个人信息保护法和数据安全法知识竞赛题库附答案共-100-题

个人信息保护法和数据安全法知识竞赛题库附答案（共IOO题）一、单选题.《中华人民共和国数据安全法》经十三届全国人大常委会第二十九次会议通过并正式发布，于（）起施行。A2023年6月1日B2023年8月1日C2023年9月1日D2023年10月1日正确答案：C.在中华人民共和国O开展数据处理活动及其安全监管，适用本法。在中华人民共和国O开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。A境内境外B境内境内C境外境内D境外境外正确答案：A.相对于《中华人民共和国网络安全法》，《中华人民共和国数据安全法》在O管辖上实现了突破。A数据所有者B信息泄露C数据除了D境外正确答案：D.《中华人民共和国数据安全法》中的“数据”，不仅包括电子形式，也包括以其他方式记录的信息。即无论是（），或是O的数据都需要受到《中华人民共和国数据安全法》的管辖，范围相当宽泛。A涉密非涉密B电子形式纸质形式C国有非国有D商业非商业正确答案：B.O是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。A网络安全B数据安全C国家安全D财产安全正确答案：B.O负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。A中央国家安全领导机构B全国人大代表大会C中华人民共和国国务院D中华人民共和国国家安全部正确答案：A.国家支持开展（）宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。A网络安全知识B防诈骗知识C数据安全知识D人身安全防护正确答案：C.国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。O应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。A县级以上人民政府B市级以上人民政府C省级以上人民政府D中华人民共和国国务院正确答案：C.国家建立数据（）制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。A分类分级备案B分级访问权限C分级实时备份D分类分级保护正确答案：D.国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑O的需求，避免对其的日常生活造成障碍。A老年人B残疾人C老年人残疾人D儿童残疾人正确答案：C.违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处（）以上（）以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。A二百万元一千万元B二百万元二千万元C三百万元一千万元D三百万元二千万元正确答案：A.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送（）。A数据安全风险清单B应急补救措施C风险报告单D风险评估报告正确答案：D.《中华人民共和国个人信息保护法》自O起实施。A2023年9月1日B2023年10月1日C2023年11月1日D2023年12月1日正确答案：C.处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取O的方式。A对个人权益影响最大B对个人权益影响最小C对个人信息收集最全D对个人信息收集最少正确答案：B.收集个人信息，应当限于实现处理目的的（），不得过度收集个人信息。A最大范围B最小范围C较多范围D适当范围正确答案：B.处理个人信息应当保证个人信息的质量，避免因个人信息（）对个人权益造成不利影

响。A准确完整B准确不完整C不准确完整D不准确不完整正确答案：D.除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的（）.A最短时间B最长时间C较长时间D较短时间正确答案：A.O是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。A自动化决策B匿名化C信息加密D去标识化正确答案：D.在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置（）提示标识。A规范的B可见的C显著的D隐蔽的正确答案：C.O负责统筹协调个人信息保护工作和相关监督管理工作。A国家公安部门B国家保密部门C国家网信部门D国家工信部门正确答案：C二、多选题工输供

加传提.工输供

加传提正确答案：ABCD.国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的O工作。A获取B分析C研判D预警正确答案：ABCD.国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的（）保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。A个人隐私B个人信息C商业秘密D保密流程正确答案：ABC.风险评估报告应当包括处理的重要数据的（），开展数据处理活动的情况，面临的数据安全风险及其应对措施等。A种类B数量C行业D格式正确答案：AB.国家机关应当遵循（）的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。A公正B公平C公开D便民正确答案：ABD.国家制定政务数据开放目录，构建O的政务数据开放平台，推动政务数据开放利用。A统一规范B互联互通C安全可控D多种多样正确答案：ABC.国家大力推进电子政务建设，提高政务数据的（），提升运用数据服务经济社会发展的能力。A科学性B准确性C时效性D合法性正确答案：ABC.