2025年网络安全意识培训试卷(含答案)

2025年网络安全意识培训试卷(含答案)1.单选题（每题1分，共30分）1.12024年11月国家互联网应急中心（CNCERT）发布的《2024年上半年我国互联网网络安全态势综述》指出，攻击者利用最多的初始入侵漏洞类型是A.逻辑缺陷B.缓冲区溢出C.反序列化D.弱口令答案：D1.2在零信任架构中，用于动态评估访问主体信任度的核心组件是A.SIEMB.SDPC.PKID.NAC答案：B1.3某单位采用FIDO2认证，员工登录OA时无需输入密码，其关键原因是A.生物特征明文存储在服务器B.私钥仅保存在用户本地可信设备C.服务器保存用户私钥副本D.采用对称加密传输答案：B1.42025年3月微软补丁日修复的CVE20250781属于A.远程代码执行B.信息泄露C.拒绝服务D.权限提升答案：A1.5依据《数据安全法》第21条，对重要数据处理者开展风险评估的最低周期为A.每月B.每季度C.每半年D.每年答案：D1.6某网站使用HSTS策略，maxage=31536000，includeSubDomains，预加载，其防御的主要攻击是A.SQL注入B.会话固定C.中间人劫持D.XSS答案：C1.7在Linux系统中，以下哪个文件用于限制SSH登录失败次数A./etc/hosts.allowB./etc/security/limits.confC./etc/faillock.confD./etc/pam.d/sshd答案：C1.82025年1月1日起施行的《个人信息出境标准合同办法》要求，处理者向境外提供个人信息前需完成的工作是A.通过安全认证B.开展个人信息保护认证C.进行个人信息出境标准合同备案D.获得网信办审批答案：C1.9某企业部署EDR后，发现终端进程hollow.dll注入explorer.exe，该行为属于A.白利用B.进程挖空C.线程劫持D.反射式加载答案：B1.10在IPv6网络中，用于替代ARP的协议是A.NDPB.DHCPv6C.ICMPv6D.MLD答案：A1.112025年5月，某勒索软件利用WindowsCLFS驱动程序漏洞提权，其漏洞编号前缀为A.CNVDB.CVEC.MSRCD.ICSCERT答案：B1.12以下哪项不是《关键信息基础设施安全保护条例》规定的安全保护措施A.灾难备份B.渗透测试C.应急演练D.首席安全官制度答案：D1.13在Android14中，限制应用后台启动Activity的新机制名称是A.AppStandbyB.BackgroundActivityStartsC.ForegroundServiceD.Doze答案：B1.14某邮件网关检测到大量.eml文件包含宏调用“Shell(“powershell.exee…”)”，该邮件最可能携带A.钓鱼链接B.恶意宏文档C.压缩炸弹D.业务正常脚本答案：B1.152025年2月，央行发布的《金融数据安全数据安全分级指南》将用户征信记录定为A.1级B.2级C.3级D.4级答案：C1.16在Windows1123H2中，默认启用可阻止驱动程序投毒的安全功能是A.VBSB.HVCIC.CredentialGuardD.WindowsHello答案：B1.17某单位使用SM2算法进行邮件加密，其密钥长度为A.128bitB.160bitC.256bitD.384bit答案：C1.18以下哪项最能有效防御AI深度伪造（Deepfake）语音诈骗A.声纹识别B.回拨确认C.动态口令D.静态口令答案：B1.19在TLS1.3握手过程中，用于实现前向保密的核心机制是A.RSA密钥交换B.静态DHC.ECDHED.PSK答案：C1.202025年4月，国家网信办对某地图App处以5000万元罚款，其违法原因是A.未公开收集规则B.超范围采集人脸信息C.未建立儿童信息保护专员D.数据出境未评估答案：B1.21在容器安全中，以下哪项技术可用于检测容器逃逸A.eBPFB.iptablesC.SELinuxD.Cgroups答案：A1.22某企业采用SASE架构，其安全策略执行点主要位于A.总部防火墙B.云POPC.分支路由器D.核心交换机答案：B1.232025年6月，IETF发布RFC9563，该标准涉及的协议是A.DNSoverHTTPSB.DNSoverTLSC.DNSoverQUICD.DNSSEC答案：C1.24在Python3.12中，可防御反序列化漏洞的模块是A.pickleB.yamlC.jsonD.marshal答案：C1.25某单位使用CrowdStrikeFalcon，其默认回连端口是A.443B.8080C.53D.1443答案：A1.26在AWSS3桶暴露事件中，导致“s3://companybackup/”可匿名下载的根本原因是A.BucketACL允许AllUsers读取B.KMS密钥泄露C.IAM角色权限过大D.CloudTrail未开启答案：A1.272025年7月，某APT组织利用WPSOffice0day投放木马的攻击入口是A.