2025年网络与数据安全培训考核题(附答案)

2025年网络与数据安全培训考核题(附答案)一、单项选择题（每题2分，共40分）1.根据《数据安全法》第二十一条，国家建立数据分类分级保护制度，数据分类分级的依据不包括以下哪项？A.数据来源的地域性B.数据在经济社会发展中的重要程度C.数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度D.数据的敏感程度答案：A2.某金融机构拟将客户个人信息跨境传输至境外母公司用于风险建模，根据《个人信息保护法》第三十八条，下列哪项不是必须履行的义务？A.通过国家网信部门组织的安全评估B.按照国家网信部门的规定经专业机构进行个人信息保护认证C.与境外接收方订立书面协议，明确双方的权利和义务D.向个人信息主体提供境外接收方的基本信息并取得单独同意答案：B（注：安全评估、认证、协议、单独同意均为可选路径，非必须全部履行）3.关于网络安全等级保护2.0中“安全通信网络”的要求，下列说法错误的是？A.应采用密码技术保证通信过程中数据的完整性B.应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为C.应确保网络设备的登录失败处理功能启用，设置合理的重命名次数限制D.应根据业务需求和安全需求划分不同的网络区域，区域间采用访问控制措施答案：C（C选项属于“安全区域边界”要求）4.某企业使用AI模型处理用户医疗数据，根据《生成式人工智能服务管理暂行办法》，下列哪项不属于必须公开的信息？A.模型训练数据的来源、规模、类型B.模型的算法原理及可能产生的偏差C.用户数据的存储期限和删除方式D.服务的适用人群和场景限制答案：B（算法原理非必须公开，但需说明可能产生的偏见或歧视）5.下列哪种加密技术属于量子密码学范畴？A.RSA非对称加密B.AES对称加密C.基于量子密钥分发（QKD）的加密D.椭圆曲线加密（ECC）答案：C6.某电商平台发现用户注册信息数据库出现异常访问日志，经排查确认存在数据泄露风险，根据《网络安全法》第二十五条，应在多长时间内向属地网信部门报告？A.立即（2小时内）B.24小时内C.48小时内D.72小时内答案：A7.关于数据脱敏技术，下列说法正确的是？A.静态脱敏适用于实时交易场景B.动态脱敏会永久改变原始数据C.掩码脱敏属于可逆脱敏技术D.脱敏后的数据应无法通过任何方式还原原始信息答案：C（掩码脱敏如将身份证号部分替换为“”，可通过规则还原部分信息）8.物联网设备安全防护的核心目标不包括？A.防止设备被远程控制B.确保设备固件更新的完整性C.限制设备数据的本地存储量D.验证设备与服务器通信的身份真实性答案：C9.某企业开展数据安全风险评估，下列哪项不属于评估范围？A.数据处理活动的合规性B.数据泄露对企业股价的影响C.数据存储介质的物理安全性D.数据处理人员的安全意识水平答案：B（风险评估聚焦安全风险，非经济影响）10.根据《关键信息基础设施安全保护条例》，关键信息基础设施运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行几次检测评估？A.1次B.2次C.3次D.4次答案：A11.下列哪种攻击方式利用了操作系统或应用程序的未公开漏洞？A.DDoS攻击B.零日攻击（Zero-dayAttack）C.钓鱼攻击D.SQL注入攻击答案：B12.个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，根据《个人信息保护法》第二十二条，应当？A.直接转移至接收方，无需告知个人信息主体B.向个人信息主体告知接收方的名称或姓名、联系方式、处理目的等，并取得单独同意C.仅需向监管部门备案，无需告知个人信息主体D.由接收方自行承担后续责任答案：B13.关于区块链数据安全，下列说法错误的是？