(2025)全国大学生网络安全知识竞赛题库(附带答案)

(2025)全国大学生网络安全知识竞赛题库(附带答案)一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.我国《网络安全法》正式施行的日期是（）。A.2016年11月7日 B.2017年6月1日 C.2018年1月1日 D.2019年12月1日答案：B2.下列哪一项不属于对称加密算法（）。A.AES B.DES C.RSA D.SM4答案：C3.在OSI七层模型中，负责端到端可靠传输的是（）。A.网络层 B.传输层 C.会话层 D.数据链路层答案：B4.关于“零信任”安全模型的核心思想，描述正确的是（）。A.默认信任内网流量 B.以边界防御为核心 C.永不信任、持续验证 D.仅验证用户身份答案：C5.利用公开漏洞编号CVE202144228进行攻击的知名组件是（）。A.OpenSSL B.Log4j C.Struts2 D.Fastjson答案：B6.我国等级保护2.0标准中，第三级系统应每年至少完成的安全测评次数为（）。A.1次 B.2次 C.3次 D.4次答案：A7.下列哪种攻击方式主要破坏数据的“可用性”（）。A.SQL注入 B.DDoS C.跨站脚本 D.中间人答案：B8.在Windows系统中，查看当前TCP连接状态的命令是（）。A.ping B.tracert C.netstat D.ipconfig答案：C9.关于数字签名的描述，错误的是（）。A.可提供不可否认性 B.使用签名者私钥生成 C.验证时使用签名者公钥 D.能保证数据机密性答案：D10.我国《数据安全法》规定，重要数据处理者应当定期开展风险评估，并向有关主管部门报送报告的周期为（）。A.每月 B.每季度 C.每半年 D.每年答案：D11.在Linux系统中，文件权限“rwrr”对应的八进制数值是（）。A.644 B.755 C.600 D.777答案：A12.下列哪项不是多因素认证中的“所知”要素（）。A.密码 B.PIN码 C.指纹 D.安全问题答案答案：C13.关于HTTPS，下列说法正确的是（）。A.默认使用TCP80端口 B.仅使用对称加密 C.结合了对称与非对称加密 D.无法抵御中间人攻击答案：C14.在IPv4地址中，私有地址段/16可容纳的最大主机数是（）。A.65534 B.16777214 C.1048576 D.254答案：A15.下列哪项属于被动攻击（）。A.流量嗅探 B.拒绝服务 C.口令爆破 D.勒索软件答案：A16.关于区块链的“51%攻击”，主要威胁的是（）。A.机密性 B.完整性 C.可用性 D.不可否认性答案：B17.在SQL注入漏洞中，使用参数化查询的主要目的是（）。A.提高查询速度 B.减少数据库负载 C.将数据与指令分离 D.增加返回结果答案：C18.我国《个人信息保护法》规定，处理敏感个人信息应当取得个人的（）。A.口头同意 B.推定同意 C.单独同意 D.事后追认答案：C19.下列哪项不是社会工程学攻击的常见手段（）。A.钓鱼邮件 B.假冒客服 C.端口扫描 D.诱饵U盘答案：C20.在无线网络安全中，WPA3相对于WPA2的主要改进是（）。A.采用RC4加密 B.引入前向保密 C.取消密码认证 D.降低握手延迟答案：B21.关于内存保护机制DEP，其作用是（）。A.防止栈溢出 B.禁止执行堆上的代码 C.随机化堆地址 D.检测格式化字符串答案：B22.在云计算服务模型中，用户负责操作系统层及以上安全的是（）。A.IaaS B.PaaS C.SaaS D.FaaS答案：A23.下列哪项属于国家级网络安全应急响应组织（）。A.CNCERT B.ISO C.IEEE D.W3C答案：A24.关于漏洞扫描器，下列说法错误的是（）。A.可发现开放端口 B.可识别服务版本 C.可自动完成补丁安装 D.可能触发IDS报警答案：C25.在Linux系统中，用于强制访问控制的安全模块是（）。A.SELinux B.iptables C.ufw D.AppArmor答案：A26.下列哪项不是恶意软件常见的持久化机制（）。A.注册表Run键 B.计划任务 C.内核模块 D.数字签名答案：D27.关于DNSSEC，下列说法正确的是（）。A.提供数据完整性验证 B.加密DNS查询内容 C.防止DNS缓存中毒 D.使用TCP53端口传输答案：A28.在威胁情报中，STIX标准主要用于描述（）。A.漏洞评分 B.威胁主体与攻击指标 C.安全基线 D.日志格式答案：B29.下列哪项属于“数据脱敏”技术（）。A.对称加密 B.哈希加盐 C.掩码替换 D.数字水印答案：C30.关于容器安全，下列说法错误的是（）。