师生网络安全素养提升知识竞赛试题

师生网络安全素养提升知识竞赛试题##一、判断题1.《中华人民共和国网络安全法》于2017年6月1日正式实施。对错答案：对解析：《中华人民共和国网络安全法》由第十二届全国人民代表大会常务委员会第二十四次会议通过，于2017年6月1日正式施行，是我国网络安全领域的基础性法律。2.等级保护测评结论分为优、良、中、差四类。对错答案：对解析：等级保护2.0测评工作中，测评最终结论不再是“合格”和“不合格”，而是分为“优”“良”“中”“差”四类，全面评价被测信息系统的安全状况。3.网络安全法要求留存网络日志不少于六个月。对错答案：对解析：《中华人民共和国网络安全法》明确规定，网络运营者需采取技术措施记录网络运行状态、网络安全事件，留存相关网络日志不少于六个月，便于追溯和排查安全问题。4.教育系统第二级信息系统需要每半年测评一次。对错答案：错解析：根据《教育部关于加强教育行业网络与信息安全工作的指导意见》，教育系统第二级系统的测评频率要求是每两年一次，并非每半年一次。5.网络安全应急演练一般不需要经费支持。对错答案：错解析：网络安全应急演练需要投入人力、物力、技术等资源，通常需要经费支持，用于方案设计、物资准备、人员培训等，确保演练顺利开展。##二、单项选择题6.关于违反《中华人民共和国个人信息保护法》规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，对直接负责的主管人员和其他直接责任人员处()罚款。A.一万元以上十万元以下B.十万元以上五十万元以下C.一百万元以上二百万元以下D.十万元以上一百万元以下答案：D解析：《中华人民共和国个人信息保护法》规定，情节严重的，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，强化个人信息保护力度。7.网络安全威胁和事件的闭环管理的关键环节包括？()A.监测、预警、研判、通报B.监测、预警、通报、处置C.监测、预警、研判、处置D.监测、预警、通报、公告答案：C解析：网络安全威胁和事件的闭环管理，核心是“发现-分析-处理-完善”，关键环节包括监测、预警、研判、处置，确保威胁和事件得到全面管控。8.按《信息技术安全事件报告与处置流程》，安全事件发生后应在()小时内报送信息技术安全事件情况报告。A.3B.5C.8D.10答案：A解析：根据《信息技术安全事件报告与处置流程》要求，安全事件发生后，需在3小时内报送事件情况报告，确保及时响应、快速处置，降低事件影响。9.等级保护2.0基本要求从什么时间正式实施？()A.2019年5月13日B.2019年12月1日C.2020年1月1日D.2019年6月1日答案：C解析：《网络安全等级保护基本要求》（GB/T22239-2019）即等级保护2.0基本要求，于2020年1月1日正式实施，替代原有等级保护1.0标准。10.根据《网络安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定？()A.威胁、脆弱性B.系统价值、风险C.信息安全、系统服务安全D.受侵害的客体、对客体造成侵害的程度答案：D解析：信息系统的安全保护等级由“受侵害的客体”和“对客体造成侵害的程度”两个要素决定，根据这两个要素综合判定系统的安全保护等级。11.以下第几级及以上信息系统，由信息系统运营使用单位（备案单位）到当地公安机关网络安全保卫部门办理备案手续？()A.第一级信息系统B.第二级信息系统C.第三级信息系统D.第四级信息系统答案：B解析：根据等级保护相关规定，第二级及以上信息系统，运营使用单位需到当地公安机关网络安全保卫部门办理备案手续，接受监督检查。12.等级保护测评工作中的测评最终结论不再是“合格”和“不合格”，而是分成“优”“良”“中”“差”四类，“差”表明被测对象中存在会导致被测对象面临高等级安全风险，或者被测对象综合得分低于多少分？()A.90B.80C.70D.60答案：D解析：等级保护测评中，“差”级结论的判定标准为：被测对象存在高等级安全风险，或综合得分低于60分，需立即进行全面整改。13.根据《教育部关于加强教育行业网络与信息安全工作的指导意见》要求，教育系统第二级系统的测评频率要求是?()A.每一年一次B.每半年一次C.每一年两次D.每两年一次答案：D解析：为保障教育系统网络安全，教育部明确要求，教育系统第二级信息系统每两年开展一次等级保护测评，及时排查安全隐患。14.网络安全法要求，网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于()A.一个月B.三个月C.六个月D.