2024年数据安全管理知识竞赛（省赛）考试题库（含答案）

2024年数据安全管理知识竞赛（省赛）考试题库（含答案）

一、单选题

1.《中华人民共和国个人信息保护法》正式施行时间是（）。

A、2021年8月20日

B、2021年10月1日

C、2021年11月1日

D、2021年12月1日

答案：C

2.信息安全概念经常与计算机安全、网络安全、数据安全等互相交叉笼统的使用。

就目前而言，信息安全的内容不包括

A、硬件安全

B、软件安全

C、运行服务安全

D、隐私安全

答案：D

3.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础,

某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可，

在风险评估实施的各个阶段中，该《风险评估方案》应是如下（）中的输出结果。

A、风险评估准备阶段

B、风险要素识别阶段

C、风险分析阶段

D、风险结果判定阶段

答案：A

4.Q:处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关,采取

对（）影响最小的方式

A、个人权益

B、舆论影响

C、经济损失

D、集体利益

答案：A

5.Q:国家推动参与国际标准化活动,参与制定相关国际标准，推进相关中国标准

与国外标准之间的转化运用。

A、：核心密码

B、：普通密码

C、：民用密码

D、：商用密码

答案：D

6.Q:国家积极开展（）等领域的国际交流与合作，参与数据安全相关国际规则和

标准的制定,促进数据跨境安全、自由流动。

A、数据安全监管、数据开发利用

B、数据安全治理、数据开发利用

C、数据安全监管、数据开发存储

D、数据安全治理、数据开发存储

答案：B

7.VLAN技术用于实现什么目的？

A、增强系统安全性

B、提高网络带宽

C、实现网络隔离

D、加速数据传输速度

答案：C

8.口令破解是针对系统进行攻击的常用方法，windows系统安全策略中应对口令

破解的策略主要是帐户策略中的帐户锁定策略和密码策略，关于这两个策略说明

错误的是

A、密码策略主要作用是通过策略避免拥护生成弱口令及对用户的口令使用进行

管控

B、密码策略对系统中所有的用户都有效

C、账户锁定策略的主要作用是应对口令暴力破解攻击，能有效地保护所有系统

用户应对口令暴力破解攻击

D、账户锁定策略只适用于普通用户，无法保护管理员账户应对口令暴力破解攻

击

答案：D

9.车载系统中的黑客攻击是指什么

A、对车辆进行物理破坏

B、对车辆进行远程控制

C、对车辆进行常规维护

D、对车辆进行装饰和改装

答案：D

10.下面哪种情况可以被视为社会工程学攻击的目标？

A、数据中心的物理安全

B、强密码设置

C、员工培训计划

D、服务器硬件升级

答案：C

11.Q：对采用商用密码技术从事电子政务电子认证服务的机构进行认定。

A、：国家网信部门

B、：保密行政管理部门

C、：国家密码管理部门

D、：国务院商务主管部门

答案：C

12.科举考生答卷采用黑墨水，称为“墨卷”，“墨卷”收拢之后，会统一由抄

书吏再用红墨水抄写一遍，称之为“朱卷”，考官批改“朱卷”，这种措施是为

了

A、身份验证

B、去标识

C、备份

D、加密

答案：D

13.Q:参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工

作中知悉的数据承担保密义务,其中不包括

A、：商业信息

B、：个人信息

C、：当事人、产品和服务提供者提交的未公开材料

D、：以及其他未公开信息承

答案：A

14.Q:为了防范风险,当事人应当在审查期间按照网络安全审查要求采取的（）措

施

A、预防和消减风险

B、提高服务质量

C、降低服务成本

D、扩展业务

答案：A

15.应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属

于应用安全防护考虑的是（）

A、身份鉴别，应用系统应对登陆的用户进行身份鉴别，只有通过验证的用户才

能访问应用系统资源

B、安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，

增加访问

C、剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防

止存储在硬盘、内存或缓冲区的信息被非授权的访问

D、机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、

机房安全等级、机房的建造和机房的装修等

答案：D

16.某电商网站进入系统设计阶段，为了保证用户账户安全，开发人员决定用户

登陆时除了用户名口令认证方式外，另加入基于数字证书的身份认证功能，同时

用户口令经算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安

全设计原则：

A、最小特权原则

B、职责分离原则

C、纵深防御原则

D、最少共享机制原则

答案：C

17.根据《中华人民共和国个人信息保护法》的规定,个人信息处理者共同处理个

人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

A、对

B、错

答案：A

18.如果APP要将用户数据转移至其他公司,该公司应当()。()

A、事先告知用户数据转移的目的和方式,并获得用户明示同意

B、不需要获得用户同意，因为这些数据属于公司资产

C、将用户数据转移后再通知用户

D、不需要通知用户，因为这些数据已经匿名化

答案：A

19.以下哪一个是中国移动的网站：

A、www.10086.cn

B、www.10086.cn

C、www.10086.cn

D、www.10086.gov.cn

答案：c

20.Q:违反《中华人民共和国密码法》规定，构成犯罪的，依法追究。

A、：刑事责任

B、：民事责任

C、：刑事诉讼

D、：民事诉讼

答案：A

21.在访问控制中，下面哪个措施可以增强系统的身份认证安全性？

A、多因素认证

B、开放注册

C、共享账号和口令

D、强制口令重用

答案：A

22.《三国演义》第七十二回“诸葛亮智取汉中，曹阿瞒退兵斜谷”中描述：曹

操与刘备相持过程中，每天更换营中口令。一日杨修问曹操营中口令，曹操答曰:

