2025年信息安全與數(shù)據(jù)隱私保護(hù)試題及答案一、單項(xiàng)選擇題（共15題）1.以下哪項(xiàng)是《個(gè)人信息保護(hù)法》中“最小必要原則”的核心要求？A.收集的個(gè)人信息類(lèi)型應(yīng)覆蓋用戶(hù)所有可能需求B.僅收集實(shí)現(xiàn)服務(wù)目的必需的最少個(gè)人信息C.個(gè)人信息保存期限應(yīng)設(shè)置為永久D.允許第三方無(wú)限制共享用戶(hù)位置信息答案：B

解析：《個(gè)人信息保護(hù)法》第6條明確規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式；收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集。2.以下哪種攻擊方式屬于應(yīng)用層協(xié)議漏洞利用？A.ARP欺騙B.SQL注入C.SYN泛洪攻擊D.物理設(shè)備破壞答案：B

解析：SQL注入是利用Web應(yīng)用程序?qū)τ脩?hù)輸入數(shù)據(jù)過(guò)濾不足的漏洞，向數(shù)據(jù)庫(kù)發(fā)送惡意SQL語(yǔ)句，屬于應(yīng)用層攻擊；ARP欺騙（鏈路層）、SYN泛洪（網(wǎng)絡(luò)層）均屬于網(wǎng)絡(luò)層攻擊；物理破壞與協(xié)議無(wú)關(guān)。3.依據(jù)GDPR，個(gè)人信息控制者對(duì)數(shù)據(jù)泄露事件的最長(zhǎng)報(bào)告時(shí)限是？A.24小時(shí)B.48小時(shí)C.72小時(shí)D.1周答案：C

解析：GDPR第33條規(guī)定，數(shù)據(jù)控制者應(yīng)在知悉數(shù)據(jù)泄露后72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告，若超過(guò)該期限需說(shuō)明理由。4.以下哪種加密算法屬于非對(duì)稱(chēng)加密？A.AES-256B.DESC.RSAD.3DES答案：C

解析：RSA使用公鑰和私鑰成對(duì)加密，屬于非對(duì)稱(chēng)加密；AES、DES、3DES均為對(duì)稱(chēng)加密算法，加密和解密使用同一密鑰。5.零信任架構(gòu)（ZeroTrust）的核心假設(shè)是？A.網(wǎng)絡(luò)內(nèi)部完全可信B.所有訪(fǎng)問(wèn)請(qǐng)求均不可信C.僅允許已知設(shè)備訪(fǎng)問(wèn)D.無(wú)需驗(yàn)證用戶(hù)身份答案：B

解析：零信任架構(gòu)的核心是“永不信任，始終驗(yàn)證”，默認(rèn)所有用戶(hù)、設(shè)備、流量均不可信，需通過(guò)持續(xù)驗(yàn)證確認(rèn)訪(fǎng)問(wèn)權(quán)限。6.數(shù)據(jù)脫敏技術(shù)中，“將身份證號(hào)后6位替換為*”屬于？A.匿名化B.去標(biāo)識(shí)化C.加密D.隨機(jī)化答案：B

解析：去標(biāo)識(shí)化是指對(duì)個(gè)人信息進(jìn)行處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人；匿名化則是徹底無(wú)法復(fù)原，本題中后6位替換仍可能通過(guò)其他信息關(guān)聯(lián)，故屬于去標(biāo)識(shí)化。7.以下哪項(xiàng)不屬于《數(shù)據(jù)安全法》規(guī)定的數(shù)據(jù)分類(lèi)分級(jí)保護(hù)對(duì)象？A.公共數(shù)據(jù)B.企業(yè)內(nèi)部管理數(shù)據(jù)C.國(guó)家核心數(shù)據(jù)D.重要領(lǐng)域數(shù)據(jù)答案：B

