江苏省第二届数据安全技术应用职业技能竞赛理论考试题库-上（单选题）

PAGEPAGE1江苏省第二届数据安全技术应用职业技能竞赛理论考试题库-上（单选题汇总）一、单选题1.2022年银保监会消保局将加大监管力度，重点开展开展银行业保险业个人信息保护专项整治，推动银行业保险业落实下列哪一部法律，提升个人信息使用的规范性，保护消费者信息安全权？()A、《个人信息保护法》B、《民法典》C、《网络安全法》D、《数据安全法》答案：A2.《个人信息保护法》施行的时间是.A、2021年10月1日B、2021年11月1日C、2021年11月11日D、2021年12月12日答案：B3.敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，哪项不属于《中华人民共和国个人信息保护法》多定义的个人敏感信息。A、宗教信仰B、金融账户、行踪轨迹C、医疗健康、生物特征D、组织部领导任命前的公示信息答案：D4.根据ISO/IEC27001等相关网络安全标准，访问控制的目的是什么？A、保护网络免受未经授权的访问B、加密网络通信C、监控网络流量D、提高网络性能答案：A5.物联网中的安全测试是用于什么目的？A、发现物联网设备和系统的安全漏洞B、测试物联网设备的性能指标C、测试物联网设备的可用性D、评估物联网设备的制造成本答案：A6.在风险管理中，残余风险是指实施了新的或增强的安全措施后还剩下的风险，关于残余风险，下面描述错误的是()A、风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风险的书面批准，这也是风险管理中的一个重要过程B、管理层确认接收残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且承担引发的后果C、接收残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制的提高安全保护措施的强度，对安全保护措施的选择要考虑到成本和技术等因素的限制D、如果残余风险没有降低到可接受的级别，则只能被动的选择接受风险，即对风险不进行下一步的处理措施，接受风险可能带来的结果。答案：D7.下面哪项是加强安全意识推广的有效方式？A、提供员工奖励计划B、发送周期性的安全通知C、禁止员工使用公司电子邮件D、随机抽查员工隐私信息答案：B8.生物识别身份验证方法包括以下哪些？A、指纹识别、面部识别、虹膜扫描、声纹识别、手掌识别等B、智能卡、USB密钥等C、用户名和密码或PIND、双因素/多因素身份验证答案：A9.《中华人民共和国民法典》规定，网络用户利用网络服务实施侵权行为的，权利人有权通知网络服务提供者采取屏蔽、删除、()等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。A、过滤B、拉黑C、加密D、断开链接答案：D10.以下选项不属于数据库隐私度量标准和位置隐私度量标准的是A、隐私保护度B、数据的可用性C、服务质量D、位置信息的可用性答案：D11.数据安全风险评估结果应如何应用？A、仅作为内部参考B、公开披露给所有利益相关者C、指导数据安全管理和风险控制D、直接作为法规执行依据答案：C12.《中华人民共和国民法典》总则编第127条规定，法律对()、网络虚拟财产的保护有规定的，依照其规定。A、文件B、数据C、现实资产D、专利答案：B13.国密256加密算法是采用国家密码管理局公布的公钥算法（）进行加密的。A、SM1B、SM2C、RSAD、AES答案：B14.LoRaWAN网络中的Join请求是指什么A、终端设备请求加入LoRaWAN网络B、网关请求与网络服务器建立连接C、应用服务器请求接收终端设备的数据D、网络服务器请求接收网关的数据答案：A15.通信协议要求通信者传输什么信息？A、个人资料B、身份信息C、财务信息D、账号密码信息答案：B16.在个人权利的保护方面，《个人信息保护法》规定了哪两项不同于《通用数据保护条例》权利？()A、更正补充权、限制处理权B、个人的决定权、请求解释权C、个人的决定权、限制处理权D、更正补充权、请求解释权答案：B17.在访问控制中，下面哪个措施可以增强系统的身份认证安全性？A、多因素认证B、开放注册C、共享账号和口令D、强制口令重用答案：A18.网络安全等级保护第三级信息系统测评过程中，关于数据安全及备份恢复的测评，应检查（）中是否为专用通信协议或安全通信协议服务，避免来自基于通信协议的攻击破坏数据完整性。A、操作系统B、网络设备C、数据库管理系统D、应用系统E、以上均对答案：E19.PKI公钥基础设施利用什么来实现信息安全服务的安全基础设施？()A、共享密钥B、生物特征C、公钥密码理论和技术D、随机数值答案：C20.在Windows2000以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可，通常使用ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对windows操作系统访问控制实现方法的理解错误的是()A、CL只能由管理员进行管理B、ACL是对象安全描述的基本组成部分，它包括有权访问对象的用户和级的SIDC、访问令牌存储着用户的SID，组信息和分配给用户的权限D、通过授权管理器，可以实现基于角色的访问控制答案：A21.《中华人民共和国数据安全法》所称数据，是指任何以电子或者其他方式对信息的记录。其中数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障（）状态的能力。A、持续安全B、持续稳定C、部分安全D、部分稳定答案：A22.网络社会工程学攻击利用了人们的哪些固有弱点？A、轻信他人、缺乏警觉性、冲动行动、不了解安全风险等B、社交技巧不足、缺乏自信、好奇心过强、容易被诱惑等C、情绪不稳定、容易焦虑、记忆力差、判断力弱等D、以上都不是答案：A23.运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于A、1个工作日B、7个工作日C、5个工作日D、在经过认证的安全厂商下培训满一个自然月答案：A24.《中华人民共和国民法典》规定，()的个人信息受法律保护。A、中国人民B、中国公民C、自然人D、法人答案：C25.《网络安全法》第37条核心规定包括下列哪一项？()A、涉及个人信息和重要数据未做区分设计B、自评估的具体内容C、监管进行安全审查的标准D、需境内存储，若有需要境外提供，需经安全评估答案：D26.哪些协议以名文传输数据，存在数据泄露风险。A、SSHB、HTTPC、FTPD、SMTP答案：D27.运营者不履行关键信息基础设施安全保护条例的，拒不改正或者导致危害网络安全等后果的，处（）罚款A、十万元以上一百万元以下B、二十万元以上二百万元以下C、五十万元以上三百万元以下D、一百万元以上答案：A28.开展数据处理活动应当（），发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施。A、加强安全管理B、加强团队管理C、加强技术培养D、加强风险监测答案：D29.以下不属于大数据特性的是()A、数据体量大B、数据价值密度大C、数据实时性高D、数据维度多答案：B30.下列哪个不是资源对象？A、文件B、应用服务C、数据D、用户答案：D31.身份认证的目的是什么？A、确认通信对方的身份B、确认通信对方的财务状况C、确认通信对方的社交地位D、确认通信对方的职业答案：A32.大数据采集中，（）是一种重要的安全技术，可以帮助识别和防止潜在的网络攻击和漏洞。A、防火墙B、入侵检测系统C、加密技术D、认证技术答案：B33.以下哪种访问控制模型是基于系统管理员定义的安全策略和标签来决定资源的访问权限？A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、属性基础访问控制模型(ABAC)答案：B34.防火墙是网络信息系统建设中常常采用的一类产品，它在内外网隔离方面的作用是A、既能物理隔离，又能逻辑隔离B、能物理隔离，但不能逻辑隔离C、不能物理隔离，但是能逻辑隔离D、不能物理隔离，也不能逻辑隔离答案：C35.