2025年中小学网络安全知识竞赛题库及答案

2025年中小学网络安全知识竞赛题库及答案1.单项选择题（每题1分，共30分）1.1在浏览器地址栏中出现“https://”前缀，最主要说明该网站启用了哪项技术？A.数据压缩 B.传输加密 C.负载均衡 D.缓存加速答案：B1.2下列哪种密码设置方式最符合《信息安全技术个人信息安全规范》（GB/T352732020）对“强口令”的要求？A.12345678 B.qwertyui C.Abc@13579 D.birthday答案：C1.3小学生小明收到游戏皮肤“免费领取”二维码，正确做法是：A.立即扫码 B.先问老师再扫码 C.转发给同学 D.用家长手机扫码答案：B1.42021年《数据安全法》正式施行日期为：A.6月1日 B.9月1日 C.10月1日 D.12月1日答案：B1.5以下哪项不属于个人信息？A.姓名 B.身份证号 C.学校公开获奖名单中的学生姓名 D.精准定位坐标答案：C1.6使用公共WiFi登录网银时，最安全的做法是：A.关闭WiFi用移动数据 B.输入复杂密码 C.使用VPN D.开启蓝牙答案：A1.7勒索病毒通常采用的加密算法是：A.MD5 B.RSA+AES混合 C.Base64 D.ROT13答案：B1.8下列哪条法规首次明确“网络产品和服务提供者”不得设置恶意程序？A.网络安全法第22条 B.民法典第1033条 C.刑法第285条 D.数据安全法第32条答案：A1.9关于“钓鱼网站”，以下描述正确的是：A.域名一定很长 B.页面与真实网站高度相似 C.只能攻击电脑 D.不需要HTTPS答案：B1.10在Windows系统中，查看本机ARP缓存的命令是：A.ping B.arpa C.netstatan D.tracert答案：B1.11国家互联网应急中心英文缩写为：A.CNNIC B.CNCERT C.CAICT D.NIS答案：B1.12以下哪项属于典型的“社会工程学”攻击？A.SQL注入 B.假冒客服电话索要验证码 C.缓冲区溢出 D.DDoS答案：B1.13《未成年人保护法》规定，网络服务提供者应设置“青少年模式”，其触发年龄上限为：A.14岁 B.16岁 C.18岁 D.无限制答案：C1.14关于Cookie，下列说法正确的是：A.只能存储文本 B.无法跨域传递 C.可设置HttpOnly属性防XSS窃取 D.大小无限制答案：C1.15发现校园网被DDoS攻击，第一时间应向谁报告？A.班主任 B.学校信息中心主任 C.网安大队 D.运营商客服答案：B1.16下列哪项不是多因素认证要素？A.指纹 B.短信验证码 C.安全问题 D.用户名答案：D1.172023年工信部要求App“最小必要”原则收集个人信息，属于：A.合法正当 B.公开透明 C.最小必要 D.确保安全答案：C1.18在电子邮件中，攻击者伪造发件人地址的技术称为：A.邮件炸弹 B.邮件伪造 C.邮件中继 D.邮件加密答案：B1.19以下哪个端口通常用于HTTPS？A.21 B.80 C.443 D.3389答案：C1.20关于“数字人民币”，下列说法正确的是：A.基于区块链公有链 B.具有可控匿名性 C.需绑定银行卡才能使用 D.交易不可追溯答案：B1.21下列哪项属于操作系统层漏洞？A.XSS B.心脏出血 C.永恒之蓝 D.SQL注入答案：C1.22在《网络安全等级保护2.0》中，第三级系统应多久开展一次测评？A.半年 B.一年 C.两年 D.三年答案：B1.23以下哪项最能有效防止“撞库”攻击？A.验证码 B.短信通知 C.不同网站使用不同密码 D.关闭注册答案：C1.24关于人工智能深度伪造（Deepfake），最直接的风险是：A.网络延迟 B.虚假音视频诈骗 C.显卡涨价 D.数据冗余答案：B1.25在IPv6地址中，以下哪项是合法的？A.2001:0db8::1 B. C.::256.256.256.256 D.12345::答案：A1.26国家计算机病毒应急处理中心设在：A.北京 B.天津 C.上海 D.深圳答案：B1.27以下哪项属于“零日”漏洞特征？A.已公开补丁 B.官方未知且未补丁 C.仅影响国产软件 D.需物理接触答案：B1.28关于“网暴”，《网络暴力信息治理规定（征求意见稿）》要求平台建立：A.