2025数据安全知识试题及答案

2025数据安全知识试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.《数据安全法》正式施行的日期是（）A.2020年6月1日 B.2021年6月1日 C.2021年9月1日 D.2022年1月1日答案：C2.下列哪一项不属于个人信息去标识化的有效手段（）A.哈希加盐 B.数据掩码 C.时间戳偏移 D.明文保留答案：D3.在GB/T352732020《个人信息安全规范》中，敏感个人信息不包括（）A.精准定位信息 B.宗教信仰 C.购物记录 D.健康生理信息答案：C4.数据分类分级工作中，国家核心数据的安全等级最低应划为（）A.1级 B.2级 C.3级 D.4级答案：D5.采用AES256GCM加密1GB数据时，初始向量（IV）推荐长度为（）A.64bit B.96bit C.128bit D.256bit答案：B6.零信任架构中，用于动态评估访问风险的组件是（）A.SIEM B.SDP C.PKI D.UEBA答案：D7.根据《网络数据安全管理条例（征求意见稿）》，对超过多少条个人信息的处理活动需开展数据出境安全评估（）A.10万 B.50万 C.100万 D.500万答案：C8.差分隐私中，隐私预算ε越小，表示（）A.噪声越小 B.隐私保护强度越高 C.查询精度越高 D.系统性能越好答案：B9.在Linux系统中，为文件设置仅所有者可读写的权限，应使用的chmod命令是（）A.chmod600 B.chmod644 C.chmod755 D.chmod777答案：A10.数据脱敏中的“K匿名”要求每个等价类至少包含（）A.K1个记录 B.K个记录 C.K+1个记录 D.2K个记录答案：B11.当使用TLS1.3进行通信时，默认的密钥交换算法是（）A.RSA B.ECDHE C.DH D.PSK答案：B12.下列哪项不是数据安全能力成熟度模型（DSMM）的过程域（）A.数据采集安全 B.数据传输安全 C.数据销毁安全 D.数据销售安全答案：D13.在数据库审计系统中，用于捕获SQL注入特征的核心技术是（）A.正则匹配 B.语法树分析 C.黑名单过滤 D.流量镜像答案：B14.对于云租户而言，对象存储的“Bucket策略”属于（）A.物理控制 B.逻辑控制 C.管理控制 D.环境控制答案：B15.当发生个人信息泄露事件时，企业向省级以上主管部门报告的时限为（）A.8小时 B.24小时 C.48小时 D.72小时答案：B16.在数据生命周期中，成本最高且风险最集中的阶段通常是（）A.采集 B.存储 C.使用 D.销毁答案：C17.采用同态加密技术的主要目的是（）A.降低存储空间 B.实现密文计算 C.提高传输速度 D.简化密钥管理答案：B18.以下哪项不是数据安全影响评估（DSIA）的必要输入（）A.数据资产清单 B.威胁识别 C.财务报表 D.现有控制措施答案：C19.在Kubernetes环境中，用于实现Pod间网络隔离的原生资源对象是（）A.NetworkPolicy B.Service C.Ingress D.ConfigMap答案：A20.根据《个人信息保护法》，处理不满多少周岁未成年人信息应取得监护人同意（）A.12岁 B.14岁 C.16岁 D.18岁答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于数据安全风险评估中常用的定性分析方法（）A.德尔菲法 B.矩阵法 C.贝叶斯网络 D.头脑风暴 E.层次分析法答案：A、B、D22.关于数据备份策略，下列说法正确的有（）A.321原则要求至少3份副本 B.差异备份比增量备份恢复速度快 C.冷备份期间数据库可读写 D.快照技术属于逻辑备份 E.云备份需考虑跨地域冗余答案：A、B、E23.在数据跨境传输场景中，可采用的合规路径包括（）A.标准合同 B.安全认证 C.行业自律 D.政府核准 E.集团内部数据豁免答案：A、B、D24.以下哪些技术可用于防止API接口的未授权访问（）A.OAuth2.0 B.JWT C.HMAC签名 D.GraphQL E.mTLS答案：A、B、C、E25.数据销毁阶段应关注的安全要素包括（）A.介质清除 B.审计日志 C.销毁证明 D.数据压缩 E.环境排放答案：A、B、C、E26.关于日志管理，符合《网络安全法》要求的做法有（）A.留存不少于6个月 B.采用防篡改技术 C.集中存储在境外 D.定期做完整性校验 E.仅记录错误日志答案：A、B、D27.以下属于隐私增强技术（PETs）的有（）A.安全多方计算 B.联邦学习 C.令牌化 D.数据编织 E.可信执行环境答案：A、B、C、E28.在数据安全运营中心（DSOC）中，常用的关联分析规则包括（）A.同一账号短时间多地登录 B.大量下载后立刻离职 C.数据库提权后创建新用户 D.周末批量查询敏感表 E.定期修改密码答案：A、B、C、D29.以下关于国密算法的描述正确的有（）A.SM2基于椭圆曲线 B.SM3输出256bit摘要 C.SM4为分组长度128bit D.SM9属于标识密码 E.SM1算法公开答案：A、B、C、D30.