2025年网络与数据安全知识竞赛题库及答案

2025年网络与数据安全知识竞赛题库及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选均不得分）1.2025年6月1日正式实施的《网络数据安全管理条例（试行）》中，对“重要数据”实行分级分类保护，其分级依据首要参考的是A.数据商业价值  B.数据规模  C.数据一旦遭到篡改、破坏后的危害程度  D.数据产生频率答案：C2.在TLS1.3握手过程中，用于实现前向保密的核心机制是A.RSA密钥传输  B.静态DH  C.ECDHE临时密钥交换  D.会话复用票据答案：C3.某云厂商提供“机密计算”实例，其硬件级可信执行环境基于A.SGX  B.TXT  C.TPM2.0  D.ARMTrustZone答案：A4.2025年3月，某省政务云发生0day漏洞攻击，应急响应首要依据的国家标准是A.GB/T22239—2019  B.GB/T28828—2022  C.GB/T20984—2022  D.GB/T25069—2022答案：C5.数据出境安全评估中，评估机构对“个人信息出境场景”进行风险判定，首要量化指标是A.出境字段数量  B.出境数据容量  C.受影响主体数量及敏感程度  D.出境频率答案：C6.在零信任架构中，用于持续评估终端安全状态的协议是A.RADIUS  B.TACACS+  C.PostureAgent与CSPMAPI  D.LDAP答案：C7.2025年5月，某车企因“过度收集人脸数据”被处罚，执法部门援引的条款出自A.《个人信息保护法》第26条  B.《网络安全法》第41条  C.《数据安全法》第32条  D.《消费者权益保护法》第29条答案：A8.针对Kubernetes集群，可阻断容器逃逸攻击最有效的准入控制器插件是A.PodSecurityPolicy（已废弃）  B.OPAGatekeeper  C.NetworkPolicy  D.CalicoCNI答案：B9.在密码工程领域，AESGCM模式与ChaCha20Poly1305相比，下列描述正确的是A.前者在ARMv8硬件加速下吞吐量更高  B.后者不支持AEAD  C.前者需要额外HMAC  D.后者不支持随机访问答案：A10.2025年1月，OpenSSL发布补丁修复“高危”漏洞，其CVSSv4.0评分为9.3，该分值属于A.低危  B.中危  C.高危  D.严重答案：C11.某金融APP采用FIDO2无密码登录，其私钥存储位置在A.服务器HSM  B.手机TEE+安全元件  C.应用沙盒  D.云端KeyVault答案：B12.在数据分类分级自动化工具中，用于识别“身份证号”的正则表达式最佳实践是A.\d{15}|\d{18}  B.\d{17}[\dXx]  C.\d{6}(18|19|20)\d{9}[\dXx]  D.\d{14}[\dXx]答案：C13.2025年7月，某医疗大数据平台采用“联邦学习”训练模型，其防止梯度泄露攻击的主流技术是A.同态加密  B.差分隐私  C.安全多方计算  D.可信执行环境答案：B14.在WindowsServer2025中，默认启用的“内核直接访问防护”技术缩写为A.KASLR  B.KDP  C.VBS  D.HVCI答案：B15.某企业部署SASE架构，其“安全Web网关”组件不具备的功能是A.解密TLS1.3并做DLP检测  B.基于用户身份动态下发策略  C.替代本地防火墙做二层隔离  D.对云盘上传文件做病毒查杀答案：C16.2025年4月，某运营商DNS系统遭UDPFlood，清洗中心采用的反射放大防护算法是A.基于TCAM的精确匹配  B.基于Entropy的异常检测  C.基于SYNCookie  D.基于BGPFlowspec答案：B17.在Linux内核5.14及以上，用于限制容器系统调用的安全机制是A.chroot  B.seccomp  C.AppArmor  D.SELinux答案：B18.2025年，国家网信办对“算法推荐”备案要求中，必须披露的核心指标是A.训练数据集大小  B.算法逻辑及目的  C.模型参数数量  D.