2025年国家网络安全宣传周知识竞赛题库及答案

2025年国家网络安全宣传周知识竞赛题库及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2025年国家网络安全宣传周的主题是（）。A.网络安全为人民，网络安全靠人民B.共建网络安全，共享网络文明C.数字赋能安全，安全护航发展D.数据安全法实施元年答案：C2.《中华人民共和国数据安全法》正式施行的日期是（）。A.2021年6月1日B.2021年9月1日C.2022年1月1日D.2021年10月1日答案：B3.下列哪一项不属于《个人信息保护法》规定的敏感个人信息（）。A.生物识别信息B.金融账户信息C.网页浏览记录D.健康医疗信息答案：C4.在等级保护2.0标准中，第三级系统应至少每（）年完成一次等级测评。A.半B.一C.二D.三答案：B5.勒索软件最常见的初始入侵向量是（）。A.蓝牙传播B.鱼叉式钓鱼邮件C.物理U盘摆渡D.光纤窃听答案：B6.零信任架构的核心思想是（）。A.内外网隔离B.永不信任，持续验证C.最小权限+最大共享D.边界防御为主答案：B7.我国首个国家级网络安全赛事“强网杯”首次举办年份是（）。A.2013B.2015C.2017D.2019答案：B8.下列算法中，不属于对称加密算法的是（）。A.SM4B.AESC.RSAD.3DES答案：C9.在Windows系统中，能够查看当前登录用户哈希值的命令是（）。A.whoamiB.mimikatzC.ipconfigD.tasklist答案：B10.2025年1月1日起施行的《未成年人网络保护条例》规定，网络服务提供者应设置未成年人模式的最长连续使用时间为（）小时。A.1B.2C.3D.4答案：B11.我国自主研发的商用密码算法SM2基于的数学难题是（）。A.大整数分解B.椭圆曲线离散对数C.格最短向量D.背包问题答案：B12.下列哪项不是OWASPTop102021版新增的风险（）。A.失效的访问控制B.服务端请求伪造C.不安全的设计D.日志与监控不足答案：B13.在Linux系统中，用于限制用户密码复用次数的配置文件是（）。A./etc/passwdB./etc/shadowC./etc/pam.d/systemauthD./etc/login.defs答案：C14.2025年新版《信息安全技术网络安全等级保护基本要求》中，第三级要求对重要数据进行的备份方式是（）。A.本地全量备份B.异地实时备份C.同城热备D.异地容灾备份答案：D15.下列关于IPv6安全特性的描述，错误的是（）。A.强制支持IPSecB.地址空间增大降低扫描风险C.邻居发现协议可被滥用D.不再存在广播风暴答案：A16.在SSL/TLS握手过程中，用于协商对称密钥的报文是（）。A.ClientHelloB.ServerHelloDoneC.ClientKeyExchangeD.ChangeCipherSpec答案：C17.2025年央视“3·15”晚会曝光的黑产工具“AI换脸”主要利用了（）技术。A.GANB.LSTMC.RNND.SVM答案：A18.根据《关键信息基础设施安全保护条例》，下列行业中不属于关键信息基础设施的是（）。A.水利B.教育C.医疗卫生D.金融答案：B19.在Android14系统中，应用获取设备唯一标识符需要申请的权限是（）。A.READ_PHONE_STATEB.READ_PRIVILEGED_PHONE_STATEC.ACCESS_FINE_LOCATIOND.QUERY_ALL_PACKAGES答案：B20.下列哪项不是社会工程学攻击的常见形式（）。A.假冒客服B.钓鱼链接C.缓冲区溢出D.诱饵二维码答案：C21.2025年7月，国家网信办对某大型平台罚款5000万元，其违法事由是（）。A.未履行数据出境安全评估B.未公开算法原理C.未设置未成年人模式D.未备案生成式AI服务答案：A22.在密码学中，能够抵抗量子计算攻击的公钥算法是（）。A.RSA4096B.SM2C.KyberD.ECDSA答案：C23.下列哪项不是云原生安全的核心要素（）。A.镜像安全B.微隔离C.堡垒机D.供应链安全答案：C24.2025年新版《汽车数据安全管理若干规定》要求，整车数据出境需通过（）评估。A.工信部B.国家网信办C.公安部D.市场监管总局答案：B25.在Windows日志中，事件ID4624表示（）。A.账户登录成功B.账户登录失败C.权限提升成功D.注销事件答案：A26.下列关于DNSoverHTTPS（DoH）的描述，正确的是（）。A.使用TCP端口53B.可防止中间人篡改C.