数据安全管理知识竞赛考试题库大全-下（多选、判断题）

数据安全管理知识竞赛考试题库大全-下(多选'判断题汇

总)

多选题

1.MFA可以使用哪些因素进行身份验证？

A、用户名和密码

B、指纹和密码

C、面部识别和密码

D、短信验证码

E、智能卡

答案：BCDE

2.计算机信息系统的安全保护工作，重点维护()等重要领域的计算机信息系统的

安全。()

A、国家事务

B、经济建设

C、国防建设

D、尖端科学技术

答案：ABCD

3.在单点登录(SSO)过程中，Cookie被用于存放什么信息？

A、用户的登录凭据

B、访问票据

C、用户的个人信息

D、SSL通道的加密密钥

E、应用系统的配置信息

答案：BC

4.以下哪些是UNIX/Linux系统访问控制的应用参考？

A、文件读写访问控制

B、进程访问控制

C、内存访问控制

D、用户账户认证

E、IP地址限制

答案：ABCD

5.《网络产品安全漏洞管理规定》由颁布。

A、：国家互联网信息办公室

B、：工业和信息化部

C、：国安局

D、：公安部

答案：ABD

6.Q:关于《中华人民共和国数据安全法》下列说法正确的是：

A、：开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》

等法律、行政法规的规定

B、：《中华人民共和国数据安全法》自2021年9月1日起施行

C、：《中华人民共和国数据安全法》于2021年9月1日通过

D、：《中华人民共和国数据安全法》所称数据，是指任何以电子或者其他方式对

文字的记录。

答案：AB

7.以下哪些是访问控制的应用场景类型？

A、物理访问控制

B、网络访问控制

C、操作系统访问控制

D、数据库/数据访问控制

E、应用系统访问控制

答案：ABCDE

8.关于风险要素识别阶段工作内容叙述正确的是：

A、资产识别是指对需求保护的资产和系统等进行识别和分类

B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性

C、脆弱性识别以资产为核心，针对每一项需求保护的资产，识别可能被威胁利

用的弱点，并对脆弱性的严重程度进行评估

D、确认已有的安全措施仅属于技术层面的工作，章涉到具体方面包括：物理平

台'系统平台、网络平台和应用平台

答案：ABC

9.Q：属于国家秘密的密码是。

A、：核心密码

B、：普通密码

C、：商用密码

D、：民用密码

答案：AB

10.UNIX/Linux系统中实现自主访问控制的基本方法是什么

A、使用”9比特位模式”标识文件的访问权限信息

B、基于用户组的访问控制

C、依赖数字证书进行身份验证

D、使用访问控制列表(ACL)来控制文件访问权限

E、运行访问控制管理软件来控制访问

答案：ABD

11.以下关于“最小特权”原则理解错误的是：

A、敏感岗位不能由一个人长期负责

B、对重要的工作分解，分配给不同人员完成

C、一个人有且仅有其执行岗位工作所足够的许可和权限

D、防止员工由于轮岗累积越来越多的权限

答案：ABD

12.以下哪项属于个人信息影响的评估场景？()

A、处理敏感个人信息，

B、利用个人信息进行自动化决策

C、委托处理个人信息、向第三方提供个人信息、公开个人信息

D、向境外提供个人信息

答案：ABCD

13.Q:开展数据处理活动,下列说法不正确的是：。

A、：遵守法律、法规,尊重社会公德和伦理

B、：不用遵守商业道德和职业道德

C、：履行数据安全保护义务,承担社会责任

D、：从事数据处理活动时不考虑国家安全

答案：BD

14.对密码系统的攻击类型包括0

A、选择明文攻击

B、选择密文攻击

C、已知明文攻击

D、唯密文攻击

答案：ABCD

15.部署虚拟专用网(InternetprotocoISecurityVirtuaIPrivateNetwork,IPse

eVPN)时，以下说法错误的是:

A、配置MD5安全算法可以提供可靠的数据加密

B、配置AES算法可以提供可靠的数据完整性验证

C、部署IPsecVPN网络时，需要考虑IP地址的规划，尽量在分支节点使用可以

聚合的IP地址段，来减少IPsec安全关联(SecurityAuthentication,SA)资源

的消耗

D\报文验证头协议(AuthenticationHeader,AH)可以提供数据机密性

答案：ABD

16.下述哪些是哈希函数的性质()

