2025年国家网络安全知识竞赛题库及参考答案

2025年国家网络安全知识竞赛题库及参考答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2021年9月1日起施行的《关键信息基础设施安全保护条例》规定，关键信息基础设施的安全保护实行（）。A.企业自律为主、政府指导为辅B.政府主导、企业参与、社会协同C.行业自律、属地管理D.国家统筹协调、部门分工负责、运营者主体责任答案：D2.在SSL/TLS协议中，用于协商加密算法和密钥的握手阶段报文是（）。A.ChangeCipherSpecB.FinishedC.ClientHelloD.Alert答案：C3.以下哪一项最能有效防御CSRF（跨站请求伪造）攻击（）。A.设置HttpOnly标志的CookieB.使用验证码C.验证Referer头并部署CSRFTokenD.启用HTTPS答案：C4.根据《数据安全法》，对影响或者可能影响国家安全的数据处理活动，国家建立（）制度。A.数据出境安全认证B.数据安全审查C.数据分类分级D.数据风险评估答案：B5.在Windows系统中，能够查看当前登录用户安全标识符（SID）的本地命令是（）。A.whoami/userB.netuserC.gpresult/zD.ipconfig/all答案：A6.以下关于SM4分组密码算法的描述，正确的是（）。A.分组长度128位，密钥长度128位，迭代轮数32轮B.分组长度64位，密钥长度128位，迭代轮数16轮C.分组长度128位，密钥长度256位，迭代轮数16轮D.分组长度256位，密钥长度128位，迭代轮数32轮答案：A7.在Linux系统中，通过以下哪条命令可以查看文件/etc/shadow的访问权限（）。A.lsl/etc/shadowB.chmod640/etc/shadowC.stat/etc/shadowD.getfacl/etc/shadow答案：A8.根据《个人信息保护法》，个人信息处理者向境外提供个人信息，应当具备下列哪项条件（）。A.通过安全评估或认证，或签订标准合同B.仅需在隐私政策中告知C.取得行业主管部门口头同意D.无需任何条件答案：A9.在公钥基础设施（PKI）中，负责签发并管理数字证书的机构是（）。A.RAB.CAC.OCSPD.CRL答案：B10.以下关于缓冲区溢出攻击的缓解措施，错误的是（）。A.启用DEPB.启用ASLRC.使用strcpy复制用户输入D.使用编译器栈保护（StackCanary）答案：C11.在IPv6中，用于实现无状态地址自动配置的协议是（）。A.DHCPv6B.ND（NeighborDiscovery）C.ARPD.IGMPv6答案：B12.根据《网络安全法》，网络运营者应当采取技术措施确保网络安全，防止网络数据泄露、毁损和（）。A.篡改B.压缩C.备份D.缓存答案：A13.以下哪项最能有效检测APT（高级持续性威胁）攻击的横向移动阶段（）。A.基于签名的杀毒软件B.基于白名单的应用程序控制C.基于流量异常的NTA/NDRD.基于主机加固的基线核查答案：C14.在SQL注入漏洞中，使用联合查询（UNION）获取数据库版本信息时，通常需要保证（）。A.原始查询与注入查询的列数相同B.原始查询返回JSON格式C.关闭错误回显D.使用POST方法答案：A15.以下关于零信任架构原则的描述，错误的是（）。A.永不信任，持续验证B.默认授权内部流量C.最小权限访问D.微分段答案：B16.在Android系统中，应用沙箱机制主要依赖于（）。A.SELinuxB.UID隔离C.权限模型D.签名机制答案：B17.根据《密码法》，国家对密码实行分类管理，其中核心密码、普通密码用于保护国家秘密信息，商用密码用于保护不属于国家秘密的信息，商用密码产品检测由（）实施。A.国家密码管理局指定的机构B.公安部三所C.工信部D.市场监管总局答案：A18.在Web应用防火墙（WAF）中，基于正则规则匹配的攻击检测属于（）。A.白名单模型B.黑名单模型C.行为模型D.机器学习模型答案：B19.