江苏省第二届数据安全技术应用职业技能竞赛决赛试题库（附答案）

PAGEPAGE1江苏省第二届数据安全技术应用职业技能竞赛决赛试题库（附答案）一、单选题1.以下哪个是访问控制中常见的强化措施?A、双因素认证B、防火墙配置C、密码加密D、网络监控答案：A2.物联网中的安全保障措施包括以下哪些方面?A、访问控制B、数据加密C、安全审计D、所有以上选项答案：D3.违反《中华人民共和国数据安全法》第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处()罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。A、五千元以上一万元以下B、一万元以上十万元以下C、五万元以上五十万元以下D、二十万元以上一百万元以下答案：C4.物联网中的社交工程是指什么?A、攻击者利用社交媒体进行攻击B、攻击者通过社交网络窃取数据C、攻击者利用人们的社交行为进行欺骗和攻击D、攻击者利用物联网设备进行社交活动答案：C5.防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是不能物理隔离,但是能逻辑隔离。A、正确B、错误答案：A6.下列行为不符合个人信息处理法律法规A、最小化采集B、内部制定管理制度,确保个人信息处理合规C、采取加密、去标识等措施D、APP设计开发时采用默认采集默认授权的模式答案：D7.侧信道攻击是指攻击者通过分析身份验证系统的侧信道信息,如时间延迟、功耗消耗等,来推断出有效的身份验证凭据。以下哪种是侧信道攻击的示例?A、密码猜测/暴力破解攻击B、社会工程学攻击C、XSS攻击D、时序分析攻击答案：D8.()基础设施在网络安全等级保护制度基础上,实行重点保护A、商业信息B、个人身份信息C、关键信息D、军事信息答案：C9.什么是身份攻击面映射?A、分析组织的身份信息以发现弱点B、监测并响应可疑身份活动C、清除账户接管攻击的弱点D、定位恶意软件感染的账户答案：A10.在RBAC中,()角色拥有最高权限。A、管理员B、操作员C、审计员D、用户答案：A11.下列哪个是常见的单点登录(SSO)技术?A、OAuthB、SAMLC、LDAPD、RADIUS答案：B12.基于身份的攻击通常始于什么类型的活动?A、网络钓鱼活动B、恶意软件攻击C、中间人代理攻击D、SIM卡交换攻击答案：A13.规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下()中的输出结果。A、风险评估准备阶段B、风险要素识别阶段C、风险分析阶段D、风险结果判定阶段答案：A14.证书颁发机构的名称是什么?()A、PKI公钥基础设施B、Kerberos认证协议C、A数字证书认证中心D、公安局答案：D15.发生以下情况数据安全等级需要升级的是()A、数据汇聚融合B、生产数据脱敏C、特定时间或事件后信息失去原有敏感性D、删除关键字段答案：A16.在个人权利的保护方面,《个人信息保护法》规定了哪两项不同于《通用数据保护条例》权利?()A、更正补充权、限制处理权B、个人的决定权、请求解释权C、个人的决定权、限制处理权D、更正补充权、请求解释权答案：B17.()以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作A、区级B、县级C、市级D、省级答案：B18.组织建立业务连续性计划(BCP)的作用包括:A、在遭遇灾难事件时,能够最大限度地保护组织数据的实时性,完整性和一致性;B、提供各种恢复策略选择,尽量减小数据损失和恢复时间,快速恢复操作系统、应用和数据;C、保证发生各种不可预料的故障、破坏性事故或灾难情况时,能够持续服务,确保业务系统的不间断运行,降低损失;D、以上都是。答案：D19.近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?A、加强网站源代码的安全性B、对网络客户端进行安全评估C、运营商对域名解析服务器进行加固D、在网站的网络出口部署应用级防火墙答案：C20.在网络传递身份时,需要先建立什么关系?A、信任关系B、合作关系C、竞争关系D、加密关系答案：A21.网络安全等级保护总共有6个保护级别。A、正确B、错误答案：B22.关键信息基础设施保护和网络安全等级保护各自独立,互不相关。A、正确B、错误答案：B23.提高Apache服务器系统安全性时,下面哪项措施不属于安全配置()?A、不在Windows下安装Apache,只在Linux和Unix下安装B、安装Apache时,只安装需要的组件模块C、不使用操作系统管理员用户身份运行A.pache,而是采用权限受限的专用用户账号来运行D、积极了解Apache的安全通告,并及时下载和更新答案：A24.网络安全等级保护总共有4个保护级别。A、正确B、错误答案：B25.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送()。A、数据清单B、数据流图C、差距整改报告D、风险评估报告答案：D26.ZigBee根据服务与需求使多个器件之间进行通信()A、物理层B、MAC层C、网络/安全层D、支持/应用层答案：A27.业务连续性计划(BCP)是组织为避免所有业务功能因各种事件而中断,减少业务风此案而建立的一个控制过程。A、正确B、错误答案：B28.以下选项不属于数据库隐私度量标准和位置隐私度量标准的是A、隐私保护度B、数据的可用性C、服务质量D、位置信息的可用性答案：D29.《中华人民共和国民法典》规定,处理个人信息时,应当遵循()、正当、必要原则。A、合法B、合理C、适度D、适当答案：A30.下面哪个模型和软件安全开发无关()?A、微软提出的“安全开发生命周期(SecurityDevelopmentLifecycle,SDL)”B、GrayMcGraw等提出的“使安全成为软件开发必须的部分(BuildingSecurityIN,BSI)”C、OWASP维护的“软件保证成熟度模型(SoftwareAssuranceMaturityMode,SAMM)D、“信息安全保障技术框架(InformationAssuranceTechnicalFramework,IATF)”答案：D31.口令认证过程中常使用静态口令和动态口令。下面描述错误的是()A、所谓静态口令,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的B、使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击依然可能通过重放攻击来欺骗信息系统的身份认证模块C、动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令D、通常,动态口令实现方式分为口令序列、时间同步以及挑战应答等几种类型答案：C32.个人信息处理者在处理个人信息前,无需以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列哪些事项:A、个人信息所有者的名称或者姓名和联系方式B、个人信息的处理目的、处理方式,处理的个人信息种类、保存期限C、个人行使本法规定权利的方式和程序D、法律、行政法规规定应当告知的其他事项答案：A33.GB/T43697-2024《数据安全技术数据分类分级规则》中对于衍生数据的定义是()。A、组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据。B、经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。C、各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位,在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。D、在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据。答案：B34.科举考生在贡院考试时,全程有兵丁在考场最高建筑“明远楼”巡视,如发现交头接耳,飞鸽传书等舞弊问题,白天摇旗,夜间举火,这在数据安全保护场景下是采用了哪种措施?A、加密B、隔离C、异常行为监测与告警D、身份认证答案：C35.