2026年银行网络安全培训试卷及答案

2026年银行网络安全培训试卷及答案一、单项选择题（共20题，每题1分，共20分）1.依据2025年央行发布的《银行业金融机构生成式人工智能应用安全指引》，银行业内部使用生成式AI工具处理业务数据时，以下哪类数据可在完成脱敏后接入经过安全评估的第三方生成式AI服务？（）A.未脱敏的客户核心身份信息B.已删除个人标识的全行经营分析汇总数据C.客户的完整银行卡交易密码D.未授权的客户信贷审批材料2.银行核心业务系统属于等保2.0规定的第三级保护对象，按照要求其等级保护测评的周期应为？（）A.每半年一次B.每年一次C.每两年一次D.每三年一次3.下列针对银行的攻击手段中，属于深度伪造类社会工程攻击的是？（）A.发送含木马附件的钓鱼邮件冒充总行运维人员索要系统账号B.伪造银行高管的高清视频会议影像要求财务部门划转大额资金C.冒充银行客服发送短信诱导用户点击钓鱼链接填写银行卡信息D.通过暴力破解手段攻破网点智能柜员机的后台管理账号4.按照《个人金融信息保护技术规范》，客户的银行卡号、生物识别信息属于哪一级别的个人金融信息？（）A.C1（公开信息）B.C2（一般敏感信息）C.C3（重要敏感信息）D.C4（核心敏感信息）5.2026年银行业逐步试点量子密钥分发（QKD）技术用于核心交易链路加密，以下关于QKD技术在银行应用的说法正确的是？（）A.QKD可完全替代现有RSA、SM2等非对称加密算法，无需保留原有加密体系B.QKD的密钥分发过程存在被窃听而不被发现的可能，安全性低于传统加密C.现阶段QKD主要用于补充核心交易链路的密钥体系，与传统加密算法形成双加密架构D.QKD可应用于跨洋跨境的长距离密钥分发，无需借助可信中继节点6.银行面向外部合作机构开放的API接口出现未授权访问漏洞，攻击者可遍历获取所有用户的月账单信息，该漏洞按照《网络安全漏洞分类分级指南》应属于哪一等级？（）A.低危B.中危C.高危D.超高危7.银行发生网络安全事件后，按照《银行业网络安全事件报告管理办法》，重大网络安全事件应在发现后多长时间内上报至属地监管部门？（）A.1小时B.2小时C.4小时D.24小时8.以下关于手机银行客户端安全的说法，不符合2025年银保监会发布的《移动金融应用安全管理办法》的是？（）A.客户端应支持生物识别登录，且生物特征数据仅可存储在用户本地终端B.客户端每次版本迭代上线前必须完成渗透测试，漏洞修复率达到100%后方可上线C.客户端可收集用户的精准地理位置信息用于个性化推送，无需单独告知用户并获取授权D.客户端应具备反调试、反篡改、反注入的安全防护能力9.银行网点的智能柜员机（STM）本地存储的业务数据，应采用以下哪种加密算法进行加密存储？（）A.MD5B.SHA1C.SM4D.BASE6410.以下哪类行为属于银行内部人员的违规操作，可能引发数据泄露风险？（）A.运维人员使用本人实名制账号登录核心系统进行日常维护B.运营人员将含客户敏感信息的业务数据上传至公开的生成式AI工具生成分析报告C.安全人员对全行系统进行定期漏洞扫描D.客服人员在授权范围内查询客户的账户信息解答客户疑问11.零信任架构在银行部署的核心原则是？（）A.默认信任内部网络的所有访问请求B.永不信任，始终验证，最小权限访问C.仅对外部网络的访问请求进行身份验证D.只要通过账号密码验证即可访问所有系统资源12.银行在开展DevSecOps落地时，应将安全测试嵌入到软件开发生命周期的哪个阶段？（）A.仅上线前的测试阶段B.仅需求分析阶段C.仅运维阶段D.需求、开发、测试、运维全生命周期13.按照《数据出境安全评估办法》，银行处理的个人信息数量达到多少条以上时，向境外提供数据应当申报数据出境安全评估？（）A.10万条B.100万条C.500万条D.1000万条14.勒索软件攻击银行时，以下哪种处置方式是错误的？（）A.第一时间断开受感染系统的网络连接，防止横向扩散B.