江苏省第二届数据安全技术应用职业技能竞赛理论考试题及答案

江苏省第二届数据安全技术应用职业技能竞赛理论考试题及答案单选题1.最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个?A、软件在Linux下按照时，设定运行时使用nobody用户运行实例B、软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库C、软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限D、为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误（正确答案）参考答案：D2.最小特权管理的原则是：A、每个用户都拥有系统中的最大权限B、每个用户只拥有完成任务所必要的权限集C、特权分配应按需使用D、特权拥有者可以随意使用权限参考答案：B3.组织建立业务连续性计划（BCP）的作用包括：A、在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；B、提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、应用和数据；C、保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，降低损失；D、以上都是。参考答案：D4.组织建立信息安全管理体系并持续运行，其中错误的是（）A、建立文档化的信息安全管理规范，实现有章可循B、强化员工的信息安全意识，培育组织的信息安全企业文化C、对服务供应商要求提供证明其信息安全合规的证明D、使组织通过国际标准化组织的ISO9001认证参考答案：D5.组织第一次建立业务连续性计划时，最为重要的活动是：A、制定业务连续性策略B、进行业务影响分析C、进行灾难恢复演练D、构建灾备系统参考答案：A6.字典攻击是指攻击者使用常见的用户名和密码组合进行尝试，以猜测用户的凭据。以下哪种是字典攻击的示例？A、密码猜测/暴力破解攻击B、社会工程学攻击C、中间人攻击D、撞库攻击参考答案：A7.自主访问控制模型（DAC）的访问控制可以用访问控制表（ACL）来表示，下面选项中说法正确的是（）。A、CL是Bell-LaPadula模型的一种具体实现B、ACL在删除用户时，去除该用户所有的访问权限比较方便C、ACL对于统计某个主体能访问哪些客体比较方便D、ACL管理或增加客体比较方便参考答案：B8.自然人死亡的，其近亲属为了自身的合法正当利益，可以对死者的相关个人信息行使（）权利；死者生前另有安排的除外。A、查阅B、复制C、更正D、删除参考答案：D9.准备登陆电脑系统时，发现有人在您的旁边看着，正确做法是（）A、不理会对方B、提示对方避让C、报警D、关机后离开参考答案：B10.撞库攻击是指攻击者通过获取已经泄露的用户名和密码组合，尝试在其他网站或服务中使用这些凭据进行身份验证。这种攻击利用了用户倾向于：A、使用弱密码B、使用相同的用户名和密码组合C、喜欢使用公共计算机进行认证D、在社交媒体上公开个人信息参考答案：B11.重要数据的处理者应当明确（）和管理机构，落实数据安全保护责任。A、数据用途B、数据处理时间C、数据使用人D、数据安全负责人参考答案：D12.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送数据清单。A、对B、错参考答案：B13.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送（）。A、数据安全风险清单B、风险报告单C、风险评估报告D、应急补救措施参考答案：C14.重要涉密部门的人员选配，应当坚持（）的原则，并定期进行考核，不适合的应及时调整。A、谁选配谁负责B、先审后用C、先选后训D边审边用参考答案：B15.重放攻击是指攻击者截获合法用户的身份验证流量，并在稍后的时间重新发送该流量，以冒充合法用户进行身份验证。以下哪种是重放攻击的示例？A、跨站点脚本（XSS）攻击B、令牌劫持攻击C、生物特征欺骗攻击D、社会工程学攻击参考答案：B16.中间人攻击是指攻击者在用户和身份验证服务器之间插入自己的设备或软件，以截获和篡改身份验证信息。以下哪种是中间人攻击的示例？A、密码猜测/暴力破解攻击B、跨站点脚本（XSS）攻击C、侧信道攻击D、令牌劫持攻击参考答案：D17.中间人代理攻击是指什么？A、攻击者通过感染恶意软件接管用户通道B、攻击者通过网络钓鱼诱骗用户输入凭据C、攻击者利用漏洞绕过MFAD、攻击者冒充合法软件与用户进行通信参考答案：D18.中国现行跨境法律监管体系由“1+3+N”组成，其中“1”代表下列哪项法律？（）A、《国家安全法》B、《网络安全法》C、《数据安全法》D、《个人信息保护法》参考答案：A19.中国物联网安全法要求涉及国家安全的物联网设备必须通过什么审查和认证？A、安全性评估审查B、国家安全审查C、政府监管审查D、所有以上选项参考答案：B20.中国物联网安全法规定了哪些网络安全事件的报告义务？A、重大网络安全事件B、跨境数据传输的网络安全事件C、物联网设备的网络安全事件D、所有以上选项参考答案：D21.智能卡身份验证需要什么？A、需要智能卡读卡器和智能卡B、需要指纹识别设备和智能卡C、需要面部识别设备和智能卡D、需要虹膜扫描设备和智能卡参考答案：A22.智能合约是一种：A、基于物理合同的数字化版本B、编程代码，用于在区块链上执行合同条款C、虚拟货币交易所D、区块链节点的身份验证机制参考答案：B23.直接可识别性的例子如姓名、身份ID等基本身份信息，下列哪一项不属于直接可识别性的例子？（）A、指纹B、声纹C、虹膜D、牙模参考答案：D24.证书的有效期是多久？（）A、10/20B、20/30C、30/40D、40/50参考答案：A25.增加/删除k条数据的ε-DP机制满足（kε）-DPA、TRUEB、FALSE参考答案：A26.在最小特权管理中，下面哪个原则是正确的？A、每个用户都应该拥有系统中的所有权限B、特权拥有者应该随意使用权限C、特权分配应基于业务需求进行D、特权应该按需分配和限制使用参考答案：D27.在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、（）或者公民、组织合法权益的，（）。A、公共利益，依法追究法律责任B、国家利益，依法追究法律责任C、公共利益，不能追究法律责任D、国家利益，不能追究法律责任参考答案：A28.在中华人民共和国（）开展数据处理活动及其安全监管适用《中华人民共和国数据安全法》A、境内部分地区B、境内以及境外C、境外D、境内参考答案：D29.在一个学校的教务系统中，经常采取分组方式的访问控制：教师能录入学生的考试成绩；学生只能查看自己的分数；教务的管理人员能对课程信息、学生选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是：A、对经过身份鉴别后的合法用户提供所有服务B、拒绝非法用户的非授权访问请求C、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理D、防止对信息的非授权篡改和滥用参考答案：A30.在网络社会工程学攻击中，以下哪项是最常见的欺骗方式？A、假冒网站B、假冒身份C、钓鱼攻击D、社交工程攻击参考答案：C31.在网络社会工程学攻击中，以下哪项是常见的形式？A、电话诈骗B、媒体欺骗C、社交工程攻击D、以上都是参考答案：D32.在网络社会工程学攻击中，攻击者通常试图通过哪些方式来欺骗目标？A、发送虚假的电子邮件、短信或其他通信形式B、利用人际交往或其他社交技巧来获取目标的信任和信息C、伪装成授权人员或合法用户以获取目标系统或机构的访问权限D、以上都是参考答案：D33.在网络访问控制中，下面哪个技术可以实现对网络通信连接的细粒度控制？A、防火墙B、VPN（VirtualPrivateNetwork）C、IDS（IntrusionDetectionSystem）D、ACL（AccessControlList）参考答案：D34.