2025年国家网络安全宣传周试题（附答案）

2025年国家网络安全宣传周试题（附答案）一、单项选择题（共20题，每题2分，共40分）1.根据《中华人民共和国网络安全法》，网络运营者应当按照（）的要求，履行网络安全保护义务。A.行业标准B.国家标准的强制性C.企业内部规定D.地方政策2.2025年新修订的《数据安全管理条例》中，明确关键信息基础设施运营者在境内运营中收集和产生的重要数据，因业务需要确需向境外提供的，应当通过（）。A.数据出境安全评估B.行业协会备案C.网信部门口头同意D.第三方机构自行审核3.以下哪种行为符合《个人信息保护法》中“最小必要”原则？A.购物APP要求用户授权读取通讯录以完成商品推荐B.医疗软件仅收集患者姓名、年龄、病症信息用于诊疗C.社交平台要求用户提供身份证号以注册账号D.教育类APP要求用户开启定位权限以使用在线课程功能4.某企业发现其云服务器遭受勒索软件攻击，关键业务数据被加密。正确的应急处置流程是（）。A.立即支付赎金获取解密密钥B.断开服务器网络连接，启动备份恢复数据C.联系攻击者协商降价D.关闭防火墙防止攻击扩散5.物联网设备（如智能摄像头）的典型安全风险不包括（）。A.默认弱密码导致设备被远程控制B.固件未及时更新存在漏洞C.设备数据通过加密通道传输D.设备日志未加密存储导致信息泄露6.根据《网络安全等级保护条例》，三级信息系统的安全保护要求中，“安全通信网络”层面需实现（）。A.网络链路单点故障自动切换B.网络流量的双向身份认证C.网络访问控制仅基于IP地址D.网络边界无需部署入侵检测系统7.2025年新型网络攻击“AI生成钓鱼邮件”的主要特征是（）。A.邮件内容包含大量乱码B.利用AI模拟用户亲友口吻编写正文C.附件为可执行文件但无伪装D.发送频率极低且目标随机8.某用户收到短信：“您的银行账户因异常交易被冻结，点击链接登录官网解冻”。这属于（）。A.社会工程学攻击B.拒绝服务攻击（DDoS）C.缓冲区溢出攻击D.中间人攻击9.区块链系统中，“51%攻击”的威胁对象是（）。A.智能合约的代码漏洞B.节点的算力控制C.用户的私钥管理D.区块的哈希值验证10.移动应用（APP）在应用商店上架前，需通过“安全检测认证”，重点检测内容不包括（）。A.是否存在私自收集用户通讯录行为B.应用界面的UI设计美观度C.是否超范围申请设备权限D.传输数据是否采用加密协议11.工业控制系统（ICS）的安全防护核心目标是（）。A.确保生产流程的连续性和稳定性B.提升系统的运算速度C.减少设备采购成本D.优化操作人员的交互体验12.以下关于量子通信的描述，正确的是（）。A.量子通信完全不受物理距离限制B.量子密钥分发（QKD）可实现“无条件安全”的密钥传输C.量子通信设备无需进行传统加密D.量子通信技术已完全替代传统加密技术13.某企业员工使用个人手机连接公司WiFi时，被攻击者通过“ARP欺骗”获取其网络流量。该攻击利用了（）。A.网络层地址解析协议的缺陷B.传输层TCP协议的漏洞C.应用层HTTP协议的明文传输D.物理层网络线缆的电磁泄露14.根据《密码法》，关键信息基础设施的运营者应当使用（）进行保护，并按照规定报国家密码管理部门备案。A.商用密码B.核心密码C.普通密码D.国际通用密码15.2025年，某高校图书馆部署的“智慧借阅系统”因未开启日志审计功能，导致图书借阅记录被篡改且无法追溯。这违反了网络安全“三同步”原则中的（）。A.同步规划B.同步建设C.同步使用D.同步淘汰16.以下哪种行为属于合法的个人信息处理活动？A.电商平台将用户购物记录出售给第三方广告公司B.医院在患者同意后，将匿名化处理的病历数据用于医学研究C.社交平台未经用户同意，将用户位置信息提供给合作商家D.