四川省2025年度大數(shù)據(jù)時(shí)代的互聯(lián)網(wǎng)信息安全考試及答案一、單項(xiàng)選擇題（每題2分，共40分）1.依據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》，以下哪類數(shù)據(jù)不屬于“重要數(shù)據(jù)”范疇？A.四川省電子信息產(chǎn)業(yè)關(guān)鍵技術(shù)研發(fā)數(shù)據(jù)B.成都市人口健康醫(yī)療大數(shù)據(jù)C.某互聯(lián)網(wǎng)平臺(tái)用戶點(diǎn)贊行為統(tǒng)計(jì)數(shù)據(jù)D.川藏鐵路建設(shè)工程地質(zhì)勘探數(shù)據(jù)答案：C2.大數(shù)據(jù)環(huán)境下，攻擊者通過(guò)分析多源低敏感數(shù)據(jù)關(guān)聯(lián)出高敏感信息的行為，屬于哪種安全威脅？A.數(shù)據(jù)泄露B.數(shù)據(jù)篡改C.數(shù)據(jù)聚合攻擊D.數(shù)據(jù)擦除失效答案：C3.某企業(yè)采用聯(lián)邦學(xué)習(xí)技術(shù)處理跨機(jī)構(gòu)醫(yī)療數(shù)據(jù)聯(lián)合建模，其核心安全目標(biāo)是？A.確保原始數(shù)據(jù)不出域B.提升模型訓(xùn)練速度C.降低計(jì)算資源消耗D.實(shí)現(xiàn)數(shù)據(jù)完全共享答案：A4.根據(jù)《個(gè)人信息保護(hù)法》，處理生物識(shí)別、醫(yī)療健康等敏感個(gè)人信息時(shí)，除“告知-同意”外，還需滿足的額外條件是？A.取得個(gè)人單獨(dú)同意B.經(jīng)第三方機(jī)構(gòu)認(rèn)證C.向省級(jí)網(wǎng)信部門備案D.公開處理規(guī)則的具體算法答案：A5.零信任架構(gòu)（ZeroTrustArchitecture）的核心原則是？A.最小權(quán)限訪問(wèn)B.邊界防御優(yōu)先C.信任內(nèi)部網(wǎng)絡(luò)D.集中式身份認(rèn)證答案：A6.以下哪種技術(shù)可實(shí)現(xiàn)“數(shù)據(jù)可用不可見”，支持跨機(jī)構(gòu)數(shù)據(jù)協(xié)同分析？A.數(shù)據(jù)脫敏B.同態(tài)加密C.哈希算法D.數(shù)字簽名答案：B7.四川省某關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（CIIO）發(fā)生數(shù)據(jù)安全事件，造成10萬(wàn)人以上個(gè)人信息泄露，根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，應(yīng)當(dāng)在多長(zhǎng)時(shí)間內(nèi)向省級(jí)公安、網(wǎng)信部門報(bào)告？A.1小時(shí)內(nèi)B.2小時(shí)內(nèi)C.24小時(shí)內(nèi)D.48小時(shí)內(nèi)答案：B8.攻擊者利用AI提供逼真的偽造視頻（Deepfake）實(shí)施詐騙，主要威脅的安全屬性是？A.保密性B.完整性C.可用性D.真實(shí)性答案：D9.某政務(wù)云平臺(tái)采用“數(shù)據(jù)分類分級(jí)”管理，其中“省級(jí)人口基礎(chǔ)信息庫(kù)”應(yīng)劃定的級(jí)別是？A.一般數(shù)據(jù)B.重要數(shù)據(jù)C.核心數(shù)據(jù)D.公開數(shù)據(jù)答案：C10.區(qū)塊鏈技術(shù)在數(shù)據(jù)安全領(lǐng)域的主要應(yīng)用是？A.實(shí)現(xiàn)數(shù)據(jù)匿名化B.保障數(shù)據(jù)不可篡改C.提升數(shù)據(jù)存儲(chǔ)容量D.替代傳統(tǒng)加密算法答案：B11.以下哪項(xiàng)不屬于大數(shù)據(jù)安全治理的“三同步”原則？A.同步規(guī)劃B.同步建設(shè)C.同步運(yùn)營(yíng)D.同步評(píng)估答案：C12.某企業(yè)因數(shù)據(jù)安全漏洞導(dǎo)致用戶銀行卡信息泄露，根據(jù)《網(wǎng)絡(luò)安全法》，監(jiān)管部門可對(duì)其處以最高多少罰款？A.50萬(wàn)元B.200萬(wàn)元C.500萬(wàn)元D.