2025国家网络安全知识竞赛题库附答案

2025国家网络安全知识竞赛题库附答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2025年6月1日起正式施行的《网络数据安全管理条例（征求意见稿）》中，对“重要数据”实行分级分类保护，其分级依据首要考虑的因素是（）A.数据规模 B.数据敏感程度 C.数据商业价值 D.数据产生频率答案：B2.根据《关键信息基础设施安全保护条例》，下列哪类系统不被直接认定为关键信息基础设施？（）A.省级政务云平台 B.大型电商订单系统 C.地铁信号系统 D.高校选课系统答案：D3.在零信任架构中，用于动态评估访问主体信任等级的核心组件是（）A.SIEM B.SDP C.PKI D.TrustEngine答案：D4.2025年3月，国家互联网应急中心发布的《2024年DDoS攻击态势报告》指出，当年攻击峰值流量首次超过（）A.1Tbps B.2Tbps C.3Tbps D.5Tbps答案：C5.利用HTTP/3的QUIC协议特性进行反射放大攻击时，攻击者主要滥用的特征是（）A.0RTT快速握手 B.连接迁移 C.无头部压缩 D.多路复用答案：A6.《个人信息保护法》规定，处理敏感个人信息应当取得个人的“单独同意”，下列场景中最可能符合“单独同意”要求的是（）A.用户首次打开App时一次性勾选“同意隐私政策” B.用户在支付页面单独勾选“同意收集人脸信息” C.用户通过邮件链接进入隐私政策页面 D.用户在注册时默认勾选的“营销信息推送”答案：B7.2025年5月，某车企因云端API未授权访问导致近30万条行驶轨迹泄露，该漏洞在OWASPAPISecurityTop102023中归类为（）A.API1:2023BrokenObjectLevelAuthorization B.API2:2023BrokenAuthentication C.API3:2023ExcessiveDataExposure D.API4:2023LackofResources&RateLimiting答案：A8.在IPv6网络中，用于防止ND欺骗攻击的安全机制是（）A.SEND B.RAGuard C.DHCPv6Guard D.SeND+RAGuard答案：D9.2025年1月，央行发布的《金融数据安全数据安全分级指南》中，将“个人生物特征模板”定为（）A.1级 B.2级 C.3级 D.4级答案：D10.当Windows1124H2系统启用VBS与CredentialGuard时，用于隔离LSASS进程的技术是（）A.HyperV容器 B.虚拟安全模式 C.WindowsSandbox D.AppContainer答案：B11.在Kubernetes集群中，可限制容器对宿主机网络接口进行嗅探的准入控制器是（）A.PodSecurityPolicy B.OPAGatekeeper C.NetworkPolicy D.Seccomp答案：B12.2025年7月，某省政务云发生“挖矿”事件，审计发现攻击者利用的初始入口是（）A.Log4Shell B.Spring4Shell C.ConfluenceCVE202322527 D.JenkinsCVE202423897答案：D13.根据《网络安全审查办法》，对国外上市中概股进行审查时，重点评估的风险不包括（）A.核心数据出境 B.关键信息基础设施供应链安全 C.境内用户规模 D.境外投资者国籍比例答案：D14.在SSL/TLS中，用于实现前向保密性的密钥协商算法是（）A.RSA B.DH C.ECDHE D.ECDH答案：C15.2025年4月，国家密码管理局发布的《商用密码产品认证目录（第五批）》首次将（）纳入认证范围。A.量子密钥分发设备 B.同态加密库 C.隐私计算一体机 D.抗量子签名芯片答案：A16.在Android15中，阻止恶意应用通过“侧载”获取敏感权限的新机制是（）A.RestrictedSetting B.EnhancedMemoryTagging C.FilebasedEncryptionv3 D.PrivacyDashboard答案：A17.2025年5月，某APT组织利用WPS0day在野攻击，其漏洞位于（）A.ET插件 B.VBA宏 C.