2025年数据安全专项考核试题及答案

2025年数据安全专项考核试题及答案1.单项选择题（每题1分，共20分）1.1依据《数据安全法》，对“重要数据”实行分级分类保护的主管部门是A.中央网信办 B.公安部 C.行业主管部门 D.国家数据安全工作协调机制答案：C1.2在GB/T379182019《数据安全能力成熟度模型》中，能力等级最高级为A.1级 B.3级 C.4级 D.5级答案：D1.3下列加密模式中，能够提供“明文可认证性”的是A.ECB B.CBC C.GCM D.CFB答案：C1.4差分隐私中，对同一查询添加的噪声幅值与下列参数成正比的是A.查询结果大小 B.隐私预算ε C.敏感度Δ D.数据量n答案：C1.5在零信任架构中，用于持续评估访问主体信任等级的核心组件是A.SIEM B.PKI C.PolicyEngine D.VPNGateway答案：C1.6对云上MySQL实例开启TDE（TransparentDataEncryption）后，仍需要应用侧额外加密的是A.系统表 B.InnoDBRedoLog C.二进制日志Binlog D.内存缓冲池答案：C1.7发生个人信息泄露事件后，根据《个人信息保护法》，企业向省级以上监管部门报告的时限为A.24小时 B.3个工作日 C.5个工作日 D.7个工作日答案：B1.8下列关于同态加密的说法正确的是A.支持在密文上直接执行任意程序 B.CKKS方案主要支持整数运算 C.BFRS方案支持浮点数近似计算 D.全同态加密一定比部分同态加密效率高答案：C1.9数据脱敏中的“可逆脱敏”最主要风险是A.无法恢复原始数据 B.密钥泄露导致数据还原 C.破坏数据分布 D.增加存储开销答案：B1.10在Kubernetes环境中，对Secret对象进行加密存储时，使用的静态加密插件是A.KMSPlugin B.etcd加密 C.AESCBCprovider D.aescbcprovider答案：D1.11数据分类分级工作中，下列哪项不是“影响对象”维度的取值A.国家安全 B.企业利益 C.个人隐私 D.传输速率答案：D1.12关于RAID6与RAID5的数据安全特性，下列说法正确的是A.RAID6可容忍双盘同时失效 B.RAID5写入性能高于RAID6 C.RAID6校验数据仅有一份 D.RAID5至少需要4块盘答案：A1.13在数据安全风险评估中，采用FAIR模型计算“损失事件频率”需要输入A.威胁能力 B.资产价值 C.控制有效性 D.漏洞严重性答案：A1.14下列关于TLS1.3握手过程的说法正确的是A.支持RSA密钥交换 B.默认启用0RTT C.握手消息全部加密 D.取消了ServerHelloDone消息答案：D1.15对API接口实施“速率限制”主要缓解的风险是A.重放攻击 B.撞库攻击 C.DDoS滥用 D.中间人攻击答案：C1.16数据跨境传输安全评估中，SCCs指A.标准合同条款 B.安全计算中心 C.服务器证书检查 D.软件组成清单答案：A1.17在数据库审计系统中，用于解析OracleTNS协议私有字段的技术是A.端口镜像 B.深度包检测 C.反向代理 D.正则匹配答案：B1.18下列哪项不是NISTSP80088介质清理标准中的“清除”方法A.覆盖写入 B.块擦除 C.加密擦除 D.物理粉碎答案：D1.19数据安全运营中，SOAR平台的核心价值是A.日志存储 B.编排与自动化响应 C.性能监控 D.用户画像答案：B1.202024年发布的《生成式AI数据安全基本要求》中，对训练数据“最小可用”原则要求A.删除全部个人信息 B.去标识化即可 C.不得包含国家核心数据 D.须获得数据主体单独同意答案：C2.多项选择题（每题2分，共20分，多选少选均不得分）2.1以下属于《网络数据安全管理条例（征求意见稿）》提出的“数据处理者”义务的有A.建立数据安全负责人 B.