2026年網(wǎng)絡(luò)信息安全專業(yè)課程期末考試題及答案一、單選題（共10題，每題2分，合計20分）1.在我國《網(wǎng)絡(luò)安全法》中，對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的安全保護(hù)義務(wù)，以下哪項描述最為準(zhǔn)確？A.僅需在發(fā)生安全事件后24小時內(nèi)報告B.應(yīng)定期進(jìn)行安全評估，并接受監(jiān)管部門檢查C.無需對個人信息進(jìn)行加密存儲D.可自行決定是否進(jìn)行漏洞掃描2.以下哪種加密算法屬于對稱加密？A.RSAB.ECCC.AESD.SHA-2563.在零信任架構(gòu)（ZeroTrustArchitecture）中，核心原則是？A.所有用戶默認(rèn)可訪問所有資源B.最小權(quán)限原則C.必須通過物理門禁驗證身份D.僅需在首次登錄時進(jìn)行身份驗證4.我國《數(shù)據(jù)安全法》中，關(guān)于數(shù)據(jù)跨境傳輸?shù)囊?guī)定，以下說法錯誤的是？A.個人信息出境需經(jīng)專業(yè)機構(gòu)安全評估B.敏感個人信息出境需獲得個人單獨同意C.政府部門可直接強制企業(yè)轉(zhuǎn)移數(shù)據(jù)到境外D.企業(yè)需建立數(shù)據(jù)出境安全認(rèn)證機制5.在網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)中，哪個階段屬于“準(zhǔn)備”階段？A.事件處置B.事件總結(jié)C.前期準(zhǔn)備（預(yù)案、工具）D.后期修復(fù)6.以下哪種網(wǎng)絡(luò)攻擊屬于APT（高級持續(xù)性威脅）的典型特征？A.DDoS攻擊B.惡意軟件感染C.釣魚郵件D.長期潛伏、逐步竊取敏感數(shù)據(jù)7.在VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)中，IPsec協(xié)議主要解決什么問題？A.數(shù)據(jù)壓縮B.身份認(rèn)證C.加密傳輸D.流量控制8.我國《個人信息保護(hù)法》中，關(guān)于“去標(biāo)識化”的定義，以下正確的是？A.刪除所有原始數(shù)據(jù)B.無法通過技術(shù)手段重新識別到個人C.替換個人姓名為隨機碼D.保留數(shù)據(jù)但限制訪問權(quán)限9.在Web應(yīng)用防火墻（WAF）中，針對SQL注入攻擊，常用哪種策略？A.限制用戶IP訪問頻率B.正則表達(dá)式校驗輸入?yún)?shù)C.禁用所有外部腳本執(zhí)行D.完全關(guān)閉數(shù)據(jù)庫訪問10.在網(wǎng)絡(luò)安全風(fēng)險評估中，哪種方法屬于定量評估？A.德爾菲法B.風(fēng)險矩陣法C.SWOT分析D.事故樹分析二、多選題（共5題，每題3分，合計15分）1.以下哪些屬于我國《網(wǎng)絡(luò)安全等級保護(hù)制度2.0》中的核心要求？A.定期進(jìn)行安全測評B.建立數(shù)據(jù)備份機制C.對操作人員進(jìn)行權(quán)限管理D.僅適用于政府機構(gòu)2.在數(shù)據(jù)加密過程中，對稱加密與非對稱加密的區(qū)別在于？A.密鑰長度不同B.加解密效率不同C.密鑰分發(fā)方式不同D.僅適用于不同場景3.在網(wǎng)絡(luò)安全事件處置流程中，以下哪些屬于“分析”階段的工作？A.確定攻擊來源B.評估損失范圍C.臨時阻斷攻擊路徑D.編寫處置報告4.在云安全領(lǐng)域，以下哪些措施有助于提升容器安全？A.容器鏡像掃描B.使用托管Kubernetes服務(wù)C.