網(wǎng)絡(luò)和數(shù)據(jù)安全知識(shí)競(jìng)賽試題及答案一、單項(xiàng)選擇題（每題2分，共30分）1.根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)（）至少進(jìn)行一次檢測(cè)評(píng)估。A.每半年B.每年C.每?jī)赡闐.每三年2.以下哪種技術(shù)不屬于數(shù)據(jù)脫敏方法？（）A.數(shù)據(jù)替換B.數(shù)據(jù)加密C.數(shù)據(jù)截?cái)郉.數(shù)據(jù)去標(biāo)識(shí)化3.在網(wǎng)絡(luò)安全領(lǐng)域，“APT攻擊”指的是（）。A.高級(jí)持續(xù)性威脅攻擊B.分布式拒絕服務(wù)攻擊C.跨站腳本攻擊D.社會(huì)工程學(xué)攻擊4.根據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者向境外提供個(gè)人信息的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估，或按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行（）。A.風(fēng)險(xiǎn)審計(jì)B.合規(guī)認(rèn)證C.安全檢測(cè)D.數(shù)據(jù)脫敏5.以下哪項(xiàng)不屬于常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)手段？（）A.發(fā)送偽裝成銀行的郵件，誘導(dǎo)用戶點(diǎn)擊鏈接輸入賬號(hào)密碼B.在社交平臺(tái)發(fā)布虛假中獎(jiǎng)信息，要求用戶先繳納手續(xù)費(fèi)C.使用漏洞掃描工具探測(cè)目標(biāo)系統(tǒng)弱點(diǎn)D.通過(guò)偽造的Wi-Fi熱點(diǎn)竊取用戶傳輸數(shù)據(jù)6.某企業(yè)數(shù)據(jù)庫(kù)存儲(chǔ)了用戶姓名、身份證號(hào)、聯(lián)系方式等信息，這些數(shù)據(jù)屬于（）。A.公共數(shù)據(jù)B.敏感個(gè)人信息C.非結(jié)構(gòu)化數(shù)據(jù)D.元數(shù)據(jù)7.以下關(guān)于密碼安全的說(shuō)法，錯(cuò)誤的是（）。A.密碼應(yīng)包含字母、數(shù)字和特殊符號(hào)的組合B.不同平臺(tái)建議使用不同密碼C.定期更換密碼可以降低被破解風(fēng)險(xiǎn)D.為方便記憶，可將密碼設(shè)置為“123456”或“abcdef”8.根據(jù)《數(shù)據(jù)安全法》，國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，數(shù)據(jù)分類分級(jí)的依據(jù)不包括（）。A.數(shù)據(jù)的來(lái)源渠道B.數(shù)據(jù)的重要程度C.數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的作用D.一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度9.在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中，第三級(jí)信息系統(tǒng)的安全保護(hù)等級(jí)屬于（）。A.用戶自主保護(hù)級(jí)B.系統(tǒng)審計(jì)保護(hù)級(jí)C.安全標(biāo)記保護(hù)級(jí)D.結(jié)構(gòu)化保護(hù)級(jí)10.以下哪種攻擊方式主要利用操作系統(tǒng)或應(yīng)用程序的漏洞？（）A.暴力破解B.SQL注入C.釣魚(yú)郵件D.社會(huì)工程學(xué)11.根據(jù)《網(wǎng)絡(luò)安全審查辦法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或者可能影響（）的，應(yīng)當(dāng)按照規(guī)定進(jìn)行網(wǎng)絡(luò)安全審查。A.數(shù)據(jù)存儲(chǔ)容量B.國(guó)家安全C.用戶使用體驗(yàn)D.企業(yè)經(jīng)濟(jì)效益12.數(shù)據(jù)備份的核心目的是（）。A.減少存儲(chǔ)成本B.防止數(shù)據(jù)丟失或損壞時(shí)可快速恢復(fù)C.提高數(shù)據(jù)訪問(wèn)速度D.滿足監(jiān)管合規(guī)要求13.以下關(guān)于區(qū)塊鏈技術(shù)在數(shù)據(jù)安全中的應(yīng)用，描述錯(cuò)誤的是（）。A.區(qū)塊鏈的不可篡改性可用于數(shù)據(jù)存證B.區(qū)塊鏈的分布式存儲(chǔ)可降低單點(diǎn)故障風(fēng)險(xiǎn)C.