数据安全技术应用职业技能竞赛理论考试题库500题（含答案）

PAGEPAGE1数据安全技术应用职业技能竞赛理论考试题库500题（含答案）一、单选题1.以下哪项是降低社会工程学攻击风险的有效措施？A、增加网络防火墙的配置B、提供员工教育和培训C、定期进行漏洞扫描和渗透测试D、使用强密码保护账户答案：B2.下列针对数据安全的运维要求中，正确的操作是（）。A、确认需要备份的是哪些数据/数据库，设定备份与归档的策略B、从数据备份的完整性与成本方面的均衡角度考虑，增量备份结合全量备份是一个推荐的措施C、需要对备份后的数据进行恢复校验，以确保恢复后的数据可用D、定期对数据相关风险进行评估E、以上都对答案：E3.入职时签署保密协议的有效期限是A、终生有效B、离职后2-3年失效C、离职后失效D、对商业秘密的保密期限应为任职期间及离职后无限期期间;对于一般的保密信息宜约定2年或3年保密期限答案：D4.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处（）罚款A、一百万元以上B、两百万元以上C、五百万元以上D、一百万元以下答案：D5.防止非法授权访问数据文件的控制措施，哪项是最佳的方式：A、自动文件条目B、磁带库管理程序C、访问控制软件D、锁定库答案：C6.能够把零散的、规则的、不规则的数据通过有效的采集方法采集，并进行储存、加工、处理、分析使其进一步产生新的价值的是()A、物联网B、大数据C、移动互联网D、云计算答案：B7.风险评估工具的使用在一定程度上解决了手动评佑的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛使用，根据在风险评估过程中的主要任务和作用愿理，风险评估工具可以为以下几类，其中错误的是：A、风险评估与管理工具B、系统基础平台风险评估工具C、风险评估辅助工具D、环境风险评估工具答案：D8.企业应针对数据网络安全设置应急预案与实地演练，下列说法错误的是？()A、应每两年至少组织开展1次本组织的应急演练。关键信息基础设施跨组织、跨地域运行的，应定期组织或参加跨组织、跨地域的应急演练B、应在应急预案中明确，一旦信息系统中断、受到损害或者发生故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间C、应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程D、应急预案不仅应包括本组织应急事件的处理,也应包括多个运营者间的应急事件的处理答案：A9.双因素认证是指结合几种认证方式进行身份认证？()A、一种B、两种C、三种D、四种答案：B10.根据《电子签名法》的规定，电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后（）年。()A、5B、4C、3D、2答案：A11.一个数据集中存在Bob的数据，即使数据集的其他部分（除了Bob）是已知的，差分隐私也能阻止攻击者识别BobA、TRUEB、FALSE答案：A12.哪种身份认证方式容易被破解和盗用？()A、生物特征识别B、智能卡认证C、双因素认证D、用户名和密码答案：D13.下列那个是WIFI特点A、基于AP组建的基础无线网络B、很强的抗干扰能力和安全性C、可建立临时对等连接D、只能传送信息给FFD或从FFD接收信息。答案：A14.下面哪项是加强安全意识推广的有效方式？A、提供员工奖励计划B、发送周期性的安全通知C、禁止员工使用公司电子邮件D、随机抽查员工隐私信息答案：B15.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处（）罚款。A、一万元以上二十万元以下B、五万元以上十万元以下C、一万元以上十万元以下D、五万元以上二十万元以下答案：C16.linux命令中关于以下说法不正确的是()A、PASS_MAX_DAYS90是指登陆密码有效期为90天。B、PASS_WARN_AGE7是指登陆密码过期7天前提示修改。C、FALL_DELAY10是指错误登陆限制为10次。（正确答案）D、SYSLOG_SG_ENAByes当限定超级用于组管理日志时使用。答案：C17.密码猜测/暴力破解攻击是指攻击者尝试使用各种可能的密码组合来猜测用户的密码。这种攻击的目的是：A、窃取用户的生物特征信息B、截获用户的凭据C、篡改身份验证信息D、欺骗用户进行认证答案：B18.以下哪项不是应急响应准备阶段应该做的？A、确定重要资产和风险，实施针对风险的防护措施B、编制和管理应急响应计划C、建立和训练应急响应组织和准备相关的资源D、评估事件的影响、备份完整系统答案：D19.()是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责A、运营者主要负责人B、企业法人C、政府部门D、安全厂商答案：A20.在科举考试中，考官必须采用锁厅制进行封闭出卷，封闭在考场中出题，并且周围有兵丁把守，禁止内外交流，这种措施体现了数据安全的什么手段（）单选题A、脱敏B、物理隔离C、身份识别与多因素认证D、加密答案：B21.下列说法正确的是.A、处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围B、处理个人信息不用保证个人信息的质量，个人信息不准确、不完整不会对个人权益造成不利影响C、收集个人信息，可以不限于实现处理目的的最小范围，可以过度收集个人信息D、个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全答案：A22.在访问控制中，RBAC模型中的权限继承是指：A、用户继承角色的权限B、角色继承用户的权限C、角色继承其他角色的权限D、用户继承其他用户的权限答案：C23.Kerberos协议是一种集中访问控制协议，他能在复杂的网络环境中，为用户提供安全的单点登录服务。单点登录是指用户在网络中进行一次身份认证，便可以访问其授权的所有网络资源，而不在需要其他的认证过程，实质是消息M在多个应用系统之间的传递或共享。其中消息M是指以下选项中的()A、安全凭证B、用户名C、加密密钥D、会话密钥答案：A24.以下哪些政务数据不得开放？。A、涉及国家秘密B、商业秘密C、个人隐私D、以上全部都是答案：D25.当二进制向量长度一定时，布隆过滤器的误报率随数据块的增长而增长。A、TRUEB、FALSE答案：A26.以下哪一项不属于常见的风险评估与管理工具：A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具答案：D27.区块链技术中的挖矿是指：A、通过解决复杂的数学问题来创建新的区块B、通过购买和出售加密货币来获取利润C、通过在区块链网络中传输数据来验证交易D、通过分配计算资源来维护区块链网络的安全性答案：A28.在访问控制中，RBAC（Role-BasedAccessControl）是一种常用的策略，它的核心思想是：A、基于用户的身份验证进行访问控制B、基于角色的权限分配进行访问控制C、基于资源的分类进行访问控制D、基于审计日志进行访问控制答案：B29.我国目前确定了五大生产要素包括：A、土地、能源、人才、资本、知识B、土地、能源、劳动力、资本、数据C、土地、能源、商业、人才、信息技术D、土地、劳动力、资本、技术、数据答案：D30.数据私有产权不包括哪些()A、控制权B、管理权C、开放权D、使用权答案：C31.下列哪项不属于《数据安全法》规定的国家安全机关在数据安全工作中的职责？A、承担数据安全监管职责B、指导、督促数据处理者加强数据安全保护C、组织开展数据安全宣传教育D、决定数据处理者的经营策略答案：D32.在中华人民共和国（）开展数据处理活动及其安全监管适用《中华人民共和国数据安全法》A、境内部分地区B、境内以及境外C、境外D、境内答案：D33.数据分类分级的流程不包括()A、数据资产梳理B、元数据管理C、数据分类D、数据分级答案：B34.关键系统关键岗位的人员，要求（）。A、关键岗位人员需要经过背景调查B、关键岗位人员离职需遵守脱密流程C、技能必须匹配D、以上都是答案：D35.物联网中的远程访问如何进行安全管理？