2025年網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)專業(yè)考核測試卷及答案一、單項選擇題（每題2分，共30分）1.根據(jù)2024年修訂的《數(shù)據(jù)安全法實(shí)施條例》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（CIIO）在境內(nèi)存儲重要數(shù)據(jù)后，因業(yè)務(wù)需要向境外提供時，應(yīng)當(dāng)首先通過的合規(guī)流程是：A.自行開展數(shù)據(jù)安全影響評估并備案B.經(jīng)國家數(shù)據(jù)安全審查機(jī)制審查C.與境外接收方簽訂標(biāo)準(zhǔn)合同D.通過個人信息保護(hù)認(rèn)證2.某醫(yī)療平臺收集患者“姓名+身份證號+病情診斷結(jié)果”三類信息，依據(jù)《個人信息保護(hù)法》及相關(guān)標(biāo)準(zhǔn)，該數(shù)據(jù)組合的敏感性等級應(yīng)為：A.一般個人信息B.敏感個人信息C.核心數(shù)據(jù)D.重要數(shù)據(jù)3.針對AI驅(qū)動的自動化攻擊（如AI生成釣魚郵件、AI漏洞挖掘工具），以下防御措施中最關(guān)鍵的是：A.部署傳統(tǒng)防火墻和入侵檢測系統(tǒng)（IDS）B.建立基于行為分析的AI對抗模型C.定期更新員工安全意識培訓(xùn)材料D.對所有外部郵件進(jìn)行關(guān)鍵詞過濾4.某金融機(jī)構(gòu)采用“數(shù)據(jù)脫敏-加密-訪問控制”三級防護(hù)體系處理客戶交易數(shù)據(jù)，其中“脫敏”環(huán)節(jié)的核心目標(biāo)是：A.防止數(shù)據(jù)在傳輸過程中被截獲B.確保數(shù)據(jù)在非授權(quán)訪問時無法還原真實(shí)信息C.限制特定角色對數(shù)據(jù)的操作權(quán)限D(zhuǎn).滿足監(jiān)管要求的“最小必要”原則5.依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)條例（2025）》，三級信息系統(tǒng)的年度檢測要求是：A.每年至少1次B.每半年至少1次C.每兩年至少1次D.每季度至少1次6.以下哪種場景屬于“數(shù)據(jù)跨境流動”的典型風(fēng)險場景？A.中國總部將境內(nèi)員工考勤數(shù)據(jù)同步至香港分公司服務(wù)器（香港為中國境內(nèi)）B.德國子公司將歐洲用戶的購物偏好數(shù)據(jù)傳輸至中國總部用于精準(zhǔn)營銷C.國內(nèi)云服務(wù)商將客戶數(shù)據(jù)從上海機(jī)房遷移至貴州災(zāi)備中心D.某高校將科研數(shù)據(jù)通過加密鏈路傳輸至境內(nèi)合作實(shí)驗室7.隱私計算技術(shù)中，“聯(lián)邦學(xué)習(xí)”與“安全多方計算（MPC）”的核心區(qū)別在于：A.聯(lián)邦學(xué)習(xí)支持?jǐn)?shù)據(jù)“可用不可見”，MPC支持“數(shù)據(jù)不動模型動”B.聯(lián)邦學(xué)習(xí)強(qiáng)調(diào)模型在本地訓(xùn)練后上傳參數(shù)，MPC強(qiáng)調(diào)多方協(xié)作計算過程加密C.聯(lián)邦學(xué)習(xí)僅適用于結(jié)構(gòu)化數(shù)據(jù)，MPC適用于非結(jié)構(gòu)化數(shù)據(jù)D.聯(lián)邦學(xué)習(xí)需要可信第三方，MPC不需要8.某企業(yè)發(fā)現(xiàn)員工通過私人云盤外傳公司研發(fā)文檔，最有效的溯源手段是：A.檢查終端設(shè)備的操作日志（如文件復(fù)制時間、目標(biāo)路徑）B.