数据安全管理知识竞赛考试题库大全-上（单选题）

数据安全管理知识竞赛考试题库大全-上（单选题汇总）

一、单选题

1.数据的单位，从小到大依次排序正确的是？

A、TB<GB<MB<KB

B、MB<GB<TB<PB

GPB<TB<MB<GB

D、MB<TB<EB<GB

答案：B

2.事实授权访问控制模型（Fact-BasedAuthorization,FBA）是基于什么来动态决

定用户对资源的访问权限？

A、用户属性

B、用户历史行为和环境信息

C、系统管理员

D、用户角色

答案：B

3.Q:国家积极开展（）等领域的国际交流与合作，参与数据安全相关国际规则和

标准的制定,促进数据跨境安全、自由流动。

A、数据安全监管、数据开发利用

B、数据安全治理'数据开发利用

C、数据安全监管'数据开发存储

D、数据安全治理、数据开发存储

答案：B

4.关于源代码审核，下列说法正确的是：

A、人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点

B、源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定

位可能导致安全弱点的薄弱之处

C、使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核

D、源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的

薄弱之处

答案：D

5.Q:网络安全审查工作机制成员单位,意见（）的，按照特别审查程序处理，特别

审查程序一般应当在90个工作日内完成。

A、一致

B、不一致

C、部分一致

D、部分不一致

答案：B

6.以下做法，正确的是（）。

A、离职后将个人负责的项目的敏感文档一并带走

B、将敏感信息在云盘备份

C、会议室使用完毕后及时擦除白板

D、在公共场所谈论敏感信息

答案：C

7.以下哪种访问控制模型是基于一组属性规则来确定用户对资源的访问权限？

A、自主访问控制模型(DAC)

B、强制访问控制模型(MAC)

C、角色基础访问控制模型(RBAC)

D、属性基础访问控制模型(ABAC)

答案：D

8.隐私保护和合规性的目的是什么？

A、防止物理安全威胁

B、保护个人信息和敏感数据的安全和隐私

C、提高网络防火墙的性能

D、加速数据传输速度

答案：B

9.Q:除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所

必要的()时间

A、两倍

B、三倍

G四倍

D、最短

答案：D

10.网络社会工程学攻击利用了哪些原理？

A、心理学和社交技巧

B、网络传播和信息交换

C、病毒和恶意软件的编写和传播

D、以上都不是

答案：A

11.关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应

当通过国家网信部门会同国务院有关部门组织的（）。

A、国家网络审查

B、国家涉密审查

C、国家采购审查

D、国家安全审查

答案：D

12.Q:个人信息处理者利用个人信息进行自动化决策，应当保证决策的（）和结果

公平、公正,不得对个人在交易价格等交易件上行不合理的差别待遇

A、：可行性

B、自动化

C、透明度

D、精准度

答案：C

13.以下哪种访问控制模型是基于用户的个人身份来授权资源访问权限?

A、自主访问控制模型(DAC)

B、强制访问控制模型(MAC)

C、角色基础访问控制模型(RBAC)

D、属性基础访问控制模型(ABAC)

答案：A

14.关于信息安全管理体系的作用，下面理解错误的是

A、对内而言，有助于建立起文档化的信息安全管理规范，实现有“法”可依，

有据可查

B、对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方法收入来弥补

投入

C、对外而言，有助于使各科室相关方对组织充满信心

D、对外而言，规范工作流程要求，帮助界定双方各自信息安全责任

答案：B

15.多因素身份验证包括以下哪些因素？

A、用户名和密码

B、令牌和生物识别

C、网络流量分析和数据包过滤

D、加密和解密算法

答案：B

16.运营者的()对关键信息基础设施安全保护负总责。

A、安全运维团队

B、信息中心负责人

C、生产责任人

D、主要负责人

答案：D

17.组织建立信息安全管理体系并持续运行，其中错误的是（）

A、建立文档化的信息安全管理规范，实现有章可循

B、强化员工的信息安全意识，培育组织的信息安全企业文化

C、对服务供应商要求提供证明其信息安全合规的证明

D、使组织通过国际标准化组织的IS09001认证

答案：D

18.基于身份的攻击通常始于什么类型的活动？

A、网络钓鱼活动

B、恶意软件攻击

C、中间人代理攻击

D、SIM卡交换攻击

答案：A

19.网络安全等级保护建设的流程是什么？

A、定级、备案、监督检查、建设整改、等级测评

B、定级、备案、建设整改、等级测评,监督检查

C、建设整改、等级测评、监督检查、定级、备案

D、等级测评、定级、备案、建设整改、监督检查

答案：B

20.Q:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信

息保护义务的，由履行个人信息保护职责的部门责令改正,给予警告,没收违法所

得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的，

并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处罚款。

A、：一万元以上二十万元以下

B、：五万元以上十万元以下

C、：一万元以上十万元以下

D、：五万元以上二十万元以下

答案：C

21.对全球重点国家的数据跨境转移要求划分成高中低风险，依据风险的高低即

合规措施模式对各国家/地区进行归类分级,并给每一等级的国家适配统一的合

规措施,最终形成包含合规措施的数据跨境传输风险矩阵,不包括下列哪一等级?

0

A、严格管控

B、适度管控

C、宽松管控

D、谨慎管控

答案：D

22.语句SELECT'ACCP'FR0MDUAL的执行结果是()

A、CCP

B、X

C、编译错

D\提示未选中行

答案：A

23.为了规范网络产品安全漏洞发现、报告、修补和发布等行为，防范网络安全风

险,根据,制定本规定。

A、：《中华人民共和国科学技术进步法》

B、：《中华人民共和国刑法》

C、：《中华人民共和国网络安全法》

D、：《中华人民共和国宪法》

答案：C

24.证书颁发机构的名称是什么？0

A、PKI公钥基础设施

B、Kerberos认证协议

C、A数字证书认证中心

D、公安局

答案：D

25.在单点登录(SS0)中，为什么采用SSL进行用户、应用系统和认证服务器之间

的通信？

A、提高用户体验

B、加快应用系统的响应速度

C、减小敌手截获和窃取信息的可能性

D、增加数据的传输效率

答案：C

26.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：(A)

A、突出重要系统，涉及所有等级，试点示范，行业推广，国家强制执行。

B、利用信息安全等级保护综合工作平台使等级保护工作常态化。

C、管理制度建设和技术措施建设同步或分步实施。

D、加固改造缺什么补什么,也可以进行总体安全建设整改规划。

答案：A

27.密码可以保障数据安全，但数据安全不能单纯依靠安全的密码算法、密码协

议也是重要组成部分。下面描述中，错误的是()

