2026中资网络信息安全科技有限公司招聘笔试历年典型考点题库附带答案详解

2026中资网络信息安全科技有限公司招聘笔试历年典型考点题库附带答案详解一、单项选择题下列各题只有一个正确答案，请选出最恰当的选项（共30题）1、在OSI七层模型中，负责建立、管理和终止应用程序之间会话的是哪一层？

A.传输层

B.会话层

C.表示层

D.应用层2、下列哪种加密算法属于非对称加密算法？

A.AES

B.DES

C.RSA

D.SM43、SQL注入攻击主要针对的是Web应用的哪个层面漏洞？

A.操作系统内核

B.数据库查询逻辑

C.网络传输协议

D.前端JavaScript代码4、在信息安全等级保护2.0标准中，第三级信息系统要求至少多久进行一次等级测评？

A.每半年

B.每年

C.每两年

D.每三年5、下列哪项技术主要用于防止DNS缓存投毒攻击？

A.HTTPS

B.DNSSEC

C.SSL/TLS

D.IPsec6、关于零信任安全架构的核心原则，下列说法正确的是？

A.内网用户默认可信

B.基于网络位置进行访问控制

C.永不信任，始终验证

D.仅对远程访问进行身份认证7、在渗透测试中，Nmap工具主要用于实现什么功能？

A.Web应用漏洞扫描

B.网络主机发现与端口扫描

C.密码暴力破解

D.数据库审计8、下列哪种备份策略恢复速度最快，但占用存储空间最大？

A.完全备份

B.增量备份

C.差异备份

D.按需备份9、SM2、SM3、SM4是我国发布的商用密码算法标准，其中SM3属于哪类算法？

A.公钥加密算法

B.对称加密算法

C.杂凑（哈希）算法

D.数字签名算法10、当发生大规模DDoS攻击时，以下哪种防护措施最有效？

A.安装主机防火墙

B.启用Web应用防火墙（WAF）

C.接入流量清洗服务

D.关闭服务器端口11、根据《网络安全法》，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。以下哪项不属于个人信息？

A.姓名

B.出生日期

C.企业统一社会信用代码

D.身份证件号码12、在OSI七层模型中，哪一层负责建立、管理和终止应用程序之间的会话连接？

A.传输层

B.会话层

C.表示层

D.应用层A.传输层B.会话层C.表示层D.应用层13、下列哪种加密算法属于非对称加密算法？

A.AES

B.DES

C.RSA

D.SM4A.AESB.DESC.RSAD.SM414、关于SQL注入攻击，以下哪种防御措施最有效？

A.过滤特殊字符

B.使用预编译语句（参数化查询）

C.隐藏数据库错误信息

D.限制输入长度A.过滤特殊字符B.使用预编译语句（参数化查询）C.隐藏数据库错误信息D.限制输入长度15、在信息安全等级保护制度中，第三级信息系统要求至少多久进行一次等级测评？

A.每半年

B.每年

C.每两年

D.每三年A.每半年B.每年C.每两年D.每三年16、下列哪项技术主要用于防止网页被篡改？

A.防火墙

B.入侵检测系统（IDS）

C.网页防篡改系统

D.数据备份A.防火墙B.入侵检测系统（IDS）C.网页防篡改系统D.数据备份17、在公钥基础设施（PKI）体系中，数字证书的主要作用是什么？

A.加密数据传输

B.验证公钥持有者的身份

C.存储私钥

D.生成哈希值A.加密数据传输B.验证公钥持有者的身份C.存储私钥D.生成哈希值18、下列关于拒绝服务攻击（DoS）的描述，错误的是？

A.目的是使目标系统无法提供正常服务

B.SYNFlood是一种典型的DoS攻击方式

C.DoS攻击通常旨在窃取用户数据

D.分布式拒绝服务攻击称为DDoSA.目的是使目标系统无法提供正常服务B.SYNFlood是一种典型的DoS攻击方式C.DoS攻击通常旨在窃取用户数据D.分布式拒绝服务攻击称为DDoS19、在Linux系统中，用于查看当前网络连接状态及监听端口的命令是？

