网络安全知识挑战赛试题答案详解.docxVIP

第PAGE页共NUMPAGES页

网络安全知识挑战赛试题答案详解

一、单选题（共5题，每题2分，共10分）

1.在中国《网络安全法》中，负责统筹协调网络安全工作、建立健全网络安全保障体系的机构是？

A.公安部

B.国家互联网信息办公室

C.国务院网络安全工作委员会

D.中央网络安全和信息化委员会

答案：C

解析：《网络安全法》第7条规定，国务院设立网络安全工作委员会，负责统筹协调网络安全工作，建立健全网络安全保障体系。选项A（公安部）负责网络违法犯罪案件侦查；选项B（国家互联网信息办公室）负责互联网内容管理；选项D（中央网络安全和信息化委员会）是最高级别的网络安全协调机构，但《网络安全法》明确国务院层面的协调机构是国网安委。

2.以下哪种加密算法属于对称加密？

A.RSA

B.ECC

C.DES

D.SHA-256

答案：C

解析：对称加密算法使用同一密钥进行加密和解密，如DES（DataEncryptionStandard）、AES；非对称加密算法使用公钥和私钥，如RSA、ECC；SHA-256属于哈希算法，用于数据完整性校验。RSA和ECC属于非对称加密，SHA-256属于哈希算法。

3.中国《数据安全法》规定，关键信息基础设施运营者应当在中华人民共和国境内存储重要数据的，确因业务需要，确需向境外提供的，应当进行安全评估。以下哪项不属于需要评估的内容？

A.数据出境可能带来的安全风险

B.预防数据泄露的措施

C.境外接收方的数据安全能力

D.数据传输速率

答案：D

解析：《数据安全法》第38条要求进行安全评估的内容包括数据出境可能带来的安全风险、预防数据泄露的措施、境外接收方的数据安全能力等，未涉及数据传输速率。

4.某公司部署了WAF（Web应用防火墙），但发现仍被攻击者通过SQL注入攻击得手。原因是WAF规则未覆盖以下哪种情况？

A.嵌套的SQL查询

B.双写（如“OR1=1”）绕过

C.利用HTTP请求头部构造的注入

D.白名单中的正常SQL查询被误拦截

答案：C

解析：WAF通常基于规则库检测SQL注入，但若攻击者利用HTTP请求头部（如X-Forwarded-For、Cookie等）构造恶意请求，可能绕过检测。选项A和B属于常见的SQL注入变种，WAF可配置规则拦截；选项D属于误报，可通过调整规则解决。

5.中国《个人信息保护法》规定，处理个人信息应遵循合法、正当、必要原则。以下哪种情况属于“必要性”缺失？

A.用户注册时要求提供手机号验证身份

B.网站收集用户IP地址用于统计访问量

C.医疗机构为诊疗需要收集患者病历

D.电商平台根据用户购买记录推荐商品

答案：B

解析：收集个人信息必须具有明确目的且与处理目的直接相关。选项A（手机号验证身份）、C（病历用于诊疗）、D（推荐商品基于购买记录）均符合必要性；选项B（IP地址统计访问量）可能超出用户合理预期，若未提供替代方案（如匿名统计）则必要性不足。

二、多选题（共5题，每题3分，共15分）

6.在中国，哪些主体属于《关键信息基础设施安全保护条例》规定的关键信息基础设施运营者？

A.电力、通信网络运营商

B.交通运输系统管理单位

C.大型互联网平台（如腾讯、阿里）

D.金融机构的核心系统运营方

E.学校的教务系统

答案：A、B、C、D

解析：《关键信息基础设施安全保护条例》第2条规定，关键信息基础设施包括能源、通信、交通、公共事业、金融、公共服务等领域。选项A（电力、通信）、B（交通运输）、C（互联网平台）、D（金融核心系统）均属于关键信息基础设施；选项E（学校教务系统）通常不属于国家层面定义的关键信息基础设施。

7.以下哪些技术可用于防御DDoS攻击？

A.流量清洗中心

B.防火墙深度包检测

C.BGP路由优化（AS路径黑洞）

D.DNSSEC（域名系统安全扩展）

E.SYN洪攻击防护模块

答案：A、C、E

解析：DDoS防御技术包括流量清洗（A）、AS路径黑洞（C）、SYNFlood防护（E）。选项B（防火墙检测）主要用于恶意流量过滤，对泛洪攻击效果有限；选项D（DNSSEC）用于DNS安全，与DDoS防御无直接关联。

8.中国《密码法》规定，以下哪些场景必须使用商用密码？

A.金融机构核心业务系统加密传输

B.政府部门涉密文件存储加密

C.电子商务平台的用户密码存储

D.量子通信网络传输加密

E.医疗机构电子病历传输加密

答案：A、B、E

解析：《密码法》第18条规定，关键信息基础设施运营者、重要信息系统运营者应使用商用密码保障网络安全。选项A（金融核心业务）、B（政府涉密文件）、E（医疗病历）均属于重要信息系统；选项C（电商密码存储）通常使用普通哈