2025年大學(xué)《數(shù)據(jù)計(jì)算及應(yīng)用》專業(yè)題庫(kù)——數(shù)據(jù)計(jì)算與應(yīng)用專業(yè)數(shù)據(jù)安全與隱私保護(hù)考試時(shí)間：______分鐘總分：______分姓名：______一、單項(xiàng)選擇題（每題2分，共20分。下列每小題備選答案中，只有一個(gè)是符合題意的，請(qǐng)將正確選項(xiàng)的代表字母填在題后的括號(hào)內(nèi)。）1.在數(shù)據(jù)安全領(lǐng)域，CIA三要素指的是（）。A.Confidentiality,Integrity,AvailabilityB.Cryptography,Authentication,AuthorizationC.CloudComputing,Integrity,AccessControlD.Compliance,Integrity,Auditability2.以下哪項(xiàng)技術(shù)主要用于確保只有授權(quán)用戶才能訪問特定數(shù)據(jù)資源？（）A.數(shù)據(jù)加密B.安全審計(jì)C.訪問控制D.數(shù)據(jù)匿名化3.以下哪種加密算法屬于非對(duì)稱加密算法？（）A.DESB.AESC.RSAD.Blowfish4.在隱私保護(hù)法規(guī)中，通常要求處理個(gè)人信息時(shí)必須獲得數(shù)據(jù)主體的明確同意，這主要體現(xiàn)了哪項(xiàng)原則？（）A.最小必要原則B.公開透明原則C.合法正當(dāng)原則D.目的限制原則5.RBAC（基于角色的訪問控制）模型中，權(quán)限是通過哪個(gè)概念進(jìn)行分配的？（）A.用戶B.角色C.資源D.策略6.哈希函數(shù)在數(shù)據(jù)安全中通常用于（）。A.加密通信B.實(shí)現(xiàn)數(shù)字簽名C.保證數(shù)據(jù)完整性D.身份認(rèn)證7.以下哪項(xiàng)技術(shù)旨在對(duì)個(gè)人身份信息進(jìn)行脫敏處理，以保護(hù)隱私，同時(shí)盡量保留數(shù)據(jù)的可用性？（）A.加密B.匿名化C.哈希D.安全審計(jì)8.云計(jì)算環(huán)境下的數(shù)據(jù)安全面臨的主要挑戰(zhàn)之一是（）。A.數(shù)據(jù)量小，安全措施簡(jiǎn)單B.基礎(chǔ)設(shè)施由第三方管理帶來(lái)的控制權(quán)挑戰(zhàn)C.用戶密碼普遍性弱D.非對(duì)稱加密算法應(yīng)用不足9.當(dāng)發(fā)生數(shù)據(jù)安全事件時(shí)，首先需要采取的行動(dòng)是（）。A.向公眾發(fā)布信息B.保護(hù)現(xiàn)場(chǎng)，收集證據(jù)C.指責(zé)相關(guān)人員D.恢復(fù)系統(tǒng)運(yùn)行10.以下哪項(xiàng)不屬于《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息處理方式？（）A.收集B.存儲(chǔ)C.銷毀D.偽造二、多項(xiàng)選擇題（每題3分，共15分。下列每小題備選答案中，有兩個(gè)或兩個(gè)以上是符合題意的，請(qǐng)將正確選項(xiàng)的代表字母填在題后的括號(hào)內(nèi)。多選、錯(cuò)選、少選均不得分。）1.數(shù)據(jù)安全的基本屬性通常包括（）。A.保密性B.完整性C.可用性D.可追溯性E.可負(fù)擔(dān)性2.以下哪些技術(shù)或措施可以用于提高系統(tǒng)的安全性？（）A.雙因素認(rèn)證B.數(shù)據(jù)備份C.使用強(qiáng)密碼策略D.定期進(jìn)行安全漏洞掃描E.允許用戶共享賬戶密碼3.常見的訪問控制模型除了RBAC外，還包括（）。A.ABACB.MACC.DACD.BACE.UAC4.以下哪些行為可能違反個(gè)人信息保護(hù)法規(guī)？（）A.未經(jīng)用戶同意收集其生物識(shí)別信息B.對(duì)用戶數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化處理C.向第三方出售用戶個(gè)人信息用于商業(yè)目的D.