A.ps

B.netstat

C.chmod

D.dfA.psB.netstatC.chmodD.df20、社会工程学攻击主要利用的是人性的哪些弱点？

A.系统漏洞

B.协议缺陷

C.信任、好奇、贪婪或恐惧

D.加密算法强度不足A.系统漏洞B.协议缺陷C.信任、好奇、贪婪或恐惧D.加密算法强度不足21、根据《网络安全法》，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒等安全风险。以下哪项不属于法定的网络安全保护义务？

A.采取防范计算机病毒和网络攻击的技术措施

B.采取监测、记录网络运行状态的技术措施

C.采取数据分类、重要数据备份和加密等措施

D.无条件向所有用户提供后台管理权限22、在对称加密算法中，以下哪种算法目前被广泛认为安全性较高且效率优异，常用于大量数据加密？

A.RSA

B.AES

C.MD5

D.SHA-25623、SQL注入攻击的主要原理是利用Web应用程序对用户输入数据的合法性判断不严。以下哪种措施最能有效防止SQL注入？

A.使用正则表达式过滤所有特殊字符

B.采用预编译语句（ParameterizedQueries）

C.隐藏数据库错误信息

D.限制用户输入长度24、关于跨站脚本攻击（XSS），以下说法正确的是？

A.XSS攻击主要针对服务器端数据库

B.存储型XSS的危害通常小于反射型XSS

C.对输出到HTML页面的数据进行转义可防御XSS

D.XSS攻击无法窃取用户的Cookie信息25、在信息安全等级保护制度中，第三级信息系统的安全保护能力要求能够抵御来自有组织团体的恶意攻击。以下哪项不属于三级系统的典型管理要求？

A.成立专门的安全管理机构

B.定期进行安全风险评估

C.无需进行灾难备份恢复演练

D.对关键岗位人员进行背景审查26、下列哪种协议在传输层提供了面向连接的、可靠的数据传输服务？

A.UDP

B.TCP

C.IP

D.HTTP27、公钥基础设施（PKI）的核心组件是证书认证中心（CA）。以下关于数字证书的说法，错误的是？

A.数字证书包含持有者的公钥

B.数字证书由CA进行数字签名

C.数字证书可以直接用于加密私钥

D.数字证书用于验证持有者身份28、在软件开发安全生命周期（SDL）中，“威胁建模”阶段主要目的是什么？

A.修复代码中的具体Bug

B.识别潜在的安全威胁并确定缓解措施

C.进行渗透测试

D.编写用户操作手册29、以下哪项技术主要用于实现网络访问控制，依据预设规则允许或阻止数据包通过？

A.防火墙

B.杀毒软件

C.数据备份系统

D.日志审计系统30、关于社会工程学攻击，以下描述最准确的是？

A.利用软件漏洞自动入侵系统

B.利用人性弱点（如信任、恐惧）诱骗受害者泄露信息

C.通过暴力破解密码获取权限

D.利用硬件故障导致服务中断二、多项选择题下列各题有多个正确答案，请选出所有正确选项（共15题）31、根据《网络安全法》，网络运营者履行安全保护义务包括哪些？

A.制定内部安全管理制度

B.采取防范计算机病毒技术措施

C.监测记录网络运行状态

D.留存网络日志不少于六个月32、下列属于常见Web应用安全漏洞的是？

A.SQL注入

B.跨站脚本攻击(XSS)

C.跨站请求伪造(CSRF)

D.分布式拒绝服务(DDoS)33、关于数据分类分级，下列说法正确的有？

A.核心数据严禁出境

B.重要数据需进行风险评估

C.一般数据无需任何保护

D.个人信息处理需遵循合法正当必要原则34、下列哪些算法属于非对称加密算法？

A.RSA

B.AES

C.ECC

D.DES35、应急响应流程中，PDCERF模型包含哪些阶段？

A.准备(Preparation)

