2025年网络与信息安全答题试卷及答案

2025年网络与信息安全答题试卷及答案一、单项选择题（每题2分，共30分）1.根据《数据安全法》及2025年最新修订的《重要数据识别指南》，以下哪类数据不属于“重要数据”范畴？A.某省电网实时调度数据B.三甲医院患者基因检测原始数据C.短视频平台用户每日活跃量统计报告D.国家级自然保护区核心区域生态监测数据答案：C解析：重要数据通常指一旦泄露、篡改或破坏可能直接影响国家安全、经济运行、社会稳定、公共健康和安全的数据。用户活跃量统计报告属于业务常规数据，未达到“重要数据”的敏感性标准（参考2025年《重要数据识别指南》第三条）。2.2025年，某企业部署了基于大语言模型（LLM）的智能客服系统，需重点防范的安全风险不包括：A.模型被注入恶意提示词（PromptInjection）导致输出有害内容B.训练数据中包含用户个人信息引发的隐私泄露风险C.因模型参数过大导致服务器算力不足的性能问题D.模型对敏感问题（如医疗咨询）给出错误回答的责任归属问题答案：C解析：LLM的安全风险主要集中在输入操纵（提示词攻击）、数据隐私（训练数据合规性）、输出可靠性（错误回答的法律责任）等方面。算力不足属于技术实现问题，不属于网络与信息安全范畴。3.零信任架构（ZeroTrustArchitecture）的核心原则是：A.默认不信任任何内部或外部的网络实体，持续验证访问请求的合法性B.仅信任通过VPN接入的内部终端，外部访问需二次认证C.对网络边界实施严格防护，内部流量无需额外验证D.依赖传统防火墙和入侵检测系统（IDS）构建安全边界答案：A解析：零信任的核心是“从不信任，始终验证”，强调对所有访问请求（无论来自内部或外部）进行身份、设备状态、环境风险等多维度持续验证，打破传统“网络边界信任”模式（参考NISTSP800-207）。4.某智能家居企业2025年推出的智能门锁采用“设备-网关-云平台”三层架构，其最易被攻击的薄弱环节是：A.门锁与网关间的蓝牙通信协议（未加密）B.云平台的用户登录接口（使用HTTPS1.2）C.网关的操作系统（基于Linux内核，已打最新补丁）D.用户手机APP的生物识别模块（指纹识别算法通过国密认证）答案：A解析：未加密的蓝牙通信易被中间人攻击，直接获取设备控制指令；HTTPS1.2虽非最新但仍属安全；已打补丁的网关系统风险较低；国密认证的生物识别模块安全性有保障（参考《物联网设备安全技术要求》2025版）。5.根据《个人信息保护法》及2025年《个人信息跨境处理安全认证规范》，以下个人信息跨境流动场景中，无需通过安全评估或认证的是：A.中国境内电商平台将用户购物记录共享给其在新加坡的数据分析子公司B.国内高校将参与国际联合研究的受试者基因数据传输至美国合作实验室C.跨境旅游平台将用户行程信息提供给境外酒店用于预订确认（用户已单独授权）D.金融机构将客户征信数据传输至香港分支机构用于风险评估答案：C解析：用户单独授权且数据处理目的明确、必要的跨境场景（如预订确认），可豁免安全评估；涉及健康医疗、金融征信等敏感信息的跨境传输需强制认证（参考《个人信息跨境处理安全认证规范》第五条）。6.2025年，某企业发现其云服务器日志中存在异常的“横向移动”行为（LateralMovement），最可能的攻击类型是：A.DDoS攻击（分布式拒绝服务）B.APT攻击（高级持续性威胁）C.勒索软件攻击D.钓鱼攻击答案：B解析：横向移动是APT攻击的典型特征，攻击者在渗透初始设备后，通过内网凭证窃取等方式扩大控制范围；DDoS以流量攻击为主，勒索软件侧重加密数据，钓鱼攻击目标是诱导用户操作，均不涉及内网横向移动。7.隐私计算技术中，“联邦学习”（FederatedLearning）的核心优势是：A.在不传输原始数据的前提下联合训练模型B.对数据进行强加密后在多方间共享C.