在用戶注銷賬戶后仍保留其所有歷史數(shù)據(jù)E.為改進(jìn)服務(wù)而匿名化分析用戶行為數(shù)據(jù)5.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全與隱私保護(hù)面臨的主要挑戰(zhàn)有（）。A.數(shù)據(jù)量巨大，處理復(fù)雜B.數(shù)據(jù)來(lái)源多樣，質(zhì)量參差不齊C.數(shù)據(jù)關(guān)聯(lián)性強(qiáng)，隱私泄露風(fēng)險(xiǎn)高D.數(shù)據(jù)跨境流動(dòng)增加合規(guī)難度E.傳統(tǒng)安全模型難以完全適用三、判斷題（每題1.5分，共15分。請(qǐng)將你認(rèn)為正確的用“√”表示，錯(cuò)誤的用“×”表示。）1.數(shù)據(jù)加密技術(shù)可以完全消除數(shù)據(jù)在傳輸或存儲(chǔ)過程中的安全風(fēng)險(xiǎn)。（）2.安全審計(jì)主要是為了事后追溯和問責(zé)，對(duì)預(yù)防安全事件作用不大。（）3.根據(jù)中國(guó)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者需要在網(wǎng)絡(luò)安全事件發(fā)生后規(guī)定時(shí)間內(nèi)向有關(guān)主管部門報(bào)告。（）4.數(shù)據(jù)匿名化處理后的數(shù)據(jù)可以完全消除個(gè)人身份識(shí)別的風(fēng)險(xiǎn)，可以隨意使用。（）5.在設(shè)計(jì)系統(tǒng)時(shí)，應(yīng)遵循“默認(rèn)不共享”的原則，即默認(rèn)情況下用戶的資源不被其他用戶訪問。（）6.對(duì)稱加密算法的密鑰分發(fā)相對(duì)簡(jiǎn)單，但密鑰管理較為困難。（）7.云服務(wù)提供商通常對(duì)用戶存儲(chǔ)在其平臺(tái)上的數(shù)據(jù)負(fù)全部安全責(zé)任。（）8.惡意軟件（Malware）是導(dǎo)致數(shù)據(jù)泄露和系統(tǒng)破壞的主要威脅之一。（）9.“數(shù)據(jù)脫敏”和“數(shù)據(jù)匿名化”是同義詞，指代相同的技術(shù)過程。（）10.人工智能技術(shù)的應(yīng)用為數(shù)據(jù)安全帶來(lái)了新的機(jī)遇，但也引入了如算法偏見可能導(dǎo)致的不公平對(duì)待等新的隱私挑戰(zhàn)。（）四、填空題（每空1分，共10分。請(qǐng)將答案填寫在橫線上。）1.確保只有授權(quán)用戶及其角色才能訪問其所需資源的訪問控制模型通常稱為_______。2.利用哈希函數(shù)將任意長(zhǎng)度的數(shù)據(jù)映射為固定長(zhǎng)度的唯一摘要，該過程稱為_______。3.在數(shù)據(jù)安全事件響應(yīng)流程中，通常包括準(zhǔn)備、識(shí)別、分析、遏制、根除和_______等階段。4.指向特定個(gè)人、能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，統(tǒng)稱為_______。5.數(shù)字簽名主要利用_______密碼算法來(lái)實(shí)現(xiàn)對(duì)信息來(lái)源和完整性的驗(yàn)證。6.對(duì)于高度敏感的數(shù)據(jù)，除了加密存儲(chǔ)外，常采用_______等物理隔離措施。7.云計(jì)算服務(wù)模式通常包括IaaS、PaaS和_______三種主要類型。8.安全漏洞是指系統(tǒng)或應(yīng)用中存在的可以被威脅利用的弱點(diǎn)或缺陷。9.在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，需要綜合考慮資產(chǎn)價(jià)值、威脅可能性以及_______三個(gè)核心要素。10.根據(jù)隱私保護(hù)原則，處理個(gè)人信息應(yīng)遵循合法、正當(dāng)、必要和_______的原則。五、名詞解釋（每題3分，共12分。請(qǐng)為下列名詞提供簡(jiǎn)潔明了的解釋。）1.數(shù)據(jù)完整性2.安全審計(jì)3.數(shù)據(jù)脫敏4.