2025年大学生网络安全知识竞赛题库及答案

2025年大学生网络安全知识竞赛题库及答案一、单项选择题（每题2分，共20题）1.以下哪个协议是用于安全传输HTTP数据的？A.FTPB.HTTPSC.SMTPD.DNS答案：B2.下列哪种攻击方式通过发送大量伪造的请求耗尽目标服务器资源？A.钓鱼攻击B.DDoS攻击C.SQL注入D.跨站脚本攻击（XSS）答案：B3.依据《中华人民共和国网络安全法》，网络运营者应当按照（）的要求，履行网络安全保护义务。A.行业标准B.企业制度C.国家标准的强制性D.地方规定答案：C4.以下哪种加密算法属于对称加密？A.RSAB.ECCC.AESD.椭圆曲线加密答案：C5.某用户收到一封邮件，内容为“您的银行账户异常，点击链接验证”，这最可能是哪种攻击？A.社会工程学攻击B.缓冲区溢出攻击C.中间人攻击D.暴力破解答案：A6.在OSI参考模型中，负责将数据转换为物理信号的是哪一层？A.传输层B.网络层C.物理层D.数据链路层答案：C7.以下哪项不是常见的弱口令特征？A.123456B.包含大小写字母、数字和符号的组合C.用户名与密码相同D.生日日期（如19990101）答案：B8.区块链技术中，防止双重支付的核心机制是？A.共识算法（如PoW）B.智能合约C.哈希函数D.分布式账本答案：A9.根据《个人信息保护法》，处理敏感个人信息应当取得个人的（），法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。A.口头同意B.一般同意C.单独同意D.无需同意答案：C10.以下哪种漏洞属于应用层漏洞？A.缓冲区溢出B.ARP欺骗C.SQL注入D.DNS劫持答案：C11.量子计算对现有密码体系的最大威胁是？A.加速对称加密算法B.破解基于大整数分解的公钥加密（如RSA）C.增强哈希函数的碰撞抵抗性D.提高数字签名的速度答案：B12.某网站登录页面要求输入验证码，其主要目的是？A.防止机器人批量注册或登录B.提升用户体验C.加密传输数据D.验证用户邮箱有效性答案：A13.以下哪项是物联网设备常见的安全风险？A.默认弱密码B.支持5G通信C.存储容量大D.运行Linux系统答案：A14.在网络安全等级保护制度中，第三级信息系统的安全保护要求是？A.自主保护级B.指导保护级C.监督保护级D.强制保护级答案：C15.以下哪种技术用于检测未知病毒？A.特征码扫描B.沙盒技术C.防火墙D.入侵检测系统（IDS）答案：B16.微信支付过程中使用的“支付密码+指纹验证”属于哪种安全机制？A.单因素认证B.双因素认证C.多因素认证D.无密码认证答案：B17.以下哪项不属于数据脱敏技术？A.数据加密B.数据替换（如将身份证号部分隐藏）C.数据变形（如随机偏移姓名）D.数据匿名化（如去除用户手机号）答案：A18.钓鱼网站的典型特征不包括？A.域名与正规网站高度相似（如“”）B.要求输入银行卡号、密码等敏感信息C.页面设计与正规网站完全一致D.通过社交媒体或邮件发送链接答案：C19.以下哪种协议用于安全远程登录？A.TelnetB.SSHC.FTPD.SMTP答案：B20.根据《网络安全审查办法》，关键信息基础设施运营者采购网络产品和服务，影响或可能影响（）的，应当进行网络安全审查。A.企业利润B.网络安全C.国家安全D.用户隐私答案：C二、多项选择题（每题3分，共10题）1.以下属于个人敏感信息的有？A.身份证号码B.手机号码C.家庭住址D.银行账户信息答案：ABCD2.常见的网络攻击手段包括？A.勒索软件攻击B.社会工程学欺骗C.端口扫描D.漏洞利用答案：ABCD3.以下哪些措施可以防范SQL注入攻击？A.使用参数化查询（PreparedStatement）B.对用户输入进行严格过滤和转义C.关闭数据库错误信息的明文输出D.定期更新数据库管理系统补丁答案：ABCD4.