2025年安全风险试题及答案

2025年安全风险试题及答案一、单项选择题（每题2分，共20分）1.2025年某智能城市管理平台因AI算法缺陷导致交通信号系统误判，造成多车连环相撞。根据《人工智能安全管理条例（2024修订）》，责任主体应优先认定为？A.算法训练数据提供方B.平台运营企业C.交通信号硬件供应商D.事故直接驾驶人答案：B解析：条例第17条明确“AI系统运营方对算法输出结果负首要责任，数据提供方、硬件方按过错比例担责”，本题中平台运营企业是系统实际控制者，故为优先责任主体。2.某生物科技公司实验室拟开展新冠病毒变异株（RBD区域重组）研究，依据《病原微生物实验室生物安全管理条例（2025版）》，该实验应在几级生物安全实验室（BSL）中进行？A.BSL-1B.BSL-2C.BSL-3D.BSL-4答案：C解析：2025年修订条例将“具有潜在人传人风险的冠状病毒重组研究”纳入BSL-3管理范畴，BSL-4仅针对高致死率、无有效防控手段的病原（如埃博拉病毒）。3.2025年某跨国车企因芯片供应链中断导致全球12家工厂停产，其核心风险源是？A.单一供应商依赖（某东南亚芯片代工厂占其70%产能）B.运输环节遭遇海盗劫持C.芯片设计存在专利纠纷D.消费者需求骤降答案：A解析：2025年《全球供应链韧性白皮书》指出，“单一区域/供应商占比超过50%”是触发供应链中断的首要风险因素，本题中70%的产能集中于单一代工厂，符合高风险特征。4.某能源企业部署的工业控制系统（ICS）遭受“工业僵尸网络”攻击，攻击者通过植入恶意固件实现对多台发电机的远程控制。此类攻击的关键突破口通常是？A.办公网与控制网未实施逻辑隔离B.设备固件更新未启用数字签名C.操作员工使用弱口令登录D.监控软件未安装最新漏洞补丁答案：B解析：工业僵尸网络攻击的典型手段是通过未签名的固件更新渗透，绕过传统边界防护（如逻辑隔离）直接接管设备底层控制，2025年CISA（美国网络安全与基础设施安全局）通报的同类案例中，83%的攻击成功源于固件签名机制缺失。5.2025年某金融机构因客户个人信息泄露被监管处罚，泄露数据包括姓名、身份证号、生物特征（指纹）及近1年交易记录。根据《个人信息保护法实施细则（2025）》，该机构的违法情节最可能被认定为？A.一般违规（泄露非敏感信息）B.较重违规（泄露敏感信息但未造成实质损失）C.严重违规（泄露敏感信息且可能危害人身财产安全）D.特别严重违规（泄露信息导致大规模社会影响）答案：C解析：细则第22条规定，“生物特征、金融交易记录属于敏感个人信息，泄露后可能导致个人受到歧视或人身、财产安全受到危害的，认定为严重违规”，本题中数据类型及潜在风险符合该情形。6.极端天气频发背景下，某沿海城市2025年遭遇50年一遇的风暴潮，其应急管理部门未提前72小时启动一级响应（实际提前48小时），导致部分低洼区居民转移不及时。根据《突发事件应对法（2025修订）》，责任认定的关键依据是？A.风暴潮最终造成的直接经济损失金额B.气象部门发布预警的准确时间C.历史同期类似灾害的响应标准D.应急部门是否基于最新监测数据调整响应级别答案：D解析：修订后第35条强调“动态响应原则”，要求应急部门根据实时监测数据（如风暴潮路径修正、强度升级）调整响应措施，未及时调整导致损失扩大的，需承担责任，而非仅依据固定预警时间。7.某人工智能公司开发的“深度伪造”检测工具因误判率高达30%（行业标准为≤15%），导致多家媒体误判真实视频为伪造内容，引发舆论危机。根据《提供式人工智能服务管理暂行办法（2025）》，监管部门应重点关注？A.工具开发使用的训练数据是否合法B.工具输出结果的可解释性C.误判率是否符合“必要合理”原则D.公司是否取得相关技术专利答案：C解析：办法第12条规定，“提供式AI服务提供者需确保服务性能指标（如准确率、误判率）符合行业公认的必要合理标准，超出合理范围导致损害的，承担相应责任”，本题中误判率远超行业标准，属于核心监管点。8.2025年某高校实验室因存储的锂金属电池（未按规范充放电）自燃，引发火灾并蔓延至相邻化学实验室，造成3人重伤。根据《高等学校实验室安全管理规范（2025）》，直接管理责任主体是？