A、单向性

B、输出是固定长度

C、抗原像攻击

D、抗强碰撞攻击

答案：ABCD

17.Q:个人信息处理者可以采取下列措施确保个人信息处理活动符合法律、行政

法规的规定，井防止未经授权的访问以及个人信息泄露、篡改、丢失

A、：对个人信息实行分类管理

B、：采取相应的加密、去标识化等安全技术措施

C、：制定内部管理制度和操作规程

D、：合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训

答案：ABCD

18.根据《网络安全法》的规定，网络运营者不得（）其收集的个人信息，经过处理

无法识别特定个人且不能复原的除外。（）

A、泄露

B、篡改

C、毁损

D、使用

答案：ABC

19.电信业务经营者、互联网信息服务提供者应当采取以下哪些措施防止用户个

人信息泄露、毁损、篡改或者丢失。（）

A、确定各部门、岗位和分支机构的用户个人信息安全管理责任

B、建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度

C、妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应

的安全储存措施

D、记录对用户个人信息进行操作的人员、时间、地点、事项等信息

答案：ABCD

20.假设您收到一封邮件,主题是“您的账户已被锁定”。邮件内容如下:尊敬的

客户,我们很遗憾地通知您,我们的系统检测到您的账户存在异常活动。为了保护

您的账户安全，我们已经暂时锁定了您的账户。请点击以下链接以解锁您的账户。

［链接］如果您认为这是误报，请忽略此邮件。谢谢。客服团队问题：以下哪些选项

是正确的？

A、这封邮件可能是一封钓鱼邮件。

B、如果您点击该链接并提供您的账户信息，您的账户可能会被黑客攻击者控制。

C、如果您认为这是误报并忽略该邮件，您的账户将会被解锁。

D、如果您收到这封邮件，您应该立即点击链接以解锁您的账户。

E、如果您收到这封邮件，您应该立即回复邮件并要求客服解锁您的账户。

答案：AB

21.违反本规定收集、发布网络产品安全漏洞信息的，由依据各自职责依法处理。

A、：国家互联网信息办公室

B、：工业和信息化部

C、：公安部

D、：国安局

答案：BC

22.Q:密码管理部门和有关部门、单位的工作人员在密码工作中泄露、非法向他

人提供在履行职责中知悉的，依法给予处分。

A、：商业秘密

B、：国家秘密

C、：军事机密

D、：个人隐私

答案：AD

23.降低风险（或减低风险）指通过对面的风险的资产采取保护措施的方式来降

低风险，下面哪些措施属于降低风险的措施（）

A、减少威胁源，采用法律的手段制裁计算机的犯罪，发挥法律的威慑作用，从

而有效遏制威胁源的动机

B、签订外包服务合同，将存在风险的任务通过签订外包合同给与第三方完成，

通过合同条款问责应对风险

C、减低威胁能力，采取身份认证措施，从而抵制身份假冒这种威胁行为的能力

D、减少脆弱性，及时给系统打补丁，关闭无用的网络服务端口，从而减少系统

的脆弱性，降低被利用可能

答案：ACD

24.银行业金融机构数据治理应当遵循以下那些基本原则？（）

A、全覆盖原则

B、匹配性原则

C、持续性原则

D、有效性原则

答案：ABCD

25.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应

当。。

A、定期对从业人员进行网络安全教育、技术培训和技能考核

B、对重要系统和数据库进行容灾备份

C、制定网络安全事件应急预案，并定期进行演练

D、设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员

进行安全背景审查

答案：ABCD

26.Q:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与

数据安全相关国际规则和标准的制定，下列说法正确的是

A、：数据跨境需要监管

B、：为了商业利益可以出售任何数据

C、：直接将数据提交给国外司法机构

D、：数据在交易之前应该接受审查

答案：AD

27.网络运营者在公开收集个人信息的过程中，应当()？()