以下关于勒索软件防御策略，优先级最高的是（）。A.支付赎金B.离线备份与恢复演练C.安装盗版软件D.关闭所有端口答案：B20.在等级保护2.0中，第三级系统安全区域边界应实现“双向”访问控制，其含义是（）。A.仅控制进站流量B.仅控制出站流量C.同时控制进站与出站流量D.随机放行答案：C21.在Windows日志中，事件ID4624表示（）。A.账户登录失败B.账户成功登录C.账户锁定D.特权提升答案：B22.以下关于国密算法SM2的描述，正确的是（）。A.基于椭圆曲线的数字签名算法B.分组密码算法C.杂凑算法D.流密码算法答案：A23.在容器安全中，防止容器逃逸到宿主机的核心技术是（）。A.镜像签名B.Seccomp&Capabilities限制C.漏洞扫描D.镜像仓库加密答案：B24.根据《信息安全技术网络安全等级保护测评要求》，第三级系统测评周期为（）。A.半年一次B.一年一次C.两年一次D.三年一次答案：B25.在DNS安全扩展（DNSSEC）中，用于验证资源记录真实性的机制是（）。A.TSIGB.RRSIG与DNSKEYC.EDNS0D.AXFR答案：B26.以下关于社会工程学攻击的描述，正确的是（）。A.仅针对系统漏洞B.利用人性弱点获取敏感信息C.需要编写恶意代码D.无法防范答案：B27.在Linux系统审计中，auditd服务配置规则`w/etc/passwdpwakpasswd_changes`的作用是（）。A.禁止访问/etc/passwdB.记录对/etc/passwd的写与属性修改事件C.删除/etc/passwdD.加密/etc/passwd答案：B28.在无线网络安全中，WPA3Personal采用的主要密钥协商协议是（）。A.WEPB.SAE（SimultaneousAuthenticationofEquals）C.TKIPD.LEAP答案：B29.以下关于云安全责任共担模型的描述，正确的是（）。A.云服务商负责所有安全B.用户无需管理任何安全C.云服务商负责基础设施安全，用户负责云上数据与配置安全D.责任完全由第三方审计机构承担答案：C30.在工业控制系统（ICS）安全中，Modbus协议缺乏的安全特性是（）。A.加密B.校验C.地址寻址D.功能码答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于对称加密算法（）。A.AESB.SM4C.RSAD.3DES答案：A、B、D32.关于HTTPS与HTTP/2的关系，下列说法正确的是（）。A.HTTP/2必须使用TLSB.HTTP/2支持多路复用C.HTTP/2强制使用端口443D.HTTP/2支持服务器推送答案：B、D33.以下哪些措施可以有效降低钓鱼邮件成功率（）。A.部署SPF、DKIM、DMARCB.员工安全意识培训C.禁用外部DNSD.邮件网关URL沙箱检测答案：A、B、D34.在Linux下，可用于强制访问控制（MAC）的框架包括（）。A.SELinuxB.AppArmorC.iptablesD.TOMOYO答案：A、B、D35.以下哪些属于OWASPTop102021中新增的风险类别（）。A.失效的访问控制B.服务端请求伪造（SSRF）C.不安全的设计D.日志与监控不足答案：B、C36.关于IPv6地址扫描攻击，下列说法正确的是（）。A.地址空间巨大使传统暴力扫描困难B.可通过SLAAC中的IID模式缩小搜索空间C.可通过DNS反向解析快速发现存活主机D.可通过邻居发现协议（ND）进行本地扫描答案：A、B、D37.以下哪些属于可信计算的核心功能（）。A.可信启动B.密封存储C.远程证明D.动态重编译答案：A、B、C38.在Android应用逆向分析中，可用于对抗动态调试的技术有（）。A.检测TracerPidC.反调试ptraceD.使用JNI加密关键逻辑答案：A、B、C、D39.以下哪些属于云原生安全最佳实践（）。A.镜像最小化B.使用distroless镜像C.PodSecurityPolicy/OPAGatekeeperD.将API密钥硬编码在镜像中答案：A、B、C40.