A、使用安全协议进行通信B、实施访问控制和身份认证C、网络隔离设备和系统D、所有以上选项答案：D36.电子合同的标的物为采用在线传输方式交付的，（）为交付时间。电子合同当事人对交付商品或者提供服务的方式、时间另有约定的，按照其约定。A、合同签署时间B、合同标的物进入对方当事人指定的特定系统时间C、合同标的物进入对方当事人指定的特定系统且能够检索识别的时间D、当事人确认签收时间答案：C37.下面有关软件安全问题的描述中，哪项是由于软件设计缺陷引起的()A、设计了三层web架构，但是软件存在sql注入漏洞，导致被黑客攻击后能直接访问数据库B、使用C语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏洞C、设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据D、使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得到明文数据答案：C38.运营者网络安全管理负责人履行下列职责A、组织制定网络安全规章制度、操作规程并监督执行B、组织对关键岗位人员的技能考核C、组织开展网络安全检查和应急演练，应对处置网络安全事件D、以上都是答案：D39.《个人信息保护法》施行的时间是.A、2021年10月1日B、2021年11月1日C、2021年11月11日D、2021年12月12日答案：B40.国家大力推进电子政务建设，提高政务数据的（），提升运用数据服务经济社会发展的能力。A、公益性、准确性B、科学性、准确性、时效性C、准确性、便利性、公益性D、科学性、准确性、高效性答案：D41.数据安全防护要求不包括以下哪项？()A、建立数据安全管理责任和评价考核制度B、严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全C、采购网络关键设备和网络安全专用产品目录中的设备产品时，应采购通过国家检测认证的设备和产品。D、因业务需要，确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估答案：C42.媒体欺骗是指攻击者通过伪造以下哪种内容来引导目标执行操作？A、文字内容B、图像、视频或音频材料C、网络流量D、加密算法答案：B43.拒绝服务攻击（DDOS）是黑客常用手段，会严重影响系统与数据可用性，以下属于DDOS攻击的是（）A、利用僵尸网络进行超大流量攻击B、利用自动化脚本高频次在论坛灌水以及刷评论C、利用高频爬虫反复爬取同一页面内容D、发送畸形数据包E、以上都对答案：C44.违反《中华人民共和国数据安全法》第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据并造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处（）罚款。A、一万元以上十万元以下B、五万元以上五十万元以下C、十万元以上一百万元以下D、二十万元以上二百万元以下答案：B45.根据《电子签名法》的规定，（）与手写签名或者盖章具有同等的法律效力。()A、哈希签名B、数字签名C、可靠的电子签名D、加密签名答案：C46.以下数据中不属于国家核心数据的是()。A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据答案：D47.（）应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。A、漏洞扫描报告B、生产管理报告C、风险评估报告D、安全管理文档答案：C48.下不属于云计算与物联网融合模式的是A、单中心-多终端模式B、多中心-大量终端模式C、信息应用分层处理-海量终端模式D、单中心-单终端模式答案：D49.采用多个独立的哈希算法同时进行映射，可以有效的降低布隆过滤器误报率。A、TRUEB、FALSE答案：A50.《中华人民共和国网络安全法》规定:()A、促进公共数据开放B、保护关键信息基础设施C、严打网络诈骗，明确“网络实名制”.D、保护个人信息E、以上都对答案：E51.身份信息在传输过程中需要保证哪些安全性？A、机密性、完整性、可用性B、机密性、可复制性、可用性C、完整性、可变性、可用性D、完整性、可靠性、可复制性答案：A52.敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，哪项不属于《中华人民共和国个人信息保护法》多定义的个人敏感信息。A、宗教信仰B、金融账户、行踪轨迹C、医疗健康、生物特征D、组织部领导任命前的公示信息答案：D53.《三国演义》第七十二回“诸葛亮智取汉中，曹阿瞒退兵斜谷”中描述：曹操与刘备相持过程中，每天更换营中口令。一日杨修问曹操营中口令，曹操答曰:鸡肋。在数据安全保护体系中，这种方式体现了什么思想?()A、舆情检测B、一次一密C、内容分析D动态风控答案：B54.明朝时期，规定科举考生必须采用统一字体“台阁体”答卷，这在个人信息处理上是什么措施A、身份验证B、去标识C、同态加密D、多方安全计算答案：B55.明朝时期，科举考生首先要考县试，县试之前需要递交“亲供”包含祖上三代的信息，以及考生本人的姓名、年龄、籍贯、体貌特征和曾祖父母、祖父母、父母三代的姓名履历，以确保考生出身良民世家方可参加考试。这在数据安全治理中体现了什么理念和措施？A、侧写画像B、关键岗位关键人员必须进行背景调查C、身份认证D、以上都对答案：D56.以下选项在WiFi技术安全中不属于网络层安全的是A、服务配置标识符B、有线等价保密协议C、身份认证D、虚拟专用网答案：B57.以下不是关键信息基础设施重要行业和领域的是？A、公共通信B、能源、交通、水利C、公共服务D、各类电商网购平台答案：D58.采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素，下列那项定级方式是错误的()A、作为一个整体独立定级B、与相关联业务系统一起定级C、各要素单独定级答案：C59.（）是具有民事权利能力和民事行为能力，依法独立享有民事权利和承担民事义务的组织。A、中国人民B、中国公民C、自然人D、法人答案：D60.以下不属于数据分类分级的收益是()A、满足合规要求B、发现安全漏洞C、提升数据使用价值D、满足自身发展答案：B61.《中华人民共和国民法典》规定，医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄漏患者的隐私和个人信息，或者未经患者同意（）其病历资料的，应当承担侵权责任。A、存储B、传播C、公开D、买卖答案：C62.关于强制访问控制模型，其中错误的是()A、强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体B、安全属性是强制性的规定，它由安全管理员或操作系统根据限定的规则确定，不能随意修改C、系统通过比较客体和主体的安全属性来决定主体是否可以访问客体D、它是一种对单个用户执行访问控制的过程控制措施答案：D63.身份认证的目的是什么？A、对事物的资质审查B、对事物真实性的确认C、对事物的合法性的确认D、对事物的权限进行确认答案：B64.下面哪个是社会工程学的常见形式？A、加密技术B、数据分析C、钓鱼攻击D、防火墙配置答案：C65.关键岗位专业技术人员每人每年教育培训时长不得少于A、1个工作日B、3个工作日C、7个工作日D、在经过认证的安全厂商下培训满三个自然月答案：B66.钓鱼攻击通常利用以下哪种方式来欺骗目标？A、伪造电子邮件、短信或其他通信形式B、直接物理接触C、网络扫描D、加密解密技术答案：A67.在访问控制产品的选择过程中，以下哪个因素应该是最重要的考虑因素？A、产品的售价B、产品的品牌知名度C、产品的功能和特性是否满足需求D、产品的外观设计和用户界面答案：C68.白盒测试的具体优点是：A、其检查程序是否可与系统的其他部分一起正常运行B、在不知程序内部结构下确保程序的功能性操作有效C、其确定程序准确性成某程序的特定逻辑路径的状态D、其通过严格限制访问主机系统的受控或虚拟环境中执行对程序功能的检查答案：C69.国家建立网络安全监测预警和（）。