校園網絡安全知識競賽試題測試題庫含答案1.單選題（每題2分，共30題）1.某同學收到一封主題為“教務處緊急通知”的郵件，要求點擊鏈接填寫學號與銀行卡號，最恰當的做法是A.立即點擊鏈接，避免錯過通知B.先核對發(fā)件人域名是否為學校官方域名，再通過學校官網或電話二次確認C.轉發(fā)給室友，讓大家一起填寫D.直接回復郵件詢問真?zhèn)未鸢福築解析：釣魚郵件常偽裝成“教務處”“財務處”，官方域名以.結尾，且不會索要銀行卡號；二次確認是阻斷社工攻擊的關鍵。2.校園網突然出現“免費升級寬帶，需輸入賬號密碼”的彈窗，應A.抓住機會升級，輸入信息B.截圖保存后關閉，撥打網絡中心電話核實C.用手機掃碼彈窗二維碼D.轉發(fā)到班級群，讓大家一起升級答案：B解析：DNS劫持或惡意AP會偽造彈窗，截圖留證并走官方渠道核實是標準流程。3.下列哪項密碼策略最符合等保2.0對高校信息系統(tǒng)的要求A.8位純數字，3個月一改B.10位大小寫字母+數字+特殊符號，6個月一改，歷史5次內不重復C.6位生日+姓名縮寫，永不更換D.與社交軟件密碼保持一致，方便記憶答案：B解析：等保2.0要求口令長度≥8，復雜度含三類字符，歷史口令不重復，6個月更換。4.使用教學樓Wi-Fi時，發(fā)現同網段有共享文件夾“試卷答案”，正確做法是A.悄悄復制一份，自用不傳播B.立即斷開Wi-Fi，向信息化辦公室報告C.拍照發(fā)到校園墻，提醒同學D.嘗試匿名留言讓共享者關閉答案：B解析：擅自訪問或傳播他人共享文件屬違規(guī)操作，報告管理部門可阻斷更大規(guī)模泄露。5.某學生利用抓包工具獲取校園網認證頁面源碼并發(fā)布到技術論壇，其行為A.屬于正當技術研究，不違法B.違反《網絡安全法》第27條，可處拘留并罰款C.只要未篡改數據就不構成犯罪D.學校只能給予通報批評答案：B解析：未經授權對網絡數據抓包并公開，屬于“非法獲取網絡數據”，《網絡安全法》第27條明確禁止。6.校園卡充值系統(tǒng)要求短信驗證碼，但手機突然沒信號，此時有人自稱“運維”索要驗證碼，應A.提供驗證碼，盡快完成充值B.拒絕并立即到一卡通中心窗口辦理C.用同學手機接收驗證碼D.重啟手機再試一次答案：B解析：短信驗證碼是敏感信息，任何自稱運維的索取均屬社工攻擊；線下窗口是最穩(wěn)妥通道。7.關于勒索軟件，下列說法錯誤的是A.勒索軟件只對Windows系統(tǒng)有效B.定期離線備份可大幅降低損失C.支付贖金仍可能無法解密D.校園網一旦感染會橫向移動至服務器答案：A解析：勒索軟件已跨平臺，包括macOS、Linux、Android；A項錯誤。8.學校VPN采用雙因子認證，第二因子最安全的硬件載體是A.短信驗證碼B.微信掃碼C.國密SM2算法USBKeyD.郵箱鏈接答案：C解析：USBKey私鑰不可導出，SM2算法抗量子性優(yōu)于RSA；短信、掃碼、郵箱均存在中間人風險。9.在圖書館電子閱覽室的電腦上登錄郵箱，離開時應A.直接關閉瀏覽器B.點擊“退出登錄”并清除瀏覽數據C.關機D.鎖屏即可答案：B解析：直接關閉瀏覽器不會清除sessioncookie，下一用戶可恢復會話；退出并清除數據是零成本防護措施。10.校園APP申請權限時，以下哪項屬于“最小必要”原則A.課表查詢需讀取通訊錄B.成績查詢需定位信息C.校園導航需藍牙信標D.圖書館座位預約需相機掃碼答案：D解析：掃碼簽到是座位預約核心功能，其余三項權限與業(yè)務無關，違反最小必要。11.發(fā)現個人數據在學校大數據平臺被泄露，第一步應A.發(fā)微博曝光B.向校網信辦提交書面申訴，要求30日內答復C.找同學組團去校長辦公室D.