2026年超星尔雅移动互联网时代的信息安全与防护考试题库（含答案）

2026年超星尔雅移动互联网时代的信息安全与防护考试题库第一部分单选题(100题)1、以下哪种网络安全威胁主要通过伪装成合法网站，诱导用户泄露个人信息？

A.社会工程学攻击

B.恶意代码攻击

C.网络嗅探攻击

D.拒绝服务攻击

【答案】：A

解析：本题考察网络安全威胁类型的基本概念。社会工程学攻击是通过欺骗、诱导等心理手段获取用户信息或系统权限，钓鱼网站正是通过伪装合法网站（如银行、电商平台）骗取用户账号密码等，属于典型的社会工程学攻击。B选项恶意代码攻击（如病毒、木马）主要通过代码植入破坏系统；C选项网络嗅探攻击是通过监听网络数据包获取敏感信息；D选项拒绝服务攻击是通过大量无效请求消耗系统资源导致服务瘫痪，均不符合题意。2、根据《中华人民共和国网络安全法》，个人信息的收集和使用应当遵循的原则不包括以下哪项？

A.合法

B.正当

C.必要

D.随机

【答案】：D

解析：本题考察个人信息保护法律原则。《网络安全法》明确规定个人信息的收集和使用应当遵循合法、正当、必要原则，以保障个人信息安全；“随机”原则并非法律要求，不符合个人信息保护的合规性要求，因此选D。3、根据《中华人民共和国个人信息保护法》，以下哪项行为不符合个人信息收集的合法要求？

A.应用收集用户位置信息前明确告知并获得用户同意

B.收集用户身份证号等敏感信息时单独获得用户明示同意

C.应用为提供基础服务（如社交平台注册）强制要求开启全部权限（如通讯录、相机）

D.应用定期对用户信息进行安全加密存储

【答案】：C

解析：本题考察个人信息保护法的“最小必要”原则。A选项符合“告知同意”原则；B选项敏感信息单独获取同意是法律要求；D选项加密存储是数据安全的基本措施；C选项强制收集非必要权限（如通讯录、相机）违反“最小必要”原则，超出服务必需范围，属于过度收集。因此，答案为C。4、以下哪种属于移动互联网时代常见的安全威胁？

A.钓鱼攻击

B.缓冲区溢出

C.ARP欺骗

D.SQL注入

【答案】：A

解析：本题考察移动互联网安全威胁类型，正确答案为A。钓鱼攻击通过伪造合法网站或应用界面，诱骗用户输入账号密码、支付信息等敏感数据，是移动互联网中最常见的威胁之一。B选项缓冲区溢出主要针对传统软件的内存漏洞，C选项ARP欺骗属于局域网络攻击，D选项SQL注入主要针对Web服务器数据库，均非移动互联网典型威胁。5、以下哪种不属于移动互联网时代常见的安全威胁？

A.病毒攻击

B.钓鱼网站

C.数据备份

D.恶意软件

【答案】：C

解析：本题考察移动互联网安全威胁的类型。病毒攻击、钓鱼网站、恶意软件均为移动互联网中常见的安全威胁，会直接危害设备或数据安全；而数据备份是为防止数据丢失而采取的防护措施，不属于安全威胁，因此选C。6、以下关于哈希函数的描述，正确的是？

A.哈希函数的输出长度与输入长度相同

B.不同输入可能产生相同哈希值（碰撞）

C.哈希函数可用于验证数据完整性

D.哈希函数是可逆的，可从哈希值反推原始数据

【答案】：C

解析：本题考察哈希函数的核心特性。正确答案为C，原因如下：A选项错误，哈希函数的输出长度（如MD5输出128位、SHA-256输出256位）固定，与输入长度无关；B选项错误，哈希函数的抗碰撞性要求不同输入应产生不同哈希值（“生日悖论”是极端情况下的概率问题，非普遍特性）；C选项正确，哈希函数通过单向性确保数据被篡改后哈希值变化，因此可验证数据完整性；D选项错误，哈希函数是单向不可逆的，无法从哈希值反推原始输入数据。7、及时更新操作系统的安全补丁主要是为了防范什么安全风险？

A.系统漏洞

B.恶意软件感染

C.网络钓鱼攻击

D.数据存储泄露

【答案】：A

解析：本题考察移动设备安全防护基础。操作系统安全补丁的核心作用是修复已知系统漏洞，防止攻击者利用漏洞入侵；恶意软件感染需通过病毒库更新或防护软件查杀；网络钓鱼依赖用户操作，与补丁无关；数据存储泄露需通过加密、权限控制等手段防范。因此正确答案为A。8、以下哪项属于多因素身份认证方式？

A.仅使用静态密码

B.密码+动态口令

C.密码+指纹识别

D.仅使用短信验证码

【答案】：C

解析：本题考察身份认证类型。多因素认证需结合不同类型的身份凭证（知识型：密码；持有型：动态口令；生物特征型：指纹）。A/D为单因素（仅一种凭证），B为双因素但动态口令与密码同属“知识型+持有型”同类型，C结合知识型（密码）和生物特征型（指纹），属于典型多因素认证。正确答案为C。9、以下哪种行为可能导致移动设备感染恶意软件？

A.从设备厂商官方应用商店下载应用

B.安装来源不明的APK文件

C.定期更新系统安全补丁

D.启用应用权限最小化管理

【答案】：B

解析：本题考察恶意软件感染的常见途径。恶意软件常伪装成正常应用，通过“来源不明的APK文件”（Android）或“越狱/非官方渠道下载的应用”（iOS）传播。官方应用商店（如华为应用市场）对应用进行安全审核，感染风险低；定期更新系统补丁可修复漏洞，减少感染可能；权限最小化管理能限制恶意应用的数据访问。因此，安装来源不明的APK文件是主要感染途径，正确答案为B。10、在公共Wi-Fi环境下进行移动支付，以下哪项做法最安全？

A.直接连接公共Wi-Fi并完成支付流程

B.连接后立即使用VPN加密支付数据传输

C.断开Wi-Fi，改用手机流量进行支付

D.打开蓝牙功能以共享热点加速支付

【答案】：B

解析：本题考察公共Wi-Fi环境下的支付安全。公共Wi-Fi可能存在中间人攻击风险，直接连接（A）易导致数据被监听；使用手机流量（C）是最安全的方式，但题目问“最安全做法”，B选项中使用VPN加密后连接公共Wi-Fi，能有效防止数据被窃听，相比直接连接更安全；D选项蓝牙共享热点与支付安全无关。因此正确答案为B。11、移动支付中，下列哪项不属于典型的多因素认证方式？

A.密码+短信验证码

B.指纹识别+支付密码

C.人脸识别+身份证号

D.银行卡号+交易密码

【答案】：D

解析：本题考察多因素认证（MFA）概念。多因素认证需结合“知识因素（如密码）+生物特征（如指纹、人脸）+硬件设备（如U盾）”等不同类型的认证因素。A（密码+验证码）、B（指纹+密码）、C（人脸+身份证号）均为多因素；D仅使用“银行卡号+交易密码”，属于单因素（知识因素），故答案为D。12、为防范移动应用带来的安全风险，以下哪种做法最合理？

