2025年网络安全宣传周竞赛试题及答案

2025年网络安全宣传周竞赛试题及答案一、单项选择题（共20题，每题2分，共40分）1.修订后的《中华人民共和国网络安全法》正式施行日期为（）A.2024年10月1日B.2025年1月1日C.2024年12月1日D.2025年3月1日答案：B2.关键信息基础设施运营者应当至少按照网络安全等级保护（）要求开展安全防护A.第二级B.第三级C.第四级D.第五级答案：B3.根据《生成式人工智能服务管理暂行办法》，以下不属于生成式AI内容强制标识场景的是（）A.对外发布的AI生成图片B.公开传播的AI合成音视频C.内部办公使用的AI生成草稿D.公开发布的AI生成营销文案答案：C4.以下不属于《个人信息保护法》规定的敏感个人信息范畴的是（）A.生物识别信息B.宗教信仰信息C.普通姓名与常用手机号D.医疗健康信息答案：C5.根据《数据出境安全评估办法》，处理（）以上个人信息的处理者向境外提供个人信息，应当申报数据出境安全评估A.10万人B.50万人C.100万人D.200万人答案：C6.根据2024年修订的《网络产品安全漏洞管理规定》，发现存在被利用可能性极高、影响范围极大的高危漏洞，漏洞发现主体应当在发现后（）小时内报送至工信部网络安全威胁和漏洞信息共享平台A.12B.24C.48D.72答案：B7.以下属于电信网络诈骗常见手段的是（）A.官方客服主动来电要求提供银行卡号、验证码办理退款B.快递员发短信要求点击链接领取快递补贴C.自称公检法人员要求将资金转入“安全账户”D.以上都是答案：D8.根据《中华人民共和国密码法》，国家对密码实行分类管理，以下不属于法定密码分类的是（）A.核心密码B.普通密码C.商用密码D.民用密码答案：D9.根据《关键信息基础设施安全保护条例》，运营者应当至少（）开展一次网络安全检测和风险评估A.每半年B.每年C.每两年D.每季度答案：B10.以下属于钓鱼邮件典型特征的是（）A.发件人邮箱后缀与官方域名存在细微差异B.邮件内容包含紧急性提示要求立即点击链接C.邮件附件名称带有“.exe”“.bat”等可执行后缀D.以上都是答案：D11.使用数字人民币支付时，以下存在安全风险的操作是（）A.仅在官方数字人民币APP内完成转账操作B.扫描正规商户公示的官方收款码付款C.点击陌生短信内链接填写数字人民币钱包支付密码D.开启小额免密后定期核对交易记录答案：C12.工业互联网领域工控系统最常见的攻击类型是（）A.勒索病毒攻击B.DDoS攻击C.SQL注入攻击D.XSS跨站脚本攻击答案：A13.网络安全等级保护第三级保护对象的测评周期为至少（）一次A.半年B.一年C.两年D.三年答案：B14.根据《数据安全法》，对国家安全、公共利益或者个人、组织合法权益造成特别严重损害的数据，属于（）A.一般数据B.重要数据C.核心数据D.敏感数据答案：C15.个人信息处理者违反规定处理个人信息的，个人有权请求处理者（）相关个人信息A.删除B.更正C.复制D.转移答案：A16.在公共场合连接免费Wi-Fi时，以下安全的操作是（）A.使用Wi-Fi进行网银转账操作B.开启Wi-Fi自动连接功能C.使用VPN加密后访问敏感业务系统D.点击Wi-Fi弹出的陌生广告链接答案：C17.针对“AI换脸、AI拟声”类诈骗，以下应对方式错误的是（）A.接到亲友要求转账的请求，通过视频通话核验身份B.要求对方说出只有双方知道的私密信息核验C.看到AI生成的亲友求助视频后立即转账D.拨打对方常用手机号核验身份答案：C18.以下不属于网络运营者应当履行的网络安全等级保护义务的是（）A.制定内部安全管理制度和操作规程，确定网络安全负责人B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施C.随意向第三方提供用户个人信息D.采取监测、记录网络运行状态、网络安全事件的技术措施，按照规定留存相关的网络日志不少于六个月答案：C19.以下关于暗网的说法错误的是（）A.暗网内容无法通过普通搜索引擎检索到B.暗网上的交易全部是合法合规的C.