字体解析器 D.JSAPI答案：C18.根据《数据出境安全评估办法》，数据出境风险自评估报告应保存期限不少于（）A.1年 B.2年 C.3年 D.5年答案：C19.在5GSA网络中，用于隐藏用户永久标识符SUPI的临时标识是（）A.GUTI B.5GTMSI C.SUCI D.PEI答案：C20.2025年6月，国家标准化管理委员会发布的《信息安全技术零信任参考体系》中，将零信任能力分为（）A.3大能力域11子域 B.4大能力域13子域 C.5大能力域15子域 D.6大能力域18子域答案：B21.在Linux内核6.8中，默认启用的防御“内核堆喷射”攻击的技术是（）A.SLAB_MERGE_DEFAULT B.CONFIG_SLAB_FREELIST_RANDOM C.CONFIG_RANDOMIZE_KSTACK_OFFSET D.CONFIG_FORTIFY_SOURCE答案：C22.2025年2月，某医院遭勒索软件攻击，病毒利用Mimikatz获取内存凭据，其使用的权限提升技术是（）A.TokenImpersonation B.TGTDelegation C.SkeletonKey D.PasstheHash答案：A23.根据《工业互联网安全分类分级管理办法（试行）》，二级企业应至少每（）完成一次风险评估。A.半年 B.一年 C.两年 D.三年答案：B24.在Python3.12中，默认开启的缓解“哈希洪水”攻击的机制是（）A.SipHash13 B.SipHash24 C.CityHash D.xxHash答案：B25.2025年3月，国家网信办对某大模型服务商作出行政处罚，理由是未在（）内完成算法备案。A.10个工作日 B.15个工作日 C.30日 D.60日答案：C26.在OAuth2.1授权码流程中，用于防止授权码截获攻击的安全扩展是（）A.PKCE B.JWTSecuredAuthorizationResponse C.DemonstrationofProofofPossession D.TokenBinding答案：A27.2025年4月，某政务App被曝出明文存储用户身份证号，该行为直接违反的国家标准是（）A.GB/T352732020 B.GB/T222392019 C.GB/T250702019 D.GB/T397862021答案：A28.在WindowsActiveDirectory中，用于防御DCSync攻击的权限是（）A.ReplicatingDirectoryChanges B.DSReplicationGetChanges C.DenyFromNTDS D.ProtectedUsers答案：D29.2025年5月，国家工信部通报的“摇一摇”乱跳转问题，要求App提供（）内关闭功能。A.1日内 B.3日内 C.5日内 D.7日内答案：B30.在量子计算威胁模型中，被认为可率先实用化并威胁RSA密钥的算法是（）A.Shor B.Grover C.Simon D.Bernstein答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于《数据安全法》规定的“数据处理活动”？（）A.收集 B.存储 C.使用 D.删除 E.传输答案：ABCDE32.在容器逃逸攻击链中，可能利用的Linux内核漏洞包括（）A.DirtyCow B.CVE20220847 C.CVE202122555 D.CVE20214034 E.CVE202014386答案：BCD33.根据《个人信息保护法》，个人信息处理者应当事前进行个人信息保护影响评估的情形有（）A.处理敏感个人信息 B.向境外提供个人信息 C.利用个人信息进行自动化决策 D.委托处理个人信息 E.公开个人信息答案：ABCE34.以下哪些协议或技术可为用户提供“不可追踪”匿名通信？（）A.Tor B.I2P C.Shadowsocks D.WireGuard E.Nym答案：ABE35.在零信任网络中，持续信任评估引擎可采集的数据源包括（）A.终端EDR日志 B.身份认证事件 C.网络流量元数据 D.物理门禁刷卡记录 E.外部威胁情报答案：ABCE36.2025年6月，国家网信办发布的《人脸识别支付安全技术要求》中，要求活体检测应防范的攻击类型包括（）A.