A.优先从官方应用商店下载应用

B.随意点击短信中的未知链接下载应用

C.允许应用获取过多系统权限（如通讯录、位置）

D.不更新应用并长期使用旧版本

【答案】：A

解析：本题考察移动应用安全防护。官方应用商店（如苹果AppStore、华为应用市场）对应用有严格审核机制，可有效过滤恶意应用。B选项点击未知链接易触发钓鱼或恶意软件下载；C选项应用获取过多权限会导致隐私数据泄露风险（如位置信息被滥用）；D选项不更新应用会错过安全补丁，增加漏洞被利用的风险。因此正确答案为A。13、移动设备设置密码时，以下哪种做法最能提升账户安全性？

A.使用纯数字且位数少于6位的简单密码

B.包含字母、数字和特殊符号的复杂组合

C.与其他平台使用相同密码以方便记忆

D.采用个人生日或连续数字序列

【答案】：B

解析：本题考察移动设备密码设置的安全性原则。复杂密码（包含字母、数字、特殊符号）通过增加字符组合复杂度，显著提高暴力破解难度。A、D选项密码过于简单，易被枚举破解；C选项跨平台使用相同密码会导致“一破全破”，增加账户被盗风险。因此复杂组合密码是提升安全性的最佳选择。14、在移动支付场景中，为保障交易数据传输安全，通常采用的加密技术是？

A.对称加密算法（如AES）

B.非对称加密算法（如RSA）

C.哈希函数（如MD5）

D.数字签名（如RSA签名）

【答案】：A

解析：本题考察数据加密技术应用。对称加密（AES）因加密速度快、效率高，常用于大量数据传输（如移动支付交易数据）；非对称加密（B）多用于密钥交换（如SSL/TLS协议中RSA交换对称密钥）；C/D主要用于数据完整性校验和身份认证，而非传输加密。正确答案为A。15、移动应用申请以下哪种权限时，用户有权拒绝并要求应用说明用途？

A.读取手机通讯录

B.获取设备唯一标识符

C.访问相机拍摄照片

D.以上所有权限

【答案】：D

解析：本题考察移动应用权限管理规范。根据《个人信息保护法》和《网络安全法》，移动应用申请的所有权限（包括通讯录、设备标识符、相机等）均需明确告知用户用途，用户有权根据自身需求决定是否授权。A选项读取通讯录用于社交或通讯类应用；B选项获取设备ID用于设备识别或广告跟踪；C选项访问相机用于拍照类应用。但无论何种权限，用户均有权拒绝并要求应用说明用途。因此正确答案为D。16、以下哪种方式不能有效防范移动设备被恶意软件感染？

A.仅从官方应用商店下载应用

B.开启设备自动更新功能

C.随意点击不明来源的链接或附件

D.安装正规杀毒软件并定期扫描

【答案】：C

解析：本题考察移动设备恶意软件防护措施。A选项官方应用商店审核严格，可减少恶意应用风险；B选项自动更新能修复系统漏洞，降低被攻击入口；D选项杀毒软件可检测清除恶意软件。C选项随意点击不明链接或附件是典型的恶意软件传播途径，无法防范感染。17、根据《个人信息保护法》，以下哪项不属于处理个人信息时应当遵循的基本原则？

A.最小必要原则

B.告知同意原则

C.免费获取原则

D.公开透明原则

【答案】：C

解析：本题考察个人信息保护法的核心原则。正确答案为C，《个人信息保护法》明确规定处理个人信息需遵循最小必要（仅收集必要信息）、告知同意（收集前告知并获同意）、公开透明（说明收集规则）等原则。“免费获取原则”并非法律原则，企业收集个人信息的合法性与是否免费无关，且法律禁止以“免费”为条件强制获取个人信息。18、以下哪项行为有助于防范移动设备被恶意软件感染？

A.定期更新操作系统补丁

B.点击来源不明的短信链接

C.从第三方应用商店下载应用

D.关闭设备防火墙功能

【答案】：A

解析：本题考察移动设备安全防护措施。定期更新系统补丁（A）可修复已知漏洞，减少被恶意软件攻击的风险；B（点击不明链接）易触发钓鱼/恶意软件；C（第三方商店）可能下载带病毒应用；D（关闭防火墙）会削弱安全防护能力。正确答案为A。19、以下哪项是移动互联网时代保护密码安全的最佳实践？

A.使用生日或手机号作为密码

B.不同平台使用相同的强密码

C.定期更换密码并启用密码管理器

D.仅在公共Wi-Fi环境下避免使用密码

【答案】：C

解析：本题考察密码安全防护措施。解析：定期更换密码（如每3个月）可降低密码泄露风险，密码管理器（如1Password）能生成和存储复杂密码，避免记忆负担（C正确）；使用生日/手机号（A）易被猜测，安全性极低；不同平台使用相同密码（B）会导致“一破全破”，风险极高；公共Wi-Fi环境下应避免传输敏感数据，而非仅避免使用密码（D错误，密码本身需保护，与Wi-Fi环境无关）。因此正确答案为C。20、在移动支付过程中，用户的支付密码通过什么方式传输以保障安全？

A.明文传输

B.加密传输

C.压缩后传输

D.随机生成后传输

【答案】：B

解析：本题考察数据传输安全。A选项明文传输会导致密码直接被拦截，存在极高泄露风险；C选项压缩传输不涉及数据安全性，仅减少流量；D选项随机生成密码与传输方式无关。移动支付中密码必须通过加密算法（如SSL/TLS）传输，确保数据在传输过程中无法被窃听。21、以下哪种是移动设备常见的恶意软件类型？

A.病毒

B.木马

C.勒索软件

D.以上都是

【答案】：D

解析：本题考察移动设备恶意软件类型知识点。病毒会自我复制并破坏系统，木马伪装成正常程序窃取信息，勒索软件通过加密文件勒索赎金，这三种均为移动设备常见的恶意软件类型，故正确答案为D。22、为保护移动设备中存储的敏感数据（如通讯录、照片），以下哪种技术是常用的存储加密方式？

A.AES加密

B.RSA加密

C.SHA-256哈希

D.DES加密

【答案】：A

解析：本题考察移动设备存储加密技术。AES（AdvancedEncryptionStandard）是广泛应用于对称加密的国际标准，适用于移动设备中大量敏感数据的存储加密；RSA属于非对称加密，主要用于传输层或身份验证；SHA-256是哈希算法，用于数据完整性校验而非加密；DES加密因密钥长度较短已逐渐被淘汰。因此正确答案为A。23、用户在安装移动应用时，若APP请求获取以下哪项权限，用户应格外谨慎以防止隐私泄露？

A.相机权限（用于拍摄照片）

B.通讯录权限（用于读取联系人信息）

C.位置权限（用于获取地理位置）

D.麦克风权限（用于录音）

【答案】：B

解析：相机权限通常用于拍摄场景（如拍照APP），位置权限用于导航或基于位置的服务，麦克风权限用于语音交互类APP（如录音、语音助手），均存在合理用途。而“通讯录权限”若被恶意APP获取，可能直接窃取用户联系人信息（如电话号码、姓名等），隐私泄露风险较高，因此用户需格外谨慎。24、收到一条声称来自购物平台的短信，提示‘账户异常，请点击链接更新收货地址’，此时应如何处理？

