2025年计算机应用安全管理考试题及答案

2025年计算机应用安全管理考试题及答案一、单项选择题（每题2分，共20分）1.根据2024年修订的《网络安全法实施条例》，关键信息基础设施运营者在数据跨境传输时，除通过安全评估外，还需向省级网信部门提交的核心材料是（）。A.数据出境风险自评估报告B.第三方安全检测机构的渗透测试报告C.数据接收方所在国的网络安全等级证明D.企业上年度网络安全投入占比财务报表2.某企业采用基于属性的访问控制（ABAC），其核心特征是（）。A.根据用户角色分配权限B.基于用户、环境、资源的动态属性决策C.仅允许用户访问必要资源（最小权限）D.通过物理令牌实现身份验证3.针对勒索软件攻击的防御措施中，最关键的技术手段是（）。A.部署下一代防火墙（NGFW）B.定期全量离线备份数据C.启用多因素身份认证（MFA）D.安装最新版杀毒软件4.以下不属于零信任架构核心原则的是（）。A.持续验证访问请求B.默认不信任网络内部流量C.基于角色分配静态权限D.最小化资源暴露面5.某金融机构发现数据库存在SQL注入漏洞，修复前需优先采取的临时措施是（）。A.关闭数据库服务B.对输入参数进行严格校验和转义C.限制数据库访问IP白名单D.部署Web应用防火墙（WAF）进行流量过滤6.根据《个人信息保护法》，处理14周岁以下未成年人个人信息时，应取得（）。A.未成年人本人同意B.未成年人父母或其他监护人的单独同意C.行业主管部门备案D.第三方机构的合规认证7.以下哪种加密算法属于非对称加密（公钥加密）？（）A.AES-256B.SHA-256C.RSAD.国密SM48.APT（高级持续性威胁）攻击的主要特点是（）。A.利用已知漏洞快速传播B.针对特定目标长期潜伏渗透C.通过社交工程诱导用户点击恶意链接D.大规模破坏目标基础设施9.某企业部署EDR（端点检测与响应）系统，其核心功能是（）。A.监控网络流量中的异常行为B.对终端设备进行漏洞扫描C.实时检测并响应终端上的恶意活动D.管理企业所有终端的补丁更新10.数据脱敏技术中，“将身份证号的出生年月部分替换为”属于（）。A.匿名化B.去标识化C.加密D.掩码二、填空题（每空2分，共20分）1.网络安全等级保护2.0标准中，信息系统安全保护等级分为______级。2.常见的身份认证“双因素”通常指______和______（各填一类）。3.漏洞生命周期包括发现、验证、______、修复、______五个阶段。4.应急响应流程的核心步骤包括准备、检测、______、抑制、______、恢复、总结。5.云安全中，“共享责任模型”要求云服务商负责______安全，用户负责______安全（各填一类）。6.数据分类分级的常见维度包括______、______（各填一个）。三、简答题（每题8分，共40分）1.简述动态访问控制（DAC）与传统静态访问控制（如RBAC）的主要区别，并举例说明动态访问控制的应用场景。2.分析API（应用程序编程接口）安全面临的主要威胁，并列举至少3项防护措施。3.漏洞扫描与渗透测试的核心区别是什么？在企业安全管理中应如何协同使用？4.数据分类分级在安全管理中的作用体现在哪些方面？请结合《数据安全法》相关要求说明。5.论述AI驱动的安全检测技术（如基于机器学习的异常检测）的优势与潜在挑战。四、案例分析题（20分）2024年12月，某省级医疗云平台发生数据泄露事件，约50万条患者病历信息（包含姓名、身份证号、诊断结果）被黑客通过未授权的API接口获取。经调查，该平台存在以下问题：API接口未启用身份认证，仅通过IP白名单控制访问；患者数据存储时未加密，且未进行敏感字段脱敏；安全日志仅保留7天，无法追溯攻击路径；未制定明确的应急响应预案，事件发生后48小时才启动调查。请结合《网络安全法》《数据安全法》《个人信息保护法》及相关技术标准，回答以下问题：（1）分析该事件中平台运营方存在的主要安全管理缺陷；（2）指出运营方违反的具体法律条款（至少3条）；（3）提出针对该事件的应急处置措施及长期改进建议。答案一、单项选择题1.A（《网络安全法实施条例》第35条明确数据跨境需提交自评估报告）2.B（ABAC基于动态属性决策，区别于RBAC的静态角色）3.B（勒索软件核心威胁是数据加密，离线备份是恢复关键）4.C（零信任强调动态验证，而非静态权限）5.D（WAF可临时阻断SQL注入攻击，为修复争取时间）6.B（《个人信息保护法》第31条规定未成年人信息需监护人单独同意）7.C（RSA是非对称加密，AES、SM4是对称加密，SHA是哈希算法）8.B（APT特点是长期、针对性、潜伏性）9.C（EDR核心是终端恶意行为的检测与响应）10.D（掩码技术通过替换部分字符保护敏感信息）二、填空题1.