A、不与被收集者沟通

B、取得被收集者同意

C、自动记录个人信息并保存

D、对收集的规则和目的进行公开

答案：BD

28.在网络中传输数据，如果由于网络质量不佳或拥塞而导致丢包，此时TCP协

议会采用哪些动作保障数据完整性。

A、网络拥塞时，TCP协议有拥塞控制机制，调整发送数据包的速率与流量避免

拥塞

B、超时重传机制，保障传输数据的完整性

C、滑动窗口机制，动态适应网络变化与数据传输要求

D、切换到UDP协议，尽力传输

答案：ABC

29.假设您接到一通电话,对方自称是您的银行客服,告诉您有人在试图从您的账

户中转出大笔资金。对方要求您立即通过电话或短信提供个人信息或验证码,以

便帮助您防止资金被盗。以下是该电话的一些特征:-对方声称来自您的银行客服

部门。-对方称有人试图从您的账户中转出大笔资金。-对方要求您立即通过电话

或短信提供个人信息或验证码。-对方声称这是为了帮助您防止资金被盗。-对方

声称如果您不提供信息或验证码，您的账户将会被冻结或关闭。问题:以下哪些选

项是正确的？

A、这通电话可能是一起电信诈骗。

B、如果您提供个人信息或验证码，您的账户可能会被黑客攻击者控制。

C、银行客服部门通常会在电话中要求客户提供个人信息或验证码。

D、如果您不提供信息或验证码，您的账户将会被冻结或关闭。

E、如果您怀疑这是一起电信诈骗,最好的做法是不要提供任何个人信息或验证码,

并立即联系银行客服部门以确认该电话是否真实。正确

答案：ABE

30.Q:发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即

采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列

事项：

A、：发生或者可能发生个人信息泄露、篡改、丢失的信息种类；

B、：发生或者可能发生个人信息泄露、篡改、丢失的原因和可能造成的危害；

C、：个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施

D、：个人信息泄露者的联系方式

答案：ABC

31.以下哪个拒绝服务攻击方式是流量型拒绝服务攻击

A、Land

B、UDPFIood

C、Smurf

D、Teardrop

答案：ABC

32.Q:密码管理部门因工作需要,按照国家有关规定，可以提请公安,交通运输、

海关等部门对有关物品和人员提供免检等便利，有关部门应当予以协助。

A、：核心密码

B、：民用密码

C、：商用密码

D、：普通密码

答案：AD

33.生物特征认证一般需要经过以下哪些过程?

A\图像米集

B、特征提取

C、图像处理

D、特征匹配

E、哈希计算

答案：ABD

34.Q:网络安全事件应急预案应当按照事件发生后的等因素对网络安全事件进行

分级。

A、：事件等级

B、：危害程度

C、：关注程度

D、：影响范围

答案：BD

35.以下哪些是访问控制主要产品的技术特点？

A、利用网络数据包信息和安全威胁特征库进行访问控制

B、通过物理隔离来保护系统资源

C、提供用户账号管理和权限分配功能

D、支持数据库访问控制

E、实现端到端加密通信

答案：ACD

36.Q:网络安全审查中涉及的数据处理活动不包括数据的。

A、：公开

B、删除

C、：加工

D、：售卖

答案：BD

37.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政

务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严

重危害（）的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点

保护。

A、公共利益

B、国计民生

C、国家安全

D、个人数据完整性

答案：ABC

38.无线传感网相关标准

A、传感器到通信模块接口技术标准

B、节点设备技术标准等

C、电路标准

D、感知标准

答案：AB

39.关键信息基础设施安全保护坚持（），强化和落实关键信息基础设施运营者（以

下简称运营者）主体责任,充分发挥政府及社会各方面的作用，共同保护关键信息

基础设施安全。（）

A\综合协调

B、分工负责

C、依法保护

D、实时监测

答案：ABC

40.Q:敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到

侵害或者人身、财产安全受到危害的个人信息,包括等信息

A、：特定身份

B、：生物识别

C、：宗教信仰

D、：医疗健康

答案：ABCD

41.若数据处理者未按照相应监管要求进行数据跨境传输,视情节轻重可能收到

下列哪些处罚？()

A、警告

B、罚款

C、停业整顿

D、吊销相关业务许可证或吊销营业执照

答案：ABCD

42.以下关于等级保护的地位和作用的说法中正确的是()

A、是国家信息安全保障工作的基本制度、基本国策。

B、是开展信息安全工作的基本方法。

C、是提高国家综合竞争力的主要手段。

D、是促进信息化、维护国家信息安全的根本保障。

答案：ABD

43.Q:履行个人信息保护职责的部门依法履行职责,当事人

A、：应当予以协助

B、：拒绝

C、：应当予以配合

D、：阻挠

答案：AC

44.认证服务器在单点登录(SSO)过程中的主要职责是什么？

A、生成访问票据并存放在Cookie中

B、验证用户的登录请求并确认其合法性

C、建立安全访问通道与应用系统通信

D、检查Cookie的有效性并进行验证

E、分发证书给用户

答案：BD

45.在零信任安全模型中，多因素身份验证通常包括以下哪些因素?

