2025年大學(xué)《信息與計(jì)算科學(xué)》專業(yè)題庫(kù)——信息與計(jì)算科學(xué)專業(yè)數(shù)據(jù)安全考試時(shí)間：______分鐘總分：______分姓名：______一、選擇題（每小題2分，共20分。請(qǐng)將正確選項(xiàng)的字母填在括號(hào)內(nèi)）1.在數(shù)據(jù)安全的三要素CIA中，確保數(shù)據(jù)不被未授權(quán)訪問屬于（）。A.完整性B.保密性C.可用性D.可追溯性2.以下關(guān)于對(duì)稱加密和非對(duì)稱加密的描述，正確的是（）。A.對(duì)稱加密算法比非對(duì)稱加密算法更安全B.非對(duì)稱加密算法的密鑰管理更簡(jiǎn)單C.對(duì)稱加密通常用于加密大量數(shù)據(jù)，非對(duì)稱加密用于密鑰交換或數(shù)字簽名D.兩者在加密和解密時(shí)都使用相同的密鑰3.基于角色的訪問控制（RBAC）模型中，權(quán)限是隱式分配給用戶的，主要通過用戶的（）來確定。A.身份標(biāo)識(shí)B.所屬角色C.工作地點(diǎn)D.管理層級(jí)4.以下哪種技術(shù)主要通過密碼學(xué)方法對(duì)存儲(chǔ)或傳輸中的數(shù)據(jù)進(jìn)行加密，使得即使數(shù)據(jù)被竊取也無(wú)法被輕易解讀？（）A.訪問控制B.安全審計(jì)C.數(shù)據(jù)加密D.數(shù)據(jù)備份5.在數(shù)據(jù)庫(kù)安全中，SQL注入攻擊主要利用的是應(yīng)用程序?qū)τ脩糨斎氲模ǎ┨幚聿划?dāng)。A.權(quán)限校驗(yàn)B.數(shù)據(jù)驗(yàn)證C.邏輯判斷D.會(huì)話管理6.為了確保數(shù)據(jù)的持久性和可恢復(fù)性，組織通常會(huì)實(shí)施數(shù)據(jù)備份策略。其中，每次只備份自上次備份以來發(fā)生變化的數(shù)據(jù)的備份方式稱為（）。A.全量備份B.增量備份C.差異備份D.恢復(fù)點(diǎn)備份7.以下哪項(xiàng)不屬于常見的數(shù)據(jù)安全威脅？（）A.惡意軟件（Malware）B.分布式拒絕服務(wù)攻擊（DDoS）C.跨站腳本（XSS）D.數(shù)據(jù)庫(kù)索引錯(cuò)誤8.安全協(xié)議TLS/SSL在互聯(lián)網(wǎng)通信中主要提供（）。A.數(shù)據(jù)加密B.身份認(rèn)證C.數(shù)據(jù)完整性D.以上都是9.《網(wǎng)絡(luò)安全法》在中國(guó)法律體系中，主要調(diào)整的是網(wǎng)絡(luò)空間中（）的安全關(guān)系。A.硬件設(shè)備B.信息安全C.人員管理D.經(jīng)濟(jì)活動(dòng)10.對(duì)個(gè)人信息的處理活動(dòng)，必須遵循合法、正當(dāng)、必要原則，這主要體現(xiàn)了（）的要求。A.數(shù)據(jù)安全法B.網(wǎng)絡(luò)安全法C.個(gè)人信息保護(hù)法D.電子商務(wù)法二、填空題（每空2分，共20分。請(qǐng)將答案填在橫線上）1.數(shù)據(jù)加密技術(shù)主要解決數(shù)據(jù)在傳輸或存儲(chǔ)過程中的______問題。2.訪問控制的主要目的是確保只有______才能訪問受保護(hù)的數(shù)據(jù)或資源。3.哈希函數(shù)具有單向性、抗碰撞性等特性，常用于數(shù)據(jù)完整性校驗(yàn)和______。4.數(shù)據(jù)備份策略的選擇需要綜合考慮備份窗口、恢復(fù)點(diǎn)目標(biāo)（RPO）和______等因素。5.為了防止內(nèi)部人員濫用權(quán)限，企業(yè)需要建立完善的______機(jī)制。