A、在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限

制和框住的执行步骤，有些复杂的步骤可以不明确处理方式。

B、密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤，协议

中的每个参与方都必须了解协议，且按步骤执行。

C、根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信息的

人，也可能是敌人和互相完全不信任的人。

D、密码协议(CryptographicprotocoI),有时也称安全协议(securityprotocoI),

是使用密码学完成某项特定的任务并满足安全需求的协议，其末的是提供安全服

务。

答案：A

28.在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风

险评估实施的各个阶段中，该《清单》应是()

A、风险评估准备

B、风险要素识别

C\风险分析

D\风险结果判定

答案：B

29.Q:国家大力推进电子政务建设，提高政务数据的科学性、准确性、，提升运用

数据服务经济社会发展的能力。

A、：创新性

B、：公平性

C、：便民性

D、：时效性

答案：D

30.在中国境外处理中国境内自然人个人信息的活动的场景，哪个不适用《中华

人民共和国个人信息保护法》。

A、以向境内自然人提供产品或者服务为目的

B、以向境外自然人提供产品或者服务为目的

C、大规模分析、评估境内自然人的行为

D、法律与行政法规规定的其他情形

答案：B

31.在车载系统中，CAN总线是什么

A、一种汽车品牌的总线标准

B、一种车载音响系统

C、一种用于车辆通信的总线标准

D、一种驾驶员的控制界面

答案：c

32.重放攻击是指攻击者截获合法用户的身份验证流量,并在稍后的时间重新发

送该流量,以冒充合法用户进行身份验证。以下哪种是重放攻击的示例？

A、跨站点脚本(XSS)攻击

B、令牌劫持攻击

C、生物特征欺骗攻击

D、社会工程学攻击

答案：B

33.明朝时期，科举考生首先要考县试，县试之前需要递交“亲供”包含祖上三

代的信息，以及考生本人的姓名、年龄、籍贯、体貌特征和曾祖父母、祖父母、

父母三代的姓名履历，以确保考生出身良民世家方可参加考试。这在数据安全治

理中体现了什么理念和措施？

A、侧写画像

B、关键岗位关键人员必须进行背景调查

C、身份认证

D、以上都对

答案：D

34.区块链是一种：

A、分布式数据库技术

B、中心化数据库技术

C、人工智能算法

D、云计算技术

答案：A

35.Q:任何组织、个人收集数据，应当采取()的方式，不得窃取或者以其他非法

方式获取数据。

A、：合法、正当

B、：合规、正当

C、：合法、恰当

D、：合规'恰当

答案：A

36.根据《网络安全法》的规定,网络产品、服务的提供者实施哪种行为会受到处

罚？()

A、提供符合相关国家标准的强制性要求的网络产品、服务；

B、不在网络产品、服务中设置恶意程序；

C、在规定或者当事人约定的期限内,终止提供安全维护；

D、发现网络产品、服务存在安全缺陷,漏洞等风险时，立即采取补救措施，按照

规定及时告知用户并向有关主管部门报告。

答案：C

37.根据中国银保监会监管数据安全管理办法(试行)内容,各业务部门及受托机

构发生以下监管数据重大安全风险事项时,应立即采取应急处置措施,及时消除

安全隐患,防止危害扩大,并于0小时内向归口管理部门报告？()

Ax12小时

B、6小时

C\1小时

D、48小时

答案：D

38.访问控制的目的是为了限制什么？

A、访问主体对访问客体的访问权限

B、访问客体对访问主体的访问权限

C、访问主体和客体之间的通信权限

D、访问主体和客体之间的数据传输速度

答案：A

39.跨站点脚本(XSS)攻击是指攻击者通过在受信任的网站上注入恶意脚本,以窃

取用户的凭据或会话信息。XSS攻击通常利用的是以下哪个安全漏洞？

A、密码猜测漏洞

B、输入验证漏洞

C、会话劫持漏洞

D、中间人攻击漏洞

答案：B

40.爬虫技术本身是中立的，因此可以利用爬虫爬取数据

A、正确

B、错误

答案：A

41.Q:违反《中华人民共和国数据安全法》第三十六条规定,未经主管机关批准向

外国司法或者执法机构提供数据并造成严重后果的,处罚款,并可以责令暂停相

关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管

人员和其他直接责任人员处五万元以上五十万元以下罚款。

A、：十万元以上一百万元以下

B、：五十万元以上一百万元以下

C、：一百万元以上五百万元以下

D、：一百万元以上一千万元以下

答案：C

42.以下哪一项不属于常见的风险评估与管理工具：

A、基于信息安全标准的风险评估与管理工具

B、基于知识的风险评估与管理工具

C、基于模型的风险评估与管理工具

D、基于经验的风险评估与管理工具

答案：D

43.准备登陆电脑系统时，发现有人在您的旁边看着，正确做法是（）

A、不理会对方

B、提示对方避让

C、报警

D、关机后禺开

答案：B

44.A叩收集敏感用户数据时应该（）。（）

A、在APP中嵌入广告，以此换取用户数据

B、强制用户授权所有权限

C、明确告知用户数据收集的目的和方式,并获得用户明示同意

D、不需要获得用户同意，因为这些数据对A叩运营至关重要

答案：C

45.以下哪种访问控制模型是基于用户角色分配来确定用户的访问权限？

A、自主访问控制模型(DAC)

B、强制访问控制模型(MAC)

C、角色基础访问控制模型(RBAC)

D、属性基础访问控制模型(ABAC)

答案：C

46.以下4种对BLP模型的描述中，正确的是()：

A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”

B、LP模型用于保证系统信息的机密性，规则是“向下读，向上写”

C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”

D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”

答案：B

47.下列哪一规定的颁布被誉为数据领域“哥白尼革命”式的立法，特别注重“数

据权利保护”与“数据自由流通”之间的平衡？()

A、《加州隐私权利法》

B、《通用数据保护条例》(GDPR)

C、《弗吉尼亚州消费者数据保护法》

D、《科罗拉多州隐私法案》

答案：B

48.关于信息安全管理体系(InformationSecurityManagementSystems,ISMS),

下面描述错误的是()。

A、信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以

及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践

要素

B、管理体系(ManagementSystems)是为达到组织目标的策略'程序'指南和相

关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用

C、概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是

指按照IS027001标准定义的管理体系，它是一个组织整体管理体系的组成部分

D、同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，

健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内

容

答案：A

49.Wi-Fi使用系列协议

A、IEEA802.11

B、IEEE802.12

GIEEE802.11

D、IEEE803.11

答案：C

50.Q:违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非

法向他人提供个人信息,尚不构成犯罪的，由公安机关没收违法所得,并处违法所

得以上以下罚款,没有违法所得的,处以下罚款。

A、：十倍一百倍一百万元

B、：一倍十倍一百万元

C、:一倍一百倍二十万元

D、：十倍一百倍二百万元

答案：B

51.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进

行0次网络安全检测和风险评估，对发现的安全问题及时整改,并按照保护工作

部门要求报送情况。()

