網(wǎng)絡(luò)與信息安全管理員（信息安全管理員）模擬習(xí)題（含參考答案）考試時間：90分鐘滿分：100分崗位適配：網(wǎng)絡(luò)與信息安全管理員、信息安全運(yùn)維崗一、單項選擇題（共20題，每題2分，共40分）信息安全CIA三元組中，“確保授權(quán)用戶能夠可靠、及時地訪問數(shù)據(jù)和資源”指的是（）。A.機(jī)密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.真實(shí)性（Authenticity）根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息應(yīng)當(dāng)經(jīng)被收集者（）。A.知曉B.同意C.備案D.確認(rèn)下列技術(shù)中，主要用于保障數(shù)據(jù)傳輸過程中完整性的是（）。A.對稱加密B.哈希運(yùn)算C.訪問控制列表D.虛擬專用網(wǎng)（VPN）系統(tǒng)中存在的可被威脅源利用的弱點(diǎn)，在信息安全術(shù)語中稱為（）。A.威脅B.風(fēng)險C.漏洞D.暴露根據(jù)《中華人民共和國數(shù)據(jù)安全法》規(guī)定，國家建立數(shù)據(jù)安全（）機(jī)制，發(fā)生數(shù)據(jù)安全事件時啟動應(yīng)急處置措施。A.風(fēng)險評估B.應(yīng)急處置C.分級分類D.投訴舉報下列屬于網(wǎng)絡(luò)安全被動防御技術(shù)的是（）。A.入侵檢測系統(tǒng)（IDS）B.防火墻C.數(shù)據(jù)加密D.漏洞掃描用于確保某人不能否認(rèn)自己是特定行為發(fā)起方的安全屬性是（）。A.真實(shí)性B.不可否認(rèn)性C.機(jī)密性D.完整性網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全（）。A.存儲管理制度B.備份管理制度C.用戶信息保護(hù)制度D.訪問控制制度下列措施中，主要用于提升系統(tǒng)可用性的是（）。A.數(shù)據(jù)加密B.RAID技術(shù)C.強(qiáng)口令策略D.防火墻配置任何個人和組織有權(quán)對危害網(wǎng)絡(luò)安全的行為向（）等部門舉報。A.網(wǎng)信、電信、公安B.工商、稅務(wù)、公安C.網(wǎng)信、市場監(jiān)管、電信D.公安、應(yīng)急管理、網(wǎng)信攻擊者通過偽裝成合法用戶獲取敏感信息的攻擊方式屬于（）。A.暴力破解B.社交工程攻擊C.跨站腳本攻擊D.拒絕服務(wù)攻擊根據(jù)《數(shù)據(jù)安全法》規(guī)定，違反本法規(guī)定給他人造成損害的，依法承擔(dān)（）。A.行政責(zé)任B.民事責(zé)任C.刑事責(zé)任D.連帶責(zé)任下列關(guān)于漏洞與風(fēng)險的關(guān)系描述正確的是（）。A.漏洞必然導(dǎo)致風(fēng)險B.風(fēng)險是威脅利用漏洞的可能性及影響C.漏洞是風(fēng)險造成的損失實(shí)例D.風(fēng)險可通過技術(shù)手段完全消除網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶（）。A.事后告知B.提醒注意C.明示并取得同意D.書面說明用于驗證用戶身份的“用戶名+密碼”組合，屬于（）。A.單因素認(rèn)證B.雙因素認(rèn)證C.多因素認(rèn)證D.零信任認(rèn)證國家對與維護(hù)國家安全相關(guān)的屬于管制物項的數(shù)據(jù)依法實(shí)施（）管制。A.進(jìn)口B.出口C.存儲D.傳輸下列安全控制措施中，同時涉及機(jī)密性與完整性保障的是（）。A.防火墻B.入侵防御系統(tǒng)C.TLS加密D.數(shù)據(jù)備份提供智能化公共服務(wù)時，應(yīng)當(dāng)充分考慮（）的需求，避免造成使用障礙。A.老年人、殘疾人B.未成年人C.外籍人士D.農(nóng)村居民在信息安全治理中，企業(yè)安全架構(gòu)應(yīng)與業(yè)務(wù)戰(zhàn)略保持一致，這體現(xiàn)了（）原則。A.風(fēng)險導(dǎo)向B.