2026年数据安全理论知识试卷及答案

2026年数据安全理论知识试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.我国《数据安全法》正式施行的日期是（）。A.2020年6月1日 B.2021年9月1日 C.2022年1月1日 D.2021年6月10日答案：B2.在GB/T379182019《信息安全技术个人信息安全工程指南》中，对“最小必要”原则的最佳解释是（）。A.仅收集与业务无关的个人信息 B.自动收集全部设备信息 C.收集为实现业务功能所必需的最少个人信息 D.收集信息后再进行脱敏答案：C3.下列加密算法中，属于国家商用密码算法体系的是（）。A.SM2 B.RSA2048 C.AES256 D.ECC384答案：A4.数据分类分级保护制度中，对“核心数据”的识别首要考虑（）。A.数据体量 B.数据敏感度与国家安全关联度 C.数据存储位置 D.数据产生频率答案：B5.在DSMM（数据安全能力成熟度模型）中，等级3“定义级”的关键特征是（）。A.临时执行 B.已建立组织级标准过程 C.量化管理 D.持续优化答案：B6.对跨境传输的个人信息进行安全评估时，下列指标不在《个人信息出境安全评估办法（征求意见稿）》重点考察范围的是（）。A.数据出境规模 B.境外接收方所在国家法律环境 C.数据出境链路带宽 D.数据出境目的答案：C7.零信任架构中，用于实现动态访问控制的核心组件是（）。A.SIEM B.SDP控制器 C.IDS D.防火墙答案：B8.根据《网络安全审查办法》，掌握超过多少万用户个人信息的平台运营者赴国外上市必须申报网络安全审查（）。A.50万 B.100万 C.500万 D.1000万答案：B9.在数据脱敏技术中，能够保持数据分布特征不变的方法是（）。A.随机扰动 B.掩码替换 C.同态加密 D.可逆置换答案：A10.下列关于差分隐私的描述正确的是（）。A.加入噪声后查询结果一定失真50%以上 B.ε越小隐私保护水平越低 C.同一数据集多次查询需累积隐私预算 D.差分隐私无法抵御背景知识攻击答案：C11.当发生个人信息泄露事件时，根据《个人信息保护法》，企业向省级以上监管部门报告的时限为（）。A.24小时内 B.3个工作日内 C.5个工作日内 D.7个工作日内答案：B12.在数据生命周期中，成本最高且风险最集中的阶段通常是（）。A.采集 B.存储 C.使用 D.销毁答案：C13.对数据库进行列级加密时，优先选择的加密模式是（）。A.ECB B.CBC C.GCM D.CTR答案：C14.数据安全影响评估（DSIA）与隐私影响评估（PIA）的根本区别在于（）。A.评估对象是否含个人信息 B.是否计算ROI C.是否使用定性方法 D.是否需第三方审计答案：A15.在Kubernetes环境中，对Secret资源进行加密存储时，推荐的加密配置是（）。A.仅base64编码 B.开启etcd加密并提供KMS插件 C.使用Node级全盘加密 D.将Secret保存到容器镜像层答案：B16.根据《关键信息基础设施安全保护条例》，下列行业不被直接列入关键信息基础设施的是（）。A.水利 B.医疗卫生 C.快递 D.金融答案：C17.数据容灾指标RPO表示（）。A.恢复时间目标 B.恢复点目标 C.故障切换时间 D.数据重传时延答案：B18.在数据安全运营中，SOAR平台的核心价值是（）。A.提供长期存储 B.实现告警编排与自动化响应 C.取代防火墙 D.降低带宽成本答案：B19.下列关于区块链在数据安全场景的应用，错误的是（）。A.链上数据不可篡改 B.智能合约可实现访问控制 C.链上存储适合大容量个人敏感原始数据 D.共识机制提供可用性保障答案：C20.对数据资产进行自动发现时，优先采用的扫描技术是（）。A.基于正则的内容匹配 B.基于机器学习的数据分类 C.基于端口嗅探 D.基于流量镜像的DPI答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下属于《数据安全法》明确的数据安全管理制度的有（）。A.数据分类分级保护 B.数据安全风险评估 C.数据出境安全审查 D.数据安全应急处置 E.数据交易备案答案：ABCD22.在隐私计算框架中，能够同时实现“数据可用不可见”的技术包括（）。A.联邦学习 B.安全多方计算 C.可信执行环境 D.同态加密 E.数据水印答案：ABCD23.数据安全治理中心的典型功能模块有（）。A.数据资产地图 B.敏感数据识别 C.数据血缘追踪 D.数据合规报告 E.数据压缩归档答案：ABCD24.下列关于日志审计的要求，符合《网络安全法》及配套标准的有（）。A.日志留存不少于6个月 B.日志应包含用户ID、时间、操作类型、操作结果 C.日志可保存于境外云存储 D.日志访问需双人授权 E.日志需定期校验完整性答案：ABDE25.导致同态加密在工业界落地受限的主要因素包括（）。A.计算开销大 B.密文膨胀率高 C.需要可信第三方 D.支持运算类型有限 E.