四川省2025年度大数据时代的互联网信息安全考试及答案

四川省2025年度大数据时代的互联网信息安全考试及答案一、单项选择题（每题2分，共40分）1.依据《中华人民共和国数据安全法》，以下哪类数据不属于“重要数据”范畴？A.四川省电子信息产业关键技术研发数据B.成都市人口健康医疗大数据C.某互联网平台用户点赞行为统计数据D.川藏铁路建设工程地质勘探数据答案：C2.大数据环境下，攻击者通过分析多源低敏感数据关联出高敏感信息的行为，属于哪种安全威胁？A.数据泄露B.数据篡改C.数据聚合攻击D.数据擦除失效答案：C3.某企业采用联邦学习技术处理跨机构医疗数据联合建模，其核心安全目标是？A.确保原始数据不出域B.提升模型训练速度C.降低计算资源消耗D.实现数据完全共享答案：A4.根据《个人信息保护法》，处理生物识别、医疗健康等敏感个人信息时，除“告知-同意”外，还需满足的额外条件是？A.取得个人单独同意B.经第三方机构认证C.向省级网信部门备案D.公开处理规则的具体算法答案：A5.零信任架构（ZeroTrustArchitecture）的核心原则是？A.最小权限访问B.边界防御优先C.信任内部网络D.集中式身份认证答案：A6.以下哪种技术可实现“数据可用不可见”，支持跨机构数据协同分析？A.数据脱敏B.同态加密C.哈希算法D.数字签名答案：B7.四川省某关键信息基础设施运营者（CIIO）发生数据安全事件，造成10万人以上个人信息泄露，根据《关键信息基础设施安全保护条例》，应当在多长时间内向省级公安、网信部门报告？A.1小时内B.2小时内C.24小时内D.48小时内答案：B8.攻击者利用AI提供逼真的伪造视频（Deepfake）实施诈骗，主要威胁的安全属性是？A.保密性B.完整性C.可用性D.真实性答案：D9.某政务云平台采用“数据分类分级”管理，其中“省级人口基础信息库”应划定的级别是？A.一般数据B.重要数据C.核心数据D.公开数据答案：C10.区块链技术在数据安全领域的主要应用是？A.实现数据匿名化B.保障数据不可篡改C.提升数据存储容量D.替代传统加密算法答案：B11.以下哪项不属于大数据安全治理的“三同步”原则？A.同步规划B.同步建设C.同步运营D.同步评估答案：C12.某企业因数据安全漏洞导致用户银行卡信息泄露，根据《网络安全法》，监管部门可对其处以最高多少罚款？A.50万元B.200万元C.500万元D.上一年度营业额5%答案：D13.隐私计算中“多方安全计算（MPC）”的核心是？A.在加密数据上直接计算B.对原始数据进行脱敏处理C.由第三方机构统一计算D.仅共享计算结果不共享数据答案：A14.攻击者通过诱导用户点击恶意链接获取会话令牌（SessionToken），属于哪种攻击类型？A.跨站脚本攻击（XSS）B.会话劫持（SessionHijacking）C.SQL注入攻击D.拒绝服务攻击（DoS）答案：B15.根据《数据安全管理办法（征求意见稿）》，数据处理者应当每年至少开展几次数据安全风险评估？A.1次B.2次C.3次D.4次答案：A16.以下哪种数据脱敏技术适用于保留数据分布特征但隐藏具体值？A.替换（Replacement）B.泛化（Generalization）C.掩码（Masking）D.打乱（Shuffling）答案：B17.AI模型训练中，攻击者通过注入恶意样本使模型在特定输入下输出错误结果，这种攻击称为？A.对抗样本攻击（AdversarialExampleAttack）B.模型窃取攻击（ModelStealing）C.数据投毒攻击（DataPoisoning）D.推理攻击（InferenceAttack）答案：C18.某金融机构将客户交易数据存储于云服务器，其数据主权归属应为？A.云服务提供商B.金融机构C.客户本人D.国家监管部门答案：B19.网络安全等级保护2.0中，大数据安全扩展要求新增的“数据资源安全”不包括？A.数据脱敏B.数据备份恢复C.数据生命周期管理D.数据共享安全答案：B20.四川省推动“东数西算”工程中，跨区域数据传输的核心安全需求是？A.降低传输延迟B.保障传输过程加密C.扩大传输带宽D.实现数据实时同步答案：B二、填空题（每题2分，共20分）1.《数据安全法》规定，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行________。答案：分类分级保护2.大数据安全的“三要素”是数据本身安全、________、数据处理安全。答案：数据系统安全3.隐私增强技术（PETs）主要包括匿名化技术、________、隐私计算技术等。答案：去标识化技术4.关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当按照国家网络安全规定进行________。答案：国家安全审查5.数据泄露事件应急响应的“黄金四小时”原则要求，在事件发生后________小时内完成初步处置。答案：46.区块链的共识机制中，________（算法）通过计算哈希值竞争记账权，适用于公链场景。