访问暗网通常需要使用特殊的加密工具D.暗网是网络诈骗、违禁品交易的高发区域答案：B20.发生网络安全事件后，以下处置流程排序正确的是（）①采取措施消除安全隐患②向有关主管部门报告③评估事件影响④留存事件相关日志证据A.④③①②B.①②③④C.③①④②D.②③④①答案：A二、多项选择题（共10题，每题3分，共30分，多选、少选、错选均不得分）1.以下属于《网络安全法》规定的网络运营者范畴的有（）A.网络所有者B.网络管理者C.网络服务提供者D.网络使用者答案：ABC2.个人信息处理者处理敏感个人信息，应当符合的条件有（）A.取得个人的单独同意B.向个人告知处理敏感个人信息的必要性以及对个人权益的影响C.法律、行政法规规定应当取得书面同意的，从其规定D.可以随意处理无需告知答案：ABC3.生成式人工智能服务提供者应当履行的安全义务有（）A.开展算法备案B.对生成的内容进行审核C.采取措施防止生成虚假信息D.无需留存用户操作日志答案：ABC4.以下属于电信网络诈骗常见类型的有（）A.刷单返利诈骗B.虚假投资理财诈骗C.冒充公检法诈骗D.“杀猪盘”诈骗答案：ABCD5.关键信息基础设施运营者采购网络产品和服务可能影响国家安全的，应当按照国家规定经过（）部门组织的国家安全审查A.国家网信部门B.国务院电信主管部门C.公安部门D.市场监管部门答案：ABC6.以下属于常见网络攻击手段的有（）A.钓鱼邮件B.DDoS攻击C.勒索病毒攻击D.SQL注入攻击答案：ABCD7.使用社交软件时，以下存在安全风险的操作有（）A.随意点击陌生人发送的链接B.扫描陌生人发送的未知二维码C.将自己的账号密码出租给他人使用D.在朋友圈公开自己的身份证、银行卡照片答案：ABCD8.按照《数据安全法》，数据处理活动包括数据的（）、公开等环节A.收集B.存储C.使用D.加工答案：ABCD9.以下属于网络安全等级保护2.0覆盖的保护对象的有（）A.传统信息系统B.云计算平台C.大数据平台D.工业控制系统答案：ABCD10.发生个人信息泄露事件后，个人信息处理者应当采取的措施有（）A.立即采取补救措施B.通知受影响的个人C.向履行个人信息保护职责的部门报告D.隐瞒事件不对外公布答案：ABC三、判断题（共10题，每题1分，共10分）1.修订后的《中华人民共和国网络安全法》于2025年1月1日正式施行。（√）2.网络运营者留存网络日志的期限不得少于3个月。（×，正确为不少于6个月）3.生成式人工智能服务提供者可以随意使用用户输入的信息训练算法模型，无需取得用户同意。（×，需取得用户明确授权）4.关键信息基础设施运营者可以不参加网络安全应急演练。（×，每年至少开展1次应急演练）5.公民个人的行踪轨迹属于敏感个人信息。（√）6.收到官方客服发来的中奖链接，点击后填写个人身份证、银行卡信息即可领取奖品。（×，属于典型诈骗场景）7.密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。（√）8.网络安全等级保护的等级分为1到4级，共4个等级。（×，共5个等级）9.漏洞发现者可以在漏洞被修复前，将漏洞信息公开在社交媒体平台。（×，不得提前公开未修复的高危漏洞）10.为了方便记忆，可以将所有网站的账号密码设置为同一个。（×，易引发撞库攻击，应设置不同密码并定期更换）四、简答题（共4题，每题5分，共20分）1.请简述《个人信息保护法》中规定的个人信息处理七大基本原则。答案：（1）合法、正当、必要和诚信原则；（2）目的限制原则：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；（3）最小必要原则：收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息；（4）公开透明原则：处理个人信息应当公开处理规则，明示处理的目的、方式和范围；（5）质量保障原则：应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响；（6）责任落实原则：处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全；（7）时限最小原则：除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。