B.检测(Detection)

C.遏制(Containment)

D.根除(Eradication)36、关于防火墙功能，描述正确的有？

A.隔离内外网

B.过滤不安全服务

C.防止内部人员泄密

D.记录访问日志37、下列属于社会工程学攻击手段的是？

A.钓鱼邮件

B.pretexting(借口伪装)

C.尾随进入办公区

D.暴力破解密码38、等级保护2.0中，安全计算环境要求包括？

A.身份鉴别

B.访问控制

C.安全审计

D.入侵防范39、关于SSL/TLS协议，说法正确的有？

A.提供数据机密性

B.提供数据完整性

C.提供身份认证

D.位于传输层40、下列哪些措施有助于防范APT攻击？

A.部署态势感知平台

B.加强员工安全意识培训

C.仅依靠边界防火墙

D.实施网络微隔离41、关于网络信息安全等级保护制度，以下说法正确的有：

A.定级对象包括信息系统、通信网络设施和数据资源

B.第二级系统需每年进行一次等级测评

C.第三级系统需每半年进行一次等级测评

D.运营使用单位应在系统投入运行后30日内备案A,B,C,D42、在Web应用安全防护中，下列哪些措施能有效防御SQL注入攻击？

A.使用预编译语句（PreparedStatement）

B.对用户输入进行严格的类型检查和过滤

C.开启Web服务器的目录浏览功能

D.部署Web应用防火墙（WAF）并启用SQL注入规则A,B,C,D43、关于对称加密与非对称加密，下列说法正确的有：

A.AES算法属于对称加密算法

B.RSA算法的密钥长度通常比AES长

C.对称加密适合大数据量传输，因为速度快

D.非对称加密可用于数字签名和身份认证A,B,C,D44、在应急响应过程中，PDCERF模型包含哪些阶段？

A.准备（Preparation）

B.检测（Detection）

C.根除（Eradication）

D.恢复（Recovery）A,B,C,D45、下列哪些行为可能构成对个人信息权益的侵犯？

A.未经用户同意收集其地理位置信息

B.将用户手机号用于内部客服联系

C.向第三方出售用户browsinghistory（浏览记录）

D.对用户数据进行去标识化处理后用于统计分析A,B,C,D三、判断题判断下列说法是否正确（共10题）46、在网络安全等级保护2.0标准中，第三级信息系统要求每年至少进行一次等级测评。判断该说法是否正确？A.正确B.错误47、SQL注入攻击主要利用的是操作系统层面的缓冲区溢出漏洞。判断该说法是否正确？A.正确B.错误48、在非对称加密算法中，公钥用于加密数据，私钥用于解密数据，且私钥必须严格保密。判断该说法是否正确？A.正确B.错误49、DDoS攻击的主要目的是窃取服务器上的敏感数据。判断该说法是否正确？A.正确B.错误50、根据《个人信息保护法》，处理敏感个人信息必须取得个人的单独同意。判断该说法是否正确？A.正确B.错误51、防火墙能够有效防御所有类型的内部网络威胁和病毒传播。判断该说法是否正确？A.正确B.错误52、在密码学中，MD5算法目前仍被视为安全的哈希算法，适用于数字签名等高安全场景。判断该说法是否正确？A.正确B.错误53、社会工程学攻击主要依赖技术手段破解系统密码，而非利用人的心理弱点。判断该说法是否正确？A.正确B.错误54、零信任安全架构的核心理念是“永不信任，始终验证”，不区分内网和外网。判断该说法是否正确？A.正确B.错误55、数据备份的主要目的是防止数据丢失，因此只要进行了备份，就无需考虑数据加密存储。判断该说法是否正确？A.正确B.错误

