2025年全国数据安全职业技能竞赛试题(附答案)

2025年全国数据安全职业技能竞赛试题(附答案)1.单项选择题（每题1分，共20分）1.1《数据安全法》规定，国家建立数据分类分级保护制度，其中“核心数据”是指A.一旦泄露可能直接影响国家安全的数据B.一旦泄露可能直接影响公共利益的数据C.一旦泄露可能直接影响企业商誉的数据D.一旦泄露可能直接影响个人隐私的数据答案：A1.2在GB/T379182019《信息安全技术数据出境安全评估指南》中，对“个人信息”出境评估的触发阈值是A.10万人个人信息或1万人敏感个人信息B.50万人个人信息或5万人敏感个人信息C.100万人个人信息或10万人敏感个人信息D.1000万人个人信息或100万人敏感个人信息答案：C1.3下列加密算法中，属于国家商用密码算法的是A.SM4B.AES256C.ChaCha20D.3DES答案：A1.4对数据库进行敏感数据发现时，优先推荐使用的技术是A.正则表达式匹配B.关键字字典匹配C.机器学习实体识别D.人工抽样检查答案：C1.5零信任架构的核心原则是A.先连接后认证B.先认证后连接C.内外网同等信任D.默认放行内网流量答案：B1.6数据脱敏中的“可逆脱敏”通常用于A.生产环境实时查询B.开发测试环境C.数据外发给第三方D.灾备环境答案：A1.7在Linux系统中，可用于对单个文件进行完整性校验的命令是A.md5sumB.chmodC.lsattrD.stat答案：A1.8根据《个人信息保护法》，处理敏感个人信息应当取得A.口头同意B.明示同意C.默示同意D.推定同意答案：B1.9数据安全能力成熟度模型（DSMM）将能力等级划分为A.1—3级B.1—4级C.1—5级D.1—6级答案：C1.10在MySQL8.0中，开启“透明数据加密”需要使用的插件是A.keyring_fileB.validate_passwordC.connection_controlD.audit_log答案：A1.11差分隐私技术中添加的噪声通常服从A.泊松分布B.拉普拉斯分布C.正态分布D.二项分布答案：B1.12数据安全风险评估中，用于计算“风险值”的经典公式是A.风险值=威胁×脆弱性×影响B.风险值=资产×威胁×脆弱性C.风险值=威胁×概率×影响D.风险值=资产×概率×影响答案：A1.13下列关于KubernetesSecret的说法正确的是A.默认使用etcd明文存储B.默认使用base64加密存储C.默认使用AES256加密存储D.默认使用SM4加密存储答案：B1.14数据容灾中，RPO的含义是A.恢复点目标B.恢复时间目标C.恢复网络目标D.恢复服务目标答案：A1.15在数据分类分级工作中，首要输入物是A.数据资产清单B.网络拓扑图C.安全策略集D.漏洞扫描报告答案：A1.16根据《网络安全审查办法》，掌握超过多少万用户个人信息的平台运营者赴国外上市必须申报审查A.50万B.100万C.500万D.1000万答案：B1.17数据水印技术中，鲁棒性是指A.水印不可被感知B.水印不可被去除C.水印携带信息量大D.水印生成速度快答案：B1.18在Hadoop生态中，提供列级加密能力的组件是A.HDFSTransparentEncryptionB.RangerKMSC.KnoxGatewayD.Falcon答案：B1.19数据安全运营中心（DSOC）的核心功能是A.数据资产发现与风险监测B.网络边界防护C.终端病毒查杀D.机房动环监控答案：A1.20下列关于《汽车数据安全管理若干规定（试行）》的说法错误的是A.要求默认不收集座舱数据B.要求处理个人信息需取得个人同意C.要求重要数据依法本地化存储D.允许未经评估向境外传输重要数据答案：D2.多项选择题（每题2分，共20分；每题至少有两个正确答案，多选少选均不得分）2.1属于数据安全生命周期阶段的有A.采集B.传输C.销毁D.备份答案：ABC2.2下列属于个人信息敏感信息的有A.银行账户B.行踪轨迹C.姓名D.健康生理信息答案：ABD2.3数据脱敏常用算法包括A.掩码B.哈希C.加密D.截断答案：ABD2.4可用于数据跨境传输合规评估的工具或框架有A.SCC标准合同条款B.BCR约束性企业规则C.ISO27701D.数据出境安全评估报告模板答案：ABD2.5零信任参考架构中的关键组件有A.策略引擎B.策略执行点C.可信代理D.可信区答案：ABC2.6数据安全审计日志应至少包含A.操作主体B.操作对象C.操作时间D.操作结果答案：ABCD2.7下列属于国密算法的有A.SM2B.SM3C.SM4D.ZUC答案：ABCD2.8数据安全应急响应流程包括A.事件发现B.事件定级C.事件通报D.