解析：《數(shù)據(jù)安全法》第21條規(guī)定，國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，對(duì)數(shù)據(jù)實(shí)行分類(lèi)分級(jí)保護(hù)，重點(diǎn)保護(hù)國(guó)家核心數(shù)據(jù)，加強(qiáng)重要領(lǐng)域數(shù)據(jù)安全，強(qiáng)化公共數(shù)據(jù)安全保護(hù)。企業(yè)內(nèi)部管理數(shù)據(jù)未被明確列為強(qiáng)制分類(lèi)對(duì)象。8.區(qū)塊鏈技術(shù)中，“不可篡改”特性主要依賴(lài)？A.哈希算法與鏈?zhǔn)浇Y(jié)構(gòu)B.智能合約C.共識(shí)機(jī)制D.分布式存儲(chǔ)答案：A

解析：區(qū)塊鏈通過(guò)哈希指針將區(qū)塊鏈接，修改任一區(qū)塊的哈希值會(huì)導(dǎo)致后續(xù)所有區(qū)塊哈希值改變，結(jié)合分布式存儲(chǔ)的一致性驗(yàn)證，實(shí)現(xiàn)不可篡改特性。9.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或委托第三方每年至少進(jìn)行幾次網(wǎng)絡(luò)安全檢測(cè)評(píng)估？A.1次B.2次C.3次D.4次答案：A

解析：《網(wǎng)絡(luò)安全法》第38條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估。10.以下哪種場(chǎng)景符合“隱私計(jì)算”的典型應(yīng)用？A.直接共享用戶(hù)完整醫(yī)療數(shù)據(jù)給研究機(jī)構(gòu)B.醫(yī)院與保險(xiǎn)公司通過(guò)加密模型聯(lián)合分析患者就診數(shù)據(jù)C.電商平臺(tái)向第三方提供用戶(hù)手機(jī)號(hào)列表D.政府部門(mén)公開(kāi)全體市民的身份證號(hào)答案：B

解析：隱私計(jì)算通過(guò)加密、多方安全計(jì)算等技術(shù)，在不共享原始數(shù)據(jù)的前提下實(shí)現(xiàn)聯(lián)合計(jì)算，B選項(xiàng)符合該特征；其他選項(xiàng)均涉及原始數(shù)據(jù)直接共享。11.物聯(lián)網(wǎng)設(shè)備的典型安全風(fēng)險(xiǎn)不包括？A.弱密碼默認(rèn)配置B.固件更新不及時(shí)C.端到端加密通信D.海量設(shè)備攻擊面擴(kuò)大答案：C

解析：端到端加密通信是物聯(lián)網(wǎng)安全防護(hù)手段，而非風(fēng)險(xiǎn)；弱密碼、固件漏洞、攻擊面擴(kuò)大均為物聯(lián)網(wǎng)設(shè)備常見(jiàn)風(fēng)險(xiǎn)。12.以下哪項(xiàng)是“數(shù)據(jù)跨境流動(dòng)”的合法路徑？A.未經(jīng)評(píng)估直接向境外提供個(gè)人信息B.通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估C.僅獲得用戶(hù)口頭同意后傳輸D.將數(shù)據(jù)存儲(chǔ)于境外服務(wù)器但未告知用戶(hù)答案：B

解析：《個(gè)人信息保護(hù)法》第38條規(guī)定，向境外提供個(gè)人信息應(yīng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估，或經(jīng)專(zhuān)業(yè)機(jī)構(gòu)認(rèn)證，或與境外接收方訂立標(biāo)準(zhǔn)合同等合法路徑。13.社會(huì)工程學(xué)攻擊的核心手段是？A.利用系統(tǒng)漏洞B.欺騙用戶(hù)獲取信任C.暴力破解密碼D.植入惡意代碼答案：B

解析：社會(huì)工程學(xué)通過(guò)心理誘導(dǎo)、偽裝身份等方式欺騙用戶(hù)主動(dòng)泄露信息或執(zhí)行操作，核心是人為欺騙而非技術(shù)漏洞。14.以下哪種訪(fǎng)問(wèn)控制模型基于用戶(hù)角色分配權(quán)限？A.自主訪(fǎng)問(wèn)控制（DAC）B.強(qiáng)制訪(fǎng)問(wèn)控制（MAC）C.基于角色的訪(fǎng)問(wèn)控制（RBAC）D.基于屬性的訪(fǎng)問(wèn)控制（ABAC）答案：C