参考答案及解析1.【参考答案】B【解析】OSI模型中，会话层（SessionLayer）主要职责是建立、维护和终止两个通信应用进程之间的连接。传输层负责端到端的数据传输可靠性；表示层处理数据格式转换和加密；应用层直接为用户的应用进程提供服务。因此，管理会话连接属于会话层的功能。本题考查网络基础架构分层原理，是中资企业网安笔试的高频考点，需准确区分各层核心职能。2.【参考答案】C【解析】RSA是典型的非对称加密算法，使用公钥加密、私钥解密，常用于密钥交换和数字签名。AES、DES和SM4均属于对称加密算法，加密和解密使用同一密钥。对称加密速度快，适合大量数据加密；非对称加密安全性高但速度慢，适合小数据量或密钥分发。在网络安全实践中，常结合两者优势，如TLS协议中使用RSA交换AES密钥。考生需熟记常见算法分类及其应用场景。3.【参考答案】B【解析】SQL注入是通过在Web表单输入或URL参数中插入恶意SQL命令，欺骗服务器执行非授权数据库操作。其根源在于后端代码未对用户输入进行严格过滤或参数化处理，导致数据库查询逻辑被篡改。它不直接攻击操作系统内核或网络协议，虽可能涉及前端输入，但核心危害在于后端数据库交互。防御措施包括使用预编译语句（PreparedStatements）和输入验证。这是Web安全中最经典且危害巨大的漏洞类型之一。4.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），第三级及以上信息系统应当每年至少进行一次等级测评。第二级系统建议每两年进行一次，但具体执行需遵循当地公安机关要求。一级系统无需定期测评，四级系统每半年一次。等保2.0强调动态合规，定期测评是确保系统持续符合安全要求的关键手段。中资企业在合规建设中必须严格遵守此周期，避免法律风险。5.【参考答案】B【解析】DNSSEC（域名系统安全扩展）通过数字签名验证DNS数据的完整性和来源真实性，有效防止DNS缓存投毒和中间人攻击。HTTPS和SSL/TLS主要用于传输层加密，保护Web通信内容，不解决DNS解析信任问题；IPsec用于网络层IP数据包加密认证。DNSSEC在DNS协议层面增加了信任链，确保用户获取的IP地址未被篡改。随着网络攻击手段升级，DNSSEC部署已成为关键基础设施安全防护的重要趋势。6.【参考答案】C【解析】零信任（ZeroTrust）核心理念是“永不信任，始终验证”（NeverTrust,AlwaysVerify）。它摒弃了传统边界安全模型中“内网可信、外网不可信”的假设，要求对所有访问请求，无论来自内网还是外网，都必须进行严格的身份认证、授权和加密。访问控制基于用户身份、设备状态、环境上下文等多维因素，而非单纯的网络位置。零信任旨在最小化攻击面，限制横向移动，是应对高级持续性威胁（APT）的有效架构。7.【参考答案】B【解析】Nmap（NetworkMapper）是一款开源的网络探测和安全审计工具，核心功能是主机发现、端口扫描、服务版本检测及操作系统指纹识别。它帮助安全人员了解网络拓扑和开放服务，为后续漏洞利用提供信息。Web漏洞扫描常用AWVS或BurpSuite；密码破解常用Hydra；数据库审计有专门工具。Nmap是渗透测试信息收集阶段的首选工具，掌握其常用参数（如-sS,-O,-sV）是网安从业人员的基本技能。8.【参考答案】A【解析】完全备份每次都将所有选定数据完整复制，恢复时只需读取最新一次完全备份集，因此恢复速度最快。但由于每次全量复制，其占用存储空间最大，备份时间也最长。增量备份仅备份上次备份后变化的数据，节省空间但恢复时需依次还原完全备份及所有增量备份，速度慢。差异备份介于两者之间。企业通常组合使用，如每周完全备份+每日增量备份，以平衡存储成本与恢复效率（RTO/RPO）。