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。A、信息共享制度B、信息传输制度C、信息通报制度D、信息保护制度答案：C70.增加/删除k条数据的ε-DP机制满足(kε)-DPA、TRUEB、FALSE答案：A71.重要数据和核心数据处理者委托第三方评估机构开展数据安全风险评估时，应确保评估过程具备哪些要素()A、随机选择的评估团队成员B、完备的评估工作方案和有效的技术评测工具C、与行业无关的评估标准D、仅包括技术保障方面的评估内容答案：B72.下列关于软件安全开发中的BSI（BuildSecurityIn)系列模型说法错误的是()A、BIS含义是指将安全内建到软件开发过程中，不是游离于软件开发生命周期之外B、软件安全的三根支柱是风险管理、软件安全触点和安全测试C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，提供了从不同角度保障安全的行为方式D、BSI系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分答案：B73.降低风险（或减低风险）指通过对面的风险的资产采取保护措施的方式来降低风险，下面那个措施不属于降低风险的措施()A、减少威胁源，采用法律的手段制裁计算机的犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机B、签订外包服务合同，将存在风险的任务通过签订外包合同给与第三方完成，通过合同条款问责应对风险C、减低威胁能力，采取身份认证措施，从而抵制身份假冒这种威胁行为的能力D、减少脆弱性，及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用可能答案：B74.对于用户删除账号和数据，以下哪种做法是不正确的？()A、提供用户删除账号和数据的功能B、删除用户数据的备份和镜像C、限制用户删除账号和数据的时间和方式D、在用户提交删除请求后及时处理并回复用户答案：C75.配置如下两条访问控制列表：Access-List1permit55access-List2permit0055访问控制列表1和2，所控制的地址范围关系是：()A、1和2的范围相同B、1的范围在2的范围内C、2的范围在1的范围内D、1和2的范围没有包含关系（正确答案）答案：D76.除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的（）时间A、两倍B、三倍C、四倍D、最短答案：D77.事实授权访问控制模型（Fact-BasedAuthorization，FBA）是基于什么来动态决定用户对资源的访问权限？A、用户属性B、用户历史行为和环境信息C、系统管理员D、用户角色答案：B78.网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据（）处理。()A、封存B、删除C、匿名化D、存储答案：C79.对于发现存在较大安全风险的数据处理活动，行业监管部门可以采取以下哪种措施()A、给予奖励B、发出警告信函C、进行约谈并要求整改D、暂停行政审批程序答案：C80.网络安全访问控制技术主要用于保护什么？A、计算机网络系统和资源B、用户隐私C、数据中心D、网络流量答案：A81.DoS攻击是拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。A、TRUEB、FALSE答案：A82.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法规的规定，建立健全（）管理制度。A、数据风险评估B、数据泄露应急处置C、数据交易D、全流程数据安全答案：D83.《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于（）通过。A、2020年6月10日B、2020年6月11日C、2021年6月10日D、2021年6月11日答案：C84.（）负责统筹协调个人信息保护工作和相关监督管理工作A、国家监管机构B、国家征信机构C、国家网信部门D、中国人民银行答案：C85.智能卡身份验证需要什么？A、需要智能卡读卡器和智能卡B、需要指纹识别设备和智能卡C、需要面部识别设备和智能卡D、需要虹膜扫描设备和智能卡答案：A86.《数据安全法》的立法目的是什么？A、打击数据犯罪B、促进数据交易C、保护数据安全，促进数据开发利用D、限制数据处理活动答案：C87.通信协议要求通信者传输什么信息？A、个人资料B、身份信息C、财务信息D、账号密码信息答案：B88.以下哪种行为不适用《数据安全法》？()A、中国境内开展数据处理活动的行为B、中国境外开展数据处理活动的行为C、中国境外开展数据处理活动损害中国国家利益的行为D、中国境外开展数据处理活动损害公民合法权益的行为答案：B89.为了体现公平公正原则，每年高考都有严格的数据防泄密措施。以下哪项是无效的数据保密手段？A、封闭出卷、封闭阅卷B、试卷密封，运输过程全监控C、考生个人信息必须填入密封线以内，否则答卷无效D、出题完毕后出题组统一离场，不得交头接耳E、试卷交由甲级国家秘密载体印制资质的单位印刷答案：D90.在单点登录（SSO）中，为什么采用SSL进行用户、应用系统和认证服务器之间的通信？A、提高用户体验B、加快应用系统的响应速度C、减小敌手截获和窃取信息的可能性D、增加数据的传输效率答案：C91.在多数不诚实设置中，协议不能达到公平性A、TRUEB、FALSE答案：A92.在ZigBeeMAC安全中，MAC安全帧不包括A、报头B、报尾C、负载D、帧内容答案：C93.中间人攻击是指攻击者在用户和身份验证服务器之间插入自己的设备或软件，以截获和篡改身份验证信息。以下哪种是中间人攻击的示例？A、密码猜测/暴力破解攻击B、跨站点脚本（XSS）攻击C、侧信道攻击D、令牌劫持攻击答案：D94.POW是指（B）A、权益证明B、工作量证明C、零知识证明D、以上都不是答案：B95.ZigBee根据服务与需求使多个器件之间进行通信()A、物理层B、MAC层C、网络/安全层D、支持/应用层答案：A96.网络社会工程学攻击利用了哪些原理？A、心理学和社交技巧B、网络传播和信息交换C、病毒和恶意软件的编写和传播D、以上都不是答案：A97.令牌劫持攻击是指攻击者获取合法用户的身份验证令牌或会话标识符，并使用它们来冒充该用户进行身份验证。以下哪种是令牌劫持攻击的示例？A、密码猜测/暴力破解攻击B、重放攻击C、中间人攻击D、侧信道攻击答案：B98.《中华人民共和国数据安全法》所称数据，是指任何以电子或者其他方式对信息的记录。其中数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障（）状态的能力。A、持续安全B、持续稳定C、部分安全D、部分稳定答案：A99.认证服务器在单点登录（SSO）过程中的主要职责是什么？A、生成访问票据并存放在Cookie中B、验证用户的登录请求并确认其合法性C、建立安全访问通道与应用系统通信D、检查Cookie的有效性并进行验证答案：B100.在网络社会工程学攻击中，攻击者通常试图通过哪些方式来欺骗目标？A、发送虚假的电子邮件、短信或其他通信形式B、利用人际交往或其他社交技巧来获取目标的信任和信息C、伪装成授权人员或合法用户以获取目标系统或机构的访问权限D、以上都是答案：D101.（）以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划，加大投入，开展工作绩效考核评价A、地市级B、区县级C、省部集D、重要省会及部分行政区域答案：A102.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，按照规范的风险评估实施流程，下面哪个文档应当是风险要素识别阶段的输出成果()A、《风险评估方案》B、《需要保护的资产清单》C、《风险计算报告》D、《风险程度等级列表》答案：B103.任何组织、个人收集数据，应当采取（）的方式，不得窃取或者以其他非法方式获取数据。A、合法、正当B、合规、正当C、合法、恰当D、合规、恰当答案：A104.