A.立即点击短信内链接更新地址

B.拨打平台官方客服电话核实

C.回复短信确认账户信息

D.直接忽略该短信不做处理

【答案】：B

解析：本题考察钓鱼攻击的防范知识点。点击不明链接（选项A）可能导致钓鱼网站窃取账号密码；回复短信（选项C）可能泄露个人信息，被钓鱼者进一步诱导操作；直接忽略（选项D）可能错过必要通知（如账户异常需紧急处理）；拨打官方客服电话核实（选项B）是通过官方渠道确认信息真伪的安全做法。因此正确答案为B。25、以下哪种行为属于典型的钓鱼攻击？

A.伪造银行网站发送邮件诱骗用户输入账号密码

B.向大量用户发送无关的垃圾邮件

C.植入恶意软件窃取用户通讯录信息

D.通过伪造IP地址发送虚假订单信息

【答案】：A

解析：本题考察网络钓鱼攻击识别知识点。正确答案为A，钓鱼攻击核心是通过伪造高信任度身份（如银行、运营商）诱骗用户泄露敏感信息，选项A中伪造银行网站并发送邮件是典型钓鱼手段；B选项垃圾邮件无针对性诱导，C选项木马/病毒属于主动植入，D选项伪造IP非钓鱼核心特征，均不符合钓鱼攻击定义。26、以下哪种算法属于哈希函数（单向散列函数）？

A.MD5

B.AES

C.RSA

D.DES

【答案】：A

解析：本题考察哈希函数的核心知识点。哈希函数（如MD5、SHA系列）通过固定长度输出反映输入数据特征，常用于数据完整性校验；AES、DES是对称加密算法，RSA是非对称加密算法，均不属于哈希函数。因此正确答案为A。27、以下哪项是哈希函数（如MD5）的核心特性？

A.可以通过哈希值还原原始数据

B.不同输入一定产生不同哈希值

C.用于验证数据是否被篡改

D.仅适用于对称加密场景

【答案】：C

解析：本题考察哈希函数的基本特性。哈希函数的核心作用是生成数据的唯一标识，用于验证数据完整性（C正确）。A错误，哈希函数具有单向性，无法从哈希值反推原始数据；B错误，存在哈希碰撞（不同输入可能产生相同哈希值）；D错误，哈希函数与对称加密技术无关。28、以下哪项不属于移动互联网时代常见的网络安全威胁？

A.钓鱼攻击

B.恶意APP

C.病毒感染

D.量子计算攻击

【答案】：D

解析：本题考察移动互联网时代常见安全威胁类型。移动互联网当前面临的主要威胁包括钓鱼攻击（如虚假链接诱导）、恶意APP（植入恶意代码）、病毒感染（通过恶意软件传播）等。而量子计算攻击是基于未来量子技术的理论威胁，目前尚未成为移动互联网领域的现实威胁，因此D选项错误。29、在移动支付数据传输过程中，为确保数据加密和传输效率，通常采用的加密技术是？

A.对称加密（如AES）

B.非对称加密（如RSA）

C.哈希算法（如SHA-256）

D.数字签名

【答案】：A

解析：本题考察加密技术在移动支付中的应用。对称加密（如AES）速度快、效率高，适合移动支付中大量数据的快速传输；非对称加密（RSA）多用于密钥交换或签名，速度较慢；哈希算法用于数据完整性校验，数字签名用于身份验证。因此A选项正确。30、根据《中华人民共和国网络安全法》，以下哪项描述符合其适用范围？

A.仅适用于我国境内建设的计算机网络

B.适用于中华人民共和国境内的网络安全活动

C.仅适用于政府机构的内部网络

D.不适用于移动互联网应用的安全管理

【答案】：B

解析：本题考察《网络安全法》的法律适用，正确答案为B。根据《网络安全法》第二条，其适用范围为“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理”，涵盖所有境内网络活动，包括移动互联网应用。A选项“仅适用于计算机网络”表述错误（移动互联网也适用）；C选项“仅适用于政府机构”错误（覆盖所有网络主体）；D选项“不适用于移动互联网”与法律原文冲突。31、根据《个人信息保护法》，以下哪项属于个人敏感信息？

A.姓名

B.身份证号码

C.家庭住址

D.手机号码

【答案】：B

解析：本题考察个人信息保护法中敏感信息的定义。选项A（姓名）、C（家庭住址）、D（手机号码）属于一般个人信息，泄露后风险较低；选项B（身份证号码）属于法律明确规定的敏感个人信息，一旦泄露可能导致身份冒用、诈骗等严重后果，需特殊保护。32、在移动支付过程中，为确保交易数据在传输和存储中的安全性，以下哪种加密技术被广泛应用？

A.哈希函数（如SHA-256）

B.对称加密算法（如AES）

C.非对称加密算法（如RSA）

D.数字证书

【答案】：B

解析：哈希函数（如SHA-256）主要用于数据完整性校验（如文件校验和），无法直接保护支付信息；非对称加密（RSA）常用于密钥交换或签名，但因计算效率较低，不适合移动设备大量数据加密；数字证书是身份认证的凭证，而非直接加密技术。移动支付需高效加密大量交易数据，因此广泛采用对称加密算法（如AES）。33、在移动设备访问网页时，若用户点击了包含钓鱼链接的短信或邮件，最可能导致以下哪种安全风险？

A.设备硬件损坏

B.个人敏感信息被窃取

C.系统崩溃

D.网络连接中断

【答案】：B

解析：本题考察钓鱼攻击的危害。解析：钓鱼攻击通过伪造合法网站或发送虚假链接，诱导用户输入账号密码等信息，导致个人敏感信息（如银行卡号、身份证号）被窃取（B正确）；设备硬件损坏（A）通常由物理故障或恶意代码破坏硬件驱动导致，钓鱼攻击一般不直接损坏硬件；系统崩溃（C）多由系统文件损坏或病毒破坏导致，钓鱼攻击主要窃取信息而非破坏系统；网络连接中断（D）由网络故障或运营商问题引起，与钓鱼攻击无关。因此正确答案为B。34、以下哪种攻击方式通过伪装成可信机构发送虚假信息，诱导用户泄露敏感信息？

A.钓鱼攻击

B.DDoS攻击

C.暴力破解

D.中间人攻击

【答案】：A

解析：本题考察移动互联网常见安全威胁类型。钓鱼攻击的核心是伪装可信来源（如银行、电商平台），通过邮件、短信或虚假网站诱导用户输入账号密码、银行卡信息等敏感数据。B选项DDoS攻击是通过大量恶意流量瘫痪目标服务器；C选项暴力破解是通过持续尝试不同密码组合破解账号；D选项中间人攻击是在通信双方间劫持并篡改数据，均不符合题意。35、小明收到一条短信，称其账户异常，需点击链接登录验证，否则将冻结账户。这种攻击方式属于以下哪种？