通过同态加密实现数据的隐私查询D.利用区块链记录数据操作全流程答案：A解析：联邦学习通过“数据不动模型动”的方式，在各参与方本地训练模型，仅传输模型参数，避免原始数据泄露，适用于金融、医疗等跨机构数据合作场景。8.2025年，某政务云平台需满足《网络安全等级保护条例》（2025修订版）中“三级等保”要求，其应具备的关键安全能力不包括：A.网络设备冗余部署（双机热备）B.重要数据实时加密存储（国密SM4算法）C.系统漏洞72小时内修复率100%D.面向公众的Web应用未部署WAF（Web应用防火墙）答案：D解析：三级等保要求“具备应用层攻击防护能力”，WAF是必选措施；冗余部署、数据加密、漏洞修复时效均为三级等保的基本要求（参考《网络安全等级保护基本要求》2.0版）。9.工业互联网场景中，OT（运营技术）网络与IT（信息技术）网络的安全防护差异主要体现在：A.OT网络更注重实时性，难以承受复杂安全策略的性能开销B.IT网络使用专用协议（如Modbus），OT网络使用通用协议（如TCP/IP）C.OT网络的安全目标是数据隐私保护，IT网络的安全目标是生产连续性D.IT网络无需考虑物理设备的安全状态，OT网络需监控设备运行参数答案：A解析：OT网络（如PLC控制网络）对延迟敏感，复杂的安全检测（如深度包检测）可能影响生产；IT网络使用通用协议，OT网络可能使用专用协议；OT的核心目标是生产安全，IT侧重数据安全；IT网络也需考虑终端设备安全（如办公电脑）。10.2025年，某公司员工通过企业微信收到“财务部通知：点击链接更新工资卡信息”的消息，链接跳转至仿冒的银行网站。此类攻击属于：A.水坑攻击（WateringHole）B.鱼叉钓鱼（SpearPhishing）C.供应链攻击（SupplyChainAttack）D.勒索软件攻击答案：B解析：鱼叉钓鱼针对特定目标（企业员工）发送定制化诱骗信息；水坑攻击针对特定群体常访问的网站投毒；供应链攻击通过第三方软件渗透；勒索软件以加密数据勒索赎金为目的。11.根据《生成式人工智能服务管理暂行办法》（2025修订），以下生成式AI服务无需进行安全评估的是：A.用于新闻资讯生成的AI模型（日均覆盖用户1000万）B.面向儿童的AI教育陪聊工具（内置情绪识别功能）C.企业内部使用的AI代码辅助工具（仅限研发部门访问）D.医疗领域的AI影像诊断系统（与三甲医院合作部署）答案：C解析：修订办法规定，“面向公众提供服务”或“涉及敏感领域（医疗、教育、新闻）”的生成式AI需安全评估；企业内部专用工具（非公众服务）可豁免（参考修订办法第七条）。12.物联网设备的“固件安全”主要关注：A.设备操作系统的漏洞修复效率B.固件更新过程中的防篡改与身份验证C.设备与云端通信的加密强度D.用户对设备功能的个性化配置权限答案：B解析：固件安全核心是确保固件在存储、传输和更新过程中未被篡改，需验证固件签名（如使用PKI体系）、防止回滚攻击（旧版本固件可能含已知漏洞）等。13.2025年，某金融机构部署了“云原生安全平台”，其核心功能不包括：A.容器镜像漏洞扫描（支持K8s环境）B.云服务器资源的自动扩缩容C.微服务间通信的双向TLS认证D.云环境下的威胁情报关联分析答案：B解析：自动扩缩容属于云资源管理功能，云原生安全平台侧重容器安全（镜像扫描）、服务间安全通信（双向TLS）、威胁检测（情报关联）等。14.数据脱敏技术中，“差分隐私”（DifferentialPrivacy）的核心原理是：A.对原始数据添加随机噪声，使得单条记录的存在与否无法被推断B.将敏感字段替换为虚构但符合逻辑的值（如用“某先生”代替真实姓名）C.通过哈希算法将敏感数据转换为不可逆的摘要值D.对数据进行分块加密，仅授权用户可解密特定区块答案：A解析：差分隐私通过数学方法控制数据查询结果的噪声量，确保攻击者无法通过多次查询推断出个体信息，是隐私保护的严格数学化方法。