上一年度營(yíng)業(yè)額5%答案：D13.隱私計(jì)算中“多方安全計(jì)算（MPC）”的核心是？A.在加密數(shù)據(jù)上直接計(jì)算B.對(duì)原始數(shù)據(jù)進(jìn)行脫敏處理C.由第三方機(jī)構(gòu)統(tǒng)一計(jì)算D.僅共享計(jì)算結(jié)果不共享數(shù)據(jù)答案：A14.攻擊者通過(guò)誘導(dǎo)用戶點(diǎn)擊惡意鏈接獲取會(huì)話令牌（SessionToken），屬于哪種攻擊類型？A.跨站腳本攻擊（XSS）B.會(huì)話劫持（SessionHijacking）C.SQL注入攻擊D.拒絕服務(wù)攻擊（DoS）答案：B15.根據(jù)《數(shù)據(jù)安全管理辦法（征求意見稿）》，數(shù)據(jù)處理者應(yīng)當(dāng)每年至少開展幾次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估？A.1次B.2次C.3次D.4次答案：A16.以下哪種數(shù)據(jù)脫敏技術(shù)適用于保留數(shù)據(jù)分布特征但隱藏具體值？A.替換（Replacement）B.泛化（Generalization）C.掩碼（Masking）D.打亂（Shuffling）答案：B17.AI模型訓(xùn)練中，攻擊者通過(guò)注入惡意樣本使模型在特定輸入下輸出錯(cuò)誤結(jié)果，這種攻擊稱為？A.對(duì)抗樣本攻擊（AdversarialExampleAttack）B.模型竊取攻擊（ModelStealing）C.數(shù)據(jù)投毒攻擊（DataPoisoning）D.推理攻擊（InferenceAttack）答案：C18.某金融機(jī)構(gòu)將客戶交易數(shù)據(jù)存儲(chǔ)于云服務(wù)器，其數(shù)據(jù)主權(quán)歸屬應(yīng)為？A.云服務(wù)提供商B.金融機(jī)構(gòu)C.客戶本人D.國(guó)家監(jiān)管部門答案：B19.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中，大數(shù)據(jù)安全擴(kuò)展要求新增的“數(shù)據(jù)資源安全”不包括？A.數(shù)據(jù)脫敏B.數(shù)據(jù)備份恢復(fù)C.數(shù)據(jù)生命周期管理D.數(shù)據(jù)共享安全答案：B20.四川省推動(dòng)“東數(shù)西算”工程中，跨區(qū)域數(shù)據(jù)傳輸?shù)暮诵陌踩枨笫?？A.降低傳輸延遲B.保障傳輸過(guò)程加密C.擴(kuò)大傳輸帶寬D.實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)同步答案：B二、填空題（每題2分，共20分）1.《數(shù)據(jù)安全法》規(guī)定，國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行________。答案：分類分級(jí)保護(hù)2.大數(shù)據(jù)安全的“三要素”是數(shù)據(jù)本身安全、________、數(shù)據(jù)處理安全。答案：數(shù)據(jù)系統(tǒng)安全3.隱私增強(qiáng)技術(shù)（PETs）主要包括匿名化技術(shù)、________、隱私計(jì)算技術(shù)等。答案：去標(biāo)識(shí)化技術(shù)4.關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定進(jìn)行________。答案：國(guó)家安全審查5.數(shù)據(jù)泄露事件應(yīng)急響應(yīng)的“黃金四小時(shí)”原則要求，在事件發(fā)生后________小時(shí)內(nèi)完成初步處置。答案：46.區(qū)塊鏈的共識(shí)機(jī)制中，________（算法）通過(guò)計(jì)算哈希值競(jìng)爭(zhēng)記賬權(quán)，適用于公鏈場(chǎng)景。答案：工作量證明（PoW）7.AI模型的“可解釋性”是指能夠________模型決策的過(guò)程和結(jié)果。答案：清晰說(shuō)明8.數(shù)據(jù)跨境流動(dòng)的“白名單”機(jī)制是指國(guó)家與________簽訂協(xié)議，認(rèn)可對(duì)方的數(shù)據(jù)保護(hù)水平，允許數(shù)據(jù)自由流動(dòng)。