数据安全管理知识竞赛（省赛）考试题及答案

数据安全管理知识竞赛（省赛）考试题及答案单选题1.组织建立业务连续性计划（BCP）的是为了在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；A、正确B、错误参考答案：A2.组织第一次建立业务连续性计划时，最为重要的活动是：A、制定业务连续性策略B、进行业务影响分析C、进行灾难恢复演练D、构建灾备系统参考答案：A3.字典攻击是指攻击者使用常见的用户名和密码组合进行尝试，以猜测用户的凭据。以下哪种是字典攻击的示例？A、密码猜测/暴力破解攻击B、社会工程学攻击C、中间人攻击D、撞库攻击参考答案：A4.自主访问控制模型（DAC）的访问控制可以用访问控制表（ACL）来表示，下面选项中说法正确的是（）。A、CL是Bell—LaPadula模型的一种具体实现B、ACL在删除用户时，去除该用户所有的访问权限比较方便C、ACL对于统计某个主体能访问哪些客体比较方便D、ACL管理或增加客体比较方便参考答案：B5.准备登陆电脑系统时，发现有人在您的旁边看着，正确做法是（）A、不理会对方B、提示对方避让C、报警D、关机后离开参考答案：B6.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。A、对B、错参考答案：A7.重要涉密部门的人员选配，应当坚持（）的原则，并定期进行考核，不适合的应及时调整。A、谁选配谁负责B、先审后用C、先选后训D、边审边用参考答案：B8.中国现行跨境法律监管体系由“1+3+N”组成，其中“1”代表下列哪项法律？（）A、《国家安全法》B、《网络安全法》C、《数据安全法》D、《个人信息保护法》参考答案：A9.中国物联网安全法规定了哪些网络安全事件的报告义务？A、重大网络安全事件B、跨境数据传输的网络安全事件C、物联网设备的网络安全事件D、所有以上选项参考答案：D10.智能合约是一种：A、基于物理合同的数字化版本B、编程代码，用于在区块链上执行合同条款C、虚拟货币交易所D、区块链节点的身份验证机制参考答案：B11.直接可识别性的例子如姓名、身份ID等基本身份信息，下列哪一项不属于直接可识别性的例子？（）A、指纹B、声纹C、虹膜D、牙模参考答案：D12.掌握超过100万用户个人信息的网络平台运营者于（）上市，必须向网络安全审查办公室申报网络安全审查。A、国内B、国外C、香港D、上海参考答案：B13.在无线网络安全威胁中不属于对传递信息的威胁的是A、侦听B、篡改C、抵赖D、屏蔽参考答案：D14.在网络社会工程学攻击中，以下哪项是最常见的欺骗方式？A、假冒网站B、假冒身份C、钓鱼攻击D、社交工程攻击参考答案：C15.在网络环境下，身份是用来区别于其他个体的一种标识，必须具有什么特点？A、唯一性B、可复制性C、可变性D、随机性参考答案：A16.在访问控制中，下面哪个措施可以增强系统的身份认证安全性？A、多因素认证B、开放注册C、共享账号和口令D、强制口令重用参考答案：A17.在访问控制中，RBAC模型中的用户角色关系是：A、一对一关系B、一对多关系C、多对多关系D、多对一关系参考答案：C18.在访问控制中，RBAC模型中的权限继承是指：A、用户继承角色的权限B、角色继承用户的权限C、角色继承其他角色的权限D、用户继承其他用户的权限参考答案：C19.在访问控制中，RBAC模型中的角色可以与以下哪个概念对应？A、用户组B、文件权限C、认证凭证D、审计日志参考答案：A20.在访问控制中，MAC（MandatoryAccessControl）是指：A、强制访问控制B、自主访问控制C、角色访问控制D、访问控制列表参考答案：A21.在访问控制产品的选择过程中，以下哪个因素应该是最重要的考虑因素？A、产品的售价B、产品的品牌知名度C、产品的功能和特性是否满足需求D、产品的外观设计和用户界面参考答案：C22.在单点登录（SSO）中，为什么采用SSL进行用户、应用系统和认证服务器之间的通信？A、提高用户体验B、加快应用系统的响应速度C、减小敌手截获和窃取信息的可能性D、增加数据的传输效率参考答案：C23.在LoRaWAN网络中，终端设备如何验证网络服务器的身份A、使用设备的唯一标识B、通过Wi—Fi连接进行验证C、不需要验证D、通过手机应用进行验证参考答案：A24.在（）的领导下建立了国家网络安全审查工作机制。A、中央网络安全和信息化委员会B、中华人民共和国国家安全部C、中华人民共和国工业和信息化部D、中华人民共和国公安部参考答案：A25.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。A、对B、错参考答案：A26.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行（）次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。（）A、一B、二C、三D、四参考答案：A27.运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，应当对以下哪个部门依法开展的关键信息基础设施网络安全检查工作应当予以配合？A、应急管理部B、工信部C、大数据局D、公安、国安、保密行政管理、密码管理参考答案：D28.应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略，以下不属于数据库防护策略的是？A、安装最新的数据库软件安全补丁B、对存储的敏感数据进行加密C、不使用管理员权限直接连接数据库系统D、定期对数据库服务器进行重启以确保数据库运行良好参考答案：D29.应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是（）A、身份鉴别，应用系统应对登陆的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源B、安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，增加访问C、剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区的信息被非授权的访问D、机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等参考答案：D30.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是（）。A、信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施。B、应急响应具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作C、应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作：安全事件发生时的正确指挥、事件发生后全面总结D、既包括预防性措施，也包括事件发生后的应对措施参考答案：C31.银行保险机构应考虑重要外包终止的可能性，并制定退出策略。退出策略应至少明确的内容不包括？（）A、可能造成外包终止的情形B、外包终止的业务影响分析C、终止交接安排D、其它对机构业务运营具有重要影响的情形参考答案：D32.以下做法错误的是：（）A、严禁涉密系统一机两网B、涉密硬盘报废后可以格式化后废品回收C、用于连接互联网的PC不得处理涉密信息D、密级高的数据不得向非密系统导入参考答案：B33.以下适用《中华人民共和国网络安全法》说法正确的是：A、关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的重要数据的出境安全管理B、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理C、关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的一般数据的出境安全管理D、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的一般数据的出境安全管理参考答案：B34.