直接向勒索者支付赎金以尽快恢复系统运行C.启动灾备预案，使用未受感染的备份数据恢复系统D.留存攻击相关的日志、样本等证据，上报监管和公安机关15.以下关于银行数据脱敏的说法正确的是？（）A.数据脱敏仅需要在数据对外提供时开展，内部数据分析使用时无需脱敏B.客户的银行卡号脱敏时仅需隐藏后四位即可，前六位可完整保留C.脱敏后的数据不可逆向还原为原始敏感数据D.只要完成数据脱敏，对外提供时无需再获取客户的授权16.银行核心系统的灾备建设中，以下哪个指标表示系统发生故障后恢复正常运行的最长允许时间？（）A.RPOB.RTOC.MTTRD.MTBF17.针对供应链安全风险，银行在引入外包开发的业务系统时，以下哪项要求是错误的？（）A.要求外包方提供系统的源代码进行安全审计B.明确外包方的安全责任，要求其对系统存在的漏洞承担相应的赔偿责任C.无需对外包方的人员进行背景审查，可直接允许其接入银行内部网络D.系统上线前必须由银行内部安全团队完成独立的渗透测试18.以下哪种钓鱼邮件的特征属于2026年出现的新型攻击手法？（）A.发件人地址伪装为总行行政部门地址B.邮件内容要求员工点击链接填写账号密码C.附件为带有宏病毒的Excel文件D.使用HTMLSmuggling技术在用户打开邮件时自动下载恶意载荷，无需点击附件19.按照《中华人民共和国密码法》，银行核心业务系统使用的加密算法应当优先采用以下哪种？（）A.国产商用密码算法B.RSA算法C.AES算法D.DES算法20.银行针对内部员工开展网络安全培训的频次应不低于？（）A.每年一次B.每半年一次C.每季度一次D.每月一次二、多项选择题（共10题，每题2分，共20分，多选、少选、错选均不得分）1.依据2025年央行发布的《银行业金融机构生成式人工智能应用安全指引》，银行内部部署生成式AI服务时，需满足以下哪些安全要求？（）A.部署环境需与互联网物理隔离，数据仅可在内部流转B.建立用户准入机制，仅允许授权人员在权限范围内使用C.所有使用行为需留痕审计，留存日志不少于6个月D.生成的内容需经过人工审核后方可用于对外客户服务2.银行核心业务系统安全改造的评估维度包括以下哪些？（）A.业务连续性影响评估B.数据安全风险评估C.密码体系安全性评估D.应急处置能力评估3.以下属于银行网络安全应急演练类型的有？（）A.桌面推演B.实战攻防演练C.灾备切换演练D.勒索软件应急处置演练4.银行发生客户数据泄露事件后，应采取以下哪些处置措施？（）A.第一时间排查泄露源，封堵漏洞，防止泄露范围扩大B.按照要求上报监管部门和公安机关C.及时告知受影响的客户，提醒客户采取防范措施D.隐瞒事件真相，防止引发声誉风险5.零信任架构在银行落地的核心组件包括？（）A.身份治理系统B.持续信任评估系统C.动态权限管控系统D.网络边界防火墙6.银行网点智能柜员机（STM）的安全管控要求包括以下哪些？（）A.设备接入内部网络前需完成身份认证，未认证设备无法接入B.本地存储的客户敏感数据需加密存储，业务办理完成后及时清理本地缓存C.定期对设备进行漏洞扫描和补丁升级，修复安全隐患D.设备的运维操作需经过审批，全程留痕审计7.银行开展跨境业务时，数据合规的要点包括？（）A.遵守数据所在地和数据接收地的法律法规要求B.涉及个人信息出境的，需按照要求完成数据出境安全评估C.所有跨境传输的数据需经过加密处理D.可随意将境内收集的客户数据传输至境外总部进行分析8.以下哪些属于重大网络安全事件的判定标准？（）A.核心业务系统中断超过4小时B.超过100万条客户个人信息泄露C.发生勒索软件攻击导致核心系统瘫痪，无法正常开展业务D.网点单个智能柜员机出现故障，无法办理业务9.银行网络安全事件的上报范围包括以下哪些？（）A.系统漏洞事件B.数据泄露事件C.勒索软件攻击事件D.钓鱼邮件事件（未造成实际损失）10.针对电信网络诈骗的技术防护措施，银行应部署以下哪些系统？