访问控制中的强制访问控制（MAC）模型基于（）策略。A、最小权限策略B、最大权限策略C、需要到达的特定级别的授权策略D、基于属性的策略答案：C36.（）需要一个可信的第三方来收集、储存未处理的用户原始隐私数据，经过隐私处理（如加噪）之后再统一对外发布A、指数差分隐私B、远程差分隐私C、本地化差分隐私D、中心化差分隐私答案：D37.SIM卡交换攻击中，攻击者假装丢失原来的电话号码，然后请求什么？A、重置受害者的MFA设置B、转移受害者的电话号码到自己的SIM卡上C、发送恶意软件给受害者的设备D、窃取受害者的个人信息答案：B38.以下哪种行为不适用《数据安全法》？()A、中国境内开展数据处理活动的行为B、中国境外开展数据处理活动的行为C、中国境外开展数据处理活动损害中国国家利益的行为D、中国境外开展数据处理活动损害公民合法权益的行为答案：B39.如果某业务系统定位网络安全等级保护三级，在其遭受灾难性网络攻击严重影响业务系统使用，对社会造成恐慌时，公安机关需调查取证，在取证时，应关注()。A、查看攻击的源IPB、攻击的类型C、攻击的时间D、查看相关系统的syslog日志E、以上都对答案：E40.导致数据发生升降级的主要因素不包括()A、数据汇聚融合B、生产数据脱敏C、特定时间或事件后信息失去原有敏感性D、对数据复制答案：D41.以下登录口令设置，安全强度最高的是？A、1314520B、Admin123C、root123456D、cptbtptp77！答案：D42.关键信息基础设施和网络安全等级保护之间的关系？A、网络安全等级保护第三级的系统一定是关键信息基础设施B、关键信息基础设施同时也必须通过网络安全等级保护第二级C、基于等保而高于等保，关键信息基础设施需在等级保护第三级及以上对象中确定D、关键信息基础设施保护和网络安全等级保护各自独立，互不相关答案：C43.配置如下两条访问控制列表：Access-List1permit55access-List2permit0055访问控制列表1和2，所控制的地址范围关系是：()A、1和2的范围相同B、1的范围在2的范围内C、2的范围在1的范围内D、1和2的范围没有包含关系（正确答案）答案：D44.人力资源部门使用一套OA系统，用于管理所有员工的各种工资、绩效考核等事宜。员工都可以登录系统完成相关需要员工配合的工作，以下哪项技术可以保证数据的保密性：A、SSL加密B、双因子认证C、加密会话cookieD、IP地址校验答案：A45.业务系统运行中异常错误处理合理的方法是：A、让系统自己处理异常B、调试方便，应该让更多的错误更详细的显示出来C、捕获错误，并抛出前台显示D、捕获错误，只显示简单的提示信息，或不显示任何信息答案：D46.以下哪项不是应急响应准备阶段应该做的？A、确定重要资产和风险，实施针对风险的防护措施B、编制和管理应急响应计划C、建立和训练应急响应组织和准备相关的资源D、评估事件的影响、备份完整系统答案：D47.下列说法正确的是.A、处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围B、处理个人信息不用保证个人信息的质量，个人信息不准确、不完整不会对个人权益造成不利影响C、收集个人信息，可以不限于实现处理目的的最小范围，可以过度收集个人信息D、个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全答案：A48.依据《电信和互联网用户个人信息保护规定》，下列那项说法是错误的？()A、电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项B、电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息C、电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息可以未经用户同意向其关联公司提供D、电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务答案：C49.关于密码技术和密码产品，以下说法正确的是？()A、未经批准，禁止出口密码技术和密码产品，但进口不受限B、密码技术和密码产品均是国家秘密，需实行专控管理C、未经许可，禁止销售商用密码产品，但自行研发供自行使用不受限D、未经指定，禁止生产商用密码产品答案：B50.数据交易应当遵循（）原则。A、自愿原则。B、公平原则C、诚信原则D、以上都正确答案：D51.物联网中的恶意软件是指什么？A、针对物联网设备的恶意软件程序B、针对物联网网络的恶意软件程序C、针对物联网数据的恶意软件程序D、针对物联网用户的恶意软件程序答案：A52.以下行为不属于违反国家涉密规定的行为：A、将涉密计算机、涉密存储设备接入互联网及其他公共信息网络B、通过普通邮政等无保密及措施的渠道传递国家秘密载体C、在私人交往中涉及国家秘密D、以不正当手段获取商业秘密答案：D53.APP收集敏感用户数据时应该（）。()A、在APP中嵌入广告，以此换取用户数据B、强制用户授权所有权限C、明确告知用户数据收集的目的和方式，并获得用户明示同意D、不需要获得用户同意，因为这些数据对APP运营至关重要答案：C54.国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以（）为关键要素的数字经济发展。A、信息B、数据C、技术D、创新答案：B55.在访问控制中，RBAC模型中的用户角色关系是：A、一对一关系B、一对多关系C、多对多关系D、多对一关系答案：C56.以下哪类可以作为网络安全等级保护的定级对象？A、一台裸金属服务器，里面还没有装操作系统B、某部委部长用的PC终端C、某电商网站数据中心边界路由器D、某能源系统的能源调度云平台答案：D57.POW是指（B）A、权益证明B、工作量证明C、零知识证明D、以上都不是答案：B58.对于发现存在较大安全风险的数据处理活动，行业监管部门可以采取以下哪种措施()A、给予奖励B、发出警告信函C、进行约谈并要求整改D、暂停行政审批程序答案：C59.单点登录（SSO）认证过程中，当请求中携带的Cookie无效时，拦截器会怎么处理？A、放行访问请求B、重定向用户到目标应用系统的登录界面C、向统一认证服务器发送验证请求D、检查请求的URL是否在无需保护的列表中答案：B60.文档体系建设是信息安全管理体系(ISMS)建设的直接体现，下列说法不正确的是：A、组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B、组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容D、多层级的文档体系是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立答案：B61.根据《电子签名法》的规定，（）与手写签名或者盖章具有同等的法律效力。()A、哈希签名B、数字签名C、可靠的电子签名D、加密签名答案：C62.下列选项不属于数据备份设计的是？()A、确定备份频率和类型B、选择备份存储介质C、制定备份策略D、服务器硬件的维护计划答案：D63.SQL注入攻击通常利用什么方式来改变原始SQL查询？A、替换查询关键字B、动态更改查询条件C、增加额外的查询语句D、以上都是答案：C64.《中华人民共和国个人信息保护法》正式施行时间是（）。A、2021年8月20日B、2021年10月1日C、2021年11月1日D、2021年12月1日答案：C65.未满（）的未成年人为无民事行为能力人，其网络打赏行为是无效的。A、8周岁B、10周岁C、12周岁D、14周岁答案：A66.数据安全风险评估应遵循哪些原则？A、科学性、公正性、客观性B、主观性、随意性、灵活性C、高效性、便捷性、低成本D、保密性、封闭性、排他性答案：A67.准备登陆电脑系统时，发现有人在您的旁边看着，正确做法是（）A、不理会对方B、提示对方避让C、报警D、关机后离开答案：B68.