网络安全知识科普题目参考(附答案)

网络安全知识科普题目参考(附答案)一、单项选择题（每题2分，共20分）1.以下哪项不属于网络安全CIA三元组的核心要素？A.机密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.可追溯性（Traceability）2.钓鱼攻击（Phishing）的主要目的是：A.破坏目标设备硬件B.获取用户敏感信息（如账号密码）C.占用网络带宽资源D.植入合法系统补丁3.以下哪种协议用于安全的超文本传输？A.HTTPB.FTPC.HTTPSD.SMTP4.某企业员工收到邮件，内容为“您的银行账户存在异常，点击链接验证身份”，这最可能是哪种攻击手段？A.勒索软件攻击B.社会工程学攻击C.DDoS攻击D.缓冲区溢出攻击5.以下哪项是防范SQL注入攻击的有效措施？A.关闭防火墙B.对用户输入进行参数化查询C.增加服务器内存D.禁用杀毒软件6.物联网（IoT）设备常见的安全风险不包括：A.默认弱口令B.固件更新不及时C.设备物理防护不足D.支持5G网络连接7.以下哪种加密算法属于对称加密？A.RSAB.AESC.ECCD.SHA2568.零信任安全模型的核心思想是：A.信任所有内部网络用户B.永不信任，持续验证C.仅信任固定IP地址的设备D.依赖传统边界防火墙防护9.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440119900101XXXX”属于：A.掩码处理B.加密处理C.随机替换D.完全删除10.勒索软件攻击的典型特征是：A.攻击者公开受害者隐私数据B.攻击者加密受害者文件并索要赎金C.攻击者篡改网站首页内容D.攻击者监控用户键盘输入二、判断题（每题1分，共10分。正确填“√”，错误填“×”）1.弱口令（如“123456”）不会导致安全风险，因为现代系统有多重防护机制。（）2.公共WiFi环境下使用HTTPS协议访问网站可以有效降低数据被截获的风险。（）3.钓鱼邮件的发件人邮箱地址一定是伪造的，因此只需检查发件人信息即可完全防范。（）4.安装杀毒软件后无需更新病毒库，因为初始版本已覆盖所有已知威胁。（）5.数据泄露事件中，未加密的数据库直接暴露在公网是常见原因之一。（）6.区块链技术的去中心化特性意味着其完全不存在安全风险。（）7.员工定期参加网络安全培训有助于降低企业整体安全风险。（）8.手机“开发者模式”开启后不会对设备安全造成影响，可随意启用。（）9.量子计算技术的发展可能导致现有RSA加密算法被破解。（）10.物联网设备数量庞大，因此无需为每个设备单独配置安全策略。（）三、简答题（每题6分，共30分）1.请简述DDoS攻击的原理及常见防御方法。2.解释“社会工程学攻击”的定义，并列举三种常见形式。3.说明数据加密与数据脱敏的区别，并各举一例应用场景。4.什么是“中间人攻击（MITM）”？简述其防范措施。5.企业部署网络安全防护体系时，为何需要“最小权限原则”？请结合实际场景说明。四、案例分析题（每题20分，共40分）案例1：某电商公司用户数据库泄露事件背景：2023年11月，某电商平台被曝用户信息大规模泄露，涉及姓名、手机号、收货地址及部分支付信息（如银行卡后四位）。经调查发现：数据库服务器开放在公网IP，未配置访问控制；数据库管理员账号使用默认密码“admin123”；用户敏感信息（如手机号）存储时仅做简单字符串拼接，未加密；系统日志仅保留7天，无法追溯攻击时间线。问题：（1）分析该事件中暴露的主要安全漏洞；（2）针对上述漏洞，提出至少5项具体的修复措施。案例2：某企业员工误点钓鱼链接事件背景：2024年3月，某制造企业财务部门员工张某收到一封标题为“紧急：2024年税务申报通知”的邮件，邮件内附链接“”（与真实税务官网“”高度相似）。张某点击链接后，输入了个人办公账号密码，导致账号被盗用，攻击者通过该账号下载了企业2023年财务报表并勒索50万元。问题：（1）判断该攻击的类型，并分析攻击者使用的关键手段；（2）企业应如何通过技术和管理措施防范此类事件再次发生？