2025年全国大学生网络安全知识竞赛经典题库及答案

2025年全国大学生网络安全知识竞赛经典题库及答案一、单项选择题（每题2分，共40分）1.以下哪项是网络安全中“CIA三元组”的核心要素？A.可控性、完整性、可追溯性B.机密性、完整性、可用性C.认证性、授权性、审计性D.抗抵赖性、真实性、可靠性答案：B2.某网站用户登录时，系统要求输入短信验证码，这一机制主要用于防范哪种攻击？A.暴力破解攻击B.SQL注入攻击C.DDoS攻击D.跨站脚本攻击（XSS）答案：A3.以下哪种加密算法属于非对称加密（公钥加密）？A.AES-256B.DESC.RSAD.SHA-256答案：C4.物联网（IoT）设备中，默认使用弱密码（如“admin/admin”）可能导致的最直接风险是？A.设备被远程控制B.数据传输延迟C.设备硬件损坏D.网络带宽占用答案：A5.根据《中华人民共和国数据安全法》，关键信息基础设施运营者在境内运营中收集和产生的重要数据，因业务需要确需向境外提供的，应当依法通过？A.数据出境安全评估B.行业协会备案C.公安机关审批D.第三方机构检测答案：A6.以下哪项不属于常见的社会工程学攻击手段？A.发送伪装成银行的钓鱼邮件B.在公共WiFi中植入恶意热点C.通过电话冒充客服索要验证码D.利用系统漏洞植入勒索病毒答案：D7.某企业数据库中存储了用户身份证号、手机号等敏感信息，为防止数据泄露后直接被识别，最有效的处理方式是？A.数据加密B.数据脱敏（如将身份证号中间几位替换为）C.数据压缩D.数据备份答案：B8.以下关于防火墙的描述，错误的是？A.可以过滤进出网络的数据包B.无法防范来自内部网络的攻击C.能完全阻止病毒通过网络传播D.分为网络层防火墙和应用层防火墙答案：C9.在渗透测试中，“信息收集”阶段的主要目的是？A.植入恶意代码B.分析目标系统的脆弱性C.获取目标系统的基本信息（如IP、域名、开放端口）D.提升攻击权限答案：C10.某用户收到一条短信：“您的账户存在异常，点击链接/verify重新绑定”，这最可能是哪种攻击？A.钓鱼攻击B.中间人攻击C.拒绝服务攻击D.缓冲区溢出攻击答案：A11.以下哪种协议用于安全地传输电子邮件？A.HTTPB.SMTPC.HTTPSD.S/MIME答案：D12.若某系统的安全策略要求“最小权限原则”，则用户账户应？A.仅拥有完成工作所需的最低权限B.拥有系统管理员权限以提高效率C.定期更换密码但无需限制权限D.共享账户以便多人协作答案：A13.以下哪项是物联网设备特有的安全风险？A.固件漏洞难以更新B.密码容易被暴力破解C.数据传输被截获D.账户被盗用答案：A14.根据《个人信息保护法》，处理个人信息应当遵循的“最小必要原则”是指？A.收集的个人信息数量最少、范围最小B.仅收集实现处理目的所必要的个人信息C.个人信息存储时间最短D.个人信息处理流程最简化答案：B15.以下哪种技术可以有效防止DNS劫持？A.DNSSEC（域名系统安全扩展）B.DHCP（动态主机配置协议）C.NAT（网络地址转换）D.VLAN（虚拟局域网）答案：A16.勒索病毒攻击的典型特征是？A.占用大量网络带宽B.加密用户文件并索要赎金C.窃取用户隐私信息D.破坏硬件设备答案：B17.以下哪项是Web应用中“跨站请求伪造（CSRF）”攻击的防范措施？A.对用户输入进行转义处理B.在请求中添加CSRF令牌（Token）C.启用防火墙过滤特定IPD.定期更新操作系统补丁答案：B18.量子计算对现有密码体系的最大威胁是？A.加速对称加密算法的破解B.破解基于大整数分解的非对称加密（如RSA）C.破坏哈希函数的碰撞抗性D.干扰网络通信协议答案：B19.某高校图书馆系统存储了学生借阅记录，根据《网络安全法》，该系统属于？A.关键信息基础设施B.一般信息系统C.公共服务平台D.