数据泄露的常见途径包括？A.内部人员误操作或恶意泄露B.外部黑客攻击（如拖库）C.移动存储设备丢失（如U盘）D.云服务配置错误（如S3存储桶未设权限）答案：ABCD5.以下属于密码学基本目标的是？A.机密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.不可否认性（Non-repudiation）答案：ABD6.物联网（IoT）设备面临的安全挑战包括？A.资源受限（计算/存储能力弱）B.大量设备难以统一管理C.固件更新不及时D.通信协议安全性不足（如旧版MQTT）答案：ABCD7.根据《数据安全法》，数据处理者应当建立健全数据安全管理制度，包括？A.数据分类分级制度B.数据安全应急处置制度C.数据安全责任制度D.数据交易管理制度答案：ABC8.以下哪些行为可能导致个人信息泄露？A.在公共WiFi下使用网银B.扫描来路不明的二维码C.点击邮件中的陌生链接D.在社交平台公开详细行程答案：ABCD9.以下属于零信任架构（ZeroTrust）核心原则的是？A.永不信任，始终验证（NeverTrust,AlwaysVerify）B.最小权限访问（LeastPrivilegeAccess）C.持续动态评估（ContinuousDynamicAssessment）D.基于网络边界的信任（TrustBasedonNetworkPerimeter）答案：ABC10.防范DDoS攻击的措施包括？A.使用流量清洗服务（如Cloudflare）B.限制单IP的连接数C.升级服务器带宽D.部署入侵防御系统（IPS）答案：ABCD三、判断题（每题1分，共10题）1.只要安装了杀毒软件，计算机就绝对安全。（）答案：×（杀毒软件无法防范所有新型威胁，需结合其他安全措施）2.公共WiFi可以放心使用，因为商家已经设置了安全防护。（）答案：×（公共WiFi可能被中间人攻击，需使用VPN）3.弱口令只是个人习惯问题，不会影响企业网络安全。（）答案：×（弱口令是常见攻击入口，可能导致整个系统被入侵）4.区块链的“不可篡改”特性意味着数据一旦上链就无法修改。（）答案：√（通过哈希链和共识机制保证）5.扫描二维码前无需确认来源，因为二维码本身无法携带恶意代码。（）答案：×（二维码可指向恶意网站或下载恶意文件）6.操作系统漏洞补丁可以随意选择是否安装，不影响安全。（）答案：×（漏洞补丁修复已知安全风险，必须及时安装）7.社交媒体上公开个人身份证照片用于实名认证是安全的。（）答案：×（可能被他人盗用身份信息）8.钓鱼邮件的主题通常包含紧急或威胁性内容（如“账户即将冻结”）。（）答案：√（利用用户恐慌心理诱导点击）9.云计算中，“数据主权”意味着用户对存储在云端的数据拥有完全控制权。（）答案：√（根据《数据安全法》，用户数据所有权归用户）10.量子计算机可以瞬间破解所有现有加密算法。（）答案：×（仅对基于大整数分解和离散对数的算法有威胁，如RSA、ECC）四、简答题（每题5分，共10题）1.简述“最小权限原则”（PrincipleofLeastPrivilege）在网络安全中的应用。答案：最小权限原则要求用户或进程仅被授予完成任务所需的最小权限，避免因权限过高导致的潜在风险。例如：服务器管理员仅分配数据库查询权限而非删除权限；普通用户无法访问系统核心配置文件。该原则可限制攻击面，减少越权操作导致的数据泄露或系统破坏。2.什么是“中间人攻击”（Man-in-the-MiddleAttack）？举例说明其常见场景。答案：中间人攻击是攻击者通过拦截并篡改通信双方的信息，伪装成正常通信方的攻击方式。常见场景：公共WiFi下，攻击者通过ARP欺骗劫持用户与网站的通信，拦截账号密码；或在未加密的HTTP网站中，攻击者篡改页面内容，插入恶意链接。3.简述《个人信息保护法》中“告知-同意”原则的具体要求。