A.钓鱼攻击

B.DDoS攻击

C.中间人攻击

D.暴力破解攻击

【答案】：A

解析：本题考察网络攻击类型识别。钓鱼攻击通过伪装成可信机构（如银行、运营商）发送虚假信息，诱导用户点击恶意链接或下载恶意软件，以窃取账号密码等信息；DDoS攻击通过大量恶意请求瘫痪目标服务器（如网站无法访问）；中间人攻击在通信链路中拦截并篡改数据（如公共WiFi被劫持）；暴力破解攻击通过尝试大量密码组合破解账户。小明收到的诱导链接属于典型钓鱼攻击特征，因此正确答案为A。36、在移动支付场景中，为防止支付信息在传输过程中被窃听，应优先采用以下哪种加密方式？

A.对称加密算法（如AES）

B.非对称加密算法（如RSA）

C.哈希函数（如SHA-256）

D.数字签名

【答案】：A

解析：本题考察移动支付中的加密技术知识点。对称加密算法（如AES）加密速度快、效率高，适合大量数据的传输加密，可有效防止支付信息被窃听；非对称加密算法（RSA）更适合密钥交换和数字签名等场景；哈希函数用于验证数据完整性，无法直接防止信息被窃听；数字签名用于身份验证和防止数据被篡改。因此正确答案为A。37、以下哪项不属于移动互联网时代常见的网络安全威胁类型？

A.钓鱼攻击

B.恶意软件

C.量子计算

D.僵尸网络

【答案】：C

解析：本题考察移动互联网时代常见网络安全威胁类型的识别。选项A钓鱼攻击是通过伪造网站、短信链接诱导用户泄露信息的典型威胁；选项B恶意软件（如病毒、木马、勒索软件）可窃取数据或破坏设备；选项D僵尸网络通过控制大量肉鸡发起攻击或传播恶意软件，均为当前常见威胁。而选项C量子计算是基于量子力学原理的未来计算技术，尚未成为移动互联网时代的现实安全威胁类型，因此选C。38、使用移动支付时，以下哪项行为最可能导致资金安全风险？

A.定期更换支付密码并开启指纹快捷支付

B.在公共Wi-Fi环境下完成转账操作

C.安装官方渠道的支付类APP并开启设备锁

D.不随意授权支付APP获取通讯录等非必要权限

【答案】：B

解析：本题考察移动支付安全防护。正确答案为B，公共Wi-Fi网络通常缺乏加密防护，攻击者可通过中间人攻击窃取支付账号、密码等敏感信息，或篡改交易数据。选项A、C、D均为安全行为：定期更换密码和指纹支付增强安全性，官方APP和设备锁防止恶意篡改，拒绝非必要权限减少信息泄露风险。39、在身份认证机制中，‘基于密码的认证’属于以下哪种类型？

A.你知道什么（WhatYouKnow）

B.你拥有什么（WhatYouHave）

C.你是谁（WhoYouAre）

D.你做什么（WhatYouDo）

【答案】：A

解析：本题考察身份认证的分类。‘你知道什么’是基于知识的认证（如密码、PIN码）；‘你拥有什么’是基于持有物的认证（如U盾、动态口令牌）；‘你是谁’是基于生物特征的认证（如指纹、人脸）；‘你做什么’不属于主流分类。A正确，密码属于‘你知道什么’类型；B错误（如U盾属于此类）；C错误（指纹等生物识别属于此类）。40、在移动网络传输中，以下哪种协议可确保数据传输过程中的加密与完整性？

A.HTTPS

B.HTTP

C.FTP

D.Telnet

【答案】：A

解析：本题考察移动数据传输的加密协议。HTTPS（HTTPoverSSL/TLS）通过SSL/TLS协议对传输数据进行加密，确保数据在传输过程中不被窃听或篡改，是移动互联网中保护数据安全的核心协议。B选项HTTP为明文传输协议，存在数据泄露风险；C选项FTP（文件传输）和D选项Telnet（远程登录）均为传统明文协议，无加密机制，无法保障传输安全。41、以下哪项不属于移动设备常见的安全威胁类型？

A.恶意应用（APP）

B.钓鱼网站攻击

C.系统漏洞利用

D.病毒库自动更新

【答案】：D

解析：恶意应用（APP）可能植入病毒、窃取数据或控制设备；钓鱼网站通过虚假页面诱导用户泄露信息；系统漏洞利用是黑客攻击的常见手段，均为移动设备安全威胁。而“病毒库自动更新”是安全软件用于更新病毒特征库的正常操作，属于安全防护措施，因此不属于威胁类型。42、在移动互联网环境下，以下哪种行为最可能导致个人信息被窃取？

A.点击短信中来自银行官方的验证码链接

B.扫描来源不明的二维码

C.从应用商店下载正规金融类APP

D.定期更新手机系统的安全补丁

【答案】：B

解析：本题考察移动设备常见安全威胁知识点。选项A（官方验证码链接）通常为安全渠道；选项C（正规APP下载）和D（系统补丁更新）均为安全防护行为；选项B（扫描不明二维码）是钓鱼攻击的典型手段，攻击者常通过伪造二维码诱导用户点击恶意链接，从而窃取个人信息（如账号密码、支付信息等），在移动互联网场景中风险极高。43、以下关于哈希函数的描述，正确的是？

A.哈希函数可将任意长度输入转换为固定长度输出

B.哈希函数是一种可逆的单向加密算法

C.哈希函数的输出长度比输入长度更长

D.哈希函数可通过输出反向推导原始数据

【答案】：A

解析：本题考察哈希函数的核心特性。正确答案为A，哈希函数的定义是将任意长度的输入（消息）映射到固定长度的输出（哈希值），且具有单向性（无法反向推导原始数据）。B选项错误，哈希函数是单向不可逆的；C选项错误，哈希输出长度固定，与输入长度无关；D选项错误，哈希函数的单向性决定了无法通过输出反向推导原始数据。44、以下哪种攻击手段通过伪装成可信实体诱骗用户泄露敏感信息？

A.钓鱼攻击

B.中间人攻击

C.DDoS攻击

D.SQL注入攻击

【答案】：A

解析：本题考察钓鱼攻击的定义。钓鱼攻击通过伪造可信实体（如银行、电商平台）的身份，诱骗用户在虚假界面输入账号密码、银行卡信息等敏感数据；B选项中间人攻击通过劫持通信链路窃取数据；C选项DDoS攻击通过大量恶意流量瘫痪目标系统；D选项SQL注入攻击针对数据库系统注入恶意代码。因此正确答案为A。45、在移动互联网时代，以下哪种安全威胁因利用用户信任心理和伪造身份信息而广泛存在，常通过短信链接、虚假APP等形式传播？

A.钓鱼攻击

B.勒索病毒攻击

C.DDoS攻击

D.系统漏洞攻击

【答案】：A

解析：本题考察移动互联网常见安全威胁类型。正确答案为A，钓鱼攻击利用用户信任心理（如伪造银行/运营商通知），通过短信、虚假APP等诱导用户泄露信息或下载恶意软件，是移动场景中最普遍的威胁；B选项勒索病毒多依赖加密数据，移动场景中传播相对受限；C选项DDoS主要针对服务器端，移动设备作为客户端受影响较少；D选项系统漏洞是攻击面，但非“利用信任心理”的主动诱导型威胁。46、在移动支付场景中，以下哪项属于典型的“多因素认证（MFA）”应用？