A、用户名和密码

B、指纹扫描

C、手机验证码

D、IP地址

E、社交媒体账号

答案：ABC

46.全球主要数据跨境限制模式中提倡“数据跨境自由流动，推动跨境数据自由流

动规则构建”包括下列哪些国家？()

A、美国

B、日本

C、新加坡

D、荷兰

答案：ABC

47.Q:网络安全审查中涉及的数据处理活动包括数据的。

A、：收集

B、：传输

C、：公开

D、：提供

答案：ABCD

48.Q:关键信息基础设施运营者、网络平台运营者违反本办法规定的,可依照规定

处理,规定不包括。

A、：《中华人民共和国网络安全法》

B、：《中华人民共和国数据安全法》

C、：《网络安全审查办法》

D、：《中华人民共和国个人信息保护法》

答案：CD

49.Q:下列关于“网络信息安全”说法正确的有。

A、：网络运营者当对其收集的用户信息选择性保密

B、：网络运营者无需建立用户信息保护制度

C、：网络运营者不得泄露、篡改、毁损其收集的个人信息

D、：在经过处理无法识别特定个人且不能复原的情况下,未经被收集者同意,网络

运营者不得向他人提供个人信息

答案：CD

50.产生哪些下列情形之一的,SDK提供方应当主动删除个人信息？()

A、处理目的已实现、无法实现或为实现处理目的不再必要

B、SDK提供者停止提供产品或服务,或者保存期限已届满

C、个人撤回同意

D、SDK提供者违反法律、行政法规或违反约定处理个人信息

答案：ABCD

51.Q:建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，

并保证安全技术措施。

A、：同步投运

B、：同步规划

C、：同步建设

D、：同步使用

答案：BCD

52.网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全

漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施,下列说法正

确的是

A、发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安

全漏洞进行验证，评估安全漏洞的危害程度和影响范围;对属于其上游产品或者

组件存在的安全漏洞，应当立即通知相关产品提供者。

B、应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关

漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称'型号、版本以

及漏洞的技术特点、危害和影响范围等。

C、应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户（含下游厂商）

采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告

知可能受影响的产品用户，并提供必要的技术支持。

D、工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安

全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

答案：ABCD

53.在单点登录（SSO）认证过程中，用户的登录凭据一般存储在哪里？

A、Cookie中

B\Session中

C、数据库中

D、认证服务器中

E、缓存中

答案：ABC

54.以下做法正确的是：（）

A、严禁涉密系统一机两网

B、涉密硬盘报废后可以格式化后废品回收

C、用于连接互联网的PC不得处理涉密信息

D、密级高的数据不得向非密系统导入

答案：ACD

55.Q:下列关于收集数据说法错误的是：

A、：通过非正当技术手段获取数据

B、：应当采取合法、正当的方式

C、：不得窃取或者以其他非法方式获取数据。

D、：公安部门可以窃取或者以其他非法方式获取数据。

答案：AD

56.Q:下列说法不正确的有：

A、：敏感个人信息是一旦泄露或者非法使用，非常容易导致自然人的人格尊严受

到侵害或者人身、财产安全受到危害的个人信息

B、：只要有具有特定的目的和充分的必要性,不采取严格保护措施的情形下,个人

信息处理者也可处理敏感个人信息

C、：个人信息处理者处理不满十四周岁未成年人个人信息的,不用取得未成年人

的父母或者其他监护人的同意

D、：处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感

个人信息应当取得书面同意的,从其规定

答案：BC

57.以下哪些算法服务提供者需要按照国家相关规定开展安全评估？0

A、抖音

B、今日头条

C、微博

D、QQ苜乐

答案：ABC

58.网络信息服务商的管理者、服务人员或产品所有者应监控关键系统资源的使

用情况。应提供足够的容量可以通过增加容量或减少需求来实现。应考虑以下哪

些因素来增加容量？()

A、雇用新员工；

B、获得新的设施或空间；

C、获得更强大的处理系统、内存和存储；

D、利用云计算,它具有直接解决容量问题的固有特征。云计算具有恢复力和可扩

展性，可以按需快速扩展和减少特定应用程序和服务可用的资源。

答案：ABCD

59.关于数据汇聚，下列说法不正确的是：()

A、单条数据是脱敏的，那么汇聚数据也是非敏感的

B、单条数据是脱敏的，汇聚数据可能会导致背景推理泄密

C、如果单条数据脱敏，那么汇聚数据没有实际分析的意义

D、数据汇聚是双刃剑，可能带来高价值数据，也可能导致泄密

答案：AC

60.SSO可以使用哪些技术实现？

A、OAuth2.0

B、OpenIDConnect

C、SAML

D、Kerberos

E、LDAP

答案：ABODE

61.在下载软件及操作系统补丁时,我们应该采取哪些措施？

A、下载正版软件并定期更新

B、及时跟随软件供应商发布的补丁

C、只要定期使用防病毒软件并定期更新病毒库,网上的破解版也没有关系。

D、尽可能安装IT部门提供的软件清单及补丁，不使用来历不明的软件及补丁

E、操作系统一定要用正版,其它工具软件大可不必正确

答案：ABD

62.从爬虫运行的环节分析爬虫技术的刑事违法性,下列分析错误的有()。()