在网络传递身份时，需要先建立什么关系？A、信任关系B、合作关系C、竞争关系D、加密关系参考答案：A35.在数据安全能力成熟度模型中，哪个阶段开始注重数据安全的量化管理和优化？A、非正式执行级B、计划跟踪级C、充分定义级D、量化控制级参考答案：D36.在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《清单》应是（）A、风险评估准备B、风险要素识别C、风险分析D、风险结果判定参考答案：B37.在嵌入式系统中，远程认证是如何实现的？A、使用数字证书进行身份验证B、使用单向哈希函数进行消息认证C、使用多因素身份验证进行认证D、使用物理令牌进行认证参考答案：A38.在口令安全管理中，以下哪个做法是不正确的？A、定期更换口令B、使用强密码复杂度要求C、将口令以明文形式在网络上传递D、加密存储口令文件参考答案：C39.在科举考试中，考官必须采用锁厅制进行封闭出卷，封闭在考场中出题，并且周围有兵丁把守，禁止内外交流，这种措施体现了数据安全的什么手段（）单选题A、脱敏B、物理隔离C、身份识别与多因素认证D、加密参考答案：B40.在进行数据校验时，以下哪个不是推荐的做法？A、使用白名单净化数据B、接受所有用户输入C、使用黑名单剔除特定字符D、对数据进行编码或替换参考答案：B41.在进行数据安全风险评估时，应重点关注哪些数据？A、所有类型的数据B、敏感数据C、公开数据D、过期数据参考答案：B42.在进行数据安全风险评估时，以下哪项是关键的第一步？A、制定详细的风险应对措施B、选择合适的风险评估方法和工具C、识别并确定评估的范围和对象D、汇总并报告评估结果参考答案：C43.在关键信息基础设施安全保护工作中，（）应当根据保护工作部门的需要，及时提供技术支持和协助A、网络上公开的安全论坛B、安全工具开发公司C、学习安全知识的学员D、国家网信部门参考答案：D44.在个人权利的保护方面，《个人信息保护法》规定了哪两项不同于《通用数据保护条例》权利？（）A、更正补充权、限制处理权B、个人的决定权、请求解释权C、个人的决定权、限制处理权D、更正补充权、请求解释权参考答案：B45.在风险管理中，残余风险是指实施了新的或增强的安全措施后还剩下的风险，关于残余风险，下面描述错误的是（）A、风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风险的书面批准，这也是风险管理中的一个重要过程B、管理层确认接收残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且承担引发的后果C、接收残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制的提高安全保护措施的强度，对安全保护措施的选择要考虑到成本和技术等因素的限制D、如果残余风险没有降低到可接受的级别，则只能被动的选择接受风险，即对风险不进行下一步的处理措施，接受风险可能带来的结果。参考答案：D46.在访问控制中，以下哪个概念描述了用户或主体的访问权限在特定时间段内有效？A、审计B、审查C、时效D、撤销参考答案：C47.在访问控制中，下面哪个措施可以增强系统的身份认证安全性？A、多因素认证B、开放注册C、共享账号和口令D、强制口令重用参考答案：A48.在访问控制中，RBAC模型中的用户角色关系是：A、一对一关系B、一对多关系C、多对多关系D、多对一关系参考答案：C49.在访问控制中，RBAC模型中的角色可以与以下哪个概念对应？A、用户组B、文件权限C、认证凭证D、审计日志参考答案：A50.在访问控制中，MAC（MandatoryAccessControl）是指：A、强制访问控制B、自主访问控制C、角色访问控制D、访问控制列表参考答案：A51.在访问控制中，ABAC（Attribute-BasedAccessControl）是指：A、基于用户的访问控制B、基于角色的访问控制C、基于资源的访问控制D、基于属性的访问控制参考答案：D52.在访问控制中，ABAC（Attribute-BasedAccessControl）的特点是：A、基于角色的访问控制B、基于资源的访问控制C、基于属性的访问控制D、基于策略的访问控制参考答案：C53.在访问控制产品的选择过程中，以下哪个因素应该是最重要的考虑因素？A、产品的售价B、产品的品牌知名度C、产品的功能和特性是否满足需求D、产品的外观设计和用户界面参考答案：C54.在多线程环境中，如何保证线程安全？A、使用同步机制B、允许多个线程同时修改共享数据C、依赖操作系统的线程调度D、以上都不是参考答案：A55.在多数不诚实设置中，协议不能达到公平性A、TRUEB、FALSE参考答案：A56.在单点登录（SSO）认证过程中，为什么需要使用SSL通道来传递Cookie？A、提高用户体验B、加快应用系统的响应速度C、增加Cookie的安全性D、减小Cookie被截获的可能性参考答案：D57.在单点登录（SSO）认证过程中，Cookie的作用是什么？A、存储用户的登录凭据B、保存用户的个人信息C、传递访问票据和用户信息D、加密用户的通信数据参考答案：C58.在单点登录（SSO）过程中，拦截器的作用是什么？A、验证用户的登录凭据B、检查被请求的URL是否需要保护C、与统一认证服务器建立SSL通道D、重定向用户到认证服务器的登录界面参考答案：B59.在大数据环境中，（）不是隐私保护的关键挑战之一。A、数据集成和共享B、数据存储和处理能力C、跨组织数据交换D、网络攻击和入侵参考答案：D60.在大数据关键技术中，Hadoop的分布式文件系统HDFS属于大数据（）。A、存储技术B、分析技术C、并行分析技术D、挖掘技术参考答案：A61.在本地差分隐私中，用户数量越多，服务器的聚合结果越准确A、TRUEB、FALSE参考答案：A62.在ZigBeeMAC安全中，MAC安全帧不包括A、报头B、报尾C、负载D、帧内容参考答案：C63.在Windows2000以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可，通常使用ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对windows操作系统访问控制实现方法的理解错误的是（）A、CL只能由管理员进行管理B、ACL是对象安全描述的基本组成部分，它包括有权访问对象的用户和级的SIDC、访问令牌存储着用户的SID，组信息和分配给用户的权限D、通过授权管理器，可以实现基于角色的访问控制参考答案：A64.在RBAC中，（）角色拥有最高权限。A、管理员B、操作员C、审计员D、用户参考答案：A65.在LoRaWAN网络中，终端设备如何验证网络服务器的身份A、使用设备的唯一标识B、通过Wi-Fi连接进行验证C、不需要验证D、通过手机应用进行验证参考答案：A66.在HDFS透明加密中，每个文件块都有一个独立的加密密钥，这个密钥由（）来管理。A、HDFS管理员B、文件所有者C、KeyManagementService（KMS）D、操作系统管理员参考答案：C67.在Hadoop集群中，（）组件用于管理和分配计算资源。A、YARNB、HbaseC、ZooKeeperD、HDFSNameNode参考答案：A68.运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在（）存储A、境内B、境外C、境内和境外D、以上都不对参考答案：A69.运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于A、1个工作日B、7个工作日C、5个工作日D、在经过认证的安全厂商下培训满一个自然月参考答案：A70.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行（）网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。A、一次B、二次C、三次D、四次参考答案：A71.