先审后发 B.一键防护 C.实名举报 D.以上全部答案：D1.29在Linux系统中，为文件设置“仅自己可读写”的权限数字是：A.755 B.644 C.600 D.777答案：C1.30下列哪项不是《个人信息保护法》规定的敏感个人信息？A.宗教信仰 B.行踪轨迹 C.14岁以下未成年人信息 D.收货地址答案：D2.多项选择题（每题2分，共20分；每题至少有两个正确答案，多选少选均不得分）2.1以下哪些行为可能泄露个人敏感信息？A.快递箱随意丢弃 B.朋友圈晒登机牌 C.使用公共充电宝 D.开启手机蓝牙答案：ABC2.2关于HTTPS握手过程，以下说法正确的是：A.使用非对称加密协商对称密钥 B.服务端发送证书 C.一定使用TLS1.3 D.握手后可加密传输答案：ABD2.3以下哪些属于《网络安全法》明确的“网络运营者”安全义务？A.采取防范计算机病毒的技术措施 B.留存网络日志不少于6个月 C.向用户提供实名制登记 D.发现违法信息应停止传输答案：ABCD2.4以下哪些技术可用来检测Web应用中的SQL注入漏洞？A.静态代码扫描 B.动态渗透测试 C.日志审计 D.模糊测试答案：ABD2.5关于“云备份”，以下哪些做法能提高数据安全？A.本地再备份一份 B.加密后上传 C.使用弱口令节省记忆 D.开启多因素认证答案：ABD2.6以下哪些属于典型的物联网安全威胁？A.默认口令未修改 B.固件不升级 C.蓝牙钥匙被中继攻击 D.使用HTTPS答案：ABC2.7以下哪些行为违反《数据出境安全评估办法》？A.未评估向境外提供10万人个人信息 B.未评估向境外提供1万人敏感个人信息 C.通过邮件发送普通商品清单 D.数据经香港中转至美国答案：ABD2.8以下哪些属于对称加密算法？A.AES B.DES C.RSA D.SM4答案：ABD2.9以下哪些措施可降低“内部人员”泄密风险？A.最小权限 B.日志审计 C.数据脱敏 D.完全禁止U盘答案：ABC2.10以下哪些属于《关键信息基础设施安全保护条例》规定的行业？A.金融 B.医疗 C.教育 D.交通答案：ABD3.填空题（每空1分，共20分）3.1国家网络安全宣传周每年____月第____周举办。答案：9；三3.2《网络安全法》第____条明确“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意”。答案：223.3在密码学中，哈希函数SHA256输出的摘要长度为____位。答案：2563.4我国自主研发的商用分组加密算法名称是____。答案：SM43.5在Windows中，用于查看当前开放端口的命令是____。答案：netstatan3.62022年北京冬奥会核心系统首次全面运行在____操作系统上。答案：麒麟V103.7根据《个人信息保护法》，处理个人信息应当具有明确、合理的____。答案：目的3.8在电子邮件安全扩展中，用于验证邮件来源的协议缩写是____。答案：SPF3.92020年“SolarWinds”事件中被植入后门的产品类型是____。答案：网管软件3.10在等级保护2.0中，安全区域边界层面要求部署____设备实现访问控制。答案：防火墙3.11勒索病毒WannaCry利用的漏洞代号是____。答案：永恒之蓝3.12在IPv6中，本地链路前缀以____开头。答案：fe803.13我国《密码法》将密码分为核心密码、____密码和商用密码。答案：普通3.14在Linux系统中，强制访问控制安全模块名称是____。答案：SELinux3.152023年发布的《生成式人工智能服务管理暂行办法》由____个部门联合印发。答案：七3.16在Web安全中，CSP指的是____策略。答案：内容安全3.17用于检测网络入侵的开源工具Suricata工作在OSI第____层。答案：三3.18在移动互联网中，IMSIcatcher常被伪造成____基站。答案：假3.19根据《网络产品安全漏洞管理规定》，漏洞发现者应在____小时内向工信部报送。答案：483.20在数字证书中，扩展密钥用法字段缩写为____。答案：EKU4.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.1使用VPN后，用户所有流量都自动加密且不可被审查。