A.学校分管实验室的副校长B.实验室所在学院院长C.实验室具体负责的实验员D.电池生产供应商答案：C解析：规范第9条明确“实验室实行三级责任体系，具体实验员为现场直接管理责任人，负责日常操作、设备维护及风险巡查”，本题中电池未规范管理属于现场操作疏漏，实验员为直接责任主体。9.某跨境电商平台因未对入驻商家的商品安全资质进行实质审核，导致大量假冒伪劣医疗防护用品（经检测不符合GB19083-2023标准）流入市场。根据《电子商务法（2025修正）》，平台应承担？A.补充责任（商家担主责，平台补责）B.连带责任（与商家共同担责）C.无责任（仅提供交易场所）D.过错责任（按平台过错比例担责）答案：B解析：修正后第42条新增“涉及人身健康安全的商品，平台需履行实质审核义务，未审核导致损害的，与商家承担连带责任”，医疗防护用品属于高风险商品，故平台需连带担责。10.2025年某新能源车企的自动驾驶系统（L3级）在暴雨天气下因毫米波雷达失效（未切换至视觉冗余系统）引发事故。根据《智能网联汽车道路测试与示范应用管理办法（2025）》，技术缺陷的核心判定依据是？A.事故时的天气是否超出系统设计工况B.冗余系统是否在设计时考虑极端环境C.车主是否手动接管车辆D.雷达供应商是否提供质量合格证明答案：B解析：办法第28条规定，“L3级及以上自动驾驶系统需具备多传感器冗余设计，且冗余方案需覆盖设计运行范围内（ODD）的所有典型场景（包括极端天气）”，本题中冗余系统未在暴雨场景下激活，属于设计缺陷。二、多项选择题（每题3分，共30分，每题至少2个正确选项，错选、漏选均不得分）1.2025年某城市“城市大脑”平台整合了交通、医疗、公安等12个部门数据，其面临的主要安全风险包括？A.跨部门数据共享导致的权限越界访问B.多源数据融合引发的隐私泄露（如通过交通轨迹反推医疗信息）C.平台算法对弱势群体（如老年人）的服务歧视D.云服务商因电力中断导致的平台宕机E.数据脱敏不彻底引发的二次识别风险答案：ABCDE解析：城市级数据平台风险涵盖技术（宕机、脱敏）、管理（权限、共享）、伦理（算法歧视）等多维度，均为2025年《城市数据安全指南》重点关注的风险点。2.某生物制药企业拟开展基因编辑作物（抗虫玉米）田间试验，需重点遵守的法规包括？A.《生物技术研究开发安全管理办法》B.《农作物种子生产经营许可管理办法》C.《外来入侵物种管理办法》D.《实验动物管理条例》E.《环境保护法》答案：ABCE解析：基因编辑作物田间试验涉及生物安全（A）、种子许可（B）、生态风险（C，抗虫特性可能影响本地物种）、环境保护（E），实验动物条例（D）针对动物实验，不适用。3.2025年全球半导体供应链“去全球化”趋势加剧，我国面临的主要安全挑战有？A.高端光刻机（如EUV）进口受限导致先进制程芯片产能不足B.关键原材料（如高纯度光刻胶）依赖日本、韩国供应商C.海外芯片设计软件（如EDA工具）被加入“实体清单”D.国内封装测试企业产能过剩引发价格战E.芯片设计人才外流至美国、欧洲答案：ABCE解析：“去全球化”挑战集中于技术封锁（A、C）、供应链依赖（B）、人才流失（E），封装测试产能过剩（D）属于市场竞争问题，非安全挑战核心。4.某企业部署的物联网（IoT）设备因未启用固件自动更新功能，导致大量设备感染“物联网蠕虫”病毒，攻击路径包括？A.利用设备默认弱口令（如“admin/admin”）登录B.通过蓝牙/NFC短距离传播C.攻击企业办公网的邮件服务器D.劫持设备通信流量（如MQTT协议）E.诱导用户点击钓鱼链接安装恶意APP答案：ABD解析：物联网蠕虫主要通过设备自身漏洞（弱口令A）、短距离无线协议（B）、设备间通信协议（D）传播，邮件服务器（C）和钓鱼APP（E）属于传统网络攻击路径，非IoT专属。5.2025年极端高温天气频发，某化工企业面临的安全风险包括？A.储罐内液体因膨胀导致压力超标（超设计值）B.电气设备因散热不良引发短路起火C.员工因高温中暑导致操作失误D.危险化学品（如过氧化物）加速分解E.冷却水系统因电力供应不足无法运行答案：ABCDE解析：高温对化工企业的影响涵盖设备（A、B、E）、人员（C）、物料（D）多维度，均为2025年《化工企业高温天气安全操作指南》明确的风险点。