邮件附件B.即时通讯文件C.钓鱼网站D.软件更新答案：A1.28在iOS17中，可阻止USB配件在锁屏1小时后通信的功能是A.USBRestrictedModeB.LockdownModeC.GuidedAccessD.FaceID答案：A1.29某单位使用GitLab，开启“PushRules”禁止提交包含AWSSecretKey的正则表达式为A.AKIA[09AZ]{16}B.AIza[09AZ]{35}C.sq0atp[09AZaz\]{22}D.eyJ[AZaz09_/+]答案：A1.302025年8月，国家卫健委发布的《医疗健康数据安全指南》要求，三级医院核心数据备份间隔不超过A.15分钟B.1小时C.4小时D.24小时答案：A2.多选题（每题2分，共20分；每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于《个人信息保护法》规定的敏感个人信息A.宗教信仰B.行踪轨迹C.交易密码D.儿童个人信息答案：ABD2.2在Windows日志中，可发现PasstheHash攻击的事件ID包括A.4624B.4625C.4648D.4768答案：AC2.3以下哪些技术可有效防御AI换脸诈骗电话A.双向视频核验B.回拨确认C.声纹+语义挑战D.静态密码答案：ABC2.4关于量子计算对密码学的影响，下列说法正确的是A.Shor算法可在多项式时间内破解RSAB.Grover算法可将AES128安全强度降至64比特C.我国已发布抗量子算法标准GM/T0009D.NIST已标准化CRYSTALSKYBER答案：ABD2.5以下哪些属于云原生安全最佳实践A.镜像签名B.PodSecurityPolicyC.网络策略NetworkPolicyD.宿主机共享PID命名空间答案：ABC2.62025年9月，工信部通报的“违规收集个人信息”App常见违规行为包括A.首次打开未弹窗B.超频次获取位置C.静默后台读取剪切板D.未提供注销功能答案：ABCD2.7在Linux服务器中，可发现WebShell“404.php”隐藏代码的命令有A.find/var/wwwname".php"execgrepl"eval"{}\;B.lsal/var/www/htmlC.yararwebshell.yar/var/wwwD.file/var/www/html/404.php答案：AC2.8以下哪些属于《网络安全审查办法》规定的审查重点A.核心数据出境风险B.供应链安全C.股东背景D.上市地点答案：ABCD2.9关于5G专网安全，下列说法正确的是A.网络切片可实现业务隔离B.MEC数据可不出园区C.UE与UPF间使用SUCI加密用户身份D.5GAKA可防止中间人攻击答案：ABCD2.10以下哪些属于ISO/IEC27001:2022新增控制项A.威胁情报B.云安全C.ICT业务连续性D.安全编码答案：ABC3.填空题（每空2分，共20分）3.12025年10月，国家密码管理局发布的《商用密码产品认证目录（第六批）》新增的第一类产品是__________。答案：抗量子密码芯片3.2在TLS1.3中，用于完成密钥确认的握手消息是__________。答案：Finished3.3某单位使用WindowsServer2025，开启“ConfigCI”策略后，可阻止未签名驱动加载，该策略依赖的硬件安全功能是__________。答案：HVCI3.42025年11月，央行发布的《金融App备案管理指引》要求，备案号格式为__________。答案：金管App备+年份+四位序号3.5在Kubernetes中，用于限制容器CPU使用的资源字段是__________。答案：limits.cpu3.62025年12月，国家网信办对某短视频平台处以全年营业额5%罚款，其违法处理个人信息条数为__________条以上。答案：5000万3.7在Linux中，查看系统是否启用KASLR的命令为__________。答案：cat/proc/sys/kernel/kptr_restrict3.82025年，IETF发布的RFC9599将SMTP的默认端口扩展为__________端口支持TLS强制。答案：4653.9我国《数据出境安全评估办法》规定，处理100万人以上个人信息的数据处理者向境外提供数据，应通过__________途径。答案：安全评估3.10在Android14中，用于限制应用读取已安装应用列表的新权限是__________。答案：QUERY_ALL_PACKAGES4.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.12025年1月1日起，所有等级保护三级系统必须采用国密浏览器访问。答案：×4.2Windows1124H2默认关闭SMBv1协议。答案：√4.3在iOS17中，LockdownMode开启后，FaceID会被禁用。答案：×4.4量子计算机已可在线破解AES256。