国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对（）造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。A国家安全B公共利益C个人D组织合法权益正确答案：ABCD.关系（）等数据属于国家核心数据，实行更加严格的管理制度。A国家安全B国民经济命脉C重要民生D重大公共利益正确答案：ABCD30..个人信息是以电子或者其他方式记录的与己识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、（）删除等。A加工B传输C提供D公开正确答案：ABCD.任何组织、个人不得非法收集、（）他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。A使用B加工C传输D仿造正确答案：ABC.个人信息的O发生变更的，应当重新取得个人同意。A处理目的B处理方式C处理的个人信息种类正确答案：ABC.个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、（）以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。A期限B处理方式C个人信息的种类D保护措施正确答案：ABCD.个人信息处理者因（）等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。A合并B分立C解散D被宣告破产正确答案：ABCD.在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法（）。A以向境内自然人提供产品或者服务为目的B分析、评估境内自然人的行为C以向境外自然人提供产品或者服务为目的D法律、行政法规规定的其他情形正确答案：ABD.《中华人民共和国个人信息保护法》的立法宗旨是（）。A保护个人信息权益B规范个人信息处理活动C促进个人信息合理利用D提高个人信息数据质量正确答案：ABC.自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的O等权利；死者生前另有安排的除外。A查阅B复制C更正D删除正确答案：ABCD.敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括()、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。A生物识别B宗教信仰C特定身份D医疗健康正确答案：ABCD.个人对其个人信息的处理享有()，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。A知情权B决定权正确答案：AB三、判断题.在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。(√).有关主管部门应当对投诉、举报人的相关信息合法公示，保护投诉、举报人的合法权益。(X).窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚,(J).国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。(√).从事数据交易中介服务的机构提供服务，不必要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。(×).公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。(√).任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。(√).基于个人同意处理个人信息的，该同意应当由个人在相对知情的前提下自愿、明确作出。(X).基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。(√).个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。(√).紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。（√）.个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。（√）.个人信息保护影响评估报告和处理情况记录应当至少保存一年。（X）.履行个人信息保护职责的部门在履行职责中，发现违法处理个人信息涉嫌犯罪的，应当及时移送检察机关依法处理。（X）.个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。（J）.个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。（√）.处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。（J）.国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。（√）.处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。（√）.个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。（√）《个人信息保护法》知识竞赛1、个人信息是以电子或者其他方式记录的与己识别或者可识别的自然人有关的各种信息，不包括（）。A.姓名B.身份证号C.手机号D.匿名化处理后的信息正确答案:D答案解析：个人信息是以电子或者其他方式记录的与己识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。2、处理个人信息应当遵循（）原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

