2025年網(wǎng)絡(luò)安全與信息保護知識考試試卷及答案一、單項選擇題（共20題，每題2分，共40分）1.根據(jù)《中華人民共和國數(shù)據(jù)安全法》，國家建立數(shù)據(jù)分類分級保護制度，其中“核心數(shù)據(jù)”的保護責任主體是（）。A.數(shù)據(jù)處理者B.行業(yè)主管部門C.公安機關(guān)D.國家數(shù)據(jù)安全工作協(xié)調(diào)機制2.以下不屬于“零信任模型”核心原則的是（）。A.持續(xù)驗證訪問請求B.默認不信任網(wǎng)絡(luò)內(nèi)外任何設(shè)備C.基于最小權(quán)限分配資源D.僅通過IP地址驗證身份3.某用戶收到短信：“您的銀行賬戶因異常交易被凍結(jié)，點擊鏈接登錄官網(wǎng)解凍”，這屬于（）攻擊類型。A.勒索軟件B.釣魚攻擊C.DDoS攻擊D.中間人攻擊4.根據(jù)《個人信息保護法》，個人信息處理者向境外提供個人信息時，不需要履行的義務(wù)是（）。A.進行個人信息保護影響評估B.取得個人單獨同意C.通過國家網(wǎng)信部門組織的安全評估D.向接收方提供個人信息全量副本5.以下密碼中，符合“強密碼”要求的是（）。A.12345678B.Password123C.K7!mP9@qRD.202501016.物聯(lián)網(wǎng)設(shè)備（IoT）面臨的典型安全風險不包括（）。A.固件漏洞被利用B.設(shè)備默認弱口令C.5G信號干擾D.設(shè)備日志泄露敏感信息7.某企業(yè)發(fā)現(xiàn)員工通過私人云盤傳輸公司機密文件，最有效的技術(shù)防范措施是（）。A.部署數(shù)據(jù)防泄漏（DLP）系統(tǒng)B.加強員工安全意識培訓(xùn)C.禁用USB接口D.限制員工上網(wǎng)流量8.量子計算對現(xiàn)有密碼體系的最大威脅是（）。A.加速對稱加密算法（如AES）的破解B.破解基于橢圓曲線的非對稱加密（如ECC）C.破壞哈希函數(shù)的抗碰撞性（如SHA256）D.干擾數(shù)字簽名的生成過程9.根據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險（）至少進行一次檢測評估。A.每月B.每季度C.每年D.每兩年10.以下屬于“暗網(wǎng)”典型特征的是（）。A.內(nèi)容可通過普通搜索引擎索引B.使用Tor等匿名協(xié)議訪問C.僅提供合法信息服務(wù)D.基于HTTP協(xié)議傳輸數(shù)據(jù)11.某社交平臺用戶發(fā)現(xiàn)個人聊天記錄被第三方App獲取，可能的原因是（）。A.用戶開啟了“聊天記錄云同步”功能B.App申請了“讀取短信”權(quán)限但未使用C.App在用戶未授權(quán)時調(diào)用了“訪問聊天記錄”接口D.運營商對通信內(nèi)容進行了合法監(jiān)控12.以下不屬于“數(shù)據(jù)脫敏”技術(shù)的是（）。A.對身份證號進行部分隱藏（如44011234）B.將真實姓名替換為“用戶A”“用戶B”C.對數(shù)據(jù)庫中的手機號進行哈希處理D.直接刪除原始數(shù)據(jù)中的聯(lián)系電話字段13.勒索軟件攻擊的典型流程是（）。A.植入惡意軟件→加密文件→索要贖金→解密文件B.掃描漏洞→發(fā)送釣魚郵件→加密文件→刪除數(shù)據(jù)C.監(jiān)聽網(wǎng)絡(luò)→竊取密碼→控制設(shè)備→勒索錢財D.偽裝成正常軟件→誘導(dǎo)安裝→破壞系統(tǒng)→索要贖金14.根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，關(guān)鍵信息基礎(chǔ)設(shè)施的認定應(yīng)當堅持（）原則。A.