立即報警答案：B解析：《個人信息保護法》第50條賦予個人查詢、更正、刪除權；校內申訴是法定前置程序。12.校園網采用802.1X認證，下列哪種情況會觸發(fā)“證書告警”A.系統(tǒng)時間被誤調為2020年B.密碼輸入錯誤C.賬號欠費D.交換機端口down答案：A解析：802.1X證書校驗依賴系統(tǒng)時間，時間錯誤導致證書有效期校驗失敗，客戶端會彈窗告警。13.關于“零信任”架構在校園網的落地，錯誤的是A.默認信任校內IP段B.每次訪問均需動態(tài)評估身份、設備、環(huán)境C.微分段技術可限制橫向移動D.與身份管理系統(tǒng)深度集成答案：A解析：零信任核心“永不信任、持續(xù)驗證”，默認信任內網IP違背其原則。14.學生自建網站展示課程作業(yè)，因目錄遍歷漏洞被上傳黑頁，學校首先會A.立即斷開服務器網絡B.先通知學生整改，24小時后再處理C.罰款一萬元D.公開通報批評答案：A解析：根據《教育系統(tǒng)網絡安全事件應急預案》3.2條，篡改屬Ⅲ級事件，需“先阻斷、后溯源”。15.以下哪條日志最能定位SQL注入攻擊A.404NotFoundB.500InternalServerErrorC.HTTP200，參數id=1'and1=1--D.302Redirect答案：C解析：200返回且參數含數據庫注釋符與布爾條件，是典型注入特征；404、500、302均不具備排他性。16.校園郵箱密碼被撞庫成功，最可能原因是A.郵箱服務器存在漏洞B.用戶在校外論壇使用了相同密碼C.郵箱未開啟IMAPD.郵箱服務器未打補丁答案：B解析：撞庫利用的是“密碼復用”，與服務器漏洞無關；A、D屬于服務器端問題，C是協(xié)議配置。17.關于IPv6安全，下列正確的是A.IPv6地址空間大，無法掃描，天然安全B.IPv6取消了ARP，因此不存在中間人攻擊C.應關閉RAGuard防止偽造路由通告D.DHCPv6比SLAAC更安全，必須禁用SLAAC答案：C解析：IPv6仍可通過鄰居發(fā)現欺騙，RAGuard可阻斷偽造路由；A、B、D表述片面。18.學校要求終端安裝EDR（終端檢測與響應），其主要功能不包括A.行為分析攔截未知木馬B.自動打補丁C.恢復被勒索軟件加密的文件D.溯源攻擊鏈答案：C解析：EDR可檢測、隔離、溯源，但解密需依賴備份或密鑰，EDR本身不具備解密能力。19.在實驗樓配置無線接入點時，管理員把WPA3-Enterprise降級為WPA2-PSK以兼容老設備，此舉A.提高了兼容性，無安全風險B.失去前向保密，可被離線爆破C.仍具備256位加密，安全等同D.只需隱藏SSID即可彌補答案：B解析：WPA2-PSK無PerfectForwardSecrecy，抓握手包后可離線跑字典；隱藏SSID易被探測，無法彌補。20.學生將校園網賬號共享給校外培訓機構，導致賬號被用于爬蟲抓取圖書館數據庫，學校對該生A.無權處罰，因未直接攻擊B.可依據《校園網管理辦法》暫停網絡接入30天C.只能口頭警告D.需先報警，由警方處理答案：B解析：賬號共享違反校園網實名制與使用協(xié)議，管理部門有權行政處置；未構成犯罪則無需警方介入。21.關于“數據分類分級”，高校核心科研數據應定為A.一級，可公開B.二級，校內共享C.三級，僅限授權課題組D.四級，絕密答案：C解析：高校通常分四級，核心科研數據涉知識產權，定為三級（重要）；絕密屬四級，一般僅國防項目。22.校園自助打印機突然提示“請插入U盤更新驅動”，正確做法是A.按提示操作B.拔掉電源，聯系后勤C.用個人U盤嘗試更新D.拍照發(fā)朋友圈求助答案：B解析：打印機無需用戶更新驅動，提示極可能被人植入惡意程序；斷電并報告是阻斷攻擊的最快方式。