以下哪种访问控制模型是基于用户角色分配来确定用户的访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：C35.以下哪种访问控制模型是基于用户的个人身份来授权资源访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：A36.以下哪种访问控制模型是基于系统管理员定义的安全策略和标签来决定资源的访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：B37.以下哪种访问控制模型是基于定义的访问控制策略来控制对资源的访问权限？A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、基于策略的访问控制模型（PBAC）参考答案：D38.以下哪一行为，符合国家关于信息处理的要求？（）A、甲利用作为银行职员的便利为境外刺探、非法提供银行金融数据B、甲银行APP软件未经客户明确同意，擅自收集客户的人脸信息C、甲银行柜员乙为客户办理业务需要，经过客户同意，按照银行流程扫描客户身份证原件D、甲公司要求银行提供该公司员工乙的支付劳务工资记录，银行未经审查直接向甲公司提供参考答案：C39.以下哪一个是中国移动的网站：A、B、www。1OO86。cnC、D、参考答案：C40.以下哪些政务数据不得开放？。A、涉及国家秘密B、商业秘密C、个人隐私D、以上全部都是参考答案：D41.以下哪些信息不属于个人信息？（）A、个人医疗记录B、个人支付凭证C、个人位置信息D、匿名化的犯罪记录参考答案：D42.以下哪项是降低社会工程学攻击风险的有效措施？A、增加网络防火墙的配置B、提供员工教育和培训C、定期进行漏洞扫描和渗透测试D、使用强密码保护账户参考答案：B43.以下哪项不属于政务数据共享的类型？A、无条件共享B、有条件共享C、不予共享D、部分共享参考答案：D44.以下哪项不是身份的必要特点？A、唯一性B、可复制性C、可变性D、持久性参考答案：B45.以下行为违反《网络安全审查办法》的是（）。A、不利用提供产品和服务的便利条件非法获取用户数据B、不非法控制和操纵用户设备C、不中断产品供应或者必要的技术支持服务D、关键信息基础设施运营者采购网络产品和服务不主动申报网络安全审查参考答案：D46.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A）A、突出重要系统，涉及所有等级，试点示范，行业推广，国家强制执行。B、利用信息安全等级保护综合工作平台使等级保护工作常态化。C、管理制度建设和技术措施建设同步或分步实施。D、加固改造缺什么补什么，也可以进行总体安全建设整改规划。参考答案：A47.以下关于UDP协议的说法，哪个是错误的？A、具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击B、UDP包头中包含了源端口号和目的端口号，因此可通过端口号将数据包送达正确的程序C、相比TCP，UDP开销更小，因此常用来传送如视频这一类大流量需求的数据D、UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频通话这类需要保护隐私的数据参考答案：D48.以下关于TCP协议的说法，哪个是正确的？A、相比UDP，TCP传输更可靠，并具有更高的效率B、TCP协议包头中包含了源IP和目的IP，因此TCP协议负责将数据传送到正确的主机C、TCP协议具有流量控制、数据校验、超时重发、接收确认等机制，因此能完全可以替代IP协议D、TCP协议虽然高可靠，但是比UDP协议过于复杂，传输效率要比UDP低参考答案：D49.以下不属于关键信息基础设施重要行业和领域的是？A、金融B、电子政务C、超过百万用户级别的电商平台D、国防科技工业参考答案：C50.以下不是《电子合同取证流程规范》（标准号：GB/T39321—2020）中规定的电子取证的原则的（）A、合法有效B、主观真实C、完整D、防篡改参考答案：B51.以下4种对BLP模型的描述中，正确的是（）：A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、LP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”参考答案：B52.以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定A、省级B、市级C、县级D、区级参考答案：C53.依据ISO27701，个人信息系统用来存储个人信息的方式为？（）A、一个文件存放一个人的信息B、数据库统一管理C、电子表格管理D、存放在内存参考答案：A54.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度。A、对B、错参考答案：A55.业务系统运行中异常错误处理合理的方法是：A、让系统自己处理异常B、调试方便，应该让更多的错误更详细的显示出来C、捕获错误，并抛出前台显示D、捕获错误，只显示简单的提示信息，或不显示任何信息参考答案：D56.亚太经济合作组织（以下简称“APEC”）在下列哪一年通过了《跨境隐私规则体系》（《CrossBorderPrivacyRulesSystem》，以下简称“CBPR”）？（）数据A、2010年B、2003年C、2008年D、2013年参考答案：D57.选择身份验证类型时，企业需要平衡什么？A、用户体验和安全性B、成本和效率C、隐私和安全D、速度和可靠性参考答案：A58.信息系统安全保护等级为3级的系统，应当（）年进行一次等级测评？A、0．5B、1C、2D、3参考答案：B59.信息安全概念经常与计算机安全、网络安全、数据安全等互相交叉笼统的使用。就目前而言，信息安全的内容不包括A、硬件安全B、软件安全C、运行服务安全D、隐私安全参考答案：D60.小王自驾车到一座陌生的城市出差，则对他来说可能最为有用的是A、路况不良B、恶意软件攻击C、车辆碰撞D、音响失效参考答案：D61.下述那项不是区块链中应用的技术（）。A、密码学B、大数据C、共识算法D、P2P网络参考答案：B62.下面哪种情况可以被视为社会工程学攻击的目标？A、数据中心的物理安全B、强密码设置C、员工培训计划D、服务器硬件升级参考答案：C63.下面哪项不是社会工程学攻击的防范措施？A、提供员工教育和培训B、加强物理安全措施C、建立安全文化D、定期评估和审查安全措施参考答案：B64.下面哪个模型和软件安全开发无关（）？A、微软提出的“安全开发生命周期（SecurityDevelopmentLifecycle，SDL）”B、GrayMcGraw等提出的“使安全成为软件开发必须的部分（BuildingSecurityIN，BSI）”C、OWASP维护的“软件保证成熟度模型（SoftwareAssuranceMaturityMode，SAMM）”D、“信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF）”参考答案：D65.下列哪一项不属于数据跨境的场景类型？（）A、数据跨境B、跨境传输C、跨境采集D、跨境访问参考答案：B66.下列哪一规定的颁布被誉为数据领域“哥白尼革命”式的立法，特别注重“数据权利保护”与“数据自由流通”之间的平衡？（）A、《加州隐私权利法》B、《通用数据保护条例》（GDPR）C、《弗吉尼亚州消费者数据保护法》D、《科罗拉多州隐私法案》参考答案：B67.下列哪项内容描述的是缓冲区溢出漏洞？A、通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷参考答案：C68.下列哪项关于区块链的定义是错误的？（）A、区块链信息服务是基于区块链技术或系统，通过互联网站、应用程序等网络平台提供的信息服务。