A.合法、正当、B.合理、正当、A.合法、正当、B.合理、正当、C.合理、正当、D.合法、正当、正确答案:A必要和诚信原则必要和诚信原则充分和诚信原则充分和诚信原则答案解析：处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。3、处理个人信息应当具有明确、合理的目的，并应当与处理目的（）相关，采取对个人权益影响最小的方式。A.间接B.必须C.完全D.直接正确答案:D答案解析：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。4、处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，O处理的目的、方式和范围。A.明确B确定C.明示D.暗示正确答案:C答案解析：处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。5、处理个人信息应当保证个人信息的（），避免因个人信息不准确、不完整对个人权益造成不利影响。A.质量B.准确性C.数量D.可信度正确答案:A答案解析：处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。6、基于个人同意处理个人信息的，个人（）撤回其同意。个人信息处理者应当提供A.有权；便捷的撤回同意的方式B.无权；撤回之后的功能影响说明C.有权；有效的撤回同意的方式D.无权；撤回之后的功能影响说明正确答案:A答案解析：基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。7、通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，并向个人提供便捷的O方式。A.选择B.实现C.拒绝D.查看正确答案:C答案解析：通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。8、在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于O,不得用于其他目的；取得个人单独同意的除外。A.维护公共安全的目的B.维护信息安全的目的C.维护公共安全的相关宣传D.维护公共秩序正确答案:A答案解析：所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。9、个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知哪些事项？A.个人信息处理者的名称或者姓名和联系方式B.个人信息的处理目的、处理方式、处理的个人信息种类、保存期限C.个人行使本法规定权利的方式和程序D.法律、行政法规规定应当告知的其他事项正确答案:ABCD10、敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括（）、（）、特定身份、（）、金融账户、（）等信息，以及不满十四周岁未成年人的个人信息。A.生物识别B.宗教信仰C.医疗健康D.行踪轨迹E.出生日期正确答案:ABCD11、个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得（）或（），并制定专门的个人信息处理规则。A∙未成年人的父母同意B.未成年人本人的同意C.未成年人其他监护人的同意D.未成年人及其监护人同意正确答案:AC答案解析：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。12、下列哪些场景下，个人信息处理者可以处理个人信息？A.取得了个人的同意B.履行法定职责或者法定义务所必需C.为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需D.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息正确答案:ABCD13、个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。（判断正误）A.正确B.错误正确答案:A14、收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。（判断正误）A.正确B.错误正确答案:A15、个人信息收集者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。（判断正误）A.正确B.错误正确答案:B答案解析：个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。16、基于个人同意处理个人信息的，个人有权撤回其同意。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。（判断正误）A.正确B.错误正确答案:A17、个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。（判断正误）A.正确B.错误正确答案:A18、个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，无需重新取得个人同意。（判断正误）A.正确B.错误正确答案:B答案解析：个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。19、通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，并向个人提供便捷的选择方式。（判断正误）A.正确B.错误正确答案:B答案解析：通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。20、个人对其个人信息的处理享有绝对的知情权、决定权，任何情况下，都有权限制或者拒绝他人对其个人信息进行处理。