A、违反国家规定，利用爬虫技术侵入国家事务、国防建设、尖端科学技术领域的

计算机信息系统，可能构成《刑法》第二百五十三条之一规定的侵犯公民个人信

息罪

B、利用爬虫技术非法窃取、获取公民个人信息的，则可能构成《刑法》第二百八

十五规定的非法侵入计算机信息系统罪

C、利用爬虫技术侵入除国家事务、国防建设、尖端科学技术领域以外的计算机

信息系统,控制该计算机信息系统,可能构成《刑法》第二百八十五条第二款规定

的非法控制计算机信息系统罪

D、若违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰，或者

对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增

加的操作，可能构成《刑法》第二百八十六条规定的破坏计算机信息系统罪

答案：AB

63.来路不明的服务供应商发来的电子邮件、即时通讯消息,我们应该采取哪些措

施？

A、正常打开

B、确认发送者的身份

C、回拨电话确认

D、向IT部门救助

E、先点开再确认其真实性

答案：BCD

64.《个人信息出境安全评估办法(征求意见稿)》当中核心规定包括下列哪些内

容？()

A、仅涉及个人信息

B、安全评估申报材料

C、重点评估内容

D、出境记录保存要求

答案：ABCD

65.Q:下列说法正确的是：

A、：非经中华人民共和国主管机关批准,个人信息处理者可以向外国司法或者执

法机构提供存储于中华人民共和国境内的个人信息

B、：任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、

限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区

对等采取措施。

C、：个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达

到本法规定的个人信息保护标准

D、：中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提

供个人信息的条件等有规定的,可以按照其规定执行

答案：ACD

66.利用爬虫技术爬取网站数据，以下说法正确的是（）

A、爬虫技术本身是中立的，因此可以利用爬虫爬取数据

B、数据属于数据所有者，不可以利用爬虫爬取

C、如果是公开/公示性质的数据，可以爬取

D、如果可以爬取，则爬取数据是应当降低爬取的频次，防止影响被爬取页面的

可用性

答案：CD

67.Q:国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：

A、：推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评

估、认证服务

B、：针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新

技术、新应用，制定专门的个人信息保护规则、标准

C、：支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认

证公共服务建设

D、：制定个人信息保护具体规则、标准

答案：ABCD

68.Q:因网络安全事件,发生突发事件或者生产安全事故的,应当依照等有关法律、

行政法规的规定处置。

A、：《中华人民共和国网络安全法》

B、：《中华人民共和国安全生产法》

C、：《中华人民共和国突发事件应对法》

D、：《中华人民共和国应急法》

答案：BC

69.上市公司对于数据的公开有严格要求，以下选项哪些不是上市公司对外披露

数据的合理手段（）

A、在财报未披露前先面向社会公开，彰显公开透明的原则

B、遵循信息披露制度，上市公司必须披露定期报告

C、不得对外公示财报，以保守商业秘密

D、按照法定要求向证监会以及投资者披露财务经营等会计信息

答案：AC

70.为保障数据可用性，系统设计时应关注（）。

A、网络拓扑结构是否存在单点故障

B、主要网络设备以及关键业务的服务器是否冗余

C、通信线路是否有多条链路

D、是否有数据备份与恢复验证措施

答案：ABCD

71.Q:任何个人和组织有权对危害网络安全的行为向等部门举报。

A、：网信

B、：电信

C、：公安

D、：检察

答案：ABC

72.关于源代码审核，下列说法错误的是：

A、人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点

B、源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定

位可能导致安全弱点的薄弱之处

C、使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核

D、源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的

薄弱之处

答案：ABC

73.存储介质的清除或销毁指通过采用合理的方式对计算机介质（包括磁带、磁盘、

打印结果和文档）进行信息清除或销毁处理,主要包括以下哪些内容？0

A、识别要清除或销毁的介质

B、确定存储介质处理方法和流程

C、处理方案审批

D、存储介质处理和记录

答案：ABCD

74.下列哪些属于数据跨境合规的主要难点？0

A、数据体量大

B、政策限制多

C、属性识别难

D、载体拆分难

答案：ACD

75.下述哪些是分组密码的运行模式()

A、ECB

B、CBC

C、OFB

D、CFB

答案：ABCD

76.对于数据安全防护，访问权限管理是一项良好的安全实践，以下访问权限控

制措施中合适的是：

A、严格管理数据库权限

B、严格管理运维账号权限

C、最好遵循三权分立原则

D、对服务器主机登录权限做管控

答案：ABCD

77.下列哪些算法属于单表代换密码()

