記本，內(nèi)含客戶合同C.通過HTTPSAPI調(diào)用境外AI接口進(jìn)行圖片識別D.在境內(nèi)服務(wù)器處理境外用戶訂單E.未經(jīng)評估向境外合作方傳輸100萬人以上個人信息答案：A、C、E18.2025年9月，某單位部署“量子增強(qiáng)隨機(jī)數(shù)發(fā)生器”用于密鑰生成，其優(yōu)勢包括（）A.可證明的隨機(jī)性B.降低密鑰協(xié)商延遲C.抵御量子計算窮舉D.兼容現(xiàn)有RSA證書E.滿足GM/T00052025標(biāo)準(zhǔn)答案：A、C、E19.關(guān)于“深度偽造（Deepfake）”檢測技術(shù)，下列說法正確的有（）A.頻域分析可識別眨眼頻率異常B.添加可見水印可徹底防止偽造C.區(qū)塊鏈存證可用于溯源真實視頻D.訓(xùn)練數(shù)據(jù)需覆蓋最新GAN架構(gòu)E.檢測模型需定期更新以對抗升級算法答案：A、C、D、E20.某單位使用Kubernetes1.30，以下哪些配置可降低容器逃逸風(fēng)險？（）A.啟用PodSecurityPolicy（或PodSecurityStandards）B.將容器運(yùn)行時改為runC最新版C.關(guān)閉kubelet匿名訪問D.為所有容器添加CAP_SYS_ADMIN能力E.使用Seccomp與AppArmor配置文件答案：A、B、C、E21.2025年10月，某企業(yè)收到監(jiān)管機(jī)構(gòu)通報，發(fā)現(xiàn)官網(wǎng)被植入“信用卡盜刷腳本”，其可能利用的入口包括（）A.第三方JavaScript供應(yīng)鏈B.管理員弱口令C.CDN緩存投毒D.服務(wù)器SSH密鑰泄露E.數(shù)據(jù)庫外聯(lián)端口暴露答案：A、B、C、D22.關(guān)于“隱私計算”中的聯(lián)邦學(xué)習(xí)，下列說法正確的有（）A.原始數(shù)據(jù)不出域B.需交換模型參數(shù)C.可完全避免成員推理攻擊D.需使用同態(tài)加密或差分隱私加固E.參與方需共識算法防止投毒答案：A、B、D、E23.2025年11月，某單位實施“辦公網(wǎng)零信任”改造，下列哪些屬于“設(shè)備信任評估”維度？（）A.操作系統(tǒng)版本與補(bǔ)丁級別B.是否安裝EDR并在線C.用戶家庭寬帶運(yùn)營商D.設(shè)備證書有效期E.地理位置與歷史基線偏差答案：A、B、D、E24.某員工發(fā)現(xiàn)個人GitHub倉庫被推送含公司源代碼的commit，已公開48小時，應(yīng)采取的應(yīng)急措施包括（）A.立即強(qiáng)制回滾并刪除歷史記錄B.向公司SRC報告C.在issue區(qū)公開告知“代碼已泄露”D.申請GitHubDMCA刪除緩存E.更改所有相關(guān)密鑰與令牌答案：A、B、D、E25.2025年12月，某單位采用“AI驅(qū)動SOC”進(jìn)行日志分析，其優(yōu)勢包括（）A.自動聚合多源日志B.基于行為基線檢測未知威脅C.完全替代人工研判D.可解釋性滿足審計要求E.通過強(qiáng)化學(xué)習(xí)持續(xù)優(yōu)化模型答案：A、B、E三、判斷題（每題1分，共10分。正確打“√”，錯誤打“×”）26.2025年起，歐盟NIS2指令要求關(guān)鍵行業(yè)企業(yè)必須在24小時內(nèi)向主管部門報告重大事件。（）答案：√27.在Windows11中，啟用“智能應(yīng)用控制（SAC）”后，所有未簽名軟件都會被直接阻止，無法通過企業(yè)CA證書例外。（）答案：×28.2025年發(fā)布的TLS1.3擴(kuò)展草案允許后量子密鑰交換與經(jīng)典算法混合協(xié)商。