上海市2025上海市网络与信息安全应急管理事务中心招聘6人（第二批）笔试历年参考题库典型考点附带答案详解

[上海市]2025上海市网络与信息安全应急管理事务中心招聘6人（第二批）笔试历年参考题库典型考点附带答案详解一、选择题从给出的选项中选择正确答案（共50题）1、下列关于我国网络安全法律体系的说法，错误的是：A.《网络安全法》是我国网络空间治理的基础性法律B.《数据安全法》侧重于数据全生命周期的安全保护C.《个人信息保护法》仅适用于自然人信息的处理活动D.关键信息基础设施运营者采购网络产品和服务无需进行国家安全审查2、在信息安全应急响应中，“PDRR”模型中的第二个“R”代表：A.恢复（Recovery）B.响应（Response）C.检测（Detection）D.防护（Protection）3、下列哪项技术主要用于防止SQL注入攻击？A.使用预编译语句（PreparedStatements）B.开启服务器防火墙C.定期更新操作系统补丁D.部署入侵检测系统IDS4、根据《密码法》，国家对密码实行分类管理，其中用于保护不属于国家秘密的信息的是：A.核心密码B.普通密码C.商用密码D.军用密码5、在网络舆情监测中，发现某突发公共事件谣言迅速扩散，首要采取的应急处置措施是：A.立即删除所有相关帖子B.发布权威信息进行辟谣和引导C.封锁涉事IP地址D.追究造谣者法律责任6、下列关于勒索病毒防范的说法，正确的是：A.安装杀毒软件即可完全免疫B.定期离线备份重要数据是最有效的恢复手段C.支付赎金能保证数据100%恢复D.只要不点击陌生邮件就不会感染7、在等级保护2.0标准中，第三级信息系统要求至少每（）进行一次等级测评。A.半年B.一年C.两年D.三年8、下列哪种行为违反了《网络安全法》关于网络运营者的义务？A.要求用户提供真实身份信息B.留存相关的网络日志不少于六个月C.未经用户同意收集与其提供的服务无关的个人信息D.制定内部安全管理制度和操作规程9、DDoS攻击的主要特征是：A.窃取数据库中的敏感数据B.利用大量僵尸主机耗尽目标资源导致服务不可用C.篡改网页内容以展示政治观点D.通过钓鱼邮件获取管理员账号密码10、在信息安全管理体系（ISMS）中，PDCA循环的“C”阶段指的是：A.计划（Plan）B.实施（Do）C.检查（Check）D.改进（Act）11、下列哪项不属于《中华人民共和国网络安全法》规定的网络运营者应当履行的安全保护义务？A.制定内部安全管理制度和操作规程B.采取防范计算机病毒和网络攻击的技术措施C.对所有用户数据进行无条件永久存储D.采取监测、记录网络运行状态的技术措施12、在信息安全应急响应中，PDCERF模型是常用的方法论。其中“E”代表哪个阶段？A.准备（Preparation）B.检测（Detection）C.遏制（Containment）D.根除（Eradication）13、下列关于“零信任”安全架构核心理念的描述，正确的是？A.默认信任内部网络中的所有设备和用户B.基于边界防护，一旦进入内网即视为可信C.永不信任，始终验证，最小权限访问D.仅对来自外部的访问请求进行严格身份认证14、下列哪种攻击方式主要通过诱导用户点击恶意链接或下载附件，从而窃取敏感信息？A.DDoS攻击B.钓鱼攻击（Phishing）C.SQL注入D.中间人攻击15、根据《个人信息保护法》，处理敏感个人信息应当取得个人的何种同意？A.默示同意B.单独同意C.口头同意D.概括性同意16、在公钥基础设施（PKI）中，负责签发和管理数字证书的权威机构是？A.RA（注册机构）B.CA（证书颁发机构）C.LDAP（目录服务器）D.OCSP（在线证书状态协议）17、下列哪项技术主要用于确保数据在传输过程中不被篡改，并提供数据来源的真实性证明？A.对称加密B.数字签名C.数据压缩D.哈希算法18、关于勒索病毒（Ransomware）的防范，下列做法错误的是？A.定期离线备份重要数据B.及时更新操作系统和应用软件补丁C.随意打开来源不明的邮件附件D.