戰(zhàn)略一致性C.流程強(qiáng)化D.合規(guī)優(yōu)先下列關(guān)于零信任架構(gòu)的核心理念描述正確的是（）。A.內(nèi)網(wǎng)可信，外網(wǎng)不可信B.持續(xù)驗證，永不信任C.邊界防護(hù)，深度防御D.權(quán)限最小，動態(tài)調(diào)整二、多項選擇題（共10題，每題3分，共30分，多選、少選、錯選均不得分）信息安全治理框架包含的核心元素有（）。A.安全策略B.工作程序C.安全基線D.合規(guī)標(biāo)準(zhǔn)根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)安全是指保障網(wǎng)絡(luò)數(shù)據(jù)的（）的能力。A.完整性B.保密性C.可用性D.可追溯性下列屬于保障數(shù)據(jù)完整性的技術(shù)措施有（）。A.哈希運(yùn)算B.數(shù)字簽名C.循環(huán)冗余校驗（CRC）D.訪問控制數(shù)據(jù)安全風(fēng)險評估報告應(yīng)當(dāng)向有關(guān)主管部門報送，評估的核心內(nèi)容包括（）。A.數(shù)據(jù)處理活動情況B.安全風(fēng)險識別結(jié)果C.已采取的防護(hù)措施D.風(fēng)險應(yīng)對建議下列屬于網(wǎng)絡(luò)安全主動防御技術(shù)的有（）。A.漏洞掃描B.入侵防御系統(tǒng)（IPS）C.安全意識培訓(xùn)D.數(shù)據(jù)備份網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)包括（）。A.持續(xù)提供安全維護(hù)B.保護(hù)用戶個人信息C.落實(shí)等級保護(hù)制度D.開展風(fēng)險評估下列關(guān)于威脅與威脅載體的描述正確的有（）。A.威脅是利用漏洞的潛在危險B.威脅載體可以是入侵方或內(nèi)部員工C.威脅載體是威脅的具體實(shí)施者D.威脅可通過安全對策完全消除國家支持開發(fā)利用數(shù)據(jù)提升公共服務(wù)智能化水平，應(yīng)遵循的原則有（）。A.合法利用B.有序流動C.權(quán)益保障D.自由傳輸安全對策（控制措施）的主要類型包括（）。A.技術(shù)對策（如防火墻）B.管理對策（如安全制度）C.物理對策（如安全警衛(wèi)）D.應(yīng)急對策（如災(zāi)難恢復(fù)）違反《數(shù)據(jù)安全法》規(guī)定，可能承擔(dān)的法律責(zé)任包括（）。A.民事賠償B.行政處罰C.刑事責(zé)任D.信用懲戒三、判斷題（共10題，每題1分，共10分，正確的打“√”，錯誤的打“×”）真實(shí)性與不可否認(rèn)性的核心區(qū)別是：真實(shí)性證明身份，不可否認(rèn)性證明行為。（）網(wǎng)絡(luò)運(yùn)營者可根據(jù)業(yè)務(wù)需要，在規(guī)定期限內(nèi)終止提供安全維護(hù)服務(wù)。（）負(fù)載均衡技術(shù)主要用于提升系統(tǒng)的可用性，避免單點(diǎn)故障。（）境內(nèi)組織向外國執(zhí)法機(jī)構(gòu)提供境內(nèi)數(shù)據(jù)，無需經(jīng)過主管機(jī)關(guān)批準(zhǔn)。（）漏洞利用是指威脅源利用漏洞造成損失的實(shí)際實(shí)例。（）哈希運(yùn)算具有不可逆性，可用于驗證數(shù)據(jù)完整性但不能用于加密傳輸。（）安全治理僅需技術(shù)部門負(fù)責(zé)，與高級管理層無關(guān)。（）收到網(wǎng)絡(luò)安全投訴、舉報的部門，應(yīng)當(dāng)對投訴人的信息予以保密。（）數(shù)據(jù)安全事件應(yīng)急處置的核心目標(biāo)是消除隱患、防止危害擴(kuò)大。（）訪問控制技術(shù)僅能保障數(shù)據(jù)機(jī)密性，無法保障完整性。（）四、簡答題（共2題，每題10分，共20分）簡述信息安全CIA三元組的核心內(nèi)涵及對應(yīng)的典型安全控制措施。作為網(wǎng)絡(luò)與信息安全管理員，當(dāng)企業(yè)發(fā)生用戶個人信息泄露事件時，應(yīng)按照哪些流程開展應(yīng)急處置？