區(qū)塊鏈的公開(kāi)透明性會(huì)完全暴露用戶隱私D.區(qū)塊鏈的智能合約可自動(dòng)化執(zhí)行數(shù)據(jù)訪問(wèn)規(guī)則14.某公司員工通過(guò)移動(dòng)存儲(chǔ)設(shè)備將內(nèi)部敏感數(shù)據(jù)拷貝至個(gè)人電腦，這種行為違反了（）。A.數(shù)據(jù)最小化原則B.數(shù)據(jù)完整性原則C.數(shù)據(jù)可控性原則D.數(shù)據(jù)保密性原則15.在網(wǎng)絡(luò)安全防護(hù)中，“零信任模型”的核心思想是（）。A.默認(rèn)信任內(nèi)部網(wǎng)絡(luò)所有設(shè)備B.對(duì)任何訪問(wèn)請(qǐng)求都進(jìn)行嚴(yán)格驗(yàn)證，不預(yù)設(shè)信任C.僅信任經(jīng)過(guò)認(rèn)證的用戶，不信任設(shè)備D.僅信任本地終端，不信任遠(yuǎn)程訪問(wèn)二、判斷題（每題1分，共10分）1.網(wǎng)絡(luò)安全等級(jí)保護(hù)制度僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施，普通企業(yè)無(wú)需遵守。（）2.個(gè)人信息處理者可以將用戶同意作為處理所有個(gè)人信息的唯一合法依據(jù)。（）3.加密技術(shù)可以分為對(duì)稱加密和非對(duì)稱加密，其中非對(duì)稱加密的密鑰成對(duì)存在（公鑰和私鑰）。（）4.日志記錄是網(wǎng)絡(luò)安全防護(hù)的重要手段，應(yīng)至少保留6個(gè)月以上。（）5.社交平臺(tái)上發(fā)布的公開(kāi)信息不屬于個(gè)人信息，因此無(wú)需保護(hù)。（）6.數(shù)據(jù)泄露事件發(fā)生后，運(yùn)營(yíng)者應(yīng)在48小時(shí)內(nèi)向相關(guān)部門(mén)報(bào)告。（）7.釣魚(yú)軟件的主要目的是竊取用戶隱私或控制用戶設(shè)備，而非破壞系統(tǒng)。（）8.物聯(lián)網(wǎng)設(shè)備（如智能攝像頭）由于功能簡(jiǎn)單，無(wú)需進(jìn)行安全配置。（）9.云計(jì)算環(huán)境中，數(shù)據(jù)的所有權(quán)屬于云服務(wù)商，用戶僅擁有使用權(quán)。（）10.網(wǎng)絡(luò)安全漏洞的修復(fù)應(yīng)遵循“先評(píng)估后修復(fù)”原則，避免修復(fù)操作導(dǎo)致系統(tǒng)不可用。（）三、填空題（每題2分，共10分）1.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》自________年________月________日起施行。2.數(shù)據(jù)安全治理的三要素是數(shù)據(jù)管理、________和________。3.常見(jiàn)的身份認(rèn)證方式包括靜態(tài)密碼認(rèn)證、動(dòng)態(tài)令牌認(rèn)證、生物特征認(rèn)證和________。4.網(wǎng)絡(luò)攻擊的生命周期通常包括偵察階段、________、植入階段、控制階段和破壞/滲透階段。5.個(gè)人信息的“最小必要原則”是指處理個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的________范圍，不得過(guò)度處理。四、簡(jiǎn)答題（每題6分，共30分）1.簡(jiǎn)述《個(gè)人信息保護(hù)法》中“告知-同意”原則的具體要求。2.列舉三種常見(jiàn)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，并說(shuō)明其作用。3.數(shù)據(jù)分類分級(jí)的意義是什么？請(qǐng)舉例說(shuō)明如何對(duì)企業(yè)數(shù)據(jù)進(jìn)行分類。4.什么是“數(shù)據(jù)脫敏”？請(qǐng)列舉三種常用的數(shù)據(jù)脫敏方法，并說(shuō)明適用場(chǎng)景。5.簡(jiǎn)述網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的基本流程。五、案例分析題（每題10分，共20分）案例1：某電商平臺(tái)用戶數(shù)據(jù)庫(kù)因未開(kāi)啟訪問(wèn)控制，導(dǎo)致黑客通過(guò)弱口令登錄數(shù)據(jù)庫(kù)，非法獲取了10萬(wàn)條用戶姓名、手機(jī)號(hào)、收貨地址等信息。事件發(fā)生后，平臺(tái)未及時(shí)向用戶和監(jiān)管部門(mén)報(bào)告，直至30天后被用戶發(fā)現(xiàn)并舉報(bào)。