A、—

B、二

C、三

D、四

答案：A

52.一种被广为接受的应急响应方法是将应急响应管理过程分为6个阶段，准备

T检测T遏制T根除T恢复T跟踪总结。请问下列说法有关于信息安全应急响应

管理过程错误的是()：

A、确定重要资产和风险，实施针对风险的防护措施是信息安全应急响应规划过

程中最关键的步骤

B、在检测阶段，首先要进行监测、报告及信息收集

C、遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有

完全关闭所有系统、断网等

D、应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤，顺次恢复

相关的系统

答案：A

53.为保障数据可用性，系统设计时应关注（）。

A、网络拓扑结构是否存在单点故障

B、主要网络设备以及关键业务的服务器是否冗余

C、通信线路是否有多条链路

D、是否有数据备份与恢复验证措施

E、以上都对

答案：E

54.若要系统中每次缺省添加用户时，都自动设置用户的宿主目录为/users,需修

改哪一个配置文件？（）

A、/etc/defauIt/useradd

B、/etc/login.defs

Cv/etc/shadow

Dv/etc/passwd

答案：A

55.下面哪个是社会工程学的常见形式？

A、加密技术

B、数据分析

C、钓鱼攻击

D、防火墙配置

答案：c

56.根据《中华人民共和国个人信息保护法》有关规定，为履行法定职责或者法

定义务所必需的个人信息采集场景，无需取得个人同意

A、正确

B、错误

答案：A

57.撞库攻击是指攻击者通过获取已经泄露的用户名和密码组合,尝试在其他网

站或服务中使用这些凭据进行身份验证。这种攻击利用了用户倾向于：

A、使用弱密码

B、使用相同的用户名和密码组合

C、喜欢使用公共计算机进行认证

D、在社交媒体上公开个人信息

答案：B

58.实施灾难恢复计划之后，组织的灾难前和灾难后运营成本将：

A、降低

B、不变

C、提图

D、提高或降低（取决于业务的性质）

答案：C

59.中间人攻击是指攻击者在用户和身份验证服务器之间插入自己的设备或软件,

以截获和篡改身份验证信息。以下哪种是中间人攻击的示例？

A、密码猜测/暴力破解攻击

B、跨站点脚本（XSS）攻击

C、侧信道攻击

D、令牌劫持攻击

答案：D

60.口令安全管理中，下列哪个原则是不正确的？

A、口令应至少包含8个字符以上

B、口令应包含大小写字母、数字和特殊字符

C、口令可以与账号相同

D、口令应有时效机制，定期更换

答案：C

61.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应

当定期对从业人员进行网络安全教育、技术培训和技能考核。

A、正确

B、错误

答案：A

62.某电商系统RPO（恢复点目标）指标为1小时。请问这意味着（）

A、该信息系统发生重大安全事件后，工作人员应在1小时内到位，完成问题定

位和应急处理工作

B、信息系统发生重大安全事件后，工作人员应在1小时内完整应急处理工作并

恢复对外运行一RTO

C、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，

系统至少能提供1小时的紧急业务服务能力

D、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后,

系统至多能丢失1小时的业务数据

答案：D

63.在单点登录(SSO)认证过程中，为什么需要使用SSL通道来传递Cookie?

A\提图用户体验

B、加快应用系统的响应速度

G增加Cookie的安全性

D、减小Cookie被截获的可能性

答案：D

64.数据交易应当遵循()原则。

A、自愿原则

B、公平原则

C、诚信原则

D、以上都正确

答案：D

65.什么是系统变更控制中最重要的内容？

A、所有的变更都必须文档化，并经过审批

B、变更应通过自动化工具来实施

C、应维护系统的备份

D、通过测试和批准来确保质量

答案：A

66.Q:网络运营者应当为、国家安全机关依法维护国家安全和侦查犯罪的活动提

供技术支持和协助。

A、：网信部门

B、：公安机关

C、：工信部门

D、：法院

答案：B

67.零信任(ZT)身份验证是什么？

A、不信任任何用户或设备,需要对每个请求进行身份验证和授权。

B、只信任内部用户，不信任外部用户。

C、只信任特定设备，不信任其他设备。

D、只信任特定网络,不信任其他网络。

答案：A

68.口令破解是针对系统进行攻击的常用方法，windows系统安全策略中应对口

令破解的策略主要是帐户策略中的帐户锁定策略和密码策略，关于这两个策略说

明错误的是

A、密码策略主要作用是通过策略避免拥护生成弱口令及对用户的口令使用进行

管控

B、密码策略对系统中所有的用户都有效

C、账户锁定策略的主要作用是应对口令暴力破解攻击，能有效地保护所有系统

用户应对口令暴力破解攻击

D、账户锁定策略只适用于普通用户，无法保护管理员账户应对口令暴力破解攻

击

答案：D

69.Q:关于数据,下列说法错误的是：

A、：使用纸质记录的文字等信息不是数据，因此不适用《中华人民共和国数据安

全法》。

B、：电子记录的文字等信息是数据，因此适用《中华人民共和国数据安全法》。

C、：数据处理是指数据的收集、存储、使用、加工、传输、提供、公开等。

D、：数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,

以及具备保障持续安全状态的能力。

答案：A

70.Q:网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产

品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信

息化委员会批准后，依照的规定进行审查。

A、：《网络安全审查办法》

B、：《中华人民共和国数据安全法》

C、：《中华人民共和国网络安全法》

D、：《关键信息基础设施安全保护条例》

答案：A

71.配置如下两条访问控制列表:access-1istlpermitW.100.10.10.0,255,255

access-1ist2permit10.100.100,1000.0,255.255访问控制列表1和2,所控制

的地址范围关系是：（D）

A、1和2的范围相同

B、1的范围在2的范围内

C、2的范围在1的范围内

D、1和2的范围没有包含关系

答案：D

72.物联网安全是指什么？

A、保护物联网设备的物理安全

B、保护物联网设备免受未经授权的访问和攻击

C、保护物联网设备的电源供应

D、保护物联网设备的网络连接速度

答案：B

73.Q:违反《中华人民共和国密码法》第二十九条规定,未经认定从事电子政务电

子认证服务的，由责令改正或者停止违法行为,给予警告，没收违法产品和违法所

得。

A、：国家网信部门

B、：密码管理部门

C、：保密行政管理部门

D、：国务院商务主管部门

答案：B

74.令牌劫持攻击是指攻击者获取合法用户的身份验证令牌或会话标识符,并使

用它们来冒充该用户进行身份验证。以下哪种是令牌劫持攻击的示例？

A、密码猜测/暴力破解攻击

B、重放攻击

C、中间人攻击

D、侧信道攻击

答案：B

75.下列物件中不体现物联网智能处理特征的是

A、数据库

B、虚拟机

C、云储存

D、智能卡

答案：D

76.网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网

络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志

不少于个月。

A、:8

B、:7

C、:6

D、:5

答案：C

77.linux中关于登陆程序的配置文件默认的为（B）

A、/etc/pam.d/system-auth

B、/etc/login.defs

C、/etc/shadow4

D、/etc/passwd

答案：B

78.以下哪一项不是常见威胁对应的消减措施：

A、假冒攻击可以采用身份认证机制来防范

B、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的

完整性

C、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防

止抵赖

D、为了防止用户提升权限，可以采用访问控制表的方式来管理权限

答案：C

79.Q:违反《中华人民共和国密码法》第十四条规定，情节严重的，由（）建议有

关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者

处理。

A、：国家网信部门

B、：密码管理部门

C、：保密行政管理部门

D、：国务院商务主管部门

答案：B

80.Q:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络

的安全性和可能存在的风险检测评估。

A、：至少半年一次

B、：至少一年一次

C、：至少两年一次

D、：至少每年三次

答案：B

81.企业应针对数据网络安全设置应急预案与实地演练,下列说法错误的是？()

