2025年大学生网络安全知识竞赛题库及答案

2025年大学生网络安全知识竞赛题库及答案一、单项选择题（每题2分，共40分）1.在OSI参考模型中，负责将数据分割成帧并进行差错检测的是哪一层？A.物理层B.数据链路层C.网络层D.传输层2.以下哪种协议用于安全地传输文件？A.FTPB.TFTPC.SFTPD.HTTP3.以下哪项不属于常见的弱密码特征？A.包含生日、手机号等个人信息B.长度为12位的随机字母数字组合C.连续重复字符（如111111）D.简单字典词（如password）4.某用户收到一封邮件，标题为“您的银行账户异常，请点击链接验证”，这最可能属于哪种攻击？A.分布式拒绝服务（DDoS）B.钓鱼攻击（Phishing）C.中间人攻击（MITM）D.勒索软件（Ransomware）5.以下哪种加密算法属于对称加密？A.RSAB.AESC.ECCD.SHA-2566.在网络安全中，“零信任”架构的核心原则是？A.默认信任内部网络所有设备B.对所有访问请求进行持续验证C.仅验证外部用户身份D.依赖传统边界防火墙防护7.当发现个人电脑感染恶意软件时，首先应采取的措施是？A.立即关机B.断开网络连接C.格式化硬盘D.安装新的杀毒软件8.以下哪项是《中华人民共和国个人信息保护法》中规定的“最小必要原则”的具体体现？A.收集用户通讯录用于天气推送服务B.仅收集用户注册所需的姓名和手机号C.存储用户十年前的浏览记录用于数据分析D.共享用户位置信息给所有合作广告商9.以下哪种攻击方式利用了操作系统或应用程序的漏洞？A.社会工程学B.缓冲区溢出C.域名系统劫持（DNSHijacking）D.暴力破解10.在无线网络安全中，WPA3相比WPA2的主要改进是？A.支持WEP加密B.引入SAE（安全平等认证）防止离线字典攻击C.仅支持5GHz频段D.取消加密要求11.以下哪项不属于区块链的核心特性？A.不可篡改性B.中心化管理C.分布式存储D.共识机制12.某网站显示“HTTPS”标识，说明该网站采用了哪种安全协议？A.SSL/TLSB.IPsecC.SSHD.PGP13.以下哪种行为可能导致个人信息泄露？A.在正规应用商店下载APP并开启必要权限B.使用公共Wi-Fi时通过HTTPS访问银行网站C.在社交平台公开分享身份证号和银行卡照片D.定期更新手机系统和应用程序14.以下哪项是防止SQL注入攻击的有效措施？A.对用户输入进行转义处理B.使用默认数据库管理员账户C.关闭数据库错误提示D.仅允许root用户访问数据库15.在物联网（IoT）设备安全中，最常见的风险是？A.设备算力不足B.设备默认密码未修改C.设备支持多种网络协议D.设备外观设计缺陷16.以下哪种技术用于验证用户身份的“双因素认证（2FA）”？A.仅使用短信验证码B.同时使用指纹识别和密码C.仅使用人脸识别D.仅使用动态令牌（如GoogleAuthenticator）17.以下哪项属于《网络安全法》中规定的关键信息基础设施运营者的义务？A.无需进行网络安全等级保护B.可以随意向境外提供用户数据C.定期进行网络安全检测和风险评估D.不需要制定网络安全事件应急预案18.当收到“您的账号因违规被冻结，请转账500元解冻”的短信时，正确的做法是？A.立即转账解冻B.拨打官方客服电话核实C.点击短信中的链接填写账号信息D.转发给所有好友提醒19.以下哪种恶意软件会加密用户文件并索要赎金？A.蠕虫（Worm）B.间谍软件（Spyware）C.勒索软件（Ransomware）D.广告软件（Adware）20.在云计算环境中，“数据主权”主要指？A.云服务商拥有数据所有权B.用户对自身数据的控制和管理权C.数据必须存储在本地服务器D.数据可以随意跨境传输---二、多项选择题（每题3分，共30分，少选、错选均不得分）1.以下属于网络安全“三分技术，七分管理”中“管理”范畴的有？A.制定网络安全管理制度B.