23.下列哪項最能防止“中間人攻擊”偽造的SSL證書A.瀏覽器自帶根證書庫B.HSTS預載入C.證書透明度（CT）日志D.本地hosts文件答案：C解析：CT日志要求證書被公開記錄，偽造證書無法隱匿；HSTS防協(xié)議降級，hosts文件易被篡改。24.學校采用云桌面（VDI）后，終端感染勒索軟件，最先被加密的是A.云服務器系統(tǒng)盤B.用戶個人數據盤（掛在NAS）C.本地終端磁盤D.其他用戶云桌面答案：C解析：VDI采用“本地無數據”架構，勒索軟件只能加密終端本地磁盤，無法觸及后端；NAS若未映射則安全。25.關于“紅隊演練”，下列正確的是A.無需提前通知任何部門，保證真實性B.演練結束后需提供完整攻擊路徑與修復建議C.可使用真實學生數據測試D.發(fā)現漏洞后可暫不修復，等待下次演練答案：B解析：紅隊演練需在校領導與網信辦備案，結束后輸出報告并閉環(huán)修復；禁止使用真實生產數據。26.校園網DNS服務器遭DNSSEC投毒，用戶訪問財務系統(tǒng)被解析到釣魚站，以下措施無效的是A.在resolver啟用DNSSEC驗證B.財務系統(tǒng)啟用HSTS+預載入C.財務系統(tǒng)證書綁定特定CAD.將財務系統(tǒng)IP寫進本地hosts答案：D解析：hosts靜態(tài)綁定無法應對IP變更，且本地文件易被malware修改；前三項均可阻斷劫持。27.學生開發(fā)小程序“一鍵評教”，收集全校教師評價，其隱私政策必須A.無需公開，僅限內部使用B.在顯著位置說明數據類型、存儲期限、投訴渠道C.只需在README里寫一句“數據安全自負”D.等小程序上線后再補充答案：B解析：《個人信息保護法》第17條要求處理前告知；小程序屬公開渠道，必須前置合規(guī)。28.校園網出口防火墻開啟IPS后，仍被上傳WebShell，最可能繞過方式是A.分片傳輸+chunk編碼B.使用HTTPS加密C.修改User-AgentD.降低MTU答案：A解析：IPS依賴特征匹配，分片+chunk可繞過重組檢測；HTTPS僅加密傳輸層，本身不繞過IPS。29.關于“個人信息去標識化”，正確的是A.刪除姓名即完成去標識B.去標識化后可無需授權對外共享C.需確保無法通過合理手段識別特定個人D.去標識化數據不再屬個人信息答案：C解析：去標識化需評估重識別風險，仍可能屬個人信息；刪除姓名不足以去標識。30.學校準備上線人臉識別門禁，必須完成的合規(guī)步驟是A.向網信辦備案，開展個人信息保護影響評估B.只需保衛(wèi)處同意C.學生代表投票通過即可D.采購國產攝像頭即可免評估答案：A解析：《個人信息保護法》第55條，處理敏感個人信息應事前評估并備案；人臉識別屬生物特征，敏感級別。2.多選題（每題3分，共15題）31.以下哪些行為會擴大勒索軟件感染面A.在服務器開啟SMBv1B.域控管理員日常登錄工作站C.個人電腦關閉自動播放D.數據庫與Web服務器同網段且未隔離答案：ABD解析：SMBv1存在永恒之藍漏洞；域控登錄工作站可被哈希傳遞；同網段利于橫向移動；關閉自動播放可降低U盤感染，故不選C。32.關于校園Wi-Fi安全，說法正確的有A.關閉低速率11b可防暴力跑字典B.啟用PMF（ProtectedManagementFrames）防Deauth攻擊C.隱藏SSID可徹底防止嗅探D.802.1X+證書可防止偽造熱點答案：ABD解析：隱藏SSID易被主動探測，無法徹底防止嗅探；其余均可提升安全。33.學生社團要辦“CTF招新賽”，需向網信辦提交的材料包括A.比賽平臺網絡安全等級測評報告B.競賽題庫版權證明C.