A、凯撒密码

B、放射密码

C、移位密码

D\希尔密码

答案：ABC

78.中国发展区块链的三个模型是()

A、简易模型

B、深度融合

C、转型模型

D、数据库模型

答案：ABC

79.Q:网络运营者应当制定网络安全事件应急预案,及时处置等安全风险;在发生

危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向

有关主管部门报告。

A、：蠕虫病毒

B、：计算机病毒

C、：网络攻击

D、：网络侵入

E、：系统漏洞

答案：BCDE

80.发现系统ODay漏洞时，应当()。

A、悄悄修复即可

B、应当及时修复

C、应当通告上级主管部门及相关监管机构

D、查看日志，如果利用该漏洞攻击可以暂时先不修复

答案：BC

81.在PKI系统中，以下哪个是数字证书认证中心(CA)的作用？

A、创建公钥和私钥

B、分发证书

C、提供身份认证

D、提供访问控制

E、提供审计功能

答案：BC

82.Q:违反《中华人民共和国密码法》第十七条第二款规定,发现核心密码、普通

密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患，未立即采取

应对措施,或者未及时报告的，由建议有关国家机关、单位对直接负责的主管人员

和其他直接责任人员依法给予处分或者处理。

A、：国家网信部门

B、：密码管理部门

C、：保密行政管理部门

D、：国务院商务主管部门

答案：BC

83.以下哪类可以作为网络安全等级保护的定级对象？

A、社保查询系统

B、人民银行征信系统

C、电子政务系统

D、航空公司电子客票系统

答案：ABCD

84.Q:密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码

安全的重大问题、风险隐患的，应当及时向报告。

A、：保密行政管理部门

B、：密码管理部门

C、：保密执法部门

D、：保密司法部门

答案：AB

85.Q:中央密码工作领导机构对全国密码工作实行统一领导,包括。

A、：制定国家密码工作重大方针政策

B、：统筹协调国家密码重大事项和重要工作

C、：推进国家密码法治建设

D、：制定国家密码工作重要法律法规

答案：ABC

86.等保2.0有安全扩展要求包括下面哪些？

A、云计算

B、AI（人工智能）

C、移动互联

D、物联网

答案：ACD

87.Q:发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急

处置措施，以下做法正确的是:

A、：及时查清问题原因，防止危害扩大。

B、：不用查清问题原因

C、：及时向社会发布与公众有关的警示信息。

D、：不用向社会发布与公众有关的警示信息。

答案：AC

88.Q:国家建立集中统一、高效权威的数据安全风险机制。

A、：评估

B、：报告

C、：信息共享

D、：监测预警

答案：ABCD

89.根据《电子签名法》的规定，审查数据电文作为证据的真实性，应当考虑哪些

因素？()

A、生成、储存或者传递数据电文方法的可靠性；

B、保持内容完整性方法的可靠性；

C、用以鉴别发件人方法的可靠性；

D、其他相关因素。

答案：ABCD

90.Q:下列关于《网络安全法》的说法正确的有。

A、：国家规定关键信息基础设施以外的网络运营者必须参与关键信息基础设施保

护体系

B、：关键信息基础设施的运营者可自行采购网络产品和服务不通过安全审查

c、：网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止

发布或者传输的信息的,应当立即向上级汇报

D、：国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工

作，自行发布网络安全监测预警信息

答案：AC

91.哪些协议以名文传输数据，存在数据泄露风险。

A、SSH

B、HTTP

C、FTP

D、SMTP

答案：BCD

92.Q:从事数据交易中介服务的机构提供服务时,下列说法正确的是：

A、：为保密需求，使用虚假身份进行交易

B、：为保密需求，不留存交易记录

C、：保留交易记录

D、：交易前核实双方身份

答案：CD

93.Q:开展数据处理活动,下列说法正确的是：。

A、：遵守法律、法规,尊重社会公德和伦理

B、：遵守商业道德和职业道德，诚实守信

C、：履行数据安全保护义务,承担社会责任

D、：不得危害国家安全、公共利益，不得损害个人、组织的合法权益

答案：ABCD

94.数据交易应当遵循（）原则。

A、自愿原则。

B、公平原则

C、诚信原则

D、无场景不交易

答案：ABCD

95.对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息

安全的破坏和对系统服务安全的破坏。业务信息安全和系统服务安全受到破坏后,

可能产生以下哪些侵害后果？0

A、影响行使工作职能

B、导致业务能力下降

C、引起法律纠纷

D、导致财产损失

E、造成社会不良影响

答案：ABCDE

96.企业网络安全管理制度包括？0

A、风险管理制度

B、网络安全考核及监督问责制度

C、自动化机制策略

D、人员管理制度

E、安全审计策略

答案：ABD

97.如果只对主机地址为172.16.30.55进行访问列表的设置，下面各项正确的有

()

A、172.16.30,550.0.0,255

B、172.16.30,550.0.0.0

C\any172.16.30.55

D、host172.16.30.55

答案：BD

98.区块链的类型有0

A、私有链

B、公有链

C、联盟链

D、专有链

答案：ABCD

99.关键系统关键岗位的人员，要求()。

A、关键岗位人员需要经过背景调查

B、关键岗位人员离职需遵守脱密流程

C、技能必须匹配

D、技能无需匹配

答案：ABC

100.下列哪项内容描述的不是缓冲区溢出漏洞?