禁用不必要的服務(wù)端口D.僅依賴人工審計5.關(guān)于網(wǎng)絡(luò)安全法域管轄，以下說法正確的有？A.涉外案件由最高法院統(tǒng)一處理B.數(shù)據(jù)出境案件由省級網(wǎng)信部門審批C.網(wǎng)絡(luò)攻擊行為可由屬地公安機關(guān)管轄D.跨區(qū)域案件需聯(lián)合調(diào)查三、判斷題（共10題，每題1分，合計10分）1.網(wǎng)絡(luò)安全等級保護(hù)制度適用于所有在中國境內(nèi)運營的信息系統(tǒng)。（√）2.雙因素認(rèn)證（2FA）屬于生物識別技術(shù)的一種。（×）3.在勒索軟件攻擊中，攻擊者通常會提供數(shù)據(jù)恢復(fù)服務(wù)。（×）4.《個人信息保護(hù)法》規(guī)定，敏感個人信息處理需取得個人書面同意。（√）5.DDoS攻擊可以通過簡單的防火墻規(guī)則完全防御。（×）6.APT攻擊通常由國家背景組織發(fā)起，目的是竊取商業(yè)機密。（√）7.VPN技術(shù)可以完全隱藏用戶的真實IP地址。（√）8.網(wǎng)絡(luò)安全風(fēng)險評估中的“風(fēng)險值”越高，表示風(fēng)險越低。（×）9.數(shù)據(jù)去標(biāo)識化后，信息處理活動無需遵守《個人信息保護(hù)法》。（×）10.Web應(yīng)用防火墻（WAF）可以防御所有類型的網(wǎng)絡(luò)攻擊。（×）四、簡答題（共4題，每題5分，合計20分）1.簡述我國《網(wǎng)絡(luò)安全法》中對企業(yè)數(shù)據(jù)跨境傳輸?shù)闹饕O(jiān)管要求。答：企業(yè)需確保數(shù)據(jù)出境符合國家安全標(biāo)準(zhǔn)，通過安全評估、簽訂協(xié)議、技術(shù)措施（如加密）等方式保障數(shù)據(jù)安全，敏感個人信息出境需單獨獲得個人同意，并接受監(jiān)管部門監(jiān)督。2.解釋什么是“零信任架構(gòu)”，并說明其核心優(yōu)勢。答：零信任架構(gòu)要求“從不信任，始終驗證”，即不依賴網(wǎng)絡(luò)邊界防護(hù)，對每個訪問請求進(jìn)行身份和權(quán)限驗證，核心優(yōu)勢包括：-減少橫向移動風(fēng)險；-提升動態(tài)權(quán)限控制能力；-適應(yīng)云原生環(huán)境。3.描述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的四個主要階段及其任務(wù)。答：四個階段為：-準(zhǔn)備階段：制定預(yù)案、組建團(tuán)隊、準(zhǔn)備工具；-識別階段：檢測攻擊、分析影響范圍；-處置階段：隔離受感染系統(tǒng)、清除威脅；-恢復(fù)階段：系統(tǒng)恢復(fù)、總結(jié)經(jīng)驗。4.簡述TLS協(xié)議在網(wǎng)絡(luò)安全中的主要作用。答：TLS協(xié)議用于建立加密傳輸通道，主要作用包括：-身份認(rèn)證（證書驗證）；-數(shù)據(jù)加密（防止竊聽）；-數(shù)據(jù)完整性校驗（防篡改）；廣泛應(yīng)用于HTTPS等安全通信場景。五、論述題（共2題，每題10分，合計20分）1.結(jié)合我國網(wǎng)絡(luò)安全現(xiàn)狀，論述企業(yè)如何構(gòu)建全面的數(shù)據(jù)安全保護(hù)體系？