A、应每两年至少组织开展1次本组织的应急演练。关键信息基础设施跨组织、

跨地域运行的,应定期组织或参加跨组织、跨地域的应急演练

B、应在应急预案中明确，一旦信息系统中断、受到损害或者发生故障时,需要维

护的关键业务功能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间

C、应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程

D、应急预案不仅应包括本组织应急事件的处理,也应包括多个运营者间的应急事

件的处理

答案：A

82.根据《征信业管理条例》的规定,个人信息主体有权每年()免费获取本人的信

用报告。()

A、一次

B、两次

G三次

D、四次

答案：B

83.PDCERF方法是信息安全应急响应工作中常用的一种方法，它将应急响应分成

六个阶段。其中：下线中病毒的主机,修改防火墙过滤规则等动作属于哪个阶段

()

A、准备阶段

B、遏制阶段

C、根除阶段

D、检测阶段

答案：B

84.国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障

数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

A、对

B、错

答案：A

85.数字中国，最重要的生产要素是〔〕

A、资本

B、互联网

C、高智商劳动力

D、数据

答案：D

86.定密责任人在职权范围内承担有关国家秘密的()工作。

A、确定

B、变更

C\解除

D、以上都不正确

答案：B

87.Q:制定《网络安全审查办法》的目的不包括。

A、确保关键信息基础设施供应链安全

B、保障网络安全和数据安全

C、维护国家安全

D、构建绿色网络环境

答案：D

88.Q:关键信息基础设施的运营者违反《中华人民共和国密码法》第二十七条第

一款规定,拒不改正或者导致危害网络安全等后果的,对直接负责的主管人员处

罚款。

A、：一万元以下

B、：一万元以上三万元以下

C、：三万元以上十万元以下

D、：一万元以上十万元以下

答案：D

89.在访问控制中，ABAC(Attribute-BasedAccessControI)的特点是：

A、基于角色的访问控制

B、基于资源的访问控制

C、基于属性的访问控制

D、基于策略的访问控制

答案：C

90.某电商网站进入系统设计阶段，为了保证用户账户安全，开发人员决定用户

登陆时除了用户名口令认证方式外，另加入基于数字证书的身份认证功能，同时

用户口令经算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安

全设计原则：

A、最小特权原则

B、职责分离原则

C、纵深防御原则

D、最少共享机制原则

答案：C

91.Q:违反《中华人民共和国数据安全法》规定，给他人造成损害的，并构成犯罪

的，（）

A、依法承担民事责任,并追究刑事责任

B、不用承担民事责任，但追究刑事责任

C、既不用承担民事责任，也不追究刑事责任

D、只用承担民事责任，不用追究刑事责任

答案：A

92.下列国密算法中,那个是公钥密码算法0

A、SM2

B、SM3

C\SM4

D、SM9

答案：A

93.生物识别身份验证方法包括以下哪些？

A、指纹识别'面部识别、虹膜扫描、声纹识别、手掌识别等

B、智能卡、USB密钥等

C、用户名和密码或PIN

D、双因素/多因素身份验证

答案：A

94.数据本地化是数据跨境管理的一种措施,通常理解为某一主权国家/地区,通

过制定法律或规则来限制本国/地区数据向境外流动，是对数据出境进行限制的

做法之一。下列哪一国家采取的是境内存储副本,对转移或出境无限制的模式？0

A、中国

B、印度

C、荷兰

D、美国

答案：B

95.如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选

项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法

是（）。

A、访问控制列表（ACL）

B、能力表（CL）

GBLP模型

D、Biba模型

答案：A

96.Q:网络运营者应当为、国家安全机关依法维护国家安全和侦查犯罪的活动提

供技术支持和协助。

A、：公安机关

B、：网信部门

C、：纪委部门

D、：检察院

答案：A

97.对于用户删除账号和数据,以下哪种做法是不正确的？()

A、提供用户删除账号和数据的功能

B、删除用户数据的备份和镜像

C、限制用户删除账号和数据的时间和方式

D、在用户提交删除请求后及时处理并回复用户

答案：C

98.ZigBee根据服务与需求使多个器件之间进行通信()