B、时间戳是对时间和其他待签名数据进行签名得到的，用于表明数据时间属性的数据C、上链是具有特定功能的区块链组件，可独立运行的单元D、智能合约是存储在分布式账本中的计算机程序，由区块链用户部署并自动执行，其任何执行结果都记录在分布式账本中参考答案：C69.下列哪个是访问控制中的授权方式？A、访问请求审查B、双因素认证C、单一登录D、加密传输参考答案：A70.下列哪个不是访问控制参考模型的组成要素？A、主体B、参考监视器C、客体D、数据库管理系统参考答案：D71.下列关于信息系统生命周期中安全需求说法不准确的是：A、明确安全总体方针，确保安全总体方针源自业务期望B、描述所涉及系统的安全现状，提交明确的安全需求文档C、向相关组织和领导人宣贯风险评估准则D、对系统规划中安全实现的可能性进行充分分析和论证参考答案：C72.下不属于云计算与物联网融合模式的是A、单中心—多终端模式B、多中心—大量终端模式C、信息应用分层处理—海量终端模式D、单中心—单中端模式参考答案：D73.物联网中的通信技术主要包括哪些？A、蓝牙B、RFIDC、Wi—FiD、所有以上选项参考答案：D74.物联网中的数据备份和恢复为什么重要？A、防止数据丢失和损坏B、加快数据传输速度C、降低数据存储成本D、保护数据的隐私性参考答案：A75.物联网中的固件更新是用于什么目的？A、修复安全漏洞B、提升设备性能C、扩展设备功能D、降低设备成本参考答案：A76.物联网中的安全策略制定应考虑哪些因素？A、风险评估B、合规要求C、技术限制D、所有以上选项参考答案：D77.物联网中的安全保障措施包括以下哪些方面？A、访问控制B、数据加密C、安全审计D、所有以上选项参考答案：D78.物联网安全是指什么？A、保护物联网设备的物理安全B、保护物联网设备免受未经授权的访问和攻击C、保护物联网设备的电源供应D、保护物联网设备的网络连接速度参考答案：B79.我国定义的五大生产要素，包括：A、信息技术B、能源C、数据D、商业机密参考答案：C80.文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确的是：A、组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B、组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容D、多层级的文档体系是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立参考答案：B81.违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处罚款。A、一万元以上二十万元以下B、五万元以上十万元以下C、一万元以上十万元以下D、五万元以上二十万元以下参考答案：C82.违反《中华人民共和国数据安全法》规定，给他人造成损害的，并构成犯罪的，（）A、依法承担民事责任，并追究刑事责任B、不用承担民事责任，但追究刑事责任C、既不用承担民事责任，也不追究刑事责任D、只用承担民事责任，不用追究刑事责任参考答案：A83.违反《中华人民共和国数据安全法》第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处罚款。A、一万元以上十万元以下B、五万元以上一百万元以下C、十万元以上一百万元以下D、二十万元以上二百万元以下参考答案：A84.违反《中华人民共和国密码法》规定，构成犯罪的，依法追究。A、刑事责任B、民事责任C、刑事诉讼D、民事诉讼参考答案：A85.违反《中华人民共和国密码法》规定，给他人造成损害的，依法承担。A、刑事责任B、民事责任C、刑事诉讼D、民事诉讼参考答案：B86.违反《中华人民共和国密码法》第二十九条规定，未经认定从事电子政务电子认证服务的，违法所得的，可以并处违法所得一倍以上三倍以下罚款A、十万元以上B、二十万元以上C、三十万元以上D、五十万元以上参考答案：C87.违反《网络安全法》第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处日以下拘留，可以并处以上以下罚款。A、一日二万元十万元B、五日五万元五十万元C、五日五万元五十万元D、十日四万元二十万元参考答案：C88.为切实服务受重大突发事件影响的客户，支持受影响的个人、机构和行业，银行业金融机构可以采取的措施不包括以下哪一项？（）A、减免受影响客户账户查询、挂失和补办、转账、继承等业务的相关收费B、与受重大影响的客户协商调整债务期限、利率和偿还方式等C、为受重大影响的客户提供续贷服务D、适当延长受重大影响客户的报案时限，减免保单补发等相关费用参考答案：D89.为了防范风险，当事人应当在审查期间按照网络安全审查要求采取的（）措施A、预防和消减风险B、提高服务质量C、降低服务成本D、扩展业务参考答案：A90.为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以下关于渗透测试过程的说法不正确的是A、由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进行系统和数据备份，以便出现问题时可以及时恢复系统和数据B、渗透测试从“逆向”的角度出发，测试软件系统的安全性，其价值在于可以测试软件在实际系统中运行时的安全状况C、渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤D、为了真实有效，深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试参考答案：D91.为降低本国数据传输至境外造成的安全风险，我国针对性的推出了哪项政策法规？（）A、《关键信息基础设施安全保护条例》B、《网络安全产品漏洞管理规定》C、《数据出境安全评估办法》D、《信息安全等级保护管理办法》参考答案：C92.网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取删除措施，防止信息扩散，保存有关记录，并向有关主管部门报告。A、正确B、错误参考答案：B93.网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。A、十万元以上五十万元以下B、二十万以上一百万以下C、五十万以上一百万以下D、四十万以上二百万以下参考答案：A94.网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。A、十万元以上五十万元以下B、二十万元以上一百万元以下C、二十万元以上二百万元以下D、五万元以上五十万元以下参考答案：D95.网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由（）依据各自职责依法处理。A、工业和信息化部、公安部B、公安部、国家安全委员会C、国家互联网信息办公室、国防部D、公安部、国家互联网信息办公室参考答案：A96.网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于（）个月。A、5B、6C、7D、8参考答案：B97.网络安全审查中涉及的数据处理活动不包括数据的。A、公开B、存储C、加工D、售卖参考答案：D98.网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报批准后，依照《网络安全审查办法》的规定进行审查。A、中央网络安全和信息化委员会B、中华人民共和国国家安全部C、中华人民共和国工业和信息化部D、中华人民共和国公安部参考答案：A99.网络安全审查工作机制成员单位、相关部门意见一致的，网络安全审查办公室以（）形式将审查结论通知当事人A、书面B、口头C、电话D、电子邮件参考答案：A100.网络安全审查工作机制成员单位、相关部门意见（）的，网络安全审查办公室以书面形式将审查结论通知当事人A、一致B、不一致C、部分一致D、部分不一致参考答案：A101.网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内，确定是否需要审查并（）通知当事人。