2025年全国计算机等级考试一级网络安全素质教育真题及答案

2025年全国计算机等级考试一级网络安全素质教育真题及答案一、单项选择题（共30小题，每小题1分，共30分。每小题只有一个正确答案，错选、不选均不得分）1.根据《生成式人工智能服务管理暂行办法》，下列主体中属于该办法规制的生成式人工智能服务提供者的是（）A.在我国境内面向公众提供AI绘图服务的互联网企业B.仅在公司内部部署用于员工办公的生成式AI工具的企业C.境外企业仅向境外用户提供生成式AI服务的主体D.个人研发仅供自己使用的生成式AI模型的开发者2.下列属于深度合成（深伪）技术违法应用场景的是（）A.影视制作中利用AI技术修复老电影的模糊画面B.经本人授权后用AI换脸技术生成个性化短视频C.伪造地方政府工作人员讲话视频散布虚假征地政策D.教育领域利用数字人技术制作虚拟教师授课课件3.根据《个人信息保护法》，下列属于敏感个人信息的是（）A.个人常用姓名B.个人人脸指纹信息C.个人公开的通讯地址D.个人网络昵称4.下列密码中安全强度最高的是（）A.12345678B.zhangsan1990C.Zs@97531_2025xD.password5.下列属于钓鱼邮件典型特征的是（）A.发件人邮箱域名与官方域名完全一致B.内容明确无诱导性表述C.附件为后缀为.exe的可执行文件D.仅通知常规办公事项，无敏感信息索要要求6.计算机感染勒索病毒后，第一时间应当采取的措施是（）A.直接支付赎金索要解密密钥B.断开网络连接，防止病毒在内网扩散C.重启计算机尝试恢复文件D.点击勒索窗口中的链接查看解密流程7.网络安全等级保护2.0制度将网络的安全保护等级划分为（）A.3级B.4级C.5级D.6级8.DDoS（分布式拒绝服务）攻击的核心目的是（）A.窃取目标系统的涉密数据B.篡改目标系统的网页内容C.占用目标系统的带宽和资源，导致合法用户无法访问D.向目标系统植入后门长期控制9.下列功能中传统防火墙无法实现的是（）A.拦截来自外网的非法端口扫描B.查杀内网主机已经感染的病毒C.限制特定IP地址访问内部服务器D.过滤不符合规则的入站流量10.下列关于VPN使用的场景中符合法律法规要求的是（）A.企业员工使用公司授权的VPN访问内部办公系统B.使用免费VPN工具访问境外赌博、色情网站C.向他人出售VPN服务用于绕过国内网络监管D.使用VPN篡改自身IP地址对网站发起攻击11.网站Cookie可能带来的主要安全风险是（）A.直接导致计算机感染病毒B.泄露用户的浏览记录、登录状态等敏感信息C.损坏计算机的硬件设备D.自动删除本地存储的文件12.下列不属于个人信息处理应当遵循的基本原则的是（）A.合法、正当、必要和诚信原则B.过度收集、永久存储原则C.公开透明原则D.保证个人信息质量原则13.下列属于社会工程学攻击的是（）A.利用系统漏洞植入木马B.发动DDoS攻击导致网站瘫痪C.冒充公司领导要求财务人员转账到指定账户D.利用病毒加密用户文件索要赎金14.网络安全等级保护的责任主体是（）A.公安机关B.网络运营者（谁运营谁负责）C.网络用户D.第三方安全厂商15.下列不属于恶意代码的是（）A.勒索病毒B.木马程序C.官方正版操作系统驱动程序D.蠕虫病毒16.数据安全的三大核心属性不包括（）A.保密性B.完整性C.可用性D.公开性17.下列家庭WiFi使用的做法中安全的是（）A.使用WPA3加密方式设置高强度密码B.开启WiFi的SSID广播并设置无密码访问C.长期不修改WiFi密码D.分享WiFi密码给所有上门的陌生人18.下列情形中大概率属于电信网络诈骗的是（）A.公安机关上门出示证件要求配合调查B.接到自称“检察院工作人员”的电话，要求将资金转到“安全账户”核查C.快递员打电话要求下楼取快递D.银行工作人员打电话提醒银行卡有异常交易，要求到网点核实19.数字证书的核心作用是（）A.验证通信双方的身份，确保传输内容不被篡改B.提升网络访问速度C.查杀计算机病毒D.存储用户的账号密码20.下列关于系统漏洞修复的做法中正确的是（）A.永远不安装系统补丁，避免影响软件兼容性B.及时安装官方发布的安全补丁，修复高危漏洞C.从非官方论坛下载破解补丁安装D.