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行（）次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。（）A、一B、二C、三D、四参考答案：A72.运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行（）检测评估A、一次B、两次C、三次D、四次参考答案：A73.运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，应当对以下哪个部门依法开展的关键信息基础设施网络安全检查工作应当予以配合？A、应急管理部B、工信部C、大数据局D、公安、国安、保密行政管理、密码管理参考答案：D74.运营者的（）对关键信息基础设施安全保护负总责。A、安全运维团队B、信息中心负责人C、生产责任人D、主要负责人参考答案：D75.运营者不履行关键信息基础设施安全保护条例的，拒不改正或者导致危害网络安全等后果的，处（）罚款A、十万元以上一百万元以下B、二十万元以上二百万元以下C、五十万元以上三百万元以下D、一百万元以上参考答案：A76.运输、携带、邮寄计算机信息媒体进出境的，应当如实向（）申报。（）A、省级以上人民政府公安机关B、国家安全部C、国家保密局D、海关参考答案：D77.语句SELECT‘ACCP’FROMDUAL的执行结果是（）A、CCP（正确答案）B、XC、编译错D、提示未选中行参考答案：A78.有关部门组织开展关键信息基础设施安全检测评估A、需要被检部门购买指定安全公司的服务以及安全设备B、不得向被检测评估单位收取费用C、如果发现被检部门未自费购买指定安全公司的服务及安全设备，则该部门安全负责人将按刑法处罚D、按实际的评估成本进行收费参考答案：B79.有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息A、可以在网络上公开售卖B、不能用于其他用途C、可以提供给安全从业人员进行参考学习D、可以提供给境外安全论坛进行谈论、研究和学习以促进互动和安全行业发展参考答案：B80.有A和B二人互相比较收入，在双方互不泄露自己收入的场景下，那种隐私计算技术能比较出二人收入高低（）A、零知识证明B、联邦学习C、安全多方计算D、数据脱敏参考答案：C81.用户名和密码是一种常见的身份认证方法，它属于（）类型的认证。A、双因素认证B、多因素认证C、单因素认证D、强制认证参考答案：C82.用户登录时，认证服务器产生一个随机数发送给用户，用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令，发送给认证服务器,认证服务器用同样的方法计算后，验证比较两个口令即可验证用户身份，这种方式称之为。A、口令序列B、时间同步C、挑战应答D、静态口令参考答案：C83.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是（）。A、信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施。B、应急响应具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作C、应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作：安全事件发生时的正确指挥、事件发生后全面总结D、既包括预防性措施，也包括事件发生后的应对措施参考答案：C84.营者发现使用的网络产品（）应当及时采取措施消除风险隐患，涉及重大风险的应当按规定向有关部门报告A、服务存在安全缺陷B、收益未达到运营者期望C、使用了最新的支付系统D、无法从境外网络访问参考答案：A85.隐私政策应对App运营者基本情况进行描述，以下哪一项不是必要的？（）A、公司名称B、注册地址C、个人信息保护相关负责人联系方式D、经营范围参考答案：D86.隐私保护和合规性的目的是什么？A、防止物理安全威胁B、保护个人信息和敏感数据的安全和隐私C、提高网络防火墙的性能D、加速数据传输速度参考答案：B87.银行保险监督管理机构应当按照县级以上人民政府及法定授权部门对突发事件的应对要求，审慎评估突发事件对银行保险机构造成的影响，依法履行的职责不包括下列哪一项内容？（）A、加强对突发事件引发的区域性、系统性风险的监测、分析和预警B、督促银行保险机构按照突发事件应对预案，保障基本金融服务功能持续安全运转C、配合银行保险机构提供突发事件应急处置金融服务D、引导银行保险机构积极承担社会责任参考答案：C88.银行保险机构在实施信息科技外包时应当坚持的原则不包括？（）A、不得将信息科技管理责任、网络安全主体责任外包B、以不妨碍核心能力建设、积极掌握关键技术为导向C、保持外包风险、成本和收益的平衡D、保障网络和信息安全，加强重要数据和个人信息保护参考答案：C89.银行保险机构应考虑重要外包终止的可能性，并制定退出策略。退出策略应至少明确的内容不包括？（）A、可能造成外包终止的情形B、外包终止的业务影响分析C、终止交接安排D、其它对机构业务运营具有重要影响的情形参考答案：D90.因业务需要，确需进行境外远程维护的，应事先A、进行远程调试确保境外网络能进行访问B、报国家行业主管或监管部门和国务院公安部门C、进行远程调试确保境外网络无法直接进行访问D、咨询企业股东参考答案：B91.以下做法，正确的是（）。A、离职后将个人负责的项目的敏感文档一并带走B、将敏感信息在云盘备份C、会议室使用完毕后及时擦除白板D、在公共场所谈论敏感信息参考答案：C92.以下选项在WiFi技术安全中不属于网络层安全的是A、服务配置标识符B、有线等价保密协议C、身份认证D、虚拟专用网参考答案：B93.以下选项不属于数据库隐私度量标准和位置隐私度量标准的是A、隐私保护度B、数据的可用性C、服务质量D、位置信息的可用性参考答案：D94.以下数据中不属于国家核心数据的是（）。A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据参考答案：D95.以下数据安全分类分级标准不属于行业标准的是？（）A、GB/T39725-2020《信息安全技术健康医疗数据安全指南》B、工信（2020]6号《工业数据分类分级指南》C、JR/T0197-2020《金融数据安全数据安全分级指南》D、B14/T2442-2022《政务数据分类分级要求》参考答案：D96.以下适用《中华人民共和国网络安全法》说法正确的是.A、关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的重要数据的出境安全管理B、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理C、关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的一般数据的出境安全管理D、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的一般数据的出境安全管理参考答案：B97.以下哪种做法不能保护隐私数据（）A、将年龄值30岁的个体泛化为年龄段为30-40岁B、将原始数据中的薪资值加上一个随机的偏移量C、将原始数据集中两个不同个体的出生日期进行交换D、将增加原始数据集的数据量参考答案：D98.以下哪种情形不适用《网络安全法》？（）A、在中国境内建设网站B、在中国境内运营网站C、在中国境内使用网站D、在中国境外使用网站参考答案：D99.以下哪种行为不适用《数据安全法》？（）A、中国境内开展数据处理活动的行为B、中国境外开展数据处理活动的行为C、中国境外开展数据处理活动损害中国国家利益的行为D、中国境外开展数据处理活动损害公民合法权益的行为参考答案：B100.以下哪种访问控制模型是基于用户角色分配来确定用户的访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：C101.