对员工进行安全意识培训C.部署防火墙和入侵检测系统D.定期进行安全演练2.以下哪些行为符合《个人信息保护法》的要求？A.企业在收集用户信息前明确告知用途B.用户要求删除个人信息时，企业拒绝执行C.企业对用户信息进行匿名化处理后用于统计D.未经用户同意，将个人信息共享给第三方3.以下哪些是DDoS攻击的特点？A.利用大量僵尸主机发起攻击B.目标是耗尽目标服务器资源C.仅针对个人电脑D.可以通过流量清洗缓解4.以下哪些属于常见的社交工程学攻击手段？A.冒充客服索要验证码B.发送伪装成快递通知的钓鱼链接C.利用系统漏洞植入木马D.通过电话谎称“您的账户被盗，需转账到安全账户”5.以下哪些措施可以增强电子邮箱安全？A.设置复杂密码并定期更换B.开启“登录地点异常提醒”功能C.随意点击邮件中的未知链接D.绑定手机或动态令牌作为二次验证6.以下哪些属于物联网设备的安全风险？A.设备固件长期未更新B.设备使用默认弱密码C.设备支持多种通信协议（如Wi-Fi、蓝牙）D.设备数据传输未加密7.以下哪些是区块链技术在网络安全中的应用？A.防止数据篡改B.实现去中心化身份认证C.替代传统加密算法D.记录网络攻击事件的不可篡改日志8.以下哪些行为可能导致手机被植入恶意软件？A.从非官方应用商店下载APPB.扫描陌生人提供的二维码C.连接公共Wi-Fi时使用HTTPS访问网站D.点击短信中的“中奖链接”9.以下哪些是网络安全等级保护（等保2.0）的核心要求？A.安全物理环境B.安全通信网络C.安全区域边界D.安全计算环境10.以下哪些属于数据脱敏的常用方法？A.替换（如将身份证号部分数字替换为）B.加密（如对手机号进行AES加密）C.乱序（如打乱姓名中文字的顺序）D.保留完整数据用于分析---三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.所有HTTPS网站都绝对安全，不会被攻击。（）2.公共Wi-Fi环境下，使用HTTP访问网站不会泄露信息。（）3.关闭手机定位功能后，APP仍可能通过IP地址获取大致位置。（）4.弱密码仅影响个人账户安全，不会对企业网络造成威胁。（）5.定期备份重要数据可以降低勒索软件攻击的损失。（）6.网络安全漏洞一旦被修复，就永远不会再次被利用。（）7.双因素认证中，短信验证码属于“知识因素”（Whatyouknow）。（）8.物联网设备数量多、分布广，因此不需要进行安全管理。（）9.《数据安全法》要求数据处理者按照“最小必要”原则收集数据。（）10.发现网络安全事件时，应立即自行处理，无需上报。（）---四、简答题（每题6分，共30分）1.请简述“社会工程学攻击”的定义，并列举两种常见手段。2.什么是“零信任网络架构”？其核心原则有哪些？3.请说明SQL注入攻击的原理，并列举至少三种防范措施。4.个人信息保护的“告知-同意”原则具体指什么？企业未遵守该原则可能面临哪些法律后果？5.请结合实际场景，说明如何防范Wi-Fi钓鱼热点的攻击。---五、案例分析题（共20分）某高校教务处网站近期出现异常：部分学生查询成绩时跳转至仿冒页面，输入的学号和密码被窃取；同时，服务器日志显示大量异常数据库查询请求，导致系统短暂瘫痪。经技术排查，发现仿冒页面与学校官网高度相似，数据库中部分学生信息（如身份证号、家庭住址）被非法导出。问题：1.分析该事件可能涉及的网络安全攻击手段（至少三种）。（8分）2.针对上述攻击手段，提出具体的防范措施。