五2.知识因子（如密码）、持有因子（如令牌）（或其他合理组合）3.报告、验证（或“通告”“确认”）4.分析、根除（或“清除”）5.基础设施（如云服务器、网络）、数据及应用（如用户数据、业务系统）6.敏感性（如个人信息、涉密数据）、业务价值（如核心业务数据、一般数据）（或其他合理维度）三、简答题1.区别：传统静态访问控制（如RBAC）基于固定角色分配权限，权限更新需手动调整；动态访问控制（DAC）根据用户属性（如位置、时间）、环境（如网络风险等级）、资源状态（如数据敏感级别）实时调整权限。应用场景：金融机构移动端交易时，若检测到用户登录IP异常（如异地登录），动态限制大额转账权限；医疗系统中，医生夜间访问患者病历需额外生物识别验证。2.主要威胁：未授权访问（API接口未认证或认证弱）、注入攻击（如JSON注入）、数据泄露（返回超量敏感数据）、重放攻击（未校验请求时效性）。防护措施：启用OAuth2.0或API密钥认证；对输入输出参数进行严格校验和清洗；限制API返回数据范围（如仅返回必要字段）；使用JWT（JSONWebToken）并设置短时效；部署API网关监控流量异常。3.核心区别：漏洞扫描是自动化工具对已知漏洞的检测，依赖漏洞库匹配；渗透测试是模拟真实攻击的人工/半人工测试，可发现未知漏洞（0day）及业务逻辑缺陷。协同使用：定期漏洞扫描覆盖基础安全（如补丁缺失），季度/年度渗透测试挖掘深层风险；扫描结果为渗透测试提供重点目标，渗透测试结果补充漏洞库，提升扫描准确性。4.作用：①合规要求：《数据安全法》第21条要求开展数据分类分级，明确保护责任；②资源优化：根据数据敏感级别分配防护资源（如高敏感数据加密存储+访问审计，低敏感数据简化保护）；③风险控制：分类后可针对性制定访问策略（如患者隐私数据仅限授权医生访问）、备份策略（如核心业务数据异地多活备份）；④事件响应：明确数据等级后，可快速判断泄露影响（如高敏感数据需24小时内上报监管部门）。5.优势：①实时性：机器学习模型可实时分析流量/日志，比规则引擎更快发现未知威胁；②适应性：通过持续训练更新模型，应对新型攻击（如变种勒索软件）；③精准性：减少误报（如区分正常批量操作与DDoS攻击）；④自动化：可联动防火墙、EDR自动阻断可疑行为。潜在挑战：①数据质量：模型依赖大量标注数据，若训练数据存在偏差（如缺乏某类攻击样本），可能导致误判；②对抗性攻击：黑客可构造“对抗样本”欺骗模型（如修改恶意代码特征绕过检测）；③解释性：深度学习模型的决策过程难以追溯，不符合GDPR等法规的“可解释性”要求；④资源消耗：模型训练与推理需高性能计算资源，小型企业部署成本高。四、案例分析题（1）主要安全管理缺陷：①API安全管理缺失：未启用身份认证（仅IP白名单不可靠），未限制接口访问权限；②数据保护措施不足：敏感数据未加密存储，未进行脱敏处理（如身份证号应部分掩码）；③日志与监控缺陷：日志保留时间过短（至少应保留6个月），无法追溯攻击路径；④应急响应机制缺失：未制定预案，事件响应滞后（应在1小时内启动初步调查）。（2）违反的法律条款：①《网络安全法》第21条：未履行网络安全等级保护义务（未对医疗数据实施必要加密、访问控制）；②《数据安全法》第27条：未对重要数据（患者病历属重要数据）采取严格保护措施（如加密、脱敏）；③《个人信息保护法》第29条：未对敏感个人信息（身份证号、诊断结果）采取特别保护措施（如加密存储、最小化收集）；④《网络安全法》第25条：未制定网络安全事件应急预案，导致事件处置延误。（3）应急处置措施：①立即阻断API接口访问（关闭未授权接口，启用MFA认证）；②启动日志回溯（若原日志丢失，调取云服务商审计日志或网络流量镜像）；③通知受影响患者（通过短信、APP推送），提示修改关联账号密码，监测身份盗用风险；④向省级网信部门、卫生健康主管部门报告事件（24小时内提交书面报告）；⑤对泄露数据进行技术溯源（分析黑客获取路径，确认是否有数据进一步扩散）。长期改进建议：①加强API安全管理：采用OAuth2.0+JWT认证，限制接口访问频率，启用API网关监控流量；②实施数据分类分级：将患者病历标记为“高敏