2026年网络安全与隐私保护知识问答集

2026年网络安全与隐私保护知识问答集一、单选题（每题2分，共20题）1.题目：根据《个人信息保护法》，以下哪项行为属于非法收集个人信息？A.通过公开渠道收集已发布的新闻评论B.在用户同意的情况下收集其购物偏好C.擅自收集用户地理位置信息用于精准广告推送D.向用户明示收集目的并获取单独同意答案：C解析：选项C属于未经用户同意擅自收集敏感个人信息，违反《个人信息保护法》第6条关于合法收集原则的规定。其他选项均符合合法收集条件。2.题目：某企业使用AI技术分析用户行为，但未取得用户明确同意。根据欧盟GDPR，该行为可能违反哪项规定？A.透明度原则B.数据最小化原则C.用户同意原则D.安全性原则答案：C解析：GDPR要求处理个人信息必须获得用户明确同意，该企业未取得同意即进行AI分析，违反用户同意原则（第7条）。3.题目：某网站采用HTTPS协议传输数据，但数据库存储未加密。根据网络安全等级保护2.0标准，该网站可能存在哪级风险？A.数据泄露风险B.访问控制风险C.系统可用性风险D.业务连续性风险答案：A解析：数据在存储阶段未加密，即使传输过程安全，仍存在数据库被攻破导致数据泄露的风险，符合等级保护2.0中“存储安全”要求缺失的情况。4.题目：某银行采用多因素认证（MFA）登录系统，但员工使用静态密码作为备用验证方式。根据NIST标准，该做法可能违反哪项安全指南？A.SP800-63AB.SP800-207C.SP800-53D.SP800-171答案：A解析：NISTSP800-63A明确指出静态密码不应作为MFA的备用验证方式，该做法违反多因素认证的有效性要求。5.题目：某医疗机构将电子病历数据外包给第三方，但未签订数据安全责任协议。根据HIPAA法案，该医疗机构可能面临何种处罚？A.罚款10万至50万美元B.停止运营处罚C.强制整改要求D.资质吊销答案：A解析：HIPAA对违规外包数据处罚较重，直接违反“安全责任协议”条款的处罚金额可达年营业额4%至5%（最高50万美元）。6.题目：某企业部署了入侵检测系统（IDS），但未定期更新规则库。根据ISO27001标准，该做法违反哪项控制措施？A.A.12（事件监控与日志记录）B.A.13（事件管理）C.A.14（系统维护）D.A.15（访问控制）答案：C解析：ISO27001控制措施A.14要求定期维护安全设备，包括IDS规则库更新，未更新会导致检测能力下降。7.题目：某电商平台在用户注册时强制要求填写生日信息，但未明确告知用途。根据《网络安全法》，该做法违反哪项规定？A.信息安全责任制度B.数据分类分级制度C.用户知情同意制度D.安全审计制度答案：C解析：强制收集个人信息但未明确告知用途，违反《网络安全法》第21条关于知情同意的要求。8.题目：某企业遭受勒索软件攻击，导致业务系统瘫痪。根据《数据安全法》，该企业应向以下哪个部门报告？A.公安机关网络安全保卫部门B.市场监督管理局C.工业和信息化主管部门D.数据安全监管部门答案：A解析：《数据安全法》第41条规定，关键信息基础设施运营者遭受网络攻击可能影响国家安全的，应立即向公安机关报告。9.题目：某公司使用容器技术部署应用，但未实施镜像签名验证。根据CISBenchmarks，该做法可能违反哪项基线要求？A.4.1（镜像安全）B.5.2（访问控制）C.6.1（系统日志）D.7.1（网络配置）答案：A解析：CISBenchmarksforDocker要求实施镜像签名验证（4.1.4），防止恶意镜像部署。10.题目：某企业使用人脸识别技术进行门禁管理，但未设置误识率阈值。根据《人脸识别技术应用管理规范》，该做法可能违反哪项要求？A.数据最小化原则B.安全保障要求C.合法性评估D.伦理规范答案：B解析：未设置误识率阈值可能导致合法用户无法正常通行，违反安全保障要求（如GB/T39786-2020第6.3条）。二、多选题（每题3分，共10题）1.题目：以下哪些属于《个人信息保护法》规定的敏感个人信息？（）A.生物识别信息B.行踪轨迹信息C.财务账户信息D.电子邮箱地址答案：ABC解析：敏感个人信息包括生物识别、行踪轨迹、财务信息等，电子邮箱属于一般个人信息。2.题目：某企业部署了零信任安全架构，以下哪些措施符合零信任原则？（）A.基于角色的访问控制B.多因素认证C.持续身份验证D.最小权限原则答案：ABCD解析：零信任架构要求“从不信任，始终验证”，包含上述所有措施。3.题目：某医疗机构使用电子病历系统，以下哪些属于HIPAA合规要求？（）A.数据加密传输B.定期安全审计C.数据去标识化D.