根据《网络安全审查办法》，下列哪些情形应当申报网络安全审查（）。A.平台运营者赴国外上市影响国家安全B.采购网络产品和服务可能影响国家安全C.关键信息基础设施运营者采购重要网络产品D.普通企业官网购买云主机答案：A、B、C三、填空题（每空1分，共20分）41.在Linux系统中，用于查看当前TCP监听端口的命令是`netstat________`或`ss________`。答案：tunlp；tunlp42.《数据安全法》规定，国家建立数据________制度，对重要数据实行重点保护。答案：分类分级保护43.在PKI体系中，用于撤销证书的列表简称为________。答案：CRL44.在Windows中，用于强制删除正在使用文件的命令行工具是`________`。答案：handle/del（或MoveFileEx重启删除，答handle或del均给分）45.国密SM3算法输出杂凑值长度为________位。答案：25646.在SQL注入中，使用`________`函数可获取MySQL数据库版本。答案：version()47.在容器镜像扫描中，对已知CVE漏洞的检测通常依赖________数据库。答案：CVE（或NVD）48.零信任网络架构中，将网络划分为微小隔离区域的策略称为________。答案：微分段49.在IPv6中，地址`fe80::/10`属于________地址类型。答案：链路本地50.根据《个人信息保护法》，处理敏感个人信息应当取得个人的________同意。答案：单独51.在Wireshark中，过滤表达式`tcp.flags.syn==1andtcp.flags.ack==0`用于捕获________包。答案：SYN52.在Android逆向中，将smali代码重新打包成APK的工具是`________`。答案：apktool（或smali/baksmali）53.在等级保护2.0中，安全管理中心要求实现“________”管理，确保统一策略。答案：集中管控54.在密码学中，DiffieHellman算法主要用于________密钥交换。答案：对称55.在Linux内核中，用于限制程序系统调用的安全机制是________。答案：Seccomp56.在Web安全中，CSP指的是________策略。答案：内容安全（ContentSecurityPolicy）57.在Windows日志中，事件ID4670表示对________的权限更改。答案：对象58.在勒索软件加密文件后，常见的文件扩展名变化行为属于________特征。答案：勒索信或加密后缀59.在工业控制网络中，常用深度防御的“________”区用于隔离办公网与生产网。答案：DMZ60.在云安全中，CASB指的是________代理。答案：云访问安全四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.WPA2PSK使用AESCCMP加密时，仍然可能遭受KRACK攻击。答案：√62.在Linux中，文件权限为“rwrr”表示所有者可读可写可执行。答案：×63.根据《网络安全法》，网络运营者可以未经用户同意收集与其提供的服务无关的个人信息。答案：×64.国密算法SM9属于基于标识的密码体制。答案：√65.在Docker中，默认的cgroups机制可以限制容器CPU和内存资源。答案：√66.HTTP响应头`XFrameOptions:DENY`可有效防御点击劫持攻击。答案：√67.在IPv6中，IPSec是强制启用且不可关闭的。答案：×68.在Windows中，关闭LSA保护（RunAsPPL）会降低凭据窃取风险。答案：×69.在Android10及以上版本，非系统应用无法访问其他应用的剪贴板内容。答案：√70.在等级保护测评中，第三级系统要求“剩余风险”为可接受即可，无需整改。答案：×五、简答题（每题5分，共30分）71.简述SSL/TLS中间人攻击的常见原理，并给出两种防御措施。答案：原理：攻击者通过伪造证书或劫持通信，使得客户端与攻击者建立加密通道，攻击者再与服务器建立另一通道，从而解密、篡改数据。