問(wèn)題：（1）該平臺(tái)在數(shù)據(jù)安全管理中存在哪些違規(guī)行為？（2）根據(jù)相關(guān)法律法規(guī)，平臺(tái)可能面臨哪些處罰？案例2：某金融機(jī)構(gòu)開(kāi)發(fā)了一款手機(jī)銀行APP，用戶登錄時(shí)需通過(guò)“短信驗(yàn)證碼+指紋識(shí)別”雙重認(rèn)證。近期，部分用戶反饋收到異常驗(yàn)證碼短信，經(jīng)排查發(fā)現(xiàn)APP存在代碼漏洞，導(dǎo)致驗(yàn)證碼在傳輸過(guò)程中被中間人攻擊截獲。問(wèn)題：（1）該APP的認(rèn)證機(jī)制是否符合“最小必要”原則？請(qǐng)說(shuō)明理由。（2）針對(duì)驗(yàn)證碼泄露問(wèn)題，應(yīng)采取哪些技術(shù)措施進(jìn)行修復(fù)？參考答案一、單項(xiàng)選擇題1.B2.B3.A4.B5.C6.B7.D8.A9.D10.B11.B12.B13.C14.D15.B二、判斷題1.×2.×3.√4.√5.×6.×（注：《個(gè)人信息保護(hù)法》規(guī)定應(yīng)在72小時(shí)內(nèi)報(bào)告，嚴(yán)重的24小時(shí)內(nèi)）7.√8.×9.×10.√三、填空題1.2017；6；12.技術(shù)防護(hù)；制度流程3.雙因素認(rèn)證（或多因素認(rèn)證）4.漏洞利用階段5.最小四、簡(jiǎn)答題1.（1）告知內(nèi)容需真實(shí)、準(zhǔn)確、完整，包括處理目的、方式、范圍、保存期限等；（2）同意需由用戶主動(dòng)、明確作出，禁止強(qiáng)制捆綁同意；（3）用戶有權(quán)撤回同意，撤回不影響已進(jìn)行的處理；（4）特殊類型個(gè)人信息（如敏感信息）需取得單獨(dú)同意。2.（1）防火墻：通過(guò)過(guò)濾網(wǎng)絡(luò)流量，阻止非法訪問(wèn)；（2）入侵檢測(cè)系統(tǒng)（IDS）：監(jiān)控網(wǎng)絡(luò)行為，識(shí)別攻擊并報(bào)警；（3）加密技術(shù)（如TLS）：保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被竊取或篡改；（4）訪問(wèn)控制（如RBAC）：根據(jù)用戶角色限制數(shù)據(jù)訪問(wèn)權(quán)限。（任意三種即可）3.意義：明確數(shù)據(jù)重要性，針對(duì)性分配保護(hù)資源，降低安全風(fēng)險(xiǎn)，滿足合規(guī)要求。分類示例：企業(yè)數(shù)據(jù)可分為核心數(shù)據(jù)（如用戶金融信息）、重要數(shù)據(jù)（如客戶交易記錄）、一般數(shù)據(jù)（如公開(kāi)產(chǎn)品介紹），分級(jí)后對(duì)核心數(shù)據(jù)實(shí)施最高級(jí)別保護(hù)（如加密存儲(chǔ)、嚴(yán)格訪問(wèn)控制）。4.數(shù)據(jù)脫敏是對(duì)敏感信息進(jìn)行變形處理，使其在不影響使用的前提下失去隱私價(jià)值。常用方法：（1）替換法：將身份證號(hào)后4位替換為“”（適用于展示場(chǎng)景）；（2）隨機(jī)化：對(duì)手機(jī)號(hào)中間4位隨機(jī)生成數(shù)字（適用于測(cè)試數(shù)據(jù)）；（3）截?cái)喾ǎ罕Ａ粜彰鬃帜福ㄈ纭皬垺保ㄟm用于日志記錄）。5.基本流程：（1）事件檢測(cè)與確認(rèn)：通過(guò)監(jiān)控工具或用戶反饋發(fā)現(xiàn)異常；（2）分級(jí)響應(yīng)：根據(jù)影響程度啟動(dòng)不同級(jí)別預(yù)案；（3）隔離控制：斷開(kāi)受感染設(shè)備，防止擴(kuò)散；（4）調(diào)查分析：確定攻擊來(lái)源、漏洞原因；（5）修復(fù)處置：補(bǔ)丁修復(fù)、數(shù)據(jù)恢復(fù)；（6）總結(jié)記錄過(guò)程，完善防護(hù)措施。五、案例分析題案例1（1）違規(guī)行為：①未落實(shí)訪問(wèn)控制（未限制數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限）；②使用弱口令（未執(zhí)行強(qiáng)密碼策略）；③未及時(shí)報(bào)告（超過(guò)法定期限未向監(jiān)管部門(mén)和用戶告知）。（2）處罰依據(jù)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，可能面臨：①警告、沒(méi)收違法所得；②最高500萬(wàn)元罰款或上一年度營(yíng)業(yè)額5%的罰款；③直接責(zé)任人員處10萬(wàn)-100萬(wàn)元罰款；④情節(jié)嚴(yán)重的，暫停相關(guān)業(yè)務(wù)或停業(yè)整