鸡肋。在数据安全保护体系中，这种方式体现了什么思想？（）

A、舆情检测

B、一次一密

C、内容分析

D、动态风控

答案：B

23.重要涉密部门的人员选配，应当坚持（）的原则，并定期进行考核，不适合

的应及时调整。

A、谁选配谁负责

B、先审后用

C、先选后训

D、边审边用

答案：B

24.准备登陆电脑系统时，发现有人在您的旁边看着，正确做法是（）

A、不理会对方

B、提示对方避让

C、报警

D、关机后离开

答案：B

25.Q:网络安全审查工作机制成员单位、相关部门意见（）的，网络安全审查办公

室以书面形式将审查结论通知当事人

A、一致

B、不一致

C、部分一致

D、部分不一致

答案：A

26.应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库

防护策略，以下不属于数据库防护策略的是？

A、安装最新的数据库软件安全补丁

B、对存储的敏感数据进行加密

C、不使用管理员权限直接连接数据库系统

D、定期对数据库服务器进行重启以确保数据库运行良好

答案：D

27.Q:可以依法使用商用密码保护网络与信息安全。

A、：公民

B、：法人

C、：其他组织

D、：以上都是

答案：D

28.《中华人民共和国网络安全法》规定，国家实行网络安全（）保护制度。

A、架构

B、分级

C、涉密

D、等级

答案：D

29.存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守《网络安

全法》外，还应当遵守保密法律、行政法规的规定。

A、正确

B、错误

答案：A

30.Q:关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影

响国家安全的,应当按照的规定,通过有关部门组织的国家安全审查。

A、：《中华人民共和国密码法》

B、：《中华人民共和国数据安全法》

C、：《中华人民共和国网络安全法》

D、：《中华人民共和国个人信息保护法》

答案：C

31.Windows访问控制中，用户的身份标识是通过什么方式创建的？

A、访问令牌

B、用户名和密码

GIP地址和端口号

D、数字证书

答案：A

32.访问控制是网络安全的过程,其目的是：

A、防止合法用户对系统资源的非法使用

B、阻止非法用户进入系统

C、保护系统的资产

D、所有选项都是正确的

答案：D

33.保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监

测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、（），预警

通报网络安全威胁和隐患，指导做好安全防范工作。

A、安全态势

B、风险状态

C、人员情况

D、保障措施

答案：A

34.配置如下两条访问控制列表:access-1istlpermitW.100.10.10.0,255,255

access-1ist2permit10.100.100,1000.0,255.255访问控制列表1和2,所控制

的地址范围关系是：（D）

A、1和2的范围相同

B、1的范围在2的范围内

C、2的范围在1的范围内

D、1和2的范围没有包含关系

答案：D

35.利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安

全漏洞从事危害网络安全的活动提供技术支持的，由依法处理。

A、：国家互联网信息办公室

B、：工业和信息化部

C、：国安局

D、：公安机关

答案：D

36.如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选

项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法

是（）。

A、访问控制列表（ACL）

B、能力表（CL）

C、BLP模型

D、Biba模型

答案：A

37.国家建立网络安全监测预警和（）。国家网信部门应当统筹协调有关部门加

强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信

息。

A、信息共享制度

B、信息传输制度

C、信息通报制度

D、信息保护制度

答案：C

38.Q:国家机关应当遵循公正、便民的原则，按照规定及时、准确地公开政务数据。

依法不予公开的除外。

A、：公平

B、：创新

C、：准确

D、：开放

答案：A

39.文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确

的是：

A、组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规

范文件等文档是组织的工作标准，也是ISMS审核的依据

B、组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和

记录，对这些记录不需要保护和控制

C、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、

发布日期、编写人、审批人、主要修订等内容

D、多层级的文档体系是ISMS建设的直接体现，文档体系应当依据风险评估的结

果建立

答案：B

40.Q:网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起

10个工作日内,确定是否需要审查并（）通知当事人。

A、书面

B、口头

C\电话

D、电子邮件

答案：A

41.网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由（）

依据各自职责依法处理。

A、工业和信息化部'公安部

B、公安部'国家安全委员会

C、国家互联网信息办公室、国防部

D、公安部、国家互联网信息办公室

答案：A

42.某公司的员工，正当他在忙于一个紧急工作时，接到一个电话，被告知系统

发现严重漏洞，紧急修复，需提供他的系统管理账户信息”，接下来他的正确做

法是（）。

A、核实之后，如是真实情况，才可提供账号信息

B、诈骗电话，直接挂机

G直接拒绝

D、报警

答案：A

43.在访问控制中，RBAC模型中的用户角色关系是：

A、一对一关系

B\一对多关系

C、多对多关系

D、多对一关系

答案：C

44.物联网中的安全策略制定应考虑哪些因素？

A、风险评估

B、合规要求

C、技术限制

D、所有以上选项

答案：D

45.依据IS027701,个人信息系统用来存储个人信息的方式为？()

A、一个文件存放一个人的信息

B、数据库统一管理

C、电子表格管理

D、存放在内存

答案：A

46.访问控制决定用户什么？

A、是否能够访问网络资源

B、是否能够使用网络资源

C、是否能够修改网络资源

D、是否能够删除网络资源

答案：A

47.Q:违反《中华人民共和国密码法》规定，给他人造成损害的，依法承担。

A、：刑事责任

B、：民事责任

C、：刑事诉讼

D、：民事诉讼

答案：B

48.在LoRaWAN网络中，终端设备如何验证网络服务器的身份

A、使用设备的唯一标识

B、通过Wi-Fi连接进行验证

C、不需要验证

D、通过手机应用进行验证

答案：A

49.Q:掌握超过100万用户个人信息的网络平台运营者于（）上市,必须向网络安

全审查办公室申报网络安全审查。

A、国内

B、国外

C、香港

D、上海

答案：B

50.在单点登录(SSO)中，为什么采用SSL进行用户、应用系统和认证服务器之间

的通信？

A、提高用户体验

B、加快应用系统的响应速度

C、减小敌手截获和窃取信息的可能性

D、增加数据的传输效率

答案：C

51.在网络环境下,身份是用来区别于其他个体的一种标识,必须具有什么特点？

A、唯一性

B、可复制性

C、可变性

D、随机性

答案：A

52.若一个组织声称自己的ISMS符合IS0/IEC27001或GB/T22080标准要求。其

信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安

全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组

织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设

施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现，不

包括哪一项

A、物理安全边界,物理入口控制

B、办公室、房间和设施的安全保护。外部和环境威胁的安全防护

C、在安全区域工作。公共访问、交接区安全

D、人力资源安全

答案：D

53.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要

数据的出境安全管理,适用()的规定？0

A、《中华人民共和国个人信息保护法》

B、《中华人民共和国数据安全法》

C、《中华人民共和国网络安全法》

D、《中华人民共和国境外非政府组织境内活动管理法》

答案：C

54.中国现行跨境法律监管体系由“1+3+N”组成，其中“1”代表下列哪项法律？

0

A、《国家安全法》

B、《网络安全法》

C、《数据安全法》

D、《个人信息保护法》

答案：A

55.下面哪个模型和软件安全开发无关()？

A、微软提出的“安全开发生命周期(SecurityDeveIopmentLifecycIe,SDL)”

B、GrayMcGraw等提出的“使安全成为软件开发必须的部分(BuildingSecurity

IN,BSD”

C\OWASP维护的"软件保证成熟度模型(SoftwareAssuranceMaturityMode,SAM

M)”

D\“信息安全保障技术框架（InformationAssuranceTechnicaIFramework,IA

TF)”

