網(wǎng)絡(luò)與數(shù)據(jù)安全知識競賽試題及答案第一部分單項(xiàng)選擇題（共20題，每題2分，共40分）1.根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行（）次檢測評估。A.1B.2C.3D.42.以下哪項(xiàng)不屬于《個(gè)人信息保護(hù)法》中“個(gè)人信息”的范疇？A.姓名、身份證號碼B.通信記錄、行蹤軌跡C.匿名化處理后無法識別特定自然人的信息D.健康信息、生物識別信息3.數(shù)據(jù)安全風(fēng)險(xiǎn)評估的核心目的是（）。A.完成監(jiān)管要求的合規(guī)流程B.識別數(shù)據(jù)資產(chǎn)的價(jià)值、威脅及脆弱性C.提高數(shù)據(jù)處理效率D.減少數(shù)據(jù)存儲(chǔ)成本4.某企業(yè)因數(shù)據(jù)泄露導(dǎo)致10萬用戶個(gè)人信息被非法出售，根據(jù)《數(shù)據(jù)安全法》，監(jiān)管部門可對其處以最高（）的罰款。A.100萬元B.500萬元C.上一年度營業(yè)額5%D.上一年度營業(yè)額10%5.以下哪種加密技術(shù)屬于對稱加密算法？A.RSAB.AESC.ECCD.SHA2566.根據(jù)《網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T222392019），第三級信息系統(tǒng)的安全保護(hù)等級屬于（）。A.用戶自主保護(hù)級B.系統(tǒng)審計(jì)保護(hù)級C.安全標(biāo)記保護(hù)級D.結(jié)構(gòu)化保護(hù)級7.數(shù)據(jù)跨境流動(dòng)中，“白名單”機(jī)制通常指（）。A.允許特定國家或地區(qū)的數(shù)據(jù)自由流動(dòng)B.禁止高風(fēng)險(xiǎn)國家的數(shù)據(jù)流入C.對企業(yè)數(shù)據(jù)出口進(jìn)行備案管理D.要求數(shù)據(jù)接收方通過國際安全認(rèn)證8.以下哪項(xiàng)不屬于網(wǎng)絡(luò)安全事件分級的依據(jù)？A.事件的影響范圍B.事件的技術(shù)復(fù)雜度C.事件造成的經(jīng)濟(jì)損失D.事件對社會(huì)秩序的影響程度9.某APP在用戶注冊時(shí)要求提供通訊錄、短信記錄等非必要信息，違反了（）原則。A.最小必要B.公開透明C.目的明確D.完整準(zhǔn)確10.關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定應(yīng)當(dāng)堅(jiān)持（）的原則。A.誰運(yùn)營誰負(fù)責(zé)B.行業(yè)主管部門主導(dǎo)C.安全優(yōu)先于發(fā)展D.動(dòng)態(tài)調(diào)整11.數(shù)據(jù)脫敏技術(shù)中，“將身份證號中的出生年月替換為‘’”屬于（）。A.掩碼處理B.加密處理C.匿名化處理D.去標(biāo)識化處理12.根據(jù)《密碼法》，以下哪類密碼由國家密碼管理部門負(fù)責(zé)管理？A.核心密碼B.商用密碼C.普通密碼D.民間密碼13.網(wǎng)絡(luò)安全審查的重點(diǎn)內(nèi)容不包括（）。A.產(chǎn)品和服務(wù)使用后對國家安全的影響B(tài).產(chǎn)品和服務(wù)的供應(yīng)鏈安全風(fēng)險(xiǎn)C.產(chǎn)品和服務(wù)的市場占有率D.產(chǎn)品和服務(wù)收集、存儲(chǔ)數(shù)據(jù)的安全性14.個(gè)人信息主體的“刪除權(quán)”在以下哪種情形下無法行使？A.個(gè)人信息處理目的已實(shí)現(xiàn)B.個(gè)人信息處理違反法律規(guī)定C.個(gè)人信息存儲(chǔ)時(shí)間已超出約定D.個(gè)人信息用于合法新聞報(bào)道15.以下哪項(xiàng)屬于網(wǎng)絡(luò)安全技術(shù)中的“主動(dòng)防御”手段？A.防火墻B.入侵檢測系統(tǒng)（IDS）C.蜜罐技術(shù)D.漏洞掃描16.根據(jù)《數(shù)據(jù)安全法》，國家建立數(shù)據(jù)分類分級保護(hù)制度，分類分級的依據(jù)是（）。A.數(shù)據(jù)的產(chǎn)生部門B.數(shù)據(jù)的敏感程度和重要性C.數(shù)據(jù)的存儲(chǔ)介質(zhì)D.數(shù)據(jù)的傳輸頻率17.某企業(yè)擬將境內(nèi)收集的用戶健康數(shù)據(jù)傳輸至境外母公司，應(yīng)當(dāng)首先（）。A.進(jìn)行數(shù)據(jù)出境安全評估B.與境外接收方簽訂標(biāo)準(zhǔn)合同C.向行業(yè)主管部門備案D.對數(shù)據(jù)進(jìn)行加密處理18.以下哪種攻擊方式屬于“社會(huì)工程學(xué)攻擊”？A.SQL注入B.釣魚郵件C.DDoS攻擊D.勒索軟件19.