当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中，哪个与应用软件漏洞成因无关：A、传统的软件开发工程未能充分考虑安全因素B、开发人员对信息安全知识掌握不足C、相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞D、应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞答案：C69.用户登录时，认证服务器产生一个随机数发送给用户，用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令，发送给认证服务器,认证服务器用同样的方法计算后，验证比较两个口令即可验证用户身份，这种方式称之为。A、口令序列B、时间同步C、挑战应答D、静态口令答案：C70.在Hadoop集群中，（）组件用于管理和分配计算资源。A、YARNB、HbaseC、ZooKeeperD、HDFSNameNode答案：A71.根据数据安全能力成熟度模型，企业在数据安全事件发生后，应首先采取什么措施？A、掩盖事件真相B、立即恢复数据服务C、进行事件应急响应D、追究相关责任答案：C72.某企业实施信息安全风险评估后，形成了若干文挡，下列文挡不应属于“风险评估准备”阶段输出的文档是。A、《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容B、《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容C、《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D、《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容答案：C73.标识符在数据脱敏中的作用是？A、数据加密B、数据定位C、数据替换D、数据删除答案：B74.访问控制包括哪些方面？A、授权B、控制访问方法和运行机制C、安全审计和监控D、所有选项都是答案：D75.以下4种对BLP模型的描述中，正确的是():A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、LP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”答案：B76.下列不属于核心数据的是()A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据答案：D77.《中华人民共和国民法典》规定，()应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关（）报告。A、国防部门B、政府部门C、主管部门D、监管部门答案：C78.一份文件为秘密级，保密期限是10年，标志形式应当是()A、秘密10年B、秘密★C、秘密★10年D、秘密●10年答案：C79.某公司的对外公开网站主页经常被黑客攻击后修改主页内容，该公司应当购买并部署下面哪个设备（）A、安全路由器B、网络审计系统C、网页防篡改系统D、VPN专用设备答案：C80.国家网信部门负责统筹协调（）工作和相关监督管理工作A、个人信息保护B、个人信息搜集C、个人信息处理D、个人信息公布答案：A81.（）以上的未成年人为限制民事行为能力人实施民事法律行为，由其法定代理人代理或者经其法定代理人同意、追认。A、8周岁B、10周岁C、12周岁D、14周岁答案：A82.物联网安全是指什么？A、保护物联网设备的物理安全B、保护物联网设备免受未经授权的访问和攻击C、保护物联网设备的电源供应D、保护物联网设备的网络连接速度答案：B83.要防止网络社会工程学攻击，以下哪项是必要的？A、使用复杂的密码，避免使用生日、电话号码等容易被猜到的信息作为密码。B、安装并更新反病毒软件、防火墙等安全软件可以有效防止网络攻击和恶意软件入侵。C、教育员工，提高员工对网络社会工程学攻击的认识和防范意识。D、以上都是答案：D84.在访问控制中，MAC（MandatoryAccessControl）是指：A、强制访问控制B、自主访问控制C、角色访问控制D、访问控制列表答案：A85.为了保护民事主体的合法权益，调整民事关系，维护社会和经济秩序，适应中国特色社会主义发展要求，弘扬社会主义核心价值观，根据宪法，制定（）。A、《中华人民共和国刑法》B、《中华人民共和国民法典》C、《中华人民共和国治安管理处罚法》D、《中华人民共和国劳动法》答案：B86.（）以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作A、区级B、县级C、市级D、省级答案：B87.什么是身份攻击面映射？A、分析组织的身份信息以发现弱点B、监测并响应可疑身份活动C、清除账户接管攻击的弱点D、定位恶意软件感染的账户答案：A88.以下关于“最小特权”原则理解正确的是：A、敏感岗位不能由一个人长期负责B、对重要的工作分解，分配给不同人员完成C、一个人有且仅有其执行岗位工作所足够的许可和权限D、防止员工由于轮岗累积越来越多的权限答案：C89.当二进制向量长度一定时，布隆过滤器的误报率随数据块的增长而增长。A、TRUEB、FALSE答案：A90.双重身份验证(2FA)要求用户提供除密码之外的至少一个附加身份验证因素。MFA是什么？A、多因素身份验证B、生物识别身份验证C、智能卡身份验证D、单点登录答案：A91.《中华人民共和国民法典》规定，网络用户利用网络服务实施侵权行为的，权利人有权通知网络服务提供者采取（）、删除、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。A、屏蔽B、过滤C、加密D、拉黑答案：A92.国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以（）为关键要素的数字经济发展。A、数据B、信息C、创新能力D、硬核科技答案：A93.ZigBee网络拓扑类型不包括A、星型B、网状C、环形D、树形答案：C94.依据ISO27001，信息系统审计是()。()A、应在系统运行期间进行，以便于准确地发现弱电B、审计工具在组织内应公开可获取，以便于提升员工的能力C、发现信息系统脆弱性的手段之一D、只要定期进行，就可以替代内部ISMS审核答案：C95.关键系统关键岗位的人员，要求（）。A、关键岗位人员需要经过背景调查B、关键岗位人员离职需遵守脱密流程C、技能必须匹配D、以上都是答案：D96.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在人力资源安全方面实施常规控制，人力资源安全划分为3个控制阶段，不包括哪一项()A、任用之前B、任用中C、任用终止或变化D、任用后答案：D97.K-匿名方法主要用于什么？A、数据加密B、数据脱敏C、数据备份D、数据恢复答案：B98.因业务需要，确需进行境外远程维护的，应事先A、进行远程调试确保境外网络能进行访问B、报国家行业主管或监管部门和国务院公安部门C、进行远程调试确保境外网络无法直接进行访问D、咨询企业股东答案：B99.（）负责统筹协调个人信息保护工作和相关监督管理工作A、国家监管机构B、国家征信机构C、国家网信部门D、中国人民银行答案：C100.以下数据安全分类分级标准不属于行业标准的是？()A、GB/T39725-2020《信息安全技术健康医疗数据安全指南》B、工信(2020]6号《工业数据分类分级指南》C、JR/T0197-2020《金融数据安全数据安全分级指南》D、B14/T2442-2022《政务数据分类分级要求》答案：D101.（）应当与关键信息基础设施同步规划、同步建设、同步使用。()A、安全背景审查B、安全保护措施C、网络安全检测D、网络安全事件应急预案答案：B102.6.主体通常是什么？A、文件B、用户C、应用服务D、数据答案：B103.国家大力推进电子政务建设，提高政务数据的科学性、（）、时效性，提升运用数据服务经济社会发展的能力。A、公平性B、创新性C、便民性D、准确性答案：D104.下列对爬虫使用说法错误的是（）。()A、网络数据爬取应限于对开放数据的获取。如果网络爬虫获取非开放的数据，便涉嫌违法甚至犯罪B、数据爬虫技术不应具有侵入性，可以说，爬虫的侵入性是其违法性的主要体现C、数据爬取应当基于正当目的，对开放数据的获取可能因不符合正当目的而具有违法性D、爬取公开数据时即使突破网站或App的反爬虫技术设置进行的爬取行为，行为人不需承担刑事责任答案：D105.