A、书面B、口头C、电话D、电子邮件参考答案：A102.网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起个工作日内完成初步审查。A、30B、60C、90D、10参考答案：A103.网络安全审查办公室认为需要开展网络安全审查的，如果应情况复杂，可以延长（）个工作日。A、15B、30C、60D、90参考答案：A104.通信协议要求通信者传输什么信息？A、个人资料B、身份信息C、财务信息D、账号密码信息参考答案：B105.通道劫持是指攻击者通过什么方式获取受害者的通信信息？A、中间人代理攻击B、恶意软件感染C、网络钓鱼诈骗D、盗取用户的登录凭据参考答案：A106.所谓静态口令，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的A、正确B、错误参考答案：A107.数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中数据封装顺序是：A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层参考答案：B108.数据分类和保护的目的是什么？A、限制员工的数据访问权限B、降低数据存储成本C、简化数据管理过程D、保护敏感信息的安全和隐私参考答案：D109.数据的单位，从小到大依次排序正确的是？A、TB《GB《MB《KBB、MB《GB《TB《PBC、PB《TB《MB《GBD、MB《TB《EB《GB参考答案：B110.数据安全防护要求不包括以下哪项？（）A、建立数据安全管理责任和评价考核制度B、严格控制重要数据的使用、加工、传输、提供和公开等关键环节，并采取加密、脱敏、去标识化等技术手段保护敏感数据安全C、采购网络关键设备和网络安全专用产品目录中的设备产品时，应采购通过国家检测认证的设备和产品。D、因业务需要，确需向境外提供数据的，应当按照国家相关规定和标准进行安全评估参考答案：C111.事实授权访问控制模型（Fact—BasedAuthorization，FBA）是基于什么来动态决定用户对资源的访问权限？A、用户属性B、用户历史行为和环境信息C、系统管理员D、用户角色参考答案：B112.身份信息在传输过程中是否可以被恶意篡改？A、可以B、不可以C、取决于网络环境D、取决于身份客体权限参考答案：A113.身份认证中，如何防止身份信息在传输过程中被恶意篡改？A、完全杜绝恶意篡改是不可能的，只能在身份信息被恶意篡改后，接收端可以检测出来。B、可以加密身份信息，在传输过程中解密验证身份信息。C、可以加密身份信息，传输后由发送端解密验证身份信息。D、只要身份信息正确，就可以防止恶意篡改。参考答案：A114.身份认证的目的是什么？A、对事物的资质审查B、对事物真实性的确认C、对事物的合法性的确认D、对事物的权限进行确认参考答案：B115.涉及国家秘密信息的，依照执行。A、国家有关保密规定B、网络安全审查办法C、关键信息基础设施安全保护条例D、中华人民共和国国家安全法参考答案：A116.商用密码清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。A、进口许可和出口管制B、进口许可和出口许可C、进口管制和出口管制D、进口管制和出口许可参考答案：A117.商用密码检测、认证机构违反《中华人民共和国密码法》第二十五条第二款、第三款规定开展商用密码检测认证的，没有违法所得或者违法所得不足三十万元的，可以并处罚款。A、十万元以下B、十万元以上二十万元以下C、二十万元以上三十万元以下D、十万元以上三十万元以下参考答案：D118.商用密码产品检测认证适用的有关规定，避免重复检测认证。A、《中华人民共和国密码法》B、《中华人民共和国数据安全法》C、《中华人民共和国网络安全法》D、《中华人民共和国个人信息保护法》参考答案：C119.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现，不包括哪一项A、物理安全边界、物理入口控制B、办公室、房间和设施的安全保护。外部和环境威胁的安全防护C、在安全区域工作。公共访问、交接区安全D、人力资源安全参考答案：D120.入侵检测技术不能实现以下哪种功能（）。A、检测并分析用户和系统的活动B、核查系统的配置漏洞，评估系统关键资源和数据文件的完整性C、防止IP地址欺骗D、识别违反安全策略的用户活动参考答案：B121.如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）。A、访问控制列表（ACL）B、能力表（CL）C、BLP模型D、Biba模型参考答案：A122.如果APP要将用户数据转移至其他公司，该公司应当（）。（）A、事先告知用户数据转移的目的和方式，并获得用户明示同意B、不需要获得用户同意，因为这些数据属于公司资产C、将用户数据转移后再通知用户D、不需要通知用户，因为这些数据已经匿名化参考答案：A123.任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。A、正确B、错误参考答案：A124.认证服务器在单点登录（SSO）过程中的主要职责是什么？A、生成访问票据并存放在Cookie中B、验证用户的登录请求并确认其合法性C、建立安全访问通道与应用系统通信D、检查Cookie的有效性并进行验证参考答案：B125.人力资源部门使用一套OA系统，用于管理所有员工的各种工资、绩效考核等事宜。员工都可以登录系统完成相关需要员工配合的工作，以下哪项技术可以保证数据的保密性：A、SSL加密B、双因子认证C、加密会话cookieD、IP地址校验参考答案：A126.区块链中的零知识证明（Zero—KnowledgeProof）用于解决什么问题？A、隐私保护B、数据完整性验证C、交易速度优化D、分布式网络安全参考答案：A127.区块链中常用的哈希函数是（）A、MD5B、SHA—256C、SM3D、SHA—3参考答案：B128.区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息，记录备份应当保存不少于（）。（）A、3个月B、6个月C、9个月D、12个月参考答案：B129.区块链是一种：A、分布式数据库技术B、中心化数据库技术C、人工智能算法D、云计算技术参考答案：A130.情感分析是分析一句话是主观的描述还是客观描述，不用分辨其是积极情绪还是消极情绪。A、正确B、错误参考答案：B131.嵌入式系统中的安全芯片是指什么A、专用芯片，用于提供硬件级安全功能B、芯片上的加密引擎，用于执行密码算法C、芯片上的安全存储器，用于保存加密密钥D、芯片上的防火墙，用于阻止外部攻击参考答案：A132.企业应针对数据网络安全设置应急预案与实地演练，下列说法错误的是？（）A、应每两年至少组织开展1次本组织的应急演练。关键信息基础设施跨组织、跨地域运行的，应定期组织或参加跨组织、跨地域的应急演练B、应在应急预案中明确，一旦信息系统中断、受到损害或者发生故障时，需要维护的关键业务功能，并明确遭受破坏时恢复关键业务和恢复全部业务的时间C、应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程D、应急预案不仅应包括本组织应急事件的处理，也应包括多个运营者间的应急事件的处理参考答案：A133.配置如下两条访问控制列表：access—list1permit10。100。10。10。0。255。255access—list2permit10。100。100。1000。0。255。255访问控制列表1和2，所控制的地址范围关系是：（D）A、1和2的范围相同B、1的范围在2的范围内C、2的范围在1的范围内D、1和2的范围没有包含关系参考答案：D134.哪种身份认证方式容易被破解和盗用？（）A、生物特征识别B、智能卡认证C、双因素认证D、用户名和密码参考答案：D135.