解析：RBAC（Role-BasedAccessControl）根據(jù)用戶(hù)在組織中的角色分配權(quán)限，如“財(cái)務(wù)主管”角色可訪(fǎng)問(wèn)報(bào)銷(xiāo)系統(tǒng)。15.數(shù)據(jù)泄露事件中，“數(shù)據(jù)泄露量”的統(tǒng)計(jì)通常不包括？A.泄露的個(gè)人信息條數(shù)B.泄露數(shù)據(jù)的敏感等級(jí)分布C.泄露數(shù)據(jù)的存儲(chǔ)介質(zhì)類(lèi)型D.受影響的用戶(hù)數(shù)量答案：C

解析：數(shù)據(jù)泄露量統(tǒng)計(jì)關(guān)注數(shù)據(jù)本身的規(guī)模（條數(shù)）、敏感程度（等級(jí)）及影響范圍（用戶(hù)數(shù)），存儲(chǔ)介質(zhì)類(lèi)型不直接反映泄露危害程度。二、多項(xiàng)選擇題（共10題）1.以下哪些屬于《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息處理者義務(wù)？A.制定并公開(kāi)個(gè)人信息處理規(guī)則B.對(duì)個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)C.僅在用戶(hù)同意后收集所有個(gè)人信息D.采取必要技術(shù)措施保障信息安全答案：ABD

解析：《個(gè)人信息保護(hù)法》第17、51、54條規(guī)定，處理者需制定公開(kāi)規(guī)則、進(jìn)行合規(guī)審計(jì)、采取安全措施；C選項(xiàng)錯(cuò)誤，因存在“法定職責(zé)”“公共利益”等無(wú)需用戶(hù)同意的例外情形。2.以下哪些技術(shù)可用于防范DDoS攻擊？A.流量清洗（TrafficScrubbing）B.速率限制（RateLimiting）C.黑洞路由（BlackholeRouting）D.端口掃描答案：ABC

解析：流量清洗、速率限制、黑洞路由均為DDoS防護(hù)手段；端口掃描是攻擊前的信息收集行為，非防護(hù)技術(shù)。3.依據(jù)GDPR，個(gè)人信息主體享有哪些權(quán)利？A.訪(fǎng)問(wèn)權(quán)（RightofAccess）B.更正權(quán)（RighttoRectification）C.被遺忘權(quán)（RighttoErasure）D.拒絕自動(dòng)化決策的權(quán)利答案：ABCD

解析：GDPR第15-22條明確規(guī)定了個(gè)人信息主體的訪(fǎng)問(wèn)、更正、刪除（被遺忘）、拒絕自動(dòng)化決策等權(quán)利。4.以下哪些屬于數(shù)據(jù)脫敏的常用方法？A.掩碼（Masking）B.泛化（Generalization）C.加密（Encryption）D.差分隱私（DifferentialPrivacy）答案：ABCD

解析：數(shù)據(jù)脫敏技術(shù)包括掩碼（如隱藏部分字符）、泛化（如將“25歲”改為“20-30歲”）、加密（如AES加密）、差分隱私（添加噪聲保護(hù)個(gè)體數(shù)據(jù)）等。5.以下哪些場(chǎng)景需要遵守《數(shù)據(jù)安全法》？A.金融機(jī)構(gòu)處理客戶(hù)交易數(shù)據(jù)B.科研機(jī)構(gòu)分析公共氣象數(shù)據(jù)C.個(gè)人整理家庭相冊(cè)數(shù)據(jù)D.企業(yè)跨境傳輸產(chǎn)品銷(xiāo)售數(shù)據(jù)答案：ABD

解析：《數(shù)據(jù)安全法》適用于境內(nèi)數(shù)據(jù)處理活動(dòng)及境外損害國(guó)家安全、公共利益或公民、組織合法權(quán)益的數(shù)據(jù)處理活動(dòng)；個(gè)人非經(jīng)營(yíng)性數(shù)據(jù)處理（如家庭相冊(cè)）不適用。6.以下哪些是量子計(jì)算對(duì)現(xiàn)有密碼體系的潛在威脅？A.破解RSA加密的公鑰B.加速SHA-256哈希碰撞C.增強(qiáng)AES對(duì)稱(chēng)加密強(qiáng)度D.使橢圓曲線(xiàn)加密（ECC）失效答案：ABD