大数据应用所采用的技术有:()A、大规模存储与大规模计算B、数据的清洗与分析处理C、结合数学建模与人工智能D、都正确答案：D105.要防止网络社会工程学攻击，以下哪项是必要的？A、使用复杂的密码，避免使用生日、电话号码等容易被猜到的信息作为密码。B、安装并更新反病毒软件、防火墙等安全软件可以有效防止网络攻击和恶意软件入侵。C、教育员工，提高员工对网络社会工程学攻击的认识和防范意识。D、以上都是答案：D106.在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、（）或者公民、组织合法权益的，（）。A、公共利益，依法追究法律责任B、国家利益，依法追究法律责任C、公共利益，不能追究法律责任D、国家利益，不能追究法律责任答案：A107.对计算机信息系统中发生的案件，有关使用单位应当在（）内向当地县级以上人民政府公安机关报告。()A、12小时B、24小时C、48小时D、72小时答案：B108.安全网关产品主要通过什么方式对网络通信连接进行访问控制？A、利用网络数据包信息和威胁特征库B、使用加密算法对数据进行加密C、监控用户行为并进行分析D、建立虚拟专用网络答案：A109.访问控制技术通过对访问的申请、批准和撤销的全过程进行有效控制，从而确保什么样的访问才能给予批准？A、合法用户的非法访问B、非法用户的合法访问C、合法用户的合法访问D、非法用户的非法访问答案：C110.违反《中华人民共和国数据安全法》第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处（）罚款。A、五千元以上一万元以下B、一万元以上十万元以下C、五万元以上五十万元以下D、二十万元以上一百万元以下答案：B111.《中华人民共和国民法典》规定，()的个人信息受法律保护。A、中国人民B、中国公民C、自然人D、法人答案：C112.风险评估过程一般应包括？()A、风险分析B、风险识别C、风险评价D、以上都是答案：D113.国家对计算机信息系统安全专用产品的销售实行（）制度。具体办法由公安部会同有关部门制定。()A、登记备案B、注册C、许可证D、核准答案：C114.以下适用《中华人民共和国网络安全法》说法正确的是.A、关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的重要数据的出境安全管理B、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理C、关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的一般数据的出境安全管理D、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的一般数据的出境安全管理答案：B115.下列哪项内容描述的是缓冲区溢出漏洞?A、通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷答案：C116.关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订(),明确安全和保密义务与责任。A、保密合同B、安全保密协议C、安全责任条款D、安全服务合同答案：B117.在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人A、无论任何情况下都不能公开信息B、按照国家有关规定给予表彰C、处以五十万元以上一百万元以下的罚款D、按法律处以十万元以上五十万元以下的罚款答案：B118.以下关于等级保护的地位和作用的说法中不正确的是()A、是国家信息安全保障工作的基本制度、基本国策。B、是开展信息安全工作的基本方法。C、是提高国家综合竞争力的主要手段。（正确答案）D、是促进信息化、维护国家信息安全的根本保障。答案：C119.以下关于政务数据描述错误的是。A、指政府部门及法律法规授权具有行政职能的组织在履行职责过程中生成或获取的的数据。B、政务数据类型包括文字、数字、图表、图像、音视频等。C、政务数据包括政务部门直接或者通过第三方依法采集、依法授权管理的和因履行职责需要依托政务信息系统形成的数据。D、政务数据中包含的个人信息可以直接参与数据交易，作为政府的新经济营收增长创新模式。答案：D120.自2017年爆出幽灵漏洞之后，2021年又爆出熔断漏洞，常见CPU无一幸免，该漏洞导致数据泄露的原理是（）A、主板内存泄露B、CPU预测执行的机制可能导致数据泄露C、Windows系统下的缺陷导致的缓冲区溢出D、Linux下未能内存隔离导致数据可能泄露答案：B121.以下哪种行为不适用《个人信息保护法》？()A、在中国境内因商业服务处理自然人个人信息；B、在中国境外以向境内自然人提供产品或者服务为目的处理境内自然人个人信息；C、在中国境外分析、评估境内自然人的行为；D、在中国境内因个人事务处理自然人个人信息。答案：D122.根据《征信业管理条例》的规定，金融信用信息基础数据库接收从事信贷业务的机构按照规定提供的（）。()A、信贷信息B、信用信息C、不良信息D、纳税信息答案：A123.以下行为存在信息泄露隐患的是()?A、打印文件后删除打印机缓存内容B、使用碎纸机粉碎看过的重要资料C、为方便办公拍摄屏幕D、数据在U盘加密处理答案：C124.数据脱敏中无效化的方法是什么？A、数据加密B、数据替换C、数据截断或隐藏D、数据备份答案：C125.在大数据关键技术中，Hadoop的分布式文件系统HDFS属于大数据（）。A、存储技术B、分析技术C、并行分析技术D、挖掘技术答案：A126.省级以上人民政府应当将（）发展纳入本级国民经济和社会发展规划.A、信息经济B、智慧经济C、数字经济D、数据经济答案：C127.以下Windows系统的账号存储管理机制SAM（SecurityAccoumtsManager）的说法哪个是正确的：A、存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性B、存储在注册表中的账号数据administrator账户才有权访问，具有较高的安全性C、存储在注册表中的账号数据任何用户都可以直接访问，灵活方便D、存储在注册表中的账号数据只有System账号才能访问，具有较高的安全性答案：D128.区块链是一种：A、分布式数据库技术B、中心化数据库技术C、人工智能算法D、云计算技术答案：A129.数据的单位，从小到大依次排序正确的是？A、TB<GB<MB<KBB、MB<GB<TB<PBC、PB<TB<MB<GBD：MB<TB<EB<GB答案：B130.经济合作与发展组织()在下列哪一年发布《隐私保护和跨境个人数据流动指南》()，鼓励数据跨境和自由流动。()A、1967年B、1968年C、1990年D、1980年答案：D131.Oracle中的三种系统文件分别是()A、数据文件DBFB、控制文件CTLC、日志文件LOGD、归档文件ARC答案：C132.《数据安全法》维护数据安全，应当坚持(),建立健全(),提高()。A、数据安全治理体系，国家安全观，数据安全治理体系B、国家安全观，数据安全治理体系，数据安全保障能力C、数据安全保障能力，数据安全治理体系，国家安全观D、国家安全观，数据安全保障能力，数据安全治理体系答案：B133.在进行数据校验时，以下哪个不是推荐的做法？A、使用白名单净化数据B、接受所有用户输入C、使用黑名单剔除特定字符D、对数据进行编码或替换答案：B134.国家大力推进电子政务建设，提高政务数据的科学性、（）、时效性，提升运用数据服务经济社会发展的能力。A、公平性B、创新性C、便民性D、准确性答案：D135.营者发现使用的网络产品（）应当及时采取措施消除风险隐患，涉及重大风险的应当按规定向有关部门报告A、服务存在安全缺陷B、收益未达到运营者期望C、使用了最新的支付系统D、无法从境外网络访问答案：A136.数据安全风险评估中，哪些因素不是评估的重点？A、数据泄露的可能性B、数据处理的合规性C、企业员工的个人喜好D、数据访问的控制措施答案：C137.重放攻击是指攻击者截获合法用户的身份验证流量，并在稍后的时间重新发送该流量，以冒充合法用户进行身份验证。以下哪种是重放攻击的示例？A、跨站点脚本（XSS）攻击B、令牌劫持攻击C、生物特征欺骗攻击D、社会工程学攻击答案：B138.