6.在信息安全領(lǐng)域，CIA三要素指的是保密性（Confidentiality）、______和可用性（Availability）。7.數(shù)字簽名技術(shù)結(jié)合了非對(duì)稱加密和哈希函數(shù)，主要用于解決數(shù)據(jù)傳輸過程中的______和______問題。8.云計(jì)算環(huán)境下的數(shù)據(jù)安全面臨著數(shù)據(jù)隔離、數(shù)據(jù)泄露、______等多重挑戰(zhàn)。9.根據(jù)中國(guó)《數(shù)據(jù)安全法》，數(shù)據(jù)處理活動(dòng)應(yīng)遵循______、合法正當(dāng)、最小必要和確保安全等原則。10.安全審計(jì)通過對(duì)系統(tǒng)日志和用戶行為的分析，用于______、事件追溯和安全評(píng)估。三、簡(jiǎn)答題（每小題5分，共20分）1.簡(jiǎn)述對(duì)稱加密和非對(duì)稱加密的區(qū)別。2.簡(jiǎn)述訪問控制模型中的自主訪問控制（DAC）的基本原理。3.簡(jiǎn)述數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)之間的關(guān)系。4.簡(jiǎn)述《個(gè)人信息保護(hù)法》中規(guī)定的個(gè)人對(duì)其個(gè)人信息享有的主要權(quán)利。四、案例分析題（每小題10分，共20分）1.某電子商務(wù)公司存儲(chǔ)了大量的用戶個(gè)人信息和交易數(shù)據(jù)。請(qǐng)分析該公司在數(shù)據(jù)安全方面可能面臨的主要威脅，并提出至少三項(xiàng)針對(duì)性的安全防護(hù)措施。2.假設(shè)你是一名信息與計(jì)算科學(xué)專業(yè)的學(xué)生，參與到一個(gè)項(xiàng)目中，該項(xiàng)目需要開發(fā)一個(gè)涉及敏感數(shù)據(jù)的Web應(yīng)用程序。請(qǐng)簡(jiǎn)述在軟件開發(fā)生命周期（SDLC）的哪個(gè)階段應(yīng)該融入數(shù)據(jù)安全考慮，并說明應(yīng)進(jìn)行哪些具體的數(shù)據(jù)安全活動(dòng)。---試卷答案一、選擇題（每小題2分，共20分。請(qǐng)將正確選項(xiàng)的字母填在括號(hào)內(nèi)）1.B*解析思路：CIA三要素中，保密性（Confidentiality）是指確保數(shù)據(jù)不被未授權(quán)的個(gè)人、實(shí)體或過程訪問或泄露。題干描述符合保密性的定義。2.C*解析思路：對(duì)稱加密算法加密和解密使用相同密鑰，計(jì)算效率高，適合加密大量數(shù)據(jù)；非對(duì)稱加密算法使用公鑰和私鑰，密鑰管理更復(fù)雜但更安全，常用于密鑰交換、數(shù)字簽名等。選項(xiàng)C正確描述了兩者的典型應(yīng)用場(chǎng)景。3.B*解析思路：RBAC模型的核心思想是將權(quán)限與角色關(guān)聯(lián)，然后將角色分配給用戶。用戶通過其所屬的角色來獲得相應(yīng)的權(quán)限，權(quán)限的授予和撤銷主要通過管理角色來實(shí)現(xiàn)。4.C*解析思路：數(shù)據(jù)加密技術(shù)通過密碼學(xué)算法將明文轉(zhuǎn)換為密文，使得即使數(shù)據(jù)在傳輸或存儲(chǔ)過程中被未授權(quán)者獲取，也無(wú)法輕易解讀其含義，從而保護(hù)數(shù)據(jù)的機(jī)密性。5.B*解析思路：SQL注入攻擊利用應(yīng)用程序沒有對(duì)用戶輸入進(jìn)行充分驗(yàn)證和過濾，將惡意SQL代碼注入到用戶輸入中，從而繞過應(yīng)用程序的安全防線，訪問或操作數(shù)據(jù)庫(kù)。