二级网络安全素质教育试题及答案

二级网络安全素质教育试题及答案1.根据《中华人民共和国个人信息保护法》，下列不属于敏感个人信息的是（）A.生物识别信息、宗教信仰信息B.医疗健康信息、金融账户信息C.不满十四周岁未成年人的个人信息D.公开可查询的企业工商登记信息答案：D解析：《个人信息保护法》第二十八条明确规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。公开可查询的企业工商登记信息不属于个人信息范畴，更不属于敏感个人信息。2.下列关于钓鱼邮件的特征描述中，可判定为高风险钓鱼邮件的是（）A.发件人域名与官方正规域名仅存在1个字符的差异，如将“”拼写为“”B.邮件以“中奖核验”“账户冻结”为由要求收件人点击内嵌链接输入银行卡号、支付密码C.邮件附件为后缀为.exe的可执行文件，且发件人事先未通过其他渠道告知收件人会发送此类文件D.以上三种均属于高风险钓鱼邮件特征答案：D解析：仿冒官方域名是钓鱼邮件常用的伪装手段，极易误导收件人放松警惕；以紧急事由索要银行卡号、支付密码等敏感信息是钓鱼诈骗的核心目的；未知来源的可执行附件大概率携带木马病毒，运行后会导致设备被远程控制、数据被盗，三类特征均指向高风险钓鱼邮件。3.依据《网络安全等级保护条例》，第二级网络运营者应当（）至少开展一次等级测评。A.每半年B.每一年C.每两年D.每三年答案：C解析：网络安全等级保护2.0体系明确规定，第二级网络运营者每两年至少进行一次等级测评，第三级及以上网络运营者每年至少进行一次等级测评，及时排查系统安全隐患。4.下列不属于常用数据脱敏技术的是（）A.掩码处理B.对称加密C.物理删除D.格式保留加密答案：C解析：数据脱敏是在保留数据格式和业务可用性的前提下，对敏感数据进行变形处理，避免敏感数据直接暴露的技术。物理删除会彻底清除数据，破坏数据的业务可用性，不属于脱敏技术范畴，其余三类均为行业常用的脱敏手段。5.下列公共Wi-Fi使用行为中，安全风险最高的是（）A.连接运营商布设的公共Wi-Fi刷短视频B.连接未知来源无密码的公共Wi-Fi进行手机支付C.使用个人热点共享给亲友上网D.在家中Wi-Fi设置WPA3加密协议答案：B解析：无密码的未知公共Wi-Fi极易被攻击者布设为蜜罐，攻击者可通过抓包手段窃取同一网络下所有设备的传输数据，支付操作涉及银行卡号、支付密码等核心敏感信息，在此类网络下操作会导致财产被盗的极高风险。6.下列口令中，安全强度最高的是（）A.12345678B.Zhangsan1990C.Zs@902_$xKD.qwertyuiop答案：C解析：高安全强度口令需同时包含大小写字母、数字、特殊符号，长度不少于8位，且无明显个人信息关联规律，C选项符合所有高安全强度口令要求，其余选项均存在字符类型单一、有规律可循的问题，极易被暴力破解。7.某网站发生数据泄露后，下列用户的应对措施中错误的是（）A.立即修改该网站的账号密码B.复用该密码的其他平台账号同步修改密码C.点击陌生短信中“查询泄露信息”的链接核实情况D.开启账号的二次验证功能答案：C解析：数据泄露事件发生后，不法分子常会发送带有钓鱼链接的短信诱导用户输入敏感信息，点击陌生链接会带来二次被骗的风险，其余选项均为正确的风险规避措施。8.第二级网络的日志留存时间至少应为（）A.1个月B.3个月C.6个月D.12个月答案：C解析：《网络安全法》第二十一条明确要求，网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月，二级网络同样适用该法定要求。9.下列关于个人信息收集的行为中，符合《个人信息保护法》要求的是（）A.线下商家强制要求消费者扫描会员二维码收集手机号才能结账B.移动APP收集用户的通讯录信息用于优化推荐算法，且用户拒绝授权就无法使用核心功能C.政务平台收集用户身份信息仅用于办理对应业务，业务办结后按规定删除信息D.网站在用户不知情的情况下收集用户的浏览记录用于投放精准广告答案：C解析：个人信息收集需遵循最小必要、知情同意的原则，A选项强制收集手机号违反必要性原则，B选项非必要收集通讯录且强制授权违反知情同意原则，D选项未告知用户收集用途违反知情同意原则，C选项符合法定要求。10.下列常见网络攻击中，属于拒绝服务攻击的是（）A.SQL注入B.DDoS攻击C.木马植入D.XSS跨站脚本攻击答案：B解析：DDoS攻击即分布式拒绝服务攻击，攻击者通过控制大量肉鸡设备向目标服务器发送海量请求，导致服务器资源耗尽无法提供正常服务，属于拒绝服务攻击范畴，其余选项均不属于该类攻击。11.依据《网络安全法》，网络运营者不履行网络安全保护义务，受到罚款处罚的，其直接负责的主管人员会被处以（）的罚款。