2026年网络信息安全与数据保护试题

2026年网络信息安全与数据保护试题一、单选题（共10题，每题2分，合计20分）1.在《个人信息保护法》中，哪项不属于个人信息的处理方式？A.收集B.存储C.加密D.追踪2.以下哪种加密算法属于对称加密？A.RSAB.AESC.ECCD.SHA-2563.某企业因数据泄露被罚款100万元，依据《网络安全法》，罚款金额属于哪种情形？A.警告B.没收违法所得C.暂停相关业务D.单项处罚4.在零信任架构中，以下哪项描述最准确？A.所有用户默认可信B.无需身份验证即可访问资源C.基于最小权限原则持续验证D.仅依赖防火墙防护5.某银行采用多因素认证（MFA），以下哪种组合最符合安全要求？A.密码+短信验证码B.生成器动态令牌+生物识别C.密码+安全问题D.邮箱验证+密码6.数据脱敏中，“遮蔽”技术通常指什么？A.将数据随机替换为符号B.对数据进行哈希处理C.删除敏感字段D.压缩数据文件7.ISO27001标准中，哪项是信息安全管理体系的核心要素？A.风险评估B.人员培训C.广告宣传D.市场分析8.某企业使用VPN传输敏感数据，以下哪种场景最不安全？A.通过HTTPS加密通道B.使用企业级VPN设备C.通过公共Wi-Fi传输D.采用双因素认证登录9.在GDPR框架下，以下哪项属于“合法处理”的前提？A.用户明确同意B.企业自主决定C.监管机构批准D.数据量越大越合规10.某公司部署了入侵检测系统（IDS），以下哪种行为可能被误报？A.异常登录尝试B.正常系统更新C.数据库查询优化D.外部IP扫描二、多选题（共5题，每题3分，合计15分）1.以下哪些措施有助于防范APT攻击？A.定期漏洞扫描B.关闭不必要的服务端口C.使用弱密码D.实施威胁情报监测2.《网络安全等级保护》中，三级系统的核心要求包括哪些？A.数据备份与恢复B.安全审计日志C.物理环境防护D.员工安全意识培训3.数据生命周期管理中，以下哪些阶段需要重点关注隐私保护？A.存储B.传输C.销毁D.开发4.在云安全中，以下哪些属于AWS的安全服务？A.WAF（Web应用防火墙）B.IAM（身份与访问管理）C.EDR（端点检测与响应）D.SIEM（安全信息和事件管理）5.某企业遭受勒索软件攻击，以下哪些措施有助于降低损失？A.使用勒索软件免疫工具B.定期数据备份C.关闭共享文件夹权限D.支付赎金三、判断题（共10题，每题1分，合计10分）1.区块链技术天然具备高安全性，无需额外防护。（×）2.数据脱敏后仍可完全用于机器学习训练。（×）3.根据《数据安全法》，关键信息基础设施运营者需建立数据分类分级制度。（√）4.双因素认证（2FA）比单因素认证（1FA）绝对安全。（×）5.防火墙可以完全阻止所有网络攻击。（×）6.GDPR要求企业必须删除用户所有数据。（×）7.零信任架构的核心是“永不信任，始终验证”。（√）8.数据加密后无法被恢复。（×）9.《个人信息保护法》适用于所有在中国境内处理个人信息的行为。（√）10.勒索软件无法通过杀毒软件查杀。（×）四、简答题（共4题，每题5分，合计20分）1.简述“数据最小化原则”在个人信息处理中的要求。2.解释“纵深防御”策略的基本概念及其在网络安全中的应用。3.说明勒索软件的主要传播途径及企业应对措施。4.列举三种常见的云数据安全威胁及防护方法。五、论述题（共1题，10分）结合中国《网络安全法》《数据安全法》《个人信息保护法》三法，论述企业在处理个人信息时需遵循的核心合规要求，并举例说明如何平衡数据利用与隐私保护。答案与解析一、单选题1.C解析：加密属于技术手段，不属于法律定义的处理方式。收集、存储、追踪均属于个人信息处理范畴。2.B解析：AES（高级加密标准）属于对称加密算法；RSA、ECC为非对称加密；SHA-256为哈希算法。3.D解析：根据《网络安全法》第六十六条，罚款100万元属于“责令改正拒不改正”的行政处罚，属于单项处罚。4.C解析：零信任的核心是“永不信任，始终验证”，基于最小权限原则持续验证用户与设备身份。5.B解析：生成器动态令牌（如TOTP）+生物识别（如指纹）符合动态+静态组合，安全性最高。6.A解析：“遮蔽”技术如掩码（Masking）将敏感字符替换为符号（如“”）。7.A解析：风险评估是ISO27001的核心要素，其他为支撑性要求。8.C解析：公共Wi-Fi易被监听，传输敏感数据极不安全。9.A解析：GDPR要求处理个人信息需基于合法性基础，用户明确同意是最常见的合法前提。10.B解析：IDS可能将正常系统更新误判为攻击行为（误报）。二、多选题1.A、B、D解析：C项弱密码是漏洞，非防范措施。2.A、B、C解析：D项培训重要但非三级系统强制要求。3.A、B、C解析：开发阶段需设计隐私保护，但非重点管理环节。4.A、B、D解析：C项EDR通常由第三方提供。5.A、B、C解析：支付赎金可能助长攻击，非推荐措施。三、判断题1.×解析：区块链仍需结合防火墙、入侵检测等防护。2.×解析：脱敏会损失部分数据完整性，影响训练效果。3.√解析：《数据安全法》第二十六条明确要求。4.×解析：2FA仍可能被钓鱼或密码泄露攻破。5.×解析：防火墙无法阻止所有攻击（如钓鱼）。6.×解析：GDPR要求“限制处理”，非完全删除。7.√解析：零信任的核心原则。8.×解析：加密数据可通过密钥恢复。9.√解析：三法适用范围涵盖中国境内所有数据处理活动。10.×解析：杀毒软件可查杀恶意软件，但无法根除勒索软件。四、简答题1.数据最小化原则要求：-仅收集实现目的所必需的个人信息；-不存储超过必要期限的数据；-不主动收集敏感信息。2.纵深防御：-分层防御策略，如边界防护（防火墙）+主机防护（杀毒）+应用防护（WAF）；-每层独立运作，弥补单一防护不足。3.传播途径：-邮件附件（钓鱼邮件）；-恶意软件下载；-漏洞利用（如RDP未授权访问）。应对：部署EDR、定期备份、禁止自动运行附件、修补系统漏洞。4.云数据威胁及防护：-DDoS攻击：使用WAF+CDN防护；-数据泄露：启用RDS审计+数据加密；-配置错误：定期检查安全组规则+启用云监控。五、论述题核心合规要求：1.合法性基础：明确处理目的+用户同意；2.目的限制：数据仅用于约定范围；3.最小化原则：不收集非必要信息；4.安全保障：技术措施（加密）+管理措施（审计）。平衡数据利用与隐私保护：-场景举例：-医疗行业：医院需脱敏患者数据用于AI模型训练，但需匿名化处理并