6.某金融科技公司开发的“刷脸支付”系统需符合的安全标准包括？A.《信息安全技术人脸识别数据安全要求》（GB/T42574-2023）B.《移动终端支付可信环境技术规范》（JR/T0149-2022）C.《个人信息去标识化指南》（GB/T37964-2022）D.《网络安全等级保护基本要求》（GB/T22239-2019）E.《区块链信息服务管理规定》答案：ABCD解析：刷脸支付涉及生物识别（A）、支付安全（B）、个人信息处理（C）、系统等级保护（D），区块链规定（E）针对区块链服务，与刷脸支付无直接关联。7.2025年某跨国企业因数据跨境流动被欧盟GDPR处罚，可能的违规行为包括？A.未对欧盟用户数据进行本地化存储（数据流向美国）B.向第三方共享数据前未获得用户明确同意C.数据传输采用的加密算法（AES-128）被认定为“不够强”D.未按要求向欧盟数据保护委员会（DPC）申报数据跨境流程E.因服务器故障导致欧盟用户数据丢失答案：ABCD解析：GDPR对数据跨境的要求包括本地化（A）、用户同意（B）、加密强度（C）、申报义务（D），数据丢失（E）属于数据安全事件，非跨境流动专项违规。8.某高校实验室存储的危险化学品（如氰化钠）丢失，可能的风险控制措施包括？A.立即启动实验室监控录像回溯B.向当地公安部门和应急管理部门报告C.对实验室工作人员进行突击尿检（排查是否吸毒影响操作）D.在校园内发布预警信息（提示师生注意异常情况）E.对库存台账与实际存量进行比对核查答案：ABDE解析：危化品丢失的应急措施包括溯源（A、E）、上报（B）、预警（D），尿检（C）无法律依据，且与危化品管理无直接关联。9.2025年某智能电网因遭受“假数据注入攻击”导致电力调度系统误判，攻击者可能通过以下方式实现？A.篡改智能电表上传的实时用电量数据B.伪造变电站传感器的电压、电流读数C.攻击电力交易平台的用户登录接口D.向调度中心发送虚假的线路故障报警E.劫持电网控制中心与变电站之间的通信链路答案：ABDE解析：假数据注入攻击的核心是伪造或篡改系统接收的关键运行数据（A、B、D），通常通过劫持通信链路（E）实现，攻击登录接口（C）属于身份认证攻击，不直接影响数据真实性。10.某企业落实《企业安全生产费用提取和使用管理办法（2025）》时，安全生产费用可用于？A.购买新型安全监测设备（如智能气体检测仪）B.安全生产管理人员的专业培训C.厂区安全标识牌的更换（符合新标准）D.事故后对受伤员工的医疗赔偿E.安全生产标准化体系的认证费用答案：ABCE解析：办法第17条明确安全生产费用用于预防、监测、培训、体系建设等，事故赔偿（D）属于事故处理成本，不在提取范围内。三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.2025年某企业使用提供式AI提供产品广告，因AI输出内容包含虚假宣传，根据《广告法》，责任仅由AI开发者承担。（）答案：×解析：《广告法》第38条规定，广告主对广告内容真实性负首要责任，AI开发者按过错担责，故企业（广告主）需承担责任。2.某实验室将实验用小鼠（非感染性）随意丢弃至普通垃圾桶，违反《实验动物管理条例》中“实验动物尸体需按医疗废物处理”的规定。（）答案：√解析：条例第27条要求，非感染性实验动物尸体虽不需特殊消毒，但需集中收集后交由专业机构处理，不得混入普通垃圾。3.2025年某银行因遭受量子计算机攻击导致RSA加密的用户数据泄露，说明传统公钥加密算法在量子计算时代已完全失效。（）答案：×解析：量子计算机对RSA等算法构成威胁，但2025年实用化量子计算机尚未达到破解大规模数据的能力，且各国已开始部署后量子密码（PQC）算法作为过渡，故“完全失效”表述错误。4.某企业将员工考勤数据（含面部识别记录）提供给第三方人力资源公司用于薪酬计算，无需获得员工单独同意。（）答案：×解析：《个人信息保护法》第29条规定，生物识别信息属于敏感个人信息，提供给第三方需取得单独同意，故需员工单独同意。5.2025年某沿海核电站因台风导致外部电源中断，其备用柴油发电机自动启动，符合《核电厂核事故应急管理条例》中“核电厂需具备至少2路独立电源”的要求。