访问控制模型由哪些组成要素构成?A、主体、参考监视器、客体、访问控制数据库和审计库B、用户、进程、设备、文件和数据C、身份认证、授权、审计和监控D、所有选项都是答案：A36.LoRaWAN网络中的反重放攻击是指什么A、攻击者重复发送相同的数据包B、网络服务器重复发送相同的数据包C、终端设备在同一时间窗口内发送多个数据包D、网关将数据包重复传输到网络服务器答案：A37.假设单位机房的总价值为2000万元人民币,暴露系数(ExposureFactor,E.F)25%,年度发生率(AnnualizedRateofOccurrence,ARO)为0.1,那么计算的年度预期损失(AnnualizedLossExpectancy,ALE)应该是()。A、50万元人民币B、500万元人民币C、25万元人民币D、250万元人民币答案：A38.若要系统中每次缺省添加用户时,都自动设置用户的宿主目录为/users,需修改/etc/passwd。A、正确B、错误答案：B39.PDCERF方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其中:下线中病毒的主机、修改防火墙过滤规则等动作属于哪个阶段()A、准备阶段B、遏制阶段C、根除阶段D、检测阶段答案：B40.常见的数据格式有哪些()A、结构化数据B、非结构化数据C、半结构化数据D、以上全是答案：D41.关于信息安全管理体系(InformationSecurityManagementSystems,ISMS),下面描述错误的是()。A、信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,包括组织架构、方针、活动、职责及相关实践要素B、管理体系(ManagementSystems)是为达到组织目标的策略、程序、指南和相关资源的框架,信息安全管理体系是管理体系思想和方法在信息安全领域的应用C、概念上,信息安全管理体系有广义和狭义之分,狭义的信息安全管理体系是指按照ISO27001标准定义的管理体系,它是一个组织整体管理体系的组成部分D、同其他管理体系一样,信息安全管理体系也要建立信息安全管理组织机构,健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容答案：A42.下面对于数据安全治理形容错误的是()?A、以数据的安全使用为目标B、以数据分类分级为基础,以信息合理、安全流动为目标C、以信息使用过程的安全管理和技术支撑为手段D、面向外部黑客,以对外部黑客或入侵者的防控为主要对象答案：D43.下列()访问控制技术可以控制网络上的数据流,限制特定主机或用户的访问。A、MACB、DACC、RBACD、ABAC答案：D44.数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP协议中数据封装顺序是:互联网络层、传输层、网络接口层。A、正确B、错误答案：B45.采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于()A、九个月B、三个月C、六个月D、开始网络服务后的一年答案：C46.国家对计算机信息系统安全专用产品的销售实行()制度。具体办法由公安部会同有关部门制定。()A、登记备案B、注册C、许可证D、核准答案：C47.根据中国银保监会监管数据安全管理办法(试行)内容,各业务部门及受托机构发生以下监管数据重大安全风险事项时,应立即采取应急处置措施,及时消除安全隐患,防止危害扩大,并于()小时内向归口管理部门报告?()A、12小时B、6小时C、1小时D、48小时答案：D48.未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权A、个人可以直接进行漏洞探测B、在发现确定存在漏洞后才能进行漏洞探测C、任何个人和组织不得对关键信息基础设施实施漏洞探测D、安全服务厂商可以直接进行漏洞探测答案：C49.区块链信息服务提供者开发上线()的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。()A、新产品B、新应用C、新功能D、以上都需要答案：D50.《数据安全法》中,()是核心数据的范畴。A、涉密数据B、重要数据C、商密数据D、关系国家安全、国民经济命脉、重要民生、重大公共利益等数据答案：D51.实践中常使用软件缺陷密度(Defects/KLPC)来衡量软件的安全性,假设某个软件共有30万行源代码,总共检出150个缺陷,则可以计算出其软件缺陷密度值是0.05。A、正确B、错误答案：B52.以下不属于关键信息基础设施重要行业和领域的是?A、金融B、电子政务C、超过百万用户级别的电商平台D、国防科技工业答案：C53.以下Windows系统的账号存储管理机制SAM(SecurityAccoumtsManager)的说法哪个是正确的:A、存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性B、存储在注册表中的账号数据administrator账户才有权访问,具有较高的安全性C、存储在注册表中的账号数据任何用户都可以直接访问,灵活方便D、存储在注册表中的账号数据只有System账号才能访问,具有较高的安全性答案：D54.书面形式的涉密载体,应在封面或者首页做出国家秘密标志,汇编涉密文件、资料或摘录、引用属于国家秘密内容的应按照其中最高密级和最长保密期限标注。A、正确B、错误答案：A55.网络安全等级保护总共有3个保护级别。A、正确B、错误答案：B56.以下选项在WiFi技术安全中不属于网络层安全的是A、服务配置标识符B、有线等价保密协议C、身份认证D、虚拟专用网答案：B57.对于数据安全防护,访问控制措施是一个基础的防护手段,以下哪些可以被认为是访问控制措施A、基于五元组的访问控制B、基于时间的访问控制C、基于角色的访问控制D、基于物理安全的E、以上都对答案：E58.下面哪项为错误的说法A、冯·诺依曼结构共用数据存储空间和程序存储空间,不共享存储器总线B、哈佛结构有分离的数据和程序空间及分离的访问总线C、哈佛结构在指令执行时,取址和取数可以进行并行操作D、哈佛结构指令执行时效率更高答案：A59.保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、(),预警通报网络安全威胁和隐患,指导做好安全防范工作。A、安全态势B、风险状态C、人员情况D、保障措施答案：A60.以下哪种访问控制模型是基于系统管理员定义的安全策略和标签来决定资源的访问权限?A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、属性基础访问控制模型(ABAC)答案：B61.下面对“零日(Zero-Day)漏洞”的理解中,正确的是()A、指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限B、指通过漏洞扫描系统发现但是还没有被通告给监管机构的漏洞C、指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内完成攻击,且成功达到攻击目标D、指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,已经被小部分人发现,但还未公开、也不存在安全补丁的漏洞都是零日漏洞答案：D62.数据安全责任,按照谁所有谁负责、谁持有谁负责、谁管理谁负责A、对B、错答案：B63.以下关于“最小特权”原则理解正确的是:A、敏感岗位不能由一个人长期负责B、对重要的工作分解,分配给不同人员完成C、一个人有且仅有其执行岗位工作所足够的许可和权限D、防止员工由于轮岗累积越来越多的权限答案：C64.关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家涉密审查。A、正确B、错误答案：B65.个人信息处理者利用个人信息进行自动化决策,应当保证决策的()和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇A、可行性B、自动化C、透明度D、精准度答案：C66.