風(fēng)險(xiǎn)評(píng)估六、簡(jiǎn)答題（每題5分，共20分。請(qǐng)簡(jiǎn)要回答下列問題。）1.簡(jiǎn)述對(duì)稱加密和非對(duì)稱加密的主要區(qū)別。2.闡述個(gè)人信息保護(hù)中“最小必要原則”的含義。3.列舉至少三種常見的數(shù)據(jù)安全威脅，并簡(jiǎn)述其特點(diǎn)。4.簡(jiǎn)述訪問控制模型（如RBAC）在數(shù)據(jù)安全管理中的作用。七、綜合應(yīng)用題（共13分。請(qǐng)結(jié)合所學(xué)知識(shí)，分析和回答下列問題。）某電商平臺(tái)收集了用戶的注冊(cè)信息（包括姓名、身份證號(hào)、手機(jī)號(hào)、地址等）、交易記錄以及用戶行為日志。近期該平臺(tái)遭遇了一次安全事件，部分用戶的敏感信息（主要是身份證號(hào)和手機(jī)號(hào)）疑似被泄露。請(qǐng)結(jié)合數(shù)據(jù)安全與隱私保護(hù)的相關(guān)知識(shí)，回答以下問題：1.分析此次事件中可能存在的安全漏洞環(huán)節(jié)。（至少列舉兩點(diǎn)）2.從數(shù)據(jù)安全的角度，提出至少三條針對(duì)此類事件的技術(shù)防范建議。3.從數(shù)據(jù)隱私保護(hù)的角度，平臺(tái)在收集、使用和存儲(chǔ)用戶信息時(shí)，應(yīng)遵守哪些基本要求？試卷答案一、單項(xiàng)選擇題1.A2.C3.C4.C5.B6.C7.B8.B9.B10.D二、多項(xiàng)選擇題1.ABCD2.ABCD3.ABCE4.ACDE5.ABCD三、判斷題1.×2.×3.√4.×5.√6.√7.×8.√9.×10.√四、填空題1.最小權(quán)限原則2.哈希運(yùn)算3.恢復(fù)4.個(gè)人信息5.非對(duì)稱6.物理隔離7.SaaS8.安全漏洞9.安全措施10.合法、正當(dāng)、必要和目的限制五、名詞解釋1.數(shù)據(jù)完整性：指數(shù)據(jù)未經(jīng)授權(quán)不能被修改、刪除或破壞，即保證數(shù)據(jù)的準(zhǔn)確性和一致性，確保數(shù)據(jù)在存儲(chǔ)、傳輸或處理過程中不被篡改。2.安全審計(jì)：指對(duì)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用的安全相關(guān)事件進(jìn)行記錄、監(jiān)控、分析和報(bào)告的過程，旨在識(shí)別安全漏洞、追蹤攻擊行為、滿足合規(guī)要求并提高整體安全性。3.數(shù)據(jù)脫敏：指對(duì)數(shù)據(jù)庫(kù)中的敏感信息進(jìn)行脫敏處理，通過遮蓋、替換、加密、泛化等手段降低敏感數(shù)據(jù)的暴露程度，以保護(hù)用戶隱私，同時(shí)盡量保持?jǐn)?shù)據(jù)的可用性。4.風(fēng)險(xiǎn)評(píng)估：指識(shí)別信息資產(chǎn)面臨的威脅、評(píng)估威脅發(fā)生的可能性和潛在影響，并確定風(fēng)險(xiǎn)等級(jí)的過程，為制定風(fēng)險(xiǎn)處置策略提供依據(jù)。六、簡(jiǎn)答題1.簡(jiǎn)述對(duì)稱加密和非對(duì)稱加密的主要區(qū)別。對(duì)稱加密使用同一個(gè)密鑰進(jìn)行加密和解密，密鑰分發(fā)相對(duì)簡(jiǎn)單，但密鑰管理困難，尤其是在需要多方通信時(shí)。非對(duì)稱加密使用成對(duì)的公鑰和私鑰，公鑰用于加密，私鑰用于解密，或反之，密鑰分發(fā)方便安全，但加密/解密計(jì)算開銷較大。2.闡述個(gè)人信息保護(hù)中“最小必要原則”的含義。最小必要原則要求在處理個(gè)人信息時(shí)，應(yīng)僅限于實(shí)現(xiàn)特定目的所必需的最少范圍、最少種類和最少數(shù)量的信息。即收集、使用、存儲(chǔ)個(gè)人信息應(yīng)有明確、合理的目的，不得過度收集，超出必要范圍的信息不得再處理。3.列舉至少三種常見的數(shù)據(jù)安全威脅，并簡(jiǎn)述其特點(diǎn)。