2025年国家网络安全宣传周网络安全知识竞赛试题与答案

2025年国家网络安全宣传周网络安全知识竞赛试题与答案一、单项选择题（每题2分，共40分）1.根据2024年修订的《数据安全法实施条例》，关键信息基础设施运营者在境内收集和产生的重要数据，确需向境外提供的，应当通过（）安全评估。A.国家数据安全审查机制B.行业主管部门自行C.第三方机构D.省级网信部门答案：A2.某用户收到一条短信：“您的银行账户存在异常交易，点击链接登录官网核实”，这最可能属于（）攻击手段。A.钓鱼攻击B.DDoS攻击C.勒索软件D.缓冲区溢出答案：A3.以下哪种密码设置方式符合强密码要求？A.12345678B.qwertyuiC.P@ssw0rd!2025D.手机尾号+生日答案：C4.根据《个人信息保护法》，处理敏感个人信息应当取得个人的（），法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。A.一般同意B.单独同意C.口头同意D.默示同意答案：B5.某企业发现员工通过私人云盘传输公司客户信息，这违反了网络安全的（）原则。A.最小必要B.公开透明C.目的明确D.责任自负答案：A6.以下哪种行为不会导致个人信息泄露？A.在公共WiFi下使用网银支付B.扫描陌生二维码领取小礼品C.使用手机“查找设备”功能定位丢失手机D.点击邮件中“中奖”链接填写个人信息答案：C7.2025年新型网络攻击中，利用AI提供高度仿真的钓鱼邮件内容，其核心目的是（）。A.提升攻击隐蔽性B.降低攻击成本C.增加攻击速度D.绕过传统关键词过滤答案：D8.某公司部署了入侵检测系统（IDS），其主要功能是（）。A.阻止未授权访问B.检测并记录潜在攻击行为C.加密网络传输数据D.管理用户身份认证答案：B9.根据《网络安全等级保护条例》，三级信息系统应当每年至少进行（）次等级测评。A.1B.2C.3D.4答案：A10.以下哪类数据不属于《数据安全法》规定的“重要数据”？A.某城市电网实时运行数据B.某高校学生英语四六级成绩C.某医疗机构肿瘤患者诊疗记录D.某车企自动驾驶测试路段坐标答案：B11.防范勒索软件攻击的关键措施不包括（）。A.定期离线备份数据B.关闭不必要的端口和服务C.安装盗版软件节省成本D.及时更新系统补丁答案：C12.某用户在社交平台发布旅行定位并标注具体酒店房间号，可能导致的风险是（）。A.遭遇电信诈骗B.个人行踪被追踪C.账户密码被破解D.设备感染恶意软件答案：B13.2025年某单位采用“零信任”架构，其核心逻辑是（）。A.默认信任内部网络所有设备B.对任何访问请求进行持续验证C.仅允许白名单IP访问关键系统D.依赖传统边界防火墙防护答案：B14.以下哪种场景符合《提供式人工智能服务管理暂行办法》要求？A.用AI提供虚假新闻并标注“AI提供”B.未经授权使用他人肖像训练AI换脸模型C.对AI提供的医疗咨询内容进行人工审核D.利用AI提供工具批量制作垃圾邮件答案：C15.某企业员工使用弱密码登录内部系统，导致黑客入侵并窃取客户信息。该事件中，企业主要违反了（）责任。A.数据分类分级B.用户身份管理C.安全事件报告D.个人信息保护答案：B16.防范“中间人攻击”最有效的技术手段是（）。A.部署防火墙B.使用SSL/TLS加密传输C.开启账户多因素认证D.定期查杀病毒答案：B17.根据《儿童个人信息网络保护规定》，网络运营者收集儿童个人信息应当取得（）的同意。A.儿童本人B.学校老师C.儿童监护人D.社区工作人员答案：C18.以下哪种行为属于合法的网络安全测试？A.未经授权扫描企业官网漏洞B.在授权范围内测试内部系统安全性C.利用漏洞入侵他人电脑获取文件D.传播已发现的未公开系统漏洞答案：B19.2025年某金融机构发生数据泄露事件，根据《网络安全法》，其应当在（）小时内向当地网信部门和有关主管部门报告。A.2B.12C.24D.48答案：C20.关于生物识别信息保护，以下说法错误的是（）。A.应仅收集实现功能必要的最小生物特征数据B.可将指纹模板与个人身份信息捆绑存储C.传输时需采用加密技术防止中间人窃取D.存储时应进行不可逆的脱敏处理答案：B二、判断题（每题1分，共10分。正确填“√”，错误填“×”）1.公共WiFi无需认证即可连接，因此可以放心使用网银等敏感操作。（）答案：×2.收到“客服”来电称订单异常需退款，要求提供短信验证码是正常流程。（）答案：×3.定期修改账户密码并使用不同平台不同密码，可降低撞库攻击风险。（）答案：√4.