事件复盘答案：ABCD2.9影响数据水印检测率的因素有A.嵌入强度B.压缩率C.旋转角度D.色彩空间答案：ABCD2.10数据安全治理组织的“三道防线”包括A.业务部门B.风险合规部门C.内部审计部门D.外部监管机构答案：ABC3.填空题（每空1分，共20分）3.1《数据安全法》自____年____月____日起施行。答案：2021年9月1日3.2国家网信部门会同国务院有关部门制定____目录，对核心数据实行更加严格的管理制度。答案：核心数据3.3在MySQL中，查看是否开启审计插件的命令是showglobalvariableslike'____';答案：audit_log3.4数据脱敏的“六性”原则包括：____、____、____、____、____、____。答案：有效性、真实性、一致性、可逆性、可重复性、高效性3.5差分隐私参数ε越小，隐私保护强度越____。答案：高3.6数据安全风险评估中，威胁来源通常分为____威胁和____威胁两类。答案：人为、自然3.7数据分类分级结果最终需要形成____和____两份交付物。答案：数据分类分级清单、数据安全保护策略3.8在Linux下，使用____命令可以查看文件的扩展属性，判断是否启用immutable位。答案：lsattr3.9数据容灾中，RTO的中文全称是____。答案：恢复时间目标3.10数据出境安全评估的法定最长处理时限为____个工作日。答案：453.11GB/T352732020《信息安全技术个人信息安全规范》将个人信息分为____类。答案：十三3.12数据水印按可见性可分为____水印和____水印。答案：可见、不可见3.13数据安全运营中心的核心技术栈通常包括SIEM、____、____三大模块。答案：UEBA、SOAR3.14国家网信办2022年发布的《数据出境安全评估办法》规定，评估结果有效期为____年。答案：23.15在零信任架构中，____是动态访问控制策略的决策组件。答案：策略引擎4.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.1数据分类分级仅适用于结构化数据。答案：×4.2数据脱敏后的数据可以随意在互联网上公开。答案：×4.3数据安全法要求企业必须设立专门的数据安全管理机构。答案：×4.4数据出境安全评估属于行政许可事项。答案：√4.5数据水印技术可以同时实现版权保护与泄露溯源。答案：√4.6差分隐私技术能够保证数据无限次查询后隐私不泄露。答案：×4.7国密算法SM2是基于椭圆曲线的非对称加密算法。答案：√4.8数据安全风险评估只需在系统上线前开展一次即可。答案：×4.9数据安全事件分为特别重大、重大、较大、一般四级。答案：√4.10数据安全能力成熟度达到DSMM3级即代表企业数据安全建设已完全合规。答案：×5.简答题（每题10分，共30分）5.1简述数据分类分级工作的完整流程，并给出每个阶段的关键输出物。答案：（1）准备阶段：制定工作方案，输出《数据分类分级工作方案》；（2）资产梳理阶段：形成《数据资产清单》《数据字典》；（3）分类阶段：依据业务属性将数据划分为用户数据、业务数据、公司数据等，输出《数据分类表》；（4）分级阶段：依据国家安全、公共利益、个人权益影响程度，将数据划分为核心、重要、一般三级，输出《数据分级清单》；（5）策略制定阶段：针对不同级别数据制定采集、存储、使用、传输、销毁安全策略，输出《数据安全保护策略》；（6）评审与发布阶段：组织业务、法务、合规、安全多部门评审，输出《数据分类分级报告》并正式发布；（7）动态更新阶段：建立年度复审及变更机制，输出《数据分类分级变更记录》。5.2说明数据脱敏在开发测试场景与生产实时查询场景下的技术选型差异，并给出理由。答案：开发测试场景：需求特点：数据需高仿真、可逆性无要求、性能要求中等、数据量大。技术选型：静态脱敏+不可逆算法（哈希、掩码、伪造）。理由：测试无需还原真实数据，哈希可保证关联性，掩码保留格式，伪造可生成大规模假数据；不可逆降低泄露风险。生产实时查询场景：需求特点：业务连续性高、需精确权限控制、偶尔需还原、性能敏感。技术选型：动态脱敏+可逆加密（格式保持加密、令牌化）。理由：动态脱敏基于用户权限实时改写SQL，返回脱敏结果，不影响底层数据；可逆加密保证授权用户可还原，满足一线客服、风控等合法业务需求；格式保持加密确保字段长度、类型不变，避免应用改造。5.3阐述数据安全事件应急响应的PDCA循环机制，并给出每个环节的关键指标。答案：Plan（预案）：建立事件分级标准、应急组织架构、外部接口人；关键指标：预案覆盖率100%、演练周期≤季度。