无法支持浮点运算答案：ABDE26.在数据安全运营指标体系设计中，可量化的核心指标有（）。A.敏感数据覆盖率 B.数据访问异常率 C.数据安全事件闭环时长 D.数据分级准确率 E.数据备份成功率答案：ABCDE27.以下属于数据销毁阶段安全控制措施的有（）。A.物理粉碎 B.消磁 C.覆盖写0 D.加密擦除 E.降级回收答案：ABCD28.数据安全能力成熟度评估中，用于证据采集的方法包括（）。A.人员访谈 B.文档审查 C.工具扫描 D.渗透测试 E.财务审计答案：ABCD29.在数据跨境传输场景下，欧盟GDPR与美国CloudAct之间的冲突点体现在（）。A.数据主体权利救济路径 B.境外政府数据调取范围 C.数据本地化要求 D.罚款计算基数 E.未成年人数据定义答案：AB30.零信任参考架构《NISTSP800207》中提出的逻辑组件包括（）。A.策略引擎 B.策略管理员 C.策略执行点 D.数据湖 E.威胁情报源答案：ABCE三、填空题（每空1分，共20分）31.我国《密码法》将密码分为核心密码、________密码和商用密码。答案：普通32.在数据脱敏效果评估指标中，用于衡量脱敏后数据与原始数据分布相似度的指标是________距离。答案：JS（JensenShannon）33.数据安全风险评估中，风险值R通常用________公式计算，其中S表示安全事件损失，P表示威胁发生概率。答案：R=P×S34.根据ISO/IEC27040:2015，存储安全控制域之一“________”关注对存储介质从生产到报废的全生命周期管理。答案：介质管理35.在Kubernetes中，用于对APIServer审计日志进行策略配置的YAML字段名称是________。答案：auditPolicy36.当使用AESGCM模式时，推荐的初始化向量（IV）长度为________字节。答案：1237.数据安全运营平台中，SOAR的“O”代表________。答案：Orchestration38.在隐私预算分配中，若ε₁=0.1，ε₂=0.2，则组合预算ε_total=________（采用简单累加组合）。答案：0.339.根据《个人信息保护法》，处理敏感个人信息须取得个人的________同意。答案：单独40.数据容灾中，若RTO=15分钟，RPO=5分钟，则意味着业务中断后，数据丢失量最多为________分钟的数据。答案：541.在区块链侧链架构中，负责将主链资产锁定并生成侧链资产的机制称为________。答案：双向锚定（TwowayPeg）42.数据分类分级国家标准（GB/T436972024）将数据分为________级，其中最高级为核心数据。答案：三43.当采用IntelSGX实现可信执行环境时，用于验证enclave完整性的数据结构称为________。答案：MRENCLAVE44.在数据安全治理中，用于描述数据从源头到目的地的完整流转路径的术语是________。答案：数据血缘45.根据《网络数据安全管理条例（征求意见稿）》，超大型平台运营者年度数据安全审计报告须于次年________月底前报送监管部门。答案：三46.在WindowsServer中，用于实现动态访问控制（DAC）的声明属性集被称为________。答案：ClaimType47.数据安全事件应急响应分为监测、________、遏制、根除、恢复、总结六个阶段。答案：分析48.在数据安全合规自动化检测中，用于描述个人敏感字段的正则表达式“1[39]\\d{9}”通常匹配________号码。答案：手机49.当使用HadoopKMS提供透明加密时，加密区（EncryptionZone）的根密钥保存在________服务中。答案：KMS50.数据安全培训效果评估的四级模型（Kirkpatrick）中，最高级评估的是________结果。答案：业务四、判断题（每题1分，共10分。正确打“√”，错误打“×”）51.数据分类分级仅适用于结构化数据，对非结构化数据无强制要求。（）答案：×52.差分隐私机制中，加入的噪声服从拉普拉斯分布时，可实现ε差分隐私。（）答案：√53.在零信任网络中，一旦用户通过身份认证，其访问权限在会话期内不再改变。（）答案：×54.数据安全风险评估报告属于企业商业秘密，一律不得对外公开。（）答案：×55.同态加密支持对密文直接进行任意运算且结果解密后与明文运算结果一致。（）答案：×56.数据销毁后，只要进行格式化操作即可确保数据无法恢复。（）答案：×57.根据《个人信息保护法，》个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。（）答案：√58.在数据跨境传输场景下，签署SCC（标准合同）可完全排除GDPR第58条监管机构的调查权。（）答案：×59.数据安全能力成熟度等级越高，意味着数据安全投入成本一定线性增加。（）答案：×60.数据水印技术可用于追踪泄露源头，其鲁棒性指水印抵抗正常业务变换的能力。（）答案：√五、简答题（共30分）61.（封闭型，6分）简述《数据安全法》中确立的“数据安全责任制”核心要点。