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是：A、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题B、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大，产生此问题C、网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题D、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题参考答案：D136.某企业实施信息安全风险评估后，形成了若干文挡，下列文挡不应属于“风险评估准备”阶段输出的文档是。A、《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容B、《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容C、《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D、《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容参考答案：C137.某公司开发了一个游戏网站，但是由于网站软件存在漏洞，在网络中传输大数据包时总是会丢失一些数据，如一次性传输大于2000个字节数据时，总是会有几次丢包，可以推断的是（）A、该网站软件存在保密性方面安全问题B、该网站软件存在完整性方面安全问题C、该网站软件存在可用性方面安全问题D、该网站软件存在不可否认性方面安全问题参考答案：B138.某公司的员工，正当他在忙于一个紧急工作时，接到一个电话，被告知系统发现严重漏洞，紧急修复，需提供他的系统管理账户信息”，接下来他的正确做法是（）。A、核实之后，如是真实情况，才可提供账号信息B、诈骗电话，直接挂机C、直接拒绝D、报警参考答案：A139.某电商系统RPO（恢复点目标）指标为1小时。请问这意味着（）A、该信息系统发生重大安全事件后，工作人员应在1小时内到位，完成问题定位和应急处理工作B、信息系统发生重大安全事件后，工作人员应在1小时内完整应急处理工作并恢复对外运行——RTOC、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至少能提供1小时的紧急业务服务能力D、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至多能丢失1小时的业务数据参考答案：D140.某电商网站进入系统设计阶段，为了保证用户账户安全，开发人员决定用户登陆时除了用户名口令认证方式外，另加入基于数字证书的身份认证功能，同时用户口令经算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则：A、最小特权原则B、职责分离原则C、纵深防御原则D、最少共享机制原则参考答案：C141.明朝时期，规定科举考生必须采用统一字体“台阁体”答卷，这在个人信息处理上是什么措施A、身份验证B、去标识C、同态加密D、多方安全计算参考答案：B142.密码可以保障数据安全，但数据安全不能单纯依靠安全的密码算法、密码协议也是重要组成部分。下面描述中，错误的是（）A、在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住的执行步骤，有些复杂的步骤可以不明确处理方式。B、密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行。C、根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信息的人，也可能是敌人和互相完全不信任的人。D、密码协议（Cryptographicprotocol），有时也称安全协议（securityprotocol），是使用密码学完成某项特定的任务并满足安全需求的协议，其末的是提供安全服务。参考答案：A143.秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等全生命周期的每个环节A、正确B、错误参考答案：A144.媒体欺骗是指攻击者通过伪造以下哪种内容来引导目标执行操作？A、文字内容B、图像、视频或音频材料C、网络流量D、加密算法参考答案：B145.利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的，由依法处理。A、国家互联网信息办公室B、工业和信息化部C、国安局D、公安机关参考答案：D146.块链中的跨链技术（Cross—chain）用于解决什么问题？A、区块链的数据隐私保护B、区块链节点的身份验证C、区块链的共识算法优化D、不同区块链之间的数据互通参考答案：D147.口令破解是针对系统进行攻击的常用方法，windows系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁定策略和密码策略，关于这两个策略说明错误的是A、密码策略主要作用是通过策略避免拥护生成弱口令及对用户的口令使用进行管控B、密码策略对系统中所有的用户都有效C、账户锁定策略的主要作用是应对口令暴力破解攻击，能有效地保护所有系统用户应对口令暴力破解攻击D、账户锁定策略只适用于普通用户，无法保护管理员账户应对口令暴力破解攻击参考答案：D148.可以依法使用商用密码保护网络与信息安全。A、公民B、法人C、其他组织D、以上都是参考答案：D149.科举考生答卷采用黑墨水，称为“墨卷”，“墨卷”收拢之后，会统一由抄书吏再用红墨水抄写一遍，称之为“朱卷”，考官批改“朱卷”，这种措施是为了A、身份验证B、去标识C、备份D、加密参考答案：D150.拒绝服务攻击可能导致的后果是（）。A、信息不可用B、应用程序不可用C、系统宕机、阻止通信D、上面几项都是参考答案：D151.拒绝服务攻击（DDOS）是黑客常用手段，会严重影响系统与数据可用性，以下属于DDOS防御手段的是（）A、流量清洗B、过滤畸形包头C、防火墙上开启Synflood与UDPflood过滤功能D、增加数据库缓存层，缓解对数据库穿透访问带来的压力参考答案：A152.拒绝服务攻击（DDOS）是黑客常用手段，会严重影响系统与数据可用性，以下属于DDOS防御手段的是（）A、流量清洗B、过滤畸形包头C、防火墙上开启Synflood与UDPflood过滤功能D、增加数据库缓存层，缓解对数据库穿透访问带来的压力E、以上都对参考答案：E153.假冒身份是指攻击者伪装成以下哪种角色？A、政府官员B、企业高管C、授权人员或合法用户D、手机应用程序参考答案：C154.基于智能卡的认证方式包括哪两种因素？（）A、用户名和密码B、IC卡和PINC、生物特征和算法D、共享密钥和口令参考答案：B155.基于OTP的攻击是指攻击者如何绕过MFA的？A、攻击者发送大量垃圾邮件给用户B、攻击者窃取包含OTP的介质C、攻击者冒充受害者请求重置MFAD、攻击者利用恶意软件感染用户设备参考答案：B156.国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施。A、进口许可B、进口管制C、出口许可D、出口管制参考答案：A157.国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的能力。A、数据运行B、体系建设C、安全保障D、安全意识参考答案：C158.国家网信部门负责统筹协调工作和相关监督管理工作A、个人信息保护B、个人信息搜集C、个人信息处理D、个人信息公布参考答案：A159.国家推动参与国际标准化活动，参与制定相关国际标准，推进相关中国标准与国外标准之间的转化运用。A、核心密码B、普通密码C、民用密码D、商用密码参考答案：D160.国家实施网络（）战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。A、认证身份B、可信身份C、信誉身份D、实名制身份参考答案：B161.国家建立网络安全监测预警和（）。