誰主管誰負責、誰運行誰負責B.集中管理、統(tǒng)一標準C.技術(shù)優(yōu)先、效率至上D.最小影響、動態(tài)調(diào)整15.以下場景中，符合“隱私計算”應(yīng)用的是（）。A.醫(yī)院直接共享患者病歷給保險公司B.銀行通過聯(lián)邦學(xué)習(xí)聯(lián)合建模，不交換原始數(shù)據(jù)C.電商平臺將用戶購物記錄提供給廣告商D.政府部門公開所有公民的戶籍信息16.某企業(yè)服務(wù)器日志顯示大量異常IP嘗試登錄，最可能的攻擊是（）。A.SQL注入B.暴力破解C.跨站腳本（XSS）D.拒絕服務(wù)（DoS）17.以下關(guān)于“數(shù)字簽名”的描述，錯誤的是（）。A.基于非對稱加密技術(shù)實現(xiàn)B.用于驗證數(shù)據(jù)完整性和發(fā)送方身份C.簽名私鑰需公開，公鑰需保密D.可防止抵賴行為18.某用戶手機安裝了未經(jīng)驗證的第三方App后，出現(xiàn)流量異常消耗和通訊錄被上傳的現(xiàn)象，最可能的原因是（）。A.App存在惡意代碼B.手機系統(tǒng)版本過低C.運營商流量統(tǒng)計錯誤D.通訊錄自動同步到云端19.根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)安全風險評估、監(jiān)測預(yù)警和應(yīng)急處置機制的責任主體是（）。A.數(shù)據(jù)處理者B.行業(yè)協(xié)會C.消費者協(xié)會D.數(shù)據(jù)主體（個人或組織）20.以下屬于“生物識別信息”的是（）。A.身份證號B.指紋C.電話號碼D.電子郵箱二、多項選擇題（共10題，每題3分，共30分。每題至少有2個正確選項，錯選、漏選均不得分）1.根據(jù)《個人信息保護法》，個人信息處理者在處理個人信息時，應(yīng)當遵循的原則包括（）。A.合法、正當、必要B.最小必要C.公開透明D.質(zhì)量保證2.以下屬于“APT（高級持續(xù)性威脅）攻擊”特點的是（）。A.攻擊目標明確（如關(guān)鍵基礎(chǔ)設(shè)施）B.攻擊周期長（持續(xù)數(shù)月甚至數(shù)年）C.使用已知漏洞（無需0day）D.主要通過暴力破解實施3.企業(yè)部署“零信任網(wǎng)絡(luò)架構(gòu)（ZTA）”時，需要考慮的關(guān)鍵要素包括（）。A.設(shè)備身份認證（如端點安全狀態(tài)檢查）B.用戶身份驗證（多因素認證）C.動態(tài)訪問控制（根據(jù)風險調(diào)整權(quán)限）D.完全開放網(wǎng)絡(luò)邊界4.以下屬于“網(wǎng)絡(luò)安全等級保護2.0”要求的內(nèi)容是（）。A.安全物理環(huán)境B.安全通信網(wǎng)絡(luò)C.安全區(qū)域邊界D.安全計算環(huán)境5.個人在日常生活中可采取的信息保護措施包括（）。A.定期更換不同平臺的密碼，避免重復(fù)B.關(guān)閉手機App的“位置權(quán)限”“通訊錄權(quán)限”等非必要權(quán)限C.點擊陌生短信中的鏈接前，通過官方渠道核實D.將身份證、銀行卡照片保存在社交平臺相冊6.以下可能導(dǎo)致數(shù)據(jù)泄露的行為有（）。A.員工將公司U盤帶回家拷貝私人文件B.企業(yè)數(shù)據(jù)庫未設(shè)置訪問權(quán)限，公網(wǎng)可直接訪問C.網(wǎng)站開發(fā)人員在代碼中硬編碼數(shù)據(jù)庫密碼D.運維人員定期對日志進行加密歸檔7.量子密碼（如量子密鑰分發(fā)QKD）的優(yōu)勢包括（）。A.基于量子不可克隆定理，可檢測竊聽B.傳輸速率遠高于傳統(tǒng)加密C.無需依賴計算復(fù)雜度保證安全D.完全替代現(xiàn)有非對稱加密體系8.