15.2025年，某企业遭遇“影子IT”（ShadowIT）引发的数据泄露事件，其根本原因是：A.员工擅自使用未备案的SaaS工具传输公司数据B.服务器日志未开启审计功能，无法追踪操作记录C.防火墙策略配置错误，允许外部IP直接访问内部数据库D.病毒木马通过邮件附件感染办公终端答案：A解析：影子IT指员工未经IT部门批准，私自使用外部应用（如个人云盘、未备案SaaS）处理公司数据，导致数据流向不可控，是此类事件的典型原因。二、填空题（每空1分，共20分）1.《数据安全法》规定，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行________保护。答案：分类分级2.2025年，AI安全的核心三要素是________、________、________（按重要性排序）。答案：可控性（可解释性）、可靠性（鲁棒性）、隐私性（数据合规性）3.物联网设备的“安全生命周期”包括设计、开发、生产、部署、运行、________、________七个阶段。答案：维护、退役4.云安全责任共担模型中，云服务提供商（CSP）负责“云基础设施安全”，用户需负责________、________、________（至少列举三项）。答案：数据安全、应用安全、身份与访问管理（IAM）、配置安全5.根据《关键信息基础设施安全保护条例》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行________次检测评估，并将检测评估情况和改进措施报送保护工作部门。答案：16.2025年，新型网络攻击“AI生成钓鱼邮件”的特征包括________、________、________（至少列举三项）。答案：内容更具个性化（基于用户历史数据）、语言更符合人类表达习惯（无语法错误）、伪造的发件人信息更难识别（通过深度伪造技术）7.隐私计算的主要技术路径包括________、________、________（至少列举三项）。答案：联邦学习、安全多方计算（MPC）、同态加密、可信执行环境（TEE）8.工业控制系统（ICS）的典型安全威胁包括________、________、________（至少列举三项）。答案：恶意软件（如Stuxnet变种）、未授权访问、配置错误、物理破坏9.2025年，“数据跨境流动”的合规路径主要有________、________、________（至少列举三项）。答案：通过安全评估、取得个人信息跨境处理安全认证、签订标准合同（SCC）、符合等效性认定10.网络安全等级保护2.0中，“安全通信网络”层面的要求包括________、________、________（至少列举三项）。答案：网络架构安全（分区分域）、通信传输加密、边界防护、入侵检测三、判断题（每题1分，共10分。正确填“√”，错误填“×”）1.某企业将用户注册信息（姓名、手机号）匿名化处理后，无需遵守《个人信息保护法》的相关规定。（）答案：×解析：匿名化数据虽无法识别特定自然人，但《个人信息保护法》规定“匿名化处理后的信息不属于个人信息”，但企业仍需遵守数据安全的一般规定（如防止泄露后与其他数据结合重新识别）。2.零信任架构要求完全放弃传统网络边界防护，仅通过身份验证控制访问。（）答案：×解析：零信任不否定边界防护，而是强调“边界+身份+环境”的多重验证，传统防火墙等工具仍是防御体系的一部分。3.区块链技术的“不可篡改性”意味着链上数据一旦上链，绝对无法被修改或删除。（）答案：×解析：区块链的不可篡改性基于共识机制和加密算法，但在51%攻击、私钥泄露等极端情况下，数据仍可能被篡改；此外，符合法律要求的“被遗忘权”可能需要链上数据的特殊处理（如标记为无效）。4.2025年，某智能汽车厂商通过OTA（空中下载）升级修复了车机系统漏洞，无需向车主告知具体漏洞细节。