互联网数据中心答案：B（注：关键信息基础设施需符合“一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益”的标准，高校图书馆系统通常不属于此类）20.以下关于零信任架构（ZeroTrust）的描述，正确的是？A.信任所有内部网络设备B.仅信任经过严格验证的用户和设备C.依赖传统边界防火墙实现安全D.无需持续监控用户行为答案：B二、多项选择题（每题3分，共45分。每题至少有2个正确选项，错选、漏选均不得分）1.以下哪些属于网络安全中的“主动防御”技术？A.入侵检测系统（IDS）B.入侵防御系统（IPS）C.防火墙D.蜜罐（Honeypot）答案：B、D2.个人信息处理者在收集用户信息前，应当向用户明确告知的内容包括？A.信息收集的目的、方式B.信息存储的地点、期限C.信息共享的对象及理由D.用户行使删除权、更正权的方式答案：A、B、C、D3.以下哪些是防范DDoS攻击的有效措施？A.购买云服务商的DDoS防护服务B.限制单IP的连接数C.增大服务器带宽D.关闭不必要的开放端口答案：A、B、C、D4.以下关于密码安全的说法，正确的是？A.密码应包含字母、数字、符号的组合B.不同账户应使用不同密码C.可以将密码写在便签上贴在显示器旁D.定期更换重要账户的密码答案：A、B、D5.物联网设备的安全加固措施包括？A.关闭不必要的默认服务B.定期更新固件C.使用复杂的设备登录密码D.将设备接入独立的隔离网络答案：A、B、C、D6.以下哪些属于《网络安全法》规定的网络运营者义务？A.制定内部安全管理制度和操作规程B.采取技术措施防范网络攻击C.为公安机关提供技术支持协助网络安全监管D.对用户信息严格保密答案：A、B、C、D7.以下哪些是常见的哈希算法？A.MD5B.SHA-1C.AESD.RSA答案：A、B8.防范钓鱼邮件的措施包括？A.不点击邮件中的陌生链接B.验证发件人邮箱地址是否异常C.安装邮件过滤软件D.直接回复邮件提供个人信息答案：A、B、C9.以下关于区块链安全的描述，正确的是？A.区块链的去中心化特性可以完全避免攻击B.智能合约漏洞可能导致资产损失C.51%攻击可能破坏区块链共识D.私钥丢失将无法恢复区块链资产答案：B、C、D10.数据脱敏的常见方法包括？A.替换（如将姓名替换为“某先生”）B.掩码（如将银行卡号显示为“1234”）C.加密D.随机化（如将年龄随机增减1-2岁）答案：A、B、D（注：加密属于数据保护手段，不属于脱敏）11.以下哪些是无线局域网（WLAN）的安全威胁？A.弱加密协议（如WEP）B.非法接入点（RogueAP）C.中间人攻击（MITM）D.物理线路破坏答案：A、B、C12.网络安全等级保护（等保2.0）的核心要求包括？A.安全通信网络B.安全区域边界C.安全计算环境D.安全管理中心答案：A、B、C、D13.以下关于APT（高级持续性威胁）攻击的描述，正确的是？A.攻击目标通常是重要机构（如政府、金融）B.攻击手段复杂，持续时间长C.仅依赖单一漏洞进行攻击D.目的多为窃取敏感数据而非破坏答案：A、B、D14.防范SQL注入攻击的措施包括？A.使用预编译语句（PreparedStatement）B.对用户输入进行严格校验和转义C.限制数据库用户的权限D.关闭数据库错误信息的显示答案：A、B、C、D15.以下哪些属于云计算中的安全责任划分原则？A.云服务商负责基础设施安全（如服务器、网络）B.用户负责自身数据和应用的安全C.云服务商负责所有安全问题D.用户无需关注云平台的安全配置答案：A、B三、判断题（每题1分，共10分。正确填“√”，错误填“×”）1.所有网络安全事件都需要向公安机关报告。（）答案：×（注：仅符合“发生较大规模网络安全事件”或关键信息基础设施运营者发生的事件需报告）2.蓝牙设备在配对后不会被其他设备攻击。