分析網(wǎng)絡(luò)出口流量中的文件特征（如哈希值、元數(shù)據(jù)）C.審查員工賬號的訪問權(quán)限是否越權(quán)D.調(diào)取監(jiān)控視頻確認(rèn)物理操作行為9.根據(jù)《生成式人工智能服務(wù)管理暫行辦法（2024修訂）》，AI服務(wù)提供者使用個人信息訓(xùn)練模型時，無需滿足的條件是：A.取得信息主體的單獨(dú)同意B.明確告知訓(xùn)練用途及數(shù)據(jù)處理方式C.對訓(xùn)練數(shù)據(jù)進(jìn)行去標(biāo)識化處理D.確保數(shù)據(jù)來源合法合規(guī)10.零信任架構(gòu)（ZeroTrust）的核心原則是：A.默認(rèn)信任內(nèi)部網(wǎng)絡(luò)，僅對外部流量嚴(yán)格驗證B.所有訪問請求必須經(jīng)過身份、設(shè)備、環(huán)境的持續(xù)驗證C.集中式權(quán)限管理，減少分散授權(quán)風(fēng)險D.通過物理隔離實(shí)現(xiàn)網(wǎng)絡(luò)安全11.某電商平臺用戶數(shù)據(jù)庫泄露，泄露數(shù)據(jù)包含“用戶ID+加密后的支付密碼+收貨地址”，其中“加密后的支付密碼”是否屬于《個人信息保護(hù)法》定義的“個人信息”？A.是，因為加密后仍可通過解密還原原始信息B.否，因為加密后無法直接識別特定自然人C.部分是，僅當(dāng)加密密鑰泄露時才屬于D.需結(jié)合其他信息判斷，單獨(dú)加密密碼不屬于12.數(shù)據(jù)分類分級的核心依據(jù)是：A.數(shù)據(jù)產(chǎn)生部門的重要性B.數(shù)據(jù)泄露或篡改后可能造成的影響程度C.數(shù)據(jù)存儲介質(zhì)的安全性D.數(shù)據(jù)更新頻率13.針對“數(shù)據(jù)擦除”與“數(shù)據(jù)銷毀”的區(qū)別，以下描述正確的是：A.擦除是覆蓋存儲介質(zhì)數(shù)據(jù)，銷毀是物理破壞存儲設(shè)備B.擦除適用于紙質(zhì)文檔，銷毀適用于電子數(shù)據(jù)C.擦除后數(shù)據(jù)不可恢復(fù)，銷毀后可能通過技術(shù)手段恢復(fù)D.擦除屬于合規(guī)要求，銷毀屬于額外防護(hù)措施14.某政務(wù)云平臺發(fā)生大規(guī)模數(shù)據(jù)泄露，經(jīng)調(diào)查系第三方運(yùn)維廠商員工越權(quán)訪問所致。根據(jù)《數(shù)據(jù)安全法》，責(zé)任主體首先應(yīng)為：A.第三方運(yùn)維廠商B.政務(wù)云平臺運(yùn)營者C.越權(quán)訪問的員工個人D.云平臺的監(jiān)管部門15.以下哪種攻擊方式屬于“高級持續(xù)性威脅（APT）”？A.利用已知漏洞對企業(yè)官網(wǎng)進(jìn)行SQL注入B.釣魚郵件誘導(dǎo)員工點(diǎn)擊并安裝遠(yuǎn)控木馬，長期竊取核心數(shù)據(jù)C.DDoS攻擊導(dǎo)致企業(yè)服務(wù)器短暫癱瘓D.暴力破解員工弱密碼后登錄內(nèi)部系統(tǒng)二、多項選擇題（每題3分，共30分，少選、錯選均不得分）1.根據(jù)《個人信息保護(hù)法》及相關(guān)司法解釋，以下行為可能構(gòu)成“過度收集個人信息”的有：A.外賣App要求用戶授權(quán)讀取通訊錄以完成下單B.健身App收集用戶心率、體重數(shù)據(jù)用于健康分析C.短視頻App在用戶未使用直播功能時申請攝像頭權(quán)限D(zhuǎn).銀行App要求用戶提供婚姻狀況以審批小額消費(fèi)貸款2.數(shù)據(jù)安全風(fēng)險評估的主要內(nèi)容包括：A.數(shù)據(jù)處理活動的合法性、正當(dāng)性、必要性B.