以下哪种访问控制模型是基于用户的历史行为和环境信息来动态决定用户对资源的访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、事实授权访问控制模型（FBA）D、属性基础访问控制模型（ABAC）参考答案：C102.以下哪种访问控制模型是基于用户的个人身份来授权资源访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：A103.以下哪种访问控制模型是基于一组定义良好的属性规则来确定用户对资源的访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、事实授权访问控制模型（FBA）D、基于属性的访问控制模型（ABAC）参考答案：D104.以下哪种访问控制模型是基于系统管理员定义的安全策略和标签来决定资源的访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：B105.以下哪种访问控制模型是基于定义的访问控制策略来控制对资源的访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、基于策略的访问控制模型（PBAC）参考答案：D106.以下哪种方式可以保障数据的安全传输？（）A、脱敏B、加密C、分类D、明文传输参考答案：B107.以下哪种方式不可以保障数据的安全存储？（）A、加密B、脱敏C、明文存储D、定期备份参考答案：C108.以下哪一项不是常见威胁对应的消减措施：A、假冒攻击可以采用身份认证机制来防范B、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性C、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖D、为了防止用户提升权限，可以采用访问控制表的方式来管理权限参考答案：C109.以下哪一个是中国移动的网站：A、B、www.1OO86.cnC、D、参考答案：C110.以下哪些政务数据不得开放？。A、涉及国家秘密B、商业秘密C、个人隐私D、以上全部都是参考答案：D111.以下哪项政务数据可以开放？（）A、涉及国家秘密B、商业秘密C、个人隐私D、领导任命前的公示参考答案：D112.以下哪项是网络社会工程学攻击的一种形式？A、钓鱼攻击B、假冒身份C、垃圾邮件D、以上都是参考答案：D113.以下哪项不是应急响应准备阶段应该做的？A、确定重要资产和风险，实施针对风险的防护措施B、编制和管理应急响应计划C、建立和训练应急响应组织和准备相关的资源D、评估事件的影响、备份完整系统参考答案：D114.以下哪项不是身份的必要特点？A、唯一性B、可复制性C、可变性D、持久性参考答案：B115.以下哪类可以作为网络安全等级保护的定级对象？A、一台裸金属服务器，里面还没有装操作系统B、某部委部长用的PC终端C、某电商网站数据中心边界路由器D、以上都不是参考答案：D116.以下哪类可以作为网络安全等级保护的定级对象？A、一台裸金属服务器，里面还没有装操作系统B、某部委部长用的PC终端C、某电商网站数据中心边界路由器D、某能源系统的能源调度云平台参考答案：D117.以下哪类可以作为网络安全等级保护的定级对象？A、社保查询系统B、人民银行征信系统C、电子政务系统D、航空公司电子客票系统E、以上都是参考答案：E118.以下哪个选项不是数据匿名化的优势（）A、让数据的非敏感部分仍然能比广泛利用B、避免数据滥用和隐私数据泄露C、增加从数据中提取有意义信息的能力D、强化数据管理和一致性参考答案：C119.以下哪个是访问控制中常见的强化措施？A、双因素认证B、防火墙配置C、密码加密D、网络监控参考答案：A120.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击A、LandB、UDPFloodC、SmurfD、Teardrop参考答案：D121.以下哪个方面不是数据合规审查中需要关注的要点？（）A、数据来源的合规性B、数据使用的合规性C、数据跨境的合规性D、数据价值的评估参考答案：D122.以下哪个场景不会导致浏览网页泄露个人信息（）A、钓鱼网站B、Cookie技术C、页面挂马D、开启DNT参考答案：D123.以下哪部法律适用于适用于在中华人民共和国境外开展数据处理活动及其安全监管.A、《中华人民共和国国家安全法》B、《中华人民共和国网络安全法》C、《中华人民共和国数据安全法》D、《中华人民共和国个人信息保护法》参考答案：C124.以下行为正确的是（）。A、账号口令写在便利贴，贴在显示器上方便使用B、开电脑时未锁屏，电脑未设置带口令的屏保C、数据库账号管理三权分立D、看完涉密文件用碎纸机粉碎参考答案：C125.以下行为存在信息泄露隐患的是（）?A、打印文件后删除打印机缓存内容B、使用碎纸机粉碎看过的重要资料C、为方便办公拍摄屏幕D、数据在U盘加密处理参考答案：C126.以下行为不属于违反国家涉密规定的行为：A、将涉密计算机、涉密存储设备接入互联网及其他公共信息网络B、通过普通邮政等无保密及措施的渠道传递国家秘密载体C、在私人交往中涉及国家秘密D、以不正当手段获取商业秘密参考答案：D127.以下关于政务数据描述错误的是。A、指政府部门及法律法规授权具有行政职能的组织在履行职责过程中生成或获取的的数据。B、政务数据类型包括文字、数字、图表、图像、音视频等。C、政务数据包括政务部门直接或者通过第三方依法采集、依法授权管理的和因履行职责需要依托政务信息系统形成的数据。D、政务数据中包含的个人信息可以直接参与数据交易，作为政府的新经济营收增长创新模式。参考答案：D128.以下关于威胁建模流程步骤说法不正确的是A、威胁建模主要流程包括四步：确定建模对象、识别威胁、评估威胁和消减威胁B、评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险C、消减威胁是根据威胁的评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁。D、识别威胁是发现组件或进程存在的威胁，威胁就是漏洞。参考答案：D129.以下关于数据库常用的安全策略理解不正确的是：A、最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作B、最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度地共享数据库中的信息C、粒度最小的策略，将数据库中数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度D、按内容存取控制策略，不同权限的用户访问数据库的不同部分参考答案：B130.以下关于等级保护的地位和作用的说法中不正确的是（）A、是国家信息安全保障工作的基本制度、基本国策。B、是开展信息安全工作的基本方法。C、是提高国家综合竞争力的主要手段。（正确答案）D、是促进信息化、维护国家信息安全的根本保障。参考答案：C131.以下关于UDP协议的说法，哪个是错误的?A、具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击B、UDP包头中包含了源端口号和目的端口号，因此可通过端口号将数据包送达正确的程序C、相比TCP，UDP开销更小，因此常用来传送如视频这一类大流量需求的数据D、UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频通话这类需要保护隐私的数据参考答案：D132.以下关于TCP协议的说法，哪个是正确的?A、相比UDP，TCP传输更可靠，并具有更高的效率B、TCP协议包头中包含了源IP和目的IP，因此TCP协议负责将数据传送到正确的主机C、TCP协议具有流量控制、数据校验、超时重发、接收确认等机制，因此能完全可以替代IP协议D、TCP协议虽然高可靠，但是比UDP协议过于复杂，传输效率要比UDP低参考答案：D133.