下列关于信息系统生命周期中安全需求说法不准确的是：A、明确安全总体方针，确保安全总体方针源自业务期望B、描述所涉及系统的安全现状，提交明确的安全需求文档C、向相关组织和领导人宣贯风险评估准则D、对系统规划中安全实现的可能性进行充分分析和论证答案：C139.从安全角度看，下面哪项是网络购物中不好的习惯：A、计算机上的系统不进行升级B、为计算机安装病毒查杀和安全加固方面的软件C、设置只能下载和安装经过签名的，安全的ActiveX控件D、浏览器时设置不在计算机中保留网络历史纪录和表单数据答案：A140.数据安全风险评估报告应包含哪些内容？A、评估人员的个人信息B、风险评估的具体方法和工具C、风险评估的结果和建议措施D、企业的商业机密信息答案：C141.以下哪一行为，符合国家关于信息处理的要求？()A、甲利用作为银行职员的便利为境外刺探、非法提供银行金融数据B、甲银行APP软件未经客户明确同意，擅自收集客户的人脸信息C、甲银行柜员乙为客户办理业务需要，经过客户同意，按照银行流程扫描客户身份证原件D、甲公司要求银行提供该公司员工乙的支付劳务工资记录，银行未经审查直接向甲公司提供答案：C142.根据《数据安全法》的规定，下列数据中不属于国家核心数据？()A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据答案：D143.ApacheWeb服务器的配置文件一般位于/usr／local／apache／conf目录，其中用来控制用户访问Apache目录的配置文件是：A、httpd.confB、srlconfC、access．confD、Inet.conf答案：A144.开展数据安全风险评估，以下哪项不是风险评估的主要方法？A、定性评估B、定量评估C、主观臆断D、综合评估答案：C145.在进行数据安全风险评估时，应重点关注哪些数据？A、所有类型的数据B、敏感数据C、公开数据D、过期数据答案：B146.日本安全研究员与密歇根大学利用激光攻击知名厂商的智能音响与语音识别软件，从5米到110米范围上述设备与软件无一幸免，这种攻击（）A、属于物理攻击B、证明了目前的语音识别设备其实存在很大安全隐患C、利用了波的特性，波的特征可以被模仿D、目前没有很好的防御手段E、以上都对答案：E147.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行()网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。A、一次B、二次C、三次D、四次答案：A148.以下哪项不是身份的必要特点？A、唯一性B、可复制性C、可变性D、持久性答案：B149.数据校验中，推荐使用哪种策略来接受数据？A、黑名单策略B、白名单策略C、随机策略D、混合策略答案：B150.下面哪个模型和软件安全开发无关（）？A、微软提出的“安全开发生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成为软件开发必须的部分（BuildingSecurityIN，BSI）”C、OWASP维护的“软件保证成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF）”答案：D151.区块链信息服务提供者开发上线()的，应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。()A、新产品B、新应用C、新功能D、以上都需要答案：D152.物联网中的安全测试是用于什么目的？A、发现物联网设备和系统的安全漏洞B、测试物联网设备的性能指标C、测试物联网设备的可用性D、评估物联网设备的制造成本答案：A153.根据《网络安全法》的规定，（）应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、电信运营商B、科研机构C、外包服务商D、网络运营者答案：D154.以下哪种访问控制模型是基于一组定义良好的属性规则来确定用户对资源的访问权限？A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、事实授权访问控制模型(FBA)D、基于属性的访问控制模型(ABAC)答案：D155.社会工程学攻击是指攻击者通过欺骗、诱骗或操纵用户来获取其身份验证凭据。以下哪种不属于社会工程学攻击的示例？A、钓鱼网站B、重放攻击C、电话欺诈D、欺骗性电子邮件答案：B156.对于数据安全防护，访问权限管理是一项良好的安全实践，以下访问权限控制措施中合适的是：A、严格管理数据库权限B、严格管理运维账号权限C、最好遵循三权分立原则D、对服务器主机登录权限做管控E、以上都对答案：E157.URL过滤（URLFilter），一般简称为URLF，是指对用户访问的URL进行控制，对用户访问的Web资源执行允许或禁止操作。A、TRUEB、FALSE答案：A158.K-匿名模型的实施，使得观察者无法以高于1/k的置信度通过准标识符来识别用户()A、TRUEB、FALSE答案：A159.涉密人员离岗、离职前，应当将所保管和使用的国家秘密载体全部清退，并（）。A、登记销毁B、订卷归档C、办理移交手续D、不一定办理移交手续答案：C160.对于数字证书而言，一般采用的是哪个标准？A、ISO/IEC1540B、802.11C、GB/T20984D、X.509答案：D161.一份文件为秘密级，保密期限是10年，标志形式应当是()A、秘密10年B、秘密★C、秘密★10年D、秘密●10年答案：C162.民法调整平等主体的（）、法人和非法人组织之间的人身关系和财产关系。A、人民B、公民C、居民D、自然人答案：D163.《中华人民共和国数据安全法》自2021年9月1日起施行。依据该法，下列说法错误的是A、省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划B、国家工业和信息化主管部门负责国家数据安全工作的决策和议事协调C、国家建立数据分类分级保护制度，对数据实行分类分级保护D、从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源答案：B164.数据安全风险评估是指：A、对数据安全进行全面评估和分析的过程B、对数据网络设备进行性能测试的过程C、对数据网络连接进行速度测试的过程D、对数据网络用户进行身份验证的过程答案：A165.以下哪种访问控制模型是基于定义的访问控制策略来控制对资源的访问权限？A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、基于策略的访问控制模型(PBAC)答案：D166.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送数据清单。A、对B、错答案：B167.某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是：A、模拟正常用户输入行为，生成大量数据包作为测试用例B、数据处理点、数据通道的入口点和可信边界点往往不是测试对象C、监测和记录输入数据后程序正常运行的情况D、深入分析测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析答案：C168.以下选项不属于数据库隐私度量标准和位置隐私度量标准的是A、隐私保护度B、数据的可用性C、服务质量D、位置信息的可用性答案：D169.在访问控制中，下面哪个措施可以增强系统的身份认证安全性？A、多因素认证B、开放注册C、共享账号和口令D、强制口令重用答案：A170.为降低本国数据传输至境外造成的安全风险，我国针对性的推出了哪项政策法规？()A、《关键信息基础设施安全保护条例》B、《网络安全产品漏洞管理规定》C、《数据出境安全评估办法》D、《信息安全等级保护管理办法》答案：C171.定密责任人在职权范围内承担有关国家秘密的（）工作。A、确定B、变更C、解除D、以上都不正确答案：C172.身份认证是为了确认通信过程中的另一端个体是谁，这个个体可以是哪些类型？A、人B、物体C、虚拟过程D、以上都可以答案：D173.