2025网络安全安全意识试题及答案

2025网络安全安全意识试题及答案1.单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.12025年1月1日起正式施行的《网络数据安全管理条例（征求意见稿）》中，对“重要数据”实行分级分类保护，其分级依据首要考虑的因素是（）。A.数据体量大小 B.数据泄露后可能对国家安全造成的危害程度 C.数据存储介质类型 D.数据产生频率答案：B1.2某员工收到一封主题为“2025年个税退税通知”的邮件，内含“紧急办理”链接。下列行为中最符合安全意识要求的是（）。A.直接点击链接并填写身份证号与银行卡号 B.将邮件转发给同事确认真伪 C.手动输入税务局官网域名核实信息 D.拨打邮件中所留“客服电话”咨询答案：C1.3在零信任架构中，对同一用户在同一会话周期内再次访问同一资源时，仍需动态评估信任等级，主要防范的风险是（）。A.横向移动 B.拒绝服务 C.域名劫持 D.广播风暴答案：A1.4Windows1124H2版本默认启用的内核级防护机制，能够阻止无签名驱动加载，该机制名称是（）。A.HVCI B.CredentialGuard C.KernelDMAProtection D.VBS答案：A1.52025年6月，某APT组织被披露利用“LNK漏洞”（CVE20252123）实施鱼叉攻击，其恶意快捷方式文件最可能携带的初始载荷格式是（）。A..iso B..dll C..lnk D..ps1答案：C1.6依据《个人信息保护法》，处理敏感个人信息未取得个人单独同意，最高可处以上一年度营业额（）的罚款。A.1% B.3% C.5% D.10%答案：C1.72025年3月，某云厂商对象存储服务因“Bucket策略配置错误”导致大量用户数据被匿名下载，该问题属于（）。A.漏洞 B.配置缺陷 C.供应链污染 D.侧信道答案：B1.8使用SM4GCM模式加密传输数据时，下列参数必须随密文一起发送的是（）。A.初始向量IV B.主密钥明文 C.私钥 D.盐值答案：A1.92025年新版《网络安全审查办法》将“赴国外上市”纳入审查触发条件，其中“国外”指（）。A.非中国境内证券交易所 B.美国纳斯达克 C.香港联交所 D.伦敦证交所答案：A1.10在Linux系统中，若发现/root/.ssh/authorized_keys文件被追加未知公钥，最优先的应急步骤是（）。A.重启sshd服务 B.立即断开网络并检查登录日志 C.修改root口令 D.升级OpenSSL答案：B1.112025年5月，某勒索软件利用“LivingofftheLand”技术，仅使用Windows自带工具实现横向移动，其最可能调用的二进制是（）。A.mshta.exe B.notepad.exe C.calc.exe D.mspaint.exe答案：A1.12关于量子计算对现有公钥密码的威胁，下列算法中目前公认可抵御Shor算法的是（）。A.RSA4096 B.ECDSAP384 C.Kyber1024 D.DH2048答案：C1.132025年7月，工信部通报的“违规收集个人信息”App中，最常见的高频权限是（）。A.悬浮窗 B.读取应用列表 C.蓝牙配对 D.更改壁纸答案：B1.14在IPv6网络中，用于替代ARP的协议是（）。A.NDP B.IGMPv6 C.DHCPv6PD D.MLD答案：A1.15某企业采用“321”备份策略，其中“1”指的是（）。A.至少1份离线或异地副本 B.至少1台磁带机 C.至少1次全量备份 D.至少1天增量备份答案：A1.162025年新版《信息安全等级保护》将“云计算扩展要求”纳入第几级？（）A.第二级 B.第三级 C.第四级 D.所有级答案：D1.17在SSL/TLS握手阶段，服务器发送的“CertificateVerify”消息主要作用是（）。A.证明服务器拥有证书对应私钥 B.协商对称加密算法 C.传输会话票据 D.校验客户端证书答案：A1.182025年8月，某AI大模型训练平台因训练数据含敏感个人信息被处罚，其违法主体认定为（）。