答案：D

56.身份认证中,如何防止身份信息在传输过程中被恶意篡改？

A、完全杜绝恶意篡改是不可能的,只能在身份信息被恶意篡改后,接收端可以检

测出来。

B、可以加密身份信息,在传输过程中解密验证身份信息。

C、可以加密身份信息，传输后由发送端解密验证身份信息。

D、只要身份信息正确，就可以防止恶意篡改。

答案：A

57.对于A叩收集用户数据,下列哪种做法不符合隐私法规？0

A、事先告知用户数据收集的目的和方式

B、强制用户授权全部权限才能使用APP

C、允许用户自主选择授权的权限

D、用户注销账号后仍然继续收集其数据

答案：B

58.嵌入式系统中的安全芯片是指什么

A、专用芯片，用于提供硬件级安全功能

B、芯片上的加密引擎，用于执行密码算法

C、芯片上的安全存储器，用于保存加密密钥

D、芯片上的防火墙，用于阻止外部攻击

答案：A

59.组织第一次建立业务连续性计划时，最为重要的活动是：

A、制定业务连续性策略

B、进行业务影响分析

C、进行灾难恢复演练

D、构建灾备系统

答案：A

60.下列哪一项不属于数据跨境的场景类型？()

A、数据跨境

B、跨境传输

C、跨境采集

D、跨境访问

答案：B

61.关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应

当通过国家网信部门会同国务院有关部门组织的国家安全审查。

A、正确

B、错误

答案：A

62.以下哪种访问控制模型是基于系统管理员定义的安全策略和标签来决定资源

的访问权限？

A、自主访问控制模型(DAC)

B、强制访问控制模型(MAC)

C、角色基础访问控制模型(RBAC)

D、属性基础访问控制模型(ABAC)

答案：B

63.钓鱼攻击通常利用以下哪种方式来欺骗目标？

A、伪造电子邮件、短信或其他通信形式

B、直接物理接触

C、网络扫描

D、加密解密技术

答案：A

64.我国定义的五大生产要素，包括：

A、信息技术

B、能源

C、数据

D、商业机密

答案：C

65.网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止

发布或者传输的信息的，应当立即停止传输该信息，采取删除措施，防止信息扩

散，保存有关记录，并向有关主管部门报告。

A、正确

B、错误

答案：B

66.Q:网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输

的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责

令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处罚款,并可以责令

暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,

对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

A、：十万元以上五十万元以下

B、：二十万以上一百万以下

C、：五十万以上一百万以下

D、：四十万以上二百万以下

答案：A

67.国家()负责统筹协调网络安全工作和相关监督管理工作。()

A、电信主管部门

B、网信部门

C、工业和信息化部门

D、公安部门

答案：A

68.关于风险要素识别阶段工作内容叙述错误的是：

A、资产识别是指对需求保护的资产和系统等进行识别和分类

B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性

C、脆弱性识别以资产为核心，针对每一项需求保护的资产，识别可能被威胁利

用的弱点，并对脆弱性的严重程度进行评估

D、确认已有的安全措施仅属于技术层面的工作，章涉到具体方面包括：物理平

台'系统平台、网络平台和应用平台

答案：D

69.小王自驾车到一座陌生的城市出差，则对他来说可能最为有用的是

A、路况不良

B、恶意软件攻击

C、车辆碰撞

D、音响失效

答案：D

70.Q：《中华人民共和国个人信息保护法》的制定是为了保护权益

A、：个人信息

B、：公民利益

C、：个人健康

D、：集体财富

答案：A

71.下列哪个是访问控制中的授权方式？

A、访问请求审查

B、双因素认证

C、单一登录

D、加密传输

答案：A

72.Q:以下行为违反《网络安全审查办法》的是（）。

A、：不利用提供产品和服务的便利条件非法获取用户数据

B、：不非法控制和操纵用户设备

c、：不中断产品供应或者必要的技术支持服务

D、：关键信息基础设施运营者采购网络产品和服务不主动申报网络安全审查

答案：D

73.以下哪些信息不属于个人信息？()

A、个人医疗记录

B、个人支付凭证

C、个人位置信息

D、匿名化的犯罪记录

答案：D

74.关于信息安全管理，下面理解片面的是()

A、信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务

目标的重要保障

B、信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的

C、信息安全建设中，技术是基础，管理是拔高，既有效的管理依赖于良好的技

术基础

D、坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一

答案：C

75.拒绝服务攻击(DDOS)是黑客常用手段，会严重影响系统与数据可用性，以

下属于DDOS防御手段的是()

A、流量清洗

B、过滤畸形包头

C、防火墙上开启SynfIood与UDPfIood过滤功能

D、增加数据库缓存层，缓解对数据库穿透访问带来的压力

E、以上都对

答案：E

76.通道劫持是指攻击者通过什么方式获取受害者的通信信息？

A、中间人代理攻击

B、恶意软件感染

C、网络钓鱼诈骗

D、盗取用户的登录凭据

答案：A

77.区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信

息，记录备份应当保存不少于()。()

A、3个月

B、6个月

C、9个月

D、12个月

答案：B

78.电子文档的安全管理，涉及计算机学、档案学、密码学、管理学等多学科的

知识

A、正确

B、错误

答案：A

79.明朝时期，规定科举考生必须采用统一字体“台阁体”答卷，这在个人信息

处理上是什么措施

A、身份验证

B、去标识

C、同态加密

D、多方安全计算

答案：B

80.选择身份验证类型时,企业需要平衡什么？

A、用户体验和安全性

B、成本和效率

C、隐私和安全

D、速度和可靠性

答案：A

81.某公司开发了一个游戏网站，但是由于网站软件存在漏洞，在网络中传输大

数据包时总是会丢失一些数据，如一次性传输大于2000个字节数据时，总是会

有几次丢包，可以推断的是（）

A、该网站软件存在保密性方面安全问题

B、该网站软件存在完整性方面安全问题

C、该网站软件存在可用性方面安全问题

D、该网站软件存在不可否认性方面安全问题

答案：B

82.根据《密码法》的规定,国家密码管理部门对采用()技术从事电子政务电子认

证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文

的管理。()