（12分）---答案及解析一、单项选择题1.B（数据链路层负责帧的封装与差错检测）2.C（SFTP基于SSH协议，提供加密传输）3.B（长度12位的随机组合属于强密码）4.B（钓鱼攻击通过仿冒可信方诱导用户泄露信息）5.B（AES是对称加密算法，RSA、ECC为非对称，SHA-256为哈希算法）6.B（零信任核心是“永不信任，持续验证”）7.B（断开网络防止恶意软件传播或数据泄露）8.B（最小必要原则要求仅收集必要信息）9.B（缓冲区溢出利用程序漏洞）10.B（WPA3的SAE机制增强了认证安全性）11.B（区块链是去中心化的）12.A（HTTPS基于SSL/TLS加密）13.C（公开敏感信息直接导致泄露）14.A（转义输入可防止SQL注入）15.B（默认弱密码是IoT设备常见风险）16.B（双因素需两种不同验证方式，如“密码+生物识别”）17.C（关键信息基础设施运营者需定期检测评估）18.B（通过官方渠道核实是正确做法）19.C（勒索软件加密文件索要赎金）20.B（数据主权强调用户对数据的控制权）二、多项选择题1.ABD（C属于技术措施）2.AC（B、D违反《个人信息保护法》）3.ABD（DDoS可针对服务器或网络）4.ABD（C属于技术攻击，非社交工程）5.ABD（C会导致风险）6.ABD（C是功能特性，非风险）7.ABD（区块链不替代加密算法）8.ABD（C是安全行为）9.ABCD（等保2.0覆盖物理、网络、边界、计算等环境）10.ABC（D未脱敏）三、判断题1.×（HTTPS可能因证书被篡改或降级攻击失效）2.×（HTTP传输未加密，易被中间人截获）3.√（IP地址可定位大致区域）4.×（弱密码可能导致企业内网被渗透）5.√（备份可恢复被加密数据）6.×（可能出现新的利用方式或复现漏洞）7.×（短信验证码属于“拥有因素”（Whatyouhave））8.×（物联网设备需加强安全管理）9.√（《数据安全法》明确要求）10.×（需按规定上报监管部门）四、简答题1.社会工程学攻击是通过心理操纵而非技术漏洞，诱使用户泄露敏感信息或执行危险操作的攻击方式。常见手段：①冒充客服要求提供验证码；②发送伪装成官方通知的钓鱼邮件，诱导点击链接。2.零信任网络架构（ZeroTrustArchitecture）是一种假设“网络中没有绝对可信的设备或用户”的安全模型。核心原则：①持续验证（所有访问请求需动态验证身份、设备状态等）；②最小权限（仅授予完成任务所需的最小访问权限）；③全流量检测（监控所有网络流量，防止横向渗透）。3.SQL注入原理：攻击者将恶意SQL代码插入用户输入参数中，使数据库执行非预期指令，导致数据泄露或破坏。防范措施：①使用参数化查询（预编译语句）；②对用户输入进行严格过滤（如限制特殊字符）；③最小化数据库账户权限（避免使用管理员账户直接连接）；④关闭详细错误提示（防止攻击者获取数据库结构信息）。4.“告知-同意”原则指企业在收集、使用个人信息前，需明确告知用户信息的用途、范围、方式等，并获得用户主动同意。未遵守可能面临：①行政处罚（如警告、罚款，最高5000万元或年营业额5%）；②民事责任（用户可要求赔偿损失）；③信用惩戒（纳入信用记录）。5.防范Wi-Fi钓鱼热点的措施：①连接前确认Wi-Fi名称（如学校官方Wi-Fi为“CampusWiFi”，警惕“Campus-WiFi”等相似名称）；②查看是否需要通过官方认证页面登录（钓鱼热点可能直接连接）；③使用手机自带的“网络诊断”功能，检查DNS是否被篡改；④优先使用数据流量或已确认安全的Wi-Fi；⑤关闭“自动连接Wi-Fi”功能，避免自动接入钓鱼热点。五、案例分析题1.可能涉及的攻击手段：①钓鱼攻击：仿冒教务处页面，诱导学生输入账号密码；②DNS劫持：篡改域名解析，将正常访问指向仿冒页面；③SQL注入：通过异常数据库查询请求，非法导出学生信息；④DDoS攻击：大量异常请求导致服务器资源耗尽，系统瘫痪。2.防范措施：①针对钓鱼攻击：加强官网安全防护（如启用HTTPS严格传输策略HSTS），定期检查仿冒网站并向平台举报；对学生开展安全培训，提醒识别仿冒页面（如检查URL是否为官方域名）。②针对DNS劫持：使用加密DNS（如DNSoverHTTPS），避免通过公共DNS解析；定期检测学校DNS服务器的安全性，防止被篡改。