防御：1.严格校验服务器证书链，启用HPKP或CT日志检查；2.使用证书锁定（CertificatePinning）防止伪造证书。72.说明国密SM2数字签名生成与验证流程（封闭型）。答案：生成：1.签名方使用私钥d和随机数k，计算椭圆曲线点(x1,y1)=k·G；2.计算r=(e+x1)modn，若r=0或r+k=n则重选k；3.计算s=(1+d)^(1)·(kr·d)modn，若s=0则重选k；4.输出签名(r,s)。验证：1.验证r,s∈[1,n1]；2.计算e=Hash(M)；3.计算t=(r+s)modn，若t=0则无效；4.计算椭圆曲线点(x1',y1')=s·G+t·P；5.计算R=(e+x1')modn，若R=r则签名有效。73.列举云原生环境下造成容器逃逸的三种典型原因，并给出对应加固建议（开放型）。答案：原因：1.内核漏洞（如DirtyCow）；2.特权容器启动（privileged）；3.危险挂载（/var/run/docker.sock）。加固：1.及时升级内核并启用KSPP加固；2.禁止以特权运行，使用最小capabilities；3.禁止挂载宿主机关键套接字，使用PodSecurityPolicy或OPA限制。74.简述Windows环境下利用Mimikatz抓取明文密码的原理，并给出两种缓解方案。答案：原理：Mimikatz通过读取lsass进程内存，找到WDigest或SSP存储的明文密码或NTLMHash。缓解：1.启用CredentialGuard将lsass隔离到VSM；2.禁用WDigest功能（注册表UseLogonCredential=0）并安装KB2871997补丁。75.说明工业控制系统中“白名单+黑名单”混合防护策略的实现思路（开放型）。答案：白名单：在PLC或工控防火墙中仅允许特定源IP、功能码、寄存器范围的Modbus/TCP报文通过；黑名单：利用IPS特征库拦截已知攻击（如Stuxnet利用的MS10061）。混合策略：默认拒绝所有流量，白名单放行合法业务，黑名单实时更新拦截最新威胁，并结合深度包检测（DPI）动态调整。76.描述《个人信息保护法》中“个人信息可携带权”的适用条件与技术实现要点（开放型）。答案：条件：基于同意或合同处理的个人信息，且技术上可行；请求主体为本人或合法代理人；不损害他人合法权益。技术实现：提供结构化、常用、机器可读格式（如JSON、CSV）；部署数据下载接口或API，支持OAuth2.0授权；采用加密传输与签名机制保障数据完整性与保密性；记录审计日志满足追溯要求。六、应用题（共40分）77.综合计算与分析（15分）某企业计划将本地IDC业务迁移至公有云，需进行数据出境安全评估。已知：a)年处理个人信息100万条，含10万条敏感个人信息；b)数据需传输至境外云区域，使用AES256加密，密钥由企业自持；c)境外接收方通过ISO27001认证，但未通过国内个人信息保护认证。请回答：（1）根据《个人信息保护法》，该企业是否需要申报数据出境安全评估？（2）若需评估，请列出评估材料清单（至少5项）。（3）技术层面，如何证明“加密措施有效”？给出测试思路与指标。答案：（1）需要。因处理敏感个人信息超1万人，且数据出境至境外云。（2）材料：1.数据出境安全评估申报表；2.与境外接收方签署的标准合同；3.个人信息保护影响评估报告（PIA）；4.接收方ISO27001证书及审计报告；5.加密方案说明及密钥管理文档；6.数据出境目的、范围、类型说明；7.用户同意证明材料。（3）测试思路：1.使用密码学合规性检测工具（如NISTCAVP）验证AES256实现正确；2.进行渗透测试，尝试中间人攻击、内存转储，验证密钥是否明文泄露；3.指标：密钥长度256位、模式GCM、随机IV、前向保密、密钥生命周期≤2年、无硬编码密钥。78.网络流量分析（10分）给出一段Base64编码的HTTP请求：`GET/api/resetpass?email=admin@&token=1'OR1=1HTTP/1.1`（1）指出可能存在的漏洞类型与危害等级（高/中/低）。（