A、核心密码

B、普通密码

C、商用密码

D、混合密码

答案：C

83.关于信息安全管理体系(InformationSecurityManagementSystems,ISMS),

下面描述错误的是()。

A、信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以

及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践

要素

B、管理体系(ManagementSystems)是为达到组织目标的策略'程序'指南和相

关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用

C、概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是

指按照IS027001标准定义的管理体系，它是一个组织整体管理体系的组成部分

D、同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，

健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内

容

答案：A

84.Q:违反《中华人民共和国密码法》第二十九条规定,未经认定从事电子政务电

子认证服务的,违法所得的,可以并处违法所得一倍以上三倍以下罚款

A、：十万元以上

B、：二十万元以上

C、：三十万元以上

D、：五十万元以上

答案：C

85.ZigBee()负责设备间无线数据链路的建立、维护和结束

A、物理层

B、MAC层

C、网络/安全层

D、支持/应用层

答案：B

86.银行保险机构应考虑重要外包终止的可能性,并制定退出策略。退出策略应至

少明确的内容不包括？0

A、可能造成外包终止的情形

B、外包终止的业务影响分析

C、终止交接安排

D、其它对机构业务运营具有重要影响的情形

答案：D

87.为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透

测试，以下关于渗透测试过程的说法不正确的是

A、由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进

行系统和数据备份，以便出现问题时可以及时恢复系统和数据

B、渗透测试从“逆向”的角度出发，测试软件系统的安全性，其价值在于可以

测试软件在实际系统中运行时的安全状况

C、渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步

骤

D、为了真实有效，深入发掘该系统存在的安全威胁，应该在系统正常业务运行

高峰期进行渗透测试

答案：D

88.Q:网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产

品和服务以及数据处理活动，由网络安全审查办公室按程序报批准后，依照《网络

安全审查办法》的规定进行审查。

A、：中央网络安全和信息化委员会

B、：中华人民共和国国家安全部

C、：中华人民共和国工业和信息化部

D、：中华人民共和国公安部

答案：A

89.PDCERF方法是信息安全应急响应工作中常用的一种方法，它将应急响应分成

六个阶段。其中：下线中病毒的主机,修改防火墙过滤规则等动作属于哪个阶段

()

A、准备阶段

B、遏制阶段

C、根除阶段

D、检测阶段

答案：B

90.负责统筹协调网络产品安全漏洞管理工作。

A、：国安局

B、：工业和信息化部

C、：公安部

D、：国家互联网信息办公室

答案：D

91.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进

行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作

部门要求报送情况。

A、对

B、错

答案：A

92.在访问控制产品的选择过程中，以下哪个因素应该是最重要的考虑因素？

A、产品的售价

B、产品的品牌知名度

C、产品的功能和特性是否满足需求

D、产品的外观设计和用户界面

答案：C

93.windows文件系统权限管理使用访问控制列表机制，以下哪个说法是错误的:

A、安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机

制需要NTFS文件格式的支持

B、由于Windows操作系统自身有大量文件和目录，因此很难对每个文件和目录

设置严格的访问权限，为了使用上的便利,Windows上的ACL存在默认设置安全

性不高的问题

C、Windows的ACL机制中，文件和文件夹的权限是主体进行关联的，即文件夹

和文件的访问权限信息是写在用户数据库中的

D、由于ACL具有很好灵活性，在实际使用中可以为每一个文件设定独立拥护的

权限

答案：C

94.根据《密码法》的规定，商用密码产品检测认证适用。的有关规定，避免重复

检测认证。（）

A、《中华人民共和国网络安全法》

B、《中华人民共和国数码安全法》

C、《中华人民共和国个人信息保护法》

D、《中华人民共和国消费权益保护法》

答案：A

95.以下不属于关键信息基础设施重要行业和领域的是？

A、金融

B、电子政务

C、超过百万用户级别的电商平台

D、国防科技工业

答案：c

96.根据《数据安全法》的规定，下列数据中不属于国家核心数据？()

A、关系国家安全的数据

B、关系国民经济命脉的数据

C、关系重要民生的数据

D、关系公共利益的数据

答案：D

97.国家鼓励开发网络数据安全保护和利用技术，促进敏感数据合理开放，推动

技术创新和经济社会发展。

A、正确

B、错误

答案：B

98.关于业务连续性计划(BCP)以下说法最恰当的是：

A、组织为避免所有业务功能因重大事件而中断，减少业务风此案而建立的一个

控制过程。

B、组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控

制过程。

C、组织为避免所有业务功能因各种事件而中断，减少业务风此案而建立的一个

控制过程

D、组织为避免信息系统功能因各种事件而中断，减少信息系统风险建立的一个

控制过程

答案：B

99.在网络社会工程学攻击中，以下哪项是最常见的欺骗方式？

A、假冒网站

B、假冒身份

C、钓鱼攻击

D、社交工程攻击

答案：C

100.根据《中华人民共和国个人信息保护法》有关规定，为应对突发公共卫生事

件，或者紧急情况下为保护自然人的生命健康和财产安全所必需处理个人信息的

场景，无需取得个人同意

A、正确

B、错误

答案：A

101.Q：商用密码清单由国务院商务主管部门会同国家密码管理部门和海关总署

制定并公布。

A、：进口许可和出口管制

B、：进口许可和出口许可

C、：进口管制和出口管制

D、：进口管制和出口许可

答案：A

102.为降低本国数据传输至境外造成的安全风险,我国针对性的推出了哪项政策

法规？0

A、《关键信息基础设施安全保护条例》

B、《网络安全产品漏洞管理规定》

C、《数据出境安全评估办法》

D、《信息安全等级保护管理办法》

答案：C

103.哪种身份认证方式容易被破解和盗用？()