應急預案與聯系人D.參賽人員學籍證明答案：AC解析：等級測評與應急預案是校內審批必選項；題庫版權、學籍證明非強制。34.以下哪些日志源可用于溯源WebShell上傳A.Web訪問日志B.系統(tǒng)secure日志C.數據庫slow查詢日志D.WAF告警日志答案：ABD解析：Web日志含POST上傳記錄；secure日志記錄文件權限變更；WAF可記錄上傳特征；slow日志與WebShell無關。35.關于“數據出境”，高校在下列哪些場景需申報評估A.與歐盟高校聯合科研，學生成績傳至德國服務器B.使用GitHub私有倉庫存放代碼C.國際會議線上投稿系統(tǒng)上傳論文（含作者信息）D.與境外云廠商簽訂正式合同，服務器位于上海自貿區(qū)答案：AC解析：數據出境評估看“數據是否出境”而非云廠商注冊地；A、C涉及個人信息出境；B私有倉庫若服務器在境內無需；D服務器在境內。36.以下哪些屬于“供應鏈攻擊”A.第三方插件留有后門B.開源組件存在已知CVE但未經修復C.校內軟件源被篡改上傳植毒GCCD.學生誤點釣魚郵件答案：AC解析：B屬漏洞管理，D屬社工；A、C是典型供應鏈污染。37.校園網采用零信任后，訪問科研ERP需滿足A.終端安裝指定EDR且進程評分>90B.用戶角色=“項目負責人”C.訪問時間在工作日8:00-18:00D.地理位置在中國境內答案：ABCD解析：零信任動態(tài)評估設備、身份、行為、環(huán)境，四項均可作為策略維度。38.以下哪些措施可降低“內部威脅”A.最小權限+定期審計B.離職即刻禁用賬號C.對高敏數據啟用DRM水印D.禁止員工使用社交軟件答案：ABC解析：禁止社交軟件不現實且影響工作；其余均可追溯與限制內部濫用。39.關于“國密算法”在校園網的應用，正確的有A.SSLVPN支持SM2/SM3/SM4套件B.郵件加密可使用SM9標識密碼C.磁盤加密采用SM4-XTS模式D.國密算法無法與TLS1.3兼容答案：ABC解析：國密套件已納入TLS1.3中國草案，可兼容；A、B、C均為落地場景。40.以下哪些屬于“個人信息敏感操作”需二次鑒權A.修改獎學金發(fā)放銀行卡號B.查看自己的成績C.導出實驗原始數據含他人手機號D.重置統(tǒng)一身份認證密碼答案：ACD解析：查看自己成績屬常規(guī)授權；修改銀行卡、導出他人信息、重置密碼均涉敏感，需二次鑒權。41.校園數據中心“冷熱通道隔離”帶來的安全收益包括A.降低物理設備溫度，減少硬件故障B.防止熱空氣復用，降低空調負荷C.減少因過熱導致的宕機，間接保障業(yè)務連續(xù)性D.防止電磁泄露答案：ABC解析：冷熱通道與電磁泄露無關；其余為直接收益。42.以下哪些屬于“日志留存”合規(guī)要求A.網絡日志≥6個月B.系統(tǒng)操作日志≥12個月C.數據庫審計日志≥36個月D.日志需簽名防篡改答案：ABD解析：等保2.0要求網絡、主機、應用日志≥6個月；數據庫審計日志無36個月強制，但需防篡改簽名。43.關于“虛擬補丁”，正確的有A.由WAF/IPS在流量側攔截漏洞利用B.無需重啟系統(tǒng)C.可替代官方補丁D.適用于老舊系統(tǒng)無法升級場景答案：ABD解析：虛擬補丁是緩解措施，不能替代官方補?。籄、B、D正確。44.校園網出口流量分析發(fā)現大量DNSTunnel，可采取的處置有A.封鎖異常域名B.啟用DNS-over-HTTPS阻斷解析C.對DNS長度>64字節(jié)請求進行統(tǒng)計告警D.將異常終端隔離至沙箱網段答案：ACD解析：DNS-over-HTTPS會加密流量，不利于檢測；A、C、D可定位并阻斷隧道。45.