6.B*解析思路：增量備份是指只備份自上一次備份（無(wú)論是全量還是增量）以來發(fā)生變化的數(shù)據(jù)。這種方式備份速度快，存儲(chǔ)空間占用少，但恢復(fù)過程相對(duì)復(fù)雜。7.D*解析思路：惡意軟件、DDoS攻擊、XSS攻擊都是常見的數(shù)據(jù)安全威脅，旨在破壞系統(tǒng)、竊取數(shù)據(jù)或干擾正常服務(wù)。數(shù)據(jù)庫(kù)索引錯(cuò)誤屬于數(shù)據(jù)庫(kù)優(yōu)化或設(shè)計(jì)問題，本身不是安全威脅。8.D*解析思路：TLS/SSL協(xié)議通過加密、身份認(rèn)證和數(shù)據(jù)完整性校驗(yàn)等機(jī)制，為互聯(lián)網(wǎng)通信提供了安全傳輸通道，確保了通信的機(jī)密性、完整性和真實(shí)性（身份認(rèn)證）。9.B*解析思路：《網(wǎng)絡(luò)安全法》主要調(diào)整網(wǎng)絡(luò)空間中的互聯(lián)互通、信息傳播、網(wǎng)絡(luò)安全等關(guān)系，其核心目標(biāo)是維護(hù)網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益，保障網(wǎng)絡(luò)空間平穩(wěn)有序運(yùn)行。信息安全是其核心內(nèi)容之一。10.C*解析思路：合法、正當(dāng)、必要原則是《個(gè)人信息保護(hù)法》中處理個(gè)人信息必須遵循的基本原則，要求處理者的行為必須有法律、法規(guī)依據(jù)，目的正當(dāng)且僅限于實(shí)現(xiàn)處理目的最小范圍，這體現(xiàn)了對(duì)個(gè)人信息權(quán)益的尊重和保障。二、填空題（每空2分，共20分。請(qǐng)將答案填在橫線上）1.保密性*解析思路：數(shù)據(jù)加密的主要目的是防止數(shù)據(jù)被竊取或非法訪問，從而保障數(shù)據(jù)的機(jī)密性，即保密性。2.授權(quán)用戶*解析思路：訪問控制的核心是身份識(shí)別和授權(quán)，確保只有獲得適當(dāng)授權(quán)的用戶才能訪問特定的資源，防止未授權(quán)訪問。3.數(shù)字簽名*解析思路：哈希函數(shù)的單向性和抗碰撞性使其非常適合用于驗(yàn)證數(shù)據(jù)的完整性，并作為數(shù)字簽名技術(shù)的核心組成部分，用于保證數(shù)據(jù)的來源真實(shí)性和完整性。4.恢復(fù)時(shí)間目標(biāo)（RTO）*解析思路：數(shù)據(jù)備份策略的決策需要平衡多個(gè)因素，包括備份頻率（影響數(shù)據(jù)丟失量）、備份窗口（完成備份所需時(shí)間）以及恢復(fù)點(diǎn)目標(biāo)（RPO，可接受的數(shù)據(jù)丟失量）和恢復(fù)時(shí)間目標(biāo)（RTO，可接受的最大恢復(fù)時(shí)間）。兩者共同決定了備份的頻率和方式。5.權(quán)限審計(jì)*解析思路：內(nèi)部威脅往往來自擁有一定權(quán)限的人員，因此建立嚴(yán)格的權(quán)限審計(jì)機(jī)制，監(jiān)控和審查用戶權(quán)限的使用情況，是防止內(nèi)部人員濫用權(quán)限或進(jìn)行惡意操作的重要手段。6.完整性*解析思路：CIA三要素是信息安全的基本目標(biāo)，分別是保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。7.