A、物理层

B、MAC层

C、网络/安全层

D、支持/应用层

答案：A

99.某电商网站发现一个价值1000元的商品被1元下单买走。分析后得出的结论

是：出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包方式修改

了添加道购物车的商品价格，而付款时没有验证的环节，导致藻羊毛事件发生。

对于该事件原因及整改措施。下列那种说法最正确

A、该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似问题，

网站的访问都强制要求使用https

B、网站开发前没有进行如威胁建模，没有找到该威胁并采取相应的消减措施

C、网站强制使用Https协议，并在付款时验证商品价格

D、不是网站的问题，应报警要求警察介入

答案：C

100.某企业实施信息安全风险评估后，形成了若干文挡，下列文挡不应属于“风

险评估准备”阶段输出的文档是。

A、《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、

组织结构、角色及职责、经费预算和进度安排等内容

B、《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工

具等内容

C、《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安

全措施等内容

D、《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、

风险计算方法、资产分类标准,资产分类准则等内容

答案：C

101.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应

当（）。

A、定期对从业人员进行网络安全教育、技术培训和技能考核

B、对重要系统和数据库进行容灾备份

C、制定网络安全事件应急预案，并定期进行演练

D、设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员

进行安全背景审查

E、以上都对

答案：E

102.Q:国家鼓励参与商用密码国际标准化活动。

A、：企业

B、：社会团体

C、：教育和科研机构

D、：以上都是

答案：D

103.情感分析是分析一句话是主观的描述还是客观描述，不用分辨其是积极情绪

还是消极情绪。

A、正确

B、错误

答案：B

104.Q:各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并

指导、督促有关单位做好宣传教育工作。

A、：网络安全

B、：数据安全

C、：信息安全

D、：体系安全

答案：A

105.物联网中的安全策略制定应考虑哪些因素？

A、风险评估

B、合规要求

C、技术限制

D、所有以上选项

答案：D

106.小王自驾车到一座陌生的城市出差，则对他来说可能最为有用的是

A、保护车辆的外观

B、保护车辆的发动机

C、保护车辆的乘客和驾驶员

D、保护车辆的音响系统

答案：C

107.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法

规的规定，建立健全（）管理制度。

A、数据风险评估

B、数据泄露应急处置

C、数据交易

D、全流程数据安全

答案：D

108.Q:违反《中华人民共和国数据安全法》第三十五条规定，拒不配合数据调取

的，由有关主管部门责令改正,给予警告,并处罚款,对直接负责的主管人员和其

他直接责任人员处一万元以上十万元以下罚款。

A、：五千元以上一万元以下

B、：一万元以上十万元以下

C、：五万元以上五十万元以下

D、：二十万元以上一百万元以下

答案：C

109.微软提出了STRIDE模型，其中Repudation（抵赖）的缩写，关于此项安全

要求，下面描述错误的是（）

A、某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，这种威胁

就属于Repudation

B、解决Repudation威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、

数字签名、安全审计等技术措施

C、Repudation威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁

的严重程度更高

D、解决Repudation威胁，也应按照确定建模对象'识别威胁、评估威胁以及消

减威胁等四个步骤进行

答案：C

110.侵犯未成年人在网络空间合法权益的情形包括未经监护人同意，收集使用（）

周岁以下（含）未成年人个人信息。（）

A、8

B、12

C、14

D、16

答案：C

111.网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网

络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志

不少于（）个月。

A、5

B、6

C、7

D、8

答案：B

112.银行保险监督管理机构应当按照县级以上人民政府及法定授权部门对突发

事件的应对要求,审慎评估突发事件对银行保险机构造成的影响,依法履行的职

责不包括下列哪一项内容？（）

A、加强对突发事件引发的区域性、系统性风险的监测、分析和预警

B、督促银行保险机构按照突发事件应对预案，保障基本金融服务功能持续安全运

转

C、配合银行保险机构提供突发事件应急处置金融服务

D、引导银行保险机构积极承担社会责任

答案：C

113.假冒身份是指攻击者伪装成以下哪种角色？

A、政府官员

B、企业高管

C、授权人员或合法用户

D、手机应用程序

答案：C

114.负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违

法犯罪活动。

A、：国家互联网信息办公室

B、：工业和信息化部

C、：公安部

D、：国安局

答案：C

115.下不属于云计算与物联网融合模式的是

A、单中心-多终端模式

B、多中心-大量终端模式

C、信息应用分层处理-海量终端模式

D、单中心一单中端模式

答案：D

116.下列对爬虫使用说法错误的是（）。（）

A、网络数据爬取应限于对开放数据的获取。如果网络爬虫获取非开放的数据，

便涉嫌违法甚至犯罪

B、数据爬虫技术不应具有侵入性,可以说,爬虫的侵入性是其违法性的主要体现

C、数据爬取应当基于正当目的，对开放数据的获取可能因不符合正当目的而具有

违法性

D、爬取公开数据时即使突破网站或App的反爬虫技术设置进行的爬取行为,行为

人不需承担刑事责任

答案：D

117.Q:关于《中华人民共和国数据安全法》下列说法正确的是：

A、：在中华人民共和国境内开展数据处理活动及其安全监管，适用《中华人民共

和国数据安全法》。

B、：中华人民共和国数据安全法》所称数据,是指任何以电子或者其他方式对文

字的记录。

C、：公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,

可以不按国家有关规定进行调查。

D、：境内的组织、个人可以随意向外国司法或者执法机构提供存储于中华人民共

和国境内的数据。

答案：A

118.重要涉密部门的人员选配，应当坚持（）的原则，并定期进行考核，不适合

的应及时调整。

A、谁选配谁负责

B\先审后用

C、先选后训

D、边审边用

答案：B

119.社交工程学攻击者主要利用以下哪个因素来欺骗目标？

A、技术手段

B、社交技巧和人际交往

C、网络协议

D、数字证书

答案：B

120.数据本地化要求数据服务器位于本法域境内,在境内存储或处理数据。目前,

全球多个国家/地区提出了本地化要求,宽严程度有所不同,几种模式交织并行。

下列哪一国家不是采用境内存储、处理模式的？()

A、美国

B、土耳其

G澳大利亚

D、俄罗斯

答案：D

121.根据《网络安全法》的规定，网络运营者应当为公安机关、国家安全机关依

法维护国家安全和侦查犯罪的活动提供技术支持和协助。

A、正确

B、错误

答案：A

122.组织建立业务连续性计划(BCP)的作用包括：

A、在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致

性；

B、提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、

应用和数据；

C、保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，

确保业务系统的不间断运行，降低损失；

D、以上都是。

答案：D

123.《网络安全法》第37条核心规定包括下列哪一项？()

A、涉及个人信息和重要数据未做区分设计

B、自评估的具体内容

C、监管进行安全审查的标准

D、需境内存储，若有需要境外提供，需经安全评估

答案：D

124.个缺陷，则可以计算出其软件缺陷密度值是

A、0.0005

B、0.05

C、0.5

D、5

答案：C

125.在访问控制中,RBAC(RoIe-BasedAccessControI)是指:

A、基于用户的访问控制

B、基于角色的访问控制

C、基于资源的访问控制

D、基于策略的访问控制

答案：B

126.块链中的跨链技术(Cross-chain)用于解决什么问题？

A、区块链的数据隐私保护

B、区块链节点的身份验证

C、区块链的共识算法优化

D、不同区块链之间的数据互通

答案：D

127.如果某业务系统定位网络安全等级保护三级，在其遭受灾难性网络攻击严重

影响业务系统使用，对社会造成恐慌时，公安机关需调查取证，在取证时，应关

注()。

A、查看攻击的源IP

B、攻击的类型

C、攻击的时间

D、查看相关系统的syslog日志

E、以上都对

答案：E

128.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重

要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。

A、正确

B、错误

答案：A

129.嵌入式系统中的安全芯片是指什么

A、专用芯片，用于提供硬件级安全功能

B、芯片上的加密引擎，用于执行密码算法

C、芯片上的安全存储器，用于保存加密密钥

D、芯片上的防火墙，用于阻止外部攻击

答案：A

130.以下登录口令设置，安全强度最高的是？

A、1314520

B、Admin123

C、rootl23456

Dvcptbtptp77!