9.【参考答案】C【解析】我国国密算法体系中，SM2是基于椭圆曲线的公钥密码算法，用于数字签名和密钥交换；SM3是密码杂凑算法，生成固定长度摘要，用于完整性校验，类似SHA-256；SM4是对称分组密码算法，用于数据加密。SM2虽可用于签名，但其本质是公钥算法体系，而SM3专指哈希函数。在信创项目和政府工程中，强制要求使用国密算法，考生需清晰区分三类算法的功能定位及应用场景。10.【参考答案】C【解析】DDoS攻击通过海量合法或非法请求耗尽目标带宽或资源。主机防火墙和WAF主要处理应用层或单点访问控制，难以抵御TB级流量洪水；关闭端口会导致业务中断。流量清洗服务（如云盾、Anti-DDoS）通过在骨干网或云端识别并过滤恶意流量，将正常流量回源，能有效吸收和缓解大规模分布式拒绝服务攻击。这是应对volumetricDDoS的标准工业解决方案，保障业务连续性。11.【参考答案】C【解析】个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。姓名、出生日期、身份证件号码均能直接识别特定自然人，属于个人信息。而企业统一社会信用代码是法人和非法人组织的唯一身份标识，属于组织信息，不属于个人信息范畴。故选C。12.【参考答案】B【解析】OSI七层模型中，会话层（SessionLayer）位于传输层之上，表示层之下。其主要功能是建立、管理和终止应用程序之间的会话连接，协调通信双方的交互过程，如确定通信是全双工还是半双工。传输层负责端到端的数据传输可靠性；表示层负责数据格式转换和加密；应用层为用户提供网络服务接口。因此，负责会话管理的是会话层。故选B。13.【参考答案】C【解析】加密算法分为对称加密和非对称加密。对称加密使用同一密钥进行加解密，如AES、DES、SM4等，特点是速度快但密钥分发困难。非对称加密使用公钥和私钥配对，公钥加密私钥解密或反之，如RSA、ECC、SM2等，特点是安全性高但计算量大。RSA是最经典的非对称加密算法，广泛用于数字签名和密钥交换。故选C。14.【参考答案】B【解析】SQL注入是通过构造恶意输入改变SQL语句逻辑的攻击。过滤特殊字符和限制长度容易被绕过；隐藏错误信息仅能增加攻击难度，不能根本防御。预编译语句（参数化查询）将SQL代码与数据分离，数据库引擎先编译SQL模板，再传入参数，确保参数仅作为数据处理，无法改变SQL结构，是从根源上防御SQL注入的最有效手段。故选B。15.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》及相关规定，不同等级的信息系统有不同的测评周期。第二级信息系统建议每两年进行一次等级测评；第三级及以上信息系统要求每年至少进行一次等级测评，以确保系统持续符合安全要求，及时发现并整改安全隐患。第四级信息系统通常每半年至少进行一次测评。故选B。16.【参考答案】C【解析】防火墙主要用于访问控制；IDS用于监测异常行为并报警，但不直接阻止篡改；数据备份用于灾后恢复，无法实时防止篡改。网页防篡改系统通过文件驱动过滤、事件触发等技术，实时监控网站目录，一旦检测到未经授权的修改行为，立即阻断并恢复原文件，是专门用于防止网页被非法篡改的技术。故选C。17.【参考答案】B【解析】PKI体系中，数字证书由可信的认证机构（CA）签发，包含用户的公钥、身份信息及CA的数字签名。其主要作用是绑定公钥与持有者身份，确保公钥的真实性和合法性，从而解决公钥分发中的信任问题。加密数据通常使用公钥本身；私钥由用户严格保密，不存储在证书中；哈希值由哈希算法生成。故选B。18.【参考答案】C【解析】拒绝服务攻击（DoS）的核心目的是通过耗尽目标系统的资源（如带宽、CPU、内存），使其无法响应合法用户的请求，导致服务中断，而非窃取数据。