解析：量子計(jì)算可通過(guò)Shor算法破解RSA和ECC，通過(guò)Grover算法加速哈希碰撞；對(duì)AES等對(duì)稱(chēng)加密僅能縮短破解時(shí)間，無(wú)法直接使其失效。7.以下哪些屬于物聯(lián)網(wǎng)（IoT）設(shè)備的安全設(shè)計(jì)原則？A.默認(rèn)啟用最小權(quán)限B.提供安全的固件更新機(jī)制C.存儲(chǔ)默認(rèn)弱密碼D.支持端到端加密通信答案：ABD

解析：物聯(lián)網(wǎng)設(shè)備需遵循最小權(quán)限、安全更新、加密通信等原則；默認(rèn)弱密碼是典型安全隱患，違反設(shè)計(jì)原則。8.依據(jù)《網(wǎng)絡(luò)安全審查辦法》，以下哪些情況需要申報(bào)網(wǎng)絡(luò)安全審查？A.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)B.數(shù)據(jù)處理者赴國(guó)外上市C.企業(yè)內(nèi)部更換辦公軟件D.云計(jì)算服務(wù)提供者開(kāi)展數(shù)據(jù)處理活動(dòng)答案：ABD

解析：《網(wǎng)絡(luò)安全審查辦法》第2、5條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)、數(shù)據(jù)處理者赴國(guó)外上市、云計(jì)算服務(wù)提供者數(shù)據(jù)處理等需申報(bào)審查；企業(yè)內(nèi)部軟件更換不涉及關(guān)鍵基礎(chǔ)設(shè)施或數(shù)據(jù)安全風(fēng)險(xiǎn)。9.以下哪些屬于隱私計(jì)算的技術(shù)實(shí)現(xiàn)方式？A.多方安全計(jì)算（MPC）B.聯(lián)邦學(xué)習(xí)（FederatedLearning）C.同態(tài)加密（HomomorphicEncryption）D.數(shù)據(jù)脫敏答案：ABC

解析：隱私計(jì)算技術(shù)包括MPC（多方協(xié)同計(jì)算不泄露數(shù)據(jù)）、聯(lián)邦學(xué)習(xí)（在本地訓(xùn)練模型）、同態(tài)加密（對(duì)密文直接計(jì)算）；數(shù)據(jù)脫敏是數(shù)據(jù)預(yù)處理手段，不屬于計(jì)算技術(shù)。10.以下哪些行為可能構(gòu)成侵犯用戶(hù)數(shù)據(jù)隱私？A.電商平臺(tái)在用戶(hù)未同意時(shí)推送個(gè)性化廣告B.醫(yī)院將患者病歷匿名化后用于學(xué)術(shù)研究C.社交平臺(tái)未告知用戶(hù)收集位置信息D.銀行在用戶(hù)注銷(xiāo)賬戶(hù)后仍保留交易記錄答案：ACD

解析：A違反《個(gè)人信息保護(hù)法》“同意”原則；C違反“告知”義務(wù)；D違反“最小必要”原則（注銷(xiāo)后應(yīng)刪除非必要記錄）；B中匿名化數(shù)據(jù)不涉及隱私侵犯。三、填空題（共10題）1.《個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息的處理包括收集、存儲(chǔ)、使用、加工、傳輸、提供、_____、公開(kāi)、刪除等。答案：共享

解析：《個(gè)人信息保護(hù)法》第4條明確“處理”定義包含共享行為。2.常見(jiàn)的身份認(rèn)證方式中，“指紋識(shí)別”屬于_____因素認(rèn)證（填寫(xiě)“單”或“多”）。答案：?jiǎn)?/p>

解析：指紋屬于“生物特征”單一因素，多因素認(rèn)證需結(jié)合密碼（知識(shí)）、令牌（持有物）等。3.數(shù)據(jù)安全的“三性”原則是指機(jī)密性、完整性和_____。答案：可用性