二维纸质照片 B.二维电子照片 C.三维面具 D.重放视频 E.深度合成视频答案：ABCDE37.以下哪些属于国密算法体系？（）A.SM1 B.SM2 C.SM3 D.SM4 E.SM9答案：ABCDE38.在Windows11中，可缓解驱动程序攻击的安全机制有（）A.HVCI B.VBS C.KernelCET D.kCFG E.SEHOP答案：ABCD39.2025年7月，国家市场监管总局对App“强制索权”的认定标准包括（）A.拒绝授权则退出 B.频繁弹窗诱导授权 C.将权限与功能捆绑 D.不给权限则展示广告 E.不给权限则降低服务质量答案：ABCE40.以下哪些属于工业互联网安全监测平台必采的原始流量？（）A.Modbus/TCP B.OPCUA C.DNP3 D.S7comm E.MQTT答案：ABCDE三、填空题（每空1分，共20分）41.2025年1月1日起施行的《未成年人网络保护条例》要求，网络服务提供者应设置“青少年模式”，每日22时至次日________时，不得向未成年人提供付费打赏服务。答案：642.在TLS1.3中，取消了________密钥交换算法，以简化握手并提升安全性。答案：RSA静态43.根据《网络安全事件应急预案》，重大网络安全事件应在事件发现后________小时内报告国家网信办。答案：244.在Linux系统中，通过________命令可查看当前内核开启的SMEP保护状态。答案：cat/proc/cpuinfo|grepsmep45.2025年4月，国家密码管理局发布的《抗量子密码算法征集指南》中，优先征集的签名算法安全强度应达到________比特经典安全等效。答案：12846.在Kubernetes中，NetworkPolicy资源依赖于________组件实现细粒度网络隔离。答案：CNI插件47.根据《个人信息保护法》第38条，个人信息出境安全评估由国家________部门组织。答案：网信48.在Windows日志中，事件ID________表示成功登录类型为RDP。答案：462449.2025年6月，国家标准化管理委员会发布的《信息安全技术数据分类分级指南》将数据分为________个基础级别。答案：五50.在5G网络切片安全中，用于实现切片间资源隔离的核心技术是________。答案：NFV+SDN隔离51.在Python中，使用________库可安全生成加密安全的随机数。答案：secrets52.在OAuth2.1中，授权码有效期推荐不超过________分钟。答案：1053.2025年3月，国家网信办对生成式AI服务实施备案管理，备案材料应在服务上线前________个工作日提交。答案：1554.在IPv6地址中，前缀________被保留用于本地链路通信。答案：FE80::/1055.在Linux内核中，________机制可防止内核模块被恶意加载。答案：模块签名（CONFIG_MODULE_SIG）56.在WindowsDefenderApplicationControl中，策略文件后缀为________。答案：.bin57.根据《工业控制系统信息安全防护指南》，工业控制网络与企业网之间应部署________设备实现单向隔离。答案：网闸58.在量子密钥分发中，BB84协议的核心安全假设是________不可克隆。答案：量子态59.在Android15中，新增________权限组用于管理“健康记录”敏感数据。答案：HEALTH60.在国家标准GB/T222392019中，等级保护三级要求每年至少完成________次等级测评。答案：一四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.2025年7月，国家网信办明确，App在静默状态下收集个人信息无需再次征得用户同意。（）答案：×62.TLS1.3支持0RTT模式，但可能遭受重放攻击，因此不建议对非幂等操作启用。（）答案：√63.在Linux内核中，开启KASLR可完全防御内核提权漏洞。（）答案：×64.根据《关键信息基础设施安全保护条例》，运营者采购云服务前应通过网络安全审查。（）答案：√65.在Windows11中，启用CredentialGuard后，PasstheHash攻击仍可有效进行。