关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向()申报网络安全审查。()A、网络安全审查办公室B、公安部C、国家保密局D、国家安全部答案：A67.等保2.0对物联网环境有额外的安全扩展要求。A、正确B、错误答案：A68.访问控制是网络安全的过程,其目的是:A、防止合法用户对系统资源的非法使用B、阻止非法用户进入系统C、保护系统的资产D、所有选项都是正确的答案：D69.()负责统筹协调个人信息保护工作和相关监督管理工作A、国家执法部门B、国家监管机构C、国家征信机构D、国家网信部门答案：D70.国家建立网络安全监测预警和信息共享制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。A、正确B、错误答案：B71.相关行业组织按照章程,依法制定(),加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。A、数据安全行为规范和团体标准B、数据处理行为规范和团体标准C、数据安全行为规范和个人标准D、数据处理行为规范和个人标准答案：A72.关于秘钥管理,下列说法错误的是:A、科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于秘钥的安全性B、保密通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全C、秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等全生命周期的每个环节D、在网络通信中。通信双方可利用Diffie-He11man协议协商出会话秘钥答案：B73.以下关于UDP协议的说法,哪个是错误的?A、具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击B、UDP包头中包含了源端口号和目的端口号,因此可通过端口号将数据包送达正确的程序C、相比TCP,UDP开销更小,因此常用来传送如视频这一类大流量需求的数据D、UDP协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频通话这类需要保护隐私的数据答案：D74.2015年,以色列防务公司与美国斯坦福大学成功利用手机电量消耗获取位置信息,这种攻击方式属于()A、钓鱼攻击B、中间人攻击C、操纵攻击D、边信道攻击答案：D75.身份认证的目的是什么?A、对事物的资质审查B、对事物真实性的确认C、对事物的合法性的确认D、对事物的权限进行确认答案：B76.物联网中的固件更新是用于什么目的?A、修复安全漏洞B、提升设备性能C、扩展设备功能D、降低设备成本答案：A77.身份信息在传输过程中是否可以被恶意篡改?A、可以B、不可以C、取决于网络环境D、取决于身份客体权限答案：A78.数据安全能力成熟度中有多少个过程域()A、10B、20C、30D、40答案：C79.发生以下情况数据安全等级需要降级的是()A、生产数据脱敏B、数据量增加C、特定时间或事件后信息具有高安全等级D、数据汇聚融合答案：A80.下列不属于核心数据的是()A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据答案：D81.下述那项不是区块链中应用的技术()。A、密码学B、大数据C、共识算法D、P2P网络答案：B82.拒绝服务攻击可能导致的后果是()。A、信息不可用B、应用程序不可用C、系统宕机、阻止通信D、上面几项都是(答案)答案：D83.关于信息系统安全等级保护第三级的系统运维管理,应对系统相关的人员进行应急预案培训,应急预案的培训至少每年举办一次。A、正确B、错误答案：A84.数据的单位,从小到大依次排序正确的是?A、TB<GB<MB<KBB、MB<GB<TB<PBC、PB<TB<MB<GBD、MB<TB<EB<GB答案：B85.下面哪个不是生成树的优点()A、生成树可以管理冗余链路,在链路发生故障时可以恢复网络连接B、生成树可以防止环路的产生C、生成树可以防止广播风暴D、生成树能够节省网络带宽答案：D86.工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年至少开展()次安全评估、A、1B、2C、3D、4答案：A87.在HDFS透明加密中,每个文件块都有一个独立的加密密钥,这个密钥由()来管理。A、HDFS管理员B、文件所有者C、KeyManagementService(KMS)D、操作系统管理员答案：C88.以下关于威胁建模流程步骤说法不正确的是A、威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁B、评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险C、消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威胁。D、识别威胁是发现组件或进程存在的威胁,威胁就是漏洞。答案：D89.防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是A、既能物理隔离,又能逻辑隔离B、能物理隔离,但不能逻辑隔离C、不能物理隔离,但是能逻辑隔离D、不能物理隔离,也不能逻辑隔离答案：C90.IPv4协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联互通,仅依靠IP头的校验和字段来保证IP包安全,因此很容易被篡改。IETF组织于是制定IPSec协议标准,其设计目标是在IPv4和IPv6环境中为网络层流量提供灵活、透明的安全服务,保护TCP/IP通信免遭窃听和篡改,同时保持易用性。下列选项中说法错误的是()A、IPSec协议提供对IP及其上层协议的保护。B、IPSec是一个单独的协议C、IPSec协议给出了鉴别头的通信保护机制D、IPSec协议给出了封装安全载荷的通信保护机制。答案：B91.规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,按照规范的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()A、,《风险评估方案》B、《需要保护的资产清单》C、《风险计算报告》D、《风险程度等级列表》答案：B92.为降低本国数据传输至境外造成的安全风险,我国针对性的推出了哪项政策法规?()A、《关键信息基础设施安全保护条例》B、《网络安全产品漏洞管理规定》C、《数据出境安全评估办法》D、《信息安全等级保护管理办法》答案：C93.根据《中华人民共和国个人信息保护法》有关规定,下列哪些规定情形需取得个人同意。A、为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需B、为履行法定职责或者法定义务所必需C、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需D、为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息E、以上都不需要答案：E94.《中华人民共和国数据安全法》所称数据,是指任何以电子或者其他方式对信息的记录。其中数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障()状态的能力。A、持续安全B、持续稳定C、部分安全D、部分稳定答案：A95.根据《征信业管理条例》的规定,金融信用信息基础数据库接收从事信贷业务的机构按照规定提供的()。()A、信贷信息B、信用信息C、不良信息D、纳税信息答案：A96.POW是指()A、权益证明B、工作量证明C、零知识证明D、以上都不是答案：B97.在中国境外处理中国境内自然人个人信息,大规模分析、评估境内自然人的行为的活动的场景,适用于《中华人民共和国个人信息保护法》A、正确B、错误答案：A98.