答案：其他國(guó)家或地區(qū)9.網(wǎng)絡(luò)安全領(lǐng)域的“零日攻擊”（Zero-dayAttack）是指利用________的漏洞實(shí)施的攻擊。答案：未被修補(bǔ)10.大數(shù)據(jù)安全審計(jì)的核心是對(duì)________、操作對(duì)象、操作時(shí)間、操作結(jié)果等要素進(jìn)行記錄和分析。答案：操作主體三、簡(jiǎn)答題（每題8分，共40分）1.簡(jiǎn)述大數(shù)據(jù)時(shí)代信息安全面臨的三大新型挑戰(zhàn)，并舉例說(shuō)明。答案：（1）數(shù)據(jù)關(guān)聯(lián)性增強(qiáng)帶來(lái)的聚合攻擊風(fēng)險(xiǎn)：多源低敏感數(shù)據(jù)關(guān)聯(lián)后可能暴露高敏感信息（如通過(guò)電商購(gòu)物記錄、社交位置信息推斷用戶健康狀況）。（2）AI驅(qū)動(dòng)的自動(dòng)化攻擊：AI可提供更隱蔽的釣魚郵件、偽造更逼真的身份信息（如Deepfake技術(shù)偽造企業(yè)高管視頻實(shí)施詐騙）。（3）數(shù)據(jù)跨境流動(dòng)的合規(guī)復(fù)雜性：不同國(guó)家/地區(qū)數(shù)據(jù)主權(quán)要求沖突（如歐盟GDPR與我國(guó)《數(shù)據(jù)安全法》對(duì)個(gè)人信息出境的不同規(guī)定）。2.說(shuō)明“數(shù)據(jù)脫敏”與“數(shù)據(jù)去標(biāo)識(shí)化”的區(qū)別，并列舉3種常用脫敏技術(shù)。答案：區(qū)別：數(shù)據(jù)脫敏是對(duì)原始數(shù)據(jù)進(jìn)行變形處理，使脫敏后的數(shù)據(jù)無(wú)法恢復(fù)原始信息（如將身份證號(hào)“51010419900101XXXX”脫敏為“510104XXXX”）；數(shù)據(jù)去標(biāo)識(shí)化是移除或加密直接標(biāo)識(shí)符（如姓名、身份證號(hào)），但可能通過(guò)其他信息重新關(guān)聯(lián)（如保留手機(jī)號(hào)后四位+出生日期）。常用技術(shù)：替換（用“”替換部分字符）、泛化（將“25歲”泛化為“20-30歲”）、掩碼（隱藏部分關(guān)鍵信息）、打亂（隨機(jī)排列數(shù)據(jù)順序）。3.結(jié)合《個(gè)人信息保護(hù)法》，簡(jiǎn)述企業(yè)處理用戶個(gè)人信息時(shí)需滿足的“最小必要”原則具體要求。答案：（1）目的明確：處理個(gè)人信息的目的應(yīng)當(dāng)具體、明確，且與企業(yè)主營(yíng)業(yè)務(wù)直接相關(guān)（如電商平臺(tái)僅因訂單配送需要收集用戶地址）。（2）范圍最?。簝H收集實(shí)現(xiàn)目的所必需的最少個(gè)人信息（如健康類APP無(wú)需收集用戶社交關(guān)系數(shù)據(jù)）。（3）使用限制：不得超出約定的處理范圍，禁止將個(gè)人信息用于與收集目的無(wú)關(guān)的用途（如不得將購(gòu)物數(shù)據(jù)用于金融風(fēng)控，除非另行取得用戶同意）。4.分析零信任架構(gòu)（ZTA）與傳統(tǒng)邊界安全架構(gòu)的核心差異，并說(shuō)明其在大數(shù)據(jù)環(huán)境下的適用性。答案：核心差異：傳統(tǒng)架構(gòu)基于“信任內(nèi)網(wǎng)”假設(shè)，通過(guò)防火墻等邊界設(shè)備隔離內(nèi)外網(wǎng)；零信任架構(gòu)遵循“永不信任，始終驗(yàn)證”原則，對(duì)所有訪問(wèn)請(qǐng)求（無(wú)論內(nèi)外網(wǎng)）進(jìn)行身份、設(shè)備、環(huán)境等多因素驗(yàn)證，動(dòng)態(tài)評(píng)估訪問(wèn)風(fēng)險(xiǎn)。適用性：大數(shù)據(jù)環(huán)境下，數(shù)據(jù)和服務(wù)分散在云、邊緣計(jì)算等多節(jié)點(diǎn)，傳統(tǒng)邊界模糊，零信任通過(guò)“持續(xù)驗(yàn)證”確保只有授權(quán)主體以最小權(quán)限訪問(wèn)數(shù)據(jù)，有效應(yīng)對(duì)移動(dòng)辦公、跨域協(xié)作等場(chǎng)景的安全需求。