A、生物特征识别

B、智能卡认证

C、双因素认证

D、用户名和密码

答案：D

104.《关键信息基础设施安全保护条例》规定安全保护措施应当与关键信息基础

设施()。

A、同步规划

B、同步建设

C、同步使用

D、以上都正确

答案：D

105.基于OTP的攻击是指攻击者如何绕过MFA的？

A、攻击者发送大量垃圾邮件给用户

B、攻击者窃取包含OTP的介质

C、攻击者冒充受害者请求重置MFA

D、攻击者利用恶意软件感染用户设备

答案：B

106.媒体欺骗是指攻击者通过伪造以下哪种内容来引导目标执行操作？

A、文字内容

B、图像'视频或音频材料

C、网络流量

D、加密算法

答案：B

107.下列哪项内容描述的是缓冲区溢出漏洞？

A、通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，

最终达到欺骗服务器执行恶意的SQL命令

B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该

页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。

C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆

盖在合法数据上

D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意

或无意产生的缺陷

答案：C

108.某电商系统RPO（恢复点目标）指标为1小时。请问这意味着（）

A、该信息系统发生重大安全事件后，工作人员应在1小时内到位，完成问题定

位和应急处理工作

B、信息系统发生重大安全事件后，工作人员应在1小时内完整应急处理工作并

恢复对外运行一RTO

C、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，

系统至少能提供1小时的紧急业务服务能力

D、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，

系统至多能丢失1小时的业务数据

答案：D

109.Q:违反《中华人民共和国数据安全法》第三十六条规定，未经主管机关批准

向外国司法或者执法机构提供数据的，由有关主管部门给予警告,可以并处十万

元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处罚

款。

A、：一万元以上十万元以下

B、：五万元以上一百万元以下

C、：十万元以上一百万元以下

D、：二十万元以上二百万元以下

答案：A

110.数据分类和保护的目的是什么？

A、限制员工的数据访问权限

B、降低数据存储成本

C、简化数据管理过程

D、保护敏感信息的安全和隐私

答案：D

111.以下关于UDP协议的说法，哪个是错误的？

A、具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击

B、UDP包头中包含了源端口号和目的端口号，因此可通过端口号将数据包送达

正确的程序

C、相比TCP,UDP开销更小，因此常用来传送如视频这一类大流量需求的数据

D、UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此

常用来传输如视频通话这类需要保护隐私的数据

答案：D

112.人力资源部门使用一套0A系统，用于管理所有员工的各种工资,绩效考核

等事宜。员工都可以登录系统完成相关需要员工配合的工作，以下哪项技术可以

保证数据的保密性：

A、SSL力口密

B、双因子认证

G加密会话cookie

D、IP地址校验

答案：A

113.事实授权访问控制模型(Fact-BasedAuthorization,FBA)是基于什么来动态

决定用户对资源的访问权限？

A、用户属性

B、用户历史行为和环境信息

C、系统管理员

D、用户角色

答案：B

114.Q:《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代

表大会常务委员会第二十九次会议于通过。

A、：2020年6月10日

B、：2020年6月11日

C、：2021年6月10日

D、：2021年6月11日

答案：C

115.通信协议要求通信者传输什么信息？

A、个人资料

B、身份信息

C、财务信息

D、账号密码信息

答案：B

116.Q:国家负责统筹协调网络安全工作和相关监督管理工作。

A、：网信部门

B、：公安部门

C、：工业和信息化部门

D、：电信管理部门

答案：A

117.数据安全防护要求不包括以下哪项？0

A、建立数据安全管理责任和评价考核制度

B、严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、

脱敏、去标识化等技术手段保护敏感数据安全

C、采购网络关键设备和网络安全专用产品目录中的设备产品时，应采购通过国家

检测认证的设备和产品。

D、因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全

评估

答案：C

118.关于密码技术和密码产品，以下说法正确的是？0

A、未经批准,禁止出口密码技术和密码产品,但进口不受限

B、密码技术和密码产品均是国家秘密,需实行专控管理

C、未经许可,禁止销售商用密码产品，但自行研发供自行使用不受限

D、未经指定，禁止生产商用密码产品

答案：B

119.Q:的运营者违反《中华人民共和国密码法》第二十七条第一款规定,未按照

要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的，由密码管

理部门责令改正,给予警告。

A、：网络基础设施

B、：关键信息基础设施

C、：关键信息安全设备

D、：网络关键设备

答案：B

120.Q:《网络安全审查办法》所称网络产品和服务不包括。

A、：重要通信产品

B、：云计算服务

C、：核心网络设备

D、：个人通信设备

答案：D

121.假冒身份是指攻击者伪装成以下哪种角色？

A、政府官员

B、企业高管

C、授权人员或合法用户

D、手机应用程序

答案：C

122.物联网中的数据备份和恢复为什么重要？

A、防止数据丢失和损坏

B、加快数据传输速度

C、降低数据存储成本

D、保护数据的隐私性

答案：A

123.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A）

A、突出重要系统，涉及所有等级，试点示范，行业推广，国家强制执行。

B、利用信息安全等级保护综合工作平台使等级保护工作常态化。

C、管理制度建设和技术措施建设同步或分步实施。

D、加固改造缺什么补什么,也可以进行总体安全建设整改规划。

答案：A

124.防止非法授权访问数据文件的控制措施，哪项是最佳的方式：

A、自动文件条目

B、磁带库管理程序

C、访问控制软件

D、锁定库

答案：C

125.为切实服务受重大突发事件影响的客户，支持受影响的个人、机构和行业，

银行业金融机构可以采取的措施不包括以下哪一项？()

A、减免受影响客户账户查询'挂失和补办、转账、继承等业务的相关收费

B、与受重大影响的客户协商调整债务期限、利率和偿还方式等

C、为受重大影响的客户提供续贷服务

D、适当延长受重大影响客户的报案时限减免保单补发等相关费用

答案：D

126.下列哪项关于区块链的定义是错误的？()

A、区块链信息服务是基于区块链技术或系统，通过互联网站、应用程序等网络平

台提供的信息服务。

B、时间戳是对时间和其他待签名数据进行签名得到的，用于表明数据时间属性的

数据

C、上链是具有特定功能的区块链组件,可独立运行的单元

D、智能合约是存储在分布式账本中的计算机程序，由区块链用户部署并自动执行,

其任何执行结果都记录在分布式账本中

答案：c

127.Q:国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等

方面进行合作,提高网络运营者的能力。

A、：数据运行

B、：体系建设

C、：安全保障

D、：安全意识

答案：C

128.公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,

可以没有批准手续，个人仍应当予以配合。

A、正确

B、错误

答案：B

129.物联网中的安全保障措施包括以下哪些方面？

A、访问控制

B、数据加密

C、安全审计

D、所有以上选项

答案：D

130.Q:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信

息保护义务的，由履行个人信息保护职责的部门责令改正,给予警告,没收违法所

得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,

并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处罚款。

A、：一万元以上二十万元以下

B、：五万元以上十万元以下

C、：一万元以上十万元以下

D、：五万元以上二十万元以下

答案：C

131.根据《征信业管理条例》的规定,征信机构对个人不良信息的保存期限，自不

良行为或者事件终止之日起为()年;超过()年的,应当予以删除。()

A、2

B、3

C、4

D、5

答案：D

132.从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会

议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客

观以及有利于防范网络安全风险的原则，并遵守以下规定,下列说法正确的是

A、：在发布网络产品安全漏洞时，修补或者防范措施可以不用发表。

B、：在国家举办重大活动期间，网络产品安全漏洞信息的发布没有限制。

C、：可以在一定范围内发布或者提供专门用于利用网络产品安全漏洞从事危害网

络安全活动的程序和工具。

D、：不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或

者个人提供。

答案：D

133.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描

述错误的是()。

A、信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所

采取的防范措施。

B、应急响应具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，

以及需要广泛的协调与合作

C、应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两

部分工作：安全事件发生时的正确指挥、事件发生后全面总结

D、既包括预防性措施，也包括事件发生后的应对措施

答案：C

134.DES的分组长度是()比特

A、128

B、160

C、64

D、256

答案：C

135.任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其

他非法方式获取数据。

A、正确

B、错误

答案：A

136.国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动

技术创新和经济社会发展。

A、正确

B、错误

答案：A

137.以下哪项是降低社会工程学攻击风险的有效措施？

A、增加网络防火墙的配置

B、提供员工教育和培训

C、定期进行漏洞扫描和渗透测试

D、使用强密码保护账户

答案：B

138.《中华人民共和国网络安全法》规定：（）

A、促进公共数据开放

B、保护关键信息基础设施

C、严打网络诈骗，明确“网络实名制”.