A.仅使用支付密码登录APP

B.指纹识别+短信验证码登录

C.静态密码+动态口令卡

D.人脸识别+设备绑定

【答案】：B

解析：本题考察身份认证技术。多因素认证（MFA）要求用户提供两种或以上不同类型的凭证（如“知识因素+生物特征”“设备因素+知识因素”）。A选项仅使用密码属于单因素认证；C选项动态口令卡通常仍属于单因素（动态密码）；D选项“人脸识别+设备绑定”虽包含两种因素，但“设备绑定”更多是“拥有因素”，而B选项“指纹（生物特征，拥有/生物因素）+短信验证码（知识/设备因素）”是移动支付中最典型的多因素组合。因此正确答案为B。47、以下哪种密码设置方式最符合移动互联网时代的安全要求？

A.使用纯数字密码（如123456）

B.包含大小写字母、数字和特殊符号的组合密码（如Abc@123）

C.使用自己的生日作为密码（如19900101）

D.使用姓名的拼音首字母加生日（如zys1990）

【答案】：B

解析：本题考察移动设备密码安全设置知识点。选项A（纯数字密码）、C（生日密码）、D（姓名首字母+生日）均为弱密码，易被暴力破解或通过社会工程学获取；选项B（混合字符组合密码）通过增加字符类型多样性和复杂度，显著提升破解难度，符合移动互联网时代对密码安全性的要求。48、以下关于防火墙的说法，正确的是？

A.防火墙可完全拦截所有网络攻击

B.防火墙主要用于监控和控制网络访问行为

C.防火墙能替代杀毒软件查杀所有病毒

D.个人电脑无法安装防火墙软件

【答案】：B

解析：本题考察防火墙的核心功能。正确答案为B，防火墙通过预设规则监控网络流量，控制内外网访问，保障边界安全。A选项防火墙无法拦截应用层攻击（如钓鱼链接）；C选项防火墙无病毒查杀功能，需配合杀毒软件；D选项个人电脑可安装软件防火墙（如WindowsDefender）。49、双因素认证（2FA）在移动互联网应用中的主要作用是？

A.仅作为登录界面的装饰元素，无实际安全作用

B.提高账户登录的安全性，防止未授权访问

C.替代密码，完全避免密码被盗风险

D.仅适用于企业级应用，个人用户无需启用

【答案】：B

解析：本题考察身份认证安全机制。正确答案为B，双因素认证（如“密码+手机验证码”）通过结合“所知”（密码）和“所有”（设备/验证码）两种因素，显著提升账户安全性，防止未授权访问；A错误，2FA是核心安全机制；C错误，2FA是增强而非完全替代密码，无法绝对避免密码被盗；D错误，个人用户（如银行APP、社交平台）也应广泛启用2FA。50、以下哪项是移动设备数据备份的主要作用？

A.防止因设备故障或意外导致的数据丢失

B.提高移动设备的运行速度和存储空间利用率

C.对备份数据进行加密以防止黑客窃取

D.加速移动设备系统启动和应用加载速度

【答案】：A

解析：本题考察数据备份的功能。数据备份的核心目的是在原始数据因设备故障、误删、病毒攻击等原因丢失或损坏时，能够通过备份恢复数据，因此A正确；B中“提高运行速度”与备份无关；C中“加密备份数据”属于数据加密技术，并非备份的主要作用；D中“加速系统启动”是系统优化的范畴，与备份无关。因此正确答案为A。51、以下哪项不属于移动设备安全软件（如杀毒软件）的核心功能？

A.实时监控并拦截恶意软件

B.扫描下载文件中的潜在威胁

C.自动拦截所有来电和短信

D.更新病毒库以应对新型威胁

【答案】：C

解析：本题考察移动安全软件的功能边界。选项A、B、D均是安全软件的核心功能：A实时监控可主动拦截恶意程序，B扫描下载文件能检测恶意代码，D病毒库更新保障对新型威胁的识别能力；选项C‘自动拦截所有来电和短信’属于通讯管理类应用（如骚扰拦截APP）的功能，而非安全软件的核心职责，安全软件主要聚焦于恶意代码防护，而非通讯拦截。52、根据《中华人民共和国个人信息保护法》，以下哪项属于个人敏感信息？

A.公开的企业办公地址

B.实名认证的身份证号码

C.公开的产品评价信息

D.已脱敏的银行卡号（后4位）

【答案】：B

解析：本题考察个人信息保护法中个人敏感信息的定义。个人敏感信息是一旦泄露或非法使用，可能导致自然人权益受损的信息，如身份证号码（选项B）、银行卡号、生物识别信息等。选项A、C属于公开信息或脱敏信息，选项D（后4位脱敏）无法识别具体个人，均不属于敏感信息。因此正确答案为B。53、在密码学中，以下哪种算法因存在严重安全性缺陷，已被国际标准组织明确建议不再用于密码存储和数字签名场景？

A.MD5

B.SHA-256

C.RSA

D.DES

【答案】：A

解析：本题考察哈希算法的安全性。MD5算法因存在易发生碰撞攻击的严重缺陷（即不同输入可能生成相同哈希值），已被证明无法满足密码存储和数字签名的安全需求。B选项SHA-256属于安全哈希算法，目前广泛应用；C选项RSA是公钥密码算法，与哈希算法性质不同；D选项DES是对称加密算法，主要用于数据加密而非哈希。因此正确答案为A。54、根据《中华人民共和国网络安全法》，以下哪项属于公民个人信息的范畴？

A.姓名

B.身份证号码

C.电话号码

D.以上都是

【答案】：D

解析：本题考察个人信息的法律定义。《网络安全法》规定，个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息。姓名（A）、身份证号码（B）、电话号码（C）均属于可识别个人身份的信息，因此均属于个人信息范畴，正确答案为D。55、关于移动互联网时代的恶意软件，以下哪种类型以加密用户数据并要求支付赎金为主要特征？

A.病毒

B.木马

C.勒索软件

D.蠕虫

【答案】：C

解析：本题考察移动恶意软件的类型特征。正确答案为C，因为勒索软件的核心行为是通过加密用户重要数据（如文档、照片等）限制访问，并以支付赎金为条件提供解密密钥。病毒（A）需依附宿主文件传播，木马（B）伪装成合法程序窃取信息，蠕虫（D）可通过网络自主复制传播，均不符合“加密数据+勒索赎金”的特征。56、根据《中华人民共和国个人信息保护法》，以下哪项不属于个人信息处理的基本原则？

A.最小必要原则

B.知情同意原则

C.公开透明原则

D.免费获取原则

【答案】：D

解析：本题考察个人信息保护法的核心原则。正确答案为D。《个人信息保护法》明确规定个人信息处理需遵循最小必要（仅收集必要信息）、知情同意（用户明确授权）、公开透明（告知收集使用规则）原则。D选项“免费获取原则”非法律规定，且“免费”与信息处理合法性无直接关联，属于错误选项。57、以下哪项是移动设备设置强密码的核心要求？