（）答案：√29.“數(shù)據(jù)脫敏”與“數(shù)據(jù)匿名化”在技術(shù)上完全等價，可互換使用。（）答案：×30.2025年新版《網(wǎng)絡(luò)安全審查辦法》將“境外上市”納入審查觸發(fā)條件之一。（）答案：√31.使用ChaCha20Poly1305比AESGCM在移動端更省電，因為前者無需硬件AES指令。（）答案：√32.2025年主流瀏覽器已默認(rèn)禁用第三方Cookie，因此CSRF攻擊已徹底消失。（）答案：×33.“安全多方計算（MPC）”可以在不泄露各自輸入的前提下，計算任意函數(shù)。（）答案：√34.2025年NISTSP80053修訂版新增“AI系統(tǒng)安全”控制族。（）答案：√35.量子計算機(jī)在2025年已可破解2048位RSA，因此企業(yè)應(yīng)立即停用所有公鑰體系。（）答案：×四、填空題（每空2分，共20分）36.2025年2月，OpenAI發(fā)布“ModelSpec”指南，提出AI系統(tǒng)應(yīng)遵循的三項核心原則：________、________、________。答案：幫助用戶、遵守法律、不傷害他人37.在IPv6網(wǎng)絡(luò)中，用于替代ARP的協(xié)議是________，其通過________消息實現(xiàn)地址解析。答案：ND（NeighborDiscovery）、NeighborSolicitation38.2025年7月，IETF發(fā)布RFC9500，正式將________算法納入HTTP/3的默認(rèn)對稱加密套件，取代________。答案：ChaCha20Poly1305、AESGCM39.根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T392042025），CII運(yùn)營者應(yīng)每年至少開展________次應(yīng)急演練，并將演練報告保存________年。答案：1、340.在Kubernetes中，NetworkPolicy資源通過________插件實現(xiàn)，默認(rèn)策略是________。答案：CNI、Allowall41.2025年，國家網(wǎng)信辦發(fā)布《人臉識別合規(guī)指引》，要求采集人臉前應(yīng)單獨(dú)告知并獲取________同意，且不得與________捆綁授權(quán)。答案：明示、其他服務(wù)42.量子密鑰分發(fā)（QKD）中，用于檢測竊聽的物理原理是________，其誤碼率閾值一般設(shè)為________%。答案：量子不可克隆定理、343.2025年主流EDR產(chǎn)品普遍采用________技術(shù)對抗“無文件攻擊”，其通過監(jiān)控________實現(xiàn)。答案：行為分析、API調(diào)用序列44.在零信任架構(gòu)中，________協(xié)議用于實現(xiàn)設(shè)備身份與網(wǎng)絡(luò)位置解耦，其基于________完成雙向認(rèn)證。答案：mTLS、X.509證書45.2025年，GitHub推出“SecretScanningPartner”計劃，當(dāng)檢測到________格式的令牌時，將自動向________發(fā)送告警。答案：AWSAKIA、廠商SOC五、簡答題（每題10分，共30分）46.場景：2025年4月，某公司員工在出差期間使用酒店WiFi登錄OA系統(tǒng)，事后發(fā)現(xiàn)賬號被異地登錄并下載大量客戶數(shù)據(jù)。請分析可能存在的攻擊路徑，并提出三條可落地的改進(jìn)措施，需覆蓋技術(shù)、管理、培訓(xùn)維度。