2025年事业单位信息安全考试题库(含答案)

2025年事业单位信息安全考试题库(含答案)一、单项选择题（每题只有1个正确答案）1.根据《中华人民共和国网络安全法》及信息安全基础理论，信息安全的三大核心基本属性不包括以下哪项？A.保密性B.完整性C.可用性D.可扩展性参考答案：D答案解析：信息安全核心属性遵循CIA三元组原则，保密性指保障信息不被未授权主体泄露，完整性指保障信息不被未授权篡改，可用性指保障授权主体能够正常访问信息，以上三项是核心属性。可扩展性是信息系统设计的功能属性，不属于信息安全核心基本属性，因此选D。2.我国网络安全等级保护制度将网络和信息系统从低到高划分为几个安全保护等级？A.3个B.4个C.5个D.6个参考答案：C答案解析：根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），我国网络安全等级保护将信息系统划分为从第一级到第五级共5个保护等级，一级为最低保护等级，五级为最高保护等级，因此选C。3.事业单位处理公众个人信息时，以下哪种处理行为不需要取得个人同意？A.为履行法定职责或者法定义务所必需B.为推广单位官方公众号向公众发送商业营销信息C.为开展单位内部团建收集员工的出行信息D.为改善服务向用户个性化推送单位服务内容参考答案：A答案解析：根据《中华人民共和国个人信息保护法》第十三条规定，为履行法定职责或者法定义务处理个人信息，属于合法处理情形，无需取得个人同意。选项B、C、D所述情形均不属于法定无需同意的范围，应当依法取得个人同意，因此选A。4.事业单位涉密信息机房出入口的最核心访问控制措施是？A.安装监控摄像头B.配备门禁系统+专人值守核查身份C.张贴禁止无关人员进入标识D.安装防火报警器参考答案：B答案解析：涉密机房的核心安全需求是防止未授权人员进入，门禁系统+专人值守可以有效核实进入人员身份，落实访问控制要求。安装监控仅能实现事后追溯，无法事前控制；张贴标识仅为警示要求，无法实际阻止未授权进入；防火报警器属于防灾措施，和访问控制无关，因此选B。5.以下哪种口令符合事业单位办公账号的安全强度要求？A.123456B.本单位全称全拼+人事主管出生年月日C.Ab12!@89D.admin参考答案：C答案解析：安全口令要求长度不低于8位，且包含大小写字母、数字、特殊字符中至少三类组合，避免使用有规律的个人信息、通用默认口令。选项A为连续弱口令，选项B包含个人和单位信息，容易被社会工程学破解，选项D是通用默认口令，均不符合安全要求，选项C符合安全强度标准，因此选C。6.单位员工收到发件人显示为“单位财务处”、要求点击链接填写工资银行卡信息的邮件，以下哪种处置方式是正确的？A.直接点击链接填写信息B.转发给同事让同事也填写相关信息C.通过单位公布的官方联系方式联系财务处核实内容真伪D.直接删除，不需要进行核实参考答案：C答案解析：该邮件符合钓鱼邮件的典型特征，攻击者可以伪造发件人信息，即使显示为内部部门也存在欺诈可能。直接点击、转发都会带来信息泄露、病毒感染风险，直接删除可能遗漏正规工作通知，正确做法是通过官方线下或已知可信渠道核实内容真伪，因此选C。7.处理涉密信息的移动存储介质，以下使用方式正确的是？A.可以在涉密计算机和非涉密计算机之间交叉使用B.涉密移动存储介质不得接入互联网及其他公共信息网络C.经过领导审批后可以借给外单位人员长期使用D.可以存储与涉密工作无关的个人信息参考答案：B答案解析：根据《中华人民共和国保守国家秘密法》及相关保密管理规定，涉密移动存储介质必须实行物理隔离管理，严禁在涉密与非涉密计算机之间交叉使用，严禁接入互联网及公共信息网络，严禁借给外单位人员，严禁存储与涉密工作无关的信息，因此只有选项B表述正确。8.根据《中华人民共和国数据安全法》，国家对数据实行分类分级保护，其中关系国家安全、国民经济命脉、重要民生、重大公共利益的数据属于哪一类？