數(shù)據(jù)安全治理的核心目標(biāo)是（）。A.滿足合規(guī)要求B.平衡數(shù)據(jù)利用與安全風(fēng)險(xiǎn)C.減少數(shù)據(jù)存儲(chǔ)量D.提高數(shù)據(jù)處理速度20.根據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循的原則不包括（）。A.合法B.正當(dāng)C.必要D.盈利第二部分多項(xiàng)選擇題（共10題，每題3分，共30分）1.以下屬于《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)運(yùn)營者義務(wù)的有（）。A.制定內(nèi)部安全管理制度和操作規(guī)程B.采取技術(shù)措施防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊C.為用戶提供信息刪除和賬號注銷服務(wù)D.定期向社會(huì)公開網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告2.數(shù)據(jù)安全風(fēng)險(xiǎn)評估的主要內(nèi)容包括（）。A.數(shù)據(jù)資產(chǎn)清單梳理B.威脅源與脆弱性分析C.現(xiàn)有安全控制措施有效性評估D.風(fēng)險(xiǎn)等級判定與處置建議3.個(gè)人信息處理者應(yīng)當(dāng)在以下哪些情形下重新取得個(gè)人同意？A.變更個(gè)人信息處理目的B.增加個(gè)人信息處理方式C.擴(kuò)大個(gè)人信息處理范圍D.更換個(gè)人信息存儲(chǔ)服務(wù)器4.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)當(dāng)履行的安全保護(hù)義務(wù)包括（）。A.設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人B.對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份C.定期開展網(wǎng)絡(luò)安全檢測評估D.優(yōu)先采購境內(nèi)網(wǎng)絡(luò)產(chǎn)品和服務(wù)5.以下屬于數(shù)據(jù)安全技術(shù)措施的有（）。A.訪問控制（RBAC）B.數(shù)據(jù)加密傳輸C.日志審計(jì)與留存D.員工安全培訓(xùn)6.根據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者應(yīng)當(dāng)公開的內(nèi)容包括（）。A.個(gè)人信息處理規(guī)則B.個(gè)人信息存儲(chǔ)期限C.個(gè)人信息共享對象D.個(gè)人信息安全負(fù)責(zé)人聯(lián)系方式7.網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的主要步驟包括（）。A.事件檢測與確認(rèn)B.事件隔離與抑制C.根本原因分析D.恢復(fù)與事后總結(jié)8.數(shù)據(jù)跨境流動(dòng)的合規(guī)路徑包括（）。A.通過國家網(wǎng)信部門組織的安全評估B.與境外接收方簽訂標(biāo)準(zhǔn)合同C.由專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證D.經(jīng)數(shù)據(jù)主體單獨(dú)同意并告知風(fēng)險(xiǎn)9.以下哪些行為可能構(gòu)成侵犯公民個(gè)人信息罪？A.非法出售50條行蹤軌跡信息B.非法提供500條通信內(nèi)容信息C.非法獲取1000條住宿信息D.非法使用100條健康信息10.網(wǎng)絡(luò)安全等級保護(hù)的“三重防護(hù)”體系包括（）。A.技術(shù)防護(hù)B.管理防護(hù)C.物理防護(hù)D.人員防護(hù)第三部分判斷題（共10題，每題1分，共10分）1.匿名化處理后的信息不屬于《個(gè)人信息保護(hù)法》的保護(hù)范圍。（）2.數(shù)據(jù)安全責(zé)任可通過簽訂外包協(xié)議轉(zhuǎn)移給第三方服務(wù)提供商。（）3.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全審查。（）4.個(gè)人信息處理者可以將人臉信息與其他個(gè)人信息結(jié)合使用，無需額外告知。（）5.數(shù)據(jù)分類分級的目的是對所有數(shù)據(jù)采取相同強(qiáng)度的保護(hù)措施。（）6.網(wǎng)絡(luò)安全事件發(fā)生后，運(yùn)營者只需向行業(yè)主管部門報(bào)告，無需向社會(huì)公開。（）7.商用密碼可以用于保護(hù)不屬于國家秘密的信息。（）8.數(shù)據(jù)處理者應(yīng)當(dāng)對其數(shù)據(jù)處理活動(dòng)負(fù)責(zé)，并采取必要措施保障數(shù)據(jù)安全。