根據(jù)《網(wǎng)絡(luò)安全審查辦法》，網(wǎng)絡(luò)安全審查的重點評估內(nèi)容包括（）。A.產(chǎn)品和服務(wù)使用后對國家安全的影響B(tài).產(chǎn)品和服務(wù)的供應(yīng)鏈安全風險C.個人信息和重要數(shù)據(jù)的安全風險D.企業(yè)的盈利能力9.以下屬于“物聯(lián)網(wǎng)（IoT）安全防護”措施的是（）。A.為設(shè)備設(shè)置強密碼并定期更換B.關(guān)閉設(shè)備不必要的網(wǎng)絡(luò)服務(wù)（如遠程管理）C.及時更新設(shè)備固件補丁D.將所有IoT設(shè)備連接同一未加密WiFi10.某企業(yè)發(fā)生數(shù)據(jù)泄露事件后，應(yīng)當履行的義務(wù)包括（）。A.立即采取措施阻止泄露擴散B.通知可能受影響的個人（如用戶）C.向履行個人信息保護職責的部門報告D.隱瞞事件以避免聲譽損失三、判斷題（共10題，每題1分，共10分。正確填“√”，錯誤填“×”）1.弱口令屬于物理安全威脅。（）2.個人信息中的“匿名化”處理后，無法識別特定自然人，因此不受《個人信息保護法》約束。（）3.企業(yè)可以未經(jīng)用戶同意，將收集的個人信息用于與原處理目的無關(guān)的用途。（）4.釣魚郵件的發(fā)件人郵箱一定是偽造的。（）5.區(qū)塊鏈技術(shù)的“不可篡改性”可以完全防止數(shù)據(jù)被篡改。（）6.關(guān)閉手機的“定位服務(wù)”后，App仍可能通過WiFi或基站信息獲取大致位置。（）7.數(shù)據(jù)跨境流動時，只要接收方所在國家有完善的法律體系，無需額外評估。（）8.勒索軟件攻擊中，支付贖金是恢復(fù)數(shù)據(jù)的唯一途徑。（）9.網(wǎng)絡(luò)安全等級保護制度僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施運營者。（）10.生物識別信息（如指紋、人臉）一旦泄露，無法像密碼一樣更換，因此需重點保護。（）四、簡答題（共3題，每題5分，共15分）1.簡述《個人信息保護法》中“最小必要原則”的具體要求。2.列舉3種常見的網(wǎng)絡(luò)釣魚攻擊手段，并說明如何防范。3.量子計算對現(xiàn)有密碼體系的威脅主要體現(xiàn)在哪些方面？目前有哪些應(yīng)對措施？五、案例分析題（共1題，5分）2025年3月，某電商平臺發(fā)生數(shù)據(jù)泄露事件，約500萬用戶的姓名、手機號、收貨地址及部分訂單金額被非法獲取。經(jīng)調(diào)查，泄露原因是平臺數(shù)據(jù)庫服務(wù)器未開啟訪問權(quán)限控制，且未對敏感字段加密存儲；同時，運維人員使用的賬號存在弱口令（如“admin123”），被攻擊者通過暴力破解獲取權(quán)限后下載數(shù)據(jù)。問題：（1）分析該平臺在數(shù)據(jù)安全管理中存在的主要漏洞。（2）提出至少3條針對性的整改措施。答案及解析一、單項選擇題1.A（《數(shù)據(jù)安全法》第二十一條規(guī)定，數(shù)據(jù)處理者對數(shù)據(jù)安全負主體責任）2.D（零信任模型要求基于多因素驗證身份，而非僅IP地址）3.B（通過偽造官方鏈接誘導(dǎo)用戶輸入信息，屬于釣魚攻擊）4.D（向境外提供個人信息需評估、同意、安全評估，但無需提供全量副本）5.C（強密碼需包含字母、數(shù)字、符號，長度≥8位）6.C（5G信號干擾屬于通信質(zhì)量問題，非安全風險）7.A（DLP系統(tǒng)可監(jiān)控并阻止敏感數(shù)據(jù)外傳）8.B（量子計算可通過Shor算法破解RSA和ECC等基于大數(shù)分解的非對稱加密）9.C（《網(wǎng)絡(luò)安全法》第二