以下关于“最小特权”原则理解正确的是：A、敏感岗位不能由一个人长期负责B、对重要的工作分解，分配给不同人员完成C、一个人有且仅有其执行岗位工作所足够的许可和权限D、防止员工由于轮岗累积越来越多的权限参考答案：C134.以下登录口令设置，安全强度最高的是？A、1314520B、Admin123C、root123456D、cptbtptp77！参考答案：D135.以下不属于数据分类分级的收益是（）A、满足合规要求B、发现安全漏洞C、提升数据使用价值D、满足自身发展参考答案：B136.以下不属于关键信息基础设施重要行业和领域的是？A、金融B、电子政务C、超过百万用户级别的电商平台D、国防科技工业参考答案：C137.以下不属于个人敏感信息的有（）A、个人基因信息B、个人血样C、个人声纹D、未满14岁未成年人个人信息E、以上都属于参考答案：E138.以下不属于大数据特性的是（）A、数据体量大B、数据价值密度大C、数据实时性高D、数据维度多参考答案：B139.以下不是数据安全中对于数据的目标是？（）A、数据机密性B、数据完整性C、数据可用性D、数据并发性参考答案：D140.以下不是数据安全中的原则是？（）A、最小化原则B、分权分责原则C、高可用原则D、持续性改进原则参考答案：C141.以下不是关键信息基础设施重要行业和领域的是？A、公共通信B、能源、交通、水利C、公共服务D、各类电商网购平台参考答案：D142.以下不是《电子合同取证流程规范》（标准号：GB/T39321-2020）中规定的电子取证的原则的（）A、合法有效B、主观真实C、完整D、防篡改参考答案：B143.以下4种对BLP模型的描述中，正确的是（）:A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、LP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”参考答案：B144.依据ISO27001，信息系统审计是（）。（）A、应在系统运行期间进行，以便于准确地发现弱电B、审计工具在组织内应公开可获取，以便于提升员工的能力C、发现信息系统脆弱性的手段之一D、只要定期进行，就可以替代内部ISMS审核参考答案：C145.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法规的规定，建立健全数据交易管理制度。A、对B、错参考答案：B146.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法规的规定，建立健全（）管理制度。A、数据风险评估B、数据泄露应急处置C、数据交易D、全流程数据安全参考答案：D147.依据《电信和互联网用户个人信息保护规定》，下列那项说法是错误的？（）A、电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项B、电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息C、电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息可以未经用户同意向其关联公司提供D、电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务参考答案：C148.一个人的面部特征是属于（）的个人信息。A、重要B、敏感C、公开D、隐私参考答案：B149.一份文件为秘密级，保密期限是10年，标志形式应当是（）A、秘密10年B、秘密★C、秘密★10年D、秘密●10年参考答案：C150.业务系统运行中异常错误处理合理的方法是：A、让系统自己处理异常B、调试方便，应该让更多的错误更详细的显示出来C、捕获错误，并抛出前台显示D、捕获错误，只显示简单的提示信息，或不显示任何信息参考答案：D151.要防止网络社会工程学攻击，以下哪项是必要的？A、使用复杂的密码，避免使用生日、电话号码等容易被猜到的信息作为密码。B、安装并更新反病毒软件、防火墙等安全软件可以有效防止网络攻击和恶意软件入侵。C、教育员工，提高员工对网络社会工程学攻击的认识和防范意识。D、以上都是参考答案：D152.亚太经济合作组织（以下简称“APEC”）在下列哪一年通过了《跨境隐私规则体系》（《CrossBorderPrivacyRulesSystem》，以下简称“CBPR”）？（）数据A、2010年B、2003年C、2008年D、2013年参考答案：D153.选择身份验证类型时，企业需要平衡什么？A、用户体验和安全性B、成本和效率C、隐私和安全D、速度和可靠性参考答案：A154.信息系统安全保护等级为3级的系统，应当（）年进行一次等级测评?A、0．5B、1C、2D、3参考答案：B155.信息安全管理体系（InformationSecurityManagementSystem,ISMS）的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述的错误是A、内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施B、内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议形式进行C、内部审核的实施主体组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构（正确答案）D、组织的信息安全方针、信息安全目标和有关ISMS文件等，在内部审核中作为审核标准使用，但在管理评审总，这些文件时被审对象参考答案：B156.信息安全风险等级的最终因素是：A、威胁和脆弱性B、影响和可能性C、资产重要性D、以上都不对参考答案：B157.小王自驾车到一座陌生的城市出差，则对他来说可能最为有用的是A、保护车辆的外观B、保护车辆的发动机C、保护车辆的乘客和驾驶员D、保护车辆的音响系统参考答案：C158.下述那项不是区块链中应用的技术（B）。A、密码学B、大数据C、共识算法D、P2P网络参考答案：B159.下面哪项为错误的说法A、冯·诺依曼结构共用数据存储空间和程序存储空间，不共享存储器总线B、哈佛结构有分离的数据和程序空间及分离的访问总线C、哈佛结构在指令执行时，取址和取数可以进行并行操作D、哈佛结构指令执行时效率更高参考答案：A160.下面哪项是加强安全意识推广的有效方式？A、提供员工奖励计划B、发送周期性的安全通知C、禁止员工使用公司电子邮件D、随机抽查员工隐私信息参考答案：B161.下面哪项不是社会工程学攻击的防范措施？A、提供员工教育和培训B、加强物理安全措施C、建立安全文化D、定期评估和审查安全措施参考答案：B162.下面哪个模型和软件安全开发无关（）？A、微软提出的“安全开发生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成为软件开发必须的部分（BuildingSecurityIN，BSI）”C、OWASP维护的“软件保证成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF）”参考答案：D163.下面对于数据安全治理形容错误的是（）?A、以数据的安全使用为目标B、以数据分类分级为基础，以信息合理、安全流动为目标C、以信息使用过程的安全管理和技术支撑为手段D、面向外部黑客，以对外部黑客或入侵者的防控为主要对象参考答案：D164.下面对“零日（Zero-Day）漏洞”的理解中，正确的是（）A、指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程攻击，获取主机权限B、指通过漏洞扫描系统发现但是还没有被通告给监管机构的漏洞C、指一类漏洞，即特别好被利用，一旦成功利用该类漏洞，可以在1天内完成攻击，且成功达到攻击目标D、指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，已经被小部分人发现，但还未公开、也不存在安全补丁的漏洞都是零日漏洞参考答案：D165.