（）答案：×（注：蓝牙存在“Bluejacking”“Bluesnarfing”等攻击方式）3.双因素认证（2FA）可以完全防止账户被盗。（）答案：×（注：仍可能因短信劫持、钓鱼等攻击失效）4.开源软件的代码公开，因此比闭源软件更安全。（）答案：×（注：开源软件的漏洞可能被更快速发现，但安全性取决于代码质量和维护）5.在公共WiFi中使用HTTPS访问网站可以防范中间人攻击。（）答案：√6.手机开启“开发者模式”不会影响设备安全。（）答案：×（注：开发者模式可能允许未经授权的调试，增加安全风险）7.加密后的数据库备份无需再保护，因为数据已加密。（）答案：×（注：加密密钥若泄露，备份数据仍可能被破解）8.物联网设备的MAC地址可以作为唯一标识用于身份认证。（）答案：×（注：MAC地址可被伪造，不能单独作为认证依据）9.网络安全领域的“白帽黑客”是指合法的渗透测试人员。（）答案：√10.数据泄露事件中，只要数据被加密，就无需向用户告知。（）答案：×（注：即使数据加密，仍需评估泄露风险并依法告知）四、简答题（每题5分，共25分）1.请简述“社会工程学攻击”的核心原理及防范措施。答案：社会工程学攻击通过心理操纵而非技术漏洞获取信任，诱导用户泄露敏感信息（如密码、验证码）。防范措施包括：提高安全意识（不轻易透露个人信息）、验证信息来源（如通过官方渠道核实）、设置复杂密码并启用多因素认证。2.请比较对称加密与非对称加密的区别，并各举一例。答案：对称加密使用同一密钥加密和解密（如AES），速度快但密钥分发困难；非对称加密使用公钥加密、私钥解密（如RSA），解决了密钥分发问题但速度较慢。3.简述《个人信息保护法》中“告知-同意”原则的具体要求。答案：处理个人信息前需明确告知处理目的、方式、范围、存储期限等；需获得用户明确、自愿的同意；同意可撤回，撤回不影响已进行的处理。4.请列举至少3种常见的Web应用安全漏洞，并说明其危害。答案：（1）SQL注入：攻击者通过输入恶意SQL语句窃取或破坏数据库数据；（2）XSS（跨站脚本）：注入恶意脚本窃取用户Cookie或劫持会话；（3）CSRF（跨站请求伪造）：诱导用户执行非自愿操作（如转账）。5.什么是“零信任架构”？其核心设计理念是什么？答案：零信任架构假设“网络中没有绝对可信的设备或用户”，要求所有访问请求必须经过身份验证、授权和持续信任评估。核心理念是“永不信任，始终验证”，通过最小权限访问、持续监控和动态策略调整保障安全。五、案例分析题（每题10分，共30分）案例1：某高校图书馆网站近期频繁出现用户登录异常，部分学生账户被盗，个人信息（如学号、借阅记录）被泄露。经技术排查，发现网站登录页面存在以下问题：（1）用户输入的密码在前端未加密直接传输；（2）数据库存储的密码为明文；（3）未限制同一IP的登录尝试次数。问题：（1）分析导致账户被盗的直接原因；（2）提出至少3项针对性的修复措施。答案：（1）直接原因：密码明文传输（易被中间人截获）、密码明文存储（数据库泄露后直接暴露）、未限制登录尝试（允许暴力破解）。（2）修复措施：前端使用HTTPS加密传输；数据库存储密码哈希值（如BCrypt）；限制单IP的登录失败次数（如5次/分钟）并暂时锁定；启用双因素认证。案例2：某企业员工收到一封邮件，主题为“2025年度薪资调整通知”，附件为“薪资表.pdf”。员工下载打开后，电脑突然黑屏，提示“文件已加密，支付5000元比特币解锁”。问题：（1）判断这是何种攻击类型；（2）列举该攻击的传播途径（至少2种）；（3）说明企业应采取的防范措施（至少3项）。答案：（1）勒索病毒攻击。（2）传播途径：钓鱼邮件附件、恶意链接、漏洞利用（如未打补丁的系统）。（3）防范措施：安装杀毒软件并定期更新；开启邮件附件扫描功能；定期备份重要文件（离线存储）；员工安全培