A.区块链的不可篡改性依赖于共识机制B.智能合约漏洞可能导致链上资产损失C.私有链的数据访问控制可通过权限管理实现D.区块链存储的所有数据均需向全网公开答案：D（私有链或联盟链可限制数据可见范围）14.某企业拟采购第三方数据服务，在数据合规性审查中，下列哪项不是必须核查的内容？A.数据提供方的业务资质B.数据来源的合法性（如是否取得原始主体同意）C.数据服务的报价是否低于市场平均水平D.数据传输过程中的加密方式答案：C15.网络安全事件应急响应流程的正确顺序是？①恢复与总结②检测与分析③准备④抑制⑤根除A.③→②→④→⑤→①B.②→③→④→⑤→①C.③→④→②→⑤→①D.②→④→③→⑤→①答案：A16.根据《数据出境安全评估办法》，数据出境活动不包括？A.数据处理者将在境内运营中收集和产生的数据传输、存储至境外B.数据处理者收集在境外产生的个人信息并存储在境内C.数据处理者将境内数据提供给境外机构、组织、个人D.数据处理者通过境外实体向境内传输数据答案：B（数据出境指境内数据向境外转移）17.下列哪项属于访问控制的“最小权限原则”实践？A.系统管理员拥有所有功能的操作权限B.财务人员仅能访问与其岗位职责相关的财务数据C.开发人员在测试环境中可访问生产环境数据库D.新入职员工默认获得系统最高权限答案：B18.关于AI生成内容（AIGC）的安全风险，下列说法错误的是？A.可能被用于生成虚假信息实施诈骗B.训练数据中的偏见可能导致生成内容歧视C.生成的代码一定不会存在安全漏洞D.需对AIGC内容进行来源标识答案：C19.某医院拟将患者电子病历数据共享给科研机构，根据《个人信息保护法》，下列哪项不属于“合法、正当、必要”原则的要求？A.共享目的明确且与科研任务直接相关B.共享的数据量应最小化（仅包括研究所需字段）C.向患者告知共享的科研机构名称、数据用途D.无论患者是否同意，均可强制共享答案：D20.工业控制系统（ICS）的安全防护重点不包括？A.防止物理设备被非法访问B.确保控制指令传输的完整性C.限制操作人员的操作日志记录D.防范恶意软件对控制器的攻击答案：C（需完整记录操作日志）二、多项选择题（每题3分，共30分。每题至少有2个正确选项，多选、少选、错选均不得分）1.根据《数据安全法》，数据处理者应当履行的义务包括？A.建立健全数据安全管理制度B.采取相应的技术措施和其他必要措施保障数据安全C.定期开展数据安全风险评估并向社会公开评估报告D.对数据处理活动中知悉的个人信息、商业秘密予以保密答案：ABD（风险评估报告无需强制向社会公开）2.常见的网络钓鱼攻击手段包括？A.发送伪装成银行的邮件，诱导用户点击虚假链接B.在社交平台发布“中奖”信息，要求用户提供银行卡信息C.通过漏洞扫描工具探测目标系统弱点D.利用即时通讯工具发送含恶意附件的文件答案：ABD（C属于渗透测试手段）3.数据安全治理的核心要素包括？A.组织架构（如数据安全委员会）B.制度流程（如数据分类分级制度）C.技术工具（如数据脱敏系统）D.人员能力（如安全意识培训）答案：ABCD4.个人信息主体依法享有哪些权利？A.查阅、复制个人信息的权利B.要求更正、删除个人信息的权利C.限制或拒绝处理个人信息的权利D.要求将个人信息转移至指定第三方的权利（数据可携带权）答案：ABCD5.关于SSL/TLS协议，下列说法正确的是？A.用于在客户端和服务器之间建立安全通信通道B.可保证数据传输的机密性和完整性C.最新版本为TLS1.3，修复了前版本的部分安全漏洞D.仅能保护HTTP协议，无法保护其他协议答案：ABC（TLS可保护任意基于TCP的协议）6.物联网设备的典型安全风险包括？A.弱密码或默认密码未修改B.固件缺乏安全更新机制C.设备与云平台通信未加密D.设备存储空间不足导致数据丢失答案：ABC（D属于功能缺陷，非安全风险）7.根据《网络安全审查办法》，下列哪些情况需要申报网络安全审查？