漏洞修复后不需要重启系统即可生效21.根据《未成年人网络保护条例》，下列说法正确的是（）A.网络产品和服务提供者可以向未成年人提供诱导其沉迷的内容B.未成年人的网络账号不需要实名认证即可注册使用C.未成年人的监护人应当引导未成年人养成良好的网络使用习惯D.网络平台可以向未满16周岁的未成年人提供网络直播发布者账号注册服务22.下列关于生成式AI使用的做法中存在安全风险的是（）A.使用公共生成式AI工具生成公开的行业报告框架B.将公司涉密的项目文档上传到公共生成式AI平台生成总结内容C.利用生成式AI工具辅助优化个人的求职简历D.使用企业内部部署的生成式AI工具处理办公文档23.零信任架构的核心思想是（）A.默认信任所有内部网络的用户和设备B.永不信任，始终验证C.只要账号密码正确就授予全部权限D.仅对外部用户进行身份验证24.域名劫持发生后会出现的典型后果是（）A.访问正确的域名跳转到钓鱼网站B.计算机自动安装大量垃圾软件C.本地文件被加密D.键盘输入的内容被窃取25.下列途径中不会传播计算机病毒的是（）A.打开来历不明的邮件附件B.插入携带病毒的U盘C.通过红外体温检测仪测量体温D.下载运行非官方网站的破解软件26.关键信息基础设施运营者在我国境内运营中收集和产生的重要数据出境，应当首先（）A.直接上传到境外云服务器存储B.按照国家网信部门的规定通过安全评估C.自行决定出境不需要审批D.付费购买出境权限27.容灾备份的3-2-1原则中的“1”指的是（）A.1份数据备份B.1份异地备份C.1种存储介质D.1天备份一次28.某用户设置了一个8位长度的密码，字符集包含大写英文字母（26个）、小写英文字母（26个）、阿拉伯数字（10个）、特殊符号（18个），共计80种可选字符。假设黑客采用暴力穷举的方式破解该密码，每秒可尝试1×A.12天B.124天C.1242天D.19418天29.个人发现自己的身份信息被泄露后，第一时间应当采取的措施是（）A.置之不理，认为不会造成损失B.修改所有关联账号的密码，冻结异常的金融账户C.随意点击陌生链接查询泄露情况D.把自己的密码告诉朋友帮忙防范30.网络运营者发生网络安全事件后，应当在（）内向相关主管部门上报。A.12小时B.24小时C.48小时D.72小时二、多项选择题（共15小题，每小题2分，共30分。每小题有两个或两个以上正确答案，多选、少选、错选、不选均不得分）1.根据《生成式人工智能服务管理暂行办法》，生成式人工智能服务提供者应当履行的安全义务包括（）A.落实算法安全主体责任，建立健全算法安全治理机制B.对训练数据进行安全审核，防止侵害他人知识产权C.对生成的内容进行真实性标识，防范虚假信息传播D.落实未成年人保护措施，防止未成年人沉迷相关服务2.下列属于敏感个人信息的有（）A.生物识别信息B.金融账户信息C.行踪轨迹信息D.医疗健康信息3.下列属于钓鱼邮件典型特征的有（）A.发件人邮箱域名与官方域名存在细微差异（如多一个字母、后缀不同）B.内容带有紧急性、胁迫性诱导话术（如“逾期将影响薪资发放”“账号即将冻结”）C.要求收件人提供银行卡号、验证码、密码等敏感信息D.附件为.exe、.scr、.bat等可执行文件类型4.下列属于勒索病毒预防措施的有（）A.定期对重要数据进行异地备份B.不打开来历不明的邮件附件和链接C.及时安装操作系统和应用软件的安全补丁D.安装正版杀毒软件并定期更新病毒库5.下列属于社会工程学攻击常见手段的有（）A.发送钓鱼邮件诱导用户点击恶意链接B.冒充公检法工作人员索要受害人的银行卡号和验证码C.将携带木马的U盘放在公司门口，诱导员工捡取插入内网计算机D.在公共场合通过肩窥的方式窃取用户的支付密码6.网络安全等级保护2.0的保护对象包括（）A.基础信息网络B.云计算平台、大数据平台C.工业控制系统、物联网系统D.传统信息系统7.下列属于密码安全正确做法的有（）A.不同网络账号使用不同的独立密码B.定期更换账号密码，密码长度不低于8位C.使用密码管理器管理复杂密码D.不将密码告知他人，不在公共场合输入密码时泄露8.使用未加密的公共WiFi可能面临的安全风险有（）A.传输的账号密码、聊天内容等信息被窃听B.被攻击者发起ARP欺骗，流量被劫持C.