答案：处理个人信息前，需以显著方式、清晰易懂的语言告知个人信息处理的目的、方式、范围、保存期限等；处理敏感个人信息需取得单独同意；个人有权撤回同意，撤回不影响已进行的处理。4.什么是“勒索软件”（Ransomware）？防范勒索软件的主要措施有哪些？答案：勒索软件是通过加密用户文件或锁定系统，威胁支付赎金才解密的恶意软件。防范措施包括：定期备份重要数据（离线存储）；启用自动更新安装系统补丁；不点击陌生链接或下载未知文件；安装杀毒软件并开启实时监控。5.比较对称加密与非对称加密的区别（至少列出3点）。答案：①密钥数量：对称加密使用相同密钥（加密/解密），非对称加密使用公钥（加密）和私钥（解密）；②计算效率：对称加密（如AES）速度快，适合大数据加密；非对称加密（如RSA）速度慢，适合小数据或密钥交换；③密钥管理：对称加密需安全传输共享密钥，易泄露；非对称加密公钥可公开，私钥需保密，更易管理。6.简述“零信任网络”（ZeroTrustNetwork）的核心设计理念。答案：零信任网络假设网络内部和外部均不安全，所有访问请求必须经过验证和授权，不依赖传统边界防御（如防火墙）。其核心是“持续验证”，通过身份认证、设备安全状态检查、上下文信息（如位置、时间）动态评估访问风险，仅允许最小权限的访问。7.什么是“SQL注入”（SQLInjection）？如何防范？答案：SQL注入是攻击者通过在用户输入中插入恶意SQL代码，篡改原SQL语句逻辑，从而获取或破坏数据库数据的攻击方式。防范措施：使用参数化查询（PreparedStatement）而非字符串拼接；对用户输入进行严格过滤（如禁止特殊字符）；限制数据库账户权限（仅允许查询，禁止删除）；关闭数据库错误信息的明文输出。8.简述“社会工程学攻击”（SocialEngineering）的常见手段及防范方法。答案：常见手段：钓鱼邮件（伪装成官方机构要求提供信息）、冒充客服（以“账户异常”为由索要密码）、物理渗透（混入公司盗取设备）。防范方法：提高安全意识，核实信息来源（如通过官方电话确认）；不随意透露个人敏感信息；对员工进行安全培训。9.什么是“DNS劫持”？如何检测和防范？答案：DNS劫持是攻击者篡改DNS解析结果，将用户指向恶意网站的攻击。检测方法：通过“nslookup”命令查看目标域名的IP是否与官方一致；访问网站时观察URL是否被跳转。防范方法：使用加密DNS（如DNS-over-HTTPS）；定期检查路由器DNS设置；安装浏览器安全扩展（如uBlockOrigin）。10.简述“数据脱敏”（DataMasking）的常见技术及应用场景。答案：常见技术：①替换（如将身份证号替换为“11010101011234”）；②变形（如随机修改姓名中的一个字）；③加密（如对手机号进行AES加密）；④截断（如只保留银行卡前4位和后4位）。应用场景：测试环境使用脱敏后的生产数据，避免泄露真实用户信息；对外提供数据报表时隐藏敏感字段。五、案例分析题（每题10分，共2题）案例1：某高校教务系统被攻击事件2024年12月，某高校教务系统突然无法访问，页面显示“您的文件已被加密，支付5枚比特币解锁”。经技术团队排查，发现攻击发生前一天，有教师账号因弱口令（密码为“jiaoshi123”）被暴力破解，攻击者通过该账号登录系统并植入勒索软件。问题：（1）分析此次攻击的主要漏洞和攻击路径。（2）提出至少3条针对性的防御措施。答案：（1）漏洞：教师账号使用弱口令（“jiaoshi123”），易被暴力破解；教务系统未启用多因素认证（如短信验证码）；勒索软件防护机制缺失（如未部署文件监控）。攻击路径：攻击者通过暴力破解获取教师账号→登录教务系统→上传并执行勒索软件→加密服务器文件→显示勒索信息。（2）防御措施：①强制账号密码复杂度（要求至少8位，包含字母、数字、符号），定期修改密码；②启用双因素认证（如账号+短信验证码或硬件令牌）；③部署文件监控系统，检测异常文件加密行为并