2025年网络及数据安全意识培训考核题(附答案)

2025年网络及数据安全意识培训考核题(附答案)1.单选题（每题1分，共20分）1.12024年11月1日正式施行的《个人信息保护法》将“敏感个人信息”定义为：A.一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害的个人信息B.所有可识别特定自然人的信息C.仅包含生物识别信息D.仅包含金融账户信息答案：A1.2下列哪一项最能有效降低钓鱼邮件成功率：A.强制员工每30天修改一次邮箱密码B.部署基于机器学习的邮件安全网关并启用URL重写C.在邮件服务器上启用TLS1.0D.要求所有附件必须加密压缩答案：B1.3关于零信任架构，下列描述正确的是：A.默认信任内网流量B.先连接后认证C.永不信任，持续验证D.仅适用于云原生应用答案：C1.42025年1月启用的《数据出境安全评估办法》修订版要求，出境数据量累计超过多少GB需重新申报评估：A.10GBB.50GBC.100GBD.1TB答案：C1.5在Windows1124H2版本中，默认禁用且被认为存在中间人风险的旧协议是：A.SMB3.1.1B.NTLMv1C.LDAPSD.WPA3Enterprise答案：B1.6某员工收到微信消息：“点击领取2025年龙年红包”，点击后手机自动安装未知描述文件，此攻击最接近：A.水坑攻击B.鱼叉短信C.社会工程+配置描述文件利用D.蓝牙中间人答案：C1.7下列哪项不是NISTSP800207零信任模型中的核心逻辑组件：A.PolicyAdministratorB.PolicyEngineC.PolicyEnforcementPointD.DataLossPrevention答案：D1.82025年3月，某云厂商对象存储因“BucketACLAllUsers”导致数据泄露，其根本原因是：A.KMS密钥过期B.存储桶策略过于宽松C.未启用版本控制D.未开启MFA删除答案：B1.9关于我国《网络安全等级保护2.0》对“安全区域边界”要求，下列哪项属于“可信验证”控制点：A.基于白名单的应用程序控制B.对边界设备固件进行可信度量C.数据库审计D.多因素认证答案：B1.10在TLS1.3握手过程中，用于实现前向保密的核心机制是：A.RSA静态密钥交换B.ECDHE临时密钥交换C.CBC模式对称加密D.HMACSHA1答案：B1.112025年5月，某车企API接口因未限制速率，导致短时间内被爬取30万条车主信息，该场景主要违反：A.GDPR第32条——通过设计的数据安全B.《数据安全法》第27条——采取必要措施保障数据安全C.《个人信息保护法》第51条——对个人信息实行分类管理D.《反不正当竞争法》答案：B1.12下列哪项最能有效检测内网横向移动中的“PasstheHash”攻击：A.网络层NetFlow分析B.Windows事件ID4624且LogonType9C.主机层检测LSASS异常读取+4624/LogonType3且源IP≠主机IPD.DNS日志中的NXDOMAIN激增答案：C1.132025年新版《商用密码管理条例》规定，用于网络关键设备和网络安全专用产品的商用密码算法必须：A.通过商用密码产品认证B.开源且公开设计文档C.使用国家密码管理局发布的SM系列算法D.经FIPS1403认证答案：C1.14关于云原生安全，下列哪项属于“供应链”风险：A.容器逃逸B.恶意镜像投毒C.未授权API调用D.宿主机内核提权答案：B1.15在数据分类分级中，下列哪项最适合被标记为“核心数据”：A.企业年度市场推广预算B.覆盖人口普查的原始个体数据C.员工内部培训视频D.已公开上市公司年报答案：B1.162025年6月，某政务云采用“国密SM4GCM”替代“AESGCM”，其首要合规驱动力是：A.等保2.0通用要求B.《关键信息基础设施安全保护要求》GB/T392042022C.《密码法》第24条D.ISO/IEC27001:2022答案：C1.17关于Ransomware3.0“双重勒索”模式，下列描述正确的是：A.仅加密数据，不窃取B.先窃取后加密，以“曝光”威胁索取赎金C.仅针对工控设备物理破坏D.通过智能合约自动返还密钥答案：B1.18下列哪项最能降低AI大模型在SaaS场景下的“训练数据泄露”风险：A.启用GPU直通B.采用差分隐私+联邦学习C.使用公有预训练权重D.提高batchsize答案：B1.192025年7月，某APP因“每次启动收集AndroidID”被通报，其违规点主要在于：A.未明示收集目的B.超出必要频次收集C.未加密传输D.未提供删除渠道答案：B1.20关于量子计算对公钥密码的威胁，下列算法中目前被认为可抵御Shor算法的是：A.RSA3072B.ECCP256C.Kyber（格密码）D.DSA2048答案：C2.