A.容器共享宿主机内核 B.容器逃逸可导致宿主机被攻陷 C.容器镜像扫描可发现已知漏洞 D.容器与宿主机完全隔离无需额外加固答案：D二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于OWASPTop102021中的风险（）。A.访问控制失效 B.加密失败 C.注入 D.安全日志与监控失败答案：ACD32.关于TLS1.3的特性，正确的有（）。A.握手过程减少往返时延 B.支持0RTT恢复 C.移除RSA密钥交换 D.强制使用前向保密答案：ABCD33.以下哪些工具可用于内存取证（）。A.Volatility B.Rekall C.Wireshark D.MagnetRAMCapture答案：ABD34.关于勒索软件防护策略，正确的有（）。A.定期离线备份 B.禁用Office宏 C.关闭系统更新 D.网络分段答案：ABD35.以下哪些属于我国《关键信息基础设施安全保护条例》规定的行业（）。A.金融 B.能源 C.教育 D.交通答案：ABD36.关于蜜罐技术，下列说法正确的有（）。A.可收集攻击者行为 B.属于主动防御手段 C.会产生法律风险 D.可直接阻断攻击答案：ABC37.以下哪些协议可用于安全远程管理Linux服务器（）。A.Telnet B.SSH C.SFTP D.RDP答案：BC38.关于数据分类分级，正确的有（）。A.影响分级结果的因素包括敏感性、关键性 B.分级后无需再评估 C.不同级别应采取差异化控制 D.分级结果影响出境评估答案：ACD39.以下哪些属于软件供应链攻击案例（）。A.SolarWindsOrion B.CodecovBash上传器 C.CCleaner D.WannaCry答案：ABC40.关于人工智能在网络安全中的应用，正确的有（）。A.异常流量检测 B.垃圾邮件识别 C.自动生成漏洞利用代码 D.降低误报率答案：ABCD三、填空题（每空1分，共20分）41.我国《密码法》将密码分为核心密码、________密码和商用密码三类。答案：普通42.在Windows日志中，事件ID4624表示________成功。答案：登录43.使用nmap扫描时，参数________表示不进行端口扫描，仅进行主机发现。答案：sn44.在公钥基础设施中，负责签发并管理数字证书的实体称为________。答案：CA（或证书颁发机构）45.常见的哈希算法SHA256输出长度为________位。答案：25646.在Linux系统中，命令________可用于查看文件系统挂载情况。答案：mount47.我国等级保护2.0通用要求中，安全区域边界包括网络架构、通信传输、________和边界防护。答案：访问控制48.在威胁建模STRIDE方法中，D代表________威胁。答案：否认（或Denial）49.使用________工具可以对AndroidAPK进行反编译并查看Smali代码。答案：apktool50.在IPv6地址中，前缀长度/48表示前________位为网络位。答案：4851.当发生个人信息泄露事件时，处理者应当________小时内向省级以上监管部门报告。答案：7252.在SQL注入中，使用________函数可获取MySQL数据库版本信息。答案：version()53.网络设备通过________协议可实现自动配置VLAN，减少人工错误。答案：GVRP（或MVRP）54.在云计算中，________攻击指同一物理主机上恶意虚拟机通过侧信道获取邻居数据。答案：colocation（或同驻）55.使用________命令可以查看Linux系统当前加载的内核模块。答案：lsmod56.在无线渗透中，________攻击可强制已关联客户端重新握手以捕获WPA2握手包。答案：Deauthentication（或去认证）57.我国《数据出境安全评估办法》规定，处理________万人以上个人信息的数据处理者向境外提供数据需申报评估。答案：10058.在二进制漏洞利用中，________保护机制可随机化堆、栈、库加载地址。答案：ASLR59.在密码学中，________模式可提供同时加密和认证，常用于TLS1.3。答案：AEAD（或GCM/ChaCha20Poly1305）60.我国《网络安全审查办法》将________纳入网络安全审查重点评估因素。答案：供应链安全四、简答题（共30分）61.（封闭型，6分）简述缓冲区溢出攻击的原理及两种常见防护机制。答案：原理：程序向固定长度缓冲区写入超出其边界的数据，覆盖相邻内存，攻击者可控制返回地址或函数指针，进而执行任意代码。防护机制：1.栈金丝雀（StackCanary）：在返回地址前插入校验值，溢出修改后触发异常；2.