A.数据提供方 B.平台运营方 C.云厂商 D.终端用户答案：B1.19关于“社会工程学”攻击，下列描述正确的是（）。A.仅针对高层管理人员 B.无需任何技术工具 C.可能结合物理接触 D.无法通过语音实施答案：C1.202025年9月，微软宣布弃用NTLM，推荐替代协议是（）。A.Kerberos B.NTLMv3 C.LDAPS D.SMB1答案：A1.21在Android15中，限制后台应用获取设备标识符的新权限名称是（）。A.READ_DEVICE_ID B.READ_PRIVILEGED_PHONE_STATE C.READ_MEDIA_IMAGES D.QUERY_ALL_PACKAGES答案：B1.222025年10月，某券商因“深度伪造”语音被诱骗转账，其最佳事前防范技术是（）。A.声纹活体检测 B.短验证码 C.静态口令 D.图形验证码答案：A1.23关于“同源策略”，下列说法错误的是（）。A.端口不同即非同源 B.协议不同即非同源 C.子域名不同即非同源 D.路径不同即非同源答案：D1.242025年11月，IETF发布RFC9563，将哪种协议正式推荐为替代FTP的加密文件传输标准？（）A.SFTP B.FTPS C.HTTPS D.TFTP答案：A1.25在Windows事件日志中，成功登录类型为“10”表示（）。A.本地交互 B.远程交互 C.网络登录 D.批处理登录答案：B1.262025年12月，某IoT摄像头固件被曝硬编码AES密钥，其最大风险是（）。A.加密流量可被解密 B.设备无法启动 C.视频被压缩 D.云存储费用增加答案：A1.27在Kubernetes中，默认允许所有Pod间通信的策略名称是（）。A.denyall B.allowall C.defaultdenyingress D.defaultallowall答案：B1.282025年，国家网信办对“算法推荐”类App提出“关闭键”要求，用户选择关闭后，平台应在（）时间内停止算法推荐。A.立即 B.24小时 C.7日 D.30日答案：A1.29在SMTP协议中，用于启用STARTTLS的端口是（）。A.25 B.110 C.143 D.993答案：A1.302025年，某企业采用“安全访问服务边缘（SASE）”架构，其核心融合的两类技术是（）。A.SDWAN+ZeroTrust B.VPN+IDS C.Firewall+WAF D.SIEM+SOAR答案：A2.多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）2.1以下哪些行为可能触发《数据出境安全评估办法》中的“数据出境”情形？（）A.境外运维人员通过VPN查看境内日志 B.境内数据库nightlysync到境外云存储 C.境外总部邮件服务器接收境内员工邮件 D.境内员工出差期间在境外访问境内系统答案：ABC2.2关于“深度防御”策略，下列哪些技术属于同一防御层次？（）A.网络层ACL B.主机层EDR C.应用层RASP D.物理层门禁答案：AD2.3以下哪些协议或技术可提供“前向保密”？（）A.TLS1.3 B.IPSecIKEv2withPFS C.SSHwithdiffiehellmangroup14sha256 D.RSAPKCS1v1.5答案：ABC2.42025年，以下哪些属于我国“关键信息基础设施”？（）A.省级政务云 B.大型电商平台 C.特高压电网调度系统 D.个人博客答案：ABC2.5以下哪些措施可有效降低“内部威胁”？（）A.最小权限模型 B.行为分析基线 C.定期轮岗 D.完全禁用USB答案：ABC2.6关于“日志留存”，下列哪些数据类型国家要求留存时间不少于6个月？（）A.网络访问日志 B.交易日志 C.操作维护日志 D.系统调试日志答案：ABC2.7以下哪些属于OWASPAPISecurityTop102025版新增风险？