数据本地化是数据跨境管理的一种措施，通常理解为某一主权国家/地区，通过制定法律或规则来限制本国/地区数据向境外流动，是对数据出境进行限制的做法之一。下列哪一国家采取的是境内存储副本，对转移或出境无限制的模式？()A、中国B、印度C、荷兰D、美国答案：B106.个人信息处理者应当公开个人信息保护负责人的（），并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门A、身份证号B、联系方式C、家庭住址D、工作地点答案：B107.语句SELECT‘ACCP’FROMDUAL的执行结果是()A、CCP（正确答案）B、XC、编译错D、提示未选中行答案：A108.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处（）罚款A、一百万元以上B、两百万元以上C、五百万元以上D、一百万元以下答案：D109.某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是：A、模拟正常用户输入行为，生成大量数据包作为测试用例B、数据处理点、数据通道的入口点和可信边界点往往不是测试对象C、监测和记录输入数据后程序正常运行的情况D、深入分析测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析答案：C110.国家大力推进电子政务建设，提高政务数据的（），提升运用数据服务经济社会发展的能力。A、科学性、准确性、时效性B、公益性、准确性、时效性C、科学性、准确性、高效性D、公益性、准确性、高效性答案：A111.身份认证是为了确认通信过程中的另一端个体是谁，这个个体可以是哪些类型？A、人B、物体C、虚拟过程D、以上都可以答案：D112.发改委首次将区块链纳入“新基建”范围的时间是（D）A、2016B、2015C、2022D、2020答案：D113.物联网中的远程访问如何进行安全管理？A、使用安全协议进行通信B、实施访问控制和身份认证C、网络隔离设备和系统D、所有以上选项答案：D114.（）主管全国的保密工作。A、国家安全部门B、公安部门C、中央保密委员会D、国家保密行政管理部门答案：D115.十六周岁以上的未成年人，（）为主要生活来源的，视为完全民事行为能力人。A、以自己的劳动收入B、监护人提供生活费C、由政府部门资助D、由公益组织资助答案：A116.若要系统中每次缺省添加用户时，都自动设置用户的宿主目录为/users,需修改哪一个配置文件？()A、/etc/default/useradd（正确答案）B、/etc/login.defsC、/etc/shadowD、/etc/passwd答案：A117.下列说法中不正确的是.A、任何组织、个人不得非法收集、使用、加工、传输他人个人信息，可以非法买卖、提供或者公开他人个人信息B、不得从事危害国家安全、公共利益的个人信息处理活动C、个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息D、自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。答案：A118.数据提供部门应当按照（）的原则，负责本部门数据采集、归集、存储、提供、共享、应用和开放等环节的安全管理。A、谁主管、谁负责，谁提供、谁负责B、谁经手、谁负责，谁提供、谁负责C、谁使用、谁负责，谁管理、谁负责D、谁经手、谁负责，谁使用、谁负责答案：A119.以下选项在WiFi技术安全中不属于网络层安全的是A、服务配置标识符B、有线等价保密协议C、身份认证D、虚拟专用网答案：B120.以下不属于个人敏感信息的有（）A、个人基因信息B、个人血样C、个人声纹D、未满14岁未成年人个人信息E、以上都属于答案：E121.以下哪类可以作为网络安全等级保护的定级对象？A、一台裸金属服务器，里面还没有装操作系统B、某部委部长用的PC终端C、某电商网站数据中心边界路由器D、以上都不是答案：D122.3.角色基础访问控制模型（Role-BasedAccessControl，RBAC）是基于什么来确定用户的访问权限？A、用户属性B、资源属性C、用户角色D、环境属性答案：C123.在访问控制中，RBAC模型中的角色可以与以下哪个概念对应？A、用户组B、文件权限C、认证凭证D、审计日志答案：A124.无线传感器网络节点的应具有主要特征是A、能量受限B、与环境无关C、实时性D、不可扩展答案：A125.自主访问控制模型（DAC）的访问控制可以用访问控制表（ACL）来表示，下面选项中说法正确的是（）。A、CL是Bell-LaPadula模型的一种具体实现B、ACL在删除用户时，去除该用户所有的访问权限比较方便C、ACL对于统计某个主体能访问哪些客体比较方便D、ACL管理或增加客体比较方便答案：B126.判断隐私政策是否易于阅读的标准是（）。()A、在App界面中能够找到隐私政策，包括通过弹窗、文本链接、常见问题（FAQs）等形式。B、隐私政策以单独成文的形式发布，而不是作为用户协议、用户说明等文件中的一部分存在。C、进入App主功能界面后，通过4次以内的点击，能够访问到隐私政策，且隐私政策链接位置突出、无遮挡。D、隐私政策文本文字显示方式（字号、颜色、行间距等）不会造成阅读困难。答案：D127.定期进行安全评估和审查的目的是什么？A、提高员工安全意识B、发现和修复安全漏洞C、增加网络防火墙配置D、优化数据存储和管理答案：B128.以下哪种方式可以保障数据的安全传输？()A、脱敏B、加密C、分类D、明文传输答案：B129.ISMS是基于组织的()风险角度建立的。()A、财务部门B、资产安全C、信息部门D、整体业务答案：D130.矿藏、水流、海域属于（）所有。A、国家B、地方政府C、企业D、私人答案：A131.重要数据的处理者应当明确（）和管理机构，落实数据安全保护责任。A、数据用途B、数据处理时间C、数据使用人D、数据安全负责人答案：D132.自然人死亡的，其近亲属为了自身的合法正当利益，可以对死者的相关个人信息行使（）权利；死者生前另有安排的除外。A、查阅B、复制C、更正D、删除答案：D133.Oracle中的三种系统文件分别是()A、数据文件DBFB、控制文件CTLC、日志文件LOGD、归档文件ARC答案：C134.跨站点脚本（XSS）攻击是指攻击者通过在受信任的网站上注入恶意脚本，以窃取用户的凭据或会话信息。XSS攻击通常利用的是以下哪个安全漏洞？A、密码猜测漏洞B、输入验证漏洞C、会话劫持漏洞D、中间人攻击漏洞答案：B135.收到银行升级通知修改密码并给有相关连接地址时（）A、点开链接看看怎么回事B、核对电话号码后发现没有诈骗电话的标记，所以可以点开连接C、诈骗短信直接删除D、转发亲友，一起修改银行口令为数字结合字母（包含大小写）和特殊字符的复杂口令答案：C136.根据《网络安全法》的规定，（）应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、电信运营商B、科研机构C、外包服务商D、网络运营者答案：D137.5.基于策略的访问控制模型（Policy-BasedAccessControl，PBAC）是通过什么来控制对资源的访问权限？A、用户行为B、系统管理员C、定义的访问控制策略D、用户角色答案：C138.根据《数据安全法》的规定，公安机关、国家安全机关在各自职责范围内承担数据安全监管职责，以下说法错误的是()A、公安机关、国家安全机关调取有关组织和个人的数据应当出于维护国家安全或者侦查犯罪的需要。B、公安机关、国家安全机关调取有关组织和个人的数据应当经过严格的批准手续，依法进行。C、公安机关、国家安全机关依法调取有关组织和个人的数据，有关组织和个人可以予以拒绝。D、有关组织和个人拒不配合数据调取的，可以由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款。答案：C139.物联网中的通信技术主要包括哪些？A、蓝牙B、RFIDC、Wi-FiD、所有以上选项答案：D140.