A.一般数据B.重要数据C.核心数据D.敏感个人数据参考答案：C答案解析：《中华人民共和国数据安全法》明确规定，国家对数据实行分类分级保护，核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益的最高等级数据，重要数据是指不满足核心数据定义但对公共利益、行业发展有重要影响的数据，因此选C。9.事业单位办公用计算机，以下操作符合安全要求的是？A.安装从互联网下载的破解版办公软件和杀毒软件B.定期安装官方发布的系统安全补丁更新C.使用公共WiFi传输未加密的单位敏感工作信息D.将闲置的办公计算机转赠给外部单位前不需要格式化硬盘参考答案：B答案解析：互联网下载的破解版软件通常被植入木马病毒，存在安全风险；公共WiFi未采取加密防护的情况下，传输敏感信息容易被窃听窃取；转赠闲置办公设备前需要彻底清除硬盘数据，防止信息泄露；定期安装官方安全补丁可以修复已知系统漏洞，是正确的安全操作，因此选B。10.事业单位发生信息安全事件后，首先应当采取的措施是？A.封锁消息避免被外界知晓B.断开受感染网络/系统的连接，防止危害进一步扩散C.先梳理责任认定再开展处置D.直接向社会发布事件公告参考答案：B答案解析：信息安全事件处置遵循“先遏制、再排查处置、后发布”的流程，第一步是遏制危害，断开受感染系统的网络连接可以阻止攻击进一步扩散，避免影响范围扩大，后续再按流程开展排查、责任认定、上报发布工作，瞒报、先认定后处置、提前发布都不符合处置规范，因此选B。11.事业单位开展网络安全等级保护工作的首要环节是？A.等级测评B.备案C.定级D.安全整改参考答案：C答案解析：我国网络安全等级保护工作的标准流程为“定级→备案→建设整改→等级测评→监督检查”，首要环节是根据系统的业务重要程度和危害影响，确定系统的安全保护等级，因此选C。12.以下哪项属于社会工程学攻击的典型特征？A.利用系统技术漏洞直接入侵B.通过欺骗诱导骗取用户敏感信息C.暴力破解用户口令获取权限D.DDoS攻击瘫痪目标系统参考答案：B答案解析：社会工程学攻击是利用人性弱点而非纯技术漏洞开展的攻击，核心手段是通过欺骗诱导获取用户信任，进而骗取敏感信息或操作权限，选项A、C、D都属于技术类攻击，因此选B。13.根据《中华人民共和国保守国家秘密法》，国家秘密的保密期限已满的，以下处理方式正确的是？A.自动解密B.需要原定密单位申请解密C.需继续保密D.经保密行政管理部门批准后解密参考答案：A答案解析：《中华人民共和国保守国家秘密法》第十九条明确规定，国家秘密的保密期限已满的，自行解密，因此选A。14.事业单位办公人员需要远程访问单位内部业务系统，以下哪种方式最符合安全规范？A.通过单位官方认证的VPN接入内部网络B.直接把业务系统端口开放暴露在互联网C.通过第三方个人远程控制软件直接接入D.把业务系统数据下载到个人电脑办公参考答案：A答案解析：单位官方VPN提供了身份认证和加密传输能力，是当前合规安全的远程接入方式。将端口直接暴露在互联网会被攻击扫描，第三方个人远程软件没有安全防护，容易被窃取信息，将数据下载到个人电脑会导致敏感信息脱离单位管控，都不符合安全规范，因此选A。15.以下哪一项不属于网络安全事件的范畴？A.单位官方门户网站被攻击者篡改，挂上非法内容B.业务数据库被攻击，泄露数千条公众个人信息C.办公电脑硬盘硬件自然损坏导致无法开机D.勒索病毒加密了单位核心业务系统的所有文件参考答案：C答案解析：网络安全事件是指由于人为攻击、软件缺陷、恶意代码等原因导致网络信息系统被破坏、数据泄露、服务中断等危害网络安全的事件，硬件自然损坏属于硬件故障，不属于网络安全事件范畴，因此选C。二、多项选择题（每题有两个及以上正确答案，多选、少选、错选均不得分）1.