D、保护个人信息

E、以上都对

答案：E

139.公司审计中的个人信息处理活动应符合哪些要求？0

A、公司的销售战略

B、法律法规

C、董事会决议

D、领导的个人喜好

答案：B

140.POW是指()

A、权益证明

B、工作量证明

C、零知识证明

D、以上都不是

答案：B

141.以下4种对BLP模型的描述中，正确的是0：

A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”

B、LP模型用于保证系统信息的机密性，规则是“向下读，向上写”

C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”

D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”

答案：B

142.ZigBee采用了CSMA-CA0,同时为需要固定带宽的通信业务预留了专用时隙,

避免了发送数据时的竞争和冲突；明晰的信道检测

A、自愈功能

B、自组织功能

C、碰撞避免机制

D、数据传输机制

答案：c

143.比特币总共发行量有()万个

A、1050

B、1100

C、2100

D、4200

答案：C

144.以下不是《电子合同取证流程规范》(标准号:GB/T39321-2020)中规定的电

子取证的原则的()

A、合法有效

B、主观真实

C、完整

D、防篡改

答案：B

145.拒绝服务攻击(DD0S)是黑客常用手段，会严重影响系统与数据可用性，以

下属于DD0S防御手段的是()

A、流量清洗

B、过滤畸形包头

C、防火墙上开启SynfIood与UDPfIood过滤功能

D、增加数据库缓存层，缓解对数据库穿透访问带来的压力

答案：A

146.()应当与关键信息基础设施同步规划、同步建设、同步使用。()

A、安全背景审查

B、安全保护措施

C、网络安全检测

D、网络安全事件应急预案

答案：B

147.Q:违反《中华人民共和国数据安全法》规定,给他人造成损害的,并构成犯罪

的，（）

A、依法承担民事责任,并追究刑事责任

B、不用承担民事责任，但追究刑事责任

C、既不用承担民事责任，也不追究刑事责任

D、只用承担民事责任，不用追究刑事责任

答案：A

148.下面哪项不是社会工程学攻击的防范措施？

A、提供员工教育和培训

B、加强物理安全措施

C、建立安全文化

D、定期评估和审查安全措施

答案：B

149.区块链是一种：

A、分布式数据库技术

B、中心化数据库技术

C、人工智能算法

D、云计算技术

答案：A

150.根据《网络安全法》的规定，关键信息基础设施的运营者在中华人民共和国

境内运营中收集和产生的个人信息和重要数据应当在（）。因业务需要，确需向

境外提供的，应当按照国家（）会同国务院有关部门制定的办法进行安全评估,

法律、行政法规另有规定的，依照其规定。

A、境外存储公安部门

B、第三方中立机构存储监管机构

C、交由国家存储党中央

D、境内存储网信部门

答案：D

151.下不属于云计算与物联网融合模式的是

A、单中心-多终端模式

B、多中心-大量终端模式

C、信息应用分层处理-海量终端模式

D、单中心一单中端模式

答案：D

152.下列哪个不是访问控制参考模型的组成要素？

A、主体

B、参考监视器

C、客体

D、数据库管理系统

答案：D

153.情感分析是分析一句话是主观的描述还是客观描述，不用分辨其是积极情绪

还是消极情绪。

A、正确

B、错误

答案：B

154.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应

当设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进

行安全背景审查

A、正确

B、错误

答案：A

155.Q:网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出

书面通知之日起个工作日内完成初步审查。

A、:30

B、:60

C、:90

D、:10

答案：A

156.入侵检测技术不能实现以下哪种功能（）。

A、检测并分析用户和系统的活动

B、核查系统的配置漏洞，评估系统关键资源和数据文件的完整性

C、防止IP地址欺骗

D、识别违反安全策略的用户活动

答案：B

157.组织建立业务连续性计划（BCP）的是为了在遭遇灾难事件时，能够最大限度

地保护组织数据的实时性，完整性和一致性；

A、正确

B、错误

答案：A

158.0负责统筹协调个人信息保护工作和相关监督管理工作。

A、公安部门

B、网信部门

C、征信部门

D、大数据局

答案：B

159.中国物联网安全法规定了哪些网络安全事件的报告义务？

A、重大网络安全事件

B、跨境数据传输的网络安全事件

C、物联网设备的网络安全事件

D、所有以上选项

答案：D

160.智能合约是一种:

A、基于物理合同的数字化版本

B、编程代码，用于在区块链上执行合同条款

C、虚拟货币交易所

D、区块链节点的身份验证机制

答案：B

161.防止计算机中信息被窃采取的手段不包括。（）

A、用户识别

B、权限控制

C、病毒控制

D、数据加密

答案：C

162.防火墙的位置一般为（）

A、内外网连接的关口位置

B、内网敏感部门的出口位置

C、非军事区（DMZ）的两侧

D、以上都对

答案：D

163.Iinux命令中关于以下说法不正确的是（C）

A、PASS_MAX_DAYS90是指登陆密码有效期为90天。

B、PASS_WARN_AGE7是指登陆密码过期7天前提示修改。

C、FALL_DELAY10是指错误登陆限制为10次。

D、SYSLOG_SG_ENAByes当限定超级用于组管理日志时使用。

答案：c

164.国家鼓励开发网络数据安全保护和利用技术，促进（），推动技术创新和经

济社会发展。

A、国家政务数据开放

B、国家数据资源开放

C、公共数据资源开放

D、敏感数据合理开放

答案：C

165.关于信息系统安全等级保护第三级的系统运维管理，应对系统相关的人员进

行应急预案培训I,应急预案的培训至少（）举办一次。

A、每季度

B、每半年

C、每年

D、每2年

答案：C

166.Q:网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办

公室以（）形式将审查结论通知当事人

A、书面

B、口头

C、电话

D、电子邮件

答案：A

167.以下关于TCP协议的说法，哪个是正确的？

A、相比UDP,TCP传输更可靠，并具有更高的效率

B、TCP协议包头中包含了源IP和目的IP,因此TCP协议负责将数据传送到正确

的主机

C、TCP协议具有流量控制、数据校验、超时重发、接收确认等机制，因此能完

全可以替代IP协议

D、TCP协议虽然高可靠，但是比UDP协议过于复杂，传输效率要比UDP低

答案：D

168.字典攻击是指攻击者使用常见的用户名和密码组合进行尝试,以猜测用户的

凭据。以下哪种是字典攻击的示例？

A、密码猜测/暴力破解攻击

B、社会工程学攻击

C、中间人攻击

D、撞库攻击

答案：A

169.访问者可以是下列哪些？

A、用户

B、进程

C、应用程序

D、所有选项都是

答案：D

170.Q:网络安全审查办公室认为需要开展网络安全审查的,如果应情况复杂,可

以延长（）个工作日。

A、:15

B、:30

C、:60

D、:90

答案：A

171.Q:网络安全审查中涉及的数据处理活动不包括数据的。

A、：公开

B、：存储

C、：加工

D、：售卖

答案：D

172.《中华人民共和国网络安全法》规定，国家实行网络安全架构保护制度。

A、正确

B、错误

答案：B

173.Q:以下适用《中华人民共和国网络安全法》说法正确的是：

A、：关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的重要

数据的出境安全管理

B、：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要

数据的出境安全管理

C、：关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的一般

数据的出境安全管理

D、：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的一般

数据的出境安全管理

答案：B

174.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少

进行()次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工

作部门要求报送情况。()

A、—

B、二

C、三

D、四

答案：A

175.在访问控制中，RBAC模型中的权限继承是指：

A、用户继承角色的权限

B、角色继承用户的权限

C、角色继承其他角色的权限

D、用户继承其他用户的权限

答案：C

176.区块链中常用的哈希函数是()

A、MD5

B、SHA-256

C、SM3

D、SHA-3

答案：B

177.在访问控制中,RBAC模型中的角色可以与以下哪个概念对应?

A、用户组

B、文件权限

C、认证凭证

D、审计日志

答案：A

178.Q:国家网信部门负责统筹协调工作和相关监督管理工作

A、：个人信息保护

B、：个人信息搜集

C、：个人信息处理

D、：个人信息公布

答案：A

179.基于智能卡的认证方式包括哪两种因素？()

A、用户名和密码

B、IC卡和PIN

C、生物特征和算法

D、共享密钥和口令

答案：B

180.2020年微盟的离职人员心怀不满，利用远程登录方式销毁了在线电商数据,

对微盟的业务与营收造成了严重影响，这件事情警示大家，对账号的管理也应当

从严，以下哪项不属于账号生命周期管理。

A、账号创建

B、岗位变动后账号权限变更

C、离职人员账号关停审计

D、账号口令强度要求，最好是大小写字母结合数字与特殊字符的复杂口令

答案：D

181.大数据发展应当全面实施国家大数据战略，坚持统筹规划、创新引领原则。

A、正确

B、错误

答案：A

182.Q:国家负责统筹协调网络安全工作和相关监督管理工作。

A、：纪委部门

B、：工业和信息化部门

C、：网信部门

D、：通讯管理部门

答案：C

183.Q:国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共

利益且具有加密保护功能的商用密码实施。

A、：进口许可

B、：进口管制

C、：出口许可

D、：出口管制

答案：A

184.下述那项不是区块链中应用的技术()。

A、密码学

B、大数据

C、共识算法

D、P2P网络

答案：B

185.以下哪种访问控制模型是基于用户的个人身份来授权资源访问权限?

A、自主访问控制模型(DAC)

B、强制访问控制模型(MAC)

C、角色基础访问控制模型(RBAC)

D、属性基础访问控制模型(ABAC)

答案：A

186.LoRaWAN网络中的反重放攻击是指什么

A、攻击者重复发送相同的数据包

B、网络服务器重复发送相同的数据包

C、终端设备在同一时间窗口内发送多个数据包

D、网关将数据包重复传输到网络服务器

答案：A

187.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向

有关主管部门报送风险评估报告。

A、对

B、错

答案：A

188.Q:对于申报网络安全审查的采购活动，关键信息基础设施()应当通过采购

文件、协议等要求产品和服务()配合网络全审查。

A、运营者，提供者

B、提供者,运营者

C、运营者,运营者

D、提供者，提供者

答案：A

189.区块链中的零知识证明(Zero-KnowIedgeProof)用于解决什么问题？

A、隐私保护

B、数据完整性验证

C、交易速度优化

D、分布式网络安全

答案：A

190.PKI的主要理论基础是()

A、对称密码算法

B、公钥密码算法

C、量子密码

D、摘要算法

答案：B

191.身份信息在传输过程中是否可以被恶意篡改？

A、可以

B、不可以

C、取决于网络环境

D、取决于身份客体权限

答案：A

192.在无线网络安全威胁中不属于对传递信息的威胁的是

A、侦听

B、篡改

C、抵赖

D、屏蔽

答案：D

193.在访问控制中,MAC(Mandator可ccessControl)是指:

A、强制访问控制

B、自主访问控制

C、角色访问控制

D、访问控制列表

答案：A

194.秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等全生命周期

的每个环节

A、正确

B、错误

答案：A

195.公安部负责。

A、：统筹协调网络产品安全漏洞管理

B、：网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督

管理

C、：网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯

罪活动

D、：安全软件质检与协调开发

答案：C

196.对计算机信息系统中发生的案件,有关使用单位应当在0内向当地县级以上

人民政府公安机关报告。()

A、12小时

B、24小时

G48小时

D、72小时

答案：B

197.直接可识别性的例子如姓名、身份ID等基本身份信息,下列哪一项不属于直

接可识别性的例子？()

A、指纹

B、声纹

C、虹膜

D、牙模

答案：D

198.Q:个人信息处理者在处理个人信息前,无需以显著方式、清晰易懂的语言真

实、准确、完整地向个人告知下列哪些事项：

A、个人信息所有者的名称或者姓名和联系方式

B、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限

C、个人行使本法规定权利的方式和程序

D、法律、行政法规规定应当告知的其他事项

答案：A

199.某企业实施信息安全风险评估后，形成了若干文挡，下列文挡不应属于“风

险评估准备”阶段输出的文档是。

A、《风险评估工作计划》，主要包括本次风险评估的目的、意义'范围、目标、

组织结构、角色及职责、经费预算和进度安排等内容

B、《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工

具等内容

C、《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安

全措施等内容

D、《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、

风险计算方法、资产分类标准,资产分类准则等内容

答案：C

200.Q:国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用，保障

数据依法有序自由流动,促进以数据为关键要素的。

A、：数字经济发展

B、：数据经济发展

C、：智慧经济发展

D、：信息经济发展

答案：A

201.以下哪一行为,符合国家关于信息处理的要求？()