（）A.涉诈资金监测拦截系统B.异常交易识别系统C.深度伪造识别系统D.钓鱼网站监测处置系统三、判断题（共15题，每题1分，共15分）1.银行员工可使用公开的生成式AI工具处理含客户敏感信息的业务数据，只要删除客户姓名即可。（）2.等保三级的银行系统每年至少开展一次等级保护测评。（）3.量子密钥分发技术现阶段已经可以完全替代传统加密算法，无需保留原有加密体系。（）4.客户的生物识别信息（如指纹、人脸）可存储在银行的后台服务器中，用于身份验证。（）5.银行发生重大网络安全事件后，应在2小时内上报至属地监管部门。（）6.手机银行客户端收集用户的精准地理位置信息用于个性化推送，无需单独获取用户的授权。（）7.勒索软件攻击发生后，为了尽快恢复业务，可直接向勒索者支付赎金。（）8.银行对外提供脱敏后的客户数据，无需再获取客户的授权。（）9.零信任架构的核心原则是默认不信任任何访问请求，无论来自内部还是外部网络。（）10.外包开发团队的人员可直接接入银行内部网络进行系统开发，无需进行身份认证和权限管控。（）11.按照《密码法》要求，银行核心业务系统应优先采用国产商用密码算法。（）12.银行的应急演练每年至少开展一次，覆盖所有核心业务场景。（）13.深度伪造的视频因为精度很高，无法通过技术手段识别真伪。（）14.银行的API接口只要设置了访问频次限制，就无需进行身份认证。（）15.银行针对新入职员工必须开展网络安全培训，考核合格后方可上岗。（）四、计算题（共1题，5分，需写出计算过程，仅写结果不得分）某股份制银行核心交易系统的监管要求RPO（恢复点目标）为30分钟，RTO（恢复时间目标）为4小时。当前该行采用的灾备方案为：每20分钟执行一次增量备份，每24小时执行一次全量备份，备份数据传输至异地灾备中心的网络延迟为5分钟。请计算：1.该方案的实际RPO为多少？是否满足监管要求？2.若核心系统发生完全故障，采用异地灾备数据恢复时，最大可能丢失多长时间的交易数据？（计算过程需使用标准LaTex公式呈现）五、案例分析题（共2题，每题10分，共20分）1.案例背景：2026年3月，某城商行零售业务部运营人员为了完成客户投诉分析报告，将1200条含客户姓名、手机号、银行卡后四位、贷款产品明细、投诉内容的客户数据，未经脱敏上传至某公开的生成式AI服务平台，要求AI生成分析报告。7天后，该行安全团队监测到该批数据出现在暗网公开售卖，同时有11名客户收到精准诈骗短信，诈骗分子准确说出客户的贷款明细，要求客户将还款转入“安全账户”，已有3名客户被骗合计12.7万元。请回答以下问题：（1）分析本次事件的根本原因有哪些（4分）（2）根据《银行业网络安全事件分级标准》，本次事件属于哪一级别的网络安全事件？判定依据是什么（3分）（3）请写出本次事件的完整处置流程（3分）2.案例背景：2026年7月，某股份制银行计划上线手机银行8.0版本，已对外官宣上线时间为7月15日。上线前3天，安全团队在渗透测试中发现，本次新增的“账单分享”功能对应的API接口存在未授权访问漏洞，攻击者无需身份验证即可遍历所有用户的近12个月交易账单信息。开发团队评估后表示，修复该漏洞并完成回归测试至少需要7天，会导致版本上线延迟。业务部门认为上线时间已对外官宣，延迟会引发客户不满和声誉风险，要求先上线，后续再发布补丁修复漏洞。请回答以下问题：（1）该漏洞属于什么等级？可能造成的危害有哪些（3分）（2）如果你是该行的网络安全负责人，你会做出什么决策？依据是什么（4分）（3）后续应采取哪些措施避免类似问题再次发生（3分）六、实操设计题（共1题，10分）某国有大行现有12.7万台网点智能柜员机（STM）分布在全国31个省市的网点，当前存在设备准入管控缺失、本地数据未加密、漏洞修复不及时、运维操作无审计等安全隐患。请结合2025年央行发布的《银行业智能终端安全管理规范》，设计一套覆盖设备全生命周期的安全防护方案，要求不影响客户正常业务办理体验，符合监管要求。