答案：攻擊路徑：1.酒店WiFi為偽造AP（eviltwin），實施中間人攻擊，截獲登錄憑證；2.攻擊者利用SSLStrip降級HTTPS，獲取明文密碼；3.公司OA未啟用多因子認(rèn)證，攻擊者直接重放密碼登錄；4.下載數(shù)據(jù)階段未啟用終端DLP，導(dǎo)致批量導(dǎo)出無告警。改進(jìn)措施：技術(shù)：1.為所有遠(yuǎn)程辦公場景強(qiáng)制啟用公司VPN，采用雙向mTLS+硬件令牌，VPN網(wǎng)關(guān)部署證書固定與HSTS；2.OA系統(tǒng)啟用FIDO2多因子認(rèn)證，并設(shè)置異地登錄風(fēng)險模型，觸發(fā)二次驗證或自動凍結(jié)；3.終端部署EDR與DLP，對>100條客戶數(shù)據(jù)導(dǎo)出行為實時阻斷并上報SOC。管理：1.修訂《遠(yuǎn)程接入管理辦法》，明確“先VPN后業(yè)務(wù)”為紅線，違反者扣減年度績效；2.建立“出差網(wǎng)絡(luò)白名單”，員工需提前報備酒店名稱，IT部門提供經(jīng)審核的4G熱點(diǎn)；3.引入第三方滲透測試，每半年模擬eviltwin攻擊并通報結(jié)果。培訓(xùn)：1.開發(fā)沉浸式微課《出差五步法》，用AR模擬eviltwin場景，員工需完成交互式通關(guān)；2.每季度推送“釣魚WiFi”警示案例，采用真實錄屏展示數(shù)據(jù)泄露后果；3.設(shè)立“安全積分”，員工發(fā)現(xiàn)并上報可疑AP可獲得積分兌換假期，2025年目標(biāo)上報率≥80%。47.2025年10月，某醫(yī)療集團(tuán)上線“AI輔助診斷”系統(tǒng)，使用聯(lián)邦學(xué)習(xí)聚合多家醫(yī)院數(shù)據(jù)。請說明該系統(tǒng)在隱私合規(guī)方面需滿足的特殊要求，并給出數(shù)據(jù)出境評估的四個關(guān)鍵審查點(diǎn)。答案：特殊要求：1.根據(jù)《個人信息保護(hù)法》第38條，敏感個人信息出境需通過安全評估；2.聯(lián)邦學(xué)習(xí)雖“數(shù)據(jù)不出域”，但模型參數(shù)可能泄露訓(xùn)練分布，需進(jìn)行成員推理攻擊風(fēng)險評估；3.應(yīng)取得患者單獨(dú)同意，并在《隱私政策》中明示“AI模型訓(xùn)練”為使用目的；4.參與醫(yī)院需作為共同數(shù)據(jù)處理者簽署《聯(lián)邦學(xué)習(xí)數(shù)據(jù)處理協(xié)議》，明確責(zé)任邊界；5.模型更新過程需可審計，滿足《醫(yī)療器械網(wǎng)絡(luò)安全注冊審查指南》2025版對“可追溯”要求。數(shù)據(jù)出境評估四個關(guān)鍵審查點(diǎn)：1.參數(shù)梯度是否包含可識別信息：采用差分隱私（ε≤1）并提交第三方報告；2.接收方所在國家或地區(qū)是否通過adequacydecision：若未通過，需簽署SCC并補(bǔ)充技術(shù)措施；3.再轉(zhuǎn)移風(fēng)險：模型是否會被境外云廠商進(jìn)一步訓(xùn)練，需約定“僅聚合不落地”；4.數(shù)據(jù)主體權(quán)利保障：境外接收方是否提供查詢、刪除、撤回同意渠道，響應(yīng)時限不超過15個工作日。48.2025年11月，某金融公司遭遇“AI語音深度偽造”攻擊，攻擊者模擬CEO聲音指令財務(wù)轉(zhuǎn)賬300萬美元。請給出事件發(fā)生后72小時內(nèi)的應(yīng)急響應(yīng)步驟，并說明如何利用“多因子聲紋+語義水印”技術(shù)防