个人设备被攻击者植入木马病毒D.被攻击者冒用IP地址发布违法信息9.下列属于个人信息处理合法情形的有（）A.取得个人的同意B.为订立、履行个人作为一方当事人的合同所必需C.为履行法定职责或者法定义务所必需D.为应对突发公共卫生事件所必需10.下列属于网络安全事件应急处置正确流程的有（）A.第一时间对受影响的系统和设备进行断网隔离，防止事件扩散B.组织技术人员排查事件原因，评估影响范围和损失C.按照规定向相关主管部门上报事件情况D.留存事件相关的日志、证据，配合监管部门调查11.下列属于深度合成技术违法违规应用的有（）A.伪造他人肖像制作色情视频售卖牟利B.伪造企业负责人讲话视频散布企业破产的虚假谣言C.未经授权利用他人肖像制作表情包在网络传播D.利用深度合成技术制作虚拟新闻主播播报官方新闻12.下列属于零信任架构核心原则的有（）A.最小权限原则，仅授予用户完成工作所需的最小权限B.持续验证原则，对用户和设备的身份、环境进行持续校验C.永不信任原则，不默认信任任何内部或外部的用户、设备D.动态授权原则，根据用户的风险等级动态调整访问权限13.数据安全生命周期涵盖的环节包括（）A.数据收集、存储B.数据传输、使用C.数据提供、公开D.数据销毁14.下列属于电信网络诈骗常见类型的有（）A.刷单返利诈骗，承诺完成刷单任务后返还本金并支付佣金B.虚假投资理财诈骗，诱导受害人在虚假平台投资后卷款跑路C.冒充客服诈骗，谎称购买的商品存在质量问题要给受害人退款D.AI换脸冒充亲友诈骗，利用深度合成技术伪造亲友视频通话要求转账15.下列属于未成年人网络安全保护正确措施的有（）A.引导未成年人开启网络产品和服务的青少年模式B.控制未成年人的上网时长，避免沉迷网络C.教育未成年人不随意向网络泄露个人信息、不私自会见网友D.定期检查未成年人的网络使用情况，及时制止不良上网行为三、判断题（共20小题，每小题1分，共20分。正确选√，错误选×）1.生成式人工智能生成的内容均属于公共领域资源，使用者无需考虑版权归属即可任意商用。（）2.只要安装了正版杀毒软件，计算机就绝对不会感染任何恶意代码。（）3.个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。（）4.为了方便记忆，可以将所有网络账号的密码设置为同一个简单密码。（）5.公检法机关绝对不会通过电话要求公民将资金转到所谓的“安全账户”。（）6.防火墙可以完全阻止来自网络内部的攻击行为。（）7.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施，实行重点保护。（）8.收到中奖信息后，只要本人银行卡内没有余额，就可以随意填写个人身份证号、手机号等信息。（）9.使用未加密的公共WiFi时，可以放心登录网上银行进行大额转账操作。（）10.感染勒索病毒后，只要支付赎金就一定能100%恢复所有被加密的文件。（）11.个人有权向个人信息处理者查阅、复制其个人信息。（）12.网络运营者可以收集与提供的服务无关的个人信息，只要不对外泄露就不违法。（）13.深度合成技术生成的内容只要不用于商业用途就不会违反法律法规。（）14.网络安全等级保护2.0的定级流程为：确定定级对象、初步定级、专家评审、主管部门审核、公安机关备案审查。（）15.可以将自己的手机号、身份证号借给他人注册网络账号，只要对方不用于违法活动即可。（）16.安全漏洞只会存在于操作系统中，应用软件不会存在安全漏洞。（）17.发生网络安全事件后，运营者可以自行处置，瞒报、迟报事件不会承担法律责任。（）18.未经批准私自使用VPN访问境外非法网站属于违法行为。（）19.数据备份只需要备份到本地硬盘即可，不需要进行异地备份。（）20.收到亲友发来的借钱信息，只要对方的头像和昵称是熟悉的，就可以直接转账不需要核实。（）四、综合应用题（共2小题，每小题10分，共20分）1.某互联网公司职员小李2025年3月12日收到一封办公邮箱邮件，发件人显示为“公司人力资源部<hr@corp-ba>”，该公司官方人力资源部的正规邮箱域名为@corp-baidu。