七、论述题（共1题，10分）2025年央行发布《银行业金融机构生成式人工智能应用安全指引》，明确要求银行业对生成式AI应用实施全生命周期安全管控。结合你所在银行的实际业务场景，论述生成式AI在银行应用的全生命周期安全管控框架，以及对应的风险缓释措施。参考答案与解析一、单项选择题1.答案：B解析：A、C、D均属于敏感数据，即使脱敏也不得接入第三方公开生成式AI服务，仅汇总后的无个人标识的经营数据可在安全评估后接入。2.答案：B解析：等保2.0规定第三级系统每年至少开展一次等级保护测评。3.答案：B解析：深度伪造是指利用AI技术生成的伪造音视频内容，B选项属于典型的深度伪造攻击，其余选项属于传统社会工程学或暴力破解攻击。4.答案：D解析：《个人金融信息保护技术规范》将银行卡号、生物识别信息、交易密码划分为C4级核心敏感信息，一旦泄露会直接威胁客户资金安全。5.答案：C解析：现阶段QKD技术仍处于试点阶段，主要用于补充现有加密体系，与传统加密算法形成双保险，无法完全替代传统加密，长距离传输需要可信中继，密钥被窃听会立刻被发现，因此ABD错误。6.答案：D解析：可批量获取用户敏感信息的漏洞属于超高危漏洞，会引发大规模数据泄露风险。7.答案：B解析：《银行业网络安全事件报告管理办法》规定重大网络安全事件应在发现后2小时内上报属地监管部门。8.答案：C解析：收集用户精准地理位置信息属于敏感权限，必须单独告知用户并获取明确授权后方可收集。9.答案：C解析：SM4是我国商用对称加密算法，可用于数据加密存储，MD5、SHA1是哈希算法，BASE64是编码方式，均不具备加密能力。10.答案：B解析：将客户敏感数据上传至公开AI工具属于违规操作，极易引发数据泄露。11.答案：B解析：零信任的核心原则是永不信任，始终验证，最小权限访问，默认不信任任何内部或外部的访问请求。12.答案：D解析：DevSecOps要求将安全左移，嵌入到软件开发的全生命周期各个阶段。13.答案：B解析：《数据出境安全评估办法》规定处理100万条以上个人信息的运营者向境外提供数据时需申报出境安全评估。14.答案：B解析：支付赎金不仅无法保证数据恢复，还会助长攻击者的嚣张气焰，违反监管要求，是错误的处置方式。15.答案：C解析：脱敏后的数据需不可逆，无法还原为原始敏感数据，内部使用敏感数据也需脱敏，对外提供脱敏数据仍需获取客户授权，银行卡号脱敏需隐藏中间多位，仅保留前6后4即可，因此ABD错误。16.答案：B解析：RTO是恢复时间目标，指系统故障后恢复正常运行的最长允许时间，RPO是恢复点目标，指允许丢失的最大数据时长。17.答案：C解析：外包人员必须经过背景审查，接入内部网络需经过严格的身份认证和权限管控。18.答案：D解析：HTMLSmuggling是2025年后兴起的新型钓鱼邮件攻击手法，无需用户点击附件即可自动下载恶意载荷，其余选项均为传统钓鱼手法。19.答案：A解析：《密码法》要求关键信息基础设施应优先采用国产商用密码算法。20.答案：C解析：2025年银保监会要求银行针对内部员工的网络安全培训频次不低于每季度一次。二、多项选择题1.答案：ABCD解析：以上均为《银行业金融机构生成式人工智能应用安全指引》明确要求的安全管控措施。2.答案：ABCD解析：核心系统安全改造需从业务连续性、数据安全、密码安全、应急能力四个维度进行全面评估。3.答案：ABCD解析：以上均为银行常见的网络安全应急演练类型。4.答案：ABC解析：隐瞒事件真相属于违规操作，会面临更严重的监管处罚。5.答案：ABC解析：零信任架构的核心组件包括身份治理、持续信任评估、动态权限管控，传统边界防火墙属于旧的边界安全架构组件。6.答案：ABCD解析：以上均为智能柜员机的安全管控要求。7.答案：ABC解析：境内收集的客户数据不得随意传输至境外，必须符合数据出境的相关要求。8.