安装并更新防病毒软件19、我国网络安全等级保护制度2.0标准中，第三级信息系统通常适用于？A.一般企事业单位的非核心系统B.涉及国家安全、国计民生的重要信息系统C.个人博客网站D.小型企业内部办公系统20、下列哪项不属于常见的Web应用安全漏洞？A.XSS（跨站脚本攻击）B.CSRF（跨站请求伪造）C.BufferOverflow（缓冲区溢出）D.SQLInjection（SQL注入）21、下列词语中，没有错别字的一项是：A.精粹凑合针砭时弊B.辐射渡假川流不息C.寒喧震撼迫不及待D.宣泄沉缅金榜题名22、依次填入下列横线处的词语，最恰当的一组是：

面对网络安全新挑战，我们必须______传统思维，______新技术手段，以应对日益复杂的威胁。A.突破运用B.打破使用C.冲破应用D.破除采用23、下列句子中，没有语病的一项是：A.通过这次培训，使大家提高了安全意识。B.能否做好应急管理工作，关键在于是否落实责任。C.我们要防止此类事故不再发生。D.他不仅喜欢读书，而且喜欢写作。24、下列成语使用恰当的一项是：A.他对工作一丝不苟，真是无所不为。B.这篇文章观点新颖，可谓独树一帜。C.他说话总是首当其冲，让人印象深刻。D.这个问题很简单，简直是九牛一毛。25、下列句子排序最连贯的一项是：

①因此，加强网络应急演练至关重要。

②网络攻击具有突发性和隐蔽性。

③只有平时多演练，战时才能从容应对。

④一旦发生安全事件，后果不堪设想。A.②④①③B.②①④③C.④②①③D.②④③①26、下列关于公文格式的说法，正确的是：A.标题一般用2号小标宋体字B.正文一般用3号仿宋体字C.页码一般用4号半角宋体阿拉伯数字D.印发机关和印发日期一般用4号仿宋体字27、下列不属于行政强制措施的是：A.限制公民人身自由B.查封场所、设施或者财物C.扣押财物D.罚款28、“天下兴亡，匹夫有责”出自哪位思想家？A.顾炎武B.黄宗羲C.王夫之D.梁启超29、下列哪项不属于计算机病毒的特征？A.传染性B.潜伏性C.免疫性D.破坏性30、在Excel中，若要计算A1到A10单元格的平均值，应使用的函数是：A.SUM(A1:A10)B.AVERAGE(A1:A10)C.COUNT(A1:A10)D.MAX(A1:A10)31、下列哪项不属于《中华人民共和国网络安全法》规定的网络运营者应当履行的安全保护义务？A.制定内部安全管理制度和操作规程B.采取防范计算机病毒和网络攻击的技术措施C.对所有用户数据进行无条件公开共享D.监测、记录网络运行状态和安全事件32、在信息安全应急响应中，PDRR模型中的“D”代表什么？A.检测（Detection）B.防御（Defense）C.恢复（Recovery）D.响应（Response）33、下列关于SQL注入攻击的描述，错误的是？A.攻击者通过在输入字段中插入恶意SQL代码B.主要利用应用程序对用户输入过滤不严的漏洞C.可通过参数化查询有效预防D.仅能窃取数据库信息，无法修改或删除数据34、我国实行网络安全等级保护制度，其中第三级适用于哪类信息系统？A.一般企事业单位的内部办公系统B.地市级以上国家机关的重要信息系统C.涉及国家安全、国计民生的重要信息系统D.个人博客或非经营性网站35、在公钥基础设施（PKI）中，负责签发和管理数字证书的机构是？A.注册机构（RA）B.证书颁发机构（CA）C.密钥管理中心（KMC）D.目录服务器（LDAP）36、下列哪种加密算法属于非对称加密算法？A.DESB.AESC.RSAD.SM437、关于防火墙的功能，下列说法正确的是？A.可以完全防止内部人员的恶意操作B.能够查杀所有类型的计算机病毒C.主要作用是控制进出网络的数据流D.可以替代入侵检测系统的所有功能38、在TCP/IP协议栈中，ARP协议的主要功能是？A.将IP地址解析为MAC地址B.将域名解析为IP地址C.建立端到端的可靠连接D.路由选择和数据包转发39、下列哪项措施最能有效防范社会工程学攻击？A.安装最新的杀毒软件B.定期更新操作系统补丁C.加强员工安全意识培训D.