下面（）是强制访问控制（MAC）模型中的一个重要元素。A、主体B、客体C、标签D、规则参考答案：C166.下列针对数据安全的运维要求中，正确的操作是（）。A、确认需要备份的是哪些数据/数据库，设定备份与归档的策略B、从数据备份的完整性与成本方面的均衡角度考虑，增量备份结合全量备份是一个推荐的措施C、需要对备份后的数据进行恢复校验，以确保恢复后的数据可用D、定期对数据相关风险进行评估E、以上都对参考答案：E167.下列选项不属于数据备份设计的是？（）A、确定备份频率和类型B、选择备份存储介质C、制定备份策略D、服务器硬件的维护计划参考答案：D168.下列选项不是数据安全开发过程中考虑的问题是？（）A、口令问题B、数据加密问题C、访问控制技术D、数据备份时间参考答案：D169.下列说法中不正确的是.A、任何组织、个人不得非法收集、使用、加工、传输他人个人信息，可以非法买卖、提供或者公开他人个人信息B、不得从事危害国家安全、公共利益的个人信息处理活动C、个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息D、自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。参考答案：A170.下列说法中不正确的是（）A、定级/备案是信息安全等级保护的首要环节。B、等级测评是评价安全保护现状的关键。（正确答案）C、建设整改是等级保护工作落实的关键。D、监督检查是使信息系统保护能力不断提高的保障。参考答案：B171.下列说法正确的是.A、处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围B、处理个人信息不用保证个人信息的质量，个人信息不准确、不完整不会对个人权益造成不利影响C、收集个人信息，可以不限于实现处理目的的最小范围，可以过度收集个人信息D、个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全参考答案：A172.下列说法不正确的是.A、自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益B、个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息C、个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等D、处理个人信息应当遵循合法、正当、必要和诚信原则，可以通过误导、欺诈、胁迫等方式处理个人信息参考答案：D173.下列那个是WIFI特点A、基于AP组建的基础无线网络B、很强的抗干扰能力和安全性C、可建立临时对等连接D、只能传送信息给FFD或从FFD接收信息。参考答案：A174.下列哪种通信技术不属于低功率短距离的无线通信技术？A、广播B、超宽带技术C、蓝牙D、Wi-Fi参考答案：A175.下列哪一项不属于数据跨境的场景类型？（）A、数据跨境B、跨境传输C、跨境采集D、跨境访问参考答案：B176.下列哪一规定的颁布被誉为数据领域“哥白尼革命”式的立法，特别注重“数据权利保护”与“数据自由流通”之间的平衡？（）A、《加州隐私权利法》B、《通用数据保护条例》（GDPR）C、《弗吉尼亚州消费者数据保护法》D、《科罗拉多州隐私法案》参考答案：B177.下列哪项内容描述的是缓冲区溢出漏洞?A、通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷参考答案：C178.下列哪个是访问控制中的授权方式？A、访问请求审查B、双因素认证C、单一登录D、加密传输参考答案：A179.下列哪个是常见的单点登录（SSO）技术？A、OAuthB、SAMLC、LDAPD、RADIUS参考答案：B180.下列哪个情形，个人信息处理者不可处理个人信息.A、为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需B、并非履行法定职责或者法定义务所必需，且未获得当事人允许C、为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息D、法律、行政法规规定的其他情形参考答案：B181.下列哪个不是资源对象？A、文件B、应用服务C、数据D、用户参考答案：D182.下列行为不符合个人信息处理法律法规A、最小化采集B、内部制定管理制度，确保个人信息处理合规C、采取加密、去标识等措施D、APP设计开发时采用默认采集默认授权的模式参考答案：D183.下列关于信息系统生命周期中安全需求说法不准确的是：A、明确安全总体方针，确保安全总体方针源自业务期望B、描述所涉及系统的安全现状，提交明确的安全需求文档C、向相关组织和领导人宣贯风险评估准则D、对系统规划中安全实现的可能性进行充分分析和论证参考答案：C184.下列关于数据出境安全评估的说法，正确的是？A、数据出境安全评估结果长期有效B、数据出境安全评估仅针对重要数据C、数据出境安全评估由数据处理者自行决定D、数据出境安全评估结果应当作为数据出境的依据参考答案：D185.下列关于软件安全开发中的BSI（BuildSecurityIn）系列模型说法错误的是（）A、BIS含义是指将安全内建到软件开发过程中，不是游离于软件开发生命周期之外B、软件安全的三根支柱是风险管理、软件安全触点和安全测试C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，提供了从不同角度保障安全的行为方式D、BSI系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分参考答案：B186.下列对爬虫使用说法错误的是（）。（）A、网络数据爬取应限于对开放数据的获取。如果网络爬虫获取非开放的数据，便涉嫌违法甚至犯罪B、数据爬虫技术不应具有侵入性，可以说，爬虫的侵入性是其违法性的主要体现C、数据爬取应当基于正当目的，对开放数据的获取可能因不符合正当目的而具有违法性D、爬取公开数据时即使突破网站或App的反爬虫技术设置进行的爬取行为，行为人不需承担刑事责任参考答案：D187.下列不属于数据脱敏方案的是？（）A、无效化B、随机值C、偏移和取整D、程序化参考答案：D188.下列不属于数据分类分级方法的是？（）A、手动B、人工智能C、隐写转化D、标签体系参考答案：C189.下列不属于能够保证数据安全的技术是？（）A、磁盘加密技术B、数据库加密技术C、文件加密技术D、数据分类技术参考答案：D190.下列不属于核心数据的是（）A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据参考答案：D191.下列（）访问控制模型通常用于军事、政府等高安全级别场合。A、自主访问控制B、强制访问控制C、角色访问控制D、基于属性的访问控制参考答案：B192.下不属于云计算与物联网融合模式的是A、单中心-多终端模式B、多中心-大量终端模式C、信息应用分层处理-海量终端模式D、单中心-单终端模式参考答案：D193.物联网中的远程访问如何进行安全管理？A、使用安全协议进行通信B、实施访问控制和身份认证C、网络隔离设备和系统D、所有以上选项参考答案：D194.物联网中的隐私保护措施主要包括以下哪些方面？A、数据加密B、访问控制C、数据备份D、所有以上选项参考答案：D195.物联网中的物理安全措施主要包括以下哪些方面？A、锁定物联网设备的物理位置B、安装视频监控设备C、控制物联网设备的物理访问权限D、所有以上选项参考答案：D196.物联网中的网络监控是用于什么目的？A、实时监测物联网设备和网络的运行状态B、检测物联网设备是否符合安全标准C、监控物联网设备的物理位置D、所有以上选项参考答案：A197.物联网中的网络隔离是指什么？A、将物联网设备与互联网隔离B、将不同的物联网设备划分到独立的网络C、阻止物联网设备之间的通信D、限制物联网设备的访问速度参考答案：B198.物联网中的通信技术主要包括哪些？A、蓝牙B、RFIDC、Wi-FiD、所有以上选项参考答案：D199.