A.密码长度至少6位

B.仅包含阿拉伯数字

C.同时包含大小写字母、数字和特殊符号

D.仅使用键盘上的特殊符号

【答案】：C

解析：本题考察移动设备密码安全标准。强密码需满足字符类型多样化、长度足够且包含复杂组合，以抵抗暴力破解。A选项“长度至少6位”不符合强密码要求（建议12位以上）；B选项“仅含数字”字符类型单一，极易被暴力破解；D选项“仅含特殊符号”无法满足长度和复杂度需求，易被破解。C选项“同时包含大小写字母、数字和特殊符号”能显著提升密码安全性，符合强密码标准。因此正确答案为C。58、根据《中华人民共和国个人信息保护法》，以下哪种行为可能违反信息安全规范？

A.下载正规APP时仅授权必要权限

B.随意点击短信中的不明链接

C.定期清理APP缓存和权限记录

D.不向陌生人泄露验证码

【答案】：B

解析：本题考察个人信息保护法规及安全意识。A、C、D均为安全行为：A遵循“最小必要”原则授权权限，C主动清理缓存和权限以减少数据残留，D不泄露验证码防止账号盗用；B选项“随意点击不明链接”可能触发钓鱼攻击，导致个人信息（如银行卡信息、密码）被窃取，违反个人信息保护法中“个人信息受法律保护”的规定，因此答案为B。59、HTTPS协议中，用于加密传输数据的核心算法是？

A.对称加密算法（如AES）

B.非对称加密算法（如RSA）

C.哈希函数（如SHA-256）

D.数字签名算法（如DSA）

【答案】：A

解析：本题考察HTTPS加密机制。HTTPS通过非对称加密（RSA）交换密钥，后续采用对称加密（AES）高效加密大量数据（A正确）；RSA用于密钥交换而非直接加密数据（B错误）；哈希函数用于校验完整性（C错误）；数字签名用于身份认证（D错误）。因此正确答案为A。60、以下哪种身份认证方式属于多因素认证？

A.仅通过密码完成登录

B.使用指纹识别单独登录

C.密码+短信验证码组合登录

D.人脸识别+虹膜识别组合登录

【答案】：C

解析：本题考察多因素认证的定义。多因素认证需结合至少两种不同类型的认证因素（如知识因素、生物特征、设备特征等）。选项C中，密码（知识因素）+短信验证码（设备/动态因素）属于两种不同类型，符合多因素认证；A为单因素，B和D为单因素生物识别，因此选C。61、为保护移动设备隐私安全，以下哪种做法是正确的？

A.为所有应用授予位置信息访问权限

B.定期更新操作系统和应用补丁

C.从不检查应用来源，直接下载安装

D.允许应用在后台持续运行而不限制

【答案】：B

解析：本题考察移动设备安全防护实践，正确答案为B。定期更新系统和应用补丁可修复已知漏洞，提升设备安全性。A选项授予所有应用位置权限会导致位置隐私泄露；C选项随意下载非官方来源应用可能包含恶意软件；D选项允许应用无限制后台运行会增加隐私泄露风险（如偷偷上传数据）。62、关于哈希函数的特性，以下说法错误的是？

A.输入相同，输出结果一定相同

B.输出结果长度固定

C.可通过输出结果反推原始输入内容

D.对输入微小变化会导致输出剧烈变化（雪崩效应）

【答案】：C

解析：本题考察哈希函数的核心特性。哈希函数是单向不可逆的，输入相同则输出相同（A正确），输出长度固定（B正确），且具有雪崩效应（D正确）；但无法通过输出反推原始输入（C错误），因此选C。63、防火墙在网络安全中的主要作用是？

A.对传输数据进行端到端加密

B.实时监控并阻断所有网络连接

C.限制内部网络对外部网络的非法访问

D.修复已感染的系统漏洞

【答案】：C

解析：本题考察防火墙的核心功能。防火墙通过配置访问控制规则，限制内部网络与外部网络的非法连接（C正确）。A选项端到端加密属于SSL/TLS协议；B选项“阻断所有连接”不符合防火墙的实际功能（防火墙仅基于规则拦截，不会完全阻断合法连接）；D选项修复漏洞需依赖系统补丁或杀毒软件，与防火墙无关。64、某天气APP在安装时要求用户授予“通讯录读取”权限，这最可能违反了移动应用安全的哪个原则？

A.最小必要原则

B.功能授权原则

C.动态授权原则

D.一次性授权原则

【答案】：A

解析：本题考察移动应用权限管理原则。移动应用安全权限管理的核心原则是“最小必要原则”，即仅收集与应用功能直接相关的最小范围信息。天气APP的主要功能是提供天气数据，正常仅需位置、网络等权限，而“通讯录读取”与天气功能无关，属于过度索取权限，违反了最小必要原则。选项B“功能授权原则”是正确原则（如相机APP索取相机权限），但题干中APP索取的是无关权限；选项C“动态授权原则”指安装时动态询问用户权限，与题干行为无关；选项D“一次性授权原则”非权限管理核心原则。因此正确答案为A。65、以下哪种攻击方式利用伪装成可信机构的虚假网站诱骗用户输入敏感信息，属于典型的社会工程学攻击？

A.钓鱼网站

B.DDoS攻击

C.SQL注入攻击

D.中间人攻击

【答案】：A

解析：本题考察移动互联网时代常见的社会工程学攻击类型。正确答案为A。钓鱼网站通过伪装成银行、电商等可信平台，诱骗用户泄露账号密码等信息，是典型的社会工程学攻击。B选项DDoS攻击通过大量伪造流量瘫痪目标服务器，属于网络层攻击；C选项SQL注入攻击针对数据库，通过注入恶意SQL代码窃取数据；D选项中间人攻击通过拦截通信会话窃取数据，均不符合题干描述。66、根据《个人信息保护法》，以下哪种行为可能侵犯个人信息权益？

A.收集用户注册时必要的手机号码用于身份验证

B.未经用户同意向第三方共享用户的位置数据

C.定期向用户推送基于消费习惯的个性化广告（已获取用户同意）

D.要求用户提供身份证号作为APP登录凭证（用于实名认证）

【答案】：B

解析：本题考察个人信息权益保护的法律边界。根据《个人信息保护法》，收集必要信息用于服务（A、D）属于合法行为；经用户同意的个性化广告推送（C）也合法。而未经用户同意向第三方共享位置数据（B）属于“未经同意向他人非法提供个人信息”，直接违反法律规定，因此侵犯个人信息权益。67、在移动互联网时代，以下哪项不属于移动设备面临的典型安全威胁？

A.恶意软件感染

B.钓鱼网站诱导

C.操作系统漏洞利用

D.硬件物理损坏

【答案】：D

解析：本题考察移动设备安全威胁类型。A、B、C均为典型网络安全威胁，恶意软件感染可窃取数据或破坏系统，钓鱼网站通过伪造链接诱导用户泄露信息，操作系统漏洞被黑客利用可入侵设备；而D选项“硬件物理损坏”属于设备物理故障，与安全威胁无关，因此正确答案为D。68、以下关于移动设备密码设置的最佳实践是？