A、甲利用作为银行职员的便利为境外刺探,非法提供银行金融数据

B、甲银行APP软件未经客户明确同意,擅自收集客户的人脸信息

C、甲银行柜员乙为客户办理业务需要,经过客户同意,按照银行流程扫描客户身

份证原件

D、甲公司要求银行提供该公司员工乙的支付劳务工资记录,银行未经审查直接向

甲公司提供

答案：C

202.块链中的跨链技术(Cross-chain)用于解决什么问题？

A、区块链的数据隐私保护

B、区块链节点的身份验证

C、区块链的共识算法优化

D、不同区块链之间的数据互通

答案：D

203.访问控制是一种针对什么的防范措施？

A、病毒攻击

B、越权使用资源

C、网络拒绝服务攻击

D、网络钓鱼攻击

答案：B

204.关于数据库恢复技术，下列说法不正确的是：

A、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当

数据库中数据被破坏时，可以利用冗余数据来进行修复

B、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁

盘上保存起来，是数据库恢复中采用的基本技术

C、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复

和系统故障恢复，并协助后备副本进行介质故障恢复

D、计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障

发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作

称为提交

答案：D

205.关键系统关键岗位的人员，要求（）。

A、关键岗位人员需要经过背景调查

B、关键岗位人员离职需遵守脱密流程

C、技能必须匹配

D、以上都是

答案：D

206.自主访问控制模型（DAC）的访问控制可以用访问控制表（ACL）来表示，下

面选项中说法正确的是（）。

A、CL是BeII-LaPaduIa模型的一种具体实现

B、ACL在删除用户时，去除该用户所有的访问权限比较方便

C、ACL对于统计某个主体能访问哪些客体比较方便

D、ACL管理或增加客体比较方便

答案：B

207.数据的单位，从小到大依次排序正确的是？

A、TB<GB<MB<KB

B、MB<GB<TB<PB

GPB<TB<MB<GB

D、MB<TB<EB<GB

答案：B

208.Q:在（）的领导下建立了国家网络安全审查工作机制。

A、：中央网络安全和信息化委员会

B、：中华人民共和国国家安全部

C、：中华人民共和国工业和信息化部

D、：中华人民共和国公安部

答案：A

209.以下哪种访问控制模型是基于定义的访问控制策略来控制对资源的访问权

限？

A、自主访问控制模型(DAC)

B、强制访问控制模型(MAC)

C、角色基础访问控制模型(RBAC)

D、基于策略的访问控制模型(PBAC)

答案：D

210.Q:以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有

关规定确定

A、：省级

B、：市级

C、：县级

D、：区级

答案：C

211.对数据处理活动依法作出的安全审查决定为最终决定。

A、正确

B、错误

答案：A

212.以下哪种访问控制模型是基于用户角色分配来确定用户的访问权限？

A、自主访问控制模型(DAC)

B、强制访问控制模型(MAC)

C、角色基础访问控制模型(RBAC)

D、属性基础访问控制模型(ABAC)

答案：C

213.以下做法错误的是：()

A、严禁涉密系统一机两网

B、涉密硬盘报废后可以格式化后废品回收

C、用于连接互联网的PC不得处理涉密信息

D、密级高的数据不得向非密系统导入

答案：B

214.Q:商用密码检测、认证机构违反《中华人民共和国密码法》第二十五条第二

款、第三款规定开展商用密码检测认证的,没有违法所得或者违法所得不足三十

万元的,可以并处罚款。

A、：十万元以下

B、：十万元以上二十万元以下

C、：二十万元以上三十万元以下

D、：十万元以上三十万元以下

答案：D

215.CA是PKI系统的最核心部件,它的功能包括以下哪些？0

A、证书的签发和更新

B、证书的作废、冻结和解冻

C、证书的查询或下载

D、所有选项都是正确的

答案：D

216.Q:违反《网络安全法》第二十七条规定,从事危害网络安全的活动,或者提供

专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的

活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没

收违法所得，处日以下拘留,可以并处以上以下罚款。

A、：一日二万元十万元

B、：五日五万元五十万元

C、：五日五万元五十万元

D、：十日四万元二十万元

答案：C

217.以下哪项不属于政务数据共享的类型？

A、无条件共享

B、有条件共享

C、不予共享

D、部分共享

答案：D

218.网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网

络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志

不少于（）个月。

A、5

B、6

C\7

D、8

答案：B

219.认证服务器在单点登录(SSO)过程中的主要职责是什么？

A、生成访问票据并存放在Cookie中

B、验证用户的登录请求并确认其合法性

C、建立安全访问通道与应用系统通信

D、检查Cookie的有效性并进行验证

答案：B

220.关于A叩收集儿童数据,以下哪种做法是正确的？()

A、不需要获得家长或监护人同意,因为这些数据对APP运营至关重要

B、需要在APP中添加父母授权功能,以便父母同意数据收集

C、允许未成年人自主决定是否授权数据收集

D、可以随意收集儿童数据,只需在隐私政策中声明即可

答案：B

221.Q:涉及国家秘密信息的，依照执行。

A、：国家有关保密规定

B、：网络安全审查办法

C、：关键信息基础设施安全保护条例

D、：中华人民共和国国家安全法

答案：A

222.:负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏

洞监督管理。

A、：国家互联网信息办公室

B、：工业和信息化部

C、：公安部

D、：国安局

答案：B

223.访问控制的目的是为了限制什么？

A、访问主体对访问客体的访问权限

B、访问客体对访问主体的访问权限

C、访问主体和客体之间的通信权限

D、访问主体和客体之间的数据传输速度

答案：A

224.拒绝服务攻击可能导致的后果是（）。

A、信息不可用

B、应用程序不可用

C、系统宕机,阻止通信

D、上面几项都是

答案：D

225.Q:商用密码产品检测认证适用的有关规定,避免重复检测认证。

A、：《中华人民共和国密码法》

B、：《中华人民共和国数据安全法》

c、：《中华人民共和国网络安全法》

D、：《中华人民共和国个人信息保护法》

答案：C

226.Q:网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信

息,或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改

正;拒不改正或者情节严重的,处罚款,并可以由有关主管部门责令暂停相关业务、

停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主

管人员和其他直接责任人员处一万元以上十万元以下罚款。

A、：十万元以上五十万元以下

B、：二十万元以上一百万元以下

C、：二十万元以上二百万元以下

D、：五万元以上五十万元以下

答案：D

227.数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中

数据封装顺序是：

A、传输层'网络接口层、互联网络层

B、传输层、互联网络层、网络接口层

C、互联网络层、传输层'网络接口层

D、互联网络层'网络接口层'传输层

答案：B

228.以下哪些政务数据不得开放？。

A、涉及国家秘密

B、商业秘密

C\个人隐私

D、以上全部都是

答案：D

229.信息系统安全保护等级为3级的系统，应当()年进行一次等级测评？

A、0.5

B、1

C、2

D、3

答案：B

230.密码可以保障数