答案：ABC解析：单个网点设备故障属于一般事件，不属于重大网络安全事件。9.答案：ABC解析：未造成实际损失的钓鱼邮件事件无需上报，其余均属于需上报的事件范围。10.答案：ABCD解析：以上均为银行防范电信网络诈骗的必要技术防护系统。三、判断题1.答案：×解析：公开生成式AI工具不得处理任何含客户敏感信息的业务数据，即使删除姓名仍可能通过其他字段识别到客户身份。2.答案：√解析：等保2.0明确三级系统每年至少开展一次测评。3.答案：×解析：现阶段量子密钥分发技术仍处于试点阶段，无法完全替代传统加密算法，需与传统加密算法配合使用。4.答案：×解析：客户的生物识别信息仅可存储在用户本地终端，不得上传至银行后台服务器存储。5.答案：√解析：重大网络安全事件需在2小时内上报监管部门。6.答案：×解析：收集精准地理位置信息属于敏感权限，必须单独获取用户明确授权。7.答案：×解析：不得向勒索者支付赎金，应通过灾备恢复等方式恢复业务。8.答案：×解析：对外提供客户数据即使脱敏仍需获取客户的明确授权。9.答案：√解析：零信任的核心原则就是默认不信任任何访问请求。10.答案：×解析：外包人员接入内部网络必须经过严格的身份认证和权限管控。11.答案：√解析：《密码法》明确要求关键信息基础设施优先采用国产商用密码。12.答案：√解析：监管要求银行每年至少开展一次覆盖核心场景的应急演练。13.答案：×解析：现有AI识别技术已经可以有效识别绝大多数深度伪造的音视频内容。14.答案：×解析：API接口必须同时设置身份认证和访问频次限制，才能有效防范未授权访问。15.答案：√解析：新入职员工必须经过网络安全培训考核合格后方可上岗。四、计算题参考答案1.实际RPO的计算公式为：R代入数据得：R由于25min<监管要求的30min，因此该方案满足RPO监管要求。2.最大可能丢失的交易数据时长等于实际RPO，即25分钟。评分标准：公式正确2分，计算结果正确1分，判定满足要求1分，第二问结果正确1分，共5分。五、案例分析题参考答案1.（1）根本原因：①内部人员安全意识薄弱，不清楚公开生成式AI工具的使用风险；②数据安全管控缺失，未对员工导出、传输客户敏感数据的行为进行监控和拦截；③生成式AI使用的管控机制缺失，未明确内部使用AI工具的范围、审批流程和数据要求；④数据泄露监测能力不足，数据泄露后7天才发现，未及时处置。（每点1分，共4分）（2）本次事件属于较大网络安全事件（1分）。判定依据：①涉及1200条客户敏感数据泄露，且已出现客户被骗的资金损失；②造成了一定的声誉风险和社会影响，符合较大网络安全事件的判定标准（2分）。（3）处置流程：①第一时间排查泄露源，确认泄露范围，封堵数据流出渠道；②留存相关证据，上报监管部门和公安机关；③联系受影响的客户，提醒防范诈骗，做好客户安抚工作；④对涉事人员进行追责，开展全员安全培训；⑤梳理数据安全管控漏洞，完善生成式AI使用管理制度。（答出3点即可得3分）2.（1）该漏洞属于超高危漏洞（1分）。危害：①攻击者可批量获取所有用户的交易账单信息，引发大规模数据泄露；②客户的交易信息泄露后极易被用于精准诈骗，威胁客户资金安全；③会引发严重的声誉风险和监管处罚（2分）。（2）决策：暂停版本上线，优先修复漏洞，完成回归测试后再上线，同时向客户发布公告说明延迟上线的原因（2分）。依据：①超高危漏洞一旦上线会引发不可控的安全风险，造成的损失远大于版本延迟上线的声誉影响；②按照监管要求，存在高危以上漏洞的移动金融应用不得上线（2分）。（3）防范措施：①完善DevSecOps流程，将安全测试嵌入到开发的各个阶段，提前发现漏洞；②针对API接口开展常态化的安全扫描和渗透测试；③明确版本上线的安全准入标准，存在高危以上漏洞的版本一律不得上线。（每点1分，共3分）六、实操设计题参考答案安全方案需覆盖全生命周期五个阶段，每个阶段2分，共10分：1.设备准入阶段：建立设备唯一身份标识体系，采用