答案及解析一、单项选择题1.D（CIA三元组为机密性、完整性、可用性）2.B（钓鱼攻击通过伪装可信来源骗取用户信息）3.C（HTTPS通过TLS/SSL加密传输）4.B（利用用户对银行的信任诱导操作，属于社会工程学）5.B（参数化查询可防止恶意SQL代码注入）6.D（5G连接本身不构成安全风险，风险源于设备自身安全配置）7.B（AES是对称加密，RSA、ECC为非对称，SHA256为哈希算法）8.B（零信任核心是“永不信任，持续验证”）9.A（掩码处理通过隐藏部分字符保护敏感信息）10.B（勒索软件典型行为是加密文件并索要赎金）二、判断题1.×（弱口令是最常见的入侵突破口之一）2.√（HTTPS加密传输可防止中间人截获明文）3.×（部分钓鱼邮件会伪造真实企业域名，需结合内容、链接真实性综合判断）4.×（病毒库需实时更新以应对新威胁）5.√（公网暴露的未保护数据库是数据泄露重灾区）6.×（区块链存在私钥丢失、智能合约漏洞等风险）7.√（员工安全意识提升可降低人为疏忽导致的风险）8.×（开发者模式可能开启调试接口，增加被攻击概率）9.√（量子计算可破解基于大整数分解的RSA算法）10.×（每个IoT设备需根据功能配置独立安全策略）三、简答题1.DDoS攻击原理：通过控制大量僵尸主机（肉鸡）向目标服务器发送海量请求，超出其处理能力，导致服务不可用。防御方法：①使用流量清洗服务（如云服务商的DDoS防护）；②限制单IP请求频率；③部署抗DDoS硬件设备；④启用CDN分散流量；⑤及时更新系统补丁，修复可能被利用的协议漏洞（如NTP反射攻击）。2.社会工程学攻击：利用人性弱点（如信任、恐惧、好奇）骗取信息或操作的非技术类攻击。常见形式：①钓鱼邮件（伪装官方诱导点击链接）；②电话诈骗（冒充客服索要验证码）；③水坑攻击（在目标常访问的网站植入恶意代码）；④物理渗透（冒充维修人员获取机房访问权限）。3.区别：数据加密是通过算法将明文转换为密文，需密钥解密恢复；数据脱敏是对敏感信息进行变形（如替换、掩码），无法还原原始数据。应用场景：加密——用户密码存储（如使用BCrypt加密）；脱敏——对外提供测试数据时，将真实手机号处理为“1385678”。4.中间人攻击（MITM）：攻击者在通信双方之间拦截并篡改数据，伪装成双方与对方通信。防范措施：①使用HTTPS等加密协议；②验证数字证书（如检查浏览器锁标志）；③定期更换密钥；④启用双向认证（如客户端证书验证）；⑤避免在公共WiFi环境进行敏感操作。5.最小权限原则要求用户/程序仅拥有完成任务所需的最低权限。实际场景：企业财务系统中，普通会计仅需查询凭证权限，无需删除或修改核心账簿的权限；若赋予过高权限，一旦账号被盗，攻击者可直接篡改财务数据。该原则可限制攻击面，降低数据被恶意操作的风险。四、案例分析题案例1答案：（1）主要漏洞：①数据库公网暴露且无访问控制（未配置防火墙策略/IP白名单）；②管理员账号使用弱口令（默认密码未修改）；③敏感信息未加密存储（手机号、支付信息仅简单拼接）；④日志留存时间过短（无法追溯攻击过程）；⑤缺乏数据库安全审计机制（未监控异常访问行为）。（2）修复措施：①关闭数据库公网暴露，仅允许内网或VPN访问；②强制修改管理员密码（要求长度≥12位，包含字母、数字、符号）；③对用户敏感信息进行加密存储（如使用AES256加密手机号、银行卡信息）；④延长日志留存时间至180天以上，并定期分析异常访问记录；⑤部署数据库审计系统，监控增删改查操作；⑥启用多因素认证（MFA），管理员登录需额外验证（如短信验证码）；⑦定期进行渗透测试，发现潜在漏洞。案例2答案：（1）攻击类型：钓鱼攻击（社会工程学攻击的一种）。关键手段：①仿冒真实税务官网域名（“”与“”高度相似）；②利用“紧急税务申报”的紧迫主题激发用户焦虑，降低警惕；③诱导用户在伪造页面输入办公账号密码，窃取凭证。（2）防范措施：技术措施：①部署邮件过滤系统，拦截包含可疑链接或仿冒域名的邮件；②启用域名DMARC/DKIM/SPF验证，防止伪造企业邮件；③对办公系统启用多因素认证（如账号+短信验证码+硬件令牌）；④在员工终端安