A.使用6位纯数字密码

B.定期更换密码

C.所有账号使用相同密码

D.密码包含生日等个人信息

【答案】：B

解析：本题考察移动设备密码安全设置。选项A（纯数字短密码）易被暴力破解；选项C（通用密码）会导致账号连锁风险；选项D（包含个人信息的密码）易被猜测；选项B（定期更换密码）是降低密码长期暴露风险的最佳实践，因此正确答案为B。69、以下关于设置强密码的最佳实践，正确的是？

A.使用连续数字（如123456）作为密码

B.定期更换密码（如每3个月）

C.密码仅包含字母（如“password”）

D.所有网络服务使用相同密码

【答案】：B

解析：本题考察密码安全管理。A选项“123456”是弱密码，易被暴力破解；C选项“password”是通用弱密码，易被字典攻击；D选项所有服务用同一密码，一旦泄露会导致多平台安全风险。B选项定期更换密码（如每3个月）可降低密码长期暴露风险，是强密码管理的最佳实践。70、根据《中华人民共和国网络安全法》，网络运营者收集、使用个人信息应当遵循的原则不包括？

A.合法原则

B.正当原则

C.必要原则

D.公开原则

【答案】：D

解析：本题考察个人信息保护的法律规定。《网络安全法》明确规定，网络运营者收集、使用个人信息应当遵循合法、正当、必要原则，不得收集与服务无关的个人信息，且需明示收集使用规则。A、B、C均为法律明确要求的原则；D选项“公开原则”不属于法律规定的原则，法律要求的是“明示”原则（即告知用户收集的信息类型、用途等），而非“公开”（公开个人信息属于违规行为）。71、移动支付中常用的‘短信验证码+支付密码’属于哪种身份认证方式？

A.单因素认证

B.双因素认证

C.多因素认证

D.基于生物特征的认证

【答案】：B

解析：本题考察身份认证方式的分类。选项A错误，单因素认证仅使用一种验证因素（如仅密码），而题干中包含两种因素；选项C错误，多因素认证通常需要三种或以上不同类型的验证因素（如知识+持有+生物特征），题干仅两种；选项D错误，生物特征认证基于指纹、人脸等生理特征，题干未涉及；选项B正确，双因素认证使用两种不同类型的验证因素（如‘你知道的密码’+‘你持有的手机验证码’），‘短信验证码’属于‘你持有的设备验证码’，与‘支付密码’（你知道的知识）结合，构成双因素认证。72、以下哪种认证方式属于多因素认证（MFA）？

A.仅使用密码登录系统

B.密码+动态口令（如短信验证码）

C.仅通过指纹识别解锁设备

D.仅输入设备PIN码

【答案】：B

解析：本题考察多因素认证（MFA）的概念。正确答案为B，原因如下：多因素认证要求至少结合两类不同类型的身份验证因素（如“知识因素”“生物特征因素”“拥有物因素”）。A选项仅使用密码（单一知识因素），C选项仅使用指纹（单一生物特征因素），D选项仅使用PIN码（单一知识因素），均属于单因素认证；B选项密码（知识因素）+动态口令（如短信验证码，通常视为“时间/事件因素”），结合了两类不同因素，符合多因素认证定义。73、在移动设备中，为防止用户数据被未授权访问，最直接的安全措施是？

A.设置复杂密码或PIN码

B.开启自动亮度调节

C.关闭Wi-Fi功能

D.安装杀毒软件

【答案】：A

解析：本题考察移动设备数据安全防护。设置复杂密码或PIN码是通过身份认证防止他人解锁设备，直接保护数据不被未授权访问。B选项自动亮度调节与数据安全无关，C选项关闭Wi-Fi是极端防护方式，无法保障正常使用，D选项杀毒软件主要针对恶意软件，对数据访问权限保护作用间接。74、当收到声称来自‘超星学习通’的短信要求点击链接修改密码时，以下哪种做法最安全？

A.立即点击链接按提示修改密码

B.拨打超星官方客服电话核实信息

C.回复短信询问具体修改原因

D.忽略短信并直接删除

【答案】：B

解析：钓鱼短信常伪装成官方发送虚假链接。直接点击（A）可能进入钓鱼网站；回复（C）可能被钓鱼者确认手机号有效性；忽略（D）可能错过必要通知。通过官方渠道核实是最安全的做法，因此选B。75、在医疗系统中，为保护患者隐私，将患者的真实姓名、身份证号等敏感信息替换为无意义的编号，这种技术属于？

A.数据脱敏

B.数据加密

C.数据备份

D.数据压缩

【答案】：A

解析：本题考察数据安全技术中的数据脱敏概念。数据脱敏是在不影响数据可用性的前提下，对敏感信息进行变形处理（如替换、屏蔽），去除可识别的个人身份信息（PII），适用于数据分析、系统测试等场景；数据加密是通过算法将数据转换为密文（可逆或不可逆），与脱敏的核心区别在于脱敏通常不可逆且保留数据格式；数据备份是防止数据丢失的冗余存储；数据压缩是减小数据体积的技术。因此正确答案为A。76、以下哪项不属于移动互联网时代常见的终端安全威胁？

A.恶意应用程序

B.分布式拒绝服务攻击（DDoS）

C.钓鱼网站攻击

D.恶意软件

【答案】：B

解析：本题考察移动终端安全威胁类型。移动终端（如手机、平板）面临的主要威胁包括恶意软件、钓鱼攻击、恶意应用等；而DDoS攻击（分布式拒绝服务）通常针对服务器或网络服务，并非终端设备的直接威胁，因此选B。77、当用户在移动应用中遇到‘应用权限请求’时，以下哪项行为符合《个人信息保护法》的‘最小必要’原则？

A.社交APP请求获取用户通讯录权限用于备份聊天记录

B.地图APP请求获取用户位置信息用于提供实时导航服务

C.游戏APP请求获取用户短信权限用于自动登录游戏账号

D.天气APP请求获取用户通讯录权限用于推荐附近景点

【答案】：B

解析：本题考察个人信息保护法的“最小必要”原则。解析：“最小必要”要求收集的信息需与服务直接相关且不可替代。地图APP请求位置信息（B）用于实时导航，属于服务必需，符合最小必要；社交APP备份聊天记录无需通讯录（A错误，通讯录与聊天记录无关）；游戏自动登录无需短信权限（C错误，短信与游戏登录无关）；天气APP推荐景点无需通讯录（D错误，通讯录与天气服务无关）。因此正确答案为B。78、以下哪种恶意软件必须依赖宿主文件才能完成传播？

A.蠕虫（Worm）

B.病毒（Virus）

C.木马（Trojan）

D.勒索软件（Ransomware）

【答案】：B

解析：本题考察恶意软件的传播特性。病毒（Virus）需要寄生在宿主文件（如.exe、.docx）中，依赖宿主文件被执行才能激活传播；蠕虫（A）可独立通过网络传播，无需宿主文件；木马（C）通常伪装成正常程序，但传播依赖用户主动运行，而非必须依赖宿主文件；勒索软件（D）通过加密文件传播，可通过邮件附件等独立传播。B正确，病毒必须依赖宿主文件。79、以下关于哈希函数的描述，正确的是？