（）负责统筹协调个人信息保护工作和相关监督管理工作A、中国农业银行B、国家网信部门C、国家法律部门D、国家监管机构答案：B174.开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、（），不得损害个人、组织的合法权益。A、公共利益B、国家利益C、私有企业利益D、国有企事业单位利益答案：A175.下列哪项关于区块链的定义是错误的？()A、区块链信息服务是基于区块链技术或系统，通过互联网站、应用程序等网络平台提供的信息服务。B、时间戳是对时间和其他待签名数据进行签名得到的,用于表明数据时间属性的数据C、上链是具有特定功能的区块链组件,可独立运行的单元D、智能合约是存储在分布式账本中的计算机程序,由区块链用户部署并自动执行,其任何执行结果都记录在分布式账本中答案：C176.2020年微盟的离职人员心怀不满，利用远程登录方式销毁了在线电商数据，对微盟的业务与营收造成了严重影响，这件事情警示大家，对账号的管理也应当从严，以下哪项不属于账号生命周期管理。A、账号创建B、岗位变动后账号权限变更C、离职人员账号关停审计D、账号口令强度要求，最好是大小写字母结合数字与特殊字符的复杂口令答案：D177.HTTP定义了很多头字段用于描述HTTP信息，可以针对各种类型的头字段进行过滤。A、TRUEB、FALSE答案：A178.以下哪一个是中国移动的网站：A、B、www.1OO86.cnC、D、答案：C179.人离开后电脑不锁屏可能导致窥屏方式的数据泄密，以下锁定屏幕的方法正确的是（）A、Windows键+LB、Ctrl键+LC、Alt键+LD、Shift键+L答案：A180.以下哪个方面不是数据合规审查中需要关注的要点？()A、数据来源的合规性B、数据使用的合规性C、数据跨境的合规性D、数据价值的评估答案：D181.自主访问控制模型（DiscretionaryAccessControl，DAC）是基于什么原则来控制资源访问权限？A、系统管理员决定B、资源所有者决定C、角色分配决定D、属性规则决定答案：B182.唐朝年间，科举基本上被五姓七家把控，他们世代联姻，利用裙带关系录取考生，武则天于是决定采用糊名制度，“暗考以定其等级”，糊名制度在个人信息处理上是什么措施()A、隔离B、身份验证C、去标识D、差分隐私答案：C183.个人信息处理者利用个人信息进行自动化决策，应当保证决策的（）和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇A、可行性B、自动化C、透明度D、精准度答案：C184.发生以下情况数据安全等级需要升级的是()A、数据汇聚融合B、生产数据脱敏C、特定时间或事件后信息失去原有敏感性D、删除关键字段答案：A185.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在人力资源安全方面实施常规控制，人力资源安全划分为3个控制阶段，不包括哪一项()A、任用之前B、任用中C、任用终止或变化D、任用后答案：D186.运营者的（）对关键信息基础设施安全保护负总责。A、安全运维团队B、信息中心负责人C、生产责任人D、主要负责人答案：D187.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击A、LandB、UDPFloodC、SmurfD、Teardrop答案：D188.物联网中的社交工程是指什么？A、攻击者利用社交媒体进行攻击B、攻击者通过社交网络窃取数据C、攻击者利用人们的社交行为进行欺骗和攻击D、攻击者利用物联网设备进行社交活动答案：C189.国家鼓励开发网络数据安全保护和利用技术，促进（），推动技术创新和经济社会发展。A、国家政务数据开放B、国家数据资源开放C、公共数据资源开放D、敏感数据合理开放答案：C190.未满（）的未成年人为无民事行为能力人，其网络打赏行为是无效的。A、8周岁B、10周岁C、12周岁D、14周岁答案：A191.以下关于定级工作说法不正确的是：()A、确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括（正确答案）专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统（正确答案）B、确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。C、在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。D、新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。答案：A192.《中华人民共和国数据安全法》所称数据，是指任何以电子或者其他方式对（）的记录。A、图片B、文字C、链接D、信息答案：D193.依据ISO27001，信息系统审计是()。()A、应在系统运行期间进行，以便于准确地发现弱电B、审计工具在组织内应公开可获取，以便于提升员工的能力C、发现信息系统脆弱性的手段之一D、只要定期进行，就可以替代内部ISMS审核答案：C194.（）以上的未成年人为限制民事行为能力人实施民事法律行为，由其法定代理人代理或者经其法定代理人同意、追认。A、8周岁B、10周岁C、12周岁D、14周岁答案：A195.ISMS是基于组织的()风险角度建立的。()A、财务部门B、资产安全C、信息部门D、整体业务答案：D196.访问控制中的审计是指：A、对用户行为进行实时监控B、检查和记录用户的访问活动C、对系统进行漏洞扫描D、对网络流量进行流量分析答案：B197.关于风险要素识别阶段工作内容叙述错误的是：A、资产识别是指对需求保护的资产和系统等进行识别和分类B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C、脆弱性识别以资产为核心，针对每一项需求保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估D、确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台答案：D198.我国定义的五大生产要素，包括：A、信息技术B、能源C、数据D、商业机密答案：C199.常见的数据格式有哪些()A、结构化数据B、非结构化数据C、半结构化数据D、以上全是答案：D200.根据《征信业管理条例》的规定，征信机构可以采集以下哪种个人信息？()A、个人的血型信息B、个人的指纹信息C、个人的真实身份信息D、个人的疾病信息答案：C多选题1.《电子合同取证流程规范》（标准号：GB/T39321-2020）中规定的电子取证的基本流程包含()A、申请B、受理C、批准D、验证E、出证答案：ABDE2.以下哪类智慧城市应用中可能存在海量个人信息，需要重点保护A、电子政务系统B、轨道交通系统C、智慧校园一卡通D、智慧气象分析系统答案：ABC3.下列针对数据安全的运维要求中，正确的操作是（）。A、确认需要备份的是哪些数据/数据库，设定备份与归档的策略B、从数据备份的完整性与成本方面的均衡角度考虑，增量备份结合全量备份是一个推荐的措施C、需要对备份后的数据进行恢复校验，以确保恢复后的数据可用D、定期对数据相关风险进行评估答案：ABCD4.常见的非数据化数据有哪些()A、视频B、图片C、日志D、文档答案：ABD5.生物特征认证一般需要经过以下哪些过程？A、图像采集B、特征提取C、图像处理D、特征匹配E、哈希计算答案：ABD6.声纹是生物特征之一，但是不建议利用声纹进行验证，原因是什么？A、可能会有波形拼接方式的攻击攻陷声纹识别系统B、可以利用激光模拟方式攻陷声纹识别系统C、环境噪音会对识别率造成影响D、同一个人的声音易受身体状况、年龄、情绪等的影响，具有易变性答案：ABCD7.使用智能卡身份验证时，智能卡中可能存储的信息有哪些？A、用户名和密码B、数字证书和私钥C、指纹和面部识别信息D、身份证号码和地址信息E、银行卡信息和密码答案：BC8.《中华人民共和国数据安全法》所称数据，是指任何以电子或者其他方式对信息的记录。其中数据处理，包括数据的（）、（）、使用、加工、传输、提供、（）等。