【2025年】全国大学生网络安全知识竞赛试题及答案

【2025年】全国大学生网络安全知识竞赛试题及答案一、单项选择题（每题2分，共20分）1.以下哪种攻击方式属于高级持续性威胁（APT）的典型特征？A.利用已知漏洞进行快速勒索B.长期潜伏并持续收集敏感数据C.通过钓鱼邮件传播蠕虫病毒D.对目标网站发起DDoS攻击答案：B2.根据《数据安全法》，国家建立数据分类分级保护制度，其中“核心数据”的保护责任主体是？A.数据所在行业主管部门B.数据处理者C.国家数据安全工作协调机制D.公安机关答案：B3.某高校图书馆管理系统采用默认密码“admin123”配置管理员账户，这违反了网络安全的哪项基本原则？A.最小权限原则B.纵深防御原则C.最小化攻击面原则D.责任分离原则答案：C4.量子计算机对以下哪种密码算法威胁最大？A.RSA非对称加密B.AES对称加密C.SHA-256哈希算法D.HMAC消息认证码答案：A5.当收到一封来自“教务处”的邮件，要求点击链接填写个人信息时，最安全的做法是？A.直接点击链接并填写，避免影响学业B.电话联系教务处核实邮件真实性C.检查发件人邮箱是否为官方域名D.复制链接到浏览器地址栏访问答案：B6.以下哪项不属于《个人信息保护法》中“敏感个人信息”的范畴？A.生物识别信息B.健康医疗信息C.学历证书编号D.行踪轨迹信息答案：C7.网络安全等级保护2.0中，“云计算安全扩展要求”特别强调对以下哪项的保护？A.虚拟机逃逸攻击B.物理服务器断电C.网络带宽不足D.数据中心地理位置答案：A8.某学生使用校园网时，发现浏览器自动跳转至陌生购物网站，最可能的原因是？A.DNS劫持攻击B.钓鱼邮件攻击C.SQL注入攻击D.缓冲区溢出攻击答案：A9.以下哪种加密方式属于“零知识证明”的应用场景？A.银行U盾验证用户身份B.区块链中验证交易合法性而不泄露细节C.电子邮件的PGP加密传输D.手机指纹解锁答案：B10.根据《网络安全审查办法》，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当向（）申报网络安全审查。A.国家互联网信息办公室B.工业和信息化部C.公安部D.国家市场监督管理总局答案：A二、多项选择题（每题3分，共30分，多选、少选、错选均不得分）1.《网络安全法》规定的网络运营者义务包括？A.制定内部安全管理制度和操作规程B.采取数据分类、重要数据备份和加密等措施C.为公安机关提供技术接口协助调查D.定期对从业人员进行网络安全教育、技术培训答案：ABCD2.以下哪些属于物联网（IoT）设备的典型安全风险？A.固件漏洞未及时更新B.默认弱密码配置C.数据传输未加密D.设备算力不足导致延迟答案：ABC3.关于“钓鱼攻击”，以下说法正确的有？A.攻击者可能伪装成可信机构发送虚假链接B.短信钓鱼（Smishing）属于钓鱼攻击的一种C.防范钓鱼攻击需提高用户安全意识D.钓鱼邮件的附件一定是恶意程序答案：ABC4.数据脱敏技术常用方法包括？A.替换（如将身份证号部分数字替换为）B.加密（如对手机号进行AES加密）C.混淆（如将真实姓名随机改为“张某某”）D.删除（如移除日志中的IP地址字段）答案：ABCD5.以下哪些属于云安全中的“共享责任模型”内容？A.云服务商负责物理服务器的安全B.用户负责虚拟机内操作系统的补丁更新C.云服务商负责网络防火墙的配置D.用户负责存储数据的加密保护答案：ABD6.《提供式人工智能服务管理暂行办法》要求，提供式人工智能服务提供者应当？A.对提供的内容进行安全评估B.提供符合要求的算法备案C.禁止提供虚假新闻信息D.保护用户个人信息答案：ABCD7.网络安全漏洞生命周期包括？A.漏洞发现（0day）B.漏洞披露（向厂商报告）C.漏洞修复（厂商发布补丁）D.漏洞利用（攻击者编写EXP）答案：ABCD8.以下哪些措施可有效防范DDoS攻击？A.部署流量清洗设备B.限制单IP并发连接数C.启用CDN分散流量D.关闭不必要的网络端口答案：ABC9.关于区块链安全，以下说法正确的有？A.51%攻击可能导致双花问题B.智能合约漏洞可能被利用窃取资产C.私钥丢失后可通过公钥恢复D.共识机制（如PoW）本身具有抗攻击特性答案：ABD10.某高校开发的学生健康监测APP需收集以下信息，其中需要取得用户单独同意的有？A.姓名、学号（用于身份验证）B.每日体温、核酸检测结果（敏感健康信息）C.位置信息（用于判断是否在中高风险地区）D.手机IMEI号（用于设备唯一标识）答案：BC三、填空题（每题2分，共20分）1.《网络安全法》正式实施的日期是________年6月1日。答案：20172.常见的Web应用防火墙（WAF）部署模式包括反向代理模式、透明模式和________模式。答案：旁路3.钓鱼攻击中，攻击者通过伪造________（如银行、电商平台）诱导用户泄露信息。答案：可信主体4.数据安全治理的“三审”通常指数据采集审核、数据使用审核和________审核。答案：数据共享5.物联网（IoT）设备的安全通信常用协议包括MQTT、CoAP和________（轻量级TLS变种）。答案：DTLS6.漏洞扫描工具Nessus的核心功能是________和评估系统安全风险。