A.输入相同，输出不同

B.输出长度固定

C.哈希值可逆，可通过输出反推输入

D.仅用于数据加密

【答案】：B

解析：本题考察哈希函数核心特性。哈希函数是单向函数，输入相同则输出（哈希值）一定相同（排除A）；输出长度固定（如MD5输出128位、SHA-256输出256位）；哈希函数不可逆，无法通过输出反推输入（排除C）；哈希函数主要用于数据完整性校验，而非加密（排除D）。因此正确答案为B。80、根据《个人信息保护法》，移动应用收集用户个人信息时应遵循的基本原则是？

A.明确告知并获得用户同意

B.强制收集所有用户信息

C.收集后无需告知用户用途

D.仅收集必要信息外的附加信息

【答案】：A

解析：本题考察个人信息保护的法律原则。根据《个人信息保护法》，移动应用收集个人信息需遵循“知情同意”原则，即明确告知用户信息用途并获得同意（A正确）。B选项强制收集违反合法原则；C选项未告知用户违反知情原则；D选项收集附加信息超出必要范围，不符合最小必要原则。81、双因素认证（2FA）的主要作用是？

A.防止钓鱼网站伪造身份

B.防止恶意软件感染设备

C.防止用户数据本地泄露

D.防止移动设备硬件故障

【答案】：A

解析：本题考察双因素认证的核心作用。2FA通过结合“用户所知”（如密码）和“用户所拥有”（如验证码）等多个因素，大幅降低单一认证因素被攻破的风险，尤其能有效防止钓鱼网站伪造身份后冒用用户账号（此时攻击者虽获取密码，但无法获取验证码）。选项B（防恶意软件）、C（防数据本地泄露）、D（防硬件故障）均与2FA的认证机制无关，因此正确答案为A。82、HTTPS协议在建立安全连接时，主要使用以下哪种加密算法来实现客户端与服务器之间的身份验证和密钥交换？

A.对称加密算法（如AES）

B.非对称加密算法（如RSA）

C.哈希函数（如SHA-256）

D.数字签名算法（如DSA）

【答案】：B

解析：本题考察密码学基础及HTTPS加密原理。对称加密算法（A）速度快但密钥传输风险高，不适合身份验证和密钥交换；哈希函数（C）用于数据完整性校验，无法实现身份验证；数字签名（D）用于验证数据来源和完整性，不直接用于密钥交换；非对称加密算法（B）通过公钥-私钥对实现身份验证和安全密钥交换，HTTPS的TLS/SSL协议在握手阶段（建立连接时）主要依赖非对称加密完成身份验证和临时密钥生成，因此正确答案为B。83、根据《个人信息保护法》，APP收集用户个人信息时应遵循的核心原则是？

A.最小必要原则

B.免费使用原则

C.快速更新原则

D.隐私声明优先原则

【答案】：A

解析：本题考察个人信息保护法规。《个人信息保护法》明确规定APP收集个人信息需遵循“最小必要原则”，即仅收集与服务直接相关的必要信息，不得过度收集；B“免费使用原则”与信息收集无关；C“快速更新原则”属于APP运营策略；D“隐私声明优先原则”非法律规定的核心原则。因此正确答案为A。84、以下哪种操作最有可能导致移动设备感染恶意软件？

A.从手机自带的官方应用商店下载并安装软件

B.扫描并点击短信中附带的“免费领取游戏礼包”二维码

C.定期使用杀毒软件对手机进行全盘扫描

D.及时更新手机系统的安全补丁和应用程序

【答案】：B

解析：本题考察恶意软件的传播途径。恶意二维码常伪装成“福利”（如免费礼包）诱导用户扫描，可能自动下载恶意软件。选项A是安全的应用获取方式；选项C、D均为主动防护措施，可有效防范恶意软件。选项B中点击不明二维码可能触发恶意软件下载或信息窃取，属于典型的恶意软件传播途径。85、根据《中华人民共和国个人信息保护法》，以下哪种行为不符合个人信息处理规则？

A.应用在收集用户位置信息前明确告知用途

B.未经用户同意，将用户购物记录共享给第三方营销平台

C.用户拒绝提供非必要权限时，应用仍可正常使用核心功能

D.应用定期删除超过保存期限的用户数据

【答案】：B

解析：本题考察个人信息保护法的合规要求。《个人信息保护法》明确规定，个人信息处理需遵循合法、正当、必要原则，且需征得个人同意。B选项中未经用户同意共享购物记录属于违规行为，符合题干“不符合合法规则”的描述。A选项明确告知用途符合“告知同意”原则；C选项用户拒绝非必要权限时应用仍能正常使用核心功能，符合“最小必要”原则（非必要权限不影响核心功能）；D选项定期删除过期数据符合数据最小化原则。因此正确答案为B。86、攻击者通过伪造银行官网页面，诱骗用户输入账号密码，这种攻击方式属于？

A.中间人攻击

B.钓鱼攻击

C.DDoS攻击

D.暴力破解

【答案】：B

解析：本题考察常见网络攻击类型的定义。钓鱼攻击（Phishing）通过伪造虚假网站、邮件或消息，伪装成可信实体（如银行、平台）诱骗用户泄露敏感信息。中间人攻击（Man-in-the-Middle）是截获并篡改通信数据；DDoS攻击通过大量恶意请求瘫痪目标系统；暴力破解是尝试所有密码组合。因此，伪造官网诱骗用户属于钓鱼攻击，正确答案为B。87、用户在安装移动应用时，关于权限管理的正确做法是？

A.为确保应用正常使用，授予所有请求的权限

B.拒绝所有非必要的应用权限

C.仅授予应用明确说明用途的权限

D.允许应用使用系统默认权限设置，无需手动调整

【答案】：B

解析：本题考察移动应用权限安全的核心原则。正确答案为B，遵循“最小权限原则”，即应用仅需获取完成其功能所必需的权限，拒绝所有非必要权限（如社交类应用索要通讯录权限、工具类应用索要相机权限）可显著降低数据泄露风险。A选项过度授权易导致权限滥用；C选项“明确说明”可能被伪造，需结合实际用途判断；D选项默认权限可能包含过多不必要权限，未主动管理风险较高。88、攻击者通过伪造网站URL，诱导用户输入账号密码，这种攻击方式属于？

A.钓鱼攻击

B.中间人攻击

C.DDoS攻击

D.SQL注入

【答案】：A

解析：本题考察网络攻击类型识别。钓鱼攻击通过伪造身份（如虚假网站、短信）诱导用户泄露信息；中间人攻击是在通信链路中拦截数据；DDoS攻击通过大量请求瘫痪服务器；SQL注入针对数据库注入恶意代码。题干描述符合钓鱼攻击特征，故正确答案为A。89、《中华人民共和国网络安全法》规定，收集个人信息应遵循的原则不包括以下哪项？

A.合法

B.正当

C.必要

D.强制

【答案】：D

解析：《网络安全法》明确规定，收集个人信息需遵循“合法、正当、必要”原则，不得强制收集用户信息。“强制”不属于合法原则，因此正确答案为D。90、在移动支付中，以下哪种身份认证方式安全性最高？

A.静态密码

B.短信验证码

C.生物识别（指纹/人脸）

D.动态口令

【答案】：C

解析：本题考察