教育机构将学生成绩清单直接分享给其他学校17.针对“钓鱼网站”的防范措施，最有效的是（）。A.仅通过搜索引擎链接访问官方网站B.检查网站URL是否包含“https”且CA证书有效C.点击邮件中的链接前不确认发件人身份D.安装任意免费杀毒软件即可拦截所有钓鱼网站18.云计算环境中，“租户隔离”的主要目的是（）。A.提升云服务器的计算性能B.防止不同用户的数据相互泄露C.降低云服务的存储成本D.简化云平台的管理流程19.某单位网络管理员发现办公电脑感染“勒索病毒”，正确的处置步骤是（）。①断开电脑网络连接②尝试用杀毒软件清除病毒③报告单位网络安全负责人④检查最近数据备份情况A.①→③→④→②B.③→①→②→④C.①→②→③→④D.②→①→③→④20.2025年，我国首次将“车联网安全”纳入网络安全宣传重点，主要因为（）。A.车载娱乐系统的用户体验需提升B.车辆与云端、其他车辆的通信面临数据泄露和控制风险C.传统汽车的机械故障数量增加D.车联网技术的研发成本过高二、判断题（共15题，每题1分，共15分。正确填“√”，错误填“×”）1.弱密码即使多次尝试输入，也不会触发账户锁定机制。（）2.公共WiFi连接时，使用HTTP协议访问购物网站是安全的。（）3.手机丢失后，只要删除了相册里的照片，就不会泄露隐私。（）4.企业可以将员工的人脸识别数据用于非考勤场景（如内部培训），无需额外告知员工。（）5.区块链的“去中心化”特性意味着无需任何安全防护措施。（）6.安装多个杀毒软件可以提升电脑的安全防护能力。（）7.收到“快递丢失理赔”短信时，要求提供银行卡号和短信验证码是正常流程。（）8.工业控制系统（ICS）与互联网完全物理隔离时，仍可能因移动存储设备交叉使用感染病毒。（）9.儿童智能手表的定位数据属于个人信息，需遵守《个人信息保护法》。（）10.网络安全等级保护（等保）的“定级”由公安机关负责，运营者无需参与。（）11.量子计算机的发展可能导致传统RSA加密算法失效。（）12.为提升效率，企业可以将用户个人信息的存储和处理全部外包给第三方机构，无需监督。（）13.手机“开发者模式”开启后，不会增加设备被恶意软件攻击的风险。（）14.电子邮件的“已读回执”功能可以完全防止邮件内容被转发。（）15.2025年实施的《生成式人工智能服务管理暂行办法》要求，AI生成内容需明确标注“AI生成”。（）三、简答题（共8题，每题5分，共40分）1.简述《数据安全法》中“数据分类分级保护”的核心原则。2.列举个人信息处理者在收集用户信息时需履行的“告知-同意”义务的具体内容。3.说明“零信任安全架构”的核心思想及主要实施策略。4.工业控制系统（ICS）与传统IT系统的安全需求有何差异？5.移动应用（APP）超范围收集用户信息的常见表现有哪些？6.简述防范“勒索软件”攻击的主要技术措施和管理措施。7.解释“DNS劫持”的原理，并说明用户可采取的防范方法。8.2025年，某高校因学生误点钓鱼链接导致学校教务系统数据泄露，作为该校网络安全负责人，应如何组织应急响应？四、案例分析题（共3题，共65分）案例1（20分）：2025年3月，某电商平台“乐购”被曝用户信息泄露，涉及1000万条数据（包括姓名、手机号、收货地址、部分支付记录）。经调查，泄露原因是平台数据库未设置访问权限，第三方运维人员违规导出数据并转卖。问题：（1）该平台违反了哪些网络安全相关法律法规？（6分）（2）平台应承担哪些责任？（7分）（3）用户发现信息泄露后，可采取哪些维权措施？（7分）案例2（25分）：某制造企业部署了工业互联网平台，连接了100台智能机床、50个传感器和20台AGV（自动导引车）。