默认使用UDPD.由运营商强制推送答案：B27.2025年，我国首个数据跨境流动“绿色通道”试点地区是（）。A.北京B.上海C.海南D.深圳答案：C28.在区块链中，51%攻击可导致（）。A.私钥泄露B.双花C.智能合约溢出D.哈希碰撞答案：B29.下列哪项不是《网络安全审查办法》规定的审查重点（）。A.供应链安全B.数据出境风险C.股价波动D.关键信息基础设施风险答案：C30.2025年，国家计算机病毒应急处理中心通报的“银狐”木马主要攻击目标是（）。A.安卓手机B.税务财务人员C.医院HIS系统D.工业PLC答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于《个人信息保护法》规定的个人信息处理合法基础（）。A.取得个人同意B.履行合同必需C.公共利益报道D.数据交易获利答案：A、B、C32.零信任参考架构NISTSP800207提出的核心组件包括（）。A.策略引擎B.策略管理员C.策略执行点D.堡垒机答案：A、B、C33.以下哪些行为可能触发《数据出境安全评估办法》中的“重要数据”评估门槛（）。A.出境数据含10万人个人信息B.出境数据含1万人敏感个人信息C.出境数据含汽车整车设计图纸D.出境数据含网络日志1TB答案：A、B、C34.以下哪些属于常见的Web反序列化漏洞利用链（）。A.CommonsCollectionsB.FastjsonC.Log4jD.Shiro答案：A、B、D35.2025年，工信部对App开屏弹窗整治的技术检测手段包括（）。A.模拟点击B.录屏比对C.抓包分析D.静态逆向答案：A、B、C、D36.以下哪些属于国密算法体系（）。A.SM1B.SM2C.SM3D.SM9答案：A、B、C、D37.以下哪些属于云安全责任共担模型中云服务商的责任（）。A.物理基础设施B.虚拟化层C.客户数据D.身份认证管理答案：A、B38.以下哪些属于工业控制系统常见的攻击阶段（）。A.信息收集B.初始入侵C.横向移动D.破坏物理设备答案：A、B、C、D39.以下哪些技术可用于检测AI深度伪造（Deepfake）视频（）。A.眨眼频率分析B.面部血流信号C.唇语一致性D.哈希校验答案：A、B、C40.以下哪些属于《网络安全法》规定的网络安全事件应急预案内容（）。A.事件分级B.应急响应流程C.事后追责清单D.恢复重建措施答案：A、B、D三、填空题（每空1分，共20分）41.2025年国家网络安全宣传周主场活动在________市举行。答案：武汉42.《数据安全法》规定，国家建立数据________制度，对影响国家安全的数据出境进行安全评估。答案：出境安全评估43.在密码学中，SM3算法输出的杂凑值长度为________位。答案：25644.OWASPTop102021版中，________风险取代了“XML外部实体（XXE）”。答案：不安全的设计45.在Linux系统中，用于查看当前系统监听端口的命令是________。答案：netstattulnp或sstulnp46.2025年，国家网信办要求生成式AI服务上线前必须完成________备案。答案：算法47.零信任架构中，________模型用于描述用户、设备、应用等多维实体的信任度。答案：信任评分/信任度48.在Windows系统中，用于强制刷新组策略的命令是________。答案：gpupdate/force49.根据《个人信息保护法》，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行________。答案：合规审计50.2025年，我国首个数据跨境流动“绿色通道”在海南自由贸易港设立，允许________类数据免评估出境。答案：跨境电商51.在区块链中，________攻击是指攻击者控制超过50%的算力或权益，从而重写账本。答案：51%52.我国《关键信息基础设施安全保护条例》自________年9月1日起施行。答案：202153.在SSL/TLS中，________扩展用于指示服务器支持的加密算法。答案：SupportedGroups54.2025年，国家计算机病毒应急处理中心通报的“银狐”木马主要利用________钓鱼文档传播。答案：税务补贴55.在云原生安全中，________技术用于对容器镜像进行漏洞扫描。答案：镜像扫描56.根据《汽车数据安全管理若干规定》，整车数据出境需通过________安全评估。答案：省级以上网信部门57.在密码学中，________算法被认为是抗量子攻击的公钥加密候选算法。答案：Kyber58.在工业控制系统中，________协议常用于PLC与上位机通信，且缺乏加密机制。