Do（处置）：事件发现、定级、隔离、取证、根因分析；关键指标：事件发现时长≤30分钟、定级准确率≥95%、隔离时长≤1小时。Check（复盘）：业务损失评估、处置效果评估、责任认定；关键指标：业务恢复时间RTO达标率100%、复盘报告输出时效≤5个工作日。Act（改进）：修复漏洞、优化监控、更新预案、人员培训；关键指标：漏洞修复率100%、监控策略新增覆盖率≥90%、培训完成率100%。通过PDCA循环实现持续迭代，确保应急响应能力随威胁演化同步提升。6.应用题（共60分）6.1计算分析题（15分）某电商平台拟向境外关联公司传输用户订单数据，包含以下字段：用户ID、手机号、收货地址、商品名称、订单金额。已知：1.年活跃用户2000万，其中10%用户年度有敏感购买记录（医疗用品）；2.出境数据保留用户ID、手机号、收货地址明文，其余字段脱敏；3.采用格式保持加密（FPE）对手机号加密，加密后长度不变；4.差分隐私预算ε=0.5，向订单金额统计结果添加拉普拉斯噪声。问题：（1）判断本次出境是否触发《数据出境安全评估办法》申报阈值，并说明依据。（5分）（2）计算添加的拉普拉斯噪声尺度b，给出公式及结果。（5分）（3）若监管要求ε降至0.1，噪声尺度如何变化？对查询精度有何影响？（5分）答案：（1）触发。依据：出境2000万用户个人信息，超过“100万人”阈值；同时含10%敏感个人信息（200万人），超过“10万人”敏感个人信息阈值。（2）拉普拉斯尺度b=Δf/ε，Δf为查询敏感度。假设单次计数查询Δf=1，则b=1/0.5=2。（3）ε降至0.1，b=1/0.1=10，噪声尺度增大5倍，查询结果方差增大25倍，精度显著下降，需增加查询次数取平均或提高Δf优化策略。6.2综合设计题（25分）某金融公司计划建设“数据安全运营中心（DSOC）”，需覆盖数据资产发现、敏感数据识别、风险监测、事件响应四大能力。公司现状：1.数据分散在本地机房、阿里云、华为云；2.数据库类型包括Oracle、MySQL、MongoDB、OSS对象存储；3.已部署Splunk作为日志汇聚平台；4.内部有CMDB、ITSM、企业微信；5.监管要求6个月内完成核心数据出境监测。任务：（1）给出DSOC总体技术架构图（文字描述即可），并说明各层功能。（10分）（2）设计敏感数据识别方案，要求支持200+种字段类型、中英双语、准确率≥95%，并说明训练数据来源与模型更新周期。（10分）（3）给出事件响应闭环流程，要求与ITSM、企业微信打通，实现告警自动派单、处置进度实时推送，并列出关键API接口。（5分）答案：（1）架构描述：采集层：通过Agentless+Agent混合模式，支持数据库审计日志、云API、对象存储清单、流量镜像；解析层：使用Kafka+Logstash做ETL，字段标准化，敏感数据标签写入ES；分析层：SIEM关联规则、UEBA异常模型、SOAR剧本；展示层：Grafana大屏、告警中心、报表中心；接口层：RESTfulAPI与CMDB、ITSM、企业微信对接。（2）方案：模型：基于BERT+CRF的中文实体识别，融合正则、关键字、字典多模；训练数据：公开数据集（CLUE、MSRA）、金融自建标注数据30万字段、持续主动学习；更新周期：月度增量训练+季度全量训练；评估指标：Precision≥95%，Recall≥93%，F1≥94%；部署：ONNXRuntime推理，GPUT42，支持2000字段/秒。（3）流程：告警产生→SOAR剧本调用ITSM创建工单→返回工单号→企业微信机器人群通知@责任人→责任人处置后回写ITSM状态→SOAR获取状态→告警关闭→生成复盘报告。关键API：POST/api/v2/itsm/create_ticketPUT/api/v2/itsm/update_ticketPOST//cgibin/webhook/send?key=XXX6.3案例研判题（20分）2024年10月，某医疗科技公司A被曝出“健康监测APP在用户未授权情况下，将心率、血压数据以明文形式通过HTTP接口传输至境外服务器B，且服务器B位于未通过网信办安全评估的第三国”。事件曝光后，A公司股价跌停，面临集体诉讼。问题：（1）依据现行法规，列出A公司至少4项违法事实并给出对应法条。（8分）（2）监管部门对A公司开展数据安全审查，请给出审查组现场核查的6项关键取证要点。（6分）（3）作为A公司新任数据安全官（DPO），请提出一份为期90天的整改路线图，要求包含技术、管理、合规三条线，并给出可量化验收指标。（6分）答案：（1）违法事实及法条：1.未获明示同意收集敏感个人信息（心率、血压），违反《个人信息保护法》第29条；2.未采取加密措施传输敏感个人信息，违反《个人信息