A、通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，

最终达到欺骗服务器执行恶意的SQL命令

B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该

页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。

C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆

盖在合法数据上

D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意

或无意产生的缺陷

答案：ABD

101.数据生命周期是指对数据进行（）的整个过程。

A、采集

B、传输

C、存储和使用

D、删除和销毁

答案：ABCD

102.下面哪个是生成树的优点（）

A、生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接

B、生成树可以防止环路的产生

C、生成树可以防止广播风暴

D、生成树能够节省网络带宽

答案：AB

103.下面哪项是网络端口和节点的安全控制的目标?

A、保护网络设备的物理安全

B、防止网络攻击

C、限制用户对网络资源的访问

D、控制网络带宽的使用

E、检测和阻止恶意流量

答案：ABE

104.App运营者不应在用户协议、服务协议、隐私政策等文件中出现()条款。()

A、免除自身责任

B、加重用户责任

C、排除用户主要权利

D、免除用户责任

答案：ABC

105.我国有关文件指出：风险评估的工作形式可分为自评估和检查评估两种，关

于自评估，下面选项中描述正确的是0。

A、自评估是由信息系统拥有,运营或使用单位发起的对本单位信息系统进行的

风险评估

B、自评估应参照相应标准、依据制定的评估方案和准则，结合系统特定的安全

要求实施

C、自评估应当是由发起单位自行组织力量完成，而不应委托社会风险评估服务

机构来实施

D、周期性的自评估可以在评估流程上适当简化，如重点针对上次评估后系统变

化部分进行

答案：ABD

106.单点登录(SSO)认证过程中，当请求中携带的Cookie无效时，拦截器会怎么

处理？

A、放行访问请求

B、重定向用户到目标应用系统的登录界面

C、向统一认证服务器发送验证请求

D、检查请求的URL是否在无需保护的列表中

E、清除无效的Cookie并要求用户重新登录

答案：BC

107.如果App运营者将个人信息用于用户画像、个性化展示等，隐私政策中应说

明其()。()

A、存储方式

B、运行原理

C、应用场景

D、可能对用户产生的影响

答案：CD

108.Q:网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规

定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施。

A、：要求有关部门、机构和人员及时收集、报告有关信息

B、：忽视对加强对网络安全风险的监测

C、：组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估

D、：向社会发布网络安全风险预警，发布避免、减轻危害的措施

答案：ACD

109.:中华人民共和国境内的，应当遵守本规定。

A、：网络产品（含硬件、软件）提供者

B、：网络运营者

C、：从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人

D、：质检部门

答案：ABC

110.下面有关软件安全问题的描述中，哪项不是由于软件设计缺陷引起的（）

A、设计了三层web架构，但是软件存在sql注入漏洞，导致被黑客攻击后能直

接访问数据库

B、使用C语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在

缓冲区溢出漏洞

C、设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，

被黑客攻击获取到用户隐私数据

D、使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，

导致黑客攻击后能破解并得到明文数据

答案：ABD

111.Q：以下行为符合《网络安全审查办法》的是（）。

A、：不利用提供产品和服务的便利条件非法获取用户数据

B、：不非法控制和操纵用户设备

C、：不中断产品供应或者必要的技术支持服务

D、：关键信息基础设施运营者采购网络产品和服务不主动申报网络安全审查

答案：ABC

112.Q:建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,

并保证安全技术措施。

A、：同步规划

B、：同步建设

C、：同步使用

D、：同步投运

答案：ABC

113.以下哪个不是数字证书认证中心(CA)的职责？

A、管理密钥和算法

B、分发证书

C、撤销证书

D、提供身份认证服务

E、所有选项都是数字证书认证中心(CA)的职责。

答案：ADE

114.Q:为了规范数据处理活动,保障数据安全，促进数据开发利用，…

A、：保护个人、组织的合法权益

B、：保护个人、组织的财产权益

C、：维护国家主权、安全和发展利益

D、：维护国家主权、安全和长远利益

答案：AC

115.以下数据中属于国家核心数据的是()。

A、关系国家安全的数据

B、关系国民经济命脉的数据

C、关系重要民生的数据

D、关系公共利益的数据

答案：ABC

116.以下哪个不是信息安全系统中访问控制的实现方式？

A、基于角色的访问控制(RBAC)