2025年5月，平台监控系统显示多台机床运行参数异常，部分传感器数据被篡改，AGV出现路径偏离。经检测，攻击来自境外IP，通过未修复的工业软件漏洞渗透至控制系统。问题：（1）该企业工业互联网平台存在哪些安全隐患？（8分）（2）结合《关键信息基础设施安全保护条例》，说明企业应履行的安全保护义务。（9分）（3）提出针对性的整改措施。（8分）案例3（20分）：2025年9月，中学生小明在社交平台看到“免费领取游戏皮肤”链接，点击后被要求输入微信支付密码“验证身份”。小明输入密码后，微信账户被盗刷3000元。经警方调查，该链接是仿冒的钓鱼页面，后台直接截取用户输入的密码。问题：（1）分析小明受骗的主要原因。（6分）（2）结合青少年网络安全意识培养，提出3条针对性建议。（6分）（3）说明网络平台在防范此类钓鱼链接传播中应承担的责任。（8分）答案一、单项选择题1.B2.A3.B4.B5.C6.B7.B8.A9.B10.B11.A12.B13.A14.A15.C16.B17.B18.B19.A20.B二、判断题1.×2.×3.×4.×5.×6.×7.×8.√9.√10.×11.√12.×13.×14.×15.√三、简答题1.答案：《数据安全法》中“数据分类分级保护”的核心原则包括：①基于数据的重要程度和潜在风险，明确数据级别（如一般数据、重要数据、核心数据）；②按照“谁收集、谁负责”“谁管理、谁负责”的责任主体划分，制定不同级别数据的保护措施；③结合行业特点，由行业主管部门制定本行业数据分类分级具体规则；④动态调整，根据数据环境变化及时更新分类分级结果。2.答案：个人信息处理者需履行的“告知-同意”义务包括：①明确告知收集信息的目的、方式、范围；②说明信息存储的地点、期限；③告知信息共享、转让、公开的情况及接收方信息；④告知用户查询、更正、删除个人信息的途径和方法；⑤获得用户的明确、自愿、具体的同意（书面或电子形式）；⑥信息处理规则变更时，需重新取得用户同意。3.答案：“零信任安全架构”的核心思想是“永不信任，始终验证”，即默认网络中不存在绝对安全的节点，所有访问请求（无论来自内部或外部）都需经过身份验证、权限核查和安全检测。主要实施策略包括：①最小权限访问控制（仅授予完成任务所需的最小权限）；②持续身份验证（结合多因素认证、行为分析等动态验证）；③微隔离（将网络划分为更小的安全区域，限制横向攻击）；④全流量检测（监控所有网络流量，识别异常行为）。4.答案：工业控制系统（ICS）与传统IT系统的安全需求差异主要体现在：①可用性优先：ICS需保障生产流程连续性，对中断容忍度低；IT系统更侧重数据保密性。②实时性要求高：ICS数据需实时处理，难以部署复杂的安全检测机制；IT系统可接受一定延迟。③设备生命周期长：ICS设备（如PLC）可能使用10年以上，固件更新困难；IT设备迭代快，易修复漏洞。④攻击后果严重：ICS被攻击可能导致物理设备损坏、人员伤亡；IT系统攻击多导致数据泄露或业务中断。5.答案：移动应用超范围收集用户信息的常见表现包括：①收集与服务功能无关的信息（如天气类APP要求读取通讯录）；②以“不同意就无法使用”为由强制获取权限（如地图导航APP要求开启麦克风权限）；③静默收集信息（在用户未操作时后台读取位置、短信）；④超量收集信息（如购物APP要求提供身份证号仅用于注册）；⑤未明确告知收集目的，直接获取敏感权限（如相机类APP未说明用途即申请定位权限）。6.答案：防范勒索软件的技术措施：①定期备份数据（离线存储、多副本备份）；②安装最新补丁，修复系统及软件漏洞；③部署终端安全防护工具（如EDR，检测异常文件加密行为）；④启用防火墙，限制高危端口（如445、3389）的外部访问；⑤禁用宏功能（办公软件关闭自动执行宏）。