答案：工作量证明（PoW）7.AI模型的“可解释性”是指能够________模型决策的过程和结果。答案：清晰说明8.数据跨境流动的“白名单”机制是指国家与________签订协议，认可对方的数据保护水平，允许数据自由流动。答案：其他国家或地区9.网络安全领域的“零日攻击”（Zero-dayAttack）是指利用________的漏洞实施的攻击。答案：未被修补10.大数据安全审计的核心是对________、操作对象、操作时间、操作结果等要素进行记录和分析。答案：操作主体三、简答题（每题8分，共40分）1.简述大数据时代信息安全面临的三大新型挑战，并举例说明。答案：（1）数据关联性增强带来的聚合攻击风险：多源低敏感数据关联后可能暴露高敏感信息（如通过电商购物记录、社交位置信息推断用户健康状况）。（2）AI驱动的自动化攻击：AI可提供更隐蔽的钓鱼邮件、伪造更逼真的身份信息（如Deepfake技术伪造企业高管视频实施诈骗）。（3）数据跨境流动的合规复杂性：不同国家/地区数据主权要求冲突（如欧盟GDPR与我国《数据安全法》对个人信息出境的不同规定）。2.说明“数据脱敏”与“数据去标识化”的区别，并列举3种常用脱敏技术。答案：区别：数据脱敏是对原始数据进行变形处理，使脱敏后的数据无法恢复原始信息（如将身份证号“51010419900101XXXX”脱敏为“510104XXXX”）；数据去标识化是移除或加密直接标识符（如姓名、身份证号），但可能通过其他信息重新关联（如保留手机号后四位+出生日期）。常用技术：替换（用“”替换部分字符）、泛化（将“25岁”泛化为“20-30岁”）、掩码（隐藏部分关键信息）、打乱（随机排列数据顺序）。3.结合《个人信息保护法》，简述企业处理用户个人信息时需满足的“最小必要”原则具体要求。答案：（1）目的明确：处理个人信息的目的应当具体、明确，且与企业主营业务直接相关（如电商平台仅因订单配送需要收集用户地址）。（2）范围最小：仅收集实现目的所必需的最少个人信息（如健康类APP无需收集用户社交关系数据）。（3）使用限制：不得超出约定的处理范围，禁止将个人信息用于与收集目的无关的用途（如不得将购物数据用于金融风控，除非另行取得用户同意）。4.分析零信任架构（ZTA）与传统边界安全架构的核心差异，并说明其在大数据环境下的适用性。答案：核心差异：传统架构基于“信任内网”假设，通过防火墙等边界设备隔离内外网；零信任架构遵循“永不信任，始终验证”原则，对所有访问请求（无论内外网）进行身份、设备、环境等多因素验证，动态评估访问风险。适用性：大数据环境下，数据和服务分散在云、边缘计算等多节点，传统边界模糊，零信任通过“持续验证”确保只有授权主体以最小权限访问数据，有效应对移动办公、跨域协作等场景的安全需求。5.某企业拟开展用户行为数据分析项目，需涉及50万用户的位置轨迹、消费记录和社交关系数据，列举其需完成的3项主要数据安全合规步骤。答案：（1）数据分类分级：识别敏感数据（如位置轨迹属敏感个人信息），划定数据级别（重要数据或核心数据）。（2）风险评估：分析数据收集、存储、处理过程中的泄露、滥用风险（如第三方数据服务商的安全能力不足），制定风险控制措施（如加密传输、脱敏存储）。（3）用户告知与同意：通过清晰、易懂的隐私政策说明数据用途、处理方式，取得用户明确同意（敏感信息需单独同意）。四、案例分析题（每题10分，共20分）案例1：2024年12月，四川省某医疗大数据平台被曝存在安全漏洞，导致20万份患者电子病历（包含姓名、身份证号、诊断结果）泄露至暗网。经调查，漏洞原因为平台未对API接口进行身份认证，攻击者通过暴力破解获取访问权限；同时，患者数据存储时仅进行简单哈希处理，未使用加密算法。问题：（1）分析该平台违反了哪些数据安全相关法律法规？（2）提出3项针对性的整改措施。答案：（1）违反法规：-《数据安全法》第二十一条（数据分类分级保护义务）：未对患者病历（属敏感数据）采取足够保护措施；-《个人信息保护法》第二十九条（敏感个人信息处理要求）：未对生物识别、医疗健康等敏感信息采取严格保护措施；-《网络安全法》第二十一条（网络安全等级保护制度）：未履行网络安全保护义务，导致数据泄露。（2）整改措施：-技术层面：对API接口实施OAuth2.0等强身份认证，限制访问频率；采用AES-256加密存储患者敏感数据，哈希处理需结合盐值（Salt）防止彩虹表攻击。-管理层面：开展数据安全风险评估，明确数据处理责任人；定期进行漏洞扫描和渗透测试（至少每季度1次）。-合规层面：向省级网信、卫生健康部门报告泄露事件，通知受影响患者（48小时内），并提供身份保护建议（如监控银行账户）。案例2：某成都互联网企业计划与新加坡合作伙伴开展跨境电商数据联合分析，需共享用户购物偏好、支付记录等数据。问题：（1）该数据跨境流动需满足哪些国内合规要求？（2）若新加坡未与我国签订数据跨境流动互认协议，可采用的替代方案是什么？答案：（1）国内合规要求：-数据分类：识别需出境的数据是否为重要数据（如涉及关键信息基础设施的支付记录可能被认定为重要数据）；-安全评估：重要数据出境需通过国家网信部门组织的安全评估（《