2025年网络空间安全与信息保护的基础知识考试卷及答案

2025年网络空间安全与信息保护的基础知识考试卷及答案一、单项选择题（每题2分，共30分）1.以下哪项不属于网络空间安全的核心目标？A.数据机密性B.系统可用性C.网络可扩展性D.信息完整性2.下列加密算法中，属于非对称加密的是？A.AES-256B.RSAC.DESD.ChaCha203.某攻击者通过伪造合法用户的MAC地址接入企业无线网络，这种攻击方式属于？A.ARP欺骗B.DNS劫持C.SQL注入D.会话劫持4.根据《个人信息保护法》，个人信息处理者向境外提供个人信息时，不需要履行的义务是？A.进行个人信息保护影响评估B.取得个人单独同意C.与境外接收方订立数据传输合同D.向用户公开境外接收方的所有商业信息5.以下哪种技术用于检测网络中异常流量行为，属于主动防御手段？A.防火墙（静态规则过滤）B.入侵检测系统（IDS）C.蜜罐技术D.漏洞扫描器6.关于哈希函数的描述，错误的是？A.输入任意长度数据，输出固定长度哈希值B.不同输入可能生成相同哈希值（碰撞）C.可通过哈希值逆向还原原始数据D.常用于验证数据完整性7.某企业员工使用弱密码（如“123456”）登录内部系统，最可能面临的安全风险是？A.拒绝服务攻击（DDoS）B.暴力破解攻击C.社会工程学攻击D.中间人攻击（MITM）8.以下哪项是物联网（IoT）设备特有的安全挑战？A.计算资源受限导致无法部署复杂加密B.网络带宽不足C.用户密码管理困难D.操作系统漏洞9.根据《网络安全法》，关键信息基础设施的运营者应当自行或委托第三方每年至少进行几次网络安全检测评估？A.1次B.2次C.3次D.4次10.以下哪种认证方式属于“双因素认证（2FA）”？A.用户名+密码B.指纹识别+面部识别C.密码+短信验证码D.智能卡+USBKey11.APT（高级持续性威胁）攻击的主要特征是？A.利用已知漏洞快速发起攻击B.目标明确且长期潜伏C.通过大规模钓鱼邮件传播D.主要针对个人用户12.数据脱敏技术中，“将身份证号的中间8位替换为”属于？A.掩码处理B.匿名化C.泛化D.加密13.以下哪项不属于网络安全防护的“纵深防御”原则？A.在边界部署防火墙，内网部署入侵防御系统（IPS）B.对敏感数据同时采用加密存储和访问控制C.定期更新系统补丁D.仅依赖单一安全设备（如仅用防火墙）14.关于零信任架构（ZeroTrust）的描述，正确的是？A.信任所有内部用户，仅不信任外部用户B.默认不信任任何访问请求，需持续验证身份和环境C.依赖传统边界防护（如防火墙）保障安全D.仅适用于云环境15.某系统日志显示大量异常IP尝试登录，且每次尝试的密码不同，最可能的攻击类型是？A.字典攻击B.暴力破解C.会话劫持D.跨站脚本攻击（XSS）二、多项选择题（每题3分，共15分，多选、少选、错选均不得分）1.网络空间安全的“三要素”包括？A.机密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.可追溯性（Accountability）2.以下属于数据泄露防护（DLP）技术的有？A.邮件内容过滤（检测敏感信息外发）B.数据库加密存储C.终端文件操作监控（如禁止复制到U盘）D.防火墙端口控制3.物联网设备常见的安全风险包括？A.固件漏洞未及时更新B.默认弱密码（如未修改出厂密码）C.通信协议不安全（如使用未加密的HTTP）D.用户隐私数据过度采集4.根据《数据安全法》，数据处理者应当建立健全的数据安全管理制度包括？A.数据分类分级制度B.数据安全风险评估制度C.数据安全应急处置制度D.数据交易备案制度5.以下哪些措施可提升移动应用（App）的安全性？A.采用HTTPS加密传输用户数据B.对存储在本地的敏感数据进行加密C.仅申请必要的手机权限（如不申请与功能无关的定位权限）D.使用第三方SDK时不校验其安全性三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.对称加密算法（如AES）的加密和解密使用相同密钥，因此密钥管理比非对称加密更简单。（）2.防火墙可以完全阻止所有网络攻击，因此企业只需部署防火墙即可保障安全。（）3.个人信息“匿名化”处理后，无法通过其他信息复原个人身份，因此不再受《个人信息保护法》约束。（）4.漏洞扫描器（VulnerabilityScanner）可以主动发现系统中存在的安全漏洞，并直接修复漏洞。（）5.钓鱼攻击（Phishing）主要通过技术手段（如木马）窃取信息，与用户意识无关。（）6.区块链技术的“不可篡改”特性是通过哈希链和共识机制实现的。（）7.云计算环境中，“云服务提供商（CSP）”对客户数据的安全负全部责任，客户无需额外防护。（）8.量子计算可能对RSA等非对称加密算法的安全性构成威胁，因为其能快速分解大整数。（）9.日志审计的主要目的是记录用户操作，而非实时阻止攻击。