网络安全等级保护建设的流程是什么？A、定级、备案、监督检查、建设整改、等级测评B、定级、备案、建设整改、等级测评、监督检查C、建设整改、等级测评、监督检查、定级、备案D、等级测评、定级、备案、建设整改、监督检查答案：B141.社交工程学攻击者主要利用以下哪个因素来欺骗目标？A、技术手段B、社交技巧和人际交往C、网络协议D、数字证书答案：B142.在口令安全管理中，以下哪个做法是不正确的？A、定期更换口令B、使用强密码复杂度要求C、将口令以明文形式在网络上传递D、加密存储口令文件答案：C143.增加/删除k条数据的ε-DP机制满足(kε)-DPA、TRUEB、FALSE答案：A144.（）即非法用户利用合法用户的身份，访问系统资源。A、身份假冒B、信息窃取C、数据篡改D、越权访问答案：A145.在大数据环境中，（）不是隐私保护的关键挑战之一。A、数据集成和共享B、数据存储和处理能力C、跨组织数据交换D、网络攻击和入侵答案：D146.以下关于UDP协议的说法，哪个是错误的?A、具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击B、UDP包头中包含了源端口号和目的端口号，因此可通过端口号将数据包送达正确的程序C、相比TCP，UDP开销更小，因此常用来传送如视频这一类大流量需求的数据D、UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频通话这类需要保护隐私的数据答案：D147.物联网中的网络隔离是指什么？A、将物联网设备与互联网隔离B、将不同的物联网设备划分到独立的网络C、阻止物联网设备之间的通信D、限制物联网设备的访问速度答案：B148.关键信息基础设施安全保护条例自()起施行A、2021年9月1日B、2021年8月1日C、2022年3月27日D、2021年5月1日答案：A149.证书的有效期是多久？()A、10/20B、20/30C、30/40D、40/50答案：A150.网络安全等级保护总共有几个保护级别？A、3个B、4个C、5个D、6个答案：C151.根据《数据安全法》的规定，下列数据中不属于国家核心数据？()A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据答案：D152.事实授权访问控制模型（Fact-BasedAuthorization，FBA）是基于什么来动态决定用户对资源的访问权限？A、用户属性B、用户历史行为和环境信息C、系统管理员D、用户角色答案：B153.营者发现使用的网络产品（）应当及时采取措施消除风险隐患，涉及重大风险的应当按规定向有关部门报告A、服务存在安全缺陷B、收益未达到运营者期望C、使用了最新的支付系统D、无法从境外网络访问答案：A154.若一个组织声称自己的信息安全管理体系符合ISO/TEC27001或GB22080标准要求，其信息安全控制措施不包括哪一项()A、信息安全方针、信息安全组织、资产管理B、人力资源安全、物理和环境安全、通信和操作管理C、访问控制、信息系统获取、开发和维护、符合性D、规划与创建信息安全管理体系答案：D155.受到治安管理处罚的人员，（）不得从事网络安全管理和网络运营关键岗位的工作A、5年内B、10年内C、经过本人同意及安全厂商鉴定后D、2年内答案：A156.根据《网络安全法》的规定，网络产品、服务的提供者实施哪种行为会受到处罚？()A、提供符合相关国家标准的强制性要求的网络产品、服务；B、不在网络产品、服务中设置恶意程序；C、在规定或者当事人约定的期限内，终止提供安全维护；D、发现网络产品、服务存在安全缺陷、漏洞等风险时，立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。答案：C157.下列哪个是访问控制中的授权方式？A、访问请求审查B、双因素认证C、单一登录D、加密传输答案：A158.在网络访问控制中，下面哪个技术可以实现对网络通信连接的细粒度控制？A、防火墙B、VPN（VirtualPrivateNetwork）C、IDS（IntrusionDetectionSystem）D、ACL（AccessControlList）答案：D159.经济合作与发展组织()在下列哪一年发布《隐私保护和跨境个人数据流动指南》()，鼓励数据跨境和自由流动。()A、1967年B、1968年C、1990年D、1980年答案：D160.《数据安全法》规定:在中华人民共和国〔〕开展数据处理活动及其安全监管，适用本法。在中华人民共和国〔〕开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。A、大陆、全境B、境内、境外C、国内、国外D、国内、全境答案：B161.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行()次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。()A、一B、二C、三D、四答案：A162.ApacheWeb服务器的配置文件一般位于/usr／local／apache／conf目录，其中用来控制用户访问Apache目录的配置文件是：A、httpd.confB、srlconfC、access．confD、Inet.conf答案：A163.网络社会工程学攻击利用了人们的哪些固有弱点？A、轻信他人、缺乏警觉性、冲动行动、不了解安全风险等B、社交技巧不足、缺乏自信、好奇心过强、容易被诱惑等C、情绪不稳定、容易焦虑、记忆力差、判断力弱等D)以上都不是答案：A164.哪种身份认证方式容易被破解和盗用？()A、生物特征识别B、智能卡认证C、双因素认证D、用户名和密码答案：D165.在ZigBeeMAC安全中，MAC安全帧不包括A、报头B、报尾C、负载D、帧内容答案：C166.中国现行跨境法律监管体系由“1+3+N”组成，其中“1”代表下列哪项法律？()A、《国家安全法》B、《网络安全法》C、《数据安全法》D、《个人信息保护法》答案：A167.linux中关于登陆程序的配置文件默认的为()A、/etc/pam.d/system-authB、/etc/login.defs（正确答案）C、/etc/shadow4D、/etc/passwd答案：B168.访问控制列表（AccessControlLists，ACL）是一种用于限制用户访问资源的机制，通过过滤什么来实现？A、网络流量B、用户行为C、系统管理员D、定义的访问控制策略答案：A169.关于业务连续性计划（BCP）以下说法最恰当的是：A、组织为避免所有业务功能因重大事件而中断，减少业务风此案而建立的一个控制过程。B、组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控制过程。C、组织为避免所有业务功能因各种事件而中断，减少业务风此案而建立的一个控制过程D、组织为避免信息系统功能因各种事件而中断，减少信息系统风险建立的一个控制过程答答案：B170.恢复时间目标（RTO）和恢复点目标（RPO）是信息系统灾难恢复中的重要概念，关于这两个值能否为零，正确的选项是()A、RTO可以为0，RPO也可以为0B、RTO可以为0，RPO不可以为0C、RTO不可以为0，但RPO可以为0D、RTO不可以为0，RPO也不可以为0答案：A171.以下关于数据库常用的安全策略理解不正确的是：A、最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作B、最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度地共享数据库中的信息C、粒度最小的策略，将数据库中数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度D、按内容存取控制策略，不同权限的用户访问数据库的不同部分答案：B172.银行保险机构在实施信息科技外包时应当坚持的原则不包括？()A、不得将信息科技管理责任、网络安全主体责任外包B、以不妨碍核心能力建设、积极掌握关键技术为导向C、保持外包风险、成本和收益的平衡D、保障网络和信息安全，加强重要数据和个人信息保护答案：C173.