*惡意軟件（Malware）：特點(diǎn)是偽裝成合法程序，通過植入、傳播等方式攻擊系統(tǒng)，竊取數(shù)據(jù)、破壞功能或控制設(shè)備。*網(wǎng)絡(luò)釣魚（Phishing）：特點(diǎn)是偽裝成合法實(shí)體（如銀行、公司），通過郵件、短信等方式誘騙用戶泄露敏感信息（如賬號(hào)密碼）。*拒絕服務(wù)攻擊（DoS/DDoS）：特點(diǎn)是大量請(qǐng)求擁塞目標(biāo)服務(wù)器或網(wǎng)絡(luò)，使其資源耗盡，無(wú)法提供正常服務(wù)給合法用戶。4.簡(jiǎn)述訪問控制模型（如RBAC）在數(shù)據(jù)安全管理中的作用。訪問控制模型（如RBAC）通過將權(quán)限與角色關(guān)聯(lián)，再將角色分配給用戶，實(shí)現(xiàn)了對(duì)數(shù)據(jù)資源的精細(xì)化、集中化的訪問管理。它可以簡(jiǎn)化權(quán)限管理，提高管理效率，確保用戶只能訪問其職責(zé)所需的數(shù)據(jù)，從而增強(qiáng)數(shù)據(jù)安全，落實(shí)最小權(quán)限原則。七、綜合應(yīng)用題1.分析此次事件中可能存在的安全漏洞環(huán)節(jié)。（至少列舉兩點(diǎn)）*系統(tǒng)安全防護(hù)不足：如服務(wù)器存在安全漏洞未及時(shí)修復(fù)，防火墻配置不當(dāng)，或未使用足夠的防護(hù)措施（如WAF）導(dǎo)致被攻擊者入侵，從而獲取了數(shù)據(jù)庫(kù)訪問權(quán)限。*應(yīng)用層安全缺陷：如應(yīng)用程序存在SQL注入漏洞，允許攻擊者通過輸入惡意SQL語(yǔ)句直接查詢或操作數(shù)據(jù)庫(kù)，獲取用戶敏感信息；或應(yīng)用未進(jìn)行充分的輸入驗(yàn)證和輸出編碼，導(dǎo)致跨站腳本（XSS）攻擊，間接竊取用戶信息。*身份認(rèn)證與授權(quán)薄弱：如后臺(tái)管理系統(tǒng)密碼強(qiáng)度低，或存在弱密碼，或權(quán)限控制不當(dāng)，導(dǎo)致攻擊者輕易登錄系統(tǒng)并訪問敏感數(shù)據(jù)。*數(shù)據(jù)存儲(chǔ)與傳輸安全不足：如敏感數(shù)據(jù)未在存儲(chǔ)時(shí)進(jìn)行加密，或傳輸時(shí)未使用HTTPS等加密通道，使得數(shù)據(jù)在靜態(tài)或動(dòng)態(tài)傳輸過程中容易被竊取。2.從數(shù)據(jù)安全的角度，提出至少三條針對(duì)此類事件的技術(shù)防范建議。*加強(qiáng)系統(tǒng)與應(yīng)用安全防護(hù)：及時(shí)更新操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用軟件，修復(fù)已知漏洞；配置嚴(yán)格的防火墻規(guī)則；部署Web應(yīng)用防火墻（WAF）過濾惡意請(qǐng)求；進(jìn)行定期的安全漏洞掃描和滲透測(cè)試。*強(qiáng)化身份認(rèn)證與訪問控制：實(shí)施強(qiáng)密碼策略，并推薦或強(qiáng)制使用多因素認(rèn)證（MFA）；基于最小權(quán)限原則，為不同用戶和角色分配恰當(dāng)?shù)脑L問權(quán)限；定期審查和更新賬戶權(quán)限。*保障數(shù)據(jù)存儲(chǔ)與傳輸安全：對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中的敏感信息（如身份證號(hào)、手機(jī)號(hào)）進(jìn)行加密存儲(chǔ)；強(qiáng)制使用HTTPS等加密協(xié)議傳輸數(shù)據(jù)；對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問日志審計(jì)，監(jiān)控異常訪問行為。3.從數(shù)據(jù)隱私保護(hù)的角度，平臺(tái)在收集、使用和存儲(chǔ)用戶信息時(shí)，應(yīng)遵守哪些基本要求？*合法合規(guī)：收集、使用和存儲(chǔ)用戶信息必須有明確、合法的目的，并符合《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)的要求，必要時(shí)需獲得用