部署虚拟专用网(InternetprotocolSecurityVirtualPrivateNetwork,IPsecVPN)时,以下说法正确的是:A、配置MD5安全算法可以提供可靠的数据加密B、配置AES算法可以提供可靠的数据完整性验证C、部署IPsecVPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(SecurityAuthentication,SA)资源的消耗D、报文验证头协议(AuthenticationHeader,AH)可以提供数据机密性答案：C99.()负责统筹协调个人信息保护工作和相关监督管理工作。A、公安部门B、网信部门C、征信部门D、大数据局答案：B100.电信业务经营者、互联网信息服务提供者应尽力优化用户体验,下列哪项行为是错误的。A、开屏和弹窗信息窗口提供清晰有效的关闭按钮,保证用户可以便捷关闭B、使用高灵敏度“摇一摇”方式诱导用户点击广告C、清晰明示产品功能权益及资费等内容,存在开通会员、收费等附加条件的,应当显著提示D、未经明示,不得在提供产品服务过程中擅自添加限制性条件,并以此为由终止用户正常使用的产品功能和服务,或降低服务体验。答案：B101.维护数据安全,应当坚持总体国家安全观,建立健全(),提高数据安全保障能力。A、信息安全治理体系B、数据安全治理体系C、信息安全保障体系D、数据安全保障体系答案：B102.防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是既能物理隔离,又能逻辑隔离。A、正确B、错误答案：B103.运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求A、通过网络安全审查,并与提供者签订安全保密协议B、放弃采购需求C、直接进行采购D、提前7个工作日向安全部门提交安全申请,在通过后方可进行采购答案：A104.关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全服务合同,明确安全和保密义务与责任。A、正确B、错误答案：B105.NANDFLASH和NORFLASH的区别正确的是()A、NOR的读速度比NAND稍慢一些B、NAND的擦除速度远比NOR的慢C、NAND的写入速度比NOR慢很多D、大多数写入操作需要先进行擦除操作。答案：D106.零信任(ZT)身份验证是什么?A、不信任任何用户或设备,需要对每个请求进行身份验证和授权。B、只信任内部用户,不信任外部用户。C、只信任特定设备,不信任其他设备。D、只信任特定网络,不信任其他网络。答案：A107.实践中常使用软件缺陷密度(Defects/KLPC)来衡量软件的安全性,假设某个软件共有30万行源代码,总共检出150个缺陷,则可以计算出其软件缺陷密度值是A、0.0005B、0.05C、0.5D、5答案：C108.在大数据环境中,()不是隐私保护的关键挑战之一。A、数据集成和共享B、数据存储和处理能力C、跨组织数据交换D、网络攻击和入侵答案：D109.根据《中国银保监会监管数据安全管理办法(试行)》的规定,下列归口管理部门具体职责不包括?()A、制定监管数据安全工作规则和管理流程B、制定监管数据安全技术防护措施C、规范本部门监管数据安全使用,明确具体工作要求,落实相关责任D、组织实施监管数据安全评估和监督检查答案：C110.恢复攻击是指攻击者如何获取访问权限?A、通过请求重置受害者的账户来绕过MFAB、通过网络钓鱼诈骗获得受害者的登录凭据C、通过感染恶意软件窃取受害者的个人信息D、通过冒充合法软件与受害者进行通信答案：A111.关于APP收集儿童数据,以下哪种做法是正确的?()A、不需要获得家长或监护人同意,因为这些数据对APP运营至关重要B、需要在APP中添加父母授权功能,以便父母同意数据收集C、允许未成年人自主决定是否授权数据收集D、可以随意收集儿童数据,只需在隐私政策中声明即可答案：B112.《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》以解决市场主体遇到的实际问题为导向,创新数据产权观念,淡化所有权、强调使用权,聚焦数据使用权流通,创造性提出建立下列哪一项“三权分置”的数据产权制度框架?()A、数据资源持有权、数据加工使用权和数据产品经营权B、数据资源所有权、数字加工使用权和数字产品经营权C、数据资源使用权、数据加工分配权和数据产品转让权D、数字资源分配权、数字加工持有权和数字产品使用权答案：A113.明朝时期,规定科举考生必须采用统一字体“台阁体”答卷,这在个人信息处理上是什么措施A、身份验证B、去标识C、同态加密D、多方安全计算答案：B114.若要系统中每次缺省添加用户时,都自动设置用户的宿主目录为/users,需修改哪一个配置文件?()A、/etc/default/useradd(答案)B、/etc/login.defsC、/etc/shadowD、/etc/passwd答案：A115.单点登录(SSO)是什么?A、允许用户一次登录即可访问多个应用程序或系统的身份验证方法。B、只需要用户名即可登录的身份验证方法。C、只需要密码即可登录的身份验证方法。D、只需要生物识别即可登录的身份验证方法。答案：A116.在Windows2000以后的操作系统版本中,访问控制是一种双重机制,它对用户的授权基于用户权限和对象许可,通常使用ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中,对windows操作系统访问控制实现方法的理解错误的是()A、CL只能由管理员进行管理B、ACL是对象安全描述的基本组成部分,它包括有权访问对象的用户和级的SIDC、访问令牌存储着用户的SID,组信息和分配给用户的权限D、通过授权管理器,可以实现基于角色的访问控制答案：A117.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构()或者安全检测符合要求后,方可销售或者提供。A、鉴定产品功能B、安全认证合格C、测试产品性能D、认证产品质量合格答案：B118.下列哪个是常见的访问控制认证机制?A、双因素认证B、三因素认证C、多因素认证D、单因素认证答案：C119.以下数据安全分类分级标准不属于行业标准的是?()A、GB/T39725-2020《信息安全技术健康医疗数据安全指南》B、工信(2020]6号《工业数据分类分级指南》C、JR/T0197-2020《金融数据安全数据安全分级指南》D、B14/T2442-2022《政务数据分类分级要求》答案：D120.国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以()为关键要素的数字经济发展。A、数据B、信息C、创新能力D、硬核科技答案：A121.防火墙(Firewall)通过什么来保护内部网络免受未经授权的访问和攻击?A、身份验证B、双因素认证C、过滤网络流量D、定义的访问控制策略答案：C122.依据《电信和互联网用户个人信息保护规定》,下列那项说法是错误的?()A、电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项B、电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息C、电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息可以未经用户同意向其关联公司提供D、电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务答案：C123.车载系统中的物理安全是指什么A、使用物理障碍物保护车辆B、使用物理锁保护车辆C、使用物理传感器监测车辆状态D、使用物理按钮控制车辆功能答案：A124.车载系统中的黑客攻击是指什么A、对车辆进行物理破坏B、对车辆进行远程控制C、对车辆进行常规维护D、对车辆进行装饰和改装答案：B125.物联网中的安全标准主要由谁制定?A、国际标准化组织(ISO)B、物联网设备制造商C、政府监管机构D、所有以上选项答案：D126.依据《中华人民共和国数据安全法》,开展数据处理活动应当依照法律、法规的规定,建立健全()管理制度。A、数据风险评估B、数据泄露应急处置C、数据交易D、全流程数据安全答案：D127.()人民政府根据实际需要,应当制定公共数据采集、归集、存储、共享、开放、应用等活动的具体管理办法。A、国家级B、省级C、市级D、区级答案：B128.《中华人民共和国个人信息保护法》正式施行时间是()。