數(shù)據(jù)泄露、篡改、丟失的可能性及影響C.已采取的安全防護(hù)措施的有效性D.數(shù)據(jù)處理人員的背景審查記錄3.隱私計算的典型應(yīng)用場景包括：A.跨機(jī)構(gòu)聯(lián)合建模（如銀行與電商合作分析用戶信用）B.政府部門之間共享人口數(shù)據(jù)用于統(tǒng)計（不暴露個體信息）C.醫(yī)療機(jī)構(gòu)向科研機(jī)構(gòu)提供患者診療數(shù)據(jù)用于藥物研發(fā)D.企業(yè)內(nèi)部不同部門之間的常規(guī)數(shù)據(jù)共享4.關(guān)鍵信息基礎(chǔ)設(shè)施（CII）的認(rèn)定需考慮的因素有：A.一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，是否嚴(yán)重危害國家安全B.是否屬于能源、交通、金融等重要行業(yè)C.服務(wù)的用戶數(shù)量或業(yè)務(wù)規(guī)模D.運(yùn)營者的企業(yè)性質(zhì)（國企/民企）5.數(shù)據(jù)泄露事件發(fā)生后，運(yùn)營者應(yīng)當(dāng)向監(jiān)管部門報告的內(nèi)容包括：A.泄露數(shù)據(jù)的類型、數(shù)量及可能影響的人群范圍B.已采取的補(bǔ)救措施（如數(shù)據(jù)溯源、系統(tǒng)修復(fù)）C.事件發(fā)生的時間、經(jīng)過及初步原因分析D.對責(zé)任人員的內(nèi)部處理決定6.以下屬于“數(shù)據(jù)脫敏”技術(shù)的有：A.對身份證號進(jìn)行部分隱藏（如4403011234）B.對姓名進(jìn)行隨機(jī)替換（如“張三”改為“李XX”）C.對交易金額進(jìn)行區(qū)間化處理（如“5000元”改為“4000-6000元”）D.對用戶IP地址進(jìn)行哈希運(yùn)算（如將“192.168.1.1”轉(zhuǎn)換為“a1b2c3”）7.零信任架構(gòu)的關(guān)鍵組件包括：A.統(tǒng)一身份認(rèn)證（IAM）系統(tǒng)B.設(shè)備健康狀態(tài)檢測（如補(bǔ)丁安裝、病毒庫更新）C.微隔離（Micro-Segmentation）技術(shù)D.傳統(tǒng)邊界防火墻8.根據(jù)《數(shù)據(jù)跨境流動安全管理辦法（2025）》，數(shù)據(jù)出境的合規(guī)路徑包括：A.通過國家數(shù)據(jù)安全審查B.與境外接收方簽訂標(biāo)準(zhǔn)合同并備案C.獲得個人信息保護(hù)認(rèn)證D.經(jīng)信息主體單獨(dú)同意即可直接出境9.AI模型訓(xùn)練數(shù)據(jù)的安全風(fēng)險主要體現(xiàn)在：A.訓(xùn)練數(shù)據(jù)包含敏感信息（如個人隱私、商業(yè)秘密）B.數(shù)據(jù)標(biāo)注過程中可能引入偏差（如性別、種族歧視）C.模型生成內(nèi)容可能侵犯知識產(chǎn)權(quán)（如生成盜版文字、圖像）D.訓(xùn)練數(shù)據(jù)量不足導(dǎo)致模型準(zhǔn)確率低10.網(wǎng)絡(luò)安全等級保護(hù)（等保2.0）的“一個中心，三重防護(hù)”體系中，“三重防護(hù)”指：A.安全通信網(wǎng)絡(luò)B.安全區(qū)域邊界C.安全計算環(huán)境D.安全管理中心三、判斷題（每題1分，共10分。正確填“√”，錯誤填“×”）1.數(shù)據(jù)匿名化處理后，即使結(jié)合其他信息也無法識別特定自然人，因此不屬于個人信息。（）2.重要數(shù)據(jù)的識別需由運(yùn)營者自行確定，無需向監(jiān)管部門備案。（）3.企業(yè)可以將員工的生物識別信息（如指紋、人臉）作為普通個人信息處理，無需特殊保護(hù)。