事业单位日常运营中常见的信息安全风险来源包括以下哪些选项？A.外部网络攻击、钓鱼邮件攻击B.内部人员违规操作、无意信息泄露C.软硬件设备自然老化或故障D.病毒、木马等恶意程序入侵参考答案：ABCD答案解析：信息安全风险来源涵盖外部威胁、内部管理风险、环境设备风险、恶意代码风险多个维度，四个选项所述都是事业单位日常运营中常见的信息安全风险来源，因此全选。2.根据保密管理相关规定，以下哪些行为属于违规行为？A.在连接互联网的计算机上存储涉密工作文件B.通过微信、QQ等公共即时通讯工具传输涉密信息C.擅自将涉密会议材料带出指定会场D.脱密期内的涉密人员违规到境外企业任职参考答案：ABCD答案解析：以上四种行为均违反《中华人民共和国保守国家秘密法》及相关保密管理规定，存在严重的泄密风险，全部属于违规行为，因此全选。3.事业单位收集公众个人信息时，应当遵守以下哪些规则？A.遵循合法、正当、必要原则B.不得过度收集超出业务需求的个人信息C.应当公开个人信息的收集、使用规则D.可以根据业务合作需要，任意共享收集到的个人信息给合作单位参考答案：ABC答案解析：根据《中华人民共和国个人信息保护法》规定，个人信息处理者共享个人信息给第三方，应当依法取得个人的同意，不得任意共享，因此选项D错误，选项ABC均为个人信息收集的法定合规要求，因此选ABC。4.关于事业单位业务系统的账号和权限管理，下列做法正确的有？A.遵循最小权限原则分配业务系统访问权限，仅分配岗位所需的最小权限B.员工岗位调整后，及时回收员工原岗位的系统访问权限C.为提高工作效率，多人共用同一个业务系统管理员账号D.定期清理系统内长期闲置未使用的“僵尸账号”参考答案：ABD答案解析：多人共用账号无法追溯操作行为，发生安全事件后无法定位责任，存在严重安全风险，不符合账号权限管理要求，因此选项C错误，选项ABD均为符合规范的权限管理做法，因此选ABD。5.以下关于勒索病毒的防范措施，正确的有？A.单位重要业务数据和个人工作数据定期进行离线备份B.不随意打开陌生来源的邮件附件和压缩包C.安装杀毒软件并定期更新病毒库和病毒特征库D.为方便远程办公，开放系统所有端口给互联网访问参考答案：ABC答案解析：勒索病毒通常利用开放端口、未修补的系统漏洞传播，非必要开放的端口应当关闭，因此选项D错误，选项ABC均为有效的勒索病毒防范措施，因此选ABC。6.根据《中华人民共和国网络安全法》，关键信息基础设施运营者（含承担公共服务职能的事业单位）应当履行的安全保护义务包括？A.定期对从业人员开展网络安全教育培训B.对重要系统和数据库进行容灾备份C.制定网络安全事件应急预案，并定期开展应急演练D.购买网络安全保险后可以不履行法定安全保护义务参考答案：ABC答案解析：购买网络安全保险属于风险转移的风险管理手段，不能免除运营者法定的安全保护义务，因此选项D错误，选项ABC均为网络安全法明确要求关键信息基础设施运营者履行的安全保护义务，因此选ABC。7.以下关于单位VPN远程访问的使用，符合安全要求的有？A.VPN账号仅限本人使用，不得转借他人B.通过VPN接入内网后，不得传输涉密信息C.离开接入VPN的办公设备时及时锁屏并断开VPN连接D.同事出差忘记带账号，可以共享自己的VPN账号给同事使用参考答案：ABC答案解析：共享VPN账号违反了账号实名制要求，无法追溯操作行为，存在安全风险，因此选项D错误，选项ABC均符合VPN远程访问的安全管理要求，因此选ABC。8.事业单位对公众发布公开信息前，应当开展的安全审核内容包括？A.检查信息内容是否包含未公开的涉密信息B.检查信息内容是否包含未授权公开的个人敏感信息C.检查信息附带的链接是否为恶意链接D.检查信息内容是否符合单位对外发布的合规要求参考答案：ABCD答案解析：事业单位对外公开信息需要进行合规和安全多维度审核，四个选项所述内容均属于发布前审核的范围，因此全选。