2025年国家网络安全试题及答案.docxVIP

2025年国家网络安全试题及答案

2025年国家网络安全水平测试试题（专业级）

一、单项选择题（共20题，每题1分，共20分）

1.根据《网络安全等级保护条例》（2024修订版），以下哪类信息系统不属于第三级保护对象？

A.日均交易规模超5000万元的第三方支付平台核心交易系统

B.服务覆盖3个省的省级政务数据共享交换平台

C.存储100万条个人生物识别信息（如指纹、人脸）的医疗影像系统

D.地市级交通信号灯控制系统

2.某企业因数据泄露被举报，监管部门依据《数据安全法》开展调查时，企业拒不提供数据处理日志。根据法律规定，监管部门可对其处最高（）罚款？

A.50万元B.200万元C.500万元D.1000万元

3.以下哪种攻击方式不属于“内存破坏型漏洞利用”？

A.缓冲区溢出（BufferOverflow）

B.格式化字符串漏洞（FormatStringVulnerability）

C.SQL注入（SQLInjection）

D.堆溢出（HeapOverflow）

4.某金融机构采用国密算法构建加密系统，其手机银行APP与服务器通信时，若选择“数字签名+数据加密”组合，最合理的算法搭配是？

A.SM2（签名）+SM4（加密）

B.SM3（签名）+SM2（加密）

C.SM4（签名）+SM3（加密）

D.SM9（签名）+SM3（加密）

5.根据《个人信息保护法》，以下场景中无需取得个人单独同意的是？

A.将用户的购物记录提供给合作保险公司用于精准营销

B.向境外司法机构提供涉及刑事案件的用户通信内容

C.因系统迁移需要，将用户注册信息转移至集团下属新成立的子公司

D.处理14周岁以下未成年人的游戏充值记录

6.针对“APT攻击”（高级持续性威胁），以下描述错误的是？

A.攻击者通常具备国家级背景或专业团队支持

B.攻击周期短（一般不超过72小时），以快速获取目标数据为目的

C.常利用0day漏洞（未公开漏洞）作为初始攻击手段

D.后期会通过植入木马、跳板攻击等方式长期潜伏

7.某企业部署零信任架构（ZeroTrustArchitecture），其核心设计原则不包括？

A.持续验证访问请求的身份、设备、环境等多维度可信性

B.默认拒绝所有未经验证的内外网访问

C.基于“最小权限原则”动态分配资源访问权限

D.完全依赖传统边界防火墙实现网络隔离

8.工业互联网场景中，以下哪种协议因设计时未充分考虑安全需求，易被攻击者利用实现设备指令篡改？

A.MQTT（消息队列遥测传输协议）

B.Modbus（工业控制协议）

C.HTTPS（超文本传输安全协议）

D.CoAP（约束应用协议）

9.量子计算对现有密码体系的威胁主要体现在？

A.可快速破解对称加密算法（如AES256）

B.可通过Shor算法高效分解大整数，威胁RSA等非对称加密

C.可利用Grover算法加速哈希碰撞，破坏SHA256的抗碰撞性

D.可直接截获并篡改量子通信中的密钥

10.某政务云平台发现SQLServer数据库存在“脏读”（DirtyRead）问题，最可能的原因是？

A.事务隔离级别设置过低（如“读未提交”）

B.数据库用户权限分配不当（如管理员账号未定期轮换）

C.未启用数据库审计功能（无法记录操作日志）

D.未对敏感字段进行加密存储（如身份证号明文存储）

11.根据《关键信息基础设施安全保护条例》，运营者应当自行或委托第三方每年至少开展（）次检测评估？

A.1B.2C.3D.4

12.以下哪种技术可有效防御“DNS劫持”攻击？

A.DNSoverHTTPS（DoH）

B.ARP欺骗防护

C.端口镜像（PortMirroring）

D.流量整形（TrafficShaping）

13.某企业员工通过钓鱼邮件下载恶意文档，导致终端感染勒索病毒。在应急响应中，首要措施是？

A.立即断网隔离感染终端，防止横向传播

B.尝试解密被勒索文件（如使用第三方解密工具）

C.向公安机关报案并提交攻击样本

D.恢复备份数据至感染前状态

14.以下关于“数据分类分级”的描述，错误的是？

A.分类是根据数据的业务属性（如用户信息、交易记录）划分类别

B.分级是根据数据一旦泄露、篡改或丢失可能造成的影响程度划分等级

C.分类分级结果需作为数据访问控制、加密