答：企業(yè)需從以下方面構(gòu)建數(shù)據(jù)安全體系：-法律合規(guī)：遵守《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》，明確數(shù)據(jù)分類分級；-技術(shù)防護(hù)：部署防火墻、WAF、加密存儲、數(shù)據(jù)脫敏等技術(shù)；-管理機制：建立數(shù)據(jù)全生命周期管理制度，包括采集、存儲、使用、銷毀；-應(yīng)急響應(yīng)：制定數(shù)據(jù)泄露應(yīng)急預(yù)案，定期演練；-意識培訓(xùn)：加強員工安全意識，防止內(nèi)部風(fēng)險。2.分析云計算環(huán)境下，網(wǎng)絡(luò)安全面臨的主要挑戰(zhàn)及應(yīng)對策略。答：主要挑戰(zhàn)包括：-多租戶安全：不同用戶數(shù)據(jù)隔離不足；-配置風(fēng)險：云資源配置不當(dāng)易暴露漏洞；-數(shù)據(jù)合規(guī)：跨境傳輸需符合法規(guī)要求；應(yīng)對策略：-使用托管安全服務(wù)（如AWSShield）；-實施零信任訪問控制；-定期進(jìn)行云安全審計；-加強供應(yīng)商管理。六、案例分析題（共1題，15分）背景：某金融機構(gòu)部署了遠(yuǎn)程辦公系統(tǒng)，員工可通過VPN訪問內(nèi)部系統(tǒng)。近期發(fā)現(xiàn)部分員工賬號被異常登錄，系統(tǒng)日志顯示登錄IP位于境外，且傳輸數(shù)據(jù)存在加密異常。問題：1.分析可能存在的安全風(fēng)險；2.提出應(yīng)急響應(yīng)措施及長期改進(jìn)建議。答案：1.風(fēng)險分析：-VPN存在配置漏洞（如弱加密協(xié)議）；-員工賬號密碼泄露（如釣魚攻擊）；-內(nèi)部人員惡意操作；-云端存儲的敏感數(shù)據(jù)可能被竊取。2.應(yīng)急措施：-立即斷開異常賬號訪問；-重置所有員工密碼，強制啟用多因素認(rèn)證；-檢查VPN配置，升級加密協(xié)議（如TLS1.3）；-對受影響數(shù)據(jù)進(jìn)行完整性校驗。長期改進(jìn)建議：-部署生物識別登錄（如指紋）；-定期進(jìn)行滲透測試；-實施最小權(quán)限原則；-加強員工安全培訓(xùn)。答案解析一、單選題1.B（關(guān)鍵信息基礎(chǔ)設(shè)施運營者需定期安全評估，符合《網(wǎng)絡(luò)安全法》第23條）2.C（AES是對稱加密，RSA/ECC/SHA-256為非對稱或哈希算法）3.B（零信任核心是“永不信任，始終驗證”）4.C（政府部門無權(quán)強制企業(yè)轉(zhuǎn)移數(shù)據(jù)，需通過國家網(wǎng)信部門認(rèn)證）5.C（應(yīng)急響應(yīng)準(zhǔn)備階段包括預(yù)案和工具）6.D（APT特征是長期潛伏、逐步竊?。?.C（IPsec主要解決數(shù)據(jù)加密傳輸）8.B（去標(biāo)識化需無法重新識別個人，符合《個人信息保護(hù)法》第26條）9.B（WAF通過正則表達(dá)式校驗輸入防SQL注入）10.B（風(fēng)險矩陣法為定量評估，其他為定性方法）二、多選題1.ABC（等級保護(hù)要求測評、數(shù)據(jù)備份、權(quán)限管理，不限于政府機構(gòu)）2.ABC（對稱加密效率高、密鑰簡短、適用于內(nèi)部傳輸；非對稱密鑰長、效率低）3.AB（分析階段重點是確定攻擊來源和損失范圍）4.ABC（容器安全需掃描鏡像、隔離端口、使用托管服務(wù)，人工審計不足）5.CD（涉外案件由法院管轄，數(shù)據(jù)出境需省級審批，屬地公安可管轄攻擊行為）三、判斷題1.√（等級保護(hù)適用于所有信息系統(tǒng)）2.×（雙因素認(rèn)證常見技術(shù)包括動態(tài)口令/短信驗證）3.×（勒索軟件通常不提供恢復(fù)服務(wù)）4.√（敏感個人信息處理需單獨同意）5.×（DDoS需專業(yè)防御