十二个月答案：C解析：《中华人民共和国网络安全法》第二十一条规定，网络运营者需留存网络日志不少于六个月，为网络安全事件的追溯、调查提供依据。15.等级保护的工作流程是()A.定级、备案、建设整改、等级测评、监督检查B.备案、定级、等级测评、建设整改、监督检查C.建设整改、备案、定级、等级测评、监督检查D.定级、等级测评、备案、建设整改、监督检查答案：A解析：等级保护工作需遵循“先定级、再备案、后建设整改、接着等级测评、最后接受监督检查”的流程，确保工作规范有序开展。16.下列关于网络安全攻击组织管理的说法中，哪一项描述是错误的。()A.攻击者在实施攻击前，会对目标进行详尽的侦查，以了解目标的潜在价值。B.攻击者在准备攻击时，无需制定具体的攻击计划和战术。C.为了降低被发现的风险，攻击者会采取一系列措施来保护自己的身份和行踪。D.攻击者会组建一个分工明确的团队，以提高攻击行动的协同性和成功率。答案：B解析：攻击者在实施攻击前，会制定详细的攻击计划和战术，明确攻击目标、步骤和分工，并非无需制定计划，B选项描述错误。17.()中规定，国家建立数据安全应急处置机制，有关部门依法启动应急预案，采取相应的应急处置措施。A.《中华人民共和国网络安全法》B.《中华人民共和国数据安全法》C.《中华人民共和国个人信息保护法》D.《关键信息基础设施安全保护条例》答案：B解析：《中华人民共和国数据安全法》明确规定，国家建立数据安全应急处置机制，应对数据安全事件，保障数据安全。18.以下哪种攻击方法是利用尚未公开的漏洞，通过注入恶意代码来获取对系统的控制权？()A.0Day注入攻击B.统计分析攻击C.暴力破解攻击D.格式化字符串攻击答案：A解析：0Day注入攻击是利用尚未公开（未被厂商修复）的漏洞，注入恶意代码，从而获取系统控制权，具有极强的隐蔽性和危害性。19.关于运营和运维的区别以下哪项是错误的？()A.运维是运行维护的简称B.运营侧重于管理和维护服务或产品的日常运作，包括规划、部署、监控、调整和优化等各个方面C.运维是主动的D.运营是被动的答案：D解析：运营侧重于主动管理产品/服务的日常运作，包括规划、优化等，是主动行为；运维侧重于被动响应和解决系统故障，是被动行为，D选项描述错误。20.以下关于高校物联网供应链安全描述错误的是？()A.物理安全是高校物联网供应链安全中重要问题之一B.高校物联网供应链安全中要高度重视个人信息保护C.人脸识别方便快捷安全，应在高校身份认证、消费、签到等物联网场景中尽快普及，不存在安全问题D.高校物联网大量使用专网建设，需要建立专门的物联网漏洞管理机制、物联网安全升级预案等答案：C解析：人脸识别存在个人信息泄露、被篡改等安全风险，并非不存在安全问题，在高校物联网场景中普及需做好安全防护，C选项描述错误。21.以下关于网络安全应急演练的说法错误的是？()A.应急演练应紧密结合应急管理工作的实际需求，明确演练目的，根据资源条件确定演练方式和规模B.应急演练应以提高应急指挥机构的指挥协调能力和应急队伍的实战应变能力为着眼点C.应急演练应科学设计演练方案，周密部署演练活动制定并严格遵守有关安全措施D.应急演练应充分利用现有资源，一般不需要经费支持答案：D解析：网络安全应急演练需要经费支持，用于演练方案设计、物资准备、人员培训等，确保演练效果，D选项描述错误。22.全过程的应急管理工作则应当囊括()、事发应对、事中处置、事后总结所有的应急管理环节。A.事前预防B.事前监测C.事前检测D.事前检查答案：A解析：全过程应急管理包括“事前预防、事发应对、事中处置、事后总结”四个环节，事前预防是基础，可有效减少安全事件的发生。23.《中华人民共和国密码法》规定，关键信息基础设施运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展()。A.商用密码应用安全性评估B.网络安全等级保护测评C.信息系统安全性评估D.渗透测试答案：A解析：《中华人民共和国密码法》第二十七条规定，关键信息基础设施运营者需开展商用密码应用安全性评估，保障密码应用安全。24.下面对于信息安全事件分类，说法正确的是哪一项？()A.对信息安全事件的分类可以参考信息系统的重要程度、系统遭受的损失大小和应急成本三要素B.判断信息系统的重要程度主要考虑用户的数量C.根据信息安全事件的分级考虑，可将信息安全事件分为特别重大事件、重大事件、较大事件和一般事件四个级别D.信息安全事件分级可以完全由用户自行完成答案：C解析：信息安全事件根据危害程度，可分为特别重大、重大、较大、一般四个级别，A选项分类要素错误，B选项判断系统重要程度需综合多方面，D选项分级需遵循相关标准，不能完全自行完成。25.关于新建系统和已有系统在系统生命周期中如何开展等级保护工作实施描述正确的是()A.