SYNFlood利用TCP三次握手缺陷消耗服务器资源，是典型DoS手段；DDoS则是利用多台僵尸网络发起的分布式攻击。窃取数据属于窃密类攻击，与DoS目的不同。故选C。19.【参考答案】B【解析】ps命令用于查看进程状态；chmod用于修改文件权限；df用于查看磁盘空间使用情况。netstat（或较新系统中的ss）命令用于显示网络连接、路由表、接口统计等信息，常配合参数如-anp查看监听端口和建立连接的进程，是网络故障排查和安全审计常用的工具。故选B。20.【参考答案】C【解析】社会工程学攻击不直接针对技术漏洞，而是通过心理操纵诱骗受害者泄露敏感信息或执行危险操作。它利用人性的信任（如冒充同事）、好奇（如诱导点击链接）、贪婪（如中奖骗局）或恐惧（如冒充执法机构）等弱点。系统漏洞、协议缺陷和加密算法属于技术层面，不是社会工程学的核心利用点。故选C。21.【参考答案】D【解析】《网络安全法第二十一条规定，网络运营者需履行安全保护义务，包括防病毒、防攻击、监测记录运行状态、数据分类备份加密等。D选项“无条件提供后台权限”严重违反最小权限原则及安全规定，会导致系统暴露于极高风险中，绝非法定义务，而是严禁行为。故本题选D。22.【参考答案】B【解析】RSA是非对称加密算法，计算量大，适合密钥交换或数字签名，不适合大量数据加密。MD5和SHA-256是哈希算法，用于完整性校验，不可逆，无法用于加密解密。AES（高级加密标准）是对称加密算法，具有安全性高、运算速度快的特点，是目前国际主流的标准，广泛用于数据加密。故本题选B。23.【参考答案】B【解析】虽然过滤特殊字符、隐藏错误信息和限制长度能增加攻击难度，但均可能被绕过。预编译语句将SQL代码与数据分离，数据库引擎先编译SQL模板，再传入参数，从根本上杜绝了恶意代码被执行的可能，是防御SQL注入最有效、最推荐的方法。故本题选B。24.【参考答案】C【解析】XSS主要攻击客户端用户，而非直接针对服务器数据库，A错。存储型XSS持久化存在，危害通常大于反射型，B错。XSS的核心危害之一就是窃取Cookie等敏感信息，D错。对输出数据进行HTML实体转义，能确保浏览器将恶意脚本视为普通文本渲染，从而有效防御XSS。故本题选C。25.【参考答案】C【解析】根据《信息安全技术网络安全等级保护基本要求》，三级系统要求极高。必须成立专门安全管理机构，定期评估风险，并对关键人员背景审查。同时，三级系统明确要求应制定灾难恢复计划并定期演练，以确保业务连续性。“无需演练”显然违背要求。故本题选C。26.【参考答案】B【解析】IP是网络层协议，无连接。HTTP是应用层协议。UDP是传输层协议，但它是无连接、不可靠的，注重速度。TCP（传输控制协议）是传输层协议，通过三次握手建立连接，提供序列号、确认应答、重传机制等，确保数据有序、无差错、不丢失地到达，是面向连接的可靠传输协议。故本题选B。27.【参考答案】C【解析】数字证书是由CA颁发的，包含持有者身份信息、公钥及CA的数字签名，用于证明公钥归属及身份验证，A、B、D正确。私钥必须由持有者严格保密，绝不能包含在公开的数字证书中，更不能用证书直接加密私钥（通常是用密码加密私钥文件本身）。故本题选C。28.【参考答案】B【解析】威胁建模是在设计阶段进行的分析过程，旨在从攻击者视角识别系统架构中可能存在的安全威胁（如STRIDE模型），评估风险，并提前设计相应的缓解措施。修复Bug是编码/测试阶段工作，渗透测试是验证阶段工作，编写手册是交付阶段工作。故本题选B。29.【参考答案】A【解析】防火墙是位于内部网和外部网之间的屏障，通过预设的安全规则（如IP地址、端口、协议等）对进出网络的数据包进行检测和过滤，决定允许或阻止其通过，是主要的访问控制技术。