推理延迟答案：B19.在数据脱敏技术中，可保持数据分布统计特征不变的方法是A.随机掩码  B.同态加密  C.差分隐私加噪  D.k匿名答案：C20.某银行采用“量子密钥分发”进行同城灾备，其使用的协议为A.BB84  B.E91  C.SARG04  D.MDIQKD答案：A21.2025年，工信部对APP“静默下载”行为认定为A.不正当竞争  B.恶意程序  C.违规收集  D.破坏系统答案：B22.在IPv6网络中，用于防止“邻居发现欺骗”的安全机制是A.SEND  B.RAGuard  C.DHCPv6Guard  D.SeND+IPSec答案：A23.某云原生应用使用Istio服务网格，其mTLS默认证书有效期为A.24小时  B.7天  C.30天  D.90天答案：A24.2025年，国家密码管理局发布的“商用密码产品认证规则”中，安全等级三级的硬件要求至少具备A.双因子认证  B.侧信道攻击防护  C.自毁机制  D.量子随机数发生器答案：B25.在Windows1124H2中，默认阻止“密码喷洒”攻击的策略是A.帐户锁定阈值  B.凭据保护  C.SmartScreen  D.基于机器学习的风险评分答案：D26.2025年，某跨境电商平台因“数据跨境传输”被处罚，其违规核心在于未进行A.数据出境安全评估  B.个人信息保护认证  C.标准合同备案  D.本地备份答案：A27.在容器镜像安全扫描中，可检测“恶意软件包”签名的开放标准为A.Cosign+Sigstore  B.Notaryv1  C.GPG  D.X.509答案：A28.2025年，国家互联网应急中心发布的“勒索病毒预警等级”最高为A.红色  B.橙色  C.黄色  D.蓝色答案：A29.在Android15中，用于限制后台应用访问加速度传感器的权限是A.BODY_SENSORS  B.HIGH_SAMPLING_RATE_SENSORS  C.ACTIVITY_RECOGNITION  D.CAMERA答案：B30.2025年，某高校因API接口未授权泄露学生信息，其漏洞类型在OWASPAPITop102023中排第一的是A.对象级授权失效  B.用户认证失效  C.过度数据暴露  D.资源缺乏限制答案：A二、多项选择题（每题2分，共20分。每题有两个及以上正确答案，多选、少选、错选均不得分）31.以下属于《数据安全法》规定“数据处理者”安全义务的有A.建立健全全流程数据安全管理制度  B.开展数据安全教育培训  C.采取加密、去标识化技术措施  D.向境外提供重要数据需评估  E.每年发布社会责任报告答案：ABCD32.在Linux系统加固中，可有效缓解“提权漏洞”的措施有A.启用SELinux强制模式  B.关闭内核模块加载  C.限制sudo可执行命令  D.启用kexec_load禁用  E.降低UMASK值答案：ABCD33.以下属于隐私增强技术（PETs）的有A.同态加密  B.安全多方计算  C.差分隐私  D.零知识证明  E.传统AES加密答案：ABCD34.2025年，某车企在V2X通信中采用“证书池”机制，其安全目标包括A.降低证书吊销列表大小  B.提高位置隐私  C.减少证书申请延迟  D.防止中间人攻击  E.降低CPU功耗答案：ABCD35.在零信任网络中，动态信任评估引擎可采集的实时信号有A.终端补丁级别  B.用户行为基线偏差  C.网络延迟  D.DNS查询域名信誉  E.服务器负载答案：ABCD36.以下属于云原生安全“左移”实践的有A.IDE插件实时检测硬编码密钥  B.CI阶段运行SAST  C.镜像仓库强制签名验证  D.生产环境运行RASP  E.单元测试覆盖安全用例答案：ABCE37.2025年，某银行采用“可搜索加密”实现云端邮件审计，其需满足的功能有A.关键词密文检索  B.支持布尔查询  C.防止云端关键词猜测  D.支持排序查询结果  E.支持模糊查询答案：ABCE38.在Windows11中，基于虚拟化的安全功能包括A.VBS  B.CredentialGuard  C.HVCI  D.WindowsHello  E.KDP答案：ABCE39.