新建系统：工作部署、定级备案、方案设计、建设实施、等级测评、安全运维、定期测评、废弃阶段B.新建系统：工作部署、方案设计、建设实施、定级备案、等级测评、安全运维、定期测评、废弃阶段C.已有系统：工作部署、定级备案、差距分析、整改设计、整改实施、等保测评、安全运维、定期测评、废弃阶段D.已有系统：工作部署、定级备案、差距分析、等保测评、整改设计、整改实施、定期测评、废弃阶段答案：C解析：新建系统需先方案设计、建设实施，再定级备案，A、B错误；已有系统需先开展差距分析，再整改设计、实施，最后进行等级测评，C选项描述正确。##三、多项选择题26.等级保护测评工作中的测评最终结论分为哪几类()A.优B.良C.一般D.差答案：ABCD解析：等级保护2.0测评结论分为四类，分别是优、良、中、差，根据被测系统的安全状况和综合得分确定，全面反映系统安全水平。27.开展数据处理活动的组织、个人不履行《中华人民共和国数据安全法》规定的数据安全保护义务的，拒不改正或者造成大量数据泄露等严重后果的，以下哪些是可以采取的处罚措施？()A.处五十万元以上二百万元以下罚款B.责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照C.对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款D.处五十万元以上一百万元以下罚款答案：ABC解析：根据《中华人民共和国数据安全法》，拒不改正或造成严重后果的，可处五十万元以上二百万元以下罚款，责令暂停业务、吊销证照，对相关责任人处五万元以上二十万元以下罚款，D选项罚款金额错误。28.《网络安全等级保护基本要求》（GB/T22239-2019）中的安全通用要求和安全扩展要求都属于哪类要求？()A.分析要求B.技术要求C.管理要求D.测试要求答案：BC解析：《网络安全等级保护基本要求》中的安全通用要求和安全扩展要求，均分为技术要求和管理要求两部分，覆盖系统安全的技术和管理层面。29.根据教育部网络安全责任制落实情况考核评价管理办法要求，三级以上系统应每年测评，并将测评报告关键页扫描或复印后于当年12月15日前报送部网信办。测评报告关键页包括？()A.首页B.结论页C.主要问题描述页D.渗透测试内容答案：ABC解析：测评报告关键页包括首页（含报告基本信息）、结论页（含测评最终结论）、主要问题描述页（含系统安全隐患），渗透测试内容不属于关键页，D选项排除。30.在《教育系统核心数据和重要数据识别认定工作指南（试行）》（教科信厅〔2022〕1号）中，教育数据按照内容属性分为？()A.机构数据B.人员数据C.日志数据D.业务数据答案：ABD解析：根据该指南，教育数据按内容属性分为机构数据、人员数据、业务数据三类，日志数据属于数据的存储形式，不属于内容属性分类，C选项排除。31.以下关于教育系统网络安全应急管理工作描述正确的是？()A.至少每年开展一次应急预案培训，有培训记录B.至少每年开展两次应急演练，有演练记录C.按照《教育系统网络安全事件应急预案》要求建立、修订、完善本单位不同安全事件的应急预案D.不需要开展网络安全应急演练答案：AC解析：教育系统网络安全应急管理要求，至少每年开展一次应急预案培训和一次应急演练，需建立、修订应急预案，B选项演练次数错误，D选项说法错误。32.等级保护对象受到破坏时所侵害的客体包括以下哪些方面？()A.公民的合法权益B.法人和其他组织的合法权益C.国家安全D.社会秩序、公共利益答案：ABCD解析：等级保护对象受到破坏时，可能侵害的客体包括公民合法权益、法人及其他组织合法权益、国家安全、社会秩序和公共利益，这是等级保护定级的核心依据之一。33.教育系统软件供应链安全治理中，需求方正确的措施包括？()A.通过采购文件、合同等明确项目网络安全要求，与供应商明确项目网络安全建设需求，签订必要的保密协议。B.审查部署环境、部署过程，监督部署人员按照安全要求规范操作。C.审核运维方案，包括运维人员能力、监控巡检方案、故障检测处理方案、升级方案、漏洞处置方案、审计方案等。D.监督运维工作开展，完成运维人员日常管理。答案：ABCD解析：以上四项均为教育系统软件供应链安全治理中，需求方应采取的正确措施，可全面防范软件供应链安全风险，保障系统安全。34.网络安全检查工作部署通常包括以下哪些具体工作？()A.研究制定检查方案B.执行现场检查C.下达检查通知D.组织检查专项培训答案：ACD解析：网络安全检查工作部署包括研究制定检查方案、下达检查通知、组织专项培训，执行现场检查属于检查实施阶段，不属于部署阶段，B选项排除。35.以下哪些是《中华人民共和国网络安全法》规定的基本要求？()A.网络运营者应当采取技术措施和其他必要措施，确保网络安全B.网络运营者应当制定网络安全事件应