A.关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全B.数据处理者开展数据处理活动，影响或可能影响国家安全C.境外上市的企业，数据处理活动可能影响国家安全D.普通企业采购办公软件，不涉及关键信息基础设施答案：ABC（D无需审查）8.数据泄露事件的应急处置措施包括？A.立即切断泄露源（如关闭异常访问接口）B.评估泄露数据的类型、数量及影响范围C.向监管部门报告并通知受影响的个人或组织D.对责任人员进行追责，无需记录处置过程答案：ABC（需完整记录处置过程）9.云计算环境下的数据安全挑战包括？A.多租户隔离失效导致数据泄露B.云服务商内部人员滥用权限C.数据跨境存储引发的合规问题D.云服务器硬件老化导致性能下降答案：ABC（D属于运维问题，非安全挑战）10.关于密码技术应用，下列说法正确的是？A.哈希函数（如SHA-256）可用于验证数据完整性B.数字签名可用于确认数据发送者的身份C.对称加密（如AES）的密钥管理比非对称加密（如RSA）更复杂D.量子计算机可能破解现有的RSA加密算法答案：ABD（非对称加密的密钥管理更复杂）三、判断题（每题1分，共10分。正确填“√”，错误填“×”）1.数据安全责任仅由数据控制者承担，数据处理者无需负责。（）答案：×（数据处理者也需履行安全义务）2.网络安全等级保护的对象仅包括信息系统，不包括大数据平台、物联网等新型系统。（）答案：×（等保2.0覆盖所有网络基础设施）3.个人信息处理者可以将“同意”作为提供产品或服务的唯一条件。（）答案：×（《个人信息保护法》第十六条禁止强制同意）4.区块链的“去中心化”特性意味着无需任何形式的访问控制。（）答案：×（私有链仍需权限管理）5.数据脱敏后的数据可以直接用于机器学习训练，无需考虑剩余风险。（）答案：×（脱敏可能存在“再标识”风险）6.网络安全事件发生后，只需向行业主管部门报告，无需向网信部门报告。（）答案：×（需向属地网信部门和行业主管部门双报告）7.量子通信可以完全抵御任何形式的窃听。（）答案：×（量子通信依赖设备物理安全性，存在侧信道攻击风险）8.企业可以自行决定数据分类分级的具体标准，无需参考国家或行业指南。（）答案：×（需遵循《数据安全法》要求，结合自身实际制定）9.钓鱼邮件的发件人地址一定是伪造的。（）答案：√（真实地址可能被劫持或仿冒）10.数据安全风险评估报告的保存期限至少为3年。（）答案：√（参考《数据安全法》第三十四条）四、简答题（每题6分，共30分）1.简述数据安全“三同步”原则的具体内容。答案：数据安全“三同步”原则是指数据处理活动中，安全措施应与数据收集、存储、使用等过程同步规划、同步建设、同步使用。即：①同步规划：在数据处理项目立项时，将安全需求纳入整体规划；②同步建设：在系统开发或数据处理流程设计时，同步部署安全技术措施（如加密、访问控制）和管理措施（如权限审批）；③同步使用：在数据处理活动正式运行时，安全措施需同步启用并持续有效。2.列举个人信息处理的“最小必要”原则的具体要求。答案：“最小必要”原则要求个人信息处理者在处理个人信息时：①目的最小化：处理目的应明确且必要，不得超出实现目的所需的范围；②数据最小化：收集的个人信息类型和数量应限于实现处理目的的最低需求（如仅需手机号即可完成注册，不得强制收集身份证号）；③范围最小化：处理活动的时间、空间、对象等应严格限制（如仅在业务期间处理，仅授权必要人员访问）；④技术最小化：采用对个人权益影响最小的处理方式（如优先使用匿名化而非脱敏）。3.简述网络安全事件应急响应的“黄金四步骤”及其核心任务。答案：应急响应的“黄金四步骤”包括：①检测与分析：通过监控工具（如SIEM系统）发现异常，分析攻击手段、影响范围和数据泄露情况；②抑制：采取临时措施阻止攻击扩散（如隔离受感染设备、关闭漏洞端口）；③根除：彻底清除攻击源（如修复系统漏洞、删除恶意软件、吊销被泄露的凭证）；④恢复：将系统和数据恢复至正常状态（如从备份恢复数据、验证业务功能）。