（判断正误）A.正确B.错误正确答案:B答案解析：个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。《信息安全与网络安全管理》考试题及参与答案1、简述计算机网络安全的定义网络安全是指计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因而遭到破坏、篡改、泄露，防止非授权的使用或访问，系统能够保持服务的连续性，以及能够可靠的运行。2、什么是系统安全政策？安全政策。定义如何配置系统和网络，如何确保计算机机房和数据中心的安全以及如何进行身份鉴别和身份认证。同时，还确定如何进行访问控制、审计、报告和处理网络连接、加密和反病毒。还规定密码选择、账户到期、登录尝试失败处理等相关领域的程序和步骤。3、如果一个组织（或企业）的系统安全管理或网络管理人员，接到人事部门通知被解职,应该按照一般的安全策略执行那些安全措施？一个员工离开单位，他的网络应用账户应及时被禁用，他的计算机接入应立即禁止。如果配有便携笔记本式计算机或其它相关硬件设备，应及时进行收回。同时，在员工离职时，他们的身份验证工具如：身份卡、硬件令牌、智能卡等都同时收回。无论离职员工何时是否离开，一旦得知该员工即将离职，应对其所能够接触到的信息资源（尤其是敏感信息）进行备份处理。因为，一般情形下，员工的离职是一个充满情绪化的时期，尽管大多数人不会做出什么过分之举，但是保证安全总比出了问题再补救要有效。总之，无论是雇佣策略还是雇佣终止策略，都有需要考虑当地的政治和法律因素。在制定策略时，应避免出现如性别和种族歧视等违反法律或一般道德规范的条款。4、简述计算机网络攻击的主要特点。①损失巨大。由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。②威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。③手段多样，手法隐蔽。计算机攻击的手段可以说五花八门。④以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。5、简述信息系统风险评估（风险分析）的主要内容。（又称风险分析）指将可能发生的安全事件所造成的损失进行定量化估计。如某类安全事件发生的概率、此类安全事件发生后对组织的数据造成的损失、恢复损失的数据需要增加的成本等。一般情况下，只有结束数据资产评估后，才能进行风险评估。只有认定具有价值或价值较高的数据才有必要进行风险评估。6、简述比较数据完全备份、增量备份和差异备份的特点和异同。①完全备份：指将所有的文件和数据都备份到存储介质中。完全备份的实现技术很简单,但是需要花费大量的时间、存储空间和I/O带宽。它是最早的、最简单的备份类型。②差异备份：对上一次完全备份之后才进行改变的数据和文件才需要进行复制存储。差异备份与完全备份相比，只需要记录部分数据，更为迅速。差异备份分为两个步骤：第一步，制作一个完全备份；第二步，对比检测当前数据与第一步骤中完全备份之间的差异。故差异备份必须在一次完全备份之后才可能开始，而且需要定时执行一次完全备份。这时的“定时”时间段取决于预先定义的备份策略。差异备份的恢发也分为两个步骤：第一步，加载最后一次的完全备份数据；第二步，使用差异备份的部分来更新变化过的文件。优点：差异备份在备份速度上比完全备份快。但是在备份中，必须保证系统能够计算从某一个时刻起改变过的文件。所以从空间上，差异备份只需要少量的存储空间就可以对文件或数据实现备份。③增量备份：仅仅复制上一次全部备份后或上一次增量备份后才更新的数据。它与差异备份相类似，与差异备份相比，只需要备份上一次任何一种备份之后改变的文件。所以，其备份速度更快。但是，增量备份数据或文件的恢复方法稍微复杂，它需要在某个完全备份恢发的数据基础上，然后将该时间点以后所有的增量备份都更新到数据库中。其备份空间占据，比差异备份所需的空间更少。每种备份方式都各有优缺点，采用时，需要在备份策略中仔细评估每一种备份方式的时用性，最终选择备份方法。备份类型比较表：完全备份差异备份增量备份德尔塔备份所需空间大中等中等小恢复简单简单麻烦复杂备份速度慢较快快最快7、说明信息安全等级保护一般分为几个等级，并简述第三级信息安全保护的要求内容。信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级。具体的安全保护等级划分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共安全。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成严重损害。8、物联网安全问题主要表现在那几个方面？目前，互联网在发展过程中遇到了两大体系性瓶颈，一个是地址不够，另一个是网络的安全问题。地址的问题通过IPv6能够解决，但是网络安全问题目前却没有好的解决之道。如果不能解决网络的可管、可控以及服务质量问题,将会在很大程度上影响物联网的进一步发展。根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与己有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的，这些安全问题主要有以下几个方面。（1）物联网机器/感知节点的本地安全问题由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件。（2）感知网络的传输与信息安全问题感知节点通常情况下功能简单（如自动温度计）、携带能量少（使用电池），使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,所以没法提供统一的安全保护体系。（3）核心网络的传输与信息安全问题核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大，且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。