运输、携带、邮寄计算机信息媒体进出境的，应当如实向（）申报。()A、省级以上人民政府公安机关B、国家安全部C、国家保密局D、海关答案：D174.《中华人民共和国民法典》规定，网络用户利用网络服务实施侵权行为的，权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的（）。A、近期行为特征B、历史浏览记录C、真实身份信息D、IP地址答案：C175.《个人信息保护法》通过的时间是.A、2021年8月17日B、2021年8月18日C、2021年8月19日D、2021年8月20日答案：D176.令牌劫持攻击是指攻击者获取合法用户的身份验证令牌或会话标识符，并使用它们来冒充该用户进行身份验证。以下哪种是令牌劫持攻击的示例？A、密码猜测/暴力破解攻击B、重放攻击C、中间人攻击D、侧信道攻击答案：B177.车载系统中的黑客攻击是指什么A、对车辆进行物理破坏B、对车辆进行远程控制C、对车辆进行常规维护D、对车辆进行装饰和改装答案：B178.对于APP收集用户数据，下列哪种做法不符合隐私法规？()A、事先告知用户数据收集的目的和方式B、强制用户授权全部权限才能使用APPC、允许用户自主选择授权的权限D、用户注销账号后仍然继续收集其数据答案：B179.（）人民政府根据实际需要，应当制定公共数据采集、归集、存储、共享、开放、应用等活动的具体管理办法。A、国家级B、省级C、市级D、区级答案：B180.某金融业关键系统为了满足业务的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素A、必须遵循的相关法律法规，国家以及金融行业安全标准B、系统所承载该业务正常运行的安全需求C、消除或降低该银行信息系统面临的所有安全风险D、该金融业的业务整体安全策略答案：C181.社会工程学是一种攻击技术，利用以下哪方面的原理？A、数学B、心理学和社交工程学C、物理学D、经济学答案：B182.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是（）。A、信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施。B、应急响应具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作C、应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作：安全事件发生时的正确指挥、事件发生后全面总结D、既包括预防性措施，也包括事件发生后的应对措施答案：C183.下列哪个情形，个人信息处理者不可处理个人信息.A、为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需B、并非履行法定职责或者法定义务所必需，且未获得当事人允许C、为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息D、法律、行政法规规定的其他情形答案：B184.侵犯未成年人在网络空间合法权益的情形包括未经监护人同意，收集使用（）周岁以下（含）未成年人个人信息。()A、8B、12C、14D、16答案：C185.对恶意代码的预防，需要采取增强安全防范策略与意识等措施，关于以下预防措施或意识，说法错误的是：A、在使用来自外部的移动介质前，需要进行安全扫描B、限制用户对管理员权限的使用C、开放所有端口和服务，便利且充分使用系统资源D、不要从不可信来源下载或执行应用程序答案：C186.采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素，下列那项定级方式是错误的()A、作为一个整体独立定级B、与相关联业务系统一起定级C、各要素单独定级答案：C187.在访问控制产品的选择过程中，以下哪个因素应该是最重要的考虑因素？A、产品的售价B、产品的品牌知名度C、产品的功能和特性是否满足需求D、产品的外观设计和用户界面答案：C188.在最小特权管理中，下面哪个原则是正确的？A、每个用户都应该拥有系统中的所有权限B、特权拥有者应该随意使用权限C、特权分配应基于业务需求进行D、特权应该按需分配和限制使用答案：D189.PDCERF方法是信息安全应急响应工作中常用的一种方法，它将应急响应分成六个阶段。其中：下线中病毒的主机、修改防火墙过滤规则等动作属于哪个阶段()A、准备阶段B、遏制阶段C、根除阶段D、检测阶段答案：B190.定密责任人在职权范围内承担有关国家秘密的（）工作。A、确定B、变更C、解除D、以上都不正确答案：C191.在一个学校的教务系统中，经常采取分组方式的访问控制：教师能录入学生的考试成绩；学生只能查看自己的分数；教务的管理人员能对课程信息、学生选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是：A、对经过身份鉴别后的合法用户提供所有服务B、拒绝非法用户的非授权访问请求C、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理D、防止对信息的非授权篡改和滥用答案：A192.下面对“零日（Zero-Day）漏洞”的理解中，正确的是()A、指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程攻击，获取主机权限B、指通过漏洞扫描系统发现但是还没有被通告给监管机构的漏洞C、指一类漏洞，即特别好被利用，一旦成功利用该类漏洞，可以在1天内完成攻击，且成功达到攻击目标D、指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，已经被小部分人发现，但还未公开、也不存在安全补丁的漏洞都是零日漏洞答案：D193.2015年，以色列防务公司与美国斯坦福大学成功利用手机电量消耗获取位置信息，这种攻击方式属于（）A、钓鱼攻击B、中间人攻击C、操纵攻击D、边信道攻击答案：D194.CA是PKI系统的最核心部件，它的功能包括以下哪些？()A、证书的签发和更新B、证书的作废、冻结和解冻C、证书的查询或下载D、所有选项都是正确的答案：D195.国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，目的是.。A、促进数据跨境安全、自由流动B、促进数据跨境安全，安全流动C、促进数据自由跨境，自由流动D、促进数据自由跨境，安全流动答案：A196.结合法律法规的要求、相关行业标准，形成数据跨境合规管控关键管控点，下列哪一项不属于关键管控点？()A、数据跨境前的评估B、数据跨境中的执行C、数据跨境后的管理D、数据跨境后的检查答案：D197.单点登录（SSO）的主要目标是什么？A、提高用户体验B、减少系统管理和维护成本C、增加数据安全性D、加快应用系统的响应速度答案：A198.国家大力推进电子政务建设，提高政务数据的科学性、准确性、（），提升运用数据服务经济社会发展的能力。A、创新性B、公平性C、便民性D、时效性答案：D199.区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息，记录备份应当保存不少于（）。()A、3个月B、6个月C、9个月D、12个月答案：B200.windows文件系统权限管理使用访问控制列表机制，以下哪个说法是错误的：A、安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要NTFS文件格式的支持B、由于Windows操作系统自身有大量文件和目录，因此很难对每个文件和目录设置严格的访问权限，为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题C、Windows的ACL机制中，文件和文件夹的权限是主体进行关联的，即文件夹和文件的访问权限信息是写在用户数据库中的D、由于ACL具有很好灵活性，在实际使用中可以为每一个文件设定独立拥护的权限答案：C201.下面哪个模型和软件安全开发无关（）？