（）答案：×66.在Kubernetes中，PodSecurityPolicy已被废弃，替代方案是PodSecurityStandards。（）答案：√67.根据《个人信息保护法》，个人信息处理者破产时，无需通知个人即可销毁数据。（）答案：×68.在5G网络中，SUCI加密由USIM卡完成，运营商无法获取明文SUPI。（）答案：√69.在容器环境中，seccomp可限制系统调用，但无法防御内核漏洞利用。（）答案：√70.2025年1月，国家密码管理局发布通知，SM2算法密钥长度可缩短至160位以提升性能。（）答案：×五、简答题（共30分）71.（封闭型，6分）简述零信任架构中“持续信任评估”的三类核心数据源，并给出每类一例。答案：1.身份与访问事件：如SAML断言中的登录风险评分；2.终端安全状态：如EDR上报的进程异常注入事件；3.网络与上下文：如NetFlow显示的异常DNS隧道流量。72.（开放型，8分）结合2025年某省级政务云“挖矿”事件，说明如何通过云原生可观测性技术实现恶意镜像启动的分钟级发现与溯源。答案：1.采集：通过eBPF采集容器启动syscall，实时上报镜像摘要、启动命令、UID；2.检测：镜像摘要与已知挖矿镜像哈希库比对，命中即告警；3.关联：将容器启动事件与Kubernetesauditlog、CMDB资产信息关联，定位责任人；4.溯源：利用Falco规则捕获后续下载矿池配置文件行为，记录进程树与网络连接，形成完整攻击链；5.响应：自动调用Webhook隔离节点并创建快照，供后续取证。73.（封闭型，6分）列出《个人信息保护法》规定的个人信息跨境提供三项条件，并给出对应法条序号。答案：1.通过国家网信部门组织的安全评估（第38条第1款第1项）；2.经专业机构认证（第38条第1款第2项）；3.与境外接收方订立标准合同并备案（第38条第1款第3项）。74.（开放型，10分）某金融App计划采用人脸识别进行远程开户，请设计一套满足2025年监管要求的隐私保护方案，涵盖数据最小化、加密、可撤销、审计四方面。答案：1.数据最小化：仅采集开户必需的人脸特征向量，不保留原始照片；采用联邦学习在本地提取特征，上传不可逆模板；2.加密：模板使用SM4GCM加密，密钥托管于国密认证的HSM，采用SM2数字信封传输；3.可撤销：为每位用户生成可撤销人脸凭证（RevocableFaceCredential，RFC），基于FuzzyExtractor与SM9标识密码，注销时仅需撤销标识私钥；4.审计：全链路写入不可篡改日志（基于区块链锚定），包括采集、加密、传输、比对、删除五环节，日志保留3年，支持用户通过“隐私合规中心”一键审计。六、应用题（共40分）75.（计算类，10分）某企业计划将5TB重要数据通过专线备份至异地云灾备中心，数据采用AES256GCM加密，网络带宽为1Gbps，加密吞吐限速为800Mbps。忽略控制开销，计算完成首次全量备份所需的最短时间（小时，保留两位小数）。答案：数据量：5TB=5×8×1024Gb=40960Gb瓶颈：加密吞吐800Mbps=0.8Gbps时间：40960/0.8=51200秒=51200/3600≈14.22小时76.（分析类，15分）阅读以下日志片段，回答问题：```2025070114:23:115GET/api/v1/user/1234/order20082"""okhttp/4.9.3"2025070114:23:125GET/api/v1/user/1235/order20082"""okhttp/4.9.3"...2025070114:23:595GET/api/v1/user/2025/order20082"""okhttp/4.9.3"```（1）指出可能存在的安全漏洞；（2）给出利用该漏洞可造成的两种危害；（3）提出代码级修复方案并给出关键伪代码。答案：（1）BrokenObjectLevelAuthorization（BOLA），未校验登录用户与userId的一致性；（2）危害：a.水平越权查看任意用户订单，造成隐私泄露；b.批量爬取订单数据，用于精准诈骗；（3）修复：在业务层加入用户身份校验，伪代码：```java@GetMapping("/api/v1/user/{userId}/