2025年大学生网络安全知识竞赛试题库及答案

2025年大学生网络安全知识竞赛试题库及答案一、单项选择题（每题2分，共40分）1.以下哪项不属于零信任架构的核心原则？A.持续验证B.最小权限访问C.信任默认网络边界D.动态风险评估答案：C2.某高校图书馆WiFi提示“连接需输入校园卡密码”，这种认证方式最可能存在的安全风险是？A.密码明文传输B.会话劫持C.DNS劫持D.ARP欺骗答案：A3.用于验证数据完整性的常用密码学算法是？A.AESB.RSAC.SHA-256D.ECC答案：C4.某学生收到邮件：“您的校园网账号将于24小时后冻结，点击链接验证身份”，这属于哪种攻击手段？A.水坑攻击B.钓鱼攻击C.中间人攻击D.勒索软件攻击答案：B5.《网络安全法》规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行几次检测评估？A.1次B.2次C.3次D.4次答案：A6.物联网设备默认使用“admin”“123456”等弱密码，主要面临的安全威胁是？A.拒绝服务攻击B.暴力破解C.数据篡改D.隐私泄露答案：B7.以下哪种场景最需要部署Web应用防火墙（WAF）？A.校园FTP服务器B.学校官方网站C.教师个人笔记本D.学生宿舍路由器答案：B8.量子密码通信的安全性基于？A.计算复杂度B.量子不可克隆定理C.对称加密强度D.哈希函数碰撞阻力答案：B9.某学生在实验室使用开源代码开发项目时，未检查代码依赖库版本，可能导致的风险是？A.代码重复率过高B.依赖库存在已知漏洞C.版权纠纷D.运行效率低下答案：B10.根据《数据安全法》，国家建立数据分类分级保护制度，其中“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对国家安全、公共利益造成特别严重危害”的数据属于？A.一般数据B.重要数据C.核心数据D.敏感数据答案：C11.以下哪种行为符合网络安全最佳实践？A.为方便记忆，所有账号使用相同密码B.定期更新操作系统和软件补丁C.公共电脑登录邮箱后不退出D.打开陌生人通过QQ发送的压缩文件答案：B12.攻击者通过伪造合法用户请求，绕过身份验证访问系统，这种攻击方式是？A.CSRFB.XSSC.SQL注入D.DDoS答案：A13.某高校使用双因素认证（2FA）登录教务系统，第二因素采用短信验证码，可能存在的漏洞是？A.短信网关被攻击导致验证码泄露B.验证码长度过短C.验证码有效期过长D.用户手机丢失后无法认证答案：A14.区块链技术中，防止交易数据被篡改的核心机制是？A.共识算法B.哈希链C.智能合约D.分布式存储答案：B15.以下哪项不属于个人信息“最小必要”原则的要求？A.收集的个人信息数量最少B.处理目的明确且必要C.存储时间尽可能短D.向第三方共享全部收集的信息答案：D16.攻击者利用系统未对用户输入进行过滤，将恶意代码植入数据库，这种攻击是？A.缓冲区溢出B.命令注入C.SQL注入D.跨站脚本答案：C17.某学生发现校园网内有人通过工具扫描其他设备开放端口，这种行为最可能是？A.网络性能测试B.漏洞探测C.流量统计D.病毒传播答案：B18.《个人信息保护法》规定，处理敏感个人信息应当取得个人的单独同意，以下哪项不属于敏感个人信息？A.生物识别信息B.通信记录C.学历信息D.医疗健康信息答案：C19.以下哪种加密方式属于对称加密？A.RSAB.AESC.ECCD.椭圆曲线加密答案：B20.某高校网络中心检测到异常流量：源IP不断变化，目标IP集中在教务服务器，流量类型为TCPSYN包，这种攻击是？A.分布式拒绝服务（DDoS）B.端口扫描C.蠕虫传播D.木马控制答案：A二、填空题（每题2分，共20分）1.网络安全领域的“CIA三元组”指的是机密性、完整性和________。答案：可用性2.常见的抗DDoS攻击技术包括流量清洗、________和黑洞路由。答案：速率限制3.用于检测未知病毒的杀毒技术称为________。答案：启发式扫描4.物联网设备的安全威胁中，________攻击通过伪造设备身份接入网络。答案：身份仿冒5.《网络安全审查办法》规定，关键信息基础设施运营者采购网络产品和服务，影响或者可能影响________的，应当进行网络安全审查。答案：国家安全6.数据脱敏技术中，将处理为“1385678”属于________脱敏方式。答案：部分隐藏（或掩码）7.