A.五千元以上五万元以下B.一万元以上十万元以下C.五万元以上五十万元以下D.十万元以上一百万元以下答案：A解析：《网络安全法》第五十九条明确规定，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。12.下列关于U盘使用的行为中，安全风险最低的是（）A.直接插入来历不明的U盘拷贝工作文件B.关闭U盘自动运行功能，插入前先进行病毒查杀C.将存储核心工作数据的U盘随意借给他人使用D.在涉密计算机和连接互联网的计算机上交叉使用同一个U盘答案：B解析：关闭U盘自动运行可避免U盘中的病毒自动触发运行，插入前查杀病毒可清除已知的病毒木马，有效降低安全风险，其余选项均存在极高的数据泄露、病毒感染风险。13.下列不属于网络黑产范畴的是（）A.批量注册虚假账号用于薅平台羊毛B.搭建钓鱼网站骗取用户账号密码C.合法出售企业自主采集的公开市场信息D.买卖公民个人信息用于精准诈骗答案：C解析：网络黑产是指利用互联网技术实施的违法违规牟利活动，C选项属于合法的市场信息服务活动，不属于黑产范畴，其余三类均为典型的网络黑产行为。14.第二级网络运营者应当在网络安全等级保护定级后（）内，到所在地公安机关备案。A.10日B.30日C.60日D.90日答案：B解析：《网络安全等级保护条例》明确要求，网络运营者应当在网络安全等级保护定级后三十日内，到所在地公安机关备案，提交定级报告等材料。15.下列关于电信网络诈骗的识别说法中，错误的是（）A.公检法机关不会通过电话要求当事人转账到“安全账户”B.要求缴纳“保证金”“验资款”才能提现的网络贷款都是诈骗C.只要是亲友通过微信发来的转账求助都可以直接转账D.自称平台客服主动要求退款赔偿、索要验证码的都是诈骗答案：C解析：亲友的社交账号可能被盗用，发来转账求助时需要通过电话、视频等方式核实身份后再确认是否转账，直接转账存在被骗风险，其余选项均为正确的诈骗识别常识。二、多项选择题1.下列属于《网络安全法》规定的第二级网络运营者应当履行的安全保护义务的有（）A.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施C.采取数据分类、重要数据备份和加密等措施D.每半年组织一次全员网络安全培训答案：ABC解析：《网络安全法》第二十一条明确规定了网络运营者的通用安全保护义务，ABC均属于法定要求，D选项不属于法定强制义务，网络运营者可根据自身情况制定培训频次。2.遇到电信网络诈骗后，正确的处置措施包括（）A.第一时间拨打110报警，准确告知转账账户、金额、时间等信息B.联系转账对应的银行或支付平台申请紧急止付C.立即删除骗子的联系方式和聊天记录，避免泄露个人隐私D.登录国家反诈中心APP提交涉案信息，配合警方调查答案：ABD解析：遇到诈骗后应完整保留聊天记录、转账凭证等全部证据提交给警方，不得随意删除，C选项做法错误，ABD均为正确的止损和处置措施。3.下列属于第二级网络常见安全防护措施的有（）A.部署防火墙实现内外网访问控制B.安装终端杀毒软件，定期更新病毒库C.对核心数据库部署容灾备份机制D.采用量子加密技术对所有传输数据加密答案：ABC解析：二级网络需匹配符合其防护等级的安全措施，ABC均为二级网络常用的基础防护措施，D选项量子加密属于极高等级的防护手段，一般用于三级以上涉及核心机密的网络，不属于二级网络的常规防护措施。4.下列属于个人信息主体权利的有（）A.查阅、复制其个人信息B.要求个人信息处理者更正、补充不准确的个人信息C.要求个人信息处理者删除其个人信息D.要求个人信息处理者对其个人信息处理规则进行解释说明答案：ABCD解析：《个人信息保护法》第四章明确规定了个人信息主体的查阅权、复制权、更正权、补充权、删除权、规则解释权等法定权利，四类选项均属于个人信息主体的合法权利。5.下列网络行为中，违反《网络安全法》的有（）A.未经允许侵入他人网络、干扰他人网络正常功能B.故意制作、传播计算机病毒等破坏性程序C.提供专门用于从事侵入网络、干扰网络正常功能的程序、工具D.注册网络账号时使用虚假身份信息答案：ABC解析：《网络安全法》第二十七条明确规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事前款规定的活动的，不得为其提供技术支持、广告推广、支付结算等帮助，ABC均违反该条款，D选项注册非法定要求实名的网络账号使用虚假身份信息不属于违法行为。6.下列关于钓鱼网站的识别方法中，正确的有（）A.核查网站域名是否与官方域名完全一致，警惕高仿域名B.查看网站是否有正规的ICP备案信息C.涉及输入账号密码、支付信息的网站，核查地址栏是否有HTTPS加密标识D.