（）10.生物识别（如指纹、人脸）是绝对安全的认证方式，不会被伪造或破解。（）四、简答题（每题6分，共30分）1.简述“最小权限原则（PrincipleofLeastPrivilege）”的核心思想，并举例说明其在企业系统中的应用。2.请描述SSL/TLS协议在客户端与服务器建立安全连接时的握手过程（至少列出4个关键步骤）。3.比较“渗透测试（PenetrationTesting）”与“漏洞扫描（VulnerabilityScanning）”的区别（从目标、方法、结果三个维度说明）。4.数据生命周期包括“产生-存储-传输-使用-归档-销毁”六个阶段，说明每个阶段需采取的主要安全措施。5.列举《个人信息保护法》中规定的个人信息处理者应当履行的至少5项义务。五、综合分析题（每题15分，共15分）某金融机构的网上银行系统近期发生用户账户资金被盗事件，经初步调查，部分受害者曾点击过可疑邮件链接，且账户登录IP地址异常（非用户常用地区）。请结合网络安全知识，分析可能的攻击路径，并提出至少5项针对性的防护措施。参考答案一、单项选择题1.C2.B3.A4.D5.C6.C7.B8.A9.A10.C11.B12.A13.D14.B15.B二、多项选择题1.ABC2.ABC3.ABCD4.ABC5.ABC三、判断题1.×（对称加密密钥需安全传输，管理复杂度更高）2.×（防火墙无法防御未知漏洞攻击或内部威胁）3.√（匿名化后不属于个人信息）4.×（漏洞扫描器仅发现漏洞，修复需人工或补丁工具）5.×（钓鱼攻击依赖用户点击诱导链接）6.√（哈希链保证数据关联，共识机制防止篡改）7.×（客户需负责数据分类、访问控制等）8.√（量子计算可破解基于大整数分解的RSA）9.√（日志用于事后追溯）10.×（生物特征可被伪造，如3D打印指纹）四、简答题1.最小权限原则核心思想：用户或进程仅被授予完成任务所需的最小权限，避免因权限过高导致的安全风险。应用示例：企业财务系统中，普通会计仅拥有查询和录入凭证的权限，无删除或修改历史数据的权限；服务器管理员账户与日常办公账户分离，避免日常操作使用高权限账号。2.SSL/TLS握手过程关键步骤：（1）客户端发送“ClientHello”，包含支持的TLS版本、加密套件列表等；（2）服务器响应“ServerHello”，选定TLS版本和加密套件，发送服务器证书（含公钥）；（3）客户端验证服务器证书有效性（如CA签名、域名匹配），生成随机数（预主密钥）并用服务器公钥加密后发送；（4）服务器用私钥解密预主密钥，双方基于预主密钥生成会话密钥；（5）客户端和服务器分别发送“Finished”消息，使用会话密钥加密验证数据，完成握手。3.渗透测试与漏洞扫描的区别：（1）目标：渗透测试模拟真实攻击，验证系统整体防护能力；漏洞扫描仅发现已知漏洞。（2）方法：渗透测试需人工模拟攻击（如社会工程、漏洞利用），可能破坏系统；漏洞扫描依赖自动化工具匹配漏洞库。（3）结果：渗透测试输出攻击路径和风险影响分析；漏洞扫描输出漏洞列表及修复建议。4.数据生命周期各阶段安全措施：（1）产生：明确数据分类（如敏感/非敏感），标注采集目的和范围；（2）存储：加密存储敏感数据（如AES加密），设置访问控制（如RBAC）；（3）传输：使用TLS/IPSec加密传输，校验数据完整性（如哈希值）；（4）使用：限制数据访问权限（最小权限原则），记录操作日志；（5）归档：定期备份（离线存储），备份数据加密并校验完整性；（6）销毁：物理销毁（如磁盘格式化+覆盖写入）或逻辑销毁（彻底删除数据库记录），确保不可恢复。5.《个人信息保护法》规定的处理者义务（至少5项）：（1）遵循“合法、正当、必要”原则，公开处理规则；（2）制定并公布个人信息处理目录（类型、方式、保存期限）；（3）采取技术措施（如加密、去标识化）和管理措施保障安全；（4）在发生数据泄露时，及时通知用户并向监管部门报告；（5）为用户提供查询、更正、删除个人信息的渠道；（6）对处理敏感个人信息取得用户单独同意，并进行影响评估。五、综合分析题可能的攻击路径分析：（1）钓鱼邮件攻击：攻击者向用户发送伪装成银行的钓鱼邮件，诱导用户点击链接，链接指向仿冒的银行网站（钓鱼网站），窃取用户输入的账号密码；（2）恶意软件感染：钓鱼链接可能携带木马程序（如键盘记录器），用户点击后木马植入终端，窃取键盘输入的密码或动态验证码；（3）身份冒用：攻击者获取用户账号密码后，利用异常IP登录（如通过代理服务器），绕过简单的地理位置验证，转移资金；（4）会话劫持：若用户未退出登录或使用不安全Wi-Fi，攻击者可能通过中间人攻击劫持会话，直接操作账户。针对性防护措施：（1）强化用户安全意识培训：定期开展钓鱼邮件识别教育，告知用户不点击可疑链接、不泄露验证码；（2）多因素认证（MFA）：登录时要求“密码+短信验证码+设备指纹”三重验证，异常IP登录需二次验证（如人脸识别）；（3）钓