A、收集B、存储C、过滤D、公开答案：ABD9.国家保护个人、组织与数据有关的权益，为了促进以数据为关键要素的数字经济发展，以下说法正确的是.A、鼓励数据依法合理有效利用B、鼓励数据依法有效利用C、保障数据依法有序自由流动D、保障数据有序自由流动答案：AC10.某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法错误的是：A、模拟正常用户输入行为，生成大量数据包作为测试用例B、数据处理点、数据通道的入口点和可信边界点往往不是测试对象C、监测和记录输入数据后程序正常运行的情况D、深入分析测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析答案：ABC11.区块链的类型有（ABCD）A、私有链B、公有链C、联盟链D、专有链答案：ABCD12.以下选项属于数据安全分类分级原则的是()A、合法合规B、弃低取高C、动态调整法D、弃高取低答案：ABC13.下列哪些行为可能违反《数据安全法》的规定？A、非法获取数据B、篡改数据C、泄露数据D、合法利用数据答案：ABC14.MFA可以使用哪些因素进行身份验证？A、用户名和密码B、指纹和密码C、面部识别和密码D、短信验证码E、智能卡答案：BCDE15.发现系统0Day漏洞时，不应当（）。A、悄悄修复即可B、应当及时修复C、应当通告上级主管部门及相关监管机构D、查看日志，如果利用该漏洞攻击可以暂时先不修复答案：AD16.以下数据中属于国家核心数据的是()。A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据答案：ABC17.如果App运营者将个人信息用于用户画像、个性化展示等，隐私政策中应说明其（）。()A、存储方式B、运行原理C、应用场景D、可能对用户产生的影响答案：CD18.以下哪些属于国产自主可控联盟链（BD）A、EthereumB、长安链C、HyperledgerFabricD、FISCOBCOS答案：BD19.面向关键信息基础设施开展安全检测评估，发布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技术外包等服务的机构，应当符合有关要求。具体要求由（）制定A、国家网信部门B、国务院有关部门C、提供安全服务的有关上市公司D、信息安全学员答案：AB20.零信任身份验证的优点是什么？A、提高了数据安全性B、减少了IT管理工作量C、提高了用户体验D、减少了成本E、可以防止内部威胁答案：ABE21.以下哪项属于政务数据共享的类型？A、无条件共享B、有条件共享C、不予共享D、部分共享答案：ABD22.以下关于定级工作说法正确的是：()A、确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统B、确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。C、在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。D、新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。答案：BCD23.根据《中华人民共和国个人信息保护法》其他有关规定，下列哪些规定情形不需取得个人同意。A、为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需B、为履行法定职责或者法定义务所必需C、为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需D、为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息答案：ABCD24.《关于促进数据安全产业发展的指导意见》中，促进数据安全产业发展的措施包括哪些？A、加强数据安全技术研发B、培养数据安全人才C、推进数据安全标准制定D、推动数据安全产品和服务创新答案：ABCD25.根据《征信业管理条例》的规定，以下哪些机构发生重大信息泄露等事件的，国务院征信业监督管理部门可以采取临时接管相关信息系统等必要措施，避免损害扩大。()A、经营企业征信业务的征信机构B、经营个人征信业务的征信机构C、金融信用信息基础数据库D、向金融信用信息基础数据库提供或者查询信息的机构答案：BCD26.大数据应用所采用的技术有:()A、大规模存储与大规模计算B、数据的清洗与分析处理C、结合数学建模与人工智能D、以上都不对答案：BC27.如果只对主机地址为5进行访问列表的设置，下面各项正确的有()A、55B、（正确答案）C、any5D、host（正确答案）答案：BD28.windows文件系统权限管理使用访问控制列表机制，以下哪些说法是正确的：A、安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要NTFS文件格式的支持B、由于Windows操作系统自身有大量文件和目录，因此很难对每个文件和目录设置严格的访问权限，为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题C、Windows的ACL机制中，文件和文件夹的权限是主体进行关联的，即文件夹和文件的访问权限信息是写在用户数据库中的D、由于ACL具有很好灵活性，在实际使用中可以为每一个文件设定独立拥护的权限答案：ABD29.零信任安全模型的核心概念是什么？A、信任所有用户和设备B、控制网络边界C、仅限制外部网络访问D、不信任任何用户和设备E、提供广泛的访问权限答案：BD30.4.以下哪些是用户访问管理的主要内容？A、用户登记和认证B、用户权限分配和授权C、访问记录和审计D、权限监测和修改E、用户培训和教育答案：ABCD31.对于数据安全防护，访问权限管理是一项良好的安全实践，以下访问权限控制措施中合适的是：A、严格管理数据库权限B、严格管理运维账号权限C、最好遵循三权分立原则D、对服务器主机登录权限做管控答案：ACD32.关于源代码审核，下列说法错误的是：A、人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点B、源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定位可能导致安全弱点的薄弱之处C、使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核D、源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的薄弱之处答案：ABC33.利用“网络爬虫技术”获取公开信息时，应（）。()A、注意目标网站的Robots协议的具体内容和限制B、使用过程中不需要甄别“网络爬虫”收集的信息的权属C、严格管控数据采集的范围，不超范围采集D、涉及个人信息的需慎重评价答案：ACD34.风险评估工具的使用在一定程度上解决了手动评佑的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛使用，根据在风险评估过程中的主要任务和作用愿理，以下属于信息系统风险评估工具的是():A、风险评估与管理工具B、系统基础平台风险评估工具C、风险评估辅助工具D、环境风险评估工具答案：ABC35.以下哪些选项属于《个人信息保护法》的目的？()A、保护个人信息权益；B、规范个人信息处理活动；C、促进个人信息合理利用；D、推动个人信息数据无限制跨境流动。答案：ABC36.按照部署方式和服务对象可将云计算划分为A、公有云B、私有云C、混合云D、国有云答案：ABC37.运营者应当保障专门安全管理机构的运行经费、并()A、配备相应的人员B、开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与C、购买指定安全厂商的安全服务D、鼓励员工直接进行漏洞攻击测试答案：AB38.关于表分区的说法正确的有()A、表分区存储在表空间中（正确答案）B、表分区可用于任意的数据类型的表C、表分区不能用于含有自定义类型的表（正确答案）D、表分区的每个分区都必须具有明确的上界值答案：AC39.