网站页面设计粗糙、弹窗过多的一定是钓鱼网站答案：ABC解析：正规网站也可能存在页面设计粗糙、弹窗过多的问题，不能仅凭该特征判定为钓鱼网站，ABC均为有效的钓鱼网站识别方法。7.第二级网络发生网络安全事件后，运营者应当采取的措施有（）A.立即启动应急预案，采取相应的补救措施B.按照规定及时向有关主管部门报告C.对相关责任人进行内部追责，无需告知用户D.及时清理系统日志，避免负面影响扩大答案：AB解析：发生网络安全事件后，若事件涉及用户个人信息泄露，应当及时告知受影响的用户，且不得随意删除系统日志，应当留存日志配合监管部门调查，CD做法错误，AB符合法定处置要求。8.下列属于常见的弱口令风险的有（）A.口令长度不足8位B.口令仅包含数字或仅包含字母C.口令使用本人姓名拼音、生日等易被猜测的信息D.口令定期更换答案：ABC解析：定期更换口令是降低口令泄露风险的正确做法，不属于弱口令风险，其余三类均属于典型的弱口令特征，极易被暴力破解。9.下列关于跨境数据传输的说法中，符合我国法律法规要求的有（）A.关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据，应当依法在境内存储B.非关键信息基础设施运营者收集的个人信息无需经过审批即可向境外提供C.向境外提供重要数据的，应当按照国家网信部门的规定开展数据出境安全评估D.公安、司法机关因办案需要可依法调取跨境传输的数据答案：ACD解析：向境外提供个人信息的，应当符合《个人信息保护法》规定的条件，通过安全评估、认证等流程，不得随意向境外提供，B选项说法错误，其余选项均符合法定要求。10.下列属于网络安全素质教育中要求普通网民应当掌握的技能有（）A.能够识别钓鱼邮件、钓鱼网站等常见网络诈骗手段B.能够设置高安全强度的口令，定期更换账号密码C.能够独立完成网络等级保护测评工作D.能够在遭遇网络诈骗后采取正确的止损措施答案：ABD解析：网络等级保护测评需要由具备专业资质的测评机构完成，不属于普通网民需要掌握的技能，其余三类均为普通网民应当具备的网络安全基本技能。三、判断题1.为了方便记忆，可以将所有网站的账号密码设置为同一个复杂密码，避免遗忘。（×）解析：所有账号使用同一密码时，一旦单个平台发生数据泄露，会导致所有关联账号被盗，风险极高，应使用不同的独立密码，或借助密码管理器管理不同账号的密码。2.第二级网络不需要到公安机关进行等级保护备案。（×）解析：根据等级保护相关规定，第二级及以上网络均需要到属地公安机关完成备案，提交定级材料。3.正规的官方客服不会向用户索要手机验证码、支付密码等敏感信息。（√）解析：官方客服仅会引导用户通过正规的官方渠道操作，不会直接索要验证码、支付密码等信息，索要该类信息的均为诈骗行为。4.个人在朋友圈发布家人照片、行程定位、子女学校等信息不会带来安全风险。（×）解析：朋友圈公开的敏感信息易被不法分子收集，用于实施精准诈骗、入室盗窃等违法活动，不应随意发布核心敏感个人信息。5.网络运营者收集用户个人信息时，只要用户点击了“同意”按钮，就可以随意使用收集到的信息。（×）解析：即使用户同意授权，个人信息处理者也应当按照告知的收集用途使用个人信息，超出用途使用个人信息同样违反《个人信息保护法》要求。6.连接公共Wi-Fi时，使用VPN加密传输可以降低数据被窃取的风险。（√）解析：VPN可对传输数据进行加密，即使攻击者抓取到传输数据包也无法解密获取真实内容，可有效降低公共Wi-Fi下的信息泄露风险。7.二级网络的安全防护能力需要能够抵御来自小型黑客团队的攻击，防范常见的网络安全风险。（√）解析：二级网络的防护目标就是能够应对小型黑客团队、常见网络攻击的威胁，避免发生大面积的数据泄露、系统瘫痪等安全事件。8.收到亲友通过微信发来的转账求助，直接转账即可，不需要核实身份。（×）解析：亲友的社交账号可能被盗用，转账前需要通过电话、视频等其他渠道核实身份，避免被骗。9.安装未知来源的破解版软件不会带来病毒感染、数据泄露的风险。（×）解析：破解版软件通常被不法分子植入了木马病毒，安装后会导致设备被控制、数据被盗，风险极高，应从官方渠道下载正规软件。10.发生个人信息泄露后，个人有权要求个人信息处理者承担相应的法律责任，赔偿造成的损失。（√）解析：《个人信息保护法》明确规定，个人信息处理者不能证明自己没有过错的，应当承担侵权责任，赔偿个人因此遭受的损失。四、案例分析题某小型连锁商超搭建了线上会员商城，经定级为第二级等级保护网络，运营过程中出现如下情况：商城核心数据库未设置细粒度访问权限，所有运维人员均可直接查询完整的会员手机号、收货地址、历史支付记录等信息；2024年3月，攻击者通过商城未修复的SQL注入漏洞获取了12万条会员个人信息