答案：×4.52025年，国家卫健委要求三级医院核心数据异地备份距离不低于300公里。答案：√4.6GitHub于2025年1月停止支持RSA密钥的SSH连接。答案：×4.7在Linux内核6.5中，默认启用“自动内核漏洞缓解”机制。答案：√4.82025年，央行规定所有金融App必须接入国家反诈中心SDK。答案：√4.9TLS1.3支持RSA密钥交换。答案：×4.102025年，国家网信办发布《人脸识别合规操作指引》，要求人脸数据保存不超过1年。答案：√5.简答题（封闭型，每题5分，共20分）5.1简述零信任架构中“持续信任评估”的三项关键数据来源。答案：身份与上下文数据、设备安全状态、行为与风险情报。5.2列出《个人信息保护法》规定的个人信息处理者应当履行的六项义务。答案：1.告知同意义务；2.最小必要原则；3.安全保障义务；4.设立个人信息保护负责人；5.进行影响评估；6.建立申诉机制。5.3说明Windows日志中检测Kerberoasting攻击的两条关键特征。答案：1.事件ID4768，服务票证请求加密类型为RC4；2.同一账户短时间内请求大量TGS。5.4概述容器逃逸的三种常见技术路径。答案：1.利用内核漏洞（如CVE20220847）；2.滥用特权容器（privileged）；3.挂载宿主机危险目录（/var/run/docker.sock）。6.简答题（开放型，每题10分，共20分）6.1结合2025年最新案例，分析AI深度伪造语音诈骗的攻防对抗趋势，并提出企业级应对策略。答案：攻击趋势：1.语音样本获取门槛降低，公开社交媒体30秒语音即可克隆；2.实时语音转换延迟降至300ms，可实时中间人劫持通话；3.多模态融合，结合伪造视频通话增强可信度。防守策略：1.建立“回拨+暗号”制度，任何资金指令需二次回拨确认；2.部署声纹+语义挑战，随机提问动态问题；3.引入抗AI检测模型，利用语音频谱异常、呼吸噪声特征识别伪造；4.员工持续演练，每季度模拟AI伪造场景；5.与运营商合作开通“可信通话”标签，对异常号码提示风险。6.2某三甲医院计划将电子病历备份上云，需符合《医疗健康数据安全指南》四级数据要求，请设计一套包含加密、脱敏、审计、灾备的综合方案。答案：1.加密：采用SM4GCM全量加密，密钥托管在院内HSM，云端仅托管密文；2.脱敏：使用保留格式加密（FPE）对姓名、身份证号脱敏，科研场景使用k匿名（k≥5）导出；3.审计：启用云API审计+院内SIEM，日志双份保存，使用MerkleTree确保不可篡改；4.灾备：采用“两地三中心”，本地双活+异地300公里冷备，RPO≤15分钟，RTO≤30分钟；5.合规：完成数据出境安全评估，与云厂商签订标准合同，明确责任分界；6.运维：建立数据安全委员会，设立专职数据安全官，每半年进行渗透测试与应急演练。7.应用题（综合类，20分）背景：2025年12月，某金融科技公司A计划上线“智能风控平台”，系统架构如下：用户通过App（Android/iOS）提交贷款申请，App调用后端API（域名api.fintechA.com）；后端集群部署在阿里云ACK，使用微服务（SpringCloudAlibaba），数据库为PolarDBMySQL；引入外部数据源：央行征信、运营商、社保接口；需满足等保3.0、个人信息保护法、数据出境安全评估办法。任务：请从安全需求分析、技术控制、合规治理三个维度，给出完整安全建设方案，并给出验证方法。答案：一、安全需求分析1.机密性：用户身份证、人脸、征信数据属敏感个人信息，需加密存储与传输；2.完整性：风控评分模型、征信原始报文需防篡改；3.可用性：系统7×24，峰值QPS2万，RTO≤30分钟；4.合规性：等保三级、个人信息保护四级、数据出境评估。二、技术控制1.通信安全：a.启用TLS1.3+HSTS，证书固定（pinning），禁用弱算法；b.采用mTLS对内服务调用，SPIFFEID做服务身份；2.边界与微隔离：a.互联网入口部署云WAF+API网关，开启Schema校验、速率限制（令牌桶200次/分/IP）；b.微服务间使用Istio，开启mTLS、RBAC、JWT+OPA策略；3.数据安全：a.敏感字段采用SM4GCM加密，密钥托管在阿里云KMS，开启自动轮转（90天）；b.人脸图片使用AES256客户端加密后再上传，服务端无法解密，仅风控模型调用时通过SGX飞地解密；c.数据库开启TDE，备份使用BRIN加密，密钥与数据分离存储；4.身份与权限：a.用户侧：FIDO2+设备绑定+风控评分>80才放款；b.运维侧：使用堡垒机+JIT（JustinTime）权限，工单审批后临时授权，30分钟自动回收；5.安全开发：a.建立DevSecOps流水线，SAST（CodeQL）、DAST（BurpEnterprise）、SCA（DependencyTrack）卡点；b.引入Fuzzing测试，对征信解析库进行覆盖；6.日志与监控：a.全链路日志接入SLS