符合下列哪些情况下，个人信息处理者就应当按照《个人信息保护法》的规定设置专职的个人信息保护负责人和个人信息保护工作机构？()A、主要业务涉及个人信息处理，且从业人员规模大于200人B、处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息C、处理超过10万人的个人敏感信息的D、以上全部情况均无需设置专职的个人信息保护负责人和个人信息保护工作机构答案：ABC40.下列关于收集数据说法错误的是.A、通过非正当技术手段获取数据B、应当采取合法、正当的方式C、不得窃取或者以其他非法方式获取数据。D、公安部门可以窃取或者以其他非法方式获取数据。答案：AD41.你是一名IT公司的工作人员，你们公司有企业微信作为内部通讯工具。今天你收到QQ好友添加请求，显示为IT部门同事需要通过QQ远程协助对你的电脑进行升级，你应该如何处理？A、通过好友请求并开启远程协助B、通过企业微信确认真实性C、绝对不能在聊天中透露个人及公司信息，但可以让其远程协助处理问题D、拒绝并向IT部门反馈E、先通过QQ好友请求，向对方发起QQ视频通话，确认身份后方可提供远程协助答案：BD42.()等部门在各自职责范围内负责相关网络安全保护和监督管理工作A、国务院公安B、国家保密行政管理C、国家商业管理中心D、国家密码管理答案：ABD43.根据《个人信息保护法》规定，以下哪些情况下采集敏感个人信息无需取得个人的同意？()A、法院为了审理案件而采集B、公安机关为了侦查案件而采集C、检察机关为了监督案件而采集D、行政机关为了本机关宣传而采集答案：ABC44.当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中，哪些与应用软件漏洞成因有关：A、传统的软件开发工程未能充分考虑安全因素B、开发人员对信息安全知识掌握不足C、相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞D、应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞答案：ABD45.在《基础电信企业数据分类分级方法》中指出，将基础电信企业的数据分为哪几类()A、公民个人数据B、用户相关数据C、通用数据D、企业自身数据答案：ABCD46.根据《工业和信息化领域数据安全管理办法（试行）》，企业在处理重要数据时，应如何确保数据安全？A、采取必要的数据加密措施B、定期进行数据备份和恢复C、随意处置数据D、建立数据安全监测和预警机制答案：ABD47.访问控制列表可实现下列哪些要求()A、允许/16网段的主机可以使用协议HTTP访问（正确答案）B、不让任何机器使用Telnet登录（正确答案）C、使某个用户能从外部远程登录D、允许在晚上8:00到晚上12:00访问网络（正确答案）答案：ABD48.以下关于数据库常用的安全策略理解正确的是：A、最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作B、最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度地共享数据库中的信息C、粒度最小的策略，将数据库中数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度D、按内容存取控制策略，不同权限的用户访问数据库的不同部分答案：ACD49.安全人员发现了针对服务器的口令暴破攻击，于是决定对设置帐户锁定策略。他设置了以下账户锁定策略如下：3次无效登陆锁定账户；锁定时间30分钟；复位账户锁定计数器5分钟；以下关于以上策略设置后的说法哪些错误的A、设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错的密码的用户就会被锁住B、如果正常用户部小心输错了3次密码，那么该账户就会被锁定30分钟，30分钟内即使输入正确的密码，也无法登录系统C、如果正常用户不小心连续输入错误密码3次，那么该拥护帐号被锁定5分钟，5分钟内即使交了正确的密码，也无法登录系统D、攻击者在进行口令破解时，只要连续输错3次密码，该账户就被锁定10分钟，而正常拥护登陆不受影响答案：ACD50.关键信息基础设施安全保护坚持(),强化和落实关键信息基础设施运营者（以下简称运营者）主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。()A、综合协调B、分工负责C、依法保护D、实时监测答案：ABC51.公安机关对计算机信息系统安全保护工作行使下列监督职权？()A、制定安全等级的划分标准和安全等级保护的具体办法B、监督、检查、指导计算机信息系统安全保护工作C、查处危害计算机信息系统安全的违法犯罪案件D、履行计算机信息系统安全保护工作的其他监督职责答案：BCD52.保护工作部门应当建A、建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度B、及时掌握本行业、本领域关键信息基础设施运行状况、安全态势C、确认部门购买了指定安全厂商的服务和产品D、预警通报网络安全威胁和隐患，指导做好安全防范工作答案：ABD53.任何个人和组织发现危害关键信息基础设施安全的行为，有权向（）部门进行举报。A、网信B、公安C、行业主管D、监管部分答案：ABCD54.下列属于智能交通实际应用的是A、不停车收费系统B、先进的车辆控制系统C、探测车辆和设备D、先进的公共交通系统答案：ABD55.下列属于传感设备的是A、RFIDB、红外感应器C、全球定位系统D、激光扫描器答案：ABCD56.以下哪些政务数据不得开放？（）A、涉及国家秘密B、商业秘密C、个人隐私D、领导任命前的公示答案：ABC57.存储介质的清除或销毁指通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理，主要包括以下哪些内容？()A、识别要清除或销毁的介质B、确定存储介质处理方法和流程C、处理方案审批D、存储介质处理和记录答案：ABCD58.在零信任安全模型中，访问控制决策基于哪些因素？A、用户身份验证状态B、设备类型C、用户地理位置D、应用程序版本E、用户的政治观点答案：ABC59.一下属于数据匿名化的技术手段的是()A、数据掩蔽B、数据混排C、数据扰动D、数据抽样答案：ABCD60.若数据处理者未按照相应监管要求进行数据跨境传输，视情节轻重可能收到下列哪些处罚?()A、警告B、罚款C、停业整顿D、吊销相关业务许可证或吊销营业执照答案：ABCD61.一旦遭到破坏、丧失功能或者数据泄露，可能严重危害（）的，应当纳入关键信息基础设施保护范围A、国家安全B、国计民生C、公共利益D、个人收入答案：ABC62.上市公司对于数据的公开有严格要求，以下选项哪些不是上市公司对外披露数据的合理手段()A、在财报未披露前先面向社会公开，彰显公开透明的原则B、遵循信息披露制度，上市公司必须披露定期报告C、不得对外公示财报，以保守商业秘密D、按照法定要求向证监会以及投资者披露财务经营等会计信息答案：AC63.数据安全能力成熟度PA体系包含哪些方面()A、数据全生命周期过程域B、数据生存周期过程域C、基础过程域D、通用过程域答案：BD64.履行个人信息保护职责的部门依法履行职责，当事人（）A、应当予以协助B、拒绝C、阻挠D、应当予以配合答案：AD65.国际电信联盟（ITU）发布名为《InternetofThings》的技术报告，其中包含A、物联网技术支持B、市场机遇C、发达中国的机遇D、面临的挑战和存在的问题答案：ABD66.最小特权管理原则的目标是什么？A、防止特权滥用B、确保特权拥有者具备完成任务所需的权限C、限制特权拥有者的权限，防止其完成任务所需的额外权限D、提供特权拥有者完全自由的权限管理E、保护系统免受外部攻击答案：AC67.下列哪些是访问控制的主要产品？A、4A系统B、安全网关C、系统安全增强D、防火墙E、数据库管理系统答案：ABCDE68.IPv4协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联互通，仅依