2025年国家网络安全宣传周网络安全知识竞赛试题与答案

2025年国家网络安全宣传周网络安全知识竞赛试题与答案一、单项选择题（共20题，每题2分，共40分）1.根据《中华人民共和国网络安全法》，网络运营者收集、使用个人信息，应当遵循的核心原则不包括？A.合法B.正当C.必要D.盈利2.以下哪种行为属于典型的“社交工程攻击”？A.利用系统漏洞植入木马B.通过伪造客服电话骗取用户密码C.对网站服务器发起DDoS攻击D.破解加密数据库获取数据3.《个人信息保护法》规定，处理敏感个人信息应当取得个人的单独同意，以下哪类信息不属于敏感个人信息？A.生物识别信息B.通信记录C.宗教信仰D.学历信息4.某企业因数据泄露被用户起诉，根据《数据安全法》，其应当承担的责任不包括？A.停止侵害、赔偿损失B.由监管部门处五百万元以下罚款C.对直接责任人员处二十万元以下罚款D.吊销企业营业执照5.以下哪种密码设置方式符合强密码要求？A.12345678B.Password123C.qwertyuiopD.K7$mP9@fXz6.当收到“您的银行账户异常，点击链接验证”的短信时，正确的做法是？A.立即点击链接输入账号密码B.拨打银行官方客服电话核实C.将链接转发给朋友确认D.忽略短信，不做处理7.根据《关键信息基础设施安全保护条例》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对网络安全状况进行检测评估，检测评估周期为？A.每季度一次B.每半年一次C.每年至少一次D.每两年至少一次8.以下哪种技术可以有效防止SQL注入攻击？A.防火墙B.输入验证与参数化查询C.数据加密D.双因素认证9.某学校将学生个人信息共享给第三方教育机构用于精准营销，未提前告知学生，违反了《个人信息保护法》的哪项原则？A.最小必要原则B.公开透明原则C.目的明确原则D.质量原则10.物联网设备（如智能摄像头）的主要安全风险不包括？A.默认密码未修改B.固件更新不及时C.数据传输未加密D.设备外观设计缺陷11.以下哪项不属于《网络安全审查办法》规定的审查重点？A.产品和服务使用后对关键信息基础设施运行的影响B.产品和服务使用后对用户数量增长的影响C.产品和服务使用后对国家安全的影响D.产品和服务供应渠道的可靠性12.当发现电脑感染勒索病毒后，正确的应急措施是？A.立即支付赎金获取解密密钥B.断开网络连接，使用备份数据恢复C.格式化所有硬盘清除病毒D.安装最新版杀毒软件并全盘扫描13.以下哪种场景符合《数据安全法》中“重要数据”的定义？A.某电商平台的用户购物偏好数据B.某医疗机构的患者诊疗记录数据C.某新闻网站的娱乐明星八卦数据D.某社交平台的用户好友关系数据14.根据《生成式人工智能服务管理暂行办法》，生成式人工智能服务提供者应当对生成的内容进行？A.实时监控和人工审核B.自动过滤但无需留存记录C.仅在用户举报后处理D.完全开放，不做任何限制15.以下哪种行为属于“网络钓鱼”？A.黑客攻击网站获取管理员权限B.伪造银行官网诱导用户输入账号密码C.在论坛发布技术教程D.企业内部网络的流量监控16.某企业存储员工信息的数据库未加密，导致数据泄露，根据《网络安全法》，监管部门可对其处以最高多少罚款？A.十万元B.五十万元C.一百万元D.五百万元17.以下哪种认证方式安全性最高？A.静态密码B.短信验证码C.指纹识别+动态令牌D.图形验证码18.《数据出境安全评估办法》规定，数据处理者向境外提供数据，应当通过数据出境安全评估的情形不包括？A.关键信息基础设施运营者的数据出境B.处理100万人以上个人信息的数据出境C.自上年1月1日起累计向境外提供10万人个人信息的数据出境D.处理5000人以上敏感个人信息的数据出境19.以下哪种行为符合“隐私计算”的应用场景？A.直接共享原始医疗数据给研究机构B.在不泄露用户身份的前提下分析消费习惯C.将用户位置信息明文存储在数据库中D.