数据执行保护（DEP）：将堆栈标记为不可执行，即使注入shellcode也无法运行。62.（开放型，6分）结合实例说明“数据最小化”原则在APP个人信息收集中的落地措施。答案：实例：某天气APP旧版启动即申请读取通讯录、定位、存储权限；整改后仅申请定位权限，并在用户拒绝时提供手动输入城市功能；后台不再上传设备IMEI，改用可重置的UUID；隐私政策明确“不收集联系人、不采集精确位置轨迹”，通过第三方合规评估。措施：1.业务功能与权限映射表，禁止无关权限；2.服务端日志脱敏，删除设备唯一标识；3.提供“仅在使用期间”位置选项；4.定期审计SDK，移除过度收集代码。63.（封闭型，6分）写出利用OpenSSL生成RSA2048位私钥并导出公钥的完整命令行。答案：opensslgenrsaoutprivate.pem2048opensslrsainprivate.pempuboutoutpublic.pem64.（开放型，6分）概述云原生环境下容器逃逸的三种攻击路径并给出对应加固建议。答案：路径1：利用内核漏洞（如CVE20220847DirtyPipe）提升权限→加固：及时更新宿主机内核，启用Seccomp、AppArmor。路径2：挂载DockerSocket，容器内调用宿主机Docker引擎创建特权容器→加固：禁止挂载/var/run/docker.sock，使用RootlessDocker。路径3：配置不当的capability（如CAP_SYS_ADMIN）→加固：遵循最小权限原则，通过PodSecurityPolicy或OPAGatekeeper限制特权容器。65.（封闭型，6分）列举并简要说明等级保护2.0“安全计算环境”中的四项控制点。答案：1.身份鉴别：多因素、唯一标识；2.访问控制：基于角色、最小权限；3.安全审计：覆盖用户、系统、异常；4.入侵防范：检测、阻断、报警；5.恶意代码防护：病毒、木马、蠕虫；6.可信验证：硬件可信根、动态度量。（任答四点即可）五、应用题（共50分）66.综合分析题（20分）背景：某高校教务系统采用微服务架构，部署于私有云，对外提供选课、成绩查询服务。系统使用SpringCloudGateway作为统一入口，MySQL主从复制，Redis缓存会话。近期发现凌晨2点出现大量异常选课请求，导致数据库CPU飙升至98%，部分学生无法正常选课。日志显示请求携带伪造JWT，UA统一为“pythonrequests/2.28”。问题：（1）判断可能的攻击类型并给出两条证据；（4分）（2）分析JWT伪造成功的原因及改进措施；（6分）（3）设计一套实时防御方案，要求包括流量清洗、业务层、数据层三个维度；（10分）答案：（1）类型：API业务层CC（慢速）攻击+身份伪造。证据：a.UA高度集中且非浏览器；b.JWT有效但非学生本人签发，选课接口QPS异常升高。（2）原因：JWT采用HS256对称密钥且密钥硬编码于GitHub，攻击者下载源码后自行签发。改进：更换为RS256非对称算法，私钥仅网关持有；启用JWT黑名单，发现异常立即吊销；密钥通过KMS分发，禁止入库。（3）方案：流量清洗：1.在边界WAF启用“高频选课”策略，同一IP>60次/分钟直接挑战验证码；2.引入CDN边缘节点，对pythonrequestsUA返回302跳转JS挑战。业务层：1.Gateway集成OAuth2+短周期JWT（5min），刷新令牌绑定IP与指纹；2.选课接口增加令牌桶限流，按学号维度10次/分钟；3.引入消息队列削峰，异步写库返回“选课处理中”，前端轮询。数据层：1.MySQL启用线程池，max_connections提升至2000；2.只读查询走从库，写操作走主库；3.Redis缓存课程余量，采用Lua脚本原子扣减，避免穿透；4.开启审计插件，记录异常SQL。67.计算题（15分）某企业计划部署IPSecVPN，采用IKEv2主模式，预共享密钥认证，ESP传输加密。给定参数：对称加密算法：AES256GCM伪随机函数：HMACSHA256DH组：Group14（2048位MODP）生存时间：86400s预计峰值流量：500Mbps求：（1）计算DHGroup14的公钥交换数据长度（字节）；（3分）（2）估算每建立一条SA的初始握手流量（字节），忽略证书与ID载荷开销；（4分）（3）若同时在线隧道数为2000条，计算每天因重协商产生的控制流量（字节），假设重协商间隔为8小时；（8分）答案：（1）Group14模数2048位=256字节，公钥=gxmodp，长度与模数相同，故256字节×2（双方各发一次）=512字节。（2）IKE_SA_INIT：HDR28字节+SA