A、2021年8月20日B、2021年10月1日C、2021年11月1日D、2021年12月1日答案：C129.物联网中的网络隔离是指什么?A、将物联网设备与互联网隔离B、将不同的物联网设备划分到独立的网络C、阻止物联网设备之间的通信D、限制物联网设备的访问速度答案：B130.在访问控制中,以下哪个概念描述了用户或主体的访问权限在特定时间段内有效?A、审计B、审查C、时效D、撤销答案：C131.区块链中常用的数字签名算法是()A、ECDSAB、RSAC、DSAD、SM2答案：A132.数据安全风险评估应遵循哪些原则?A、科学性、公正性、客观性B、主观性、随意性、灵活性C、高效性、便捷性、低成本D、保密性、封闭性、排他性答案：A133.()以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价A、地市级B、区县级C、省部集D、重要省会及部分行政区域答案：A134.访问控制的客体是指什么?A、一个提出请求或要求的实体,是动作的发起者B、接受其他实体访问的被动实体C、主动发起访问请求的实体D、被动接受访问请求的实体答案：B135.生物特征欺骗攻击是指攻击者使用伪造的指纹、面部图像等来欺骗基于生物特征的身份认证系统。以下哪种是生物特征欺骗攻击的示例?A、密码猜测/暴力破解攻击B、中间人攻击C、XSS攻击D、人脸伪造攻击答案：D136.以下关于数据库常用的安全策略理解不正确的是:A、最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作B、最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息C、粒度最小的策略,将数据库中数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度D、按内容存取控制策略,不同权限的用户访问数据库的不同部分答案：B137.数据安全责任,按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责的原则确定。A、对B、错答案：A138.linux中关于登陆程序的配置文件默认的为()A、/etc/pam.d/system-authB、/etc/login.defs(答案)C、/etc/shadow4D、/etc/passwd答案：B139.根据《密码法》的规定,商用密码产品检测认证适用()的有关规定,避免重复检测认证。()A、《中华人民共和国网络安全法》B、《中华人民共和国数码安全法》C、《中华人民共和国个人信息保护法》D、《中华人民共和国消费权益保护法》答案：A140.2024年2月3日,工业和信息化部应发了《工业领域数据安全能力提升实施方案(2024-2026年)》,该方案的重点任务不包括()。A、提升工业企业数据共享能力B、提升工业企业数据保护能力C、提升数据安全监管能力D、提升数据安全产业支撑能力答案：A141.在访问控制中,以下哪个概念描述了对特定资源进行访问操作时所需的身份验证信息?A、认证B、授权C、验证D、鉴别答案：A142.媒体欺骗是指攻击者通过伪造以下哪种内容来引导目标执行操作?A、文字内容B、图像、视频或音频材料C、网络流量D、加密算法答案：B143.以下哪项是网络社会工程学攻击的一种形式?A、钓鱼攻击B、假冒身份C、垃圾邮件D、以上都是答案：D144.口令安全管理中,下列哪个原则是不正确的?A、口令应至少包含8个字符以上B、口令应包含大小写字母、数字和特殊字符C、口令可以与账号相同D、口令应有时效机制,定期更换答案：C145.《中华人民共和国网络安全法》规定:()A、促进公共数据开放B、保护关键信息基础设施C、严打网络诈骗,明确“网络实名制”.D、保护个人信息E、以上都对答案：E146.软件运行时频繁被黑客利用漏洞远程攻击获取数据,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()A、要求开发人员采用敏捷开发模型进行开发B、要求所有的开发人员参加软件安全意识培训C、要求规范软件编码,并制定公司的安全编码准则D、要求增加软件安全测试环节,尽早发现软件安全问题答案：A147.为保护商业机密,一般会和核心员工签署竞业限制协议。竞业限制是指员工在终止或解除劳动合同后的,一定期限内不得在生产同类产品、经营同类业务或有其他竞争关系的企业任职,也不得自己生产与原企业有竞争关系的同类产品或经营同类业务A、正确B、错误答案：A148.《中华人民共和国民法典》规定,网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取()、删除、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。A、屏蔽B、过滤C、加密D、拉黑答案：A149.下列哪一项不属于数据跨境的场景类型?()A、数据跨境B、跨境传输C、跨境采集D、跨境访问答案：B150.《数据安全法》中的“数据”是指()。A、任何电子或者非电子形式对信息的记录B、进行各种统计、计算、科学研究或技术设计等所依据的数值C、网络数据D、只包括电子形式的信息记录答案：A151.发改委首次将区块链纳入“新基建”范围的时间是()A、2016B、2015C、2022D、2020答案：D152.运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行()检测评估A、一次B、两次C、三次D、四次答案：A153.依据ISO27001,信息系统审计是()。()A、应在系统运行期间进行,以便于准确地发现弱电B、审计工具在组织内应公开可获取,以便于提升员工的能力C、发现信息系统脆弱性的手段之一D、只要定期进行,就可以替代内部ISMS审核答案：C154.等保2.0对工业控制系统有额外的安全扩展要求。A、正确B、错误答案：A155.在访问控制中,RBAC模型中的权限继承是指:A、用户继承角色的权限B、角色继承用户的权限C、角色继承其他角色的权限D、用户继承其他用户的权限答案：C156.根据《电子签名法》的规定,下列哪种情形不得视为发件人发送?()A、未经发件人授权发送B、发件人的信息系统自动发送C、收件人按照发件人认可的方法对数据电文进行验证后结果相符D、经约定,发件人通过加密形式发送答案：A157.以下哪项不属于政务数据共享的类型?A、无条件共享B、有条件共享C、不予共享D、部分共享答案：D158.双因素认证是指结合几种认证方式进行身份认证?()A、一种B、两种C、三种D、四种答案：B159.违反《个人信息保护法》规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务且拒不改正的,并处()罚款;对直接负责的主管人员和其他直接责任人员处()罚款。A、50万元以下,1万元以上10万元以下B、50万元以下,5万元以上10万元以下C、100元以下,1万元以上10万元以下D、100万元以下,5万元以上10万元以下答案：C160.防范社会工程学攻击的最有效措施是什么?A、完全消除攻击风险B、提供高级技术安全措施C、组织内部监控员工行为D、综合应用多种防范措施答案：D161.在App界面中应当能够找到隐私政策,包括通过弹窗、文本链接、常见问题(FAQs)等形式。A、正确B、错误二、单选题(12)答案：A162.《中华人民共和国民法典》规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄漏患者的隐私和个人信息,或者未经患者同意()其病历资料的,应当承担侵权责任。A、存储B、传播C、公开D、买卖答案：C163.区块链是一种:A、分布式数据库技术B、中心化数据库技术C、人工智能算法D、云计算技术答案：A164.政务数据中包含的个人信息可以直接参与数据交易,作为政府的新经济营收增长创新模式。A、正确B、错误答案：B165.数据确权要解决()基本问题A、数据权利属性B、数据权利主体C、数据权利内容D、以上全是答案：D166.《中华人民共和国民法典》规定,网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取屏蔽、删除、()等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。