答案：（1）数据处理者对数据安全负主体责任；（2）重要数据处理者明确数据安全负责人和管理机构；（3）建立全流程数据安全管理制度；（4）开展风险监测、应急处置、风险评估和报告；（5）对委托处理、共同处理情形约定各方责任；（6）违法者承担罚款、停业、吊销执照等行政、民事乃至刑事责任。62.（开放型，6分）结合实例说明联邦学习在医疗数据共享中的优势与局限。答案：优势：1.数据不出域，符合《个人信息保护法》最小必要原则；2.多家医院协作提升AI模型精度，如多中心肺癌影像识别；3.降低数据传输带宽与存储成本。局限：1.梯度信息仍可能泄露敏感特征，需加入差分隐私或安全聚合；2.参与方数据异构性大，模型收敛慢；3.法律层面需明确多方责任、收益分配；4.需要额外投入计算与合规成本。63.（封闭型，6分）列出数据安全事件应急响应的六阶段，并给出每阶段主要输出文档。答案：1.监测：告警日志、事件初报；2.分析：事件分析报告、影响评估表；3.遏制：遏制方案、变更记录；4.根除：根除报告、补丁清单；5.恢复：恢复测试报告、业务恢复确认书；6.总结：事件总结报告、改进计划。64.（开放型，6分）说明数据出境安全评估中如何量化“国家网络安全风险”指标，并给出两种量化模型。答案：模型一：层次分析法（AHP）1.构建目标层—准则层—指标层，准则包括数据敏感度、境外法律环境、技术控制能力；2.采用19标度构造判断矩阵，计算权重；3.利用专家打分获得底层指标分值，加权求和得综合风险值R，R>0.7为高风险。模型二：熵权TOPSIS1.收集m个样本、n项指标形成原始矩阵；2.熵权法确定客观权重，避免主观偏差；3.TOPSIS计算各样本与正理想解相对接近度C，C越小风险越高；4.设定阈值C<0.4触发高级别审查。65.（封闭型，6分）说明SM2数字签名算法验证过程的四个核心方程，并给出曲线参数要求。答案：曲线参数：素域p、系数a、b、基点G=(xG,yG)、阶n、余因子h=1。验证方程：1.检验r,s∈[1,n1]；2.计算e=Hash(M)；3.计算t=(r+s)modn，若t=0则验证失败；4.计算椭圆曲线点(x1,y1)=sG+tPA，验证r≡(e+x1)modn，若相等则签名有效。六、应用题（共50分）66.（计算类，10分）某电商平台每日新增订单数据500GB，数据敏感度分级为“核心数据”。若采用AES256GCM加密后上传至公有云对象存储，上传带宽为10Gbps，云侧提供KMS托管密钥。已知：1.AES256GCM加密速度为800MB/s（单核）；2.云侧KMS调用延迟为5ms/次，每加密1GB需调用1次；3.上传链路利用率为80%。求：（1）每日加密耗时；（2）每日KMS调用总延迟；（3）上传耗时；（4）若要求当日数据当日处理完毕，最少需几核并行加密？答案：（1）加密耗时=500GB÷0.8GB/s=625s≈10.4分钟；（2）KMS延迟=500×5ms=2500ms=2.5s；（3）上传耗时=500GB×8÷(10Gbps×0.8)=500×8÷8=500s≈8.3分钟；（4）总可用时间=24×60=1440分钟，加密可并行，需满足500/(0.8×n)≤1440，n≥0.43，故最少1核即可，但考虑峰值，建议≥2核。67.（分析类，10分）某车联网公司向境外传输车辆VIN、位置、车速数据，规模达到100万车×86400条/车/天≈8.64亿条/天，数据大小为2TB/天。公司计划采用数据压缩+令牌化+TLS1.3通道传输，并签署SCC。请分析：（1）是否触发《数据出境安全评估办法》申报门槛；（2）若触发，需重点评估哪些风险维度；（3）给出降低评估结论为“高风险”的三条技术措施。答案：（1）触发门槛：个人信息超过100万人，且数据含实时位置，属于重要数据，必须申报。（2）维度：①数据规模与敏感度；②境外接收方合规水平；③所在国法律环境（如CLOUDAct）；④技术控制能力（加密、密钥管理）；⑤数据主体权利救济。（3）措施：①境内先行令牌化，境外仅保存映射表，映射表不出境；②密钥托管在境内HSM，境外无密钥；③引入可撤销令牌，定期更换并留存审计日志。68.（综合类，15分）某大型央企拟建设“数据安全治理中心”，覆盖集团200套业务系统、50PB数据资产，涉及个人信息、重要数据、核心数据。任务：（1）设计总体架构图（文字描述），含数据采集层、识别层、策略层、展示层；（2）给出敏感数据识别策略（规则+AI）及准确率指标；（3）制定分级保护策略矩阵（角色、数据级别、最小权限、技术措施）；（4）列出与现有SIEM对接的三种方式并比较优缺点。答案：（1）架构：数据采集层：Agentless+Agent双模式，支持数据库、文件、大数据平台、云原生API；识别层：内置200+正则规则库、NLP命名实体识别、图像OCR卡片识别；策略层：动态脱敏、加密、访问控制、水印、审计、SOAR编排；展示层：数据资产地图、风险驾驶舱、合规报告、移动端小程序。（2）识别策略：规则：身份证、银行卡、手机号、健康标签；AI：BERT+CRF微调