A、微软提出的“安全开发生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成为软件开发必须的部分（BuildingSecurityIN，BSI）”C、OWASP维护的“软件保证成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF）”答案：D202.基于密码的身份验证依赖于什么？A、用户名和密码或PINB、指纹和密码C、面部识别和密码D、虹膜扫描和密码答案：A203.下列说法不正确的是.A、自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益B、个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息C、个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等D、处理个人信息应当遵循合法、正当、必要和诚信原则，可以通过误导、欺诈、胁迫等方式处理个人信息答案：D204.对全球重点国家的数据跨境转移要求划分成高中低风险，依据风险的高低即合规措施模式对各国家/地区进行归类分级，并给每一等级的国家适配统一的合规措施，最终形成包含合规措施的数据跨境传输风险矩阵，不包括下列哪一等级？()A、严格管控B、适度管控C、宽松管控D、谨慎管控答案：D205.风险评估人员使用了Nessus工具扫描并发现了数据库服务器漏洞，根据风险管理的相关理论，该扫描活动属于下面哪一个阶段的工作()A、风险分析B、风险要素识别C、风险结果判定D、风险处理答案：B206.在网络社会工程学攻击中，以下哪项是最常见的欺骗方式？A、假冒网站B、假冒身份C、钓鱼攻击D、社交工程攻击答案：C207.以下哪种访问控制模型是基于一组定义良好的属性规则来确定用户对资源的访问权限？A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、事实授权访问控制模型(FBA)D、基于属性的访问控制模型(ABAC)答案：D208.国家科学技术秘密的密级分为绝密级、机密级、秘密级，以下哪项属于绝密级的描述?A、处于国际先进水平，并且有军事用途或者对经济建设具有重要影响的B、能够局部反应国家防御和治安实力的C、我国独有、不受自然条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传统工艺D、国际领先，并且对国防建设或者经济建设具有特别重大影响的答案：D209.Windows访问控制中，用户的身份标识是通过什么方式创建的？A、访问令牌B、用户名和密码C、IP地址和端口号D、数字证书答案：A210.下列关于信息系统生命周期中安全需求说法不准确的是：A、明确安全总体方针，确保安全总体方针源自业务期望B、描述所涉及系统的安全现状，提交明确的安全需求文档C、向相关组织和领导人宣贯风险评估准则D、对系统规划中安全实现的可能性进行充分分析和论证答案：C211.物联网中的安全审计是用于什么目的？A、监测和记录物联网设备的安全事件B、评估物联网设备的性能指标C、分析物联网数据的使用情况D、优化物联网设备的能源消耗答案：A212.数据分类分级的流程不包括()A、数据资产梳理B、元数据管理C、数据分类D、数据分级答案：B213.有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息A、可以在网络上公开售卖B、不能用于其他用途C、可以提供给安全从业人员进行参考学习D、可以提供给境外安全论坛进行谈论、研究和学习以促进互动和安全行业发展答案：B214.违反《中华人民共和国数据安全法》规定，给他人造成损害的，并构成犯罪的。____A、依法承担民事责任，并追究刑事责任B、不用承担民事责任，但追究刑事责任C、既不用承担民事责任，也不追究刑事责任D、只用承担民事责任，不用追究刑事责任答案：A215.在大数据关键技术中，Hadoop的分布式文件系统HDFS属于大数据（）。A、存储技术B、分析技术C、并行分析技术D、挖掘技术答案：A216.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送数据清单。A、对B、错答案：B217.国家实施网络（）战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。A、认证身份B、可信身份C、信誉身份D、安全身份答案：B218.大数据应用所采用的技术有:()A、大规模存储与大规模计算B、数据的清洗与分析处理C、结合数学建模与人工智能D、都正确答案：D219.以下哪项不是身份的必要特点？A、唯一性B、可复制性C、可变性D、持久性答案：B220.URL过滤（URLFilter），一般简称为URLF，是指对用户访问的URL进行控制，对用户访问的Web资源执行允许或禁止操作。A、TRUEB、FALSE答案：A221.《数据安全法》中的“数据”是指()。A、任何电子或者非电子形式对信息的记录B、进行各种统计、计算、科学研究或技术设计等所依据的数值C、网络数据D、只包括电子形式的信息记录答案：A222.在单点登录（SSO）认证过程中，为什么需要使用SSL通道来传递Cookie？A、提高用户体验B、加快应用系统的响应速度C、增加Cookie的安全性D、减小Cookie被截获的可能性答案：D223.对于谁有权对违反本法规定的行为向有关主管部门投诉、举报，以下说法正确的是.A、任何个人、组织B、只有企事业单位工作人员有C、只有企事业单位有D、只有私营企业有答案：A224.()负责统筹协调个人信息保护工作和相关监督管理工作。A、公安部门B、网信部门C、征信部门D、大数据局答案：B225.二维码目前不能表示的数据类型A、文字B、数字C、二进制D、视频答案：D226.组织第一次建立业务连续性计划时，最为重要的活动是：A、制定业务连续性策略B、进行业务影响分析C、进行灾难恢复演练D、构建灾备系统答案：A227.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，某单位在实施风险评估时，形成了《风险评估方案》并得到了管理决策层的认可，在风险评估实施的各个阶段中，该《风险评估方案》应是如下()中的输出结果。A、风险评估准备阶段B、风险要素识别阶段C、风险分析阶段D、风险结果判定阶段答案：A228.隐私政策应对App运营者基本情况进行描述，以下哪一项不是必要的？()A、公司名称B、注册地址C、个人信息保护相关负责人联系方式D、经营范围答案：D229.物联网中的物理安全措施主要包括以下哪些方面？A、锁定物联网设备的物理位置B、安装视频监控设备C、控制物联网设备的物理访问权限D、所有以上选项答案：D230.（）应当妥善管理失踪人的财产，维护其财产权益。A、财产继承人B、财产代管人C、财产托管人D、监护人答案：B231.物联网中的安全标准主要由谁制定？A、国际标准化组织（ISO）B、物联网设备制造商C、政府监管机构D、所有以上选项答案：D232.网络社会工程学攻击的防范措施应该包括哪些方面？A、提高警觉性、保护个人信息、使用安全软件、定期更新密码等B、提高人际交往能力、增强自信心、增强抵抗力、加强运动等C、提高学历水平、增强沟通能力、增加社交圈子、扩大人脉等D、以上都不是答案：A233.以下哪些政务数据不得开放？。A、涉及国家秘密B、商业秘密C、个人隐私D、以上全部都是答案：D234.根据《电子签名法》的规定，电子签名需要第三方认证的，由依法设立的（）提供认证服务。()A、网络服务提供者B、电子认证服务提供者C、征信机构D、密码管理机构答案：B235.访问控制模型由哪些组成要素构成？A、主体、参考监视器、客体、访问控制数据库和审计库B、用户、进程、设备、文件和数据C、身份认证、授权、审计和监控D、所有选项都是答案：A236.《中华人民共和国个人信息保护法》的制定是为了保护（）权益A、个人信息B、公民利益C、个人健康D、集体财富答案：A237.国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列()措施。