A、过滤B、拉黑C、加密D、断开链接答案：D167.在某信息系统的设计中,用户登陆过程如下:(1)以HTTP协议访问信息系统;(2)在登陆页输入用户名和口令;(3)服务器端检查用户名和口令的正确性,如果正确,则鉴别完成。该鉴别过程属于()。A、单向鉴别B、双向鉴别C、多因素鉴别D、第三方鉴别答案：A168.违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处()万元以上()天万元以下罚款,并根据情况责令暂停相关业务、停业整顿、品吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。A、100,200B、200,500C、200,1000D、500,1000答案：C169.依ISO27001标准制定信息安全管理体系方针应以考虑的输入是?()A、业务战略B、法律法规要求C、合同要求D、以上全部答案：D170.数据提供部门应当按照谁经手、谁负责,谁提供、谁负责的原则,负责本部门数据采集、归集、存储、提供、共享、应用和开放等环节的安全管理。A、正确B、错误答案：B171.关键信息基础设施和网络安全等级保护之间的关系?A、网络安全等级保护第三级的系统一定是关键信息基础设施B、关键信息基础设施同时也必须通过网络安全等级保护第二级C、基于等保而高于等保,关键信息基础设施需在等级保护第三级及以上对象中确定D、关键信息基础设施保护和网络安全等级保护各自独立,互不相关答案：C172.防止计算机中信息被窃采取的手段不包括。()A、用户识别B、权限控制C、病毒控制D、数据加密答案：C173.下列关于数据出境安全评估的说法,正确的是?A、数据出境安全评估结果长期有效B、数据出境安全评估仅针对重要数据C、数据出境安全评估由数据处理者自行决定D、数据出境安全评估结果应当作为数据出境的依据答案：D174.身份信息在传输过程中需要保证哪些安全性?A、机密性、完整性、可用性B、机密性、可复制性、可用性C、完整性、可变性、可用性D、完整性、可靠性、可复制性答案：A175.用户名和密码是一种常见的身份认证方法,它属于()类型的认证。A、双因素认证B、多因素认证C、单因素认证D、强制认证答案：C176.以向境内自然人提供产品或者服务为目的,在中国境外处理中国境内自然人个人信息的活动的场景,适用于《中华人民共和国个人信息保护法》A、正确B、错误答案：A177.在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:A、SSHB、HTTPC、FTPD、SMTP答案：A178.以下哪项不是身份的必要特点?A、唯一性B、可复制性C、可变性D、持久性答案：B179.自主访问控制模型(DiscretionaryAccessControl,DAC)是基于什么原则来控制资源访问权限?A、系统管理员决定B、资源所有者决定C、角色分配决定D、属性规则决定答案：B180.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行()次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。()A、一B、二C、三D、四答案：A181.物联网中的隐私保护措施主要包括以下哪些方面?A、数据加密B、访问控制C、数据备份D、所有以上选项答案：D182.()有权对违反本法规定的行为向有关主管部门投诉、举报?A、只有从事数据安全工作的人员有权B、只有从事数据安全工作的组织有权C、只有从事数据安全工作的人员和组织有权D、任何个人、组织都有权答案：D183.我国定义的五大生产要素,不包括:A、数据B、能源C、劳动力D、资本答案：B184.5.基于策略的访问控制模型(Policy-BasedAccessControl,PBAC)是通过什么来控制对资源的访问权限?A、用户行为B、系统管理员C、定义的访问控制策略D、用户角色答案：C185.在访问控制中,ABAC(Attribute-BasedAccessControl)的特点是:A、基于角色的访问控制B、基于资源的访问控制C、基于属性的访问控制D、基于策略的访问控制答案：C186.业务连续性计划(BCP)是组织为避免所有业务功能因重大事件而中断,减少业务风此案而建立的一个控制过程。A、正确B、错误答案：B187.MFA洪水攻击的目的是什么?A、窃取用户的个人信息B、拦截用户的登录凭据C、使用户对不断的推送通知感到沮丧和厌倦D、发送大量垃圾邮件给用户答案：C188.以下哪种行为不适用《个人信息保护法》?()A、在中国境内因商业服务处理自然人个人信息;B、在中国境外以向境内自然人提供产品或者服务为目的处理境内自然人个人信息;C、在中国境外分析、评估境内自然人的行为;D、在中国境内因个人事务处理自然人个人信息。答案：D189.国家机关应当遵循()、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。A、创新B、公正C、准确D、开放答案：B190.政务数据中包含的个人信息需要分情况分场景进行不同程度的保护。A、正确B、错误答案：A191.网络产品、服务具有()的,其提供者应当向用户明示并取得同意A、收集收集型号功能B、卫星导航功能功能C、4G或5G上网功能的D、收集用户信息功能答案：D192.根据《网络安全法》的规定,科研机构应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、正确B、错误答案：B193.属性基础访问控制模型(Attribute-BasedAccessControl,ABAC)是基于什么来决定用户对资源的访问权限?A、用户属性B、资源属性C、环境属性D、所有以上答案：D194.《中华人民共和国民法典》规定,()的个人信息受法律保护。A、中国人民B、中国公民C、自然人D、法人答案：C195.根据《网络安全法》的规定,网络产品、服务的提供者实施哪种行为会受到处罚?()A、提供符合相关国家标准的强制性要求的网络产品、服务;B、不在网络产品、服务中设置恶意程序;C、在规定或者当事人约定的期限内,终止提供安全维护;D、发现网络产品、服务存在安全缺陷、漏洞等风险时,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。答案：C196.国密256加密算法是采用国家密码管理局公布的公钥算法()进行加密的。A、SM1B、SM2C、RSAD、AES答案：B197.我国定义的五大生产要素,包括:A、信息技术B、能源C、数据D、商业机密答案：C198.linux中关于登陆程序的配置文件默认的为/etc/login.defs。A、正确B、错误答案：A199.某公司的对外公开网站主页经常被黑客攻击后修改主页内容,该公司应当购买并部署下面哪个设备()A、安全路由器B、网络审计系统C、网页防篡改系统D、VPN专用设备答案：C200.国家建立网络安全监测预警和信息传输制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。A、正确B、错误答案：B201.国家支持开展数据安全知识宣传普及,下列说法正确的是:A、只有企业参与数据安全保护工作B、只有企业、科研机构参与数据安全保护工作C、只有企业、科研机构、有关部门参与数据安全保护工作D、有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作答案：D202.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行()网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。A、一次B、二次C、三次D、四次答案：A203.下不属于云计算与物联网融合模式的是A、单中心-多终端模式B、多中心-大量终端模式C、信息应用分层处理-海量终端模式D、单中心-单终端模式答案：D204.数据安全风险评估过程中,最重要的是什么?A、数据收集B、风险评估方法选择C、风险识别与分析D、风险应对措施制定答案：C205.以下哪种访问控制模型是基于用户的历史行为和环境信息来动态决定用户对资源的访问权限?A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、事实授权访问控制模型(FBA)D、属性基础访问控制模型(ABAC)答案：C206.