邮件正文内容为：“各位同事：2025年第一季度绩效奖金将于本周发放，因社保缴费基数调整，需全体员工于今日18:00前点击附件中的‘绩效奖金核验工具.exe’填写个人社保账号、银行卡号等信息，逾期未提交者将延迟30天发放奖金。”小李未仔细核实发件人信息，点击附件运行后发现本地所有办公文档、设计图纸均被加密，文件后缀统一被修改为.crypt，桌面弹出勒索窗口，要求36小时内支付0.8比特币赎金，否则将永久删除解密密钥。请结合上述场景回答下列问题：（1）请列举本次事件中钓鱼邮件的3个典型特征（3分）（2）小李点击附件后感染的恶意代码属于哪一类别？（2分）（3）请写出本次事件发生后小李应采取的正确处置流程（5分）2.某高校大二学生周某日常热衷于尝试各类互联网新产品，2025年5月起周某陆续接到多个冒充校园资助中心、电商客服的诈骗电话，还收到了大量垃圾营销短信，个人社交账号也出现异地登录提醒。经校方网络安全工作人员排查，周某的日常网络使用习惯如下：①所有网络账号（校园网、社交平台、购物平台、游戏平台）均使用同一密码“zhou19990905”；②经常在学校周边的奶茶店、地铁站连接无密码的公开WiFi，使用该WiFi登录手机银行、购物平台进行支付操作；③为领取电商平台的3元无门槛优惠券，授权17个第三方小程序获取自身的手机号、地理位置、通讯录、相册权限；④经常在公开的社交平台（无好友可见限制）发布自己的学生证照片、校园定位、家庭住址、家人联系方式等内容；⑤使用公共生成式AI平台撰写助学金申请材料时，上传了包含自己身份证号、银行卡号、家庭收入信息的证明文档。请结合上述场景回答下列问题：（1）请分别指出周某的5项网络使用习惯对应的安全风险（5分）（2）请为周某提出5条针对性的网络安全使用改进建议（5分）参考答案及解析一、单项选择题1.答案：A解析：《生成式人工智能服务管理暂行办法》仅规制面向公众提供生成式AI服务的主体，内部使用、境外面向境外用户、个人自用的均不属于规制范围，因此A选项正确。2.答案：C解析：伪造公职人员讲话散布虚假信息属于违法违规应用，其余选项均为合法的深度合成技术应用场景。3.答案：B解析：根据《个人信息保护法》，生物识别信息属于敏感个人信息，其余选项均属于一般个人信息。4.答案：C解析：高强度密码需包含大小写字母、数字、特殊字符，且无明显规律，C选项符合要求，其余选项密码强度极低。5.答案：C解析：钓鱼邮件通常携带可执行文件等恶意附件，其余选项均为正规邮件的特征。6.答案：B解析：感染勒索病毒后第一时间断网可以防止病毒扩散到内网其他设备，支付赎金无法保证文件恢复，重启可能加重破坏，因此B选项正确。7.答案：C解析：等保2.0将网络安全保护等级划分为一级到五级共5个等级。8.答案：C解析：DDoS攻击的核心目的是耗尽目标系统的带宽和资源，使其无法为合法用户提供服务，其余选项均不属于DDoS攻击的核心目的。9.答案：B解析：传统防火墙仅能对网络边界的流量进行过滤，无法查杀内网主机已感染的病毒，该功能属于杀毒软件的范畴。10.答案：A解析：企业授权的VPN用于内部办公属于合法场景，其余选项均违反我国相关法律法规。11.答案：B解析：Cookie存储了用户的浏览记录、登录状态等信息，一旦被窃取可能导致个人信息泄露，其余选项均不属于Cookie的安全风险。12.答案：B解析：个人信息处理应当遵循最小必要原则，不得过度收集、永久存储个人信息，因此B选项不属于基本原则。13.答案：C解析：社会工程学攻击是利用人的心理弱点进行的攻击，冒充领导要求转账属于典型的社会工程学攻击，其余选项均为技术层面的攻击。14.答案：B解析：网络安全等级保护实行“谁运营、谁负责”的原则，网络运营者是责任主体。15.答案：C解析：官方正版驱动程序属于合法软件，不属于恶意代码。16.答案：D解析：数据安全三大核心属性为保密性、完整性、可用性，公开性不属于核心属性。17.答案：A解析：WPA3是目前最安全的WiFi加密方式，其余选项均存在安全风险。18.答案：B解析：公检法机关不会通过电话要求转账到“安全账户”，该情形属于典型的诈骗。19.答案：A解析：数字证书通过非对称加密技术验证身份，确保传输内容的完整性和保密性，其余选项均不是数字证书的作用。20.