三、判断题1.只要不影响工作开展，事业单位员工可以将私人移动硬盘接入单位涉密计算机使用。（）参考答案：错误答案解析：私人移动存储介质来源不明，可能携带恶意病毒木马，也容易导致涉密信息被违规带出单位，根据保密管理规定，严禁私人移动存储介质接入涉密计算机。2.信息安全只是单位信息中心部门的责任，其他业务部门不需要承担信息安全责任。（）参考答案：错误答案解析：我国网络安全和信息安全实行“谁主管谁负责、谁运营谁负责、谁使用谁负责”的责任制，事业单位所有部门和全体员工都需要承担对应岗位的信息安全责任。3.收到疑似网络诈骗的链接，只要不填写个人信息，点击链接也不会产生安全风险。（）参考答案：错误答案解析：很多恶意链接会自动下载木马病毒，用户点击后就会导致终端被攻击者控制，即使不填写个人信息也会存在安全风险，因此绝对不能点击任何陌生来源的可疑链接。4.事业单位公开招聘网站存储的考生个人信息属于敏感个人信息，应当采取加密存储、访问控制等安全防护措施。（）参考答案：正确答案解析：考生个人信息包含身份证号、联系方式、学历信息等敏感个人信息，根据《个人信息保护法》要求，必须采取对应安全防护措施防止信息泄露。5.网络安全等级保护测评完成后，事业单位不需要再进行安全整改和定期复评。（）参考答案：错误答案解析：等级保护制度要求运营者对测评发现的安全隐患及时整改，并且定期开展复评，其中三级以上信息系统每两年需要开展一次等级测评，持续保障系统安全。6.为了方便记忆，员工可以将单位办公系统的口令写在办公桌面的便签纸上。（）参考答案：错误答案解析：该做法容易导致口令被未授权人员获取，带来越权访问的风险，违反事业单位账号安全管理规定。7.发生个人信息泄露事件后，事业单位应当按照规定及时履行告知义务，向监管部门上报，不得瞒报漏报。（）参考答案：正确答案解析：根据《网络安全法》《个人信息保护法》要求，发生个人信息泄露等信息安全事件后，信息处理者应当及时上报监管部门并告知受影响个人，瞒报漏报属于违法行为。8.只要设置了复杂度足够的口令，办公系统就不会被攻破，不需要开启多因素认证。（）参考答案：错误答案解析：复杂度高的口令仍然存在被钓鱼窃取、社会工程破解的风险，对于涉及敏感信息的重要业务系统，应当开启多因素认证进一步提升安全防护能力。9.涉密信息只要做了加密处理，就可以通过互联网邮件发送。（）参考答案：错误答案解析：根据保密管理规定，涉密信息严禁在互联网及其他公共信息网络存储、传输，即使加密也不符合保密要求。10.事业单位淘汰的存储有工作信息的硬盘，直接扔到普通垃圾站即可，不需要特殊处理。（）参考答案：错误答案解析：淘汰硬盘中存储有单位敏感工作信息和公众个人信息，应当通过消磁或者物理粉碎方式进行不可逆销毁，防止信息泄露，不能直接丢弃。11.单位公众号后台收到用户修改个人信息的申请，工作人员应当核实申请人身份无误后再进行修改。（）参考答案：正确答案解析：该做法符合个人信息保护的身份核验要求，能够防止未授权人员获取或修改他人个人信息。12.我国《密码法》中定义的“密码”，和日常登录账号用的“口令”是同一个概念。（）参考答案：错误答案解析：《密码法》中的密码是指对信息进行编码变换，实现保护、认证的密码技术、产品和服务，不同于日常生活中所说的账号登录口令，二者概念不同。13.零信任安全架构的核心思想是“永不信任，始终验证”，适合事业单位内部业务系统的权限管理。（）参考答案：正确答案解析：零信任是当前主流的先进安全防护理念，核心就是对所有访问主体都持续进行身份验证，不默认信任内部访问，可以有效提升内部系统的安全防护水平。14.只要安装了杀毒软件，就可以完全防范所有的信息安全威胁。（）参考答案：错误答案解析：杀毒软件可以防范大部分已知的恶意代码，但是无法防范零日漏洞攻击、社会工程学攻击等新型未知威胁，因此不能认为安装杀毒软件就可以完全防范所有威胁。四、案例分析题案例