（）4.數(shù)據(jù)安全事件應(yīng)急響應(yīng)預(yù)案只需覆蓋技術(shù)層面的處置措施，無需涉及法律合規(guī)和公關(guān)應(yīng)對。（）5.同態(tài)加密允許在加密數(shù)據(jù)上直接進(jìn)行計算，結(jié)果解密后與明文計算結(jié)果一致。（）6.云計算服務(wù)中，“數(shù)據(jù)主權(quán)”意味著用戶對存儲在云端的數(shù)據(jù)擁有完全控制權(quán)，云服務(wù)商無任何訪問權(quán)限。（）7.區(qū)塊鏈技術(shù)因具有不可篡改特性，因此存儲個人信息時無需額外加密。（）8.網(wǎng)絡(luò)安全漏洞的“零日漏洞（Zero-day）”是指已被公開且廠商已發(fā)布補(bǔ)丁的漏洞。（）9.數(shù)據(jù)分類分級完成后，無需根據(jù)業(yè)務(wù)變化和風(fēng)險情況動態(tài)調(diào)整。（）10.個人信息主體有權(quán)要求企業(yè)刪除其個人信息，即使該信息是企業(yè)履行法定義務(wù)所必需的。（）四、簡答題（每題6分，共30分）1.簡述“最小必要原則”在個人信息處理中的具體應(yīng)用要求。2.列舉《數(shù)據(jù)安全法》規(guī)定的重要數(shù)據(jù)處理活動的四項合規(guī)義務(wù)。3.說明隱私計算技術(shù)如何解決“數(shù)據(jù)可用不可見”的核心矛盾。4.分析AI生成內(nèi)容（AIGC）對數(shù)據(jù)安全帶來的新型風(fēng)險。5.簡述網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的“黃金四步驟”及每一步的關(guān)鍵操作。五、案例分析題（共20分）案例背景：2025年3月，某頭部互聯(lián)網(wǎng)金融公司（以下簡稱“A公司”）發(fā)生大規(guī)模數(shù)據(jù)泄露事件。泄露數(shù)據(jù)包含200萬用戶的姓名、身份證號、銀行卡號（部分未脫敏）、近1年交易記錄（金額、對手方信息）。經(jīng)調(diào)查，事件直接原因為：A公司外包的第三方數(shù)據(jù)清洗服務(wù)商（B公司）員工張某，利用A公司開放給B公司的API接口權(quán)限，通過編寫自動化腳本越權(quán)下載用戶數(shù)據(jù)，并通過暗網(wǎng)出售。進(jìn)一步調(diào)查發(fā)現(xiàn)：-A公司與B公司的《數(shù)據(jù)服務(wù)協(xié)議》中僅約定“B公司需遵守數(shù)據(jù)安全義務(wù)”，未明確數(shù)據(jù)訪問權(quán)限的最小化配置要求；-A公司對B公司的API接口未實(shí)施流量監(jiān)控和操作日志審計；-B公司未對員工張某進(jìn)行背景審查，張某曾因網(wǎng)絡(luò)詐騙被行政處罰；-泄露數(shù)據(jù)中部分銀行卡號未進(jìn)行脫敏處理（如“6228480123456789012”完整顯示）。問題：1.分析A公司在數(shù)據(jù)安全管理中存在的主要違規(guī)或缺陷（8分）。2.依據(jù)《數(shù)據(jù)安全法》《個人信息保護(hù)法》，指出A公司可能面臨的法律責(zé)任（6分）。3.提出A公司應(yīng)采取的應(yīng)急處置和整改措施（6分）。答案及解析一、單項選擇題1.B【解析】2024年《數(shù)據(jù)安全法實(shí)施條例》第21條規(guī)定，CIIO向境外提供重要數(shù)據(jù)需經(jīng)國家數(shù)據(jù)安全審查。2.B【解析】《個人信息保護(hù)法》第28條明確，生物識別、醫(yī)療健康等信息屬于敏感個人信息，病情診斷結(jié)果直接關(guān)聯(lián)健康狀況。