管理措施：①开展员工安全培训（不点击陌生链接、不打开可疑附件）；②制定勒索软件应急预案（明确断网、报告、恢复流程）；③限制账号权限（普通员工无系统管理员权限）；④定期进行安全演练（模拟攻击场景，测试响应能力）。7.答案：DNS劫持的原理是攻击者通过篡改用户设备的DNS配置或攻击DNS服务器，将目标网站的域名解析到虚假IP地址，使用户访问到钓鱼网站或恶意网站。用户可采取的防范方法：①使用固定DNS（如14、），避免使用运营商默认DNS；②检查网站证书（HTTPS连接需显示锁标志）；③手动输入官方网址，避免通过搜索引擎或第三方链接访问；④安装DNS加密工具（如DNS-over-HTTPS），防止DNS查询被劫持。8.答案：应急响应步骤：①立即隔离受影响设备（断开教务系统网络连接），防止攻击扩散；②启动日志审计，追踪攻击路径（确认钓鱼链接来源、被感染终端）；③通知受影响学生（通过官方渠道告知信息泄露情况，提醒修改密码、警惕诈骗）；④向公安机关和属地网信部门报告（提交事件详情、影响范围）；⑤修复系统漏洞（更新补丁、加强访问控制、启用多因素认证）；⑥开展安全培训（针对学生和教职工，普及钓鱼攻击识别方法）；⑦评估损失（统计泄露数据类型、数量，制定赔偿或补救方案）；⑧完善应急预案（补充钓鱼攻击场景的响应流程，定期演练）。四、案例分析题案例1（1）违反的法律法规：①《网络安全法》第二十一条（网络运营者需履行安全保护义务，制定内部安全管理制度）、第四十二条（不得泄露、篡改、毁损用户信息）；②《个人信息保护法》第二十九条（处理敏感个人信息需取得单独同意）、第五十一条（个人信息处理者需采取相应保护措施）；③《数据安全法》第三十条（重要数据处理者需履行安全保护义务）。（2）平台应承担的责任：①民事责任：对用户因信息泄露导致的损失（如诈骗金额）进行赔偿；②行政责任：由网信部门责令改正，处5000万元以下或上一年度营业额5%以下罚款；对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款；③刑事责任：若第三方运维人员行为构成侵犯公民个人信息罪，平台因管理失职可能承担连带责任（如未设置数据库访问权限）。（3）用户维权措施：①立即修改相关账户密码（微信、支付平台等）；②向公安机关报案（提供钓鱼链接、转账记录等证据）；③向市场监管部门或网信部门投诉（提交平台信息泄露的证明材料）；④通过法律途径起诉平台（主张因信息泄露导致的财产损失或精神损害赔偿）；⑤关注官方通报（及时了解平台补救措施，如免费提供身份信息保护服务）。案例2（1）安全隐患：①工业软件漏洞未及时修复（未建立漏洞扫描和补丁管理机制）；②网络边界防护缺失（未部署工业防火墙，境外IP可直接访问控制系统）；③设备身份认证不足（智能机床、传感器未启用强身份验证）；④安全监测能力薄弱（未对异常运行参数（如机床转速突增）进行实时告警）；⑤数据加密缺失（传感器数据传输未加密，易被篡改）；⑥人员安全意识不足（运维人员可能误操作或违规连接外部设备）。（2）企业应履行的安全保护义务（依据《关键信息基础设施安全保护条例》）：①建立健全网络安全保护制度和责任制（明确主要负责人为第一责任人）；②保障安全投入（设立专门安全管理机构，配备专职安全管理人员）；③开展安全监测和风险评估（定期进行渗透测试、漏洞扫描，每年至少一次安全评估）；④制定应急预案并演练（每半年至少组织一次应急演练）；⑤优先采购安全可信的网络产品和服务（避免使用存在安全隐患的工业软件）；⑥按要求向保护工作部门报送安全信息（如重大安全事件2小时内报告）。（3）整改措施：①技术层面：为工业软件打补丁，修复已知漏洞；部署工业防火墙，隔离生产网络与办公网络；对传感器数据采用国密算法加密传输