數(shù)據(jù)來源認(rèn)證；完整性校驗(yàn)*解析思路：數(shù)字簽名利用非對(duì)稱加密保證簽名的真實(shí)性和不可抵賴性（數(shù)據(jù)來源認(rèn)證），即驗(yàn)證數(shù)據(jù)確實(shí)由聲稱的發(fā)送者發(fā)送；利用哈希函數(shù)保證數(shù)據(jù)在傳輸過程中未被篡改（完整性校驗(yàn)）。8.數(shù)據(jù)安全治理*解析思路：在云計(jì)算環(huán)境下，數(shù)據(jù)的分布式存儲(chǔ)和管理增加了復(fù)雜性，數(shù)據(jù)隔離的挑戰(zhàn)、跨地域傳輸?shù)姆珊弦?guī)、以及整個(gè)云環(huán)境的安全責(zé)任劃分（即數(shù)據(jù)安全治理）都是重要的安全問題。9.處理目的合法正當(dāng)*解析思路：《數(shù)據(jù)安全法》規(guī)定了數(shù)據(jù)處理活動(dòng)應(yīng)遵循處理目的合法正當(dāng)原則，即處理個(gè)人或其他主體的數(shù)據(jù)的目的是合法的、合理的，并且是為實(shí)現(xiàn)該目的所必需的。10.安全事件檢測(cè)*解析思路：安全審計(jì)系統(tǒng)通過收集和分析系統(tǒng)日志、網(wǎng)絡(luò)流量、用戶行為等信息，可以及時(shí)發(fā)現(xiàn)異?；顒?dòng)和安全事件，是安全監(jiān)控和事件響應(yīng)的重要基礎(chǔ)。三、簡(jiǎn)答題（每小題5分，共20分）1.簡(jiǎn)述對(duì)稱加密和非對(duì)稱加密的區(qū)別。*解析思路：對(duì)稱加密使用同一個(gè)密鑰進(jìn)行加密和解密，算法公開，效率高，適用于大量數(shù)據(jù)的加密，但密鑰分發(fā)和管理困難。非對(duì)稱加密使用一對(duì)密鑰（公鑰和私鑰），公鑰加密數(shù)據(jù)，私鑰解密數(shù)據(jù)（或反之），算法復(fù)雜，效率較低，但解決了密鑰分發(fā)問題，適用于小量數(shù)據(jù)加密、密鑰交換、數(shù)字簽名等。2.簡(jiǎn)述訪問控制模型中的自主訪問控制（DAC）的基本原理。*解析思路：DAC模型的核心思想是“權(quán)責(zé)到人”，資源所有者（或其授權(quán)者）可以自行決定誰(shuí)可以訪問其資源以及授予何種訪問權(quán)限（讀、寫、執(zhí)行等）。每個(gè)資源有所有者，每個(gè)用戶有身份，訪問決策基于用戶身份和資源所有者設(shè)定的權(quán)限規(guī)則。用戶可以改變對(duì)自己擁有的資源的訪問權(quán)限，也可以請(qǐng)求其他用戶授權(quán)給自己訪問權(quán)限。3.簡(jiǎn)述數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)之間的關(guān)系。*解析思路：數(shù)據(jù)備份是將數(shù)據(jù)副本存儲(chǔ)在安全位置的過程，目的是為了在原始數(shù)據(jù)因各種原因（如硬件故障、軟件錯(cuò)誤、人為操作失誤、安全事件等）丟失或損壞時(shí)，能夠?qū)⑵浠謴?fù)。數(shù)據(jù)恢復(fù)是指使用備份的數(shù)據(jù)副本將丟失或損壞的數(shù)據(jù)還原到原始狀態(tài)或指定狀態(tài)的過程。備份是恢復(fù)的前提和基礎(chǔ)，沒有有效的備份就沒有可靠的數(shù)據(jù)恢復(fù)能力；恢復(fù)是備份最終價(jià)值的體現(xiàn)，驗(yàn)證了備份的有效性并保障了數(shù)據(jù)的連續(xù)性。4.簡(jiǎn)述《個(gè)人信息保護(hù)法》中規(guī)定的個(gè)人對(duì)其個(gè)人信息享有的主要權(quán)利。