配置复杂的防火墙规则40、根据《数据安全法》，数据处理者在发生数据安全事件时，应当立即采取处置措施，并按照规定及时告知谁？A.仅告知公司内部管理层B.仅告知受影响的用户C.告知用户并向有关主管部门报告D.无需告知，自行修复即可41、下列哪项不属于《网络安全法》规定的网络运营者安全保护义务？A.制定内部安全管理制度和操作规程B.采取防范计算机病毒和网络攻击的技术措施C.对所有用户数据进行无条件永久存储D.监测、记录网络运行状态和安全事件42、在应急响应中，发现系统被植入后门程序，首要采取的措施是？A.立即格式化硬盘重装系统B.切断网络连接并隔离受感染主机C.继续观察以收集更多攻击证据D.公开披露漏洞细节以警示公众43、下列哪种加密算法属于非对称加密算法？A.DESB.AESC.RSAD.SM444、关于SQL注入攻击，下列说法错误的是？A.攻击者通过在输入字段插入恶意SQL代码B.可通过参数化查询有效防御C.仅影响数据库完整性，不影响服务器安全D.过滤特殊字符是常见的防御手段之一45、我国关键信息基础设施的安全保护工作由哪个部门统筹指导？A.工业和信息化部B.国家互联网信息办公室C.公安部D.国家安全部46、下列哪项行为违反了个人信息处理的“最小必要”原则？A.导航APP请求获取位置权限B.手电筒APP请求读取通讯录权限C.电商APP请求获取收货地址D.银行APP请求进行人脸识别验证47、DDoS攻击的主要特征是？A.窃取敏感数据B.消耗目标资源导致服务不可用C.篡改网页内容D.植入勒索病毒48、下列关于防火墙功能的描述，正确的是？A.能完全防止内部人员泄密B.能检测并清除所有病毒C.依据预设规则控制进出网络的数据流D.能修复操作系统漏洞49、在信息安全等级保护中，第三级信息系统受到破坏后，会对社会秩序和公共利益造成？A.一般损害B.严重损害C.特别严重损害D.无损害50、下列哪项不属于社会工程学攻击手段？A.钓鱼邮件B.尾随进入办公区C.暴力破解密码D.假冒IT支持人员电话诈骗

参考答案及解析1.【参考答案】D【解析】根据《网络安全法》第三十五条，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家安全审查。因此D项说法错误。A、B、C三项均符合相关法律规定，《个人信息保护法》确实主要规范自然人个人信息的处理，但也涉及死者信息等特定情形，但核心在于自然人，表述相对准确，相比之下D项明显违背法定程序。2.【参考答案】A【解析】PDRR模型是经典的信息安全保障模型，包括防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）。第一个R通常指响应，第二个R指恢复，即在事件处理后使系统回到正常状态。故选A。该模型强调动态防御和闭环管理，是应急管理的核心理论基础之一。3.【参考答案】A【解析】SQL注入是通过将恶意SQL代码插入输入参数来欺骗数据库执行。预编译语句通过将SQL结构与数据分离，确保用户输入仅被视为数据而非可执行代码，从而从根本上防止SQL注入。防火墙、补丁和IDS虽能提升整体安全性，但不能直接解决应用层的SQL注入逻辑漏洞。4.【参考答案】C【解析】《密码法》规定，密码分为核心密码、普通密码和商用密码。核心密码和普通密码用于保护国家秘密信息；商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。故选C。5.【参考答案】B【解析】面对突发公共事件谣言，首要任务是阻断谣言传播链条并消除公众恐慌。发布权威、准确、及时的信息是辟谣最有效的方式，能占据舆论高地。简单删帖或封IP易引发次生舆情危机，追责属于事后处置。故应坚持“快报事实、慎报原因”原则，优先进行信息公开和引导。6.【参考答案】B【解析】勒索病毒通过加密文件索要赎金。杀毒软件无法保证100%拦截新型变种；支付赎金不仅违法且不能保证解密；感染途径多样，不仅限于邮件。定期离线备份数据可在遭受攻击后快速恢复业务，降低损失，是公认最有效的兜底措施。故选B。7.