无线局域网（WLAN）中，________协议通过加密机制解决了WEP的安全性缺陷。答案：WPA2（或WPA）8.云安全中的“数据残留”风险指数据删除后仍可通过________技术恢复。答案：数据恢复（或取证）9.攻击者通过发送大量ICMP请求包消耗目标资源的攻击称为________。答案：PingofDeath（或ICMP洪水攻击）10.网络安全等级保护制度中，第三级信息系统的安全保护等级属于________。答案：监督保护级三、判断题（每题1分，共10分）1.所有开源软件都不存在安全漏洞。（）答案：×2.双因素认证中，使用手机动态令牌比短信验证码更安全。（）答案：√3.为防止账号被盗，应定期修改密码并使用大小写字母、数字、符号组合。（）答案：√4.扫描二维码前无需确认来源，因为二维码本身无法携带恶意代码。（）答案：×5.物联网设备数量多、资源受限，难以部署复杂安全防护措施。（）答案：√6.个人信息处理者可以将用户同意作为处理所有个人信息的唯一合法依据。（）答案：×7.钓鱼网站的URL一定包含拼写错误或奇怪字符。（）答案：×8.关闭操作系统的自动更新可以避免安装恶意补丁，提高安全性。（）答案：×9.区块链的“不可篡改”特性意味着所有上链数据都无法被修改。（）答案：×（注：需51%攻击等极端情况可篡改）10.网络安全事件发生后，只需断开网络连接即可，无需记录日志。（）答案：×四、简答题（每题6分，共30分）1.简述SQL注入攻击的原理及防范措施。答案：原理：攻击者通过在用户输入中插入SQL指令，欺骗服务器执行恶意SQL代码，从而获取、修改或删除数据库数据。防范措施：使用预编译语句（PreparedStatement）、对用户输入进行严格过滤和转义、限制数据库账户权限、定期更新数据库补丁。2.列举《个人信息保护法》中个人对其个人信息享有的五项权利。答案：知情权、决定权、查阅权、复制权、更正权、删除权、限制处理权、解释说明权（任意五项即可）。3.说明物联网设备常见的安全风险及应对策略。答案：风险：弱密码、固件漏洞、通信未加密、身份认证缺失、物理攻击。策略：强制启用强密码、定期更新固件、使用TLS/SSL加密通信、部署设备身份认证机制、加强物理防护。4.什么是“APT攻击”？其主要特点有哪些？答案：APT（高级持续性威胁）是针对特定目标的长期、有组织的网络攻击。特点：攻击目标明确（如政府、高校）、攻击手段复杂（结合多种技术）、潜伏时间长（数周至数年）、攻击团队专业（可能有背景支持）。5.高校在建设校园网时，如何落实“最小权限原则”？答案：根据角色分配权限（如学生仅访问教务系统，教师可管理课程）、限制超级管理员账户数量、定期审计权限分配、对敏感数据（如学提供绩）设置分级访问控制、临时权限使用后及时回收。五、案例分析题（每题10分，共20分）案例1：某高校教务系统近期频繁出现异常访问，表现为：凌晨2-4点有大量来自不同IP的登录尝试，部分账号密码被暴力破解；部分学生查询成绩时显示“数据库连接失败”；学校官网首页被篡改，显示“系统已被控制”。问题：（1）分析可能的攻击手段（4分）（2）提出应急处置措施（3分）（3）给出长期防范建议（3分）答案：（1）可能攻击手段：暴力破解攻击（凌晨异常登录尝试）、DDoS攻击（数据库连接失败）、网站篡改（官网首页被改，可能存在Webshell）。（2）应急处置：立即断开教务系统与公网连接（断网隔离）、启用备份数据库恢复数据、清除官网Webshell并修复漏洞、报警并留存攻击日志作为证据。（3）长期防范：部署WAF过滤恶意请求、启用登录失败锁定机制（如连续5次错误锁定账号30分钟）、定期对官网进行漏洞扫描和代码审计、对数据库实施主备分离和异地容灾、开展师生网络安全培训（如识别异常登录提示）。案例2：学生小张在图书馆连接免费WiFi后，发现手机收到多条银行消费短信，账户被盗刷5000元。经调查，该WiFi为攻击者伪造的“图书馆-免费”热点，名称与官方WiFi一致。问题：（1）该攻击属于哪种类型？核心原理是什么？（4分）（2）小张应采取哪些补救措施？（3分）（3）高校如何防止此类仿冒WiFi事件？（3分）答案：（1）攻击类型：中间人攻击（或仿冒热点攻击）。核心原理：攻击者创建与官方WiFi同名的虚假热点，用户连接后，攻击者截获用户与服务器之间的通信数据（如银行APP的登录信息、支付请求），从而窃取账号密码或直接篡改交易数据。（2）补救措施：立即冻结银行账户（通过手机银行或拨打客服）、向公安机关报案并提供