企业删除用户个人信息后，无需保留任何相关日志记录。（）答案：×（需按法律要求保留必要日志）5.AI提供的深度伪造视频只要不用于非法用途，无需标注来源。（）答案：×（需按规定标注）6.手机“位置权限”仅影响地图类APP，关闭后不影响其他功能。（）答案：×（部分APP功能可能受限）7.安装多个安全软件可以提升设备防护能力，因此越多越好。（）答案：×（可能冲突影响性能）8.员工使用个人设备接入企业内网时，企业无需进行安全检测。（）答案：×（需实施移动设备管理）9.区块链技术具有不可篡改特性，因此存储个人信息绝对安全。（）答案：×（私钥丢失或被窃取仍可能泄露）10.网络安全事件发生后，企业只需内部处理，无需向用户告知。（）答案：×（需按规定告知受影响用户）三、简答题（每题6分，共30分）1.简述《个人信息保护法》中“最小必要原则”的具体要求。答案：处理个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息；收集的个人信息类型、数量应与处理目的直接相关，且是实现目的所必需的最少数据；处理方式应选择对个人权益影响最小的方式。2.列举三种常见的钓鱼攻击形式，并说明其防范方法。答案：常见形式：钓鱼邮件（伪装成可信机构发送含恶意链接的邮件）、钓鱼网站（仿冒正规网站诱导输入账号密码）、钓鱼短信（通过伪基站发送虚假中奖或通知短信）。防范方法：不点击陌生链接，核实发件人/短信来源；通过官方渠道验证信息真实性；启用邮件/短信安全过滤功能。3.企业在数据出境前需完成哪些合规步骤？答案：①开展数据出境风险自评估，分析数据类型、出境目的、接收方安全能力等；②通过国家数据安全审查（如需）；③与境外接收方签订数据出境安全协议，明确双方责任义务；④向所在地省级网信部门备案；⑤对个人信息主体履行告知义务，取得单独同意（如涉及个人信息）。4.简述“多因素认证（MFA）”的工作原理及优势。答案：原理：要求用户在登录时提供两种或以上独立身份验证因素（如知识因素：密码；持有因素：手机验证码；生物因素：指纹），通过组合验证确认用户身份。优势：单一因素被破解时仍能保障账户安全，显著降低密码泄露导致的风险，提升系统整体防护水平。5.2025年某企业发现内部办公系统存在SQL注入漏洞，可能导致用户数据泄露，应如何应急处置？答案：①立即隔离受影响系统，关闭对外服务，防止漏洞被进一步利用；②启用备份数据恢复未泄露部分，限制数据损失范围；③组织技术团队修复漏洞，更新系统补丁并进行安全测试；④对已泄露数据进行评估，确认受影响用户范围，按《个人信息保护法》要求告知用户并采取补救措施；⑤向行业主管部门和网信部门报告事件详情，配合调查；⑥复盘事件原因，完善漏洞扫描和补丁管理流程，加强员工安全培训。四、案例分析题（每题10分，共20分）案例1：2025年3月，某电商平台用户发现账户余额被莫名转走，经调查系黑客通过撞库攻击破解用户弱密码（如“123456”）后盗刷。平台此前未对用户密码强度进行限制，也未启用多因素认证。问题：分析该事件中平台存在的安全隐患及应承担的责任，并提出改进建议。答案：安全隐患：①未实施密码强度策略，允许用户设置弱密码；②未启用多因素认证，单一密码验证存在高风险；③缺乏撞库攻击监测机制，未能及时发现异常登录行为。应承担的责任：违反《网络安全法》第二十一条“采取技术措施防范网络攻击”的要求，以及《个人信息保护法》第五十一条“采取必要措施保障个人信息安全”的规定，需对用户损失承担赔偿责任，并可能面临行政处罚。改进建议：①强制用户设置符合复杂度要求的密码（如8位以上，包含字母、数字、符号）；②对重要操作（如支付、修改密码）启用多因素认证（短信验证码、指纹等）；③部署入侵检测系统（IDS），监测异常登录尝试（如同一IP短时间多次失败登录）并触发账号锁定；④定期开展用户安全提示，宣传强密码和MFA的重要性。案例2：某高校实验室研发的AI医疗诊断模型需与境外科研机构合作优化，模型训练数据包含患者姓名、病历、影像资料等敏感信息。问题：该数据出境行为需满足哪些合规要求？可能面临哪些风险？如何防范？答案：合规要求：①识别数据类型：患者病历、影像资料属于敏感个人信息和可能涉及公共卫生的重要数据；②开展数据出境风险评估，评估内容包括数据出境的必要性、接收方的安全保护能力、数据泄露对个人/社会的影响等；③通过国家数据安全审查（因涉及重要数据和敏感个人信息）；④与境外机构签订数据出境安全协议，明确数据使用范围、保密义务和责任追究条款；⑤向患者告知数据出境情况并取得单独同意；⑥向省级网信部门备案。可