数据安全治理体系的“三道防线”包括（）A.业务部门 B.风控/合规部门 C.内部审计 D.外部顾问 E.监管机构答案：A、B、C三、填空题（每空1分，共20分）31.在数据脱敏过程中，将“19880501”统一偏移为“19880101”的技术称为________。答案：日期取整32.根据《关键信息基础设施安全保护条例》，CII运营者采购网络产品或服务可能影响国家安全的，应通过________审查。答案：网络安全33.在Linux下，使用________命令可以安全擦除磁盘sdb的所有数据并写入随机数。答案：ddif=/dev/urandomof=/dev/sdbbs=4Mstatus=progress34.当采用RSA2048进行数字签名时，签名值的典型长度为________字节。答案：25635.数据安全能力成熟度模型中，最高等级为________级。答案：536.在PostgreSQL中，开启行级安全策略（RLS）的SQL命令为________。答案：ALTERTABLEtable_nameENABLEROWLEVELSECURITY;37.根据ISO/IEC27040:2015，存储安全控制域中，介质处置目标包括________、________、________三项。答案：防止未授权访问、防止信息泄露、确保正确销毁38.在Kubernetes中，Secret默认采用________编码，并非加密。答案：base6439.当使用SHA256进行数据完整性校验时，输出摘要长度为________位。答案：25640.数据安全运营指标体系通常分为________指标、________指标和________指标三类。答案：领先、滞后、实时41.在零信任参考架构NISTSP800207中，________平面用于传递访问控制策略。答案：控制42.当发生勒索病毒加密事件时，首要的应急响应步骤是________。答案：隔离受感染主机43.根据《个人信息保护法》，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行________。答案：审计44.在数据分类分级标签中，采用“高中低”三级时，国家核心数据应标记为________。答案：高45.使用BitLocker对系统盘加密时，若TPM版本为1.2，则必须额外设置________才能启动。答案：启动PIN或USB密钥46.在数据共享场景中，采用________技术可确保“数据可用不可见”。答案：可信执行环境/TEE（或安全多方计算/SMC，任答其一均给分）47.数据安全事件分为特别重大、重大、较大和________四级。答案：一般48.在SSL/TLS握手过程中，ServerHello消息不包含________扩展时，无法启用0RTT。答案：early_data49.当使用MySQL8.0的透明数据加密（TDE）时，表空间密钥由________密钥加密后存储在表空间文件头部。答案：主50.数据安全治理的核心是________、________、________三位一体。答案：人、技术、流程四、判断题（每题1分，共10分。正确打“√”，错误打“×”）51.数据脱敏后的数据可以完全恢复原始值。 答案：×52.在差分隐私中，加入的噪声量与查询敏感度成正比。 答案：√53.任何情况下，哈希算法都可用于加密数据。 答案：×54.数据安全运营中心必须采用SIEM+SOAR的架构。 答案：×55.国密SM4算法支持128bit密钥长度。 答案：√56.零信任网络意味着不再使用防火墙。 答案：×57.数据分类分级结果一旦确定，不可动态调整。 答案：×58.数据跨境传输的安全评估有效期为2年。 答案：√59.在数据生命周期中，采集阶段风险最小，因此无需加密。 答案：×60.数据安全审计属于事后控制措施。 答案：√五、简答题（共30分）61.（封闭型，6分）简述数据安全影响评估（DSIA）的五个基本步骤。答案：1.资产识别：梳理数据资产清单，明确数据类型、数量、敏感度。2.威胁识别：分析可能面临的内部、外部威胁及攻击路径。3.脆弱性识别：评估技术、管理、流程层面的脆弱点。4.风险分析：结合威胁与脆弱性，计算风险值或风险等级。5.控制建议：提出降低风险的技术、管理、运营措施并跟踪闭环。62.（开放型，8分）某电商平台计划将用户浏览日志（含用户ID、商品ID、时间戳、IP）共享给第三方广告商。请从合规与技术两个角度提出至少四条安全建议，并说明理由。答案：合规角度：1.告知同意：依据《个人信息保护法》第13条，需向用户明示共享目的、范围、接收方，并取得单独同意。2.影响评估：依据第55条，处理超过规定量级需开展个人信息保护影响评估并留存3年。技术角度：3.去标识化：对用户ID进行哈希加盐，移除IP末段，降低重识别风险。4.最小化共享：仅提供广告转化所需字段，删除时间戳秒位，减少精度。5.合同约束：通过标准合同规定接收方不得再识别、保存期限不超过30天、返还或删除义务。6.传输加密：采用TLS1.3+ECDHE，防止中间人窃听。（任答四点即得满分，理由充分即可）63.