解析：CIA三元組（Confidentiality,Integrity,Availability）是信息安全的核心原則。4.GDPR規(guī)定，數(shù)據(jù)控制者需在其網(wǎng)站上公開(kāi)_____的聯(lián)系方式，以便用戶(hù)行使權(quán)利。答案：數(shù)據(jù)保護(hù)官（DPO）

解析：GDPR第37條要求設(shè)立數(shù)據(jù)保護(hù)官并公開(kāi)其聯(lián)系方式。5.網(wǎng)絡(luò)釣魚(yú)攻擊中，攻擊者常通過(guò)偽造_____（如銀行官網(wǎng)）誘導(dǎo)用戶(hù)輸入敏感信息。答案：可信網(wǎng)站

解析：網(wǎng)絡(luò)釣魚(yú)的典型手段是仿冒真實(shí)網(wǎng)站獲取用戶(hù)信息。6.區(qū)塊鏈的共識(shí)機(jī)制中，_____（PoW）通過(guò)計(jì)算哈希值競(jìng)爭(zhēng)記賬權(quán)。答案：工作量證明

解析：PoW（ProofofWork）是比特幣等區(qū)塊鏈采用的共識(shí)機(jī)制。7.《數(shù)據(jù)安全法》將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和_____數(shù)據(jù)三級(jí)。答案：國(guó)家核心

解析：《數(shù)據(jù)安全法》第21條明確數(shù)據(jù)分類(lèi)為一般、重要、國(guó)家核心三級(jí)。8.隱私計(jì)算的目標(biāo)是實(shí)現(xiàn)“數(shù)據(jù)可用不可見(jiàn)”，即_____不出域，_____可流通（用“數(shù)據(jù)”“價(jià)值”填空）。答案：數(shù)據(jù)；價(jià)值

解析：隱私計(jì)算通過(guò)技術(shù)手段使數(shù)據(jù)保留在本地，僅輸出計(jì)算結(jié)果（價(jià)值）。9.物聯(lián)網(wǎng)設(shè)備的“固件”是指存儲(chǔ)在_____中的軟件程序，負(fù)責(zé)設(shè)備基礎(chǔ)功能運(yùn)行。答案：非易失性存儲(chǔ)器（如Flash）

解析：固件通常存儲(chǔ)在Flash等非易失性存儲(chǔ)器中，設(shè)備斷電后仍保留。10.依據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、_____的原則。答案：必要

解析：《網(wǎng)絡(luò)安全法》第41條規(guī)定收集個(gè)人信息需合法、正當(dāng)、必要。四、判斷題（共10題）1.匿名化處理后的個(gè)人信息可以不受《個(gè)人信息保護(hù)法》約束。()答案：×

解析：匿名化數(shù)據(jù)因無(wú)法識(shí)別特定自然人，《個(gè)人信息保護(hù)法》不再適用，但可能受其他法律（如《數(shù)據(jù)安全法》）約束。2.企業(yè)可以將用戶(hù)的“同意”作為處理所有個(gè)人信息的唯一合法基礎(chǔ)。()答案：×

解析：《個(gè)人信息保護(hù)法》規(guī)定，除“同意”外，還可基于“履行法定職責(zé)”“公共利益”“訂立合同”等合法基礎(chǔ)處理個(gè)人信息。3.SQL注入攻擊僅能獲取數(shù)據(jù)，無(wú)法修改或刪除數(shù)據(jù)庫(kù)內(nèi)容。()答案：×

解析：SQL注入可執(zhí)行任意SQL語(yǔ)句，包括修改（UPDATE）、刪除（DELETE）甚至刪除表（DROPTABLE）。4.零信任架構(gòu)要求對(duì)所有訪(fǎng)問(wèn)請(qǐng)求進(jìn)行動(dòng)態(tài)驗(yàn)證，包括內(nèi)部網(wǎng)絡(luò)流量。()答案：√

解析：零信任的核心是“永不信任，始終驗(yàn)證”，內(nèi)部流量同樣需驗(yàn)證身份和權(quán)限。5.數(shù)據(jù)跨境流動(dòng)時(shí)，只要獲得用戶(hù)同意即可向境外傳輸個(gè)人信息。()答案：×