（）答案：×解析：《汽车数据安全管理若干规定》要求，涉及安全的OTA升级需向用户说明漏洞风险及修复内容，保障用户知情权。5.企业使用开源组件（如Log4j）时，只需在开发阶段进行漏洞扫描，上线后无需持续监控。（）答案：×解析：开源组件的漏洞可能在上线后被披露（如“0day漏洞”），企业需建立开源组件全生命周期管理，包括持续监控、漏洞预警和及时修复。6.数据分类分级的最终目的是实现“精准防护”，即对高敏感数据采取更严格的保护措施。（）答案：√解析：数据分类分级通过区分数据的敏感程度，指导资源的差异化分配，避免“一刀切”防护导致的效率低下。7.某医院将患者电子病历数据存储在本地服务器，未连接互联网，因此无需考虑网络安全风险。（）答案：×解析：离线服务器可能通过移动存储设备（如U盘）感染病毒，或因物理访问（如内部人员操作）导致数据泄露，仍需采取物理安全、访问控制等防护措施。8.生成式AI模型的“幻觉”（Hallucination）问题仅影响输出内容的准确性，不涉及安全风险。（）答案：×解析：幻觉可能导致模型生成虚假信息（如医疗诊断错误、法律建议失实），引发用户损失或法律纠纷，属于安全风险。9.物联网设备的“默认密码”问题已通过2025年《物联网设备安全强制标准》完全解决，所有新设备必须支持用户自定义初始密码。（）答案：√解析：2025年实施的《物联网设备安全强制标准》明确要求“禁止设备出厂设置默认通用密码，必须支持用户首次使用时自定义密码”。10.企业部署EDR（端点检测与响应）系统后，可完全替代传统antivirus（杀毒软件）。（）答案：×解析：EDR侧重高级威胁检测与响应，传统杀毒软件侧重已知恶意软件的查杀，二者功能互补，需协同部署。四、简答题（每题6分，共30分）1.简述2025年数据分类分级的实施步骤，并说明关键输出成果。答案：实施步骤：（1）数据资产梳理：通过数据地图工具识别全量数据，记录数据名称、存储位置、产生部门、关联业务等信息；（2）分类标签定义：基于业务属性（如用户数据、业务数据、管理数据）和数据类型（如个人信息、财务数据、研发数据）制定分类维度；（3）分级标准制定：根据《数据安全法》及行业指南（如金融行业《重要数据识别细则》），明确“一般数据-重要数据-核心数据”的分级规则（如核心数据指泄露后直接影响企业生存的敏感信息）；（4）数据评估赋值：由业务部门、IT部门、安全部门联合评审，对每条数据打分类分级标签；（5）策略落地：根据分级结果，制定访问控制（如核心数据仅部门负责人审批后访问）、加密存储（重要数据必须加密）、传输防护（核心数据需专用通道）等策略；（6）动态更新：定期（每季度）重新评估数据敏感程度（如用户数据因关联生物信息升级为重要数据），调整标签和策略。关键输出成果：数据分类分级清单（含标签、责任部门）、数据保护策略文档、数据流向图（标注高敏感数据路径）。2.列举AI安全的主要挑战，并说明2025年行业的应对措施。答案：主要挑战：（1）模型鲁棒性不足：易受对抗样本攻击（如修改图片像素导致AI识别错误）；（2）数据隐私风险：训练数据可能包含未授权的个人信息或敏感数据；（3）输出不可控：生成式AI可能输出虚假信息、偏见内容或有害言论；（4）算法可解释性差：黑箱模型难以追溯决策依据，导致责任认定困难；（5）供应链安全：依赖第三方模型或数据可能引入后门或漏洞。2025年应对措施：（1）对抗训练：在模型训练阶段注入对抗样本，提升鲁棒性；（2）隐私计算：使用联邦学习、安全多方计算等技术，避免原始数据参与训练；（3）内容审核：部署AI+人工的双重审核机制，对输出内容进行实时过滤（如敏感词检测、语义分析）；（4）可解释性技术：开发模型可视化工具（如SHAP值、LIME），展示关键特征对决策的影响；（5）供应链管理：建立第三方模型/数据的安全评估流程（如漏洞扫描、后门检测），签订安全责任协议。3.