用户离职时数据权限回收答案：ABD解析：HIPAA要求传输加密、审计和权限管理，数据去标识化通常适用于研究场景。4.题目：以下哪些属于ISO27001信息安全管理体系控制措施？（）A.人员安全培训（A.9）B.资产管理（A.5）C.物理安全（F.1）D.业务连续性管理（B.1）答案：ABCD解析：ISO27001包含上述所有控制领域。5.题目：某企业遭受数据泄露，以下哪些属于应急响应措施？（）A.确定影响范围B.停止数据泄露源头C.通知监管机构D.修复系统漏洞答案：ABCD解析：数据泄露应急响应应包含上述所有步骤。6.题目：以下哪些属于网络安全等级保护2.0的基本要求？（）A.安全策略B.数据分类分级C.访问控制D.供应链安全答案：ABC解析：等级保护2.0基本要求包括安全策略、访问控制和数据安全，供应链安全属于扩展要求。7.题目：某公司使用云服务，以下哪些属于云安全责任划分？（）A.云服务商负责基础设施安全B.客户负责应用安全C.双方共同负责数据安全D.客户负责访问控制答案：ABCD解析：云安全责任模型（如AWS共享责任模型）明确划分了双方责任。8.题目：以下哪些属于GDPR规定的数据主体权利？（）A.访问权B.删除权C.可携带权D.投诉权答案：ABCD解析：GDPR赋予数据主体六项基本权利。9.题目：某企业使用AI技术分析用户数据，以下哪些属于合规风险？（）A.算法歧视B.数据过度收集C.缺乏透明度D.未进行影响评估答案：ABCD解析：AI应用需关注算法公平性、数据最小化、透明度和影响评估。10.题目：以下哪些属于网络安全法规定的关键信息基础设施？（）A.电力网络B.通信网络C.金融系统D.交通系统答案：ABCD解析：法律明确列举了上述所有领域为关键信息基础设施。三、判断题（每题2分，共10题）1.题目：根据《网络安全法》，任何单位和个人不得窃取或者以其他非法方式获取他人个人信息。（）答案：正确解析：该表述符合《网络安全法》第40条。2.题目：使用一次性密码（OTP）作为多因素认证的备用验证方式，可以替代静态密码。（）答案：正确解析：OTP属于动态认证方式，符合NISTSP800-63A对MFA的要求。3.题目：企业员工离职后，其访问权限应立即回收，这是ISO27001控制措施A.10的要求。（）答案：正确解析：ISO27001A.10.6明确要求终止访问权限。4.题目：根据GDPR，数据处理活动必须记录在案，但仅适用于大规模处理。（）答案：错误解析：GDPR第30条要求所有数据处理活动均需记录。5.题目：使用HTTPS协议传输数据，可以完全防止中间人攻击。（）答案：错误解析：HTTPS只能防止传输阶段被窃听，但无法防止DNS劫持等攻击。6.题目：根据《数据安全法》，数据出境前必须进行安全评估，但敏感个人信息出境需额外获得用户同意。（）答案：正确解析：法律要求对敏感个人信息出境进行额外保护。7.题目：企业内部网络安全培训属于ISO27001控制措施A.9.1的要求。（）答案：正确解析：A.9.1要求对员工进行信息安全意识培训。8.题目：零信任架构要求所有访问必须经过身份验证，但无需持续监控。（）答案：错误解析：零信任要求持续验证和监控（如NISTSP800-207）。9.题目：根据《个人信息保护法》，企业可以通过用户协议免除所有数据安全责任。（）答案：错误解析：用户协议不能免除企业法定安全义务。10.题目：网络安全等级保护2.0适用于所有行业，但仅对关键信息基础设施运营者有强制要求。（）答案：错误解析：所有网络运营者均需遵守等级保护要求。四、简答题（每题5分，共5题）1.题目：简述《个人信息保护法》中“告知-同意”原则的主要内容。答案：-明确告知收集个人信息的用途、方式、种类等；-获取个人明确同意（特别是敏感信息）；-允许个人撤回同意；-区分一般同意与单独同意。2.题目：简述ISO27001信息安全管理体系中的风险评估流程。答案：-识别信息资产；-分析资产价值；-识别威胁与脆弱性；-评估风险等级；-制定风险处置计划。3.题目：简述GDPR中“数据保护影响评估”的主要内容。答案：-评估处理活动对个人权利的影响；-分析必要性与相称性；-制定缓解措施；-提交监管机构审查。4.题目：简述网络安全等级保护2.0中“安全计算环境”的基本要求。答案：-数据加密存储与传输；-访问控制与身份认证；-日志审计与监控；-安全隔离与边界防护。5.题目：简述企业应对勒索软件攻击的应急响应步骤。答案：-分离受感染系统；-确定攻击范围；-评估数据损失；-与执法部门合作；-恢复业务系统。五、论述题（每题10分，共2题）1.题目：论述企业如何平衡数据利用与隐私保护的关系。答案：-法律合规：遵守《个人信息保护法》《数据安全法》等；-技术措施：数据脱敏、加密、匿名