2025年中小学网络安全知识竞赛题目及答案

2025年中小学网络安全知识竞赛题目及答案1.单项选择题（每题2分，共20分）1.12024年1月1日起施行的《未成年人网络保护条例》规定，网络服务提供者向未成年人提供算法推荐服务时，应当同时提供何种功能？A.关闭推荐 B.人工审核 C.家长代付 D.限时使用答案：A1.2在Windows11家庭版中，默认启用且无法被家庭版用户彻底关闭的防护组件是：A.WindowsDefender B.防火墙 C.SmartScreen D.内核隔离答案：C1.3下列哪一项最能有效防范“AI换脸”诈骗？A.要求对方眨眼三次并侧脸 B.使用美颜滤镜 C.降低通话音量 D.改用文字聊天答案：A1.42023年工信部要求App在收集个人信息时须遵循“最小必要”原则，该原则首次写入：A.网络安全法 B.数据安全法 C.个人信息保护法 D.民法典答案：C1.5使用学校机房电脑时，发现U盘内自动生成了autorun.inf文件，最安全的处理顺序是：A.直接删除→重启 B.拔掉U盘→断网→全盘查杀 C.格式化U盘→继续作业 D.拷贝文件后删除答案：B1.6国家计算机病毒应急处理中心2024年2月通报的“银狐”木马主要攻击：A.安卓支付 B.苹果iMessage C.微信群钓鱼链接 D.钉钉打卡答案：C1.7下列关于HTTPS的描述正确的是：A.默认使用TCP443端口 B.仅对传输层加密 C.证书由DNS服务器颁发 D.无法防范中间人攻击答案：A1.8在《信息安全技术个人信息安全规范》（GB/T352732020）中，14岁以下儿童的生物识别信息属于：A.一般信息 B.敏感信息 C.公开信息 D.不可识别信息答案：B1.92025年3月，某中学学生收到“王者荣耀周年回馈”短信，内含短链接/，应首先：A.复制到浏览器打开 B.转发同学求证 C.通过工信部12321举报 D.回拨发送号码答案：C1.10下列哪项不是《关键信息基础设施安全保护条例》定义的“关键行业”？A.金融 B.教育 C.水利 D.医美答案：D2.多项选择题（每题3分，共15分，多选少选均不得分）2.1以下哪些行为会扩大勒索软件攻击面？A.启用宏脚本自动运行 B.在社交平台晒服务器远程桌面截图 C.及时打补丁 D.使用弱口令RDP E.关闭SMBv1答案：ABD2.2关于“清朗·2025年暑期未成年人网络环境整治”专项行动重点整治的对象包括：A.偷拍直播短视频 B.学习类App内置游戏化充值 C.智能设备默认开启“亲子模式” D.饭圈互撕诱导未成年人应援集资 E.低俗动漫“擦边”剪辑答案：ABDE2.3下列属于《生成式人工智能服务管理暂行办法》明确禁止生成内容的有：A.煽动分裂国家 B.教唆自残 C.虚假中奖信息 D.学术参考文献 E.色情低俗答案：ABCE2.4使用公共WiFi登录网银时，可提升安全性的做法有：A.手动输入官方网址 B.开启VPN加密隧道 C.关闭自动连接 D.使用邮箱验证码代替口令 E.交易完成后清除Cookie答案：ABCE2.52024版《中小学生信息科技课程教学指南》提出的“数据安全”学段目标包括：A.能使用哈希值校验文件完整性 B.能解释区块链共识机制 C.能设置云盘二次验证 D.能识别钓鱼二维码 E.能编写Python勒索脚本答案：ACD3.填空题（每空1分，共15分）3.12025年6月1日起，国家网信办要求所有拥有________万及以上未成年用户的App，必须上线“未成年人模式”。答案：1003.2在IPv6地址2001:0db8:0000:0000:0202:3dff:fe1e:8329中，可压缩写成________。答案：2001:db8::202:3dff:fe1e:83293.3使用命令行工具________可查看Windows系统当前正在监听的TCP端口。答案：netstatan3.4《网络安全法》规定，网络运营者应当采取技术措施和其他必要措施，确保个人信息________，防止信息泄露、毁损、丢失。