解析：《個(gè)人信息保護(hù)法》第38條規(guī)定，向境外傳輸需通過(guò)安全評(píng)估、認(rèn)證或標(biāo)準(zhǔn)合同等，用戶(hù)同意是必要非充分條件。6.區(qū)塊鏈的“去中心化”特性意味著無(wú)需任何管理節(jié)點(diǎn)。()答案：×

解析：區(qū)塊鏈通過(guò)分布式節(jié)點(diǎn)共同管理，并非無(wú)管理節(jié)點(diǎn)，而是無(wú)單一中心控制。7.社會(huì)工程學(xué)攻擊無(wú)法通過(guò)技術(shù)手段防范，只能依賴(lài)用戶(hù)安全意識(shí)提升。()答案：×

解析：技術(shù)手段（如郵件過(guò)濾、多因素認(rèn)證）可輔助防范社會(huì)工程學(xué)攻擊，用戶(hù)意識(shí)是重要補(bǔ)充。8.加密后的數(shù)據(jù)一定滿(mǎn)足“機(jī)密性”要求，因此無(wú)需額外保護(hù)。()答案：×

解析：加密僅保護(hù)數(shù)據(jù)傳輸/存儲(chǔ)中的機(jī)密性，密鑰管理、加密算法強(qiáng)度等仍需保障，否則加密數(shù)據(jù)可能被破解。9.依據(jù)GDPR，數(shù)據(jù)控制者需對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行記錄，記錄至少保存3年。()答案：√

解析：GDPR第30條規(guī)定，數(shù)據(jù)處理活動(dòng)記錄應(yīng)至少保存3年（或監(jiān)管機(jī)構(gòu)要求的更長(zhǎng)時(shí)間）。10.物聯(lián)網(wǎng)設(shè)備的“默認(rèn)密碼”可以保留，因?yàn)橛脩?hù)可自行修改。()答案：×

解析：默認(rèn)弱密碼是已知安全風(fēng)險(xiǎn)，設(shè)備制造商應(yīng)禁用默認(rèn)密碼或要求首次使用時(shí)強(qiáng)制修改。五、簡(jiǎn)答題（共5題）1.簡(jiǎn)述《個(gè)人信息保護(hù)法》中“告知-同意”原則的具體要求。(1).告知內(nèi)容需真實(shí)、準(zhǔn)確、完整，包括處理目的、方式、范圍、保存期限等。

(2).告知需采用顯著方式、清晰易懂的語(yǔ)言，避免用戶(hù)難以理解。

(3).同意需由用戶(hù)主動(dòng)作出，不得通過(guò)捆綁功能、默認(rèn)勾選等方式強(qiáng)迫或誤導(dǎo)。

(4).用戶(hù)有權(quán)撤回同意，撤回后處理者應(yīng)停止處理并刪除相關(guān)信息（法律另有規(guī)定除外）。2.列舉5種常見(jiàn)的網(wǎng)絡(luò)攻擊類(lèi)型，并說(shuō)明其攻擊目標(biāo)。(1).DDoS攻擊：目標(biāo)是通過(guò)海量流量使目標(biāo)服務(wù)器癱瘓，破壞可用性。

(2).勒索軟件（Ransomware）：目標(biāo)是加密用戶(hù)數(shù)據(jù)并索要贖金，破壞機(jī)密性。

(3).跨站腳本攻擊（XSS）：目標(biāo)是在用戶(hù)瀏覽器執(zhí)行惡意代碼，竊取會(huì)話(huà)信息。

(4).中間人攻擊（MITM）：目標(biāo)是攔截通信數(shù)據(jù)，竊取或篡改傳輸內(nèi)容。

(5).漏洞利用攻擊（如CVE漏洞）：目標(biāo)是利用系統(tǒng)未修復(fù)漏洞獲取權(quán)限，破壞完整性。3.說(shuō)明數(shù)據(jù)脫敏與數(shù)據(jù)匿名化的區(qū)別。(1).數(shù)據(jù)脫敏：對(duì)敏感信息進(jìn)行變形處理（如掩碼、泛化），使直接查看無(wú)法獲取原始信息，但可能通過(guò)關(guān)聯(lián)其他數(shù)據(jù)復(fù)原。