说明物联网设备的典型安全风险，并提出至少三项安全加固措施。答案：典型安全风险：（1）弱认证：设备默认使用简单密码（如“123456”）或无密码，易被暴力破解；（2）固件漏洞：老旧固件未修复已知漏洞（如缓冲区溢出），可能被远程控制；（3）通信未加密：设备与网关/云端通信使用明文协议（如HTTP），易被中间人攻击；（4）物理访问风险：设备部署在公共区域（如智能摄像头），可能被物理破坏或窃取；（5）资源限制：低算力设备难以支持复杂安全策略（如高强度加密），导致防护薄弱。安全加固措施：（1）强制认证升级：要求设备出厂时禁用默认密码，用户首次使用需设置强密码（8位以上，包含字母、数字、符号）；（2）固件安全更新：建立OTA安全升级机制，固件包需经过数字签名（如国密SM2算法），防止篡改；（3）通信加密：强制使用TLS1.3或国密SM4算法加密传输，禁用明文协议；（4）最小化攻击面：关闭不必要的服务和端口（如Telnet），仅保留必要功能；（5）安全监测：部署物联网专用防火墙（IoTFW），监测异常流量（如设备异常高频连接外部IP）。4.解释云安全中的“左移”（ShiftLeft）策略，并说明其在实际部署中的应用场景。答案：“左移”策略指将安全措施从传统的“上线后检测”提前至开发、测试阶段，实现安全与DevOps流程的深度融合，降低后期修复成本。应用场景：（1）开发阶段：使用SAST（静态代码扫描）工具检测代码中的安全漏洞（如SQL注入、XSS），集成到CI/CD流水线，未通过扫描的代码无法提交；（2）测试阶段：对容器镜像进行漏洞扫描（如Trivy工具），检测镜像中是否包含已知CVE漏洞，阻止存在高危漏洞的镜像部署；（3）配置阶段：使用IaC（基础设施即代码）工具（如Terraform）编写云资源配置模板，通过策略即代码（PolicyasCode）工具（如OPA）检查配置合规性（如S3存储桶是否开启公共读权限）；（4）发布阶段：对云原生应用进行渗透测试（如使用OWASPZAP），模拟攻击者测试API接口、微服务间通信的安全性，未通过测试的应用无法上线。5.简述APT攻击的主要特征，并提出企业的防御策略。答案：APT（高级持续性威胁）的主要特征：（1）目标明确：针对特定行业（如能源、金融）或企业，长期跟踪收集情报；（2）技术复杂：使用0day漏洞、定制化恶意软件（如鱼叉邮件附件中的未知木马）、多层级渗透（初始感染→横向移动→数据窃取）；（3）隐蔽性强：通过加密通信（如使用HTTPS隧道）、擦除日志、伪装成正常流量等方式规避检测；（4）持续时间长：攻击周期可能持续数月至数年，直到达到目标（如窃取核心数据）。企业防御策略：（1）威胁情报共享：加入行业威胁情报平台（如MISP），获取针对本行业的APT攻击特征（如特定C2服务器IP、恶意软件哈希值）；（2）深度检测：部署EDR（端点检测与响应）+NDR（网络检测与响应）联动系统，分析终端异常进程（如非业务时间的文件读取）和网络流量（如异常DNS解析）；（3）最小权限原则：限制员工账号权限（如普通员工无数据库管理员权限），使用特权访问管理（PAM）系统管控高权限账号；（4）日志与溯源：开启全流量日志和终端操作日志（如Windows事件日志、Linux审计日志），保留至少6个月，用于攻击路径回溯；（5）人员培训：定期开展APT攻击案例培训（如展示鱼叉邮件的典型特征），提升员工对异常信息的敏感度。五、综合分析题（共10分）2025年3月，某省“健康云”平台发生数据泄露事件，导致200万份患者电子病历（包含姓名、诊断结果、用药记录）被非法获取。经调查，事件原因为：（1）平台开发团队为赶工期，未对用户登录接口进行安全测试，导致存在SQL注入漏洞；（2）云服务器的安全组策略配置错误，允许所有IP地址访问数据库端口；（3）日志系统仅记录成功登录事件，未记录失败尝试和数据库查询操作；（4）安全团队未定期进行