未经同意将用户通信内容提供给广告商20.当收到“您中奖了，请先缴纳手续费”的邮件时，最可能的安全风险是？A.邮件服务器被攻击B.遭遇网络诈骗C.个人信息被合法收集D.系统需要更新补丁二、多项选择题（共15题，每题3分，共45分。每题至少有2个正确选项，多选、少选、错选均不得分）1.以下属于《网络安全法》规定的网络运营者义务的是？A.制定内部安全管理制度和操作规程B.采取技术措施防范计算机病毒和网络攻击C.对重要系统和数据库进行容灾备份D.向社会公开所有用户个人信息2.个人信息处理者在处理未成年人个人信息时，应当遵守的特殊要求包括？A.取得未成年人及其监护人的双重同意B.制定专门的个人信息处理规则C.明确未成年人个人信息的处理目的、方式和范围D.无需限制未成年人个人信息的存储期限3.以下哪些措施可以有效防范WiFi网络安全风险？A.使用WPA3协议加密B.定期修改WiFi密码C.开放WiFi热点的“自动连接”功能D.隐藏WiFi名称（SSID）4.根据《数据安全法》，国家建立数据分类分级保护制度，数据分类分级的依据包括？A.数据的重要程度B.数据对国家安全、公共利益的影响C.数据的生成时间D.数据泄露或者被非法利用的危害程度5.以下属于常见网络攻击手段的是？A.跨站脚本攻击（XSS）B.分布式拒绝服务攻击（DDoS）C.社会工程学攻击D.量子计算加速解密6.企业在进行数据跨境流动时，应当遵守的合规要求包括？A.通过数据出境安全评估B.与境外接收方签订数据出境标准合同C.对数据接收方进行安全评估D.无需向监管部门报备7.以下哪些行为可能导致个人信息泄露？A.使用公共WiFi登录网上银行B.在社交平台公开家庭住址和行程C.扫描来源不明的二维码D.定期更新手机系统补丁8.《关键信息基础设施安全保护条例》规定的保护工作原则包括？A.坚持综合协调、分工负责、依法保护B.强化和落实关键信息基础设施运营者主体责任C.充分发挥政府及社会各方面的作用D.优先保障经济效益9.以下哪些技术属于网络安全防护的主动防御技术？A.入侵检测系统（IDS）B.蜜罐技术C.防火墙D.威胁情报分析10.个人信息主体依法享有的权利包括？A.查询、复制个人信息的权利B.要求更正、删除个人信息的权利C.限制或拒绝处理个人信息的权利D.要求将个人信息转移至指定第三方的权利11.以下哪些场景需要进行网络安全等级保护备案？A.金融机构的核心交易系统B.学校的教务管理系统C.企业内部的员工考勤系统D.个人搭建的博客网站12.防范勒索病毒的有效措施包括？A.定期备份重要数据并离线存储B.开启系统自动更新功能C.不打开陌生邮件附件D.安装多种杀毒软件并同时运行13.根据《个人信息保护法》，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取的处理方式应符合？A.最小必要原则B.完全公开原则C.质量原则D.诚信原则14.以下哪些属于物联网设备的安全防护措施？A.关闭不必要的端口和服务B.定期更新设备固件C.使用复杂的设备登录密码D.将设备连接至公共WiFi网络15.网络安全事件发生后，运营者应当履行的义务包括？A.立即启动应急预案B.采取技术措施和其他必要措施，消除安全隐患C.防止危害扩大D.及时向社会发布事件详细信息三、判断题（共15题，每题1分，共15分。正确填“√”，错误填“×”）1.网络安全等级保护共分为五级，其中第五级防护要求最高。（）2.只要不连接互联网，内网计算机就不会感染病毒。（）3.个人信息处理者可以将用户同意作为处理所有个人信息的唯一合法依据。（）4.手机收到“验证码”短信时，可以将验证码提供给自称“客服”的来电者。（）5.《数据安全法》仅适用于中华人民共和国境内的数据处理活动。（）6.公共场合使用免费WiFi时，通过HTTPS协议访问的网站是绝对安全的。（）7.企业可以将员工的生物识别信息（如指纹）用于考勤，无需告知员工。（）8.