參考答案及詳解一、單項選擇題C解析：可用性確保授權(quán)用戶能及時訪問資源，機(jī)密性保障信息不被未授權(quán)訪問，完整性防止信息被篡改，真實(shí)性驗證來源可靠性。B解析：《網(wǎng)絡(luò)安全法》明確規(guī)定，收集個人信息需經(jīng)被收集者同意，遵循合法、正當(dāng)、必要原則。B解析：哈希運(yùn)算通過生成固定長度摘要驗證數(shù)據(jù)完整性，對稱加密保障機(jī)密性，訪問控制列表控制權(quán)限，VPN保障傳輸安全。C解析：漏洞是系統(tǒng)弱點(diǎn)，威脅是潛在危險，風(fēng)險是威脅利用漏洞的可能性及影響，暴露是損失實(shí)例。B解析：《數(shù)據(jù)安全法》規(guī)定國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，應(yīng)對突發(fā)安全事件。A解析：IDS僅檢測入侵行為不主動阻斷，屬于被動防御；防火墻、加密、漏洞掃描均為主動防御措施。B解析：不可否認(rèn)性通過數(shù)字簽名等技術(shù)確保行為可追溯，防止抵賴；真實(shí)性驗證身份合法性。C解析：《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營者建立健全用戶信息保護(hù)制度，保障個人信息安全。B解析：RAID技術(shù)通過磁盤冗余提升可用性，數(shù)據(jù)加密保障機(jī)密性，強(qiáng)口令和防火墻屬于訪問控制與邊界防護(hù)。A解析：網(wǎng)信、電信、公安是網(wǎng)絡(luò)安全舉報的主要受理部門，負(fù)責(zé)依法處理危害網(wǎng)絡(luò)安全的行為。B解析：社交工程攻擊通過偽裝、欺騙等手段獲取敏感信息，暴力破解通過窮舉嘗試密碼，跨站腳本攻擊利用網(wǎng)頁漏洞，拒絕服務(wù)攻擊阻斷系統(tǒng)服務(wù)。B解析：《數(shù)據(jù)安全法》規(guī)定，造成損害的首先承擔(dān)民事責(zé)任，構(gòu)成犯罪的追究刑事責(zé)任。B解析：風(fēng)險是威脅利用漏洞的可能性及業(yè)務(wù)影響，漏洞是風(fēng)險的前提但不必然導(dǎo)致風(fēng)險，漏洞利用是損失實(shí)例，風(fēng)險可緩解但無法完全消除。C解析：收集用戶信息的產(chǎn)品/服務(wù)提供者，必須明示并取得用戶同意，不得秘密收集。A解析：“用戶名+密碼”僅屬于單因素認(rèn)證（知識因素），雙因素認(rèn)證需結(jié)合兩種不同類型因素（如密碼+驗證碼）。B解析：國家對與國家安全相關(guān)的管制物項數(shù)據(jù)實(shí)施出口管制，維護(hù)數(shù)據(jù)出境安全。C解析：TLS加密既保障傳輸過程的機(jī)密性（防止竊聽），又通過數(shù)字證書和哈希保障完整性（防止篡改）。A解析：《數(shù)據(jù)安全法》要求智能化公共服務(wù)充分考慮老年人、殘疾人需求，避免使用障礙。B解析：戰(zhàn)略一致性是安全治理的核心原則，確保安全架構(gòu)與業(yè)務(wù)戰(zhàn)略、合規(guī)要求保持一致。B解析：零信任架構(gòu)的核心是“持續(xù)驗證，永不信任”，打破內(nèi)外網(wǎng)邊界，對每個訪問請求進(jìn)行動態(tài)驗證。二、多項選擇題ABCD解析：信息安全治理框架包含安全策略、工作程序、基線標(biāo)準(zhǔn)、合規(guī)要求等核心元素，形成完整的安全管理體系。ABC解析：《網(wǎng)絡(luò)安全法》定義網(wǎng)絡(luò)安全的核心是保障數(shù)據(jù)的完整性、保密性、可用性，可追溯性并非法定核心要素。ABC解析：哈希運(yùn)算、數(shù)字簽名、CRC均用于驗證數(shù)據(jù)完整性，訪問控制主要保障機(jī)密性。ABCD解析：數(shù)據(jù)安全風(fēng)險評估需涵蓋處理活動、風(fēng)險識別、防護(hù)措施、應(yīng)對建議等內(nèi)容，確保評估全面性。AB解析：漏洞掃描主動發(fā)現(xiàn)系統(tǒng)弱點(diǎn)，IPS主動阻斷入侵行為，均為主動防御；安全培訓(xùn)是管理措施，數(shù)據(jù)備份是被動恢復(fù)手段。