（）9.未經(jīng)用戶同意，APP不得通過自動(dòng)收集設(shè)備IMEI號的方式識別用戶。（）10.網(wǎng)絡(luò)安全等級保護(hù)制度僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施，普通信息系統(tǒng)無需遵守。（）第四部分簡答題（共3題，每題5分，共15分）1.簡述《數(shù)據(jù)安全法》中“重要數(shù)據(jù)”的定義及識別原則。2.列舉個(gè)人信息處理者在處理敏感個(gè)人信息時(shí)需額外履行的義務(wù)。3.說明網(wǎng)絡(luò)安全“零信任”架構(gòu)的核心思想及主要實(shí)施策略。第五部分案例分析題（共1題，15分）背景：某電商平臺(tái)（以下簡稱“A公司”）在用戶購物過程中收集了姓名、手機(jī)號、收貨地址、支付記錄、瀏覽歷史等信息。2023年10月，A公司發(fā)現(xiàn)其用戶數(shù)據(jù)庫被黑客攻擊，導(dǎo)致50萬條用戶信息（含10萬條支付記錄）泄露。經(jīng)調(diào)查，攻擊原因是數(shù)據(jù)庫未啟用訪問控制，且日志未留存超過7天。問題：（1）A公司的行為違反了哪些網(wǎng)絡(luò)與數(shù)據(jù)安全相關(guān)法律法規(guī)的具體條款？（2）從技術(shù)和管理角度，分析A公司應(yīng)采取哪些整改措施？（3）用戶因信息泄露遭受財(cái)產(chǎn)損失，可依據(jù)哪些法律主張賠償？參考答案第一部分單項(xiàng)選擇題15：ACBCB610：DABAD1115：AACDC1620：BABBD第二部分多項(xiàng)選擇題1.ABC2.ABCD3.ABC4.ABC5.ABC6.ABCD7.ABCD8.ABC9.ABC10.ABC第三部分判斷題1.√2.×3.√4.×5.×6.×7.√8.√9.√10.×第四部分簡答題1.重要數(shù)據(jù)是指一旦泄露、篡改、毀損或者非法獲取、非法利用，可能危害國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)。識別原則包括：（1）堅(jiān)持總體國家安全觀，統(tǒng)籌發(fā)展和安全；（2）結(jié)合數(shù)據(jù)的業(yè)務(wù)場景、敏感程度、影響范圍；（3）由行業(yè)主管部門或監(jiān)管部門制定具體目錄；（4）動(dòng)態(tài)調(diào)整，根據(jù)實(shí)際情況更新。2.處理敏感個(gè)人信息時(shí)需額外履行的義務(wù)：（1）取得個(gè)人的單獨(dú)同意（法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的，從其規(guī)定）；（2）向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響；（3）制定專門的處理規(guī)則；（4）采取嚴(yán)格的加密、訪問控制等安全技術(shù)措施；（5）定期進(jìn)行安全影響評估并記錄。3.零信任架構(gòu)的核心思想是“永不信任，始終驗(yàn)證”，默認(rèn)認(rèn)為網(wǎng)絡(luò)中不存在絕對安全的區(qū)域，所有訪問請求（無論來自內(nèi)部或外部）都需經(jīng)過身份驗(yàn)證、權(quán)限校驗(yàn)和持續(xù)監(jiān)控。主要實(shí)施策略包括：（1）最小權(quán)限訪問控制；（2）持續(xù)身份驗(yàn)證與授權(quán)；（3）微隔離技術(shù)分割網(wǎng)絡(luò)區(qū)域；（4）全流量檢測與日志審計(jì)；（5）自動(dòng)化響應(yīng)與風(fēng)險(xiǎn)處置。第五部分案例分析題（1）違反的法律法規(guī)及條款：《網(wǎng)絡(luò)安全法》第二十一條（網(wǎng)絡(luò)運(yùn)營者應(yīng)制定內(nèi)部安全管理制度、采取技術(shù)措施防范攻擊、留存日志不少于6個(gè)月）；《數(shù)據(jù)安全法》第二十七條（數(shù)據(jù)處理者應(yīng)采取必要措施保障數(shù)據(jù)安全）、第三十條（重要數(shù)據(jù)處理者應(yīng)進(jìn)行風(fēng)險(xiǎn)評估）；《個(gè)人信息保護(hù)法》第二十九條（處理敏感個(gè)人信息需取得單獨(dú)同意）、第五十一條（個(gè)人信息處理者應(yīng)采取加密、訪問控制等安全技術(shù)措施）。（2）整改措施：技術(shù)角度：①啟用數(shù)據(jù)庫訪問控制（如RBAC），限制最小權(quán)限；②部署入侵檢測系統(tǒng)（IDS）和防火墻，監(jiān)測異常訪問；③延長日志留存時(shí)間至6個(gè)月以上，并進(jìn)行加密存儲(chǔ)；④對支付記錄等敏感數(shù)據(jù)實(shí)施加密存儲(chǔ)和傳輸（如AES256）；⑤定期進(jìn)行漏洞掃描和滲透測試。管理角度：①制定數(shù)據(jù)安全管理制度，