（）A.UnrestrictedResourceConsumption B.ServerSideRequestForgery C.UnsafeConsumptionofAPIs D.BrokenFunctionLevelAuthorization答案：BC2.8以下哪些算法已被我国商用密码检测中心列入“淘汰类”？（）A.SHA1 B.RSA1024 C.SM1 D.SM3答案：AB2.9在Linux下，哪些命令可用于查看当前系统监听端口？（）A.sslnt B.netstattunlp C.lsofiPn D.psaux答案：ABC2.10以下哪些技术可用于“抗量子密码”迁移的混合密钥交换？（）A.X25519+Kyber B.ECDH+ClassicMcEliece C.RSA3072 D.TLS1.3hybridKE答案：ABD3.填空题（每空1分，共20分）3.12025年，国家网信办要求App在收集“精确地理位置”时，必须同步提供________开关，默认状态为________。答案：单次授权；关闭3.2在WindowsDefender中，用于阻止可疑进程向外部IP发起连接的功能称为________防护。答案：网络保护（NetworkProtection）3.32025年，IETF将QUIC协议正式标准化于RFC________。答案：90003.4依据《关键信息基础设施安全保护条例》，运营者应当________年开展一次网络安全检测评估。答案：每年3.5在Kubernetes中，Pod安全策略（PSP）已被废弃，替代机制是________。答案：PodSecurityStandards（PSS）3.62025年，国家密码管理局发布的《商用密码产品认证目录（第六批）》首次将________芯片纳入。答案：抗量子3.7在SSL/TLS中，用于实现“会话复用”减少握手延迟的票据机制缩写为________。答案：TLSSessionTickets3.82025年，某勒索软件采用“双重勒索”策略，除加密数据外还威胁________数据。答案：泄露3.9在Linux系统中，文件权限“rwSrwr”中S位若出现在所有者位置，表示________。答案：setuid3.102025年，工信部要求所有新出厂的Android终端必须支持________版本以上的蓝牙加密。答案：5.33.11在SMTP协议中，用于校验发送方域名的邮件认证技术缩写为________。答案：SPF3.122025年，国家标准化管理委员会发布《信息安全技术零信任参考体系》标准编号为GB/T________。答案：4320720253.13在Windows中，查看本地安全策略的命令行工具是________。答案：secpol.msc3.142025年，某AI模型训练平台因未脱敏人脸数据被罚款，其违法行为属于________处理敏感个人信息。答案：未取得单独同意3.15在IPv6地址2001:db8::/32中，前缀长度是________位。答案：323.162025年，国家网信办要求短视频平台对“AI换脸”内容添加________标识。答案：显著3.17在Linux中，用于限制进程系统调用的安全机制是________。答案：seccomp3.182025年，某云厂商对象存储支持的“服务端加密”默认算法是________。答案：AES256GCM3.19在TLS1.3中，已废弃的压缩算法协商字段是________。答案：compression_methods3.202025年，国家网络安全宣传周主题口号是“网络安全为________，网络安全靠________”。答案：人民；人民4.简答题（每题10分，共30分）4.1简述“数据分类分级”在数据出境安全评估中的具体作用，并给出金融行业中“核心数据”的判定标准。答案：数据分类分级是评估数据出境风险的基础，通过识别数据的重要程度、敏感程度确定评估强度与审批路径。金融行业“核心数据”指一旦泄露可能直接威胁国家金融安全的数据，包括国家金融基础设施核心系统参数、实时支付清算总线数据、央行货币政策决策原始数据、系统性重要金融机构实时风险敞口数据等。4.2说明“安全访问服务边缘（SASE）”与传统VPN在远程办公场景下的三点本质差异，并指出SASE如何缓解“VPN放大器”攻击。