答案：安全3.52024年OpenAI发布的GPT4o引入的“________”机制，可实时检测并拒绝生成违法内容。答案：系统卡（SystemCard）3.6在SQL注入中，使用________函数可获取数据库当前用户名（以MySQL为例）。答案：current_user()3.7国家互联网应急中心发布的“________”平台，可一键查询名下登记的手机号、互联网账号。答案：一证通查2.03.82025年新版《信息安全等级保护》将云计算扩展要求分为________个安全层面。答案：63.9使用________算法可为电子证据生成具有法律效力的指纹，确保未被篡改。答案：SHA256（或SM3）3.10在Chrome浏览器地址栏输入________可快速查看已保存的密码是否遭遇泄露。答案：chrome://passwordmanager/check3.11《个人信息保护法》规定，处理敏感个人信息应当取得个人的________同意。答案：单独3.122024年央视3·15曝光“破解版”App常内置________SDK，用于窃取短信验证码。答案：木马3.132025年1月1日起，我国将________正式纳入《强制性产品认证目录》，未通过认证不得销售。答案：儿童智能手表3.14使用________协议可为电子邮件提供端到端加密，防止中间人窃听。答案：PGP（或S/MIME）3.152024年发布的《人工智能安全治理框架》提出，对高风险AI系统实行________评估制度。答案：第三方4.判断题（每题1分，共10分，正确打“√”，错误打“×”）4.1手机蓝牙5.3版本默认开启“隐私地址”轮换，可有效防范嗅探跟踪。答案：√4.2使用Tor浏览器访问.网站一定匿名，公安机关无法溯源。答案：×4.32025年起，所有Level3及以上等级保护系统必须每年至少完成一次商用密码应用安全性评估。答案：√4.4在Python中使用requests.get(url,verify=False)会跳过SSL证书验证，存在中间人风险。答案：√4.5苹果iOS17的“NameDrop”功能默认关闭，需手动在控制中心启用。答案：×4.6根据《数据出境安全评估办法》，个人信息出境超过10万人需申报安全评估。答案：√4.7使用虚拟机快照功能可100%抵御勒索软件对宿主机的加密。答案：×4.82024版《腾讯微信软件许可协议》明确，用户账号所有权归腾讯公司，用户仅有使用权。答案：√4.9在5GSA网络中，用户永久标识符SUCI采用EAPTLS加密后传输，可防止IMSI捕获。答案：√4.102025年《未成年人网络保护条例》规定，未成年人充值打赏可无条件全额退款。答案：×（需举证未经监护人同意）5.简答题（封闭型，每题5分，共15分）5.1简述“零信任架构”的三大核心原则。答案：1.永不信任，持续验证：每次访问都需身份与设备双重认证；2.最小权限：仅授予完成任务所需的最小资源；3.动态访问控制：基于风险实时调整策略，结合多因素、行为分析、设备健康度。5.2说明DNSoverHTTPS（DoH）与DNSoverTLS（DoT）的两点区别。答案：1.传输层不同：DoH基于HTTPS（TCP443），DoT基于TLS（TCP853）；2.流量伪装性：DoH与Web流量混用端口，难以被中间设备区分，DoT端口固定易被识别封锁。5.3列举《个人信息保护法》规定的五项个人信息处理合法事由。答案：1.取得个人同意；2.订立或履行合同必需；3.履行法定职责或义务；4.应对突发公共卫生事件或紧急情况下保护自然人生命健康；5.在合理范围内处理已合法公开信息或新闻报道、舆论监督等公共利益行为。6.简答题（开放型，每题10分，共20分）6.1某中学计划2025年9月引入人脸识别门禁系统。请从数据安全、隐私保护、伦理风险三个角度提出四条可操作建议，并说明理由。答案：1.数据安全：人脸特征值采用国密SM4加密后存储于隔离内网服务器，禁止与外网直连，降低泄露风险；2.