十一條規(guī)定每年至少一次檢測評估）10.B（暗網(wǎng)需通過Tor等匿名協(xié)議訪問，普通搜索引擎無法索引）11.C（未授權(quán)調(diào)用接口是隱私泄露的常見原因）12.D（直接刪除字段屬于數(shù)據(jù)刪除，非脫敏）13.A（勒索軟件核心流程：加密文件→索要贖金）14.A（《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第四條規(guī)定）15.B（聯(lián)邦學(xué)習(xí)在不交換原始數(shù)據(jù)的前提下聯(lián)合建模，符合隱私計算）16.B（大量異常IP嘗試登錄是暴力破解的典型特征）17.C（數(shù)字簽名私鑰需保密，公鑰公開）18.A（未經(jīng)驗證的第三方App可能攜帶惡意代碼竊取數(shù)據(jù)）19.A（《數(shù)據(jù)安全法》第二十五條規(guī)定數(shù)據(jù)處理者負責風險評估等）20.B（生物識別信息包括指紋、人臉、聲紋等）二、多項選擇題1.ABCD（《個人信息保護法》第五條至第八條明確四原則）2.AB（APT攻擊目標明確、周期長，常使用0day漏洞）3.ABC（零信任要求動態(tài)控制，而非開放邊界）4.ABCD（等保2.0包含物理、通信、邊界、計算環(huán)境等六大層面）5.ABC（社交平臺保存身份證照片易導(dǎo)致泄露）6.ABC（加密歸檔是保護措施，非泄露原因）7.AC（QKD依賴量子物理特性，可檢測竊聽，但傳輸速率受限制，無法完全替代傳統(tǒng)加密）8.ABC（網(wǎng)絡(luò)安全審查不涉及企業(yè)盈利能力）9.ABC（未加密WiFi會增加攻擊風險）10.ABC（隱瞞事件違反《個人信息保護法》第六十五條）三、判斷題1.×（弱口令屬于身份認證安全威脅，非物理安全）2.√（匿名化后無法識別特定自然人，不適用《個人信息保護法》）3.×（需取得用戶同意或符合法律規(guī)定的例外情形）4.×（部分釣魚郵件發(fā)件人郵箱可偽造為真實賬號）5.×（區(qū)塊鏈僅能防止數(shù)據(jù)被篡改后不被發(fā)現(xiàn)，無法阻止篡改行為）6.√（WiFi或基站可定位大致位置）7.×（需進行安全評估或通過認證等）8.×（可通過備份數(shù)據(jù)恢復(fù)，不建議支付贖金）9.×（等級保護適用于所有網(wǎng)絡(luò)運營者）10.√（生物識別信息具有唯一性，泄露后無法更換）四、簡答題1.最小必要原則要求個人信息處理者在處理個人信息時，僅收集實現(xiàn)處理目的所必需的最少個人信息，且采取對個人權(quán)益影響最小的方式。具體包括：（1）收集范圍最小化（不超目的所需）；（2）處理方式最小化（避免過度處理）；（3）存儲時間最小化（達到目的后及時刪除）。2.常見網(wǎng)絡(luò)釣魚手段：（1）偽造官方郵件/短信（如銀行通知、物流提醒）；（2）誘導(dǎo)點擊惡意鏈接（如“中獎領(lǐng)取”“賬號異?！保唬?）仿冒真實網(wǎng)站（通過域名混淆，如“”冒充“”）。防范措施：（1）核實信息來源（通過官方客服或官網(wǎng)確認）；（2）不點擊陌生鏈接，手動輸入官網(wǎng)地址；（3）開啟郵件/短信安全提醒功能；（4）定期更新設(shè)備安全軟件。3.量子計算的威脅：（1）破解基于大數(shù)分解的RSA加密和橢圓曲線加密（ECC）；（2）加速哈希碰撞攻擊（如SHA256）；（3）威脅現(xiàn)有數(shù)字簽名體系。應(yīng)對措施：（1）研發(fā)抗量子密碼算法（如基于格的密碼、多變量密碼）；（2）部署量子密鑰分發(fā)（QKD）技術(shù)；（3）推動密碼體系向抗量子方向遷移（如NIST量子密碼標準制定）。五、案例分析題（1）主要漏洞：①數(shù)據(jù)庫訪問控制缺失（未設(shè)置權(quán)