多选题（每题2分，共20分；每题至少两个正确答案，多选少选均不得分）2.1以下哪些属于《数据安全法》规定的数据处理活动：A.收集B.存储C.使用D.删除E.传输答案：ABCDE2.2关于OAuth2.1授权码+PKCE流程，下列哪些参数必须出现在首次授权请求中：A.client_idB.redirect_uriC.code_challengeD.code_challenge_methodE.client_secret答案：ABCD2.3以下哪些日志源可用于检测“Kerberoasting”攻击：A.Windows事件ID4768（TGT请求）B.Windows事件ID4769（TGS请求）且ServiceName非krbtgtC.Windows事件ID4771（预认证失败）D.网络流量中SPN字段异常E.Linuxsecure日志答案：BD2.42025年新版《工业和信息化领域数据安全管理办法（试行）》中，工业数据分类分级需考虑：A.数据重要性B.数据规模C.数据敏感程度D.数据跨境流动场景E.数据生成频率答案：ABCD2.5以下哪些措施可有效防止容器镜像中的“Log4Shell”类漏洞被利用：A.在CI阶段扫描依赖并阻断高危组件B.运行时启用Seccomp限制JVM系统调用C.使用distroless镜像减少攻击面D.将容器运行在特权模式便于调试E.网络策略禁止出向互联网连接答案：ABCE2.6关于个人信息“去标识化”技术，下列哪些方法符合国家标准GB/T379642019：A.假名化B.加盐哈希C.差分隐私D.直接删除E.加密答案：ABCE2.7以下哪些属于云责任共担模型中“租户侧”责任：A.对象存储桶访问策略B.物理数据中心安全C.云服务器内核漏洞补丁D.云数据库SSL证书管理E.虚拟化平台漏洞答案：ACD2.8以下哪些属于《关键信息基础设施安全保护要求》提出的“主动防御”技术措施：A.威胁狩猎B.欺骗防御（蜜罐）C.漏洞扫描D.攻击面收敛E.安全众测答案：ABDE2.9以下哪些属于TLS1.3相比TLS1.2的改进：A.移除RSA静态密钥交换B.握手默认加密C.支持0RTTD.保留压缩方法E.强制使用前向保密答案：ABCE2.10以下哪些行为可能触发《个人信息保护法》第66条最高五千万元罚款：A.非法买卖个人信息B.未征得同意向境外提供个人信息C.未在15个工作日内答复个人信息查询请求D.大规模泄露未履行应急义务E.未公开个人信息处理规则答案：ABD3.判断题（每题1分，共10分；正确打“√”，错误打“×”）3.1零信任架构下，VPN隧道被视为默认可信区域。答案：×3.2《数据出境安全评估办法》规定，通过自贸区负面清单方式出境的数据无需再申报评估。答案：×3.3Windows1124H2默认启用VBS与CredentialGuard，可有效缓解Mimikatz读取哈希。答案：√3.4在HTTP/3中，QUIC协议默认提供TLS1.3加密。答案：√3.5等保2.0“安全计算环境”要求对“重要数据”进行完整性校验，但不包括日志。答案：×3.6根据《个人信息保护法》，14周岁以下未成年人信息属于敏感个人信息。答案：√3.7SM2公钥加密算法的密钥长度与ECCP256相同，均为256位。答案：√3.8容器运行时采用gVisor可完全消除内核提权风险。答案：×3.92025年1月起，欧盟GDPR对超大型数据控制者引入“数字服务税”作为罚款计算基数。答案：×3.10在量子通信中，BB84协议可实现密钥分发的无条件安全。答案：√4.填空题（每空1分，共20分）4.12025年6月，国家标准《信息安全技术网络安全保险应用指南》编号为________。答案：GB/T4246220234.2在Linux系统中，可通过________命令查看进程是否启用Seccomp模式。答案：grepSeccomp/proc/[pid]/status4.3等保2.0对“剩余信息保护”要求，在Windows服务器中应启用________功能以在内存释放时清零。答案：ClearPageFileAtShutdown4.4《个人信息保护法》规定，处理敏感个人信息应取得个人的________同意。答案：单独4.5TLS1.3握手过程中，Server发送的________消息已加密。答案：EncryptedExtensions4.6在Kubernetes中，通过________资源对象可限制Pod对宿主机网络的访问。答案：NetworkPolicy4.72025年新版《商用密码管理条例》明确，商用密码产品检测由________机构实施。答案：国家密码管理局指定4.8零信任参考架构中，________组件负责动态策略决策。答案：PolicyEngine4.9我国《数据安全法》自________年9月1日起施行。答案：20214.10在Windows日志中，事件ID________记录用户登录类型为“远程交互式”。