(2).數(shù)據(jù)匿名化：通過(guò)技術(shù)手段（如k-匿名、差分隱私）徹底消除數(shù)據(jù)與特定自然人的關(guān)聯(lián)，即使結(jié)合其他信息也無(wú)法識(shí)別個(gè)體。

(3).法律適用：脫敏數(shù)據(jù)仍可能被認(rèn)定為個(gè)人信息，受《個(gè)人信息保護(hù)法》約束；匿名化數(shù)據(jù)不再屬于個(gè)人信息。4.簡(jiǎn)述企業(yè)數(shù)據(jù)泄露應(yīng)急響應(yīng)的主要步驟。(1).檢測(cè)與確認(rèn)：通過(guò)日志分析、監(jiān)控系統(tǒng)發(fā)現(xiàn)異常數(shù)據(jù)流出，確認(rèn)泄露范圍和數(shù)據(jù)類(lèi)型。

(2).隔離與控制：斷開(kāi)受影響系統(tǒng)網(wǎng)絡(luò)連接，凍結(jié)相關(guān)賬號(hào)權(quán)限，防止進(jìn)一步泄露。

(3).評(píng)估與報(bào)告：評(píng)估泄露對(duì)用戶(hù)和企業(yè)的影響，72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告（如GDPR、《個(gè)人信息保護(hù)法》要求）。

(4).用戶(hù)通知：告知受影響用戶(hù)泄露情況、可能風(fēng)險(xiǎn)及補(bǔ)救措施（如修改密碼）。

(5).修復(fù)與改進(jìn)：修復(fù)系統(tǒng)漏洞，更新安全策略，開(kāi)展員工安全培訓(xùn)，防止再次發(fā)生。5.說(shuō)明聯(lián)邦學(xué)習(xí)（FederatedLearning）在隱私保護(hù)中的應(yīng)用價(jià)值。(1).數(shù)據(jù)不出域：參與方在本地訓(xùn)練模型，僅上傳模型參數(shù)（如梯度），原始數(shù)據(jù)保留在本地。

(2).防止數(shù)據(jù)泄露：避免直接共享敏感數(shù)據(jù)（如醫(yī)療、金融數(shù)據(jù)），降低泄露風(fēng)險(xiǎn)。

(3).聯(lián)合建模：多機(jī)構(gòu)可協(xié)作提升模型精度，同時(shí)遵守隱私法規(guī)（如GDPR、《個(gè)人信息保護(hù)法》）。

(4).動(dòng)態(tài)更新：支持持續(xù)迭代模型，適應(yīng)數(shù)據(jù)變化，保持模型有效性。六、綜合分析題（共2題）1.某電商平臺(tái)因系統(tǒng)漏洞導(dǎo)致50萬(wàn)用戶(hù)的姓名、手機(jī)號(hào)、收貨地址泄露。請(qǐng)分析：（1）平臺(tái)可能違反哪些法律法規(guī)？

（2）用戶(hù)可主張哪些權(quán)利？

（3）平臺(tái)應(yīng)采取哪些補(bǔ)救措施？答案：

（1）違反的法律法規(guī)：

-《個(gè)人信息保護(hù)法》：未采取必要技術(shù)措施保障個(gè)人信息安全（第51條），未及時(shí)履行數(shù)據(jù)泄露報(bào)告義務(wù)（第57條）。

-《數(shù)據(jù)安全法》：未履行數(shù)據(jù)安全保護(hù)義務(wù)（第30條），導(dǎo)致重要數(shù)據(jù)（用戶(hù)信息屬于重要數(shù)據(jù)）泄露。

-《網(wǎng)絡(luò)安全法》：未保障網(wǎng)絡(luò)數(shù)據(jù)安全（第21、42條）。（2）用戶(hù)可主張的權(quán)利：

-要求平臺(tái)刪除泄露的個(gè)人信息（被遺忘權(quán)）。

-要求平臺(tái)采取補(bǔ)救措施（如發(fā)送風(fēng)險(xiǎn)提示、提供免費(fèi)身份保護(hù)服務(wù)）。

-