2025年网络安全通识题库及答案解析.docxVIP

2025年网络安全通识题库及答案解析

一、单项选择题（每题2分，共30题）

1.以下哪种攻击方式主要利用用户心理弱点实施？

A.SQL注入攻击

B.钓鱼邮件攻击

C.DDoS分布式拒绝服务攻击

D.勒索软件攻击

答案：B

解析：钓鱼邮件攻击属于社会工程学攻击的典型形式，通过伪造可信来源（如银行、电商平台）诱导用户点击恶意链接或泄露敏感信息，核心是利用用户的信任心理。其他选项均为技术层面的攻击手段，与用户心理无直接关联。

2.零信任架构（ZeroTrustArchitecture）的核心原则是？

A.信任内部网络，仅验证外部访问

B.默认不信任任何访问请求，持续验证身份与环境

C.仅验证用户身份，不检查设备安全状态

D.对所有用户开放最高权限，事后审计

答案：B

解析：零信任架构的核心理念是“永不信任，始终验证”，无论访问源是内部还是外部网络，均需对用户身份、设备安全状态、访问环境（如IP地址、时间）等进行持续验证，避免因内部网络被渗透导致的安全风险。

3.以下哪项属于数据脱敏技术？

A.对用户手机号进行MD5哈希处理

B.将身份证号中间四位替换为“”

C.使用AES算法加密用户地址信息

D.通过防火墙阻断未授权数据外传

答案：B

解析：数据脱敏是指对敏感数据进行变形处理，使其在保留使用价值的同时降低泄露风险（如“1381234”）。哈希（A）和加密（C）属于数据保护技术，但未改变数据格式；防火墙（D）是访问控制手段，与脱敏无关。

4.《中华人民共和国网络安全法》规定，关键信息基础设施的运营者应当自行或委托第三方每年至少进行几次网络安全检测评估？

A.1次

B.2次

C.3次

D.4次

答案：A

解析：根据《网络安全法》第三十八条，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

5.物联网（IoT）设备常见的安全风险不包括？

A.硬编码默认密码

B.固件更新机制缺失

C.支持多因素认证（MFA）

D.未启用加密的通信协议（如HTTP）

答案：C

解析：支持多因素认证是增强设备安全的措施，而非风险。物联网设备因资源限制常使用硬编码默认密码（如“admin/admin”）、缺乏自动固件更新（导致漏洞无法修复）、使用未加密协议（如HTTP传输数据），均为典型安全风险。

6.以下哪种加密算法属于非对称加密（公钥加密）？

A.AES-256

B.DES

C.RSA

D.SHA-256

答案：C

解析：RSA是典型的非对称加密算法，使用公钥加密、私钥解密；AES（高级加密标准）和DES（数据加密标准）是对称加密算法，加密和解密使用同一密钥；SHA-256是哈希算法，用于生成数据摘要。

7.企业部署入侵检测系统（IDS）时，最关键的功能需求是？

A.阻断所有异常流量

B.实时监控并分析网络行为

C.存储所有历史日志

D.替代防火墙的访问控制功能

答案：B

解析：IDS的核心功能是监控网络或系统活动，检测已知或未知的攻击行为（如异常流量、恶意代码），并生成警报；阻断流量是入侵防御系统（IPS）的功能（A错误）；存储日志是附加功能（C非关键）；IDS不替代防火墙（D错误）。

8.2025年，AI生成内容（AIGC）带来的主要网络安全风险是？

A.加速恶意代码的自动化生成

B.提升用户隐私保护水平

C.降低网络攻击的技术门槛

D.A和C

答案：D

解析：AI技术可被攻击者用于自动化生成钓鱼邮件、伪造身份（如深度伪造语音/视频）、优化攻击路径，同时降低攻击所需的专业知识（如通过AI工具生成漏洞利用代码），因此A和C均正确；B与风险无关。

9.以下哪项符合《个人信息保护法》中“最小必要原则”的要求？

A.电商平台收集用户姓名、手机号、收货地址用于订单配送

B.社交软件要求用户提供身份证号以注册账号

C.医疗APP在用户拒绝授权通讯录权限时拒绝提供服务

D.教育平台存储用户5年前的浏览记录用于广告推送

答案：A

解析：最小必要原则要求收集的个人信息应与服务目的直接相关且数量最少。A选项中，姓名、手机号、地址是订单配送的必要信息；B（身份证号非注册社交账号必要）、C（拒绝非必要权限时应允许使用基础服务）、D（超期存储）均违反该原则。

10.勒索软件攻击的典型特征是？

A.篡改用户数据并索要赎金

B.