以下哪些屬于“社會工程學”攻擊A.冒充快遞小哥進入機房B.電話偽裝財務處套取工資數據C.發(fā)送“獎學金到賬”釣魚短信D.利用未授權API批量下載學生照片答案：ABC解析：D屬技術攻擊；A、B、C均利用人性弱點。3.判斷題（每題1分，共10題）46.校園網賬號使用短信驗證碼登錄后，無需再進行密碼認證，因此密碼可設置成123456。答案：錯解析：短信驗證碼僅作一次鑒權因子，密碼仍是重要憑證，弱密碼可被SIM交換攻擊繞過。47.只要使用了HTTPS，網站就絕對安全，無需再做Web漏洞掃描。答案：錯解析：HTTPS僅保障傳輸加密，無法防止Web應用層漏洞如SQL注入、XSS。48.在實驗室內部網絡部署蜜罐，需明確告知所有師生，否則可能觸犯《刑法》非法獲取信息系統(tǒng)數據罪。答案：對解析：蜜罐會記錄攻擊行為，若未授權監(jiān)控他人數據，可能違法；校內應備案并公告。49.校園網DNS服務器若支持遞歸查詢，可被利用做DNS放大攻擊。答案：對解析：開放遞歸+EDNS0使響應包遠大于請求，形成放大；應限制遞歸范圍。50.學生將作業(yè)代碼上傳至GitHub公開倉庫，導致APIKey泄露，屬學校責任。答案：錯解析：學生為數據第一責任人；學校需教育、掃描，但非全部責任。51.使用虛擬機快照即可完全抵御勒索軟件，無需備份。答案：錯解析：快照與虛擬磁盤在同一存儲，可被加密；需離線備份。52.校園一卡通余額存儲在卡片芯片中，因此離線消費時無需服務器驗證。答案：對解析：脫機消費依賴卡片PSAM密鑰與錢包文件，終端本地完成扣款，日終才上傳流水。53.學校官方APP若集成第三方SDK，需在隱私政策中列出SDK名稱及功能。答案：對解析：《個人信息保護法》第23條要求告知第三方處理者身份與處理目的。54.零信任架構下，即使攻擊者拿到賬號密碼，也無法訪問任何資源。答案：錯解析：零信任降低風險，但若設備、環(huán)境、行為均通過評估，仍可能訪問；需多維度綜合。55.校園網出口防火墻開啟NAT后，內網主機IP被隱藏，因此無需再安裝終端防火墻。答案：錯解析：NAT僅解決地址轉換，無法過濾內網橫向攻擊與出站惡意流量；終端防火墻仍必要。4.填空題（每題2分，共10題）56.教育部《教育系統(tǒng)網絡安全事件應急預案》將事件分為____級，其中Ⅰ級為最高。答案：四57.國密SM2算法的密鑰長度為____位。答案：25658.等保2.0中，安全區(qū)域邊界需實現“____、可信、可控”。答案：可信59.校園網常用802.1X認證協(xié)議基于____標準。答案：IEEE802.1X-201060.個人信息保護影響評估英文縮寫為____。答案：PIA（PrivacyImpactAssessment）61.零信任架構中，用于動態(tài)評估訪問請求的引擎簡稱____。答案：PE（PolicyEngine）62.DNSSEC通過____記錄實現鏈式信任。答案：DS（DelegationSigner）63.校園數據中心PUE指標理想值應低于____。答案：1.564.我國《數據安全法》自____年9月1日起施行。答案：202165.勒索軟件常見的加密算法組合為____+RSA。答案：AES5.簡答題（每題10分，共4題）66.簡述校園網用戶發(fā)現賬號被盜用后應采取的完整處置流程。答案：1.立即修改密碼，并啟用雙因子；2.下線所有活躍會話，強制踢出異常IP；3.檢查賬號近期登錄日志，記錄異常時間、IP、地理位置；4.向網絡中心提交工單，申請凍結賬號并開具事件單；5.對關聯系統(tǒng)（郵箱、VPN、一卡通）進行一致性排查，修改相同密碼；6.