以下属于国家级“网络靶场”核心组成部分的有A.攻防演练平台  B.流量仿真器  C.裁判与评分系统  D.溯源取证沙箱  E.真实生产业务系统答案：ABCD40.2025年，某电商APP被通报“违规收集个人信息”，其违规场景可能包括A.后台运行时读取已安装应用列表  B.首次启动时索要存储权限用于缓存图片  C.未经同意向第三方SDK传输IMEI  D.用户拒绝定位后仍每日弹窗申请  E.用户注销后15日内删除备份答案：ACD三、填空题（每空1分，共20分）41.2025年7月，国家网信办发布《人脸识别技术应用安全规范》，要求人脸识别数据保存期限不超过________年。答案：342.在TLS1.3中，用于实现0RTT重放保护的机制称为________。答案：PSKBinder43.2025年，国家密码管理局将SM4算法纳入________系列，成为国际ISO/IEC标准。答案：ISO/IEC18033344.在Kubernetes中，NetworkPolicy资源基于________标签选择器实现Pod级网络隔离。答案：Label45.2025年，某省政务云采用“量子随机数发生器”生成密钥，其熵源基于________效应。答案：量子隧穿46.在WindowsServer2025中，用于隔离域管理员凭据的虚拟化技术缩写为________。答案：LAPS47.2025年，国家互联网应急中心将“挖矿”活动列为________类网络安全威胁。答案：黑产48.在数据脱敏中，k匿名要求每个等价类至少包含________条记录。答案：k49.2025年，某车企采用“同态加密”对行驶轨迹进行聚合统计，其使用的全同态加密开源库为________。答案：SEAL50.在Linux内核中，用于限制进程系统调用的过滤机制称为________。答案：seccomp51.2025年，工信部要求APP在________权限调用前，必须向用户明示使用目的。答案：敏感52.在IPv6中，用于替代ARP的协议是________。答案：邻居发现协议（NDP）53.2025年，国家密码管理局发布的“商用密码产品认证规则”中，安全等级四级要求芯片具备________检测能力。答案：侵入式54.在零信任架构中，用于动态下发访问策略的协议缩写为________。答案：SPA（SinglePacketAuthorization）55.2025年，某银行采用“安全多方计算”进行联合风控，其协议底层基于________秘密共享。答案：Shamir56.在Android15中，用于防止“后台启动服务”的限制策略称为________。答案：BackgroundServiceRestrictions57.2025年，国家网信办对“算法推荐”备案要求中，算法名称、模型类型、________必须公开。答案：主要用途58.在容器安全中，镜像签名使用的开放标准________可实现透明日志审计。答案：Sigstore59.2025年，某高校VPN采用“量子密钥分发”，其密钥生成速率单位为________。答案：kbps60.在Windows11中，基于________的内存完整性保护可防止内核注入。答案：HVCI四、简答题（每题6分，共30分）61.简述2025年《网络数据安全管理条例（试行）》对“重要数据”出境评估的四大核心流程。答案：（1）数据处理者自评：对数据类型、规模、敏感程度、出境场景、接收方安全能力进行自评，形成自评报告；（2）第三方评估：委托省级以上网信部门认可的第三方机构进行风险评估，出具评估报告；（3）省级网信办审查：材料包括自评报告、第三方报告、合同、用户协议、接收方承诺书，审查周期15个工作日；（4）国家网信办备案：对跨境传输量超过100万人个人信息或10TB重要数据的场景，省级审查后报国家网信办备案，备案后一年有效，期满重新评估。62.说明TLS1.3与TLS1.2在握手延迟、前向保密、算法套件三方面的主要差异。答案：（1）握手延迟：TLS1.3将握手消息由2RTT降至1RTT，支持0RTT重放；TLS1.2最少2RTT；（2）前向保密：TLS1.3强制使用ECDHE等临时密钥交换，禁用RSA密钥传输；TLS1.2可选静态RSA，前向保密弱；（3）算法套件：TLS1.3仅保留AEAD算法（AESGCM、ChaCha20Poly1305），移除CBC、RC4、3DES；TLS1.2仍支持大量弱算法。