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》及相关管理规定，第三级及以上信息系统应当每年至少进行一次等级测评。第二级信息系统建议每两年进行一次测评。这是确保信息系统持续符合安全要求的重要合规动作。故选B。8.【参考答案】C【解析】《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得收集与其提供的服务无关的个人信息。A、B、D均为法定义务，C项违反最小必要原则及知情同意原则。9.【参考答案】B【解析】分布式拒绝服务攻击（DDoS）旨在通过控制大量傀儡机（僵尸网络）向目标发送海量请求，耗尽目标的带宽、计算资源或连接数，导致合法用户无法访问服务。其核心目的是破坏可用性，而非窃取数据或篡改内容。A属数据泄露，C属网页篡改，D属社会工程学攻击。故选B。10.【参考答案】C【解析】PDCA循环是质量管理的基本方法，也广泛应用于信息安全管理体系。P（Plan）建立方针和目标；D（Do）实施和运作；C（Check）监视和测量过程及产品，并报告结果；A（Act）采取措施以持续改进绩效。因此“C”对应检查阶段，旨在评估体系运行的有效性。故选C。11.【参考答案】C【解析】根据《网络安全法》第二十一条，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，包括制定内部制度、采取防病毒和防攻击措施、监测记录网络运行状态等。法律并未规定要对所有用户数据进行“无条件永久存储”，反而强调数据收集的合法、正当、必要原则及留存期限符合法律规定。C项表述错误且不符合法律精神，故选C。12.【参考答案】D【解析】PDCERF模型包含六个阶段：准备（Preparation）、检测（Detection）、遏制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）。其中“E”对应的是Eradication，即根除阶段，旨在彻底清除系统中的恶意代码或漏洞根源，防止事件复发。A、B、C分别对应P、D、C阶段。故正确答案为D。13.【参考答案】C【解析】零信任（ZeroTrust）的核心理念是“永不信任，始终验证”。它不区分内外网，假设任何访问请求都可能存在威胁，因此需要对每一次访问进行严格的身份认证和授权，并遵循最小权限原则。A、B项属于传统边界安全模型的思维，D项片面，零信任对内部访问同样严格验证。故正确答案为C。14.【参考答案】B【解析】钓鱼攻击（Phishing）是一种社会工程学攻击，攻击者伪装成可信实体，通过电子邮件、短信等方式诱导受害者点击恶意链接或下载携带木马的附件，进而窃取账号密码、银行卡信息等敏感数据。DDoS旨在耗尽资源导致服务不可用；SQL注入针对数据库漏洞；中间人攻击侧重窃听或篡改通信内容。故正确答案为B。15.【参考答案】B【解析】《中华人民共和国个人信息保护法》第二十九条规定，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。敏感个人信息一旦泄露容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此法律保护力度更强，要求“单独同意”，而非捆绑式的概括同意或默示同意。故正确答案为B。16.【参考答案】B【解析】PKI体系中，CA（CertificateAuthority，证书颁发机构）是核心组件，负责验证实体身份并签发数字证书，确保证书的真实性和有效性。RA负责接收用户的证书申请并进行初步审核，但不直接签发证书；LDAP用于存储和查询证书；OCSP用于查询证书状态。因此，签发和管理证书的权威机构是CA。故正确答案为B。17.【参考答案】B【解析】数字签名结合了非对称加密和哈希算法，发送方使用私钥对消息摘要进行加密生成签名，接收方使用公钥解密验证。这不仅能确保数据完整性（未被篡改），还能提供不可否认性（来源真实性）。对称加密主要保障机密性；数据压缩旨在减少体积；哈希算法虽能校验完整性，但单独使用无法证明来源身份（易受中间人替换哈希值攻击）。