3.B【解析】AI攻擊需AI防御，基于行為分析的對抗模型可動態(tài)識別異常模式，傳統(tǒng)工具無法應(yīng)對自動化攻擊。4.B【解析】脫敏的核心是降低數(shù)據(jù)可識別性，即使非授權(quán)獲取也無法還原真實(shí)信息。5.A【解析】《網(wǎng)絡(luò)安全等級保護(hù)條例（2025）》第17條規(guī)定，三級系統(tǒng)需每年至少檢測1次。6.B【解析】數(shù)據(jù)跨境流動指從中國境內(nèi)向境外傳輸，德國子公司屬于境外主體。7.B【解析】聯(lián)邦學(xué)習(xí)是“模型動數(shù)據(jù)不動”，各參與方本地訓(xùn)練后上傳參數(shù)；MPC是“數(shù)據(jù)不動計算動”，通過加密協(xié)作完成計算。8.B【解析】網(wǎng)絡(luò)流量中的文件特征（如哈希值）可直接關(guān)聯(lián)外傳數(shù)據(jù)，是最有效的溯源手段。9.C【解析】《生成式人工智能服務(wù)管理暫行辦法（2024修訂）》第12條規(guī)定，訓(xùn)練數(shù)據(jù)需合法，但未強(qiáng)制要求去標(biāo)識化（部分場景可保留標(biāo)識）。10.B【解析】零信任的核心是“永不信任，持續(xù)驗證”，所有訪問需驗證身份、設(shè)備、環(huán)境等多因素。11.A【解析】加密后的信息若可通過密鑰還原，仍屬于個人信息（《個人信息保護(hù)法》第4條）。12.B【解析】數(shù)據(jù)分類分級的核心依據(jù)是“一旦泄露、篡改可能造成的影響程度”（《數(shù)據(jù)安全法》第21條）。13.A【解析】擦除是邏輯覆蓋（如多次寫入隨機(jī)數(shù)據(jù)），銷毀是物理破壞（如粉碎、焚燒）。14.B【解析】《數(shù)據(jù)安全法》第27條規(guī)定，數(shù)據(jù)處理者對第三方的行為承擔(dān)首要責(zé)任。15.B【解析】APT的特點(diǎn)是長期、有針對性的滲透，釣魚郵件+長期竊密符合定義。二、多項選擇題1.ACD【解析】外賣App下單無需通訊錄（A）；未使用直播功能時無需攝像頭（C）；小額貸款無需婚姻狀況（D），均違反“最小必要”。2.ABC【解析】風(fēng)險評估主要關(guān)注合法性、風(fēng)險可能性及防護(hù)措施有效性（《數(shù)據(jù)安全法》第24條），人員背景審查屬管理措施，非評估核心。3.ABC【解析】隱私計算用于跨機(jī)構(gòu)數(shù)據(jù)協(xié)作，企業(yè)內(nèi)部常規(guī)共享無需隱私計算。4.ABC【解析】CII認(rèn)定與行業(yè)重要性、影響程度、規(guī)模相關(guān)，與企業(yè)性質(zhì)無關(guān)（《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第2條）。5.ABC【解析】事件報告需包含基本情況、影響、補(bǔ)救措施（《個人信息保護(hù)法》第57條），內(nèi)部處理決定非必報內(nèi)容。6.ABC【解析】哈希運(yùn)算屬于加密，非脫敏（脫敏需保持?jǐn)?shù)據(jù)格式但降低可識別性）。7.ABC【解析】零信任不依賴傳統(tǒng)邊界防火墻，強(qiáng)調(diào)動態(tài)驗證。8.ABC【解析】直接同意不能作為唯一合規(guī)路徑（需結(jié)合其他條件），《數(shù)據(jù)跨境流動安全管理辦法》第7-9條明確三種路徑。9.ABC【解析】數(shù)據(jù)量不足是模型效果問題，非安全風(fēng)險。10.ABC【解析】“三重防護(hù)”指通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境，“一個中心”是管理中心。三、判斷題1.√【解析】《個人信息保護(hù)法》第4條規(guī)定，匿名化后無法識別特定自然人的不屬于個人信息。