物联网中的数据备份和恢复为什么重要？A、防止数据丢失和损坏B、加快数据传输速度C、降低数据存储成本D、保护数据的隐私性参考答案：A200.物联网中的恶意软件是指什么？A、针对物联网设备的恶意软件程序B、针对物联网网络的恶意软件程序C、针对物联网数据的恶意软件程序D、针对物联网用户的恶意软件程序参考答案：A201.物联网中的安全审计是用于什么目的？A、监测和记录物联网设备的安全事件B、评估物联网设备的性能指标C、分析物联网数据的使用情况D、优化物联网设备的能源消耗参考答案：A202.物联网中的安全策略制定应考虑哪些因素？A、风险评估B、合规要求C、技术限制D、所有以上选项参考答案：D203.物联网中的安全测试是用于什么目的？A、发现物联网设备和系统的安全漏洞B、测试物联网设备的性能指标C、测试物联网设备的可用性D、评估物联网设备的制造成本参考答案：A204.物联网中的安全标准主要由谁制定？A、国际标准化组织（ISO）B、物联网设备制造商C、政府监管机构D、所有以上选项参考答案：D205.物联网的安全漏洞可能导致以下哪些风险？A、个人隐私泄露B、设备被远程控制C、数据泄露D、所有以上选项参考答案：D206.物联网安全是指什么？A、保护物联网设备的物理安全B、保护物联网设备免受未经授权的访问和攻击C、保护物联网设备的电源供应D、保护物联网设备的网络连接速度参考答案：B207.无线传感器网络节点的应具有主要特征是A、能量受限B、与环境无关C、实时性D、不可扩展参考答案：A208.我国有关文件指出：风险评估的工作形式可分为自评估和检查评估两种，关于自评估，下面选项中描述错误的是（）。A、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估B、自评估应参照相应标准、依据制定的评估方案和准则，结合系统特定的安全要求实施C、自评估应当是由发起单位自行组织力量完成，而不应委托社会风险评估服务机构来实施D、周期性的自评估可以在评估流程上适当简化，如重点针对上次评估后系统变化部分进行参考答案：C209.我国目前确定了五大生产要素包括：A、土地、能源、人才、资本、知识B、土地、能源、劳动力、资本、数据C、土地、能源、商业、人才、信息技术D、土地、劳动力、资本、技术、数据参考答案：D210.我国定义的五大生产要素，不包括：A、数据B、能源C、劳动力D、资本参考答案：B211.文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确的是：A、组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B、组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容D、多层级的文档体系是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立参考答案：B212.未满（）的未成年人为无民事行为能力人，其网络打赏行为是无效的。A、8周岁B、10周岁C、12周岁D、14周岁参考答案：A213.未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权A、个人可以直接进行漏洞探测B、在发现确定存在漏洞后才能进行漏洞探测C、任何个人和组织不得对关键信息基础设施实施漏洞探测D、安全服务厂商可以直接进行漏洞探测参考答案：C214.维护数据安全，应当坚持总体国家安全观，建立健全（），提高数据安全保障能力。A、信息安全治理体系B、数据安全治理体系C、信息安全保障体系D、数据安全保障体系参考答案：B215.维护数据安全，应当坚持（），建立健全数据安全治理体系，提高数据安全保障能力。A、国家安全观B、社会安全观C、总体国家安全观D、总体社会安全观参考答案：C216.违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处（）万元以上（）天万元以下罚款，并根据情况责令暂停相关业务、停业整顿、品吊销相关业务许可证或者吊销营业执照;构成犯罪的，依法追究刑事责任。A、100,200B、200,500C、200,1000D、500,1000参考答案：C217.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处（）罚款。A、一万元以上二十万元以下B、五万元以上十万元以下C、一万元以上十万元以下D、五万元以上二十万元以下参考答案：C218.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处（）罚款A、一百万元以下B、一百万元以上C、两百万元以上D、任意金额参考答案：A219.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处（）罚款A、一百万元以上B、两百万元以上C、五百万元以上D、一百万元以下参考答案：D220.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处（）罚款A、五十万元以下B、一百万元以下C、两百万元以上D、任意金额参考答案：B221.违反《中华人民共和国数据安全法》规定，给他人造成损害的，并构成犯罪的。____A、依法承担民事责任，并追究刑事责任B、不用承担民事责任，但追究刑事责任C、既不用承担民事责任，也不追究刑事责任D、只用承担民事责任，不用追究刑事责任参考答案：A222.违反《中华人民共和国数据安全法》第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处（）罚款。A、一万元以上十万元以下B、五万元以上一百万元以下C、十万元以上一百万元以下D、二十万元以上二百万元以下参考答案：A223.违反《中华人民共和国数据安全法》第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处（）罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款。A、一万元以上十万元以下B、五万元以上一百万元以下C、十万元以上一百万元以下D、二十万元以上二百万元以下参考答案：C224.违反《中华人民共和国个人信息保护法》规定处理个人信息，或处理个人信息未履行本法规定的个人信息保护义务的，履行个人信息保护职责的部门不可做出下列处罚措施（）。A、警告B、督促整改C、对违法处理个人信息的应用程序，责令暂停或者终止服务D、没收违法所得E、以上都是参考答案：E225.违反《个人信息保护法》规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务且拒不改正的，并处（）罚款；对直接负责的主管人员和其他直接责任人员处（）罚款。A、50万元以下，1万元以上10万元以下B、50万元以下，5万元以上10万元以下C、100元以下，1万元以上10万元以下D、100万元以下，5万元以上10万元以下参考答案：C226.为什么说在网络环境下，信任不是对一个人的可靠性认可？A、因为网络环境下，人们很容易伪造身份信息。B、因为网络环境下，人们很难判断对方的可靠性。C、因为网络环境下，信任主要是基于秘密信息。D、因为在网络环境下，信息主要是基于权限控制。参考答案：C227.为确保信息资产的安全，设备、信息或软件在（）之前不应带出公司、组织场所。（）A、使用B、检查合格C、授权D、识别出薄弱环节参考答案：C228.为了体现公平公正原则，每年高考都有严格的数据防泄密措施。以下哪项是无效的数据保密手段？A、封闭出卷、封闭阅卷B、试卷密封，运输过程全监控C、考生个人信息必须填入密封线以内，否则答卷无效D、出题完毕后出题组统一离场，不得交头接耳E、试卷交由甲级国家秘密载体印制资质的单位印刷参考答案：D229.为了保护民事主体的合法权益，调整民事关系，维护社会和经济秩序，适应中国特色社会主义发展要求，弘扬社会主义核心价值观，根据宪法，制定（）。