（）答案：√解析：条例第18条要求核电厂具备“双路外部电源+自备应急电源”，本题中外部电源中断后备用电源启动，符合要求。6.某企业未将新购入的危险化学品（列入《危险化学品目录》）录入安全管理系统，违反《危险化学品安全管理条例》中“危险化学品需全程信息化追踪”的规定。（）答案：√解析：2025年修订的条例新增“危险化学品全生命周期信息化管理”要求，未录入系统属于违规。7.2025年某自动驾驶出租车在开放道路测试中发生事故，因测试前已与乘客签署“风险自担协议”，企业可免除法律责任。（）答案：×解析：《道路交通安全法》第76条规定，“免除人身伤害责任的格式条款无效”，故协议无法免除企业责任。8.某高校实验室使用的高压反应釜超过设计使用年限（未检测），但仍能正常运行，不违反《特种设备安全法》。（）答案：×解析：该法第48条规定，特种设备达到设计使用年限需经检验合格方可继续使用，未检测即使用属于违规。9.2025年某电商平台为提升推荐算法效果，将用户搜索关键词与位置信息关联分析，属于“最小必要原则”允许的范围。（）答案：√解析：《个人信息保护法》第6条规定，关联分析用户搜索与位置信息（均为平台服务必要信息）符合最小必要原则，未超出合理范围。10.某企业因安全生产违法行为被处罚后，为降低成本，将安全管理人员数量从5人缩减至2人（企业员工总数200人），违反《安全生产法》中“从业人员超过100人的企业需设置安全管理机构并配备专职人员”的规定。（）答案：√解析：《安全生产法》第24条规定，100人以上企业需设置安全管理机构并配备至少3名专职人员，缩减至2人违反规定。四、案例分析题（共40分）案例1：2025年3月，某智能工厂（主要生产新能源汽车电池）发生勒索软件攻击事件。攻击者通过钓鱼邮件诱导车间主任点击附件，植入恶意软件后加密了生产控制系统（PLC）、工艺参数数据库及订单管理系统，要求支付500枚比特币（约2000万元）解密。事件导致工厂停产72小时，直接经济损失8000万元，同时因无法按时交付订单，需向客户支付违约金2000万元。经调查，工厂存在以下问题：①未对员工进行年度网络安全培训（上一次培训为2023年）；②生产控制系统与办公网仅通过普通防火墙隔离（未部署工业级隔离装置）；③重要数据未定期备份（最近一次备份为2个月前）；④工艺参数数据库存储的密钥与员工登录密码使用同一套加密算法。问题1：根据《网络安全法》及相关法规，指出工厂存在的4项违规行为，并说明法律依据。（10分）答案：①未定期开展网络安全培训：违反《网络安全法》第20条“运营者需对员工进行网络安全教育培训”，工业和信息化部《工业控制系统网络安全防护指南》要求“关键岗位每年至少1次培训”。②控制网与办公网隔离措施不足：违反《工业控制系统安全防护规定》第8条“需采用工业防火墙、单向隔离装置等专用设备实现逻辑隔离”，普通防火墙无法抵御工业协议攻击。③重要数据未定期备份：违反《数据安全法》第21条“重要数据需定期备份并异地存储”，《工业数据分类分级指南》要求“生产工艺数据备份周期不超过7天”（本题中2个月未备份）。④密钥与密码使用同一加密算法：违反《信息安全技术工业控制系统安全防护要求》（GB/T36323-2023）第5.3条“关键数据密钥与身份认证密码需采用不同算法或独立密钥管理体系”。问题2：分析攻击者选择“钓鱼邮件→生产控制系统”攻击路径的合理性，并说明此类攻击的防范重点。（10分）答案：合理性：①车间主任作为生产关键岗位人员，有权限访问控制网，是“人”的薄弱环节；②生产控制系统通常使用专用协议（如Modbus），传统安全设备（如普通防火墙）防护能力不足；③工厂数据备份周期长，加密后恢复难度大，迫使企业支付赎金。防范重点：①加强员工安全意识培训（尤其是点击邮件附件、链接的风险）；②实施工业控制网“白名单”策略（仅允许授权设备、协议通信）；③部署工业级隔离装置（如单向网闸），阻断办公网到控制网的非法访问；④缩短重要数据备份周期（如每日增量备份+每周全量备份），并离线存储备份数据。案例2：2025年6月，某生物科技公司（持有BSL-2实验室资质）在研发新型流感疫苗过程中，发生实验样本（H3