*解析思路：《個(gè)人信息保護(hù)法》規(guī)定了個(gè)人對(duì)其個(gè)人信息享有多項(xiàng)權(quán)利，主要包括：知情、決定權(quán)（是否同意處理以及同意何種處理方式）；查閱、復(fù)制、更正、補(bǔ)充權(quán)（要求了解自己的信息、獲取副本、糾正錯(cuò)誤信息）；刪除權(quán)（在特定情況下要求刪除其信息）；撤回同意權(quán)（撤銷之前給予的處理同意）；可攜帶權(quán)（在特定條件下要求轉(zhuǎn)移其信息到指定處理者）；拒絕權(quán)（拒絕處理其信息，并說明理由）；以及收到損害時(shí)的求償權(quán)等。四、案例分析題（每小題10分，共20分）1.某電子商務(wù)公司存儲(chǔ)了大量的用戶個(gè)人信息和交易數(shù)據(jù)。請(qǐng)分析該公司在數(shù)據(jù)安全方面可能面臨的主要威脅，并提出至少三項(xiàng)針對(duì)性的安全防護(hù)措施。*解析思路：分析威脅應(yīng)從內(nèi)部和外部、技術(shù)和管理等多個(gè)角度考慮。主要威脅可能包括：外部網(wǎng)絡(luò)攻擊（如DDoS攻擊、SQL注入、跨站腳本XSS、網(wǎng)絡(luò)釣魚、惡意軟件感染）；內(nèi)部人員威脅（如惡意竊取、意外泄露、權(quán)限濫用）；系統(tǒng)漏洞（如操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件漏洞）；數(shù)據(jù)傳輸和存儲(chǔ)安全不足（如未加密傳輸、存儲(chǔ)加密薄弱）；物理環(huán)境安全（如數(shù)據(jù)中心遭破壞或非法訪問）；供應(yīng)鏈安全風(fēng)險(xiǎn)（如第三方服務(wù)商安全漏洞導(dǎo)致數(shù)據(jù)泄露）。針對(duì)性防護(hù)措施應(yīng)針對(duì)這些威脅：加強(qiáng)網(wǎng)絡(luò)安全防護(hù)（防火墻、入侵檢測(cè)/防御系統(tǒng)、WAF、VPN等）；實(shí)施嚴(yán)格的訪問控制（身份認(rèn)證、權(quán)限分離、定期審計(jì)）；及時(shí)修復(fù)系統(tǒng)漏洞和更新安全補(bǔ)丁；對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸；加強(qiáng)數(shù)據(jù)備份與恢復(fù)能力建設(shè)；落實(shí)數(shù)據(jù)安全管理制度（數(shù)據(jù)分類分級(jí)、脫敏處理、安全策略）；加強(qiáng)員工安全意識(shí)培訓(xùn)和背景調(diào)查；選擇可信的安全服務(wù)提供商并簽訂安全協(xié)議。2.假設(shè)你是一名信息與計(jì)算科學(xué)專業(yè)的學(xué)生，參與到一個(gè)項(xiàng)目中，該項(xiàng)目需要開發(fā)一個(gè)涉及敏感數(shù)據(jù)的Web應(yīng)用程序。請(qǐng)簡(jiǎn)述在軟件開發(fā)生命周期（SDLC）的哪個(gè)階段應(yīng)該融入數(shù)據(jù)安全考慮，并說明應(yīng)進(jìn)行哪些具體的數(shù)據(jù)安全活動(dòng)。*解析思路：數(shù)據(jù)安全應(yīng)貫穿整個(gè)軟件開發(fā)生命周期（SDLC），而非僅在某個(gè)階段才考慮。但在不同的階段，側(cè)重點(diǎn)不同。核心階段包括：需求分析階段：識(shí)別需要處理的敏感數(shù)據(jù)類型，明確數(shù)據(jù)安全需求和合規(guī)要求（如個(gè)人信息保護(hù)）；設(shè)計(jì)階段：在架構(gòu)設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)、接口設(shè)計(jì)中考慮數(shù)據(jù)安全，如設(shè)計(jì)安全的認(rèn)證授權(quán)機(jī)制、數(shù)