数据安全风险评估中,下列哪项不是重要评估内容之一()A、数据处理目的、方式、范围是否合法、正当、必要B、数据安全管理制度、流程策略的制定和落实情况C、数据备份策略的落实情况D、数据安全技术防护能力建设及应用情况答案：C207.《网络安全法》第37条核心规定包括下列哪一项?()A、涉及个人信息和重要数据未做区分设计B、自评估的具体内容C、监管进行安全审查的标准D、需境内存储,若有需要境外提供,需经安全评估答案：D208.《数据安全法》中的“数据”,不仅包括电子形式,也包括以其他方式记录的信息。即无论是()、或是()的数据都需要受到《数据安全法》的管辖,范围相当宽泛。()A、涉密,非涉密B、电子形式,纸质形式C、国有,非国有D、商业,非商业答案：B209.国家鼓励开发网络数据安全保护和利用技术,促进国家政务数据开放,推动技术创新和经济社会发展。A、正确B、错误答案：B210.唐朝年间,科举基本上被五姓七家把控,他们世代联姻,利用裙带关系录取考生,武则天于是决定采用糊名制度,“暗考以定其等级”,糊名制度在个人信息处理上是什么措施()A、隔离B、身份验证C、去标识D、差分隐私答案：C211.VLAN技术用于实现什么目的?A、增强系统安全性B、提高网络带宽C、实现网络隔离D、加速数据传输速度答案：C212.根据《个人信息保护法》的规定,以下哪种会受到《个人信息保护法》的规制?()A、接受、处理某APP违规收集用户位置信息的投诉、举报B、接受、处理某APP出售商品质量不合格的投诉、举报C、调查、处理某APP违法从事金融经营活动D、调查、处理某APP的违法宣传活动答案：A213.公安部门队对某款抢红包外挂进行分析发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权,该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动为防范此类木马的攻击,以下做法无用的是()A、不下载、不执行、不接收来历不明的软件和文件B、不随意打开来历不明的邮件,不浏览不健康不正规的网站C、禁用共享文件夹D、安装反病毒软件和防火墙,安装专门的木马防范软件答案：C214.根据《网络安全法》的规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险,每年进行几次监测评估?()A、1B、2C、3D、4答案：A215.网络社会工程学攻击利用了哪些原理?A、心理学和社交技巧B、网络传播和信息交换C、病毒和恶意软件的编写和传播D、以上都不是答案：A216.访问控制决定用户什么?A、是否能够访问网络资源B、是否能够使用网络资源C、是否能够修改网络资源D、是否能够删除网络资源答案：A217.以下不属于大数据特性的是()A、数据体量大B、数据价值密度大C、数据实时性高D、数据维度多答案：B218.区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于()。()A、3个月B、6个月C、9个月D、12个月答案：B219.大数据发展应当全面实施国家大数据战略,坚持()、依法管理、保障安全原则。A、统筹规划、创新引领B、数据赋能、繁荣业态C、互联互通、共享开放D、以上都正确答案：D220.关于数据安全管理,以下哪项说法不合理()?A、数据安全应当全员参与B、人是薄弱的环节C、部署数据安全的产品就可以解决数据安全问题D、有必要增强数据安全意识培训答案：C221.数据处理者应当采取什么措施保障数据免遭泄露、篡改、破坏、丢失、非法获取或者非法利用?A、仅依赖技术手段B、仅依赖管理制度C、采取技术保护和管理措施D、无需采取任何措施答案：C222.生物特征认证一般需要经过哪三个过程?()A、图像采集、特征提取和特征匹配B、用户名和密码、共享密钥和口令、算法C、IC卡和PIN、共享密钥和口令、算法D、随机数值、共享密钥和口令、算法答案：A223.已被发现,但相关软件厂商还未第一时间给出补丁进行修复的漏洞称之为?()单选A、已有漏洞B、CVE漏洞C、Nday漏洞D、0DAY漏洞答案：D224.《关键信息基础设施安全保护条例》规定安全保护措施应当与关键信息基础设施()。A、同步规划B、同步建设C、同步使用D、以上都正确答案：D225.Kerberos认证协议中的"AS"代表什么?A、认证服务器B、授权服务器C、应用服务器D、票据授予服务器答案：A226.社会工程学攻击是指攻击者通过欺骗、诱骗或操纵用户来获取其身份验证凭据。以下哪种不属于社会工程学攻击的示例?A、钓鱼网站B、重放攻击C、电话欺诈D、欺骗性电子邮件答案：B227.书面形式的涉密载体,应在封面或者首页做出国家秘密标志,汇编涉密文件、资料或摘录、引用属于国家秘密内容的应按照其中最高密级和最短保密期限标注。A、正确B、错误答案：B228.在单点登录(SSO)认证过程中,为什么需要使用SSL通道来传递Cookie?A、提高用户体验B、加快应用系统的响应速度C、增加Cookie的安全性D、减小Cookie被截获的可能性答案：D229.以下关于模糊测试过程的说法正确的是:A、模糊测试的效果与覆盖能力,与输入样本选择不相关B、为保障安全测试的效果和自动化过程,关键是将发现异常进行现场保护记录,系统可能无法恢复异常状态进行后续的测试C、通过异常样本重视异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞,就需要进一步分析其危害性、影响范围和修复建议D、对于可能产生的大量异常报告,需要人工全部分析异常报告答案：C230.在单点登录(SSO)认证过程中,Cookie的作用是什么?A、存储用户的登录凭据B、保存用户的个人信息C、传递访问票据和用户信息D、加密用户的通信数据答案：C231.访问控制中的DAC(DiscretionaryAccessControl)是一种自主访问控制策略,它基于:A、用户的身份进行访问控制B、角色的权限分配进行访问控制C、标签或标记进行访问控制D、资源所有者的决策进行访问控制答案：D232.在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、()或者公民、组织合法权益的,()。A、公共利益,依法追究法律责任B、国家利益,依法追究法律责任C、公共利益,不能追究法律责任D、国家利益,不能追究法律责任答案：A233.APP收集敏感用户数据时应该()。A、在APP中嵌入广告,以此换取用户数据B、强制用户授权所有权限C、明确告知用户数据收集的目的和方式,并获得用户明示同意D、不需要获得用户同意,因为这些数据对APP运营至关重要答案：C234.《中华人民共和国民法典》规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。()患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。A、泄漏B、传播C、存储D、买卖答案：A235.以下哪项是降低社会工程学攻击风险的有效措施?A、增加网络防火墙的配置B、提供员工教育和培训C、定期进行漏洞扫描和渗透测试D、使用强密码保护账户答案：B236.关于风险要素识别阶段工作内容叙述错误的是:A、资产识别是指对需求保护的资产和系统等进行识别和分类B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C、脆弱性识别以资产为核心,针对每一项需求保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估D、确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台答案：D237.选择身份验证类型时,企业需要平衡什么?A、用户体验和安全性B、成本和效率C、隐私和安全D、速度和可靠性答案：A238.访问控制是一种针对什么的防范措施?A、病毒攻击B、越权使用资源C、网络拒绝服务攻击D、网络钓鱼攻击答案：B239.《个人信息保护法》通过的时间是:A、2021年8月17日B、2021年8月18日C、2021年8月19日D、2021年8月20日答案：D240.