5.某企業(yè)擬開展用戶行為數(shù)據(jù)分析項(xiàng)目，需涉及50萬(wàn)用戶的位置軌跡、消費(fèi)記錄和社交關(guān)系數(shù)據(jù)，列舉其需完成的3項(xiàng)主要數(shù)據(jù)安全合規(guī)步驟。答案：（1）數(shù)據(jù)分類分級(jí)：識(shí)別敏感數(shù)據(jù)（如位置軌跡屬敏感個(gè)人信息），劃定數(shù)據(jù)級(jí)別（重要數(shù)據(jù)或核心數(shù)據(jù)）。（2）風(fēng)險(xiǎn)評(píng)估：分析數(shù)據(jù)收集、存儲(chǔ)、處理過(guò)程中的泄露、濫用風(fēng)險(xiǎn)（如第三方數(shù)據(jù)服務(wù)商的安全能力不足），制定風(fēng)險(xiǎn)控制措施（如加密傳輸、脫敏存儲(chǔ)）。（3）用戶告知與同意：通過(guò)清晰、易懂的隱私政策說(shuō)明數(shù)據(jù)用途、處理方式，取得用戶明確同意（敏感信息需單獨(dú)同意）。四、案例分析題（每題10分，共20分）案例1：2024年12月，四川省某醫(yī)療大數(shù)據(jù)平臺(tái)被曝存在安全漏洞，導(dǎo)致20萬(wàn)份患者電子病歷（包含姓名、身份證號(hào)、診斷結(jié)果）泄露至暗網(wǎng)。經(jīng)調(diào)查，漏洞原因?yàn)槠脚_(tái)未對(duì)API接口進(jìn)行身份認(rèn)證，攻擊者通過(guò)暴力破解獲取訪問(wèn)權(quán)限；同時(shí)，患者數(shù)據(jù)存儲(chǔ)時(shí)僅進(jìn)行簡(jiǎn)單哈希處理，未使用加密算法。問(wèn)題：（1）分析該平臺(tái)違反了哪些數(shù)據(jù)安全相關(guān)法律法規(guī)？（2）提出3項(xiàng)針對(duì)性的整改措施。答案：（1）違反法規(guī)：-《數(shù)據(jù)安全法》第二十一條（數(shù)據(jù)分類分級(jí)保護(hù)義務(wù)）：未對(duì)患者病歷（屬敏感數(shù)據(jù)）采取足夠保護(hù)措施；-《個(gè)人信息保護(hù)法》第二十九條（敏感個(gè)人信息處理要求）：未對(duì)生物識(shí)別、醫(yī)療健康等敏感信息采取嚴(yán)格保護(hù)措施；-《網(wǎng)絡(luò)安全法》第二十一條（網(wǎng)絡(luò)安全等級(jí)保護(hù)制度）：未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，導(dǎo)致數(shù)據(jù)泄露。（2）整改措施：-技術(shù)層面：對(duì)API接口實(shí)施OAuth2.0等強(qiáng)身份認(rèn)證，限制訪問(wèn)頻率；采用AES-256加密存儲(chǔ)患者敏感數(shù)據(jù)，哈希處理需結(jié)合鹽值（Salt）防止彩虹表攻擊。-管理層面：開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，明確數(shù)據(jù)處理責(zé)任人；定期進(jìn)行漏洞掃描和滲透測(cè)試（至少每季度1次）。-合規(guī)層面：向省級(jí)網(wǎng)信、衛(wèi)生健康部門報(bào)告泄露事件，通知受影響患者（48小時(shí)內(nèi)），并提供身份保護(hù)建議（如監(jiān)控銀行賬戶）。案例2：某成都互聯(lián)網(wǎng)企業(yè)計(jì)劃與新加坡合作伙伴開展跨境電商數(shù)據(jù)聯(lián)合分析，需共享用戶購(gòu)物偏好、支付記錄等數(shù)據(jù)。問(wèn)題：（1）該數(shù)據(jù)跨境流動(dòng)需滿足哪些國(guó)內(nèi)合規(guī)要求？（2）若新加坡未與我國(guó)簽訂數(shù)據(jù)跨境流動(dòng)互認(rèn)協(xié)議，可采用的替代方案是什么？答案：（1）國(guó)內(nèi)合規(guī)要求：-數(shù)據(jù)分類：識(shí)別需出境的數(shù)據(jù)是否為重要數(shù)據(jù)（如涉及關(guān)鍵信息基礎(chǔ)設(shè)施的支付記錄可能被認(rèn)定為重要數(shù)據(jù)）；-安全評(píng)估：重要數(shù)據(jù)出境需通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估（《