定期开展风险评估 C.向公安机关备案重要数据 D.发生泄露后72小时内公告 E.采购商用密码产品须通过国家认证答案：ABC2.2关于可信执行环境（TEE）的描述正确的有A.IntelSGX属于TEE技术 B.TEE内部代码可被操作系统调试 C.TrustZone提供硬件隔离 D.TEE可防止物理旁路攻击 E.TEE需依赖CPU安全指令集答案：ACE2.3下列算法属于抗量子密码候选算法的有A.CRYSTALSKYBER B.RSA4096 C.Falcon D.NTRU E.AES256答案：ACD2.4数据安全治理中，属于“数据血缘”技术实现的关键步骤有A.静态代码扫描 B.动态钩子注入 C.日志解析 D.元数据标注 E.数据标签下沉答案：BCD2.5在数据脱敏效果评估指标中，反映“数据可用性”的有A.查询准确率 B.分布相似度 C.唯一性保持率 D.逆识别风险 E.数据压缩比答案：ABC2.6以下关于日志审计合规要求的描述，符合《网络安全法》及配套标准的有A.留存不少于6个月 B.日志须加密存储 C.关键设备须开启NTP同步 D.日志禁止出境 E.第三方审计系统须独立部署答案：ACE2.7数据安全生命周期包含的阶段有A.采集 B.传输 C.销毁 D.使用 E.备份答案：ABCDE2.8以下属于隐私增强技术（PETs）的有A.联邦学习 B.安全多方计算 C.数据水印 D.同态加密 E.区块链答案：ABD2.9在数据跨境传输合规评估中，需重点评估的要素有A.境外接收方所在国法律环境 B.数据出境规模 C.数据再转移风险 D.数据主体授权范围 E.网络链路带宽答案：ABCD2.10下列关于数据安全应急响应演练的说法正确的有A.需覆盖数据泄露、篡改、丢失场景 B.每年至少一次实战演练 C.演练报告须提交董事会审阅 D.演练中可真实删除生产数据以验证备份 E.需邀请第三方机构评估答案：ABE3.填空题（每空1分，共20分）3.1在GB/T352732020中，对“敏感个人信息”明确列出“________”等四类生物识别信息。答案：面部识别特征3.2数据安全能力成熟度模型中，第3级“________”级要求建立统一的数据安全策略。答案：定义3.3采用AES256GCM加密时，推荐的初始化向量IV长度为________字节。答案：123.4差分隐私的隐私预算ε通常取值小于________时，可提供较高隐私保证。答案：13.5在Linux系统中，使用________命令可安全擦除SATA接口固态硬盘。答案：hdparm–securityerase3.6数据分类分级工作中，采用“________矩阵”法可量化评估数据重要性。答案：影响程度—影响范围3.7零信任参考架构NISTSP800207将核心组件分为数据平面和________平面。答案：控制3.8根据《个人信息保护法》，处理已公开个人信息仍需符合“________”原则。答案：合理3.9在Oracle数据库中，启用TransparentDataEncryption需首先打开________模式。答案：wallet3.10数据安全风险评估中，采用CVSSv3.1评分时，基础分大于等于________分为高危。答案：7.03.11使用SHA256对消息进行哈希，输出长度为________位。答案：2563.12在Kubernetes中，对etcd启用加密配置需设置________资源。答案：EncryptionConfiguration3.13数据出境安全评估办法规定，处理________万人以上个人信息应申报评估。答案：1003.14数据水印技术中，________攻击指通过多份水印样本推测原始水印。答案：平均3.15在TLS1.3中，用于实现前向保密的关键算法是________密钥交换。答案：ECDHE3.16数据安全运营指标体系中，MTTD指平均________时间。