4.说明数据跨境流动的三种合规路径（根据《个人信息保护法》及相关法规）。答案：数据跨境流动的合规路径包括：①安全评估：通过国家网信部门组织的个人信息出境安全评估（适用于关键信息基础设施运营者、处理100万人以上个人信息的数据处理者等）；②认证：按照国家网信部门规定经专业机构进行个人信息保护认证（如通过“个人信息保护认证”标志）；③标准合同：与境外接收方订立国家网信部门制定的标准合同（适用于其他数据处理者）。此外，还需向个人信息主体告知并取得单独同意。5.列举工业控制系统（ICS）与传统IT系统的三个主要安全差异。答案：①实时性要求：ICS需保障控制指令的实时传输，传统IT系统可接受一定延迟；②生命周期差异：ICS设备（如PLC）通常使用10年以上，难以频繁更新补丁，传统IT设备更新周期短；③攻击影响不同：ICS攻击可能直接导致物理设备损坏（如工业机器人失控），传统IT攻击主要影响数据或业务系统；④协议特殊性：ICS常用专有协议（如Modbus、OPCUA），传统IT多使用通用协议（如HTTP、TCP/IP）。五、案例分析题（每题15分，共30分）案例1：某电商平台用户信息泄露事件2024年11月，某电商平台（注册用户超5000万，属于关键信息基础设施运营者）发现用户数据库出现异常访问，经技术排查确认：-黑客通过暴力破解客服人员弱密码（密码为“123456”）登录后台管理系统；-非法下载了200万条用户信息（包括姓名、手机号、收货地址）；-平台日志系统未开启操作审计功能，无法追踪具体泄露时间；-平台在事件发生后48小时才向属地网信部门报告。问题：（1）分析该平台在数据安全管理中存在的主要漏洞。（2）根据《数据安全法》《个人信息保护法》，指出平台应承担的法律责任。答案：（1）主要漏洞：①身份认证缺陷：客服人员使用弱密码，未实施多因素认证（MFA）；②日志与审计缺失：未开启操作审计功能，无法追溯异常访问；③事件报告延迟：作为关键信息基础设施运营者，应在发现事件后立即（2小时内）报告，实际延迟至48小时；④访问控制不足：后台管理系统未根据“最小权限原则”限制客服人员的数据访问范围（如仅需查看订单，无需下载用户信息）；⑤安全意识薄弱：未对员工开展密码安全培训。（2）法律责任：①根据《数据安全法》第四十五条，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或造成严重后果的，处50万元以上500万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照；对直接负责的主管人员和其他直接责任人员处1万元以上20万元以下罚款。②根据《个人信息保护法》第六十六条，违法处理个人信息或处理个人信息未履行保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得；拒不改正的，处100万元以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。情节严重的，处5000万元以下或上一年度营业额5%以下罚款，并可以责令暂停相关业务或停业整顿、通报有关主管部门吊销相关业务许可或吊销营业执照；对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。③若因平台过错导致用户信息泄露并造成实际损害（如用户被诈骗），需依法承担民事赔偿责任；若构成犯罪（如违反《刑法》第二百五十三条之一“侵犯公民个人信息罪”），相关责任人可能被追究刑事责任。案例2：某医疗科技公司AI诊断系统数据安全事件某医疗科技公司开发了一款基于AI的皮肤病诊断系统，使用10万例患者的