答案：B解析：及时安装官方安全补丁是修复漏洞的正确做法，其余选项均存在安全风险。21.答案：C解析：监护人应当承担未成年人网络保护的责任，其余选项均违反《未成年人网络保护条例》的规定。22.答案：B解析：将涉密文档上传到公共AI平台可能导致涉密信息泄露，存在严重安全风险。23.答案：B解析：零信任架构的核心思想是“永不信任，始终验证”，不默认信任任何用户和设备。24.答案：A解析：域名劫持会篡改域名解析结果，导致用户访问正确域名时跳转到恶意网站，其余选项均不是域名劫持的典型后果。25.答案：C解析：红外体温检测仪仅进行温度测量，不会传输可执行代码，因此不会传播病毒，其余选项均为常见的病毒传播途径。26.答案：B解析：重要数据出境应当按照规定通过国家网信部门组织的安全评估，不得私自出境。27.答案：B解析：3-2-1原则是指3份数据备份、2种不同存储介质、1份异地备份，因此“1”指1份异地备份。28.答案：D解析：计算过程如下：总组合数计算公式：N=，其中C=80为字符集大小，L破解总时长（秒）：=，其中v=1×换算为天数：==29.答案：B解析：信息泄露后第一时间修改密码、冻结异常账户可以减少损失，其余选项均可能导致损失扩大。30.答案：B解析：根据《网络安全法》规定，网络运营者发生网络安全事件后应当在24小时内向相关主管部门上报。二、多项选择题1.答案：ABCD解析：四个选项均为《生成式人工智能服务管理暂行办法》规定的服务提供者应当履行的义务。2.答案：ABCD解析：四个选项均属于《个人信息保护法》规定的敏感个人信息范畴。3.答案：ABCD解析：四个选项均为钓鱼邮件的典型特征。4.答案：ABCD解析：四个选项均为有效的勒索病毒预防措施。5.答案：ABCD解析：四个选项均为社会工程学攻击的常见手段。6.答案：ABCD解析：等保2.0实现了对传统信息系统、新型基础设施的全覆盖，四个选项均属于保护对象。7.答案：ABCD解析：四个选项均为密码安全的正确做法。8.答案：ABCD解析：四个选项均为使用未加密公共WiFi可能面临的安全风险。9.答案：ABCD解析：四个选项均为《个人信息保护法》规定的个人信息处理合法情形。10.答案：ABCD解析：四个选项均为网络安全事件应急处置的正确流程。11.答案：ABC解析：利用深度合成技术侵害他人权益、散布虚假信息均属于违法违规应用，D选项为合法应用场景。12.答案：ABCD解析：四个选项均为零信任架构的核心原则。13.答案：ABCD解析：四个选项均属于数据安全生命周期的覆盖环节。14.答案：ABCD解析：四个选项均为当前常见的电信网络诈骗类型。15.答案：ABCD解析：四个选项均为未成年人网络安全保护的正确措施。三、判断题1.答案：×解析：生成式AI生成的内容可能涉及他人版权，商用需获得授权，否则可能构成侵权。2.答案：×解析：杀毒软件无法查杀所有未知的新型恶意代码，仍然存在感染风险。3.答案：√解析：符合《个人信息保护法》关于未成年人个人信息处理的规定。4.答案：×解析：所有账号使用同一密码一旦泄露会导致所有账号被盗，存在严重安全风险。5.答案：√解析：“安全账户”是诈骗分子虚构的概念，公检法机关不会要求转账到该类账户。6.答案：×解析：防火墙无法防控来自内网内部的攻击行为。7.答案：√解析：符合《网络安全法》关于关键信息基础设施重点保护的规定。8.答案：×填写个人信息后可能被用于诈骗、倒卖等违法活动，即使银行卡内无余额也存在风险。9.答案：×未加密公共WiFi的传输内容可能被窃听，登录网上银行转账存在密码泄露风险。10.答案：×支付赎金后勒索分子可能不提供解密密钥，或者提供的密钥无法完全恢复文件，因此不能保证100%恢复。11.答案：√符合《个人信息保护法》规定的个人对其个人信息的查阅、复制权。12.答案：×网络运营者不得收集与提供的服务无关的个人信息，即使不泄露也属于违法行为。13.答案：×即使不用于商业用途，利用深度合成技术侵害他人名誉权、肖像权的也属于违法行为。14.答案：√符合等保2.0的定级流程规定。15.答案：×出借个人身份信息注册账号可能被用于违法活动，本人需要承担相应的法律责任。16.答案：×应用软件同样可能存在安全漏洞，需要及时更新补丁。17.答案：×瞒报、迟报网络安全事件违