63.列举零信任架构中“持续信任评估引擎”需采集的五类终端侧信号，并说明作用。答案：（1）补丁级别：判断系统是否存在已知高危漏洞；（2）进程行为基线：检测异常注入、提权；（3）证书完整性：防止中间人伪造；（4）地理位置漂移：识别账号盗用；（5）传感器状态：如Root/越狱、调试器附加，判断可信环境。64.说明“联邦学习”在医疗大数据场景中防止“梯度泄露攻击”的两类技术路线及其优缺点。答案：（1）差分隐私：对梯度加噪，优点实现简单、兼容现有框架，缺点降低模型精度；（2）安全多方计算：采用秘密共享或同态加密，优点理论安全、精度无损，缺点通信开销大、工程复杂。65.简述容器镜像签名与验证的完整生命周期，包括密钥生成、签名、分发、验证、吊销五环节。答案：（1）密钥生成：在HSM或TEE中生成非对称密钥对，私钥不出硬件；（2）签名：CI阶段使用Cosign对镜像哈希进行签名，签名写入OCIRegistry；（3）分发：镜像与签名一同推送到Harbor，Harbor验证签名格式；（4）验证：Kubernetes通过Gatekeeper调用Cosign验证Webhook，拒绝未签名镜像；（5）吊销：私钥泄露时，通过SigstoreRekor写入吊销记录，验证端实时同步吊销列表，阻断启动。五、综合应用题（共50分）66.计算分析题（12分）某电商平台2025年“618”大促期间，日均订单量2亿单，每单产生日志1.2kB，需保存90天，使用ErasureCoding（10+4）策略存储于对象存储，存储系统冗余系数1.5，压缩比0.4。（1）计算原始数据量（TB）；（2）计算压缩后净存储量（TB）；（3）若存储系统单盘8TB，磁盘利用率80%，求最少磁盘数。答案：（1）原始数据量=2×10^8×1.2kB×90=19.44TB；（2）压缩后净存储量=19.44×0.4=7.776TB；（3）冗余后总量=7.776×1.5=11.664TB；单盘可用=8×0.8=6.4TB；最少磁盘数=⌈11.664/6.4⌉=2块，实际工程取3块做RAID冗余，故答案3块。67.案例分析题（14分）2025年8月，某市政务云遭勒索软件攻击，攻击者利用0day（CVE2025XXXX）获取K8s集群管理员kubeconfig，加密etcd数据并索要300万美元比特币。问题：（1）指出攻击者最可能的初始入口及利用链；（2）给出事前防护的三项技术措施；（3）给出事后应急恢复的完整流程（含解密、加固、取证、通报）。答案：（1）入口：攻击者通过暴露于公网的KubernetesAPIServer，利用未修复的CVE2025XXXX（权限提升）获取集群管理员token，下载kubeconfig，进而控制etcd；（2）事前防护：a.APIServer仅开放内网，通过VPN+ZTNA访问；b.采用OPAGatekeeper强制验证镜像签名、禁止特权容器；c.每日自动扫描并修复高危CVE，使用KMS加密etcd；（3）应急恢复：a.隔离：立即切断APIServer公网入口，关闭被入侵节点；b.取证：内存dump、磁盘镜像、流量PCAP保存至只读存储；c.解密：若存在干净备份，用离线密钥解密etcd；若无备份，联系安全厂商获取解密工具，评估支付风险；d.恢复：使用3小时前的etcd备份重建集群，验证完整性；e.加固：升级K8s补丁，启用auditlog，轮换所有证书，启用etcd加密；f.通报：72小时内向市网信办、国家互联网应急中心提交事件报告，通过政务云门户向公众发布安全公告。68.设计题（12分）某金融公司拟在2025年Q4上线“隐私计算联合风控平台”，需支持两方（银行、电商平台）在不暴露原始用户数据的前提下训练风控模型。要求：（1）画出系统架构图，标注三大安全域；（2）说明关键技术选型及理由；（3）给出性能与安全的量化指标。答案：（1）架构图：安全域A：银行侧——数据加密域（TEE+KMS）；安全域B：电商侧——数据加密域（TEE+KMS）；安