我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是()。A、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估B、自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施C、自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施D、周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行答案：C241.为了体现公平公正原则,每年高考都有严格的数据防泄密措施。以下哪项是无效的数据保密手段?A、封闭出卷、封闭阅卷B、试卷密封,运输过程全监控C、考生个人信息必须填入密封线以内,否则答卷无效D、出题完毕后出题组统一离场,不得交头接耳E、试卷交由甲级国家秘密载体印制资质的单位印刷答案：D242.嵌入式系统中的安全芯片是指什么A、专用芯片,用于提供硬件级安全功能B、芯片上的加密引擎,用于执行密码算法C、芯片上的安全存储器,用于保存加密密钥D、芯片上的防火墙,用于阻止外部攻击答案：A243.访问控制的控制策略是指什么?A、一个提出请求或要求的实体,是动作的发起者B、接受其他实体访问的被动实体C、主动发起访问请求的实体D、主体对客体的访问规则集,即属性集合答案：D244.分组密码算法是一类十分重要的密码算法,下面描述中,错误的是()A、分组密码算法要求输入明文按组分成固定长度的块B、分组密码的算法每次计算得到固定长度的密文输出块C、分组密码算法也称作序列密码算法D、常见的DES、IDEA算法都属于分组密码算法答案：C245.依据ISO27701,个人信息系统用来存储个人信息的方式为?()A、一个文件存放一个人的信息B、数据库统一管理C、电子表格管理D、存放在内存答案：A246.以下不是关键信息基础设施重要行业和领域的是?A、公共通信B、能源、交通、水利C、公共服务D、各类电商网购平台答案：D247.网络安全等级保护第三级信息系统测评过程中,关于数据安全及备份恢复的测评,应检查()中是否为专用通信协议或安全通信协议服务,避免来自基于通信协议的攻击破坏数据完整性。A、操作系统B、网络设备C、数据库管理系统D、应用系统E、以上均对答案：E248.数字中国,最重要的生产要素是〔〕A、资本B、互联网C、高智商劳动力D、数据答案：D249.关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家网络审查。A、正确B、错误答案：B250.在网络社会工程学攻击中,攻击者通常试图通过哪些方式来欺骗目标?A、发送虚假的电子邮件、短信或其他通信形式B、利用人际交往或其他社交技巧来获取目标的信任和信息C、伪装成授权人员或合法用户以获取目标系统或机构的访问权限D、以上都是答案：D251.为保障数据可用性,系统设计时应关注()。A、网络拓扑结构是否存在单点故障B、主要网络设备以及关键业务的服务器是否冗余C、通信线路是否有多条链路D、是否有数据备份与恢复验证措施E、以上都对答案：E252.PKI的主要理论基础是()。A、对称密码算法B、公钥密码算法C、量子密码D、摘要算法答案：B253.以下哪个场景不会导致浏览网页泄露个人信息()A、钓鱼网站B、Cookie技术C、页面挂马D、开启DNT答案：D254.如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是()。A、访问控制列表(ACL)B、能力表(CL)C、BLP模型D、Biba模型答案：A255.()负责统筹协调个人信息保护工作和相关监督管理工作A、国家监管机构B、国家征信机构C、国家网信部门D、中国人民银行答案：C256.使用多因素身份验证(MFA)可以做什么?A、提高安全性B、提高用户体验C、降低成本D、提高速度答案：A257.矿藏、水流、海域属于()所有。A、国家B、地方政府C、企业D、私人答案：A258.大数据采集中,()是一种重要的安全技术,可以帮助识别和防止潜在的网络攻击和漏洞。A、防火墙B、入侵检测系统C、加密技术D、认证技术答案：B259.访问控制包含哪三个要素?A、主体、客体、控制策略B、服务器、数据库、客户端C、用户名、密码、验证码D、IP地址、端口号、协议类型答案：A260.在大数据安全中,以下()不是常见的数据脱敏技术。A、数据加密B、数据掩码C、数据删除D、数据混淆答案：C261.违反《中华人民共和国数据安全法》第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据并造成严重后果的,处()罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。A、十万元以上一百万元以下B、五十万元以上一百万元以下C、一百万元以上五百万元以下D、一百万元以上一千万元以下答案：C262.等保2.0有安全扩展要求包括哪些方面?A、云计算安全扩展要求B、移动互联安全扩展要求C、物联网安全扩展要求D、工业控制系统安全扩展要求E、以上都是答案：E263.在中国境外处理中国境内自然人个人信息的活动的场景,哪个不适用《中华人民共和国个人信息保护法》。A、以向境内自然人提供产品或者服务为目的B、以向境外自然人提供产品或者服务为目的C、大规模分析、评估境内自然人的行为D、法律与行政法规规定的其他情形答案：B264.用户登录时,认证服务器产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令,发送给认证服务器,认证服务器用同样的方法计算后,验证比较两个口令即可验证用户身份,这种方式称之为。A、口令序列B、时间同步C、挑战应答D、静态口令答案：C265.等保2.0对人工智能有额外的安全扩展要求。A、正确B、错误答案：B266.从安全角度看,下面哪项是网络购物中不好的习惯:A、计算机上的系统不进行升级B、为计算机安装病毒查杀和安全加固方面的软件C、设置只能下载和安装经过签名的,安全的ActiveX控件D、浏览器时设置不在计算机中保留网络历史纪录和表单数据答案：A267.运输、携带、邮寄计算机信息媒体进出境的,应当如实向()申报。()A、省级以上人民政府公安机关B、国家安全部C、国家保密局D、海关答案：D268.什么是系统变更控制中最重要的内容?A、所有的变更都必须文档化,并经过审批B、变更应通过自动化工具来实施C、应维护系统的备份D、通过测试和批准来确保质量答案：A269.以下哪种访问控制模型是基于用户的个人身份来授权资源访问权限?A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、属性基础访问控制模型(ABAC)答案：A270.物联网安全是指什么?A、保护物联网设备的物理安全B、保护物联网设备免受未经授权的访问和攻击C、保护物联网设备的电源供应D、保护物联网设备的网络连接速度答案：B271.数据安全风险评估中,哪些因素不是评估的重点?A、数据泄露的可能性B、数据处理的合规性C、企业员工的个人喜好D、数据访问的控制措施答案：C272.中国物联网安全法规定了哪些网络安全事件的报告义务?A、重大网络安全事件B、跨境数据传输的网络安全事件C、物联网设备的网络安全事件D、所有以上选项答案：D273.哪种身份认证方式容易被破解和盗用?()A、生物特征识别B、智能卡认证C、双因素认证D、用户名和密码答案：D274.物联网中的数据备份和恢复为什么重要?A、防止数据丢失和损坏B、加快数据传输速度C、降低数据存储成本D、保护数据的隐私性答案：A275.CTO在对企业的信息系统进行风险评估后,考虑企业业务系统中部分涉及电商支付的功能模块风险太高,他建议该企业以放弃这个功能模块的方式来处理风险,请问这种风险处置的方法是()A、降低风险B、规避风险C、放弃风险D、转移风险答案：B276.对于用户删除账号和数据,以下哪种做法是不正确的?()A、提供用户删除账号和数据的功能B、删除用户数据的备份和镜像C、限制用户删除账号和数据的时间和方式D、在用户提交删除请求后及时处理并回复用户三、多选题(19)答案：C277.日本安全研究员与密歇根大学利用激光攻击知名厂商的智能音响与语音识别软件,从5米到110米范围上述设备与软件无一