网络安全事件发生后，运营者只需向本单位内部报告，无需向监管部门报告。（）9.弱密码是导致账户被盗的主要原因之一。（）10.生成式人工智能服务提供者可以不标注生成内容的来源，只要内容不违法即可。（）11.关键信息基础设施运营者应当自行运营关键信息基础设施，不得委托第三方服务机构。（）12.数据泄露事件发生后，运营者应当在72小时内向履行个人信息保护职责的部门报告。（）13.安装盗版软件不会带来网络安全风险。（）14.网络安全防护中，“最小权限原则”是指仅授予用户完成工作所需的最小访问权限。（）15.未成年人的个人信息处理规则与成年人完全相同。（）四、案例分析题（共5题，每题10分，共50分）案例1：某电商平台用户发现，自己的账户在未登录的情况下被异地登录，购买了价值5000元的商品。经调查，用户曾在公共电脑上使用过该账户，且未退出登录；平台系统日志显示，登录时仅使用了静态密码验证。问题：请分析此次事件的主要原因及平台应采取的改进措施。案例2：某学校将学生姓名、身份证号、联系方式等信息存储在未加密的数据库中，因服务器被攻击导致数据泄露。部分学生收到诈骗电话，声称“缴纳学费可享优惠”，多名学生受骗。问题：根据《个人信息保护法》，学校的行为违反了哪些规定？学生应如何防范此类诈骗？案例3：某企业员工收到一封主题为“工资条”的邮件，附件为“2025年8月工资条.pdf”，点击后电脑被植入勒索病毒，所有文档被加密，要求支付比特币赎金。问题：请识别该攻击的类型，并列出员工和企业应采取的防范措施。案例4：某医疗机构计划将患者的诊疗数据共享给境外科研机构用于医学研究。已知该机构处理了超过100万患者的个人信息，其中包含5万条敏感个人信息（如遗传信息）。问题：根据《数据出境安全评估办法》，该机构是否需要进行数据出境安全评估？说明理由。案例5：某老年用户在手机上收到一条短信：“您的社保账户异常，点击链接/verify进行认证，否则将暂停使用。”用户点击链接后，输入了身份证号、银行卡号和密码。问题：请指出该短信的可疑之处，并说明老年人应如何提高网络安全意识。答案一、单项选择题1.D2.B3.D4.D5.D6.B7.C8.B9.B10.D11.B12.B13.B14.A15.B16.C17.C18.C19.B20.B二、多项选择题1.ABC2.ABC3.ABD4.ABD5.ABC6.ABC7.ABC8.ABC9.BD10.ABCD11.AB12.ABC13.ACD14.ABC15.ABC三、判断题1.√2.×3.×4.×5.×6.×7.×8.×9.√10.×11.×12.√13.×14.√15.×四、案例分析题案例1答案要点：主要原因：①用户在公共电脑未退出登录，导致会话被劫持；②平台仅使用静态密码验证，未启用多因素认证（MFA）。改进措施：①提示用户在公共设备登录后及时退出；②强制要求敏感操作（如支付）使用短信验证码、指纹等二次验证；③加强异地登录检测，触发风险时自动锁定账户并通知用户。案例2答案要点：违反规定：①未对个人信息采取加密等安全技术措施（《个人信息保护法》第51条）；②未履行个人信息保护义务导致信息泄露（第69条）。学生防范措施：①收到陌生电话要求转账时，通过官方渠道（如学校官网、教育部门电话）核实；②不轻易透露身份证号、银行卡号等敏感信息；③发现信息泄露后，及时向公安机关报案并通知学校。案例3答案要点：攻击类型：钓鱼邮件+勒索病毒攻击。防范措施（员工）：①不打开陌生邮件附件，尤其是声称“工资条”“通知”等诱导性内容；②观察邮件发件人是否为官方域名（如企业邮箱应为@公司名.com）；③发现异常立即断网并报告IT部门。防范措施（企业）：①部署邮件过滤系统，拦截含恶意附件的邮件；②定期开展员工安全培训，识别钓鱼邮件特征；③制定勒索病毒应急预案，定期备份数据并离线存储。案例4答案要点：需要进行数据出境安全评估。理由：根据《数据出境安全评估办法》第4条，处理100万人以上个人信息的数据