A、《中华人民共和国刑法》B、《中华人民共和国民法典》C、《中华人民共和国治安管理处罚法》D、《中华人民共和国劳动法》参考答案：B230.为保障数据可用性，系统设计时应关注（）。A、网络拓扑结构是否存在单点故障B、主要网络设备以及关键业务的服务器是否冗余C、通信线路是否有多条链路D、是否有数据备份与恢复验证措施E、以上都对参考答案：E231.网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取（）等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。A、更改B、撤回C、删除D、消除参考答案：D232.网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据（）处理。（）A、封存B、删除C、匿名化D、存储参考答案：C233.网络社会工程学攻击利用了人们的哪些固有弱点？A、轻信他人、缺乏警觉性、冲动行动、不了解安全风险等B、社交技巧不足、缺乏自信、好奇心过强、容易被诱惑等C、情绪不稳定、容易焦虑、记忆力差、判断力弱等D）以上都不是参考答案：A234.网络社会工程学攻击利用了人们的哪些固有弱点？A、轻信他人、缺乏警觉性、冲动行动、不了解安全风险等B、社交技巧不足、缺乏自信、好奇心过强、容易被诱惑等C、情绪不稳定、容易焦虑、记忆力差、判断力弱等D、以上都不是参考答案：A235.网络社会工程学攻击利用了哪些原理？A、心理学和社交技巧B、网络传播和信息交换C、病毒和恶意软件的编写和传播D、以上都不是参考答案：A236.网络社会工程学攻击的防范措施之一是避免哪些行为？A、在公共场合或网络上泄露个人敏感信息，如银行卡号、密码、身份证号等B、在电子邮件中发送敏感信息，使用安全加密的方式进行传输C、点击可疑的链接、下载可疑的附件等D、以上都是参考答案：D237.网络社会工程学攻击的防范措施应该包括哪些方面？A、提高警觉性、保护个人信息、使用安全软件、定期更新密码等B、提高人际交往能力、增强自信心、增强抵抗力、加强运动等C、提高学历水平、增强沟通能力、增加社交圈子、扩大人脉等D、以上都不是参考答案：A238.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构（）或者安全检测符合要求后，方可销售或者提供。A、鉴定产品功能B、安全认证合格C、测试产品性能D、认证产品质量合格参考答案：B239.网络产品、服务具有（）的，其提供者应当向用户明示并取得同意。A、收集收集型号功能B、卫星导航功能功能C、4G或5G上网功能的D、收集用户信息功能参考答案：D240.网络安全访问控制技术主要用于保护什么？A、计算机网络系统和资源B、用户隐私C、数据中心D、网络流量参考答案：A241.网络安全等级保护总共有几个保护级别？A、3个B、4个C、5个D、6个参考答案：C242.网络安全等级保护建设的流程是什么？A、定级、备案、监督检查、建设整改、等级测评B、定级、备案、建设整改、等级测评、监督检查C、建设整改、等级测评、监督检查、定级、备案D、等级测评、定级、备案、建设整改、监督检查参考答案：B243.网络安全等级保护第三级信息系统测评过程中，关于数据安全及备份恢复的测评，应检查（）中是否为专用通信协议或安全通信协议服务，避免来自基于通信协议的攻击破坏数据完整性。A、操作系统B、网络设备C、数据库管理系统D、应用系统E、以上均对参考答案：E244.通信协议要求通信者传输什么信息？A、个人资料B、身份信息C、财务信息D、账号密码信息参考答案：B245.通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为：A、Land攻击B、Smurf攻击C、PingofDeath攻击D、ICMPFlood参考答案：D246.通道劫持是指攻击者通过什么方式获取受害者的通信信息？A、中间人代理攻击B、恶意软件感染C、网络钓鱼诈骗D、盗取用户的登录凭据参考答案：A247.提高Apache服务器系统安全性时，下面哪项措施不属于安全配置（）?A、不在Windows下安装Apache，只在Linux和Unix下安装B、安装Apache时，只安装需要的组件模块C、不使用操作系统管理员用户身份运行Apache，而是采用权限受限的专用用户账号来运行D、积极了解Apache的安全通告，并及时下载和更新参考答案：A248.唐朝年间，科举基本上被五姓七家把控，他们世代联姻，利用裙带关系录取考生，武则天于是决定采用糊名制度，“暗考以定其等级”，糊名制度在个人信息处理上是什么措施（）A、隔离B、身份验证C、去标识D、差分隐私参考答案：C249.水下地形属于地理空间数据中的（）数据。A、L1B、L2C、L3D、L4参考答案：C250.双重身份验证（2FA）要求用户提供除密码之外的至少一个附加身份验证因素。MFA是什么？A、多因素身份验证B、生物识别身份验证C、智能卡身份验证D、单点登录参考答案：A251.双因素认证是指结合几种认证方式进行身份认证？（）A、一种B、两种C、三种D、四种参考答案：B252.数字中国，最重要的生产要素是〔〕A、资本B、互联网C、高智商劳动力D、数据参考答案：D253.数字签名不能实现的安全特性为（）A、防抵赖B、防伪造C、防冒充D、保密通信参考答案：D254.数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中数据封装顺序是：A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层参考答案：B255.数据校验中，推荐使用哪种策略来接受数据？A、黑名单策略B、白名单策略C、随机策略D、混合策略参考答案：B256.数据脱敏中无效化的方法是什么？A、数据加密B、数据替换C、数据截断或隐藏D、数据备份参考答案：C257.数据脱敏的主要目的是什么？A、数据加密B、隐私保护C、数据备份D、数据恢复参考答案：B258.数据提供部门应当按照（）的原则，负责本部门数据采集、归集、存储、提供、共享、应用和开放等环节的安全管理。A、谁主管、谁负责，谁提供、谁负责B、谁经手、谁负责，谁提供、谁负责C、谁使用、谁负责，谁管理、谁负责D、谁经手、谁负责，谁使用、谁负责参考答案：A259.数据生命周期是指对数据进行（）的整个过程。A、采集B、传输C、存储和使用D、删除和销毁E、以上都对参考答案：E260.数据确权要解决（）基本问题A、数据权利属性B、数据权利主体C、数据权利内容D、以上全是参考答案：D261.数据交易应当遵循（）原则。A、自愿原则。B、公平原则C、诚信原则D、以上都正确参考答案：D262.数据分类和保护的目的是什么？A、限制员工的数据访问权限B、降低数据存储成本C、简化数据管理过程D、保护敏感信息的安全和隐私参考答案：D263.数据分类分级的流程不包括（）A、数据资产梳理B、元数据管理C、数据分类D、数据分级参考答案：B264.数据泛化是常用的数据匿名化方法，是将数据中的属性值替换为更一般或抽象的值（）A、TRUEB、FALSE参考答案：A265.数据处理者应当采取什么措施保障数据免遭泄露、篡改、破坏、丢失、非法获取或者非法利用？A、仅依赖技术手段B、仅依赖管理制度C、采取技术保护和管理措施D、无需采取任何措施参考答案：C266.数据处理者应当采取哪些措施来加强数据安全保护？A、随意共享数据B、不进行任何加密处理C、建立数据安全管理制度D、忽视数据安全风险评估参考答案：C267.数据本地化是数据跨境管理的一种措施，通常理解为某一主权国家/地区，通过制定法律或规则来限制本国/地区数据向境外流动，是对数据出境进行限制的做法之一。下列哪一国家采取的是境内存储副本，对转移或出境无限制的模式？（）A、中国B、印度C、荷兰D、美国参考答案：B268.数据安全能力成熟度模型强调，企业在数据安全方面应首先确立哪项内容？A、数据安全目标B、业务发展计划C、信息安全政策D、数据治理架构参考答案：A269.数据安全风险评估中，下列哪项不是重要评估内容之一（）A、数据处理目的、方式、范围是否合法、正当、必要B、数据安全管理