央企数据安全能力测试题及答案解析

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页央企数据安全能力测试题及答案解析（含答案及解析）姓名：科室/部门/班级：得分：题型单选题多选题判断题填空题简答题案例分析题总分得分

一、单选题（共20分）

1.根据《网络安全法》规定，以下哪项不属于数据处理活动？（）

A.数据收集

B.数据存储

C.数据销毁

D.数据可视化分析

2.在央企数据安全管理体系中，哪个部门通常负责制定数据分类分级标准？（）

A.数据安全领导小组

B.信息技术部

C.综合办公室

D.法务合规部

3.以下哪种加密算法属于对称加密？（）

A.RSA

B.ECC

C.AES

D.SHA-256

4.当央企发生数据泄露事件时，第一时间应启动的流程是？（）

A.媒体公关

B.业务恢复

C.紧急响应

D.责任追究

5.根据等级保护要求，三级等保系统的数据备份频率建议不低于？（）

A.每日

B.每周

C.每月

D.每季度

6.以下哪项不属于数据脱敏技术？（）

A.假名化

B.涂鸦技术

C.加密存储

D.压缩算法

7.央企内部员工离职时，数据权限回收的正确顺序是？（）

A.先删除数据，再停用账号

B.先停用账号，再回收权限

C.同时进行数据删除和账号停用

D.无需回收权限，数据已加密

8.数据安全风险评估中，“可能性”评估通常基于？（）

A.数据价值

B.攻击复杂度

C.数据量大小

D.数据类型

9.以下哪种安全事件属于内部威胁？（）

A.DDoS攻击

B.钓鱼邮件

C.权限滥用

D.恶意软件

10.央企建设数据安全态势感知平台时，优先监控的指标是？（）

A.日活跃用户数

B.系统平均响应时间

C.登录失败次数

D.磁盘空间占用率

11.数据分类分级中，“核心数据”通常指？（）

A.商业秘密

B.内部管理数据

C.用户个人信息

D.通用业务数据

12.数据销毁时，物理销毁的推荐方式是？（）

A.纸质文件粉碎

B.硬盘格式化

C.数据擦除

D.磁盘加密

13.以下哪项不属于《数据安全法》的适用范围？（）

A.政府数据处理活动

B.企业商业秘密管理

C.个人信息保护

D.国际数据跨境传输

14.央企数据备份应至少保留？（）

A.3个月

B.6个月

C.1年

D.3年

15.数据安全策略中，“最小权限原则”的核心是？（）

A.赋予员工最大权限

B.按需分配权限

C.定期随机分配权限

D.统一管理权限

16.以下哪种认证方式安全性最高？（）

A.用户名+密码

B.动态口令

C.双因素认证

D.生物识别

17.数据安全审计日志应至少保存？（）

A.3个月

B.6个月

C.1年

D.3年

18.央企数据跨境传输需要满足的条件是？（）

A.数据接收方合法

B.数据出境安全评估

C.用户同意

D.以上都是

19.数据防泄漏（DLP）技术主要解决？（）

A.网络攻击

B.数据外泄

C.系统漏洞

D.操作失误

20.以下哪项不属于数据生命周期管理阶段？（）

A.数据采集

B.数据存储

C.数据销毁

D.数据销账

二、多选题（共15分，多选、错选均不得分）

21.央企数据安全管理制度应包含哪些内容？（）

A.数据分类分级标准

B.数据访问控制流程

C.数据备份与恢复计划

D.数据安全责任体系

E.员工安全培训要求

22.数据安全风险评估的方法包括？（）

A.风险矩阵法

B.量本利分析法

C.德尔菲法

D.检查表法

E.模糊综合评价法

23.数据脱敏技术中，常见的掩码方式有？（）

A.null替换

B.星号遮蔽

C.随机数填充

D.哈希加密

E.假名替换

24.央企数据安全应急响应流程通常包含？（）

A.事件发现与确认

B.漏洞修复

C.业务恢复

D.调查溯源

E.媒体通报

25.数据分类分级依据的因素有？（）

A.数据敏感性

B.数据重要性

C.数据量大小

D.数据使用频率

E.数据合规要求

三、判断题（共10分，每题0.5分）

26.数据加密前必须进行数据备份。（）

27.央企所有员工都需要接受数据安全培训。（）

28.数据脱敏技术可以完全消除数据泄露风险。（）

29.数据安全风险评估只需要评估技术风险。（）

30.数据跨境传输无需经过国家网信部门审批。（）

31.数据备份系统应与生产系统物理隔离。（）

32.员工离职后，其数据权限自动失效。（）

33.数据安全策略应定期更新。（）

34.双因素认证可以完全防止账号被盗用。（）

35.数据销毁后可以通过专业手段恢复。（）

四、填空题（共15分，每空1分）

1.央企数据安全管理的最高领导机构是______。

2.数据分类分级中，“公开数据”通常指______。

3.数据加密算法分为______和______两大类。

4.数据安全风险评估中，“影响”评估通常基于______。

5.员工发现数据安全事件应第一时间向______报告。

6.数据备份的常用方式有______、______和______。

7.数据销毁后，应填写______并存档。