答案：差异1：SASE基于身份与上下文动态授权，VPN多为静态IP白名单；差异2：SASE将安全栈（SWG、CASB、ZTNA）云原生集成，VPN需叠加多种安全设备；差异3：SASE流量就近接入PoP，VPN需回传总部。缓解“VPN放大器”攻击：SASE默认拒绝入站连接，采用双向mTLS与DDoS清洗，消除UDPVPN暴露面，避免被用作反射放大。4.3概述“深度伪造”语音诈骗的攻击链，并给出企业侧三种可落地的技术检测方案。答案：攻击链：1.攻击者收集目标高管公开语音→2.使用TTS+声纹转换模型训练克隆语音→3.结合社工获取下属手机号→4.实时变声拨打指令转账。检测方案：A.声纹活体检测：提取频谱抖动、基频起伏特征，利用CNNLSTM区分真实声带与合成信号；B.多因子通话验证：通话中插入随机短验证码并要求反向拨打公司固话，阻断单向语音；C.语义水印：企业内预置只有员工知道的动态暗号，AI难以实时推断。5.应用题（共50分）5.1计算分析题（15分）某企业计划采购抗量子密码算法替换现有RSA2048，候选方案为Kyber1024与Dilithium5。已知：RSA2048一次握手CPU占用为3ms，密钥长度256B；Kyber1024封装耗时0.7ms，公钥长度1568B，私钥长度3168B；Dilithium5签名生成1.2ms，公钥2592B，私钥4864B；企业日均TLS握手1亿次，带宽成本0.02元/GB，CPU成本0.05元/vCPU·ms。（1）计算仅替换密钥交换（Kyber1024）后，每日新增带宽成本（元）。（5分）（2）计算仅替换签名（Dilithium5）后，每日新增CPU成本（元）。（5分）（3）综合考虑成本与安全性，给出选型建议并说明理由。（5分）答案：（1）原RSA公钥256B，Kyber公钥1568B，增量1312B=1.312KB。每日流量增量=1×10^8×1.312KB=1.312×10^8KB=131.2TB。带宽成本=131.2×1024×0.02=2686.9元。（2）原RSA签名验证CPU未给出，假设仅考虑生成侧，Dilithium5生成1.2ms，RSA生成3ms，节省1.8ms。每日CPU节省=1×10^8×1.8ms=1.8×10^8ms=50vCPU·h。CPU成本节省=50×0.05×3600=9000元（负成本，即节省）。（3）建议分阶段：先上线Kyber1024，带宽成本约2700元/日，可接受；签名侧Dilithium5节省9000元/日，抵消后净节省6300元/日，且抗量子安全性提升，建议同步部署。5.2案例分析题（20分）背景：2025年12月，某三甲医院互联网医院系统遭勒索软件攻击，攻击者横向移动至PACS影像服务器，加密近20TB患者影像并窃取3TB数据。已知网络拓扑：互联网→WAF→防火墙→内网核心区（HIS、PACS、EMR）。日志显示：攻击源IP位于东欧，通过VPN账号“temp001”登录；该账号为外包运维人员，已于3个月前离职，但AD账号未禁用；攻击者使用合法RDP跳转，利用Mimikatz抓取域管hash，再通过PsExec扩散；勒索留言要求支付比特币，并威胁公开“肿瘤患者名人”影像。问题：（1）指出本次事件暴露的三类管理缺陷并给出整改措施。（6分）（2）绘制攻击路径时序图（文字描述即可）。（6分）（3）给出恢复业务所需的“干净系统”重建步骤，并说明如何验证数据完整性。（8分）答案：（1）缺陷A：账号生命周期管理缺失，离职账号未禁用；整改：HR与IT联动，离职当日AD自动禁用，季度审计。缺陷B：内网横向移动无分段；整改：PACS独立VLAN，微隔离，仅开放DICOM11112端口。缺陷C：无特权账号监控；整改：部署EDR与PAM，实时告警异常RDP与hash抓取。（2）时序：1.扫描VPN网关→2.暴力破解temp001→3.建立VPN隧道→4.RDP至跳板机→5.Mimikatz抓域管→6.PsExec扩散至PACS→7.投放勒索脚本→8.加密并外传3TB→9.弹出勒索留言。（3）重建步骤：a.断开