（封闭型，6分）列出Kubernetes环境下实现数据安全的三种原生机制，并给出配置要点。答案：1.Secret加密：开启EncryptionConfiguration，使用aescbc或kmsprovider对etcd内Secret加密。2.NetworkPolicy：设置ingress/egress规则，限制Pod间流量，采用标签选择器精细化控制。3.RBAC：遵循最小权限，禁用clusteradmin绑定，使用RoleBinding限定命名空间权限。4.PodSecurityPolicy/PodSecurityStandards：限制容器以非root运行，禁止特权提升，只读文件系统。（任答三点即得满分）64.（开放型，10分）某金融公司采用两地三中心架构，生产数据库为Oracle19c，数据量约20TB，RPO≤15min，RTO≤30min。请设计一套数据容灾与备份方案，并说明关键技术选型及理由。答案：1.架构：主中心双活+异地容灾，采用OracleActiveDataGuard。2.同步模式：主中心之间使用同步Redo传输，确保RPO≈0；异地采用异步，带宽≥2Gbps，压缩算法LZ4。3.备份：每日凌晨增量备份，周末全量；使用OracleRMAN+加密（AES256），备份集写入对象存储（S3兼容），开启WORM（一次写入多次读取）防勒索。4.验证：每月进行演练，通过SnapshotStandby打开读写验证，应用日志后回退。5.监控：集成Zabbix，监控归档日志延迟、备份集完整性（hash校验）、存储桶WORM状态。6.恢复流程：自动化脚本+Ansible，30min内完成异地切换，包括DNS、VIP、应用重连池。理由：DataGuard提供块级一致性，RPO最低；对象存储跨域复制实现321原则；WORM防止备份被篡改；演练确保真实可用。六、应用题（共50分）65.（计算类，10分）某系统采用AES256GCM加密，网络带宽为1Gbps，CPU支持AESNI。实测单核加密吞吐为3.8Gbps。若加密流量峰值为800Mbps，且要求CPU占用不超过50%，问至少需要多少核心？若改用ChaCha20Poly1305，单核吞吐为2.1Gbps，重新计算核心数并给出选型建议。答案：AES256GCM：800Mbps÷3.8Gbps/核≈0.21核；考虑50%CPU上限，需0.21÷0.5≈0.42→向上取整1核。ChaCha20Poly1305：800Mbps÷2.1Gbps/核≈0.38核；0.38÷0.5≈0.76→取1核。选型建议：若设备支持AESNI，优先AES256GCM，能耗更低；若CPU无AESNI（如部分嵌入式），选ChaCha20Poly1305。本题均只需1核即可满足。66.（分析类，15分）阅读下列日志片段，回答后续问题：2025060314:26:01,UID=1001,GET/api/v1/user/1988/orders,Status=200,Size=1.2k,Resp=45ms2025060314:26:02,UID=1001,GET/api/v1/user/1989/orders,Status=200,Size=1.2k,Resp=43ms……2025060314:26:59,UID=1001,GET/api/v1/user/2047/orders,Status=200,Size=1.2k,Resp=42ms（1）识别潜在安全威胁；（2）给出两条检测规则（伪代码或SQL）；（3）提出两条缓解措施。答案：（1）威胁：水平越权批量爬取用户订单数据，导致个人信息泄露。（2）检测规则：SQL：SELECTuid,COUNT(DISTINCTuser_id)AScFROMapi_logWHEREts>NOW()INTERVAL1MINGROUPBYuidHAVINGc>30;伪代码：if(uniq_user_id_per_uid[1m]>30)alert("Possiblehorizontalprivilegeescalation");（3）缓解：1.接口增加对象级授权，校验JWT中的sub与路径user_id一致；2.引入频率限制，同一UID每分钟访问不同user_id>20次时触发滑块验证码。67.（综合类，25分）某智慧医疗集团计划建设统一大数据平台，整合HIS、LIS、PACS、互联网医院四类系统数据，日均增量800GB，存量5PB，涉及敏感个人信息4.2TB。集团已通过等级保护三级，现需满足《个人信息保护法》《数据安全法》及行业监管要求。请完成：（1）绘制数据安全总体架构图（文字描述即可）；（2）给出数据分类分级示例表（至少5类）；（3）设计数据共享审批流程（含角色、步骤、时效）；（4）选取两种隐私增强技术并说明落地场景；（5）给出数据安全运营指标及阈值（不少于6项）。答案：（1）架构描述：采集层：四类业务系统通过TLS1.3+mTLS接入Kafka，落盘前经API网关脱敏。存储层：湖仓一体，热数据存SSD对象存储，温数据存HDD，冷数据存蓝光；HDFS透明加密（AES256），KMS托管密钥。计算层：Spark