杀毒软件查杀病毒，备份系统保护数据可用性，日志审计记录行为，均非主要的网络访问控制设备。故本题选A。30.【参考答案】B【解析】社会工程学攻击不依赖技术漏洞，而是利用人的心理弱点，如好奇心、贪婪、恐惧或信任，通过欺骗、诱导等手段使受害者自愿提供敏感信息或执行危险操作（如点击钓鱼链接）。A是技术攻击，C是暴力破解，D是物理或故障问题。故本题选B。31.【参考答案】ABCD【解析】依据《网络安全法》第二十一条，国家实行网络安全等级保护制度。网络运营者应当按照规定制定内部安全管理制度和操作规程，确定网络安全负责人；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。因此，ABCD均为法定义务，全选。32.【参考答案】ABC【解析】OWASPTop10中，SQL注入、XSS和CSRF均属于典型的Web应用层逻辑或代码缺陷导致的漏洞。DDoS虽然常针对Web服务，但其本质是利用大量流量耗尽资源，属于网络层或应用层的可用性攻击，通常归类为网络攻击手段而非Web代码层面的“漏洞”。但在广义安全测试中，前三者是代码审计重点。故本题侧重应用层代码漏洞，选ABC。33.【参考答案】ABD【解析】《数据安全法》规定，国家对数据实行分类分级保护。核心数据关系国家安全，严禁非法出境；重要数据处理者应定期开展风险评估。个人信息保护遵循合法、正当、必要原则。C项错误，一般数据虽敏感度低，但仍需具备基础的安全保护措施，如防泄露、防篡改，并非“无需任何保护”。故选ABD。34.【参考答案】AC【解析】加密算法分为对称和非对称两类。RSA（基于大数分解）和ECC（椭圆曲线密码学）使用公钥和私钥配对，属于非对称加密。AES（高级加密标准）和DES（数据加密标准）使用同一密钥进行加解密，属于对称加密算法。非对称加密主要用于密钥交换和数字签名，对称加密用于大量数据加密。故正确答案为AC。35.【参考答案】ABCD【解析】PDCERF是国际通用的信息安全应急响应方法论，六个阶段分别为：准备(Preparation)、检测(Detection)、遏制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)。选项中ABCD均属于该模型的核心阶段。恢复和跟踪也是重要环节，但本题选项仅列出前四项，均正确。故全选。36.【参考答案】ABD【解析】防火墙主要部署在网络边界，用于隔离信任域与非信任域，通过策略过滤进出流量，阻止不安全服务端口，并记录连接日志以便审计。然而，传统防火墙无法有效防止内部授权用户的恶意操作或数据泄露（如通过邮件发送敏感文件），这通常需要DLP（数据防泄漏）系统或内部审计机制。因此C项不属于防火墙核心功能。故选ABD。37.【参考答案】ABC【解析】社会工程学利用人性弱点（如好奇、恐惧、贪婪）而非技术漏洞获取信息。钓鱼邮件诱骗点击，pretexting编造身份骗取信任，尾随利用礼貌心理进入禁区，均属此类。暴力破解是利用计算能力尝试所有密码组合的技术攻击手段，不依赖人际交互欺骗。故ABC正确，D错误。38.【参考答案】ABCD【解析】GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中，安全计算环境层面明确要求包括身份鉴别（确保用户真实）、访问控制（限制权限）、安全审计（记录行为）、入侵防范（检测攻击）、恶意代码防范等。ABCD均为该层面的核心控制点，旨在保护服务器、终端等计算节点的安全。故全选。39.【参考答案】ABC【解析】SSL/TLS协议位于应用层与传输层之间（通常视为会话层或表示层功能，但在TCP/IP模型中常依附于传输层之上）。