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。A、信息共享制度B、信息传输制度C、信息通报制度D、信息保护制度参考答案：C162.国家积极开展（）等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。A、数据安全监管、数据开发利用B、数据安全治理、数据开发利用C、数据安全监管、数据开发存储D、数据安全治理、数据开发存储参考答案：B163.国家机关应当遵循公正、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。A、公平B、创新C、准确D、开放参考答案：A164.国家鼓励开发网络数据安全保护和利用技术，促进敏感数据合理开放，推动技术创新和经济社会发展。A、正确B、错误参考答案：B165.国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。A、正确B、错误参考答案：A166.国家鼓励开发网络数据安全保护和利用技术，促进（），推动技术创新和经济社会发展。A、国家政务数据开放B、国家数据资源开放C、公共数据资源开放D、敏感数据合理开放参考答案：C167.国家负责统筹协调网络安全工作和相关监督管理工作。A、网信部门B、公安部门C、工业和信息化部门D、电信管理部门参考答案：A168.国家负责统筹协调网络安全工作和相关监督管理工作。A、纪委部门B、工业和信息化部门C、网信部门D、通讯管理部门参考答案：C169.国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的。A、数字经济发展B、数据经济发展C、智慧经济发展D、信息经济发展参考答案：A170.国家（）负责统筹协调网络安全工作和相关监督管理工作。（）A、电信主管部门B、网信部门C、工业和信息化部门D、公安部门参考答案：A171.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，某单位在实施风险评估时，形成了《风险评估方案》并得到了管理决策层的认可，在风险评估实施的各个阶段中，该《风险评估方案》应是如下（）中的输出结果。A、风险评估准备阶段B、风险要素识别阶段C、风险分析阶段D、风险结果判定阶段参考答案：A172.关于业务连续性计划（BCP）以下说法最恰当的是：A、组织为避免所有业务功能因重大事件而中断，减少业务风此案而建立的一个控制过程。B、组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控制过程。C、组织为避免所有业务功能因各种事件而中断，减少业务风此案而建立的一个控制过程D、组织为避免信息系统功能因各种事件而中断，减少信息系统风险建立的一个控制过程参考答案：B173.关于信息系统安全等级保护第三级的系统运维管理，应对系统相关的人员进行应急预案培训，应急预案的培训至少（）举办一次。A、每季度B、每半年C、每年D、每2年参考答案：C174.关于信息安全管理体系（InformationSecurityManagementSystems，ISMS），下面描述错误的是（）。A、信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践要素B、管理体系（ManagementSystems）是为达到组织目标的策略、程序、指南和相关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用C、概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照ISO27001标准定义的管理体系，它是一个组织整体管理体系的组成部分D、同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容参考答案：A175.关于信息安全管理，下面理解片面的是（）A、信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重要保障B、信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的C、信息安全建设中，技术是基础，管理是拔高，既有效的管理依赖于良好的技术基础D、坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一参考答案：C176.关于数据库恢复技术，下列说法不正确的是：A、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复B、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术C、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复D、计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交参考答案：D177.关于密码技术和密码产品，以下说法正确的是？（）A、未经批准，禁止出口密码技术和密码产品，但进口不受限B、密码技术和密码产品均是国家秘密，需实行专控管理C、未经许可，禁止销售商用密码产品，但自行研发供自行使用不受限D、未经指定，禁止生产商用密码产品参考答案：B178.关于风险要素识别阶段工作内容叙述错误的是：A、资产识别是指对需求保护的资产和系统等进行识别和分类B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C、脆弱性识别以资产为核心，针对每一项需求保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估D、确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台参考答案：D179.关于APP收集儿童数据，以下哪种做法是正确的？（）A、不需要获得家长或监护人同意，因为这些数据对APP运营至关重要B、需要在APP中添加父母授权功能，以便父母同意数据收集C、允许未成年人自主决定是否授权数据收集D、可以随意收集儿童数据，只需在隐私政策中声明即可参考答案：B180.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用（）的规定？（）A、《中华人民共和国个人信息保护法》B、《中华人民共和国数据安全法》C、《中华人民共和国网络安全法》D、《中华人民共和国境外非政府组织境内活动管理法》参考答案：C181.关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。A、正确B、错误参考答案：A182.关键信息基础设施的运营者采购网络产品和服务，可能影响的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。A、政府安全B、信息安全C、国家安全D、企业安全参考答案：C183.关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照的规定，通过有关部门组织的国家安全审查。A、《中华人民共和国密码法》B、《中华人民共和国数据安全法》C、《中华人民共和国网络安全法》D、《中华人民共和国个人信息保护法》参考答案：C184.关键系统关键岗位的人员，要求（）。A、关键岗位人员需要经过背景调查B、关键岗位人员离职需遵守脱密流程C、技能必须匹配D、以上都是参考答案：D185.公司审计中的个人信息处理活动应符合哪些要求？（）A、公司的销售战略B、法律法规C、董事会决议D、领导的个人喜好参考答案：B186.公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，可以没有批准手续，个人仍应当予以配合。A、正确B、错误参考答案：B187.公安部负责。