答案：D

131.Q:违反《中华人民共和国密码法》第二十六条规定,违法所得元以上的,可以

并处违法所得一倍以上三倍以下罚款。

A、：十万元

B、：二十万元

C、：三十万元

D\:五十万元

答案：A

132.Q:以下行为违反《网络安全审查办法》的是（）。

A、：不利用提供产品和服务的便利条件非法获取用户数据

B、：不非法控制和操纵用户设备

C、：不中断产品供应或者必要的技术支持服务

D、：关键信息基础设施运营者采购网络产品和服务不主动申报网络安全审查

答案：D

133.多因素身份验证的目的是什么？

A、提高用户方便性

B、减少数据传输的复杂性

C、加强身份验证的安全性

D、加速系统登录速度

答案：C

134.以下哪项是降低社会工程学攻击风险的有效措施？

A、增加网络防火墙的配置

B、提供员工教育和培训

C、定期进行漏洞扫描和渗透测试

D、使用强密码保护账户

答案：B

135.Q:以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有

关规定确定

A、：省级

B、：市级

C、：县级

D、：区级

答案：C

136.负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违

法犯罪活动。

A、：国家互联网信息办公室

B、：工业和信息化部

C、：国安局

D、：公安部

答案：D

137.网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。

没有数据承接方的，应当对数据()处理。()

A、封存

B、删除

C、匿名化

D、存储

答案：C

138.下面哪种情况可以被视为社会工程学攻击的目标?

A、数据中心的物理安全

B、强密码设置

C、员工培训计划

D、服务器硬件升级

答案：C

139.以下哪种行为不适用《数据安全法》？()

A、中国境内开展数据处理活动的行为

B、中国境外开展数据处理活动的行为

C、中国境外开展数据处理活动损害中国国家利益的行为

D、中国境外开展数据处理活动损害公民合法权益的行为

答案：B

140.国家互联网信息办公室负责工作。

A、：统筹协调网络产品安全漏洞管理

B、：网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督

管理

C、：网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯

罪活动

D、：安全软件质检与协调开发

答案：A

141.涉密人员离岗,离职前，应当将所保管和使用的国家秘密载体全部清退，并

。。

A、登记销毁

B、订卷归档

C、办理移交手续

D\不一定办理移交手续

答案：C

142.关于数据库恢复技术，下列说法不正确的是：

A、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当

数据库中数据被破坏时，可以利用冗余数据来进行修复

B、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁

盘上保存起来，是数据库恢复中采用的基本技术

C、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复

和系统故障恢复，并协助后备副本进行介质故障恢复

D、计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障

发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作

称为提交

答案：D

143.假设单位机房的总价值为2000万元人民币，暴露系数(ExposureFactor,E

F)25%,年度发生率(AnnuaIizedRateofOccurrence,ARO)为0.1,那么计算的

年度预期损失(AnnuaIizedLossExpectancy,ALE)应该是()。

A、50万元人民币

B、500万元人民币

C、25万元人民币

D、250万元人民币

答案：A

144.负责统筹协调网络产品安全漏洞管理工作。

A、：国家互联网信息办公室

B、：工业和信息化部

C、：公安部

D、：国安局

答案：A

145.运输、携带、邮寄计算机信息媒体进出境的，应当如实向()申报。()

A、省级以上人民政府公安机关

B、国家安全部

C、国家保密局

D、海关

答案：D

146.智能卡身份验证需要什么？

A、需要智能卡读卡器和智能卡

B、需要指纹识别设备和智能卡

C、需要面部识别设备和智能卡

D、需要虹膜扫描设备和智能卡

答案：A

147.Q:国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共

利益或者中国承担国际义务的商用密码实施。

A、：进口许可

B、：进口管制

C、：出口许可

D、：出口管制

答案：D

148.Q:商用密码检测、认证机构违反《中华人民共和国密码法》第二十五条第二

款、第三款规定开展商用密码检测认证的,没有违法所得或者违法所得不足三十

万元的,可以并处罚款。

A、：十万元以下

B、：十万元以上二十万元以下

C、：二十万元以上三十万元以下

D、：十万元以上三十万元以下

答案：D

149.Q:可以依法使用商用密码保护网络与信息安全。

A、：公民

B、：法人

C、：其他组织

D、：以上都是

答案：D

150.CTO在对企业的信息系统进行风险评估后，考虑企业业务系统中部分涉及电

商支付的功能模块风险太高，他建议该企业以放弃这个功能模块的方式来处理风

险，请问这种风险处置的方法是（）

A、降低风险

B\规避风险

C\放弃风险

D、转移风险

答案：B

151.Q:为了保障网络安全，维护网络空间主权和国家安全、，保护公民、法人和其

他组织的合法权益，促进经济社会信息化健康发展,制定本法。

A、：民族利益

B、：社会公共利益

C、：私人企业利益

D、：国有企事业单位利益

答案：B

152.某社交网站的用户点击了该网站上的一个广告。该广告会将浏览器定向到一

个网游网站，网游网站获得了该用户的社交网络信息。这种向Web页面插入恶意

html代码的攻击方式称为()

A、分布式拒绝服务攻击

B、跨站脚本攻击

C、SQL注入攻击

D、缓冲区溢出攻击

答案：B

153.实践中常使用软件缺陷密度(Defects/KLPC)来衡量软件的安全性，假设某

个软件共有30万行源代码，总共检出150个缺陷，则可以计算出其软件缺陷密

度值是()

A、0.0005

B、0.05

C、0.5

D、5

答案：C

154.关键系统关键岗位的人员，要求（）。

A、关键岗位人员需要经过背景调查

B、关键岗位人员离职需遵守脱密流程

C、技能必须匹配

D、以上都是

答案：D

155.以下行为存在信息泄露隐患的是（）?

A、打印文件后删除打印机缓存内容

B、使用碎纸机粉碎看过的重要资料

C、为方便办公拍摄屏幕

D、数据在U盘加密处理

答案：C

156.物联网中的物理安全措施主要包括以下哪些方面?

A、锁定物联网设备的物理位置

B、安装视频监控设备

C、控制物联网设备的物理访问权限

D、所有以上选项

答案：D

157.国家()负责统筹协调网络安全工作和相关监督管理工作。()

A、电信主管部门

B、网信部门

C、工业和信息化部门

D、公安部门

答案：A

158.组织建立业务连续性计划(BCP)的是为了保证发生各种不可预料的故障、破

坏性事故或灾难情况时,能够持续服务，确保业务系统的不间断运行，降低损失；

A、正确

B、错误

答案：A

159.以下Windows系统的账号存储管理机制SAM(SecurityAccoumtsManager)