其核心功能包括：通过加密提供机密性，通过MAC/HMAC提供完整性，通过数字证书提供服务器（及可选客户端）身份认证。D项表述不严谨，它不是标准的传输层协议（如TCP/UDP），而是建立在传输层之上的安全协议。故重点选功能ABC。40.【参考答案】ABD【解析】APT（高级持续性威胁）具有隐蔽性强、持续时间长等特点。单一边界防护（C项）无法抵御已渗透内部的攻击。态势感知（A）可发现异常行为；员工培训（B）可减少钓鱼成功率和内部疏忽；微隔离（D）能限制横向移动，阻断攻击者在内网的扩散。因此，构建纵深防御体系是关键，ABD为有效措施。41.【参考答案】A,B【解析】根据《信息安全技术网络安全等级保护基本要求》，定级对象确实涵盖信息系统、通信网络设施及数据资源，故A正确。第二级系统建议每年至少进行一次自查或测评，B符合常规合规要求。第三级系统通常要求每年至少进行一次等级测评，而非每半年，故C错误。备案时间通常要求在系统确定安全保护等级后30日内，而非必须投入运行后，且具体流程视地方法规略有差异，但D表述不够严谨，通常核心考点在于测评周期与定级范围。因此选AB。42.【参考答案】A,B,D【解析】SQL注入是由于用户输入被当作代码执行导致的。使用预编译语句可以将SQL逻辑与数据分离，从根本上防止注入，A正确。对用户输入进行严格的白名单过滤和类型检查能减少恶意payload的传入，B正确。开启目录浏览会泄露文件结构，增加安全风险，与防御注入无关且有害，C错误。WAF能识别并拦截常见的SQL注入特征流量，提供外围防护，D正确。综上，有效措施为ABD。43.【参考答案】A,B,C,D【解析】AES是高级加密标准，典型的对称加密算法，A正确。RSA基于大数分解难题，为保证安全性需较长密钥（如2048位），而AES128位已具备极高安全性，故RSA密钥通常更长，B正确。对称加密计算量小、效率高，适合大数据加密，C正确。非对称加密利用私钥签名、公钥验签，广泛用于数字签名和身份认证，D正确。所有选项均符合密码学基本原理。44.【参考答案】A,B,C,D【解析】PDCERF是网络安全应急响应的经典六阶段模型，分别为：准备（Preparation）、检测（Detection）、抑制（Containment）、根除（Eradication）、恢复（Recovery）和跟踪（Follow-up）。选项中A、B、C、D均属于该模型的核心阶段。虽然未列出抑制和跟踪，但题目问的是“包含哪些”，所列四项均正确。该模型旨在系统化地处理安全事件，降低损失并恢复业务。45.【参考答案】A,C【解析】根据《个人信息保护法》，处理个人信息应遵循合法、正当、必要原则。A项未经同意收集敏感个人信息（位置），违法。C项出售用户隐私数据，严重侵犯权益，违法。B项若在服务协议约定范围内用于必要客服，通常视为合法合理使用，不构成侵权。D项去标识化后的数据若无法复原特定个人，且用于统计等非画像目的，通常符合合规要求。因此，明确构成侵权的是A和C。46.【参考答案】A【解析】根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），第三级及以上信息系统应当每年至少进行一次等级测评。这是为了确保系统持续符合安全要求，及时发现并整改安全隐患。企业需委托具备资质的测评机构开展此项工作，而非自行评估。因此，题干表述符合国家标准规定，答案选A。47.【参考答案】B【解析】SQL注入攻击利用的是Web应用程序对用户输入数据校验不严的缺陷，攻击者将恶意SQL命令插入到输入字段中，从而欺骗数据库服务器执行非授权操作。它属于应用层攻击，而非操作系统层面的缓冲区溢出漏洞。缓冲区溢出通常涉及内存管理错误，与SQL注入原理不同。防范SQL注入应采用预编译语句和参数化查询。因此，题干混淆