答案：检测3.17根据ISO/IEC27040:2015，存储安全控制域共包含________个。答案：353.18在联邦学习中，________攻击可通过共享梯度推断用户隐私。答案：梯度泄露3.19数据安全治理组织架构应设立________岗位，负责统筹数据安全事件处置。答案：CDSO（首席数据安全官）3.20采用ErasureCode冗余策略时，常见配置为10+4，其磁盘利用率为________%。答案：71.44.判断题（每题1分，共10分，正确打“√”，错误打“×”）4.1数据安全法规定，国家建立数据安全审查制度，对影响国家安全的数据活动进行审查。答案：√4.2在AES加密中，密钥长度越长，分组长度也随之增加。答案：×4.3差分隐私机制中，拉普拉斯机制适用于数值型查询。答案：√4.4零信任架构下，内部网络流量默认可信，无需再次认证。答案：×4.5数据脱敏后，数据量必须与原始数据完全一致。答案：×4.6数据跨境传输安全评估实行“一事一评估”制度。答案：√4.7同态加密可实现密文域的机器学习模型训练。答案：√4.8数据安全风险评估报告只需内部留存，无需向监管报送。答案：×4.9数据水印一旦嵌入，任何压缩操作都会破坏水印。答案：×4.10根据NISTSP80088，物理销毁是最高级别的介质清理方式。答案：√5.简答题（每题5分，共20分）5.1简述数据分类分级与数据脱敏的关系。答案：数据分类分级是识别数据重要性和敏感程度的前提，为脱敏策略提供依据；高等级数据需采用高强度脱敏算法，低等级数据可采用轻量级脱敏；分类分级结果决定脱敏后数据的可分发范围与使用权限，二者共同构成数据安全治理的基础。5.2说明TLS1.3与TLS1.2在握手性能上的主要差异及带来的安全收益。答案：TLS1.3将握手往返次数由2RTT降至1RTT，甚至0RTT重连，减少延迟；移除RSA静态密钥交换，强制前向保密；加密全部握手消息，防止中间人降级攻击；简化密码套件，移除弱算法，提升整体安全性。5.3列举数据出境安全评估的自评估报告应包含的六项核心内容。答案：1.出境业务场景与必要性说明；2.数据出境规模、范围、类型；3.境外接收方情况及所在国法律环境；4.数据安全保护措施及风险防控措施；5.数据主体权益保障机制；6.数据再转移风险及约束条款。5.4概述联邦学习在保护数据安全方面的三大技术机制。答案：1.本地训练，原始数据不出域；2.梯度加密传输，采用同态加密或安全聚合；3.差分隐私噪声注入，防止梯度泄露攻击，实现模型可用性与隐私保护平衡。6.应用题（共30分）6.1计算题（8分）某电商平台拥有用户交易数据1亿条，需对外提供统计查询接口。查询函数为“某品类销售额总和”，其全局敏感度Δ=5000元。若采用差分隐私拉普拉斯机制，隐私预算ε=0.5，求：（1）所需添加的拉普拉斯噪声尺度b；（2）若连续查询100次，累积隐私预算多少；（3）简述降低累积预算的两种方法。答案：（1）b=Δ/ε=5000/0.5=10000元；（2）简单组合下累积预算=100×0.5=50，远超安全阈值；（3）方法一：采用高级组合定理，将累积预算控制在ε_total=√(100)×0.5≈5；方法二：引入隐私预算刷新机制，定期重置预算或采用分段衰减策略。6.2分析题（10分）某金融公司将核心数据库部署在阿里云RDS，开启透明加密（TDE），同时通过VPN将数据同步至本地机房备份。备份文件使用GPG对称加密，密钥存储在阿里云KMS。请分析该方案在“密钥管理”“传输安全”“备份恢复”三方面存在的风险，并给出改进建议。答案：风险：1.密钥托管于单一云KMS，存在单点故障与云服务商内部人员访问风险；2.VPN隧道虽加密，但两端网关设备若被入侵可导致中间人攻击；3.备份文件使用对称密钥，若密钥泄露则历史数据全部暴露，且缺乏定期恢复演练。改进：1.采用多云KMS与硬件根信任（HSM）建立密钥分层管理，主密钥离线