答案：检测7.零信任架构的核心假设是“________”，即默认不信任任何内部或外部的设备、用户。答案：永不信任，始终验证8.区块链中，“私钥”用于________数据，“公钥”用于验证签名。答案：签名9.工业控制系统（ICS）的典型协议Modbus-TCP主要用于________层的通信。答案：应用10.根据《关键信息基础设施安全保护条例》，关键信息基础设施的认定应当考虑对________、经济运行、人民生活的影响程度。答案：国家安全四、简答题（每题6分，共30分）1.简述“最小权限原则”在网络安全中的具体应用。答案：最小权限原则要求用户或进程仅被授予完成任务所需的最小权限集合。例如：（1）系统管理员账户不用于日常办公，仅在需要时使用；（2）普通用户账户禁止安装系统级软件；（3）数据库用户仅拥有查询权限，无删除或修改权限；（4）云服务器实例仅开放必要的端口（如80、443），关闭其他冗余端口。通过限制权限范围，可减少因权限滥用或账户泄露导致的安全风险。2.列举《数据安全法》中数据处理者应履行的三项核心义务。答案：（1）建立健全数据安全管理制度，采取相应的技术措施和其他必要措施；（2）开展数据安全风险评估并及时整改；（3）在发生数据泄露等安全事件时，立即采取补救措施，按规定告知用户并向有关主管部门报告；（4）对重要数据进行备份和加密保护；（5）配合有关部门依法实施的数据安全监督检查（任选三项）。3.说明SQL注入攻击的原理及主要防御措施。答案：原理：攻击者通过在Web应用的输入字段中插入恶意SQL代码，利用程序未对输入进行严格校验的漏洞，使后端数据库执行非预期的SQL命令，从而获取、修改或删除数据。防御措施：（1）使用预编译语句（PreparedStatement）或ORM框架，避免拼接SQL；（2）对用户输入进行严格的类型检查和转义处理；（3）限制数据库用户权限，仅授予查询所需的最小权限；（4）启用Web应用防火墙（WAF）检测异常SQL模式；（5）定期进行代码审计和漏洞扫描。4.简述AI提供内容（AIGC）带来的网络安全挑战。答案：（1）虚假信息提供：AI可快速提供伪造的文本、图像、视频，难以通过传统手段识别，可能引发谣言传播；（2）深度伪造（Deepfake）：利用AI技术伪造他人身份（如语音、面部），用于钓鱼或诈骗；（3）对抗样本攻击：通过微小修改输入数据，使AI模型做出错误判断（如误导图像识别系统）；（4）数据泄露风险：训练AI模型可能需要大量敏感数据，若数据管理不当易导致泄露；（5）算法偏见：训练数据中的偏见可能被AI放大，导致决策不公或歧视。5.某高校校园网出口流量异常增大，疑似遭遇DDoS攻击，应采取哪些应急处置措施？答案：（1）立即联系ISP（互联网服务提供商）启动流量清洗服务，过滤恶意流量；（2）启用本地DDoS防护设备，通过流量特征识别（如异常请求频率、源IP分散度）拦截攻击流量；（3）临时关闭非关键服务端口，减少攻击面；（4）将核心业务切换至备用服务器或CDN节点，分散流量压力；（5）记录攻击日志（如源IP、流量类型、攻击持续时间），用于后续溯源和分析；（6）向公安机关网络安全部门报告重大攻击事件；（7）攻击结束后，评估系统受损情况，修复漏洞并优化防护策略。五、案例分析题（每题10分，共20分）案例1：某高校教务系统近期频繁出现学提供绩被篡改的情况。经技术排查，发现系统登录页面存在“用户名枚举”漏洞（攻击者可通过返回提示语判断用户名是否存在），且数据库连接使用弱密码“jwxt2023”。同时，系统日志仅记录了成功登录事件，未记录失败尝试。问题：（1）分析可能的攻击路径；（2）提出至少三项整改措施。答案：（1）攻击路径：攻击者通过用户名枚举漏洞，猜测有效学生或管理员用户名；利用弱密码暴力破解登录凭证；登录后通过未授权的权限（如学生账户越权访问管理员功能）或直接修改数据库中的成绩字段（因数据库弱密码可被直接连接）篡改成绩。（2）整改措施：①修复用户名枚举漏洞，统一返回“用户名或密码错误”提示，隐藏用户名是否存在的信息；②强制数据库密码复杂度（如12位以上，包含字母、数字、符号），定期轮换；③启用登录失败锁定机制（如连续5次错误锁定账户30分钟）；④完善日志记录，记录所有登录尝试（成功/失败）、操作时间、IP地址等信息，并定期审计；⑤限制数据库用户权限，仅授予与教务系统功能相关的最小操作权限（如禁止直接修改成绩表的DROP、DELETE权限）；⑥对系统进行权限审计，确保学生账户无法越权访问管理员功能模块。案例2：某学生在校园网内使用公共WiFi连接“FreeCampus”时，发现手机收到多条陌生短信（内容为“您的支付宝账户异常，请点击链接xxx”）。经检测，该WiFi为攻击者伪造的“钓鱼热点”，与真实校园网“CampusWiFi”名称仅差一个字母。问题：（1）分析攻击者可能获取的信息；（2）从用户角度提出防范此类攻击的措施。答案：（1）攻击者可能获取的信息：①用户连接钓鱼WiFi后，传输的未加密数据（如HTTP登录的用户名、密码）；②通过DNS劫持引导用户访问伪造的支付宝页面，窃取账号密码；③记录用户设备MAC地址、连接时间等信息，用于后续精准攻击；④拦截短信内容（若短信通过未