2.×【解析】重要數(shù)據(jù)處理需向省級網(wǎng)信部門備案（《數(shù)據(jù)安全法》第21條）。3.×【解析】生物識別信息屬于敏感個人信息，需嚴(yán)格加密和最小化處理（《個人信息保護(hù)法》第28條）。4.×【解析】應(yīng)急響應(yīng)需覆蓋技術(shù)、法律、公關(guān)等全流程（《網(wǎng)絡(luò)安全法》第25條）。5.√【解析】同態(tài)加密支持加密數(shù)據(jù)計算，結(jié)果與明文一致。6.×【解析】云服務(wù)商因運(yùn)維需要可能訪問數(shù)據(jù)，用戶需通過合同約束其權(quán)限（《云計算服務(wù)安全評估辦法》）。7.×【解析】區(qū)塊鏈不可篡改但可讀取，存儲個人信息仍需加密（《區(qū)塊鏈信息服務(wù)管理規(guī)定》）。8.×【解析】零日漏洞指未被廠商知曉、無補(bǔ)丁的漏洞。9.×【解析】數(shù)據(jù)分類分級需動態(tài)調(diào)整（《數(shù)據(jù)安全法》第21條）。10.×【解析】履行法定義務(wù)時，企業(yè)可拒絕刪除（《個人信息保護(hù)法》第47條）。四、簡答題1.（1）收集范圍最?。簝H收集實(shí)現(xiàn)服務(wù)目的必需的信息（如社交App無需收集通訊錄以外的通信錄）；（2）處理方式必要：避免過度加工（如用戶注冊時無需強(qiáng)制實(shí)名認(rèn)證）；（3）存儲期限最短：超出必要期限后及時刪除；（4）權(quán)限申請最少：僅在使用對應(yīng)功能時申請權(quán)限（如地圖App未開啟導(dǎo)航時不申請位置權(quán)限）。2.（1）制定重要數(shù)據(jù)目錄并備案；（2）開展數(shù)據(jù)安全風(fēng)險評估并每年向監(jiān)管部門報告；（3）采取加密、訪問控制等技術(shù)措施；（4）與第三方合作時簽訂數(shù)據(jù)安全協(xié)議，明確責(zé)任；（5）發(fā)生泄露時24小時內(nèi)報告監(jiān)管部門（答出4項即可）。3.隱私計算通過加密算法（如聯(lián)邦學(xué)習(xí)、安全多方計算），在不傳輸原始數(shù)據(jù)的前提下實(shí)現(xiàn)數(shù)據(jù)價值的聯(lián)合利用。例如，銀行和電商需聯(lián)合分析用戶信用時，雙方僅交換加密后的計算結(jié)果（如特征值、模型參數(shù)），原始數(shù)據(jù)保留在本地，確?！皵?shù)據(jù)可用不可見”。4.（1）生成虛假信息：AIGC可批量生成偽造的文本、圖像、視頻，導(dǎo)致數(shù)據(jù)可信度下降（如偽造新聞、冒名發(fā)言）；（2）訓(xùn)練數(shù)據(jù)泄露：模型可能“記憶”訓(xùn)練中的敏感信息（如隱私對話、商業(yè)秘密），通過提示詞誘導(dǎo)輸出；（3）知識產(chǎn)權(quán)侵權(quán)：生成內(nèi)容可能抄襲訓(xùn)練數(shù)據(jù)中的受版權(quán)保護(hù)內(nèi)容；（4）身份冒用：深度偽造技術(shù)可偽造他人身份，實(shí)施詐騙或誣陷。5.（1）檢測與確認(rèn)：通過日志分析、監(jiān)控系統(tǒng)發(fā)現(xiàn)異常，確認(rèn)事件類型（如數(shù)據(jù)泄露、系統(tǒng)入侵）；（2）隔離與遏制：斷開受影響設(shè)備網(wǎng)絡(luò)連接，限制權(quán)限，防止擴(kuò)散；（3）溯源與處置：分析攻擊路徑，清除惡意程序，修復(fù)漏洞；（4）恢復(fù)與總結(jié)：恢復(fù)業(yè)務(wù)系統(tǒng)，評估損失，更新應(yīng)急預(yù)案（如優(yōu)化監(jiān)控規(guī)則、加強(qiáng)員工培訓(xùn)）。五、案例分析題1.主要違規(guī)或缺陷：