的说法哪个是正确的：

A、存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性

B、存储在注册表中的账号数据administrator账户才有权访问，具有较高的安

全性

C、存储在注册表中的账号数据任何用户都可以直接访问，灵活方便

D、存储在注册表中的账号数据只有System账号才能访问，具有较高的安全性

答案：D

160.生物特征认证一般需要经过哪三个过程？0

A、图像采集、特征提取和特征匹配

B、用户名和密码、共享密钥和口令、算法

C、IC卡和PIN、共享密钥和口令、算法

D、随机数值、共享密钥和口令、算法

答案：A

161.Q:违反《中华人民共和国密码法》规定，构成犯罪的，依法追究。

A、：刑事责任

B、：民事责任

C、：刑事诉讼

D、：民事诉讼

答案：A

162.敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵

害或者人身、财产安全受到危害的个人信息，哪项不属于《中华人民共和国个人

信息保护法》多定义的个人敏感信息。

A、宗教信仰

B、金融账户、行踪轨迹

C、医疗健康、生物特征

D、组织部领导任命前的公示信息

答案：D

163.Q:商用密码清单由国务院商务主管部门会同国家密码管理部门和海关总署

制定并公布。

A、：进口许可和出口管制

B、：进口许可和出口许可

c、：进口管制和出口管制

D、：进口管制和出口许可

答案：A

164.履行个人信息保护职责的部门履行开展个人信息保护宣传教育，指导、监督

个人信息处理者开展个人信息保护工作的职责。

A、对

B、错

答案：A

165.社会工程学是一种攻击技术,利用以下哪方面的原理？

A、数学

B、心理学和社交工程学

G物理学

D、经济学

答案：B

166.中国物联网安全法规定了哪些网络安全事件的报告义务？

A、重大网络安全事件

B、跨境数据传输的网络安全事件

C、物联网设备的网络安全事件

D、所有以上选项

答案：D

167.Q:国家推动参与国际标准化活动,参与制定相关国际标准，推进相关中国标

准与国外标准之间的转化运用。

A、：核心密码

B\:普通密码

C、：民用密码

D、：商用密码

答案：D

168.关于数据安全管理，以下哪项说法不合理（）?

A、数据安全应当全员参与

B、人是薄弱的环节

C、部署数据安全的产品就可以解决数据安全问题

D、有必要增强数据安全意识培训

答案：C

169.Q:国家机关应当遵循、公平、便民的原则，按照规定及时、准确地公开政务

数据。依法不予公开的除外。

A、：创新

B、：公正

C、：准确

D、：开放

答案：B

170.网络社会工程学攻击的防范措施应该包括哪些方面？

A、提高警觉性、保护个人信息、使用安全软件、定期更新密码等

B、提高人际交往能力、增强自信心、增强抵抗力、加强运动等

C、提高学历水平、增强沟通能力、增加社交圈子、扩大人脉等

D、以上都不是

答案：A

171.6.主体通常是什么？

A、文件

B、用户

C、应用服务

D、数据

答案：B

172.LoRaWAN网络中的反重放攻击是指什么

A、攻击者重复发送相同的数据包

B、网络服务器重复发送相同的数据包

C、终端设备在同一时间窗口内发送多个数据包

D、网关将数据包重复传输到网络服务器

答案：A

173.APT攻击往往利用社会工程学、结合蠕虫、病毒、木马、Oday漏洞、注入攻

击、勒索加密等多种复杂的组合手段。

A、正确

B、错误

答案：A

174.访问控制的主体是指什么？

A、一个提出请求或要求的实体,是动作的发起者

B、接受其他实体访问的被动实体

C、主动发起访问请求的实体

D、被动接受访问请求的实体

答案：A

175.Q:违反《中华人民共和国数据安全法》第三十六条规定，未经主管机关批准

向外国司法或者执法机构提供数据的，由有关主管部门给予警告,可以并处十万

元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处罚

款。

A、：一万元以上十万元以下

B、：五万元以上一百万元以下

C、：十万元以上一百万元以下

D、：二十万元以上二百万元以下

答案：A

176.提高Apache服务器系统安全性时，下面哪项措施不属于安全配置()？

A、不在Windows下安装Apache,只在Linux和Unix下安装

B、安装Apache时，只安装需要的组件模块

C、不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户

账号来运行

D、积极了解Apache的安全通告，并及时下载和更新

答案：A

177.下列针对数据安全的运维要求中，正确的操作是()。

A、确认需要备份的是哪些数据/数据库，设定备份与归档的策略

B、从数据备份的完整性与成本方面的均衡角度考虑，增量备份结合全量备份是

一个推荐的措施

C、需要对备份后的数据进行恢复校验，以确保恢复后的数据可用

D、定期对数据相关风险进行评估

E、以上都对

答案：E

178.证书的有效期是多久？（）

A、10/20

B、20/30

C、30/40

D、40/50

答案：A

179.经济合作与发展组织（）在下列哪一年发布《隐私保护和跨境个人数据流动指

南》（），鼓励数据跨境和自由流动。（）

A、1967年

B、1968年

G1990年

D、1980年

答案：D

180.《中华人民共和国数据安全法》于（）起施行。

A、2021年6月1日

B、2021年8月1日

C\2021年9月1日

D、2021年10月1日

答案：C

181.SIM卡交换攻击中，攻击者假装丢失原来的电话号码，然后请求什么?

A、重置受害者的MFA设置

B、转移受害者的电话号码到自己的SIM卡上

C、发送恶意软件给受害者的设备

D、窃取受害者的个人信息

答案：B

182.下列国密算法中，那个是对称密码算法0

A、SM3

B、SM4

C、SM2

D、SM9

答案：B

183.ZigBee的()负责设备间无线数据链路得建立、维护与结束

A、物理层

B、MAC层

C、网络/安全层

D、支持/应用层

答案：C

184.以下数据中不属于国家核心数据的是()。

A、关系国家安全的数据

B、关系国民经济命脉的数据

C、关系重要民生的数据

D、关系公共利益的数据

答案：D

185.强制访问控制模型(MandatoryA.ccessControl,MAC)基于什么来确定资源的

访问权限？

A、资源所有者授权

B、用户角色分配

C、固定的安全策略和标签

D、用户行为和环境信息

答案：C

186.依据《电信和互联网用户个人信息保护规定》，下列那项说法是错误的？()