答案：104.11量子密钥分发英文缩写为________。答案：QKD4.122025年，国家网信办对“算法推荐”监管要求，企业应在________个工作日内完成算法备案。答案：104.13根据《关键信息基础设施安全保护要求》，对供应链“________”环节应进行持续监测。答案：运维4.14在OAuth2.1中，PKCE的code_verifier最小长度为________字符。答案：434.15容器镜像签名规范________由CNCF发布，用于验证镜像完整性。答案：Cosign4.162025年，国家数据局发布《数据要素流通负面清单（2025版）》，将________数据列入禁止交易清单。答案：核心4.17在iOS18中，________框架提供基于硬件的密钥隔离，用于保护iCloud端到端加密。答案：SecureEnclave4.182025年，某车企采用“________”技术实现车端匿名证书，防止车辆轨迹被关联。答案：群签名4.19根据ISO/IEC27040:2015，存储安全控制域中，________技术可防止未授权数据残留。答案：加密擦除4.20在Linux内核5.15及以上版本，________机制可限制容器获取宿主机内核功能。答案：seccompbpf5.简答题（共30分）5.1（封闭型，6分）列出《个人信息保护法》规定的个人信息处理者应当履行的六项法定义务。答案：1.采取必要措施保障数据安全；2.告知并取得同意；3.建立个人信息处理规则；4.对敏感信息实行特殊保护；5.指定个人信息保护负责人；6.定期进行合规审计与风险评估。5.2（开放型，8分）某金融APP计划采用人脸识别进行远程开户，请从“最小必要原则”出发，提出三项技术与管理措施，并说明理由。答案：1.技术层面采用“联邦学习+本地特征提取”，仅上传不可逆模板，不上传原始人脸图像，减少泄露风险；2.管理层面建立“一次性授权”机制，开户完成后立即删除生物特征，仅保留风险评分，降低存储时间；3.流程层面引入“人工复核+活体检测双因子”，避免单一生物特征决定开户结果，确保比例原则。5.3（封闭型，6分）说明TLS1.3实现0RTT重放攻击风险的原因，并给出两项缓解措施。答案：原因：客户端缓存的PSK票据在首次握手时可被重放，服务器可能接受相同早期数据。缓解：1.服务器对0RTT数据限制为幂等GET请求；2.启用单次使用票据（SingleUseTickets）并缩短有效期。5.4（开放型，10分）某省级政务云需构建“数据跨境流动监测平台”，请给出总体架构（含数据采集、风险识别、处置响应三大模块），并说明关键技术。答案：数据采集层：通过云原生Sidecar抓取东西向流量，利用eBPF探针获取系统调用，对接API网关日志；风险识别层：采用DLP+UEBA双引擎，对敏感字段（身份证号、统一社会信用代码）进行正则+机器学习识别，结合地理IP库判断出境目的国；处置响应层：一旦触发阈值，调用SOAR平台自动下发网络微隔离策略，同步工单至数据出境评估系统，人工复核后决定是否阻断或放行。关键技术：eBPF无侵入采集、国密SM4流式加密、差分隐私脱敏、SOAR编排。6.应用题（共50分）6.1计算题（10分）某企业每日产生日志2TB，保存90天，采用LZ4压缩比约3:1，存储三副本，使用ErasureCoding（10+4）后副本系数降至1.4。计算采用EC后节约的磁盘空间（单位TB，保留两位小数）。答案：原始空间=2×90×3=540TB；EC空间=2×90×1.4=252TB；节约=540252=288.00TB6.2分析题（15分）背景：2025年8月，某三甲医院核心数据库遭勒索软件加密，攻击者利用“VPN账号+弱口令”进入内网，通过RDP横向移动，最终植入勒索软件。医院拥有完整备份，但恢复需12小时。请回答：（1）绘制攻击路径时序图（文字描述即可）。（2）指出医院在“身份认证”“网络分段”“备份策略”三方面的缺陷。（3）给出零信任改造的三项具体落地措施。答案：（1）时序：外部扫描→VPN爆破→RDP横向→域控提权→数据库加密→勒索提示。（2）缺陷：VPN仅单因子、未与AD联动锁定；内网大二层互通、无微隔离；备份系统在线挂载，可被域管删除。（3）零信任措施：1.引入IDaaS+硬件FIDO2令牌，VPN与内网系统统一MFA；2.基于微隔离的SDP方案，将数据库划入高敏感区，动态端口级授权；3.备份系统采用“物理隔离+不可变存储（WORM）+多因子删除”，备份网络与生产网络逻辑隔离。6.3综合题（25分）场景：某跨境电商公司拟将欧盟用户订单数据（含姓名、地址、购物记录）回流至上海数据中心，数据量每日增量5GB，采用AES256加密后通过公网HTTPS传输，服务器位于阿里云法兰克福节点。公司聘请你作为DPO，需完成以下任务：（1）列出需进行的合规评估清单（至少五项）。（2）设计一套“数据出境传输架构”，