此外,现有通信网络的安全架构都是从人通信的角度设计的,并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。（4）物联网业务的安全问题由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没,但如此一来,如何对物联网机器的日志等安全信息进行管理成为新的问题,并且可能割裂网络与业务平台之间的信任关系，导致新一轮安全问题的产生。二、应用论述题。1、分析信息安全的弱点和风险来源。（1）信息安全的木桶理论木桶理论：一个由许多长短不同的木板箍成的木桶，决定其容水量大小的并非是其中最长的那块木板或全部木板的平均值，而是取决于其中最短的那块木板。在信息安全中，认为信息安全的防护强度取决于“信息安全防线”中最为薄弱的环节。即最薄弱的环节存在最大的安全威胁，只有针对该环节进行改进才能提高信息安全的整体防护强度。（2）信息安全威胁的来源信息威胁的来源于四个方面：技术弱点、配置失误、政策漏洞、人员因素。①典型技术弱点。ACP/IP网络。由于其协议是一个开放的标准，主要用于互联网通信，开放的网络导致其不能保障信息传输的完整性和未经授权的存取等攻击手段做出适当的防护。操作系统漏洞.主流操作系统如UNIX、Windows.1inux等，由于各种原因导致其存在漏洞，必须由系统管理员经过安全配置、密切跟踪安全报告以及及时对操作系统进行更新和补丁更新操作才能保证其安全性。②配置失误。由于操作者执行安全操作不到位或对安全技术理解不透引起的配置失误。如：系统账户存在易被猜测的用户名和密码。管理员技术不足以适应岗位或由于疏忽、惰性的原因，未对默认的高权限系统账户进行处理。设备未得到良好配置。如路由器、交换机或服务器使用带有漏洞的默认配置方式，或路由器的路由表未经过良好的维护，服务器的访问控制列表存在漏洞等。③政策漏洞。政策制定中未经过良好的协调和协商，存在不可能执行的政策，或政策本身违反法律条文或己有规章制度。④人员因素。是造成安全威胁的最主要因素。通常，人员因素导致的安全威胁分为恶意攻击者导致的安全威胁和无恶意的人员导致的安全威胁。典型的恶意攻击者造成的安全威胁是：A、道德品质低下。攻击者实施以诈骗、盗窃或报复为目的攻击，尤其以报复为目的攻击对组织来说最为危险。B、伪装或欺骗。其核心在于通过伪装和欺骗来获取攻击者所需要的信息。C、拒绝服务攻击。攻击者的目的是为了干扰正常的组织运作，借此达到攻击的目的。典型的无恶意的人员者造成的安全威胁是：A、突发事故。突发事故可能导致设备损坏或线路故障等。B、缺少安全意识,组织成员缺乏必要的安全意识，不曾接受过必要的安全培训。C、工作负担不合理。参与安全工作的工作人员与工作量不能较好匹配，协同工作能力低下或者工作流程分配不合理，可能造成设备的配置错误，也可能出现工作人员相互推卸责任。2、论述系统突发事件响应策略的主要内容和实现方式。是提前设计好的，并需要对所有可能突发事件情况进行推测和预测制定的行动方案。一般覆盖事件发生的几个阶段。包括：准备阶段、识别事件、检测和调查、限制、修夏和消除、后续步骤。（1）准备阶段员工提前接受对应对突发事件的培训，以理解在突发事件发生后的报告链或命令链，并能够按照预定方案进行行动。另外，购置应对处置突发事件时所使用的必要设备（如检测、限制和恢复工具等）。具体准备工作有：成立突发事件响应工作专家小组，可以是临时的，也可以是常设的。一般由领导、网络系统安全分析人员、（临时或永久的）法律专家组成。进行紧急决策、事件技术分析、指导取证及保留和诉讼、及时准确的信息发布公开等工作的展开。（2）识别事件是进行安全事件响应流程的起点和第一步骤。如出现对网络的嗅探或端口扫描，可能是发动一次大规模攻击的前兆，如果在此阶段就能准确识别事件，就可以采取一定的措施避免攻击的进一步扩大.但是，安全人员在没有确定一个安全事件发生之前，就贸然地进入处理安全事件的紧急状态，也是一个非常糟糕的决定。因为一次普通的ping操作或一个简单的http连接都有可能造成误报。而IDS虽可以检测一些事件的发生，但可能这些事件不一定是安全事件或潜在的攻击威胁。只能进行初步的筛选，还须进一步手工检查和识别。所以，参与识别的人员应该包括系统管理员和网络管理员，如果识别确实是一个攻击或安全事件，及时提高警戒级别，报告相关高层人员，按照预定处置方案进行处理，包括招集事件响应小组，分配相关资源等行动。（3）调查与检测是进行安全事件响应流程的起点和第一步骤。其主要任务是对事件中涉及的日志、文件、记录及其相关资料和数据进行研究和分析，从而最终确定事件发生的原因和事件的影响范围。调查的结果最终能够判定安全事件到底是一次攻击还是一次更大规模攻击的前夕；是一次随机事件还是一次误报；安全事件发生的原因和诱因何在？对引发事件的原因进行分类，并判定该次安全事件对整个网络造成的影响进行评估，为下一步的修夏提供参考。故准确地发现安全事件的原因，对修复和预防具有重要的作用。如：在诸多引发安全事件的原因中，病毒和恶意代码通常是最为普遍的，一般用户做不到像安全人员那样敏感，无意中引发病毒或安装木马程序。一般可以采取借助软件包分析工具或反病毒软件来识别病毒，查杀之。（4）限制、修复和消除①限制事件的影响和发展：限制安全事件的进一步发展和造成的负面影响。常采取以下的限制活动：A、通知并警告攻击者。对于内部攻击或已知来源于外部的攻击，可直接对攻击者发出警告，并同时切断他与网络的连接。如需进一步对其进行起诉，应征询法律顾问的意见后，并在收集证据中使用经过取证培训的人员B、切断攻击者与网络系统的通信：是最为普通的做法，也是最快捷的响应方式。例如：通过添加或修改防火墙的过滤规则，对路由或IDS增加规则，停用特定的软件或硬件组件。若攻击者是通过特定的账户获得非授权访问时，则通过禁用或删除这个账户的方法进行限制。C、对事件来源进行分析：通过分析事件，找出当前系统中存在的不足之处，并通过必要的手段暂堵住这一漏洞。例如：入侵者是