A、统筹协调网络产品安全漏洞管理B、网络产品安全漏洞综合管理，承担电信和互联网行业网络产品安全漏洞监督管理C、网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯罪活动D、安全软件质检与协调开发参考答案：C188.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应当设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查A、正确B、错误参考答案：A189.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应当对重要系统和数据库进行容灾备份A、正确B、错误参考答案：A190.根据《中华人民共和国个人信息保护法》有关规定，为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需处理个人信息的场景，无需取得个人同意A、正确B、错误参考答案：A191.根据《中华人民共和国个人信息保护法》的规定，个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。A、对B、错参考答案：A192.根据《征信业管理条例》的规定，征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为（）年；超过（）年的，应当予以删除。（）A、2B、3C、4D、5参考答案：D193.根据《网络安全法》的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在（）。因业务需要，确需向境外提供的，应当按照国家（）会同国务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的，依照其规定。A、境外存储公安部门B、第三方中立机构存储监管机构C、交由国家存储党中央D、境内存储网信部门参考答案：D194.根据《数据安全法》的规定，下列数据中不属于国家核心数据？（）A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据参考答案：D195.根据《密码法》的规定，商用密码产品检测认证适用（）的有关规定，避免重复检测认证。（）A、《中华人民共和国网络安全法》B、《中华人民共和国数码安全法》C、《中华人民共和国个人信息保护法》D、《中华人民共和国消费权益保护法》参考答案：A196.根据《密码法》的规定，国家密码管理部门对采用（）技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。（）A、核心密码B、普通密码C、商用密码D、混合密码参考答案：C197.个人信息处理者在处理个人信息前，无需以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列哪些事项：A、个人信息所有者的名称或者姓名和联系方式B、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限C、个人行使本法规定权利的方式和程序D、法律、行政法规规定应当告知的其他事项参考答案：A198.个人信息处理者应当公开个人信息保护负责人的，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门A、身份证号B、联系方式C、家庭住址D、工作地点参考答案：B199.负责统筹协调网络产品安全漏洞管理工作。A、国安局B、工业和信息化部C、公安部D、国家互联网信息办公室参考答案：D200.负责统筹协调个人信息保护工作和相关监督管理工作A、国家法律部门B、国家征信机构C、国家网信部门D、国家监管机构参考答案：C201.访问者可以是下列哪些？A、用户B、进程C、应用程序D、所有选项都是参考答案：D202.访问控制是一种针对什么的防范措施？A、病毒攻击B、越权使用资源C、网络拒绝服务攻击D、网络钓鱼攻击参考答案：B203.访问控制是网络安全的过程，其目的是：A、防止合法用户对系统资源的非法使用B、阻止非法用户进入系统C、保护系统的资产D、所有选项都是正确的参考答案：D204.访问控制决定用户什么？A、是否能够访问网络资源B、是否能够使用网络资源C、是否能够修改网络资源D、是否能够删除网络资源参考答案：A205.访问控制的目的是为了限制什么？A、访问主体对访问客体的访问权限B、访问客体对访问主体的访问权限C、访问主体和客体之间的通信权限D、访问主体和客体之间的数据传输速度参考答案：A206.访问控制的客体是指什么？A、一个提出请求或要求的实体，是动作的发起者B、接受其他实体访问的被动实体C、主动发起访问请求的实体D、被动接受访问请求的实体参考答案：B207.防止计算机中信息被窃采取的手段不包括。（）A、用户识别B、权限控制C、病毒控制D、数据加密参考答案：C208.防止非法授权访问数据文件的控制措施，哪项是最佳的方式：A、自动文件条目B、磁带库管理程序C、访问控制软件D、锁定库参考答案：C209.防火墙的位置一般为（）A、内外网连接的关口位置B、内网敏感部门的出口位置C、非军事区（DMZ）的两侧D、以上都对参考答案：D210.对于申报网络安全审查的采购活动，关键信息基础设施（）应当通过采购文件、协议等要求产品和服务（）配合网络全审查。A、运营者，提供者B、提供者，运营者C、运营者，运营者D、提供者，提供者参考答案：A211.对于APP收集用户数据，下列哪种做法不符合隐私法规？（）A、事先告知用户数据收集的目的和方式B、强制用户授权全部权限才能使用APPC、允许用户自主选择授权的权限D、用户注销账号后仍然继续收集其数据参考答案：B212.对数据处理活动依法作出的安全审查决定为最终决定。A、正确B、错误参考答案：A213.对计算机信息系统中发生的案件，有关使用单位应当在（）内向当地县级以上人民政府公安机关报告。（）A、12小时B、24小时C、48小时D、72小时参考答案：B214.对采用商用密码技术从事电子政务电子认证服务的机构进行认定。A、国家网信部门B、保密行政管理部门C、国家密码管理部门D、国务院商务主管部门参考答案：C215.定密责任人在职权范围内承担有关国家秘密的（）工作。A、确定B、变更C、解除D、以上都不正确参考答案：B216.钓鱼攻击通常利用以下哪种方式来欺骗目标？A、伪造电子邮件、短信或其他通信形式B、直接物理接触C、网络扫描D、加密解密技术参考答案：A217.电子文档的安全管理，涉及计算机学、档案学、密码学、管理学等多学科的知识A、正确B、错误参考答案：A218.的运营者违反《中华人民共和国密码法》第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告。A、网络基础设施B、关键信息基础设施C、关键信息安全设备D、网络关键设备参考答案：B219.大数据发展应当全面实施国家大数据战略，坚持统筹规划、创新引领原则。A、正确B、错误参考答案：A220.打开一份邮件时，处理邮件附件的正确做法是（）？A、确认发件人信息真实后，查杀病毒后打开B、置之不理C、删除附件D、直接打开运行参考答案：A221.存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守《网络安全法》外，还应当遵守保密法律、行政法规的规定。A、正确B、错误参考答案：A222.从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客观以及有利于防范网络安全风险的原则，并遵守以下规定，下列说法正确的是A、在发布网络产品安全漏洞时，修补或者防范措施可以不用发表。B、在国家举办重大活动期间，网络产品安全漏洞信息的发布没有限制。C、可以在一定范围内发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。D、不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。参考答案：D223.