答案：Modbus59.2025年，国家网信办对某平台罚款5000万元，因其未履行数据________安全评估义务。答案：出境60.在网络安全事件应急响应中，________阶段包括抑制、根除、恢复三个子步骤。答案：应急处置四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.《个人信息保护法》规定，处理敏感个人信息必须取得个人的单独同意。答案：√62.在零信任架构中，内网用户默认享有比外网用户更高的信任度。答案：×63.SM4算法属于对称加密算法，其分组长度为128位。答案：√64.DNSoverHTTPS（DoH）使用UDP端口443进行通信。答案：×65.2025年，我国首次将“AI换脸”纳入刑法修正案（十二）规制范围。答案：√66.在等级保护2.0中，第四级系统要求每年至少进行一次等级测评。答案：√67.区块链的不可篡改特性意味着一旦写入数据就无法被任何方式修改。答案：×68.《数据安全法》规定，国家建立数据分类分级保护制度。答案：√69.在Windows系统中，事件ID4625表示账户登录成功。答案：×70.2025年，国家网信办要求所有App必须在启动页显著位置展示隐私政策摘要。答案：√五、简答题（每题5分，共30分）71.简述零信任架构的三大核心原则。答案：（1）永不信任，持续验证：无论请求来源于内网还是外网，都必须经过身份验证和授权。（2）最小权限：用户、设备、应用仅被授予完成任务所需的最小权限。（3）动态访问控制：基于实时风险评分、上下文信息动态调整访问策略。72.简述《个人信息保护法》中规定的个人信息处理合法基础。答案：（1）取得个人同意；（2）为履行合同必需；（3）为履行法定职责或法定义务；（4）为应对突发公共卫生事件或紧急情况下保护自然人生命健康；（5）为公共利益实施新闻报道、舆论监督；（6）在合理范围内处理已公开的个人信息；（7）法律、行政法规规定的其他情形。73.简述勒索软件攻击的典型链路与防御措施。答案：链路：钓鱼邮件→宏脚本下载Loader→C2通信→横向移动→域控提权→批量加密→勒索提示。防御：邮件网关过滤、EDR拦截、离线备份、网络分段、权限最小化、员工培训、演练。74.简述云原生环境下容器逃逸的常见原因。答案：（1）容器运行时漏洞（如runC）；（2）特权容器启动；（3）危险挂载（/var/run/docker.sock、/proc、/sys）；（4）内核提权漏洞；（5）配置错误（CAP_SYS_ADMIN、privileged）。75.简述工业控制系统中“震网”病毒的主要攻击流程。答案：（1）U盘摆渡感染Step7工程软件；（2）查找特定PLC型号（S7315/417）；（3）修改PLC代码，改变离心机转速；（4）注入Rootkit隐藏自身；（5）上报虚假数据，延迟被发现。76.简述生成式AI服务备案所需提交的核心材料。答案：（1）算法原理与流程图；（2）训练数据来源与合规证明；（3）内容安全审核机制；（4）风险评估报告；（5）用户协议与投诉举报渠道。六、应用题（共40分）77.案例分析（10分）某电商平台2025年“618”大促期间，发现大量用户账户被异常登录，经溯源发现攻击者利用此前泄露的邮箱/密码库进行撞库，并绕过图形验证码。平台日志显示登录接口在凌晨2点峰值QPS达3万，其中18%来自海外代理IP。问题：（1）指出该平台存在的两大安全缺陷；（2）给出三项可立即落地的缓解措施。答案：（1）缺陷：①未对异常IP、频率进行限速；②未启用多因素认证。（2）措施：①接入风控系统，对异常IP、设备指纹、行为特征实时打分，触发二次短信/邮件验证码；②启用图形验证码+行为式验证码双重人机识别；③引入CDN边缘清洗，对海外代理IP实行阶梯式限速，错误3次锁定15分钟。78.数据出境评估计算（10分）某公司拟向境外关联公司传输用户订单数据，包含以下字段：用户ID（脱敏）、商品名称、交易金额、收货地址、手机号。其中手机号10万条，收货地址含个人详细门牌号。根据《数据出境安全评估办法》答：（1）判断是否触发重要数据评估门槛并说明理由；（2）若需评估，写出评估流程中的三个关键步骤。答案：（1）触发：收货地址+手机号可精准定位自然人，属于敏感个人信息，数量达10万条，超过1万人敏感个人信息门槛。（2）步骤：①自评风险并形成报告；②通过省级网信部门线上申报系统提交材料；③国家网信办组织专家进行技术评审并出具结论。79.网络攻防演练复盘（10分）红队在演练中通过鱼叉邮件向财务部门发送“2025年个税退税指南.docx”，文档利用CVE202