ABCD解析：網(wǎng)絡(luò)運(yùn)營者需履行持續(xù)安全維護(hù)、用戶信息保護(hù)、等級保護(hù)落實(shí)、風(fēng)險評估等多項安全義務(wù)。ABC解析：威脅是潛在危險，威脅載體是實(shí)施者（如黑客、內(nèi)部員工），安全對策可緩解風(fēng)險但無法完全消除威脅。ABC解析：數(shù)據(jù)利用需遵循合法、有序流動、權(quán)益保障原則，自由傳輸需以合規(guī)為前提。ABCD解析：安全對策包括技術(shù)（防火墻）、管理（制度）、物理（警衛(wèi)）、應(yīng)急（災(zāi)備）等多種類型，形成多層防護(hù)體系。ABCD解析：違反《數(shù)據(jù)安全法》可能承擔(dān)民事賠償、行政處罰、刑事責(zé)任，同時納入信用懲戒。三、判斷題√解析：真實(shí)性驗證“對方是誰”，不可否認(rèn)性證明“誰做了什么”，二者核心區(qū)別明確?！两馕觯骸毒W(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)產(chǎn)品/服務(wù)提供者在規(guī)定或約定期限內(nèi)不得終止安全維護(hù)?！探馕觯贺?fù)載均衡通過分發(fā)流量至多個節(jié)點(diǎn)，避免單點(diǎn)故障，提升系統(tǒng)可用性?！两馕觯骸稊?shù)據(jù)安全法》要求，向外國司法/執(zhí)法機(jī)構(gòu)提供境內(nèi)數(shù)據(jù)需經(jīng)主管機(jī)關(guān)批準(zhǔn)?！探馕觯郝┒蠢檬峭{源成功利用漏洞造成損失的實(shí)際發(fā)生實(shí)例，屬于風(fēng)險轉(zhuǎn)化為損失的過程?！探馕觯汗＿\(yùn)算不可逆，僅能驗證完整性（比對摘要），無法通過摘要還原原始數(shù)據(jù)，故不能用于加密傳輸?！两馕觯喊踩卫硇韪呒壒芾韺又鲗?dǎo)，明確安全目標(biāo)并保障資源投入，并非僅技術(shù)部門職責(zé)?！探馕觯簽楸Ｗo(hù)投訴人權(quán)益，受理部門必須對投訴人信息予以保密，防止打擊報復(fù)?！探馕觯簲?shù)據(jù)安全事件應(yīng)急處置的核心是啟動預(yù)案、控制事態(tài)、消除隱患，防止危害擴(kuò)大。×解析：訪問控制通過限制修改權(quán)限，可同時保障數(shù)據(jù)機(jī)密性（防止未授權(quán)讀取）和完整性（防止未授權(quán)修改）。四、簡答題答案要點(diǎn)：（1）機(jī)密性（Confidentiality）：核心內(nèi)涵是阻止未授權(quán)實(shí)體訪問信息資產(chǎn)。典型控制措施包括：靜態(tài)數(shù)據(jù)加密（全盤加密、數(shù)據(jù)庫加密）、傳輸數(shù)據(jù)加密（TLS、IPSec）、嚴(yán)格訪問控制（權(quán)限分級、ACL配置）、人員保密培訓(xùn)等。（2）完整性（Integrity）：核心內(nèi)涵是確保資產(chǎn)不存在未經(jīng)授權(quán)的更改。典型控制措施包括：哈希運(yùn)算（SHA-256等算法）、數(shù)字簽名、循環(huán)冗余校驗（CRC）、配置變更控制、軟件數(shù)字簽名驗證等。（3）可用性（Availability）：核心內(nèi)涵是保障授權(quán)用戶可靠、及時訪問資源。典型控制措施包括：RAID磁盤陣列、集群與負(fù)載均衡技術(shù)、冗余電源與網(wǎng)絡(luò)鏈路、數(shù)據(jù)備份與容災(zāi)切換、定期系統(tǒng)維護(hù)等。答案要點(diǎn)：（1）事件響應(yīng)啟動：立即核實(shí)泄露事件真實(shí)性（如泄露范圍、涉及數(shù)據(jù)類型、泄露渠道），向主管領(lǐng)導(dǎo)匯報并啟動應(yīng)急預(yù)案，成立應(yīng)急處置小組。（2）風(fēng)險評估與止損：評估泄露數(shù)據(jù)的敏感級別（如身份證號、銀行卡信息）及影響范圍，采取緊急止損措施（如關(guān)閉泄露源頭、暫停相關(guān)系統(tǒng)服務(wù)、重置用戶密碼）。（3）合規(guī)通報與上報：若涉及大量用戶信息