处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对（）影响最小的方式A、个人权益B、舆论影响C、经济损失D、集体利益参考答案：A224.车载系统中的黑客攻击是指什么A、对车辆进行物理破坏B、对车辆进行远程控制C、对车辆进行常规维护D、对车辆进行装饰和改装参考答案：D225.参与网络安全审查的相关机构和人员应当严格保护知识产权，对在审查工作中知悉的数据承担保密义务，其中不包括A、商业信息B、个人信息C、当事人、产品和服务提供者提交的未公开材料D、以及其他未公开信息承参考答案：A226.比特币总共发行量有（）万个A、1050B、1100C、2100D、4200参考答案：C227.保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、（），预警通报网络安全威胁和隐患，指导做好安全防范工作。A、安全态势B、风险状态C、人员情况D、保障措施参考答案：A228.ZigBee采用了CSMA—CA（），同时为需要固定带宽的通信业务预留了专用时隙，避免了发送数据时的竞争和冲突；明晰的信道检测A、自愈功能B、自组织功能C、碰撞避免机制D、数据传输机制参考答案：C229.ZigBee（）负责设备间无线数据链路的建立、维护和结束A、物理层B、MAC层C、网络/安全层D、支持/应用层参考答案：B230.windows文件系统权限管理使用访问控制列表机制，以下哪个说法是错误的：A、安装Windows系统时要确保文件格式适用的是NTFS。因为Windows的ACL机制需要NTFS文件格式的支持B、由于Windows操作系统自身有大量文件和目录，因此很难对每个文件和目录设置严格的访问权限，为了使用上的便利，Windows上的ACL存在默认设置安全性不高的问题C、Windows的ACL机制中，文件和文件夹的权限是主体进行关联的，即文件夹和文件的访问权限信息是写在用户数据库中的D、由于ACL具有很好灵活性，在实际使用中可以为每一个文件设定独立拥护的权限参考答案：C231.Windows访问控制中，用户的身份标识是通过什么方式创建的？A、访问令牌B、用户名和密码C、IP地址和端口号D、数字证书参考答案：A232.VLAN技术用于实现什么目的？A、增强系统安全性B、提高网络带宽C、实现网络隔离D、加速数据传输速度参考答案：C233.POW是指（）A、权益证明B、工作量证明C、零知识证明D、以上都不是参考答案：B234.PKI的主要理论基础是（）A、对称密码算法B、公钥密码算法C、量子密码D、摘要算法参考答案：B235.PDCERF方法是信息安全应急响应工作中常用的一种方法，它将应急响应分成六个阶段。其中：下线中病毒的主机、修改防火墙过滤规则等动作属于哪个阶段（）A、准备阶段B、遏制阶段C、根除阶段D、检测阶段参考答案：B236.NANDFLASH和NORFLASH的区别正确的是（）A、NOR的读速度比NAND稍慢一些B、NAND的擦除速度远比NOR的慢C、NAND的写入速度比NOR慢很多D、大多数写入操作需要先进行擦除操作。参考答案：D237.LoRaWAN网络中的反重放攻击是指什么A、攻击者重复发送相同的数据包B、网络服务器重复发送相同的数据包C、终端设备在同一时间窗口内发送多个数据包D、网关将数据包重复传输到网络服务器参考答案：A238.linux命令中关于以下说法不正确的是（C）A、PASS_MAX_DAYS90是指登陆密码有效期为90天。B、PASS_WARN_AGE7是指登陆密码过期7天前提示修改。C、FALL_DELAY10是指错误登陆限制为10次。D、SYSLOG_SG_ENAByes当限定超级用于组管理日志时使用。参考答案：C239.ISMS是基于组织的（）风险角度建立的。（）A、财务部门B、资产安全C、信息部门D、整体业务参考答案：D240.DES的分组长度是（）比特A、128B、160C、64D、256参考答案：C241.CA是PKI系统的最核心部件，它的功能包括以下哪些？（）A、证书的签发和更新B、证书的作废、冻结和解冻C、证书的查询或下载D、所有选项都是正确的参考答案：D242.2020年微盟的离职人员心怀不满，利用远程登录方式销毁了在线电商数据，对微盟的业务与营收造成了严重影响，这件事情警示大家，对账号的管理也应当从严，以下哪项不属于账号生命周期管理。A、账号创建B、岗位变动后账号权限变更C、离职人员账号关停审计D、账号口令强度要求，最好是大小写字母结合数字与特殊字符的复杂口令参考答案：D243.《中华人民共和国网络安全法》规定：（）A、促进公共数据开放B、保护关键信息基础设施C、严打网络诈骗，明确“网络实名制”。D、保护个人信息E、以上都对参考答案：E244.《中华人民共和国网络安全法》规定，国家实行网络安全架构保护制度。A、正确B、错误参考答案：B245.《中华人民共和国网络安全法》规定，国家实行网络安全（）保护制度。A、架构B、分级C、涉密D、等级参考答案：D246.《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于通过。A、2020年6月10日B、2020年6月11日C、2021年6月10日D、2021年6月11日参考答案：C247.《中华人民共和国个人信息保护法》正式施行时间是（）。A、2021年8月20日B、2021年10月1日C、2021年11月1日D、2021年12月1日参考答案：C248.《中华人民共和国个人信息保护法》的制定是为了保护权益A、个人信息B、公民利益C、个人健康D、集体财富参考答案：A249.《网络安全审查办法》所称网络产品和服务不包括。A、重要通信产品B、云计算服务C、核心网络设备D、个人通信设备参考答案：D250.《三国演义》第七十二回“诸葛亮智取汉中，曹阿瞒退兵斜谷”中描述：曹操与刘备相持过程中，每天更换营中口令。一日杨修问曹操营中口令，曹操答曰：鸡肋。在数据安全保护体系中，这种方式体现了什么思想？（）A、舆情检测B、一次一密C、内容分析D、动态风控参考答案：B251.《关键信息基础设施安全保护条例》规定安全保护措施应当与关键信息基础设施（）。A、同步规划B、同步建设C、同步使用D、以上都正确参考答案：D252.：负责网络产品安全漏洞综合管理，承担电信和互联网行业网络产品安全漏洞监督管理。A、国家互联网信息办公室B、工业和信息化部C、公安部D、国安局参考答案：B253.（）应当与关键信息基础设施同步规划、同步建设、同步使用。（）A、安全背景审查B、安全保护措施C、网络安全检测D、网络安全事件应急预案参考答案：B254.（）负责统筹协调个人信息保护工作和相关监督管理工作。A、公安部门B、网信部门C、征信部门D、大数据局参考答案：B多选题1.作为定级对象的信息系统应具有如下哪些基本特征？（）A、具有确定的主要安全责任主体B、系组件单一C、承载相对独立的业务应用D、包含相互关联的多个资源参考答案：ACD2.中央密码工作领导机构对全国密码工作实行统一领导，包括。A、制定国家密码工作重大方针政策B、统筹协调国家密码重大事项和重要工作C、推进国家密码法治建设D、制定国家密码工作重要法律法规参考答案：ABC3.中华人民共和国境内的，应当遵守本规定。A、网络产品（含硬件、软件）提供者B、质检部门C、从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人D、网络运营者参考答案：ACD4.中国现行跨境法律监管体系由“1+3+N”组成，其中“3”代表下列哪些法律？（）A、《个人信息保护法》B、《网络安全法》C、《数据安全法》D、《数据出境安全评估办法》参考答案：ABC5.针对API访问安全，网络服务提供方应支持哪些功能？（）A、支持涉及云服务租户资源操作的服务B、支持服务API调用前实施用户鉴别和鉴权的功能C、支持用户调用服务API的访问控制功能D、支持服务API的调用日志记录的功能参考答案：ABCD6.在下载软件及操作系统补丁时，我们应该采取哪些措施？A、下载正版软件并定期更新B、及时跟随软件供应商发布的补丁C、只要定期使用防病毒软件并定期更新病毒库，网上的破解版也没有关系。D