故正确答案为B。18.【参考答案】C【解析】勒索病毒常通过钓鱼邮件、漏洞利用等方式传播。定期离线备份可在感染后恢复数据；及时打补丁可修复已知漏洞；安装防病毒软件可拦截已知恶意程序。而随意打开来源不明的邮件附件是极高风险行为，极易触发勒索病毒感染。因此，C项是错误的防范做法。故正确答案为C。19.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），第三级适用于“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害”的系统。这通常涵盖政府机关、金融、能源、交通等关键信息基础设施的重要系统。A、D项通常为二级或一级；C项多为一级。故正确答案为B。20.【参考答案】C【解析】XSS、CSRF和SQL注入均是典型的Web应用层安全漏洞，分别涉及脚本执行、请求伪造和数据库操作。而缓冲区溢出（BufferOverflow）主要发生在底层编程语言（如C/C++）编写的系统软件或应用程序中，属于内存安全漏洞，虽然可能影响Web服务器软件本身，但它不是Web应用逻辑层面的典型漏洞分类。在Web安全语境下，前三者更为常见和特异。故正确答案为C。21.【参考答案】A【解析】B项“渡假”应为“度假”，“度”指度过时间；C项“寒喧”应为“寒暄”，“暄”指温暖，引申为问候冷暖；D项“沉缅”应为“沉湎”，“湎”指沉迷。A项全部正确。本题考查常见易错字形辨析，需结合词义记忆。22.【参考答案】A【解析】“突破思维”为固定搭配，强调超越限制；“运用手段”侧重灵活使用技术，符合语境。“打破”多用于具体物体或僵局，“冲破”多用于阻力，“破除”多用于迷信或旧习，均不如“突破”贴切。“使用”过于口语化，“应用”和“采用”虽可，但“运用”更体现主动性。故选A。23.【参考答案】B【解析】A项缺主语，删去“通过”或“使”；C项否定失当，“防止”与“不再”双重否定表肯定，应删去“不”；D项关联词位置不当，前后主语一致时，“不仅”应放在“他”之后。B项两面对两面，逻辑严密，无语病。24.【参考答案】B【解析】A项“无所不为”含贬义，指什么坏事都干，此处褒贬误用；C项“首当其冲”比喻最先受到攻击或遭到灾难，非“首先发言”之意，望文生义；D项“九牛一毛”形容极大数量中的极小部分，不能形容问题简单，对象误用。B项“独树一帜”比喻独特新奇，自成一家，使用正确。25.【参考答案】A【解析】②提出网络攻击的特点，是背景引入；④承接②，说明危害；①由危害引出对策“加强演练”；③进一步解释对策的意义。逻辑顺序为：现象→危害→对策→意义。故②④①③排列最合理。26.【参考答案】B【解析】根据《党政机关公文格式》国家标准，公文标题一般用2号小标宋体字，A项错误；正文一般用3号仿宋体字，B项正确；页码一般用4号半角宋体阿拉伯数字，C项错误；印发机关和印发日期一般用4号仿宋体字，D项错误。注意区分各要素字体字号规范。27.【参考答案】D【解析】根据《行政强制法》，行政强制措施包括：限制公民人身自由；查封场所、设施或者财物；扣押财物；冻结存款、汇款等。罚款属于行政处罚，而非行政强制措施。本题考查行政法基本概念区分，需牢记措施与处罚的种类差异。28.【参考答案】A【解析】该句源自明末清初思想家顾炎武的《日知录·正始》，原句为“保天下者，匹夫之贱与有责焉耳矣”。后由梁启超概括为“天下兴亡，匹夫有责”。虽然梁启超进行了概括，但思想源头归于顾炎武。本题考查传统文化常识，需注意出处与概括者的区别。29.【参考答案】C【解析】计算机病毒的主要特征包括：传染性、潜伏性、隐蔽性、破坏性、可触发性等。病毒本身不具备“免疫性”，相反，它是被免疫系统（杀毒软件）防范的对象。免疫性是生物体或系统抵御病毒的能力，而非病毒自身的属性。本题考查信息安全基础知识。30.【参考答案】B【解析】SUM用于求和，AVERAGE用于求平均值，COUNT用于计数，MAX用于求最大值。题目要求计算平均值，故应使用AVERAGE函数。