2.请简述网络安全事件应急响应的五个核心阶段及主要工作内容。答案：（1）准备阶段：建立应急响应组织、制定应急预案、储备应急工具、开展应急演练，提升应急处置能力；（2）检测与分析阶段：监测网络运行状态，识别安全告警，核实安全事件真实性，分析事件类型、影响范围、危害程度；（3）遏制与根除阶段：采取隔离受感染设备、阻断攻击路径等措施防止事件扩大，定位攻击源，清除恶意代码、漏洞隐患，根除攻击影响；（4）恢复与重建阶段：恢复受影响的系统、业务正常运行，对相关系统进行安全加固，避免再次被攻击；（5）总结与改进阶段：对事件处置过程进行复盘，梳理安全短板，完善安全防护体系，修订应急预案，开展针对性安全培训。3.请简述生成式人工智能服务存在的主要安全风险。答案：（1）内容安全风险：可能生成虚假信息、暴力色情、违法违规内容，误导公众，扰乱社会秩序；（2）个人信息泄露风险：训练过程中可能非法收集个人信息，用户输入的敏感信息可能被泄露或滥用；（3）知识产权风险：训练数据可能未经授权使用他人享有知识产权的内容，生成内容存在侵权风险；（4）技术滥用风险：可能被用于生成AI换脸、AI拟声内容实施诈骗，或者生成恶意代码、钓鱼网站模板等用于网络攻击；（5）算法偏见风险：训练数据存在偏见可能导致生成内容存在歧视性、误导性内容，侵害特定群体合法权益。4.请简述公民个人日常网络安全防护的“四不原则”。答案：（1）不透露：不随意向陌生方透露自己的身份证号、银行卡号、验证码、支付密码等敏感信息，不在非正规平台填写个人敏感信息；（2）不点击：不点击陌生短信、邮件、社交软件中收到的未知链接，不扫描陌生二维码；（3）不转账：不向陌生账户转账，遇到亲友要求转账的情况务必通过多种渠道核验身份，不相信所谓的“安全账户”；（4）不下载：不下载非官方应用商店的未知APP，不安装来源不明的软件、插件，不随意给予陌生APP不必要的权限。五、案例分析题（共1题，20分）案例背景2025年3月，某市三甲医院遭受勒索病毒攻击，患者就诊系统、病历存储系统全部瘫痪，攻击者索要1000比特币作为赎金，否则将删除所有数据并公开患者敏感医疗信息。经调查，该医院属于关键信息基础设施运营者，未按照等保3级要求开展安全防护，未定期开展漏洞扫描，系统存在的永恒之蓝高危漏洞2年未修复，也未定期开展数据备份，同时该医院将部分患者个人信息未经脱敏提供给第三方商业体检机构用于营销推广。问题1.该医院存在哪些违反网络安全相关法律法规的行为？（10分）2.针对上述问题，该医院应当采取哪些整改措施？（10分）参考答案1.违规行为：（1）未履行网络安全等级保护义务：作为关键信息基础设施运营者，未按照等保3级要求落实安全防护措施，未定期开展漏洞扫描修复，高危漏洞长期未整改，未建立完善的安全防护体系；（2）未履行数据安全保护义务：未定期开展重要数据备份，导致遭受攻击后无法快速恢复业务，数据面临被删除、泄露的风险；（3）未履行个人信息保护义务：未经患者同意，擅自将未脱敏的患者个人信息提供给第三方机构用于商业营销，违反《个人信息保护法》相关规定；（4）未建立网络安全应急响应机制：未制定完善的应急预案，遭受攻击后无法快速开展应急处置，导致业务长时间瘫痪。2.整改措施：（1）立即开展应急处置：联系专业网络安全机构协助排查攻击路径，清除恶意代码，如有备份优先恢复系统运行，同时向网信、卫健、公安等主管部门上报事件情况，配合开展调查，对受影响的患者履行告知义务；（2）落实等保3级防护要求：委托具备资质的机构开展等保测评，全面排查系统漏洞，立即修复所有高危、中危漏洞，部署入侵检测、防勒索、防火墙等安全设备，建立定期漏洞扫描、渗透测试机制，每年度开展等保测评；（3）完善数据安全管理体系：建立数据分类分级机制，对患者医疗信息等敏感数据进行加密存储，定期开展全量离线数据