8.数据安全策略应遵循______、______和______原则。

9.双因素认证通常包含______和______两部分。

10.数据跨境传输需要遵守______和______两个层面的监管要求。

五、简答题（共30分）

41.简述央企数据分类分级的主要流程。（10分）

42.央企数据安全应急响应流程包含哪些关键阶段？（10分）

43.数据防泄漏（DLP）技术如何实现数据外泄防护？（10分）

六、案例分析题（共15分）

44.案例背景：某央企财务系统发生数据泄露，大量客户交易记录被窃取。经调查，原因是某财务人员离职时未及时回收数据权限，导致其通过个人邮箱导出数据并外传。

问题：

（1）分析该事件发生的主要原因及潜在影响。（5分）

（2）提出该事件后的整改措施及预防建议。（5分）

（3）结合案例说明数据权限管理的合规要求。（5分）

一、单选题（共20分）

1.D

解析：数据可视化分析属于数据应用阶段，不属于数据处理活动范畴。A、B、C均为数据处理活动。

2.A

解析：数据安全领导小组是央企数据安全管理的最高决策机构，负责制定整体策略和标准。

3.C

解析：AES是对称加密算法，RSA、ECC属于非对称加密，SHA-256属于哈希算法。

4.C

解析：紧急响应是数据泄露事件处理的第一步，需立即启动隔离、溯源等操作。

5.A

解析：根据等级保护三级要求，核心数据需每日备份，非核心数据可按需降低频率。

6.D

解析：压缩算法用于减小数据存储空间，不属于数据脱敏技术。A、B、C均为脱敏手段。

7.B

解析：权限回收应先停用账号，避免离职员工继续操作敏感数据。

8.B

解析：风险评估中的“可能性”主要评估攻击手段的复杂度，如技术门槛、成本等。

9.C

解析：权限滥用属于内部威胁，其他选项均为外部威胁。

10.C

解析：登录失败次数是异常行为监测的关键指标，可早期发现潜在攻击。

11.A

解析：核心数据指具有极高敏感性和商业价值的商业秘密。

12.A

解析：纸质文件粉碎是物理销毁的推荐方式，其他方式可能存在恢复风险。

13.D

解析：《数据安全法》不直接适用国际数据跨境传输，需遵守《网络安全法》及相关规定。

14.C

解析：根据行业规范，核心数据备份应至少保留1年。

15.B

解析：最小权限原则要求仅授予员工完成工作所需的最低权限。

16.C

解析：双因素认证结合“知道”和“拥有”两种认证方式，安全性最高。

17.D

解析：根据《网络安全法》，日志至少保存3年。

18.D

解析：数据跨境传输需同时满足合法性、安全评估和用户同意等条件。

19.B

解析：DLP技术主要防止敏感数据通过邮件、USB等渠道外泄。

20.D

解析：数据销账属于财务管理范畴，不属于数据生命周期管理阶段。

二、多选题（共15分，多选、错选均不得分）

21.ABCDE

解析：数据安全管理制度需全面覆盖分类分级、访问控制、备份恢复、责任体系及培训要求。

22.ACD

解析：风险评估常用方法包括风险矩阵法、检查表法和德尔菲法，量本利分析法和模糊综合评价法不适用。

23.ABCE

解析：DLP技术常用掩码、假名、随机数填充和null替换，哈希加密属于加密技术。

24.ABCDE

解析：应急响应流程包含事件发现、漏洞修复、业务恢复、调查溯源及媒体通报等阶段。

25.ABCE

解析：数据分类分级依据敏感性、重要性、合规要求和使用频率等因素。

三、判断题（共10分，每题0.5分）

26.√

27.√

28.×

解析：数据脱敏只能降低泄露风险，无法完全消除，需结合访问控制等措施。

29.×

解析：风险评估需同时评估技术、管理、人员等所有风险因素。

30.×

解析：跨境传输需遵守国家网信部门审批要求，并满足安全评估条件。

31.√

32.×

解析：离职员工权限需手动回收，系统无法自动失效。

33.√

34.×

解析：双因素认证可显著降低风险，但无法完全防止（如SIM卡盗用）。

35.×

解析：专业手段也无法恢复物理销毁的数据。

四、填空题（共15分，每空1分）

1.数据安全领导小组

2.公开数据

3.对称加密、非对称加密

4.影响程度

5.安全负责人

6.完全备份、增量备份、差异备份

7.数据销毁报告

8.最小权限、纵深防御、数据分类

9.“知道”因素（如密码）、“拥有”因素（如令牌）

10.《网络安全法》《数据安全法》

五、简答题（共30分）

41.央企数据分类分级的主要流程：

①成立专项小组，明确分类分级标准；

②对数据进行全面梳理，标注敏感等级；

③制定分级管控策略，明确权限要求；

④实施分级管控，加强动态监控；

⑤定期评估调整，持续优化。

42.央企数据安全应急响应流程关键阶段：

①预案启动：事件确认后立即启动应急响应；

②隔离分析：隔离受影响系统，分析攻击路径；

③控制影响：采取措施控制损失，如断开连接；

④恢复业务：修复漏洞后恢复系统运行；

⑤事后总结：评估事件教训，完善预案。

43.数据防泄漏（DLP）技术防护措施：

①内容识别：通过关键词、正则表达式识别敏感数据；

②行为监测：监控异常传输行为，如大文件导出；

③设备管控：限制U盘等外设使用，强制加密；

④邮件过滤：拦截含敏感数据的邮件外发。