A、电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明

确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒

绝提供信息的后果等事项

B、电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的

用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫

等方式或者违反法律、行政法规以及双方的约定收集、使用信息

C、电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中

收集、使用的用户个人信息可以未经用户同意向其关联公司提供

D、电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联

网信息服务后,应当停止对用户个人信息的收集和使用，并为用户提供注销号码

或者账号的服务

答案：C

187.《中华人民共和国网络安全法》规定，国家实行网络安全（）保护制度。

A、架构

B、分级

C、涉密

D、等级

答案：D

188.访问控制包含哪三个要素？

A、主体、客体、控制策略

B、服务器、数据库、客户端

C、用户名'密码、验证码

D、IP地址、端口号、协议类型

答案：A

189.ZigBee采用了CSMA-CAO,同时为需要固定带宽的通信业务预留了专用时隙,

避免了发送数据时的竞争和冲突；明晰的信道检测

A、自愈功能

B、自组织功能

C、碰撞避免机制

D、数据传输机制

答案：c

190.恢复时间目标（RTO）和恢复点目标（RPO）是信息系统灾难恢复中的重要概

念，关于这两个值能否为零，正确的选项是（）

A、RTO可以为0,RPO也可以为0

B、RTO可以为0,RPO不可以为0

C、RTO不可以为0,但RPO可以为0

D、RTO不可以为0,RPO也不可以为0答案

答案：A

191.Q:任何组织或者个人窃取他人加密保护的信息或者非法侵入他人的密码保

障系统。

A、：允许

B、：不得

C、：可以

D、：经批准可以

答案：B

192.以太坊属于（）

A、私有链

B、公有链

C、联盟链

D、以上都不是

答案：B

193.下列国密算法中,那个是哈希算法（）

A、SM9

B、SM4

C、SM2

D、SM3

答案：D

194.为什么说在网络环境下,信任不是对一个人的可靠性认可？

A、因为网络环境下,人们很容易伪造身份信息。

B、因为网络环境下,人们很难判断对方的可靠性。

C、因为网络环境下,信任主要是基于秘密信息。

D、因为在网络环境下，信息主要是基于权限控制。

答案：C

195.Q:网络安全审查重点评估相关对象或者情形的国家安全风险因素不包括（）。

A、产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏

的风险

B、产品和服务供应报价对关键信息基础设施业务运维成本的影响

C、产品和服务提供者遵守中国法律、行政法规'部门规章情况

D、核心数据'重要数据或者大量个人信息被窃取'泄露、毁损以及非法利用、

非法出境的风险

答案：B

196.Q:《个人信息保护法》通过的时间是：

A、：2021年8月17日

B、：2021年8月18日

C、：2021年8月19日

D、：2021年8月20日

答案：D

197.物联网的安全漏洞可能导致以下哪些风险？

A、个人隐私泄露

B、设备被远程控制

C、数据泄露

D、所有以上选项

答案：D

198.UNIX/Linux系统中，使用哪种方式来标识文件的访问权限信息？

A、4比特位模式

B、6比特位模式

C、8比特位模式

D、10比特位模式

答案：C

199.防火墙(FirewalI)通过什么来保护内部网络免受未经授权的访问和攻击?

A、身份验证

B、双因素认证

C、过滤网络流量

D、定义的访问控制策略

答案：C

200.Kerberos认证协议是哪种身份认证协议？0

A、基于生物特征认证协议

B、基于智能卡认证协议

C、基于时间同步认证协议

D、基于用户名和密码认证协议

答案：C

201.访问者可以是下列哪些？

A、用户

B、进程

C、应用程序

D、所有选项都是

答案：D

202.在单点登录(SS0)认证过程中，Cookie的作用是什么？

A、存储用户的登录凭据

B、保存用户的个人信息

C、传递访问票据和用户信息

D、加密用户的通信数据

答案：C

203.以下哪一行为,符合国家关于信息处理的要求？()

A、甲利用作为银行职员的便利为境外刺探,非法提供银行金融数据

B、甲银行APP软件未经客户明确同意,擅自收集客户的人脸信息

C、甲银行柜员乙为客户办理业务需要,经过客户同意，按照银行流程扫描客户身

份证原件

D、甲公司要求银行提供该公司员工乙的支付劳务工资记录,银行未经审查直接向

甲公司提供

答案：C

204.科举考生在贡院考试时，全程有兵丁在考场最高建筑“明远楼”巡视，如发

现交头接耳，飞鸽传书等舞弊问题，白天摇旗，夜间举火，这在数据安全保护场

景下是采用了哪种措施？

A、加密

B、隔离

C、异常行为监测与告警

D、身份认证

答案：C

205.工业和信息化部负责。

A、：统筹协调网络产品安全漏洞管理

B、：网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督

管理

C、：网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯

罪活动

D、：安全软件质检与协调开发

答案：B

206.若一个组织声称自己的信息安全管理体系符合IS0/TEC27001或GB22080标

准要求，其信息安全控制措施不包括哪一项（）

A、信息安全方针、信息安全组织、资产管理

B、人力资源安全、物理和环境安全、通信和操作管理

C、访问控制、信息系统获取、开发和维护、符合性

D、规划与创建信息安全管理体系

答案：D

207.从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会

议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客

观以及有利于防范网络安全风险的原则，并遵守以下规定,下列说法正确的是

A、：在发布网络产品安全漏洞时，修补或者防范措施可以不用发表。

B、：在国家举办重大活动期间，网络产品安全漏洞信息的发布没有限制。

C、：可以在一定范围内发布或者提供专门用于利用网络产品安全漏洞从事危害网

络安全活动的程序和工具。

D、：不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或

者个人提供。

答案：D

208.秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等全生命周期

的每个环节

A、正确

B、错误

答案：A

209.拒绝服务攻击(DD0S)是黑客常用手段，会严重影响系统与数据可用性，以

下属于DD0S防御手段的是()

A、流量清洗

B、过滤畸形包头

C、防火墙上开启SynfIood与UDPfIood过滤功能

D、增加数据库缓存层，缓解对数据库穿透访问带来的压力

答案：A

210.人力资源部门使用一套0A系统，用于管理所有员工的各种工资、绩效考核

等事宜。员工都可以登录系统完成相关需要员工配合的工作，以下哪项技术可以

保证数据的保密性：

A、SSL力口密

B、双因子认证

G加密会话cookie

D、IP地址校验

答案：A

211.Q:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信

息保护义务的，由履行个人信息保护职责的部门责令改正,给予警告,没收违法所

得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的，

并处罚款

A、：一百万元以下

B、：一百万元以上

C、：两百万元以上

D、：任意金额

答案：A

212.以下哪种行为不适用《个人信息保护法》？()

A、在中国境内因商业服务处理自然人个人信息；

B、在中国境外以向境内自然人提供产品或者服务为目的处理境内自然人个人信

息；

C、在中国境外分析、评估境内自然人的行为；

D、在中国境内因个人事务处理自然人个人信息。

答案：D

213.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应

当对重要系统和数据库进行容灾备份

A、正确

B、错误

答案：A

214.Q:为了防范风险,当事人应当在审查期间按照网络安全审查要求采取的()

措施

A、预防和消减风险

B、提高服务质量

C、降低服务成本

D、扩展业务

答案：A

215.Q:在中华人民共和国开展数据处理活动及其安全监管适用《中华人民共和国

数据安全法》

A、：境内部分地区

B、：境内以及境外

C、：境外

D、：境内

答案：D

216.根据《中华人民共和国个人信息保护法》规定，个人信息的处理包括个人信

息的收集、（存储、使用、加工、传输、提供、公开、删除等。

A、对

B、错

答案：A

217.根据《中华人民共和国个人信息保护法》规定，个人信息处理者应对其个人

信息处理活动负责，并采取必要措施保障所处理个人信息的安全。

A、对

B、错

答案：A

218.声纹是生物特征之一，但是不建议利用声纹进行验证，原因是什么？

A、可能会有波形拼接方式的攻击攻陷声纹识别系统

B、可以利