隐私保护：依据《个人信息保护法》第29条，向监护人履行“单独告知+明示同意”程序，提供纸质+电子双通道，确保知情权；3.伦理风险：设立“非人脸识别替代通道”，如RFID校园卡，避免技术歧视，保障学生平等入校权；4.数据最小化：设置自动删除机制，毕业生离校7日内删除生物特征，仅保留不可识别审计日志，减少永久存储隐患。6.22025年4月，某初中生小王在“闲鱼”购买二手游戏账号后被卖家找回，卖家以“账号被盗”为由向平台申诉成功。小王欲维权，请写出三条法律或平台规则依据，并给出具体维权步骤。答案：依据：1.《电子商务法》第38条，平台对经营者侵害消费者权益未尽审核义务需承担连带责任；2.《未成年人保护法》第64条，平台应建立便捷投诉机制，优先处理未成年人纠纷；3.闲鱼《闲置品交易纠纷处理规范》第5.2条，虚拟商品卖家找回属“恶意找回”，支持退款并记违规。步骤：1.在闲鱼订单页提交“恶意找回”凭证（聊天记录、卖家承认截图、游戏官方找回邮件）；2.同步拨打9510222，要求升级“未成年人绿色通道”；3.若平台7日内未解决，向杭州市余杭区市场监管局在线投诉（12315小程序），并申请信息披露获取卖家实名信息，必要时提起小额诉讼（标的<5万元可线上开庭）。7.应用题（分析类，15分）7.1阅读材料：2025年5月，某市“智慧校园”云盘被黑客入侵，攻击者利用未修复的Nday漏洞（CNVD202512345）上传WebShell，窃取3000份学生综合素质评价表（含家庭收入、心理测评），并在暗网以0.5比特币打包出售。事后溯源发现，管理员使用弱口令“Admin@2023”，且未启用双因素认证；云盘版本为V6.2，官方于2025年3月1日发布V6.3补丁，学校因期末事务未更新。问题：（1）指出此次事件涉及的三类安全漏洞；（2）给出学校应立即采取的四项应急措施；（3）依据《数据安全法》第45条，学校可能面临何种行政处罚？答案：（1）漏洞类型：1.弱口令漏洞；2.未授权文件上传（WebShell）；3.未打补丁的Nday漏洞。（2）应急措施：1.立即下线云盘，切断外网访问，防止进一步泄露；2.使用杀毒+人工排查清除WebShell，重置所有管理员口令并强制双因素；3.向市教育局、网信办报告，24小时内填写《网络安全事件报告表》；4.通过短信+官网公告向家长告知泄露范围，提供信用监测热线。（3）依据《数据安全法》第45条，学校作为数据处理者未履行安全保护义务，可能被责令改正、警告，并处10万元以上100万元以下罚款；对直接负责的主管人员处1万元以上10万元以下罚款；情节特别严重的，可责令暂停相关业务、停业整顿。8.应用题（综合类，25分）8.1场景设计：2025年7月，某市举办“青少年AI创新夏令营”，营员需通过WiFi接入局域网完成Python人工智能任务。营地网络拓扑：路由器→交换机→无管理AP×5，无VLAN划分，所有营员、教练、裁判共用/24网段，网关，DNS。已知风险：1.去年同营地曾发生ARP欺骗导致成绩被篡改；2.有营员携带便携pineapple设备意图钓鱼；3.裁判电脑需保证100%可用，且仅允许访问内网评分系统8:8080。任务：（1）给出网络层、应用层各两项硬技术加固方案；（2）设计一份面向营员的“五分钟安全微课”大纲（含时间轴）；（3）若再次出现成绩被篡改事件，请写出完整取证流程（含工具、命令、证据链）。答案：（1）网络层：1.在交换机启用802.1X+MAC认证，拒绝未授权AP接入；2.划分VLAN10（营员）、VLAN20（裁判），启用VLAN间ACL，禁止VLAN10访问VLAN20。应用层：1.评分系统8启用HTTPS双向认证，客户端证书写入裁判USBKey；2.部署本地CA，强制所有局域网Web服务使用TLS1.3，禁止自签名证书。（2）五分钟微课大纲：0:000:30引入：展示去年ARP欺骗新闻截图；0:301:30讲解：ARP欺骗原理，用动画演示“谁是谁的网关”；1:302:30演示：在实验环境使用arpspoof+W