A、对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估B、促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享C、定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力D、对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助E、以上都对答案：E238.运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，应当对以下哪个部门依法开展的关键信息基础设施网络安全检查工作应当予以配合？A、应急管理部B、工信部C、大数据局D、公安、国安、保密行政管理、密码管理答案：D239.口令安全管理中，下列哪个原则是不正确的？A、口令应至少包含8个字符以上B、口令应包含大小写字母、数字和特殊字符C、口令可以与账号相同D、口令应有时效机制，定期更换答案：C240.区块链技术中的挖矿是指：A、通过解决复杂的数学问题来创建新的区块B、通过购买和出售加密货币来获取利润C、通过在区块链网络中传输数据来验证交易D、通过分配计算资源来维护区块链网络的安全性答案：A241.POS是指()A、工作量证明B、零知识证明C、权益证明D、以上都不是答案：C242.如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）。A、访问控制列表（ACL）B、能力表（CL）C、BLP模型D、Biba模型答案：A243.以下不是数据安全中对于数据的目标是？()A、数据机密性B、数据完整性C、数据可用性D、数据并发性答案：D244.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用（）的规定。A、《中华人民共和国宪法》B、《中华人民共和国网络安全法》C、《中华人民共和国国家安全法》D、《中华人民共和国刑法》答案：B245.在关键信息基础设施安全保护工作中，()应当根据保护工作部门的需要，及时提供技术支持和协助A、网络上公开的安全论坛B、安全工具开发公司C、学习安全知识的学员D、国家网信部门答案：D246.维护数据安全，应当坚持总体国家安全观，建立健全（），提高数据安全保障能力。A、信息安全治理体系B、数据安全治理体系C、信息安全保障体系D、数据安全保障体系答案：B247.认证服务器在单点登录（SSO）过程中的主要职责是什么？A、生成访问票据并存放在Cookie中B、验证用户的登录请求并确认其合法性C、建立安全访问通道与应用系统通信D、检查Cookie的有效性并进行验证答案：B248.关于信息系统安全等级保护第三级的系统运维管理，应建立系统安全管理制度，对（）作出具体规定。A、系统安全策略B、安全配置C、日常操作流程D、都是答案：D249.数字中国，最重要的生产要素是〔〕A、资本B、互联网C、高智商劳动力D、数据答案：D250.《中华人民共和国网络安全法》规定，国家实行网络安全（）保护制度。A、架构B、分级C、涉密D、等级答案：D251.根据《个人信息保护法》的规定，哪些主体会受到侵犯个人信息的惩处？()A、仅对企业B、仅对直接负责的主管人员C、仅对直接负责的主管人员和其他直接责任人员D、对企业及其直接负责的主管人员和其他直接责任人员答案：D252.以下做法，正确的是（）。A、离职后将个人负责的项目的敏感文档一并带走B、将敏感信息在云盘备份C、会议室使用完毕后及时擦除白板D、在公共场所谈论敏感信息答案：C253.《中华人民共和国民法典》规定，个人信息的处理包括个人信息的收集、存储、使用、（）、传输、提供、公开等。A、加工B、修改C、删除D、管理答案：A254.身份信息在传输过程中需要保证哪些安全性？A、机密性、完整性、可用性B、机密性、可复制性、可用性C、完整性、可变性、可用性D、完整性、可靠性、可复制性答案：A255.GDPR第15条对隐私仪表盘提出了要求：“数据控制者不得使用任何的技术手段阻止用户行使访问权，在可能的情况下，数据控制者应该给予数据主体远程访问其数据的权利，特别是提供在线服务的访问工具，例如隐私仪表盘。”两年后，西班牙通过了下列哪一项文件？对隐私仪表盘提出了十分详尽的配置要求。()A、《默认数据保护指南》B、《数据跨境法律法规清单》C、《数据跨境管控要求清单》D、《受控非密数据清单》答案：A256.关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起（）内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。()A、1个月B、2个月C、3个月D、6个月答案：C257.大数据强调〔〕，而非小数据的随机抽样。A、关键数据B、重要数据C、海量数据D、高质量数据答案：C258.关于源代码审核，下列说法正确的是：A、人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点B、源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定位可能导致安全弱点的薄弱之处C、使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核D、源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的薄弱之处答案：D259.为保障数据可用性，系统设计时应关注（）。A、网络拓扑结构是否存在单点故障B、主要网络设备以及关键业务的服务器是否冗余C、通信线路是否有多条链路D、是否有数据备份与恢复验证措施E、以上都对答案：E260.区块链中的零知识证明（Zero-KnowledgeProof）用于解决什么问题？A、隐私保护B、数据完整性验证C、交易速度优化D、分布式网络安全答案：A261.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处（）罚款A、五十万元以下B、一百万元以下C、两百万元以上D、任意金额答案：B262.以下行为正确的是（）。A、账号口令写在便利贴，贴在显示器上方便使用B、开电脑时未锁屏，电脑未设置带口令的屏保C、数据库账号管理三权分立D、看完涉密文件用碎纸机粉碎答案：C263.车载系统中的物理安全是指什么A、使用物理障碍物保护车辆B、使用物理锁保护车辆C、使用物理传感器监测车辆状态D、使用物理按钮控制车辆功能答案：A264.国家机关应当遵循（）、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。A、创新B、公正C、准确D、开放答案：B265.以下哪项是网络社会工程学攻击的一种形式？A、钓鱼攻击B、假冒身份C、垃圾邮件D、以上都是答案：D266.个人信息处理者利用个人信息进行自动化决策，应当保证决策的（）和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇A、可行性B、自动化C、透明度D、精准度答案：C267.运营者的（）对关键信息基础设施安全保护负总责。A、安全运维团队B、信息中心负责人C、生产责任人D、主要负责人答案：D268.根据《密码法》的规定，各级人民政府及其有关部门应当遵循（），依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。()A、透明原则B、非歧视原则C、自由竞争原则D、平等原则答案：B269.在网络社会工程学攻击中，以下哪项是常见的形式？A、电话诈骗B、媒体欺骗C、社交工程攻击D、以上都是答案：D270.（）负责统筹协调个人信息保护工作和相关监督管理工作A、国家法律部门B、国家征信机构C、国家网信部门D、国家监管机构答案：C271.根据《电子签名法》的规定，下列哪种情形不得视为发件人发送？()A、未经发件人授权发送B、发件人的信息系统自动发送C、收件人按照发件人认可的方法对数据电文进行验证后结果相符D、经约定，发件人通过加密形式发送答案：A272.国家建立网络安全监测预警和（）。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一