若涉及個人信息泄露，按《個人信息保護法》第50條向學校申請查詢與刪除；7.留存證據，必要時向公安機關報案；8.事后撰寫事件報告，參加學校組織的安全培訓，完成閉環(huán)。67.說明高校在采購第三方SaaS服務時，如何從合同層面確保數據安全。答案：1.明確數據分類分級與歸屬權，約定數據為學校獨有財產；2.要求服務商提供等保三級以上測評報告及年度滲透測試報告；3.約定數據存儲地域僅限中國境內，未經書面同意不得出境；4.設置數據泄露通知時限，如24小時內口頭、72小時內書面；5.約定泄露違約金不低于合同總額30%，并承擔連帶責任；6.要求提供數據可移植接口，合同終止后30日內完成數據銷毀并出具銷毀報告；7.引入第三方審計權，學?？擅磕赀M行一次現場安全審計；8.要求服務商購買網絡安全保險，保額覆蓋可能損失；9.對子服務商施加同等安全義務，禁止二次外包；10.約定不可抗力與情勢變更條款，確保學?？蓡畏矫娼K止合同。68.描述一次“DNSTunnel”攻擊的檢測與溯源步驟。答案：檢測：1.采集DNS日志，統(tǒng)計子域名長度，發(fā)現平均長度>50字符且entropy>6.5；2.發(fā)現同一終端每小時查詢數千次罕見域名，且響應包大小持續(xù)為最大值（4KB）；3.對異常域名進行被動DNS解析，發(fā)現NS記錄指向境外VPS；4.使用流量鏡像，發(fā)現響應包含base32編碼數據，解碼后呈現Shell命令交互。溯源：1.根據內網IP定位MAC，匹配802.1X認證日志，鎖定學生宿舍端口；2.檢查終端進程，發(fā)現“dns2tcp”進程；3.提取可執(zhí)行文件，上傳至沙箱，發(fā)現C2地址與挖礦池通信；4.對比防火墻NAT日志，發(fā)現該生同時向外發(fā)起SSH隧道，形成多重隧道；5.固定內存鏡像與磁盤鏡像，作為證據鏈；6.出具事件報告，對學生進行安全教育，并在出口防火墻添加DNS長度與頻控策略。69.結合等保2.0，說明高校如何構建“可信計算”環(huán)境。答案：1.硬件層：服務器與PC部署TPM2.0國產芯片，啟用可信啟動，度量BIOS、GRUB、內核；2.系統(tǒng)層：采用可信操作系統(tǒng)（如銀河麒麟V10），內核完整性由TCM模塊校驗，禁止未簽名驅動；3.應用層：關鍵業(yè)務系統(tǒng)（教務、科研）采用可信應用容器，啟動前度量鏡像哈希并與白名單比對；4.網絡層：接入交換機啟用802.1AR（DevID）設備證書認證，無證書終端拒絕接入；5.數據層：數據庫啟用透明加密（TDE），密鑰存儲在服務器TPMNVRAM，防物理竊??；6.管理層：建立可信策略管理中心，統(tǒng)一下發(fā)度量值與更新策略，對異常啟動進行告警與隔離；7.審計層：度量日志與系統(tǒng)日志一并送至SIEM，簽名防篡改，留存≥12個月；8.合規(guī)層：每年進行一次可信計算專項測評，出具《可信計算等級保護測評報告》，確保持續(xù)符合等保2.0“可信、可控、可管”要求。6.綜合應用題（20分）70.某高校準備上線“智慧學工”小程序，功能包括：成績查詢、心理咨詢預約、獎學金申請、校園導航、人臉識別簽到。請從數據安全、隱私保護、合規(guī)管理三個維度，設計一套完整的安全建設方案，并給出實施路線圖（分三階段）。答案：一、數據安全1.分類分級：成績、獎學金數據定為三級（重要），心理咨詢記錄定為四級（敏感個人信息），人臉生物特征定為四級。2.加密：傳輸采用TLS1.3+國密套件；數據庫采用SM4-CBC加密，密鑰托管在HSM；人臉特征采用不可逆SM3哈希+鹽。3.隔離：小程序前端與后端分屬不同VPC，數據庫在私有子網；心理咨詢模塊單獨數據