答案：×4.2《数据安全法》适用于在境外处理境内个人信息的活動。答案：√4.3在Linux中，chmod400file.txt表示仅所有者可读。答案：√4.4只要网站使用了HTTPS，就一定可以防范钓鱼攻击。答案：×4.5我国“网安号”卫星主要用于空间互联网安全监测。答案：×4.6零信任架构默认不信任任何访问主体。答案：√4.7蓝牙5.2版本已修复所有中继攻击漏洞。答案：×4.8《个人信息保护法》规定，不满14周岁未成年人信息属于敏感个人信息。答案：√4.9在Windows中，关闭Server服务可阻断445端口。答案：√4.10人工智能模型训练数据无需进行脱敏处理。答案：×5.简答题（封闭型，每题5分，共20分）5.1简述“最小权限原则”在中小学校园信息系统中的应用。答案：仅授予用户完成教学管理任务所需的最低访问权限；教师、学生、管理员分角色授权；默认拒绝；定期审计回收冗余权限；共享账号禁止；文件系统用ACL细化到目录级；数据库账户按库表分离；外部厂商临时账号限时失效。5.2说明数字签名如何确保软件完整性。答案：开发者用私钥对软件哈希值签名→用户下载软件及签名→用开发者公钥解密签名得哈希→本地计算软件哈希→两值一致则完整，否则被篡改；公钥由可信CA证书绑定开发者身份，防止伪造。5.3列举并解释Web应用防火墙（WAF）的三类核心检测机制。答案：1.签名检测：预置攻击特征库，匹配已知漏洞；2.行为检测：基于统计模型识别异常访问频率或路径；3.语义分析：解析SQL/脚本语法，识别注入点，降低误报。5.4说明“数据分类分级”对中小学数据安全的重要性。答案：将数据按敏感程度分为公开、内部、机密三级；对应不同防护策略；公开数据可放官网，内部数据需VPN+审计，机密数据加密+堡垒机；满足等保2.0要求；防止过度防护浪费资源；便于事件响应快速定位关键资产。6.简答题（开放型，每题10分，共20分）6.1某中学计划引入人脸识别门禁系统，请从法律、技术、伦理三个角度提出风险及对策。答案：法律：需获得监护人单独同意，遵守《个人信息保护法》第26条，完成个人信息保护影响评估；存储时间不超过实现目的所需；向属地网信办备案。技术：采用国密算法加密存储；人脸特征与身份信息分离存储；本地离线比对减少传输；部署防假体攻击检测（红外/3D结构光）；定期渗透测试；建立删除机制，毕业即删除。伦理：避免对学生进行长期行为追踪；设置替代刷卡通道；公开制度接受家长监督；建立申诉渠道；对算法偏见进行第三方审计，确保不同肤色、性别准确率一致。6.2结合“东数西算”工程，谈谈中小学云课堂数据跨境流动的合规要点。答案：识别数据类型：学生学籍、成绩、行为日志属个人信息，部分属敏感个人信息；评估场景：使用海外云服务商节点即构成数据出境；合规路径：1.完成数据出境安全评估申报；2.与接收方签订标准合同，明确数据保护责任；3.采取技术措施：端到端加密、密钥本地化、日志留存不少于1年；4.建立应急响应：数据泄露2小时内向教育主管部门与网信部门双报告；5.教育内容审查：教学视频不含国家版图错误、意识形态风险；6.家长知情：在入学协议中增加数据出境条款，提供便捷渠道撤回同意；7.定期复审：每学年重新评估接收方所在国法律变化，必要时迁回境内节点。7.应用题（综合类，共30分）7.1计算分析题（10分）某校校园网出口带宽1Gbps，平均每个Web请求大小200KB。若攻击者利用僵尸网络发起HTTPFlood，每秒发送5万个请求，问：（1）攻击流量为多少Mbps？（保留整数）（2）占出口带宽百分比？（3）若启用CDN，边缘缓存命中率80%，回源压缩比50%，实际回源流量为多少Mbps？答案：（1）50000×200KB×8bit÷1000000=80000Mbps≈80000Mbps（80Gbps）（2）80000÷1000×100%=8000%（3）回源请求量=50000×(180%)=10000req/s；回源流量=10000×200KB×50%×8÷1000000=8Gbps=8000Mbps7.2案例分析题（20分）阅读材料：2024年3月，某市小学家长群出现“期末成绩查询”小程序，需输入学生身份证号和手机号。两天后，部分家长收到“孩子在校