本题考查办公软件基础操作，属于事业单位考试常见考点，需熟练掌握常用函数功能。31.【参考答案】C【解析】根据《网络安全法》第二十一条，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，包括制定内部安全管理制度、采取技术措施防范危害、监测记录网络运行状态等。数据共享需遵循合法、正当、必要原则，且涉及个人信息需经同意或脱敏处理，“无条件公开共享”严重违反数据安全与隐私保护规定，故C项错误。32.【参考答案】A【解析】PDRR模型是信息安全保障体系的核心框架，分别代表Protection（保护）、Detection（检测）、Response（响应）、Recovery（恢复）。其中“D”对应Detection，即通过入侵检测系统等技术手段发现潜在的安全威胁或异常行为，为后续的响应和恢复提供依据。B、C、D分别对应其他环节，故本题选A。33.【参考答案】D【解析】SQL注入是指攻击者将恶意的SQL命令插入到Web表单提交或页面请求的查询字符串中，欺骗服务器执行恶意的SQL命令。若防护不当，攻击者不仅可以窃取敏感数据，还可以修改、删除数据库内容，甚至获取服务器控制权。因此D项描述过于片面，是错误的。A、B、C均为SQL注入的正确特征及防御手段。34.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》，第一级适用于一般系统；第二级适用于一定程度上影响社会秩序的系统；第三级适用于地市级以上国家机关、企业事业单位的重要信息系统，其受到破坏后会对社会秩序和公共利益造成严重损害；第四级及以上适用于涉及国家安全的关键基础设施。故B项符合第三级定义。35.【参考答案】B【解析】PKI体系中，CA（CertificateAuthority）是核心信任实体，负责生成、签发、管理和撤销数字证书，确保证书持有者的身份真实性。RA负责审核用户身份并提交给CA；KMC负责密钥备份与恢复；LDAP用于存储和发布证书及吊销列表。因此，直接负责签发和管理证书的是CA，故选B。36.【参考答案】C【解析】对称加密算法使用相同的密钥进行加密和解密，如DES、AES和国产算法SM4，其特点是速度快但密钥分发困难。非对称加密算法使用一对密钥（公钥和私钥），如RSA、ECC和国产算法SM2，主要用于数字签名和密钥交换。RSA是经典的非对称加密算法，故本题选C。37.【参考答案】C【解析】防火墙主要部署在网络边界，依据预设规则控制进出网络的数据包，实现访问控制。它无法防止来自内部的攻击（A错），不具备深度查杀病毒的能力（B错，需配合防病毒软件），也不能完全替代IDS/IPS的深度检测功能（D错）。其核心价值在于隔离风险区域并控制流量，故C项正确。38.【参考答案】A【解析】ARP（AddressResolutionProtocol，地址解析协议）工作在链路层，用于将网络层的IP地址解析为数据链路层的物理地址（MAC地址），以便在局域网内传输数据帧。DNS负责域名到IP的解析（B错）；TCP负责建立可靠连接（C错）；IP协议及路由协议负责路由选择（D错）。故本题选A。39.【参考答案】C【解析】社会工程学攻击利用人性弱点（如好奇、恐惧、贪婪）诱骗受害者泄露敏感信息或执行危险操作，而非单纯依靠技术漏洞。技术手段（如杀毒软件、补丁、防火墙）难以防范此类人为失误。最有效的防范措施是提高人员的安全意识，使其能够识别钓鱼邮件、假冒电话等欺诈手段。因此，加强培训是关键，故选C。40.【参考答案】C【解析】《中华人民共和国数据安全法》第二十九条规定，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。隐瞒不报或仅内部处理均不符合法律规定，故C项正确。41.【参考答案】C【解析】根据《网络安全法》第二十一条，网络运营者应当履行安全保护义务，包括制定制度、采取技术措施、监测记录等。法律并未要求“无条件永久存储”所有数据，反而强调数据最小化原则及留存日志不少于六个月的规定。C项表述绝对且无法