B、基于属性的访问控制(ABAC)

C、强制访问控制(MAC)

D、自主访问控制(DAC)

E、所有选项都是信息安全系统中访问控制的实现方式。

答案：CE

117.Q:履行个人信息保护职责的部门履行下列个人信息保护职责：

A、：开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护

工作

B、：调查、处理违法个人信息处理活动

C、：组织对应用程序等个人信息保护情况进行测评,并公布测评结果

D、：接受、处理与个人信息保护有关的投诉、举报

答案：ABCD

118.下列属于传感设备的是

A、RFID

B、红外感应器

C、全球定位系统

D、激光扫描器

答案：ABCD

119.防火墙的位置一般为（）。

A、内外网连接的关口位置

B、内网敏感部门的出口位置

C、非军事区（DMZ）的两侧

D、以上都不对

答案：ABC

120.大数据应用所采用的技术有：（）

A、大规模存储与大规模计算

B、数据的清洗与分析处理

C、结合数学建模与人工智能

D、以上都不对

答案：ABC

121.学习社会工程学防范措施有哪些好处?

A、提高信息安全意识

B、学习如何鉴别和防御网络攻击者

C、增强个人信息保护能力

D、了解最新的安全漏洞和威胁

E、防止财产损失

答案：ABODE

122.区块链信息服务提供者对违反法律、行政法规规定和服务协议的区块链信息

服务使用者,可以采取以下哪些措施？()

A、依法依约采取警示

B、限制功能使用

C、关闭账号

D、没收账号内的资产

答案：ABC

123.Q:开展数据处理活动,下列说法正确的是：

A、：通过设置钓鱼链接的手段获取数据

B、：通过攻击其他商业公司数据库获取数据

C、：通过向用户发送调查问卷的形式获取数据

D、：通过向有资质从事数据交易中介服务的机构购买数据

答案：CD

124.国际电信联盟(ITU)发布名为《InternetofThings》的技术报告，其中包

含

A、物联网技术支持

B、市场机遇

C、发达中国的机遇

D、面临的挑战和存在的问题

答案：ABD

125.下面对“零日(Zero-Day)漏洞”的理解中，不正确的是()

A、指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程

攻击，获取主机权限

B、指通过漏洞扫描系统发现但是还没有被通告给监管机构的漏洞

C、指一类漏洞，即特别好被利用，一旦成功利用该类漏洞，可以在1天内完成

攻击，且成功达到攻击目标

D、指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，已经被

小部分人发现，但还未公开、也不存在安全补丁的漏洞都是零日漏洞

答案：ABC

126.下列哪些是访问控制的主要步骤？

A、明确访问控制管理的资产

B、分析管理资产的安全需求

C、制定访问控制策略

D、实施访问控制策略

E、检查网络设备的硬件配置

答案：ABCD

127.没有公开收集使用规则的情形有哪些？0

A、没有隐私政策、用户协议，或者隐私政策、用户协议中没有相关收集使用规则

的内容

B、在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政

策，或隐私政策链接无效、文本无法正常显示

C、进入App主功能界面后，多于4次点击、滑动才能访问到隐私政策

D、使用App前需要勾选同意隐私政策和用户协议

答案：ABC

128.Q:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时

下列做法错误的是：

A、：立即采取补救措施

B、：偷偷修复缺陷

C、：等有时间再修复缺陷

D、：不处理

答案：BCD

129.对于计算机口令，以下说法正确的是（）

A、尽量复杂

B、简单好记即可

C、定期更换

D、多个系统用一套账号口令，能够提升工作效率

答案：AC

130.鼓励发现网络产品安全漏洞的组织或者个人向报送网络产品安全漏洞信息。

A、：工业和信息化部网络安全威胁和漏洞信息共享平台

B、：国家网络与信息安全信息通报中心漏洞平台

C、：国家计算机网络应急技术处理协调中心漏洞平台

D、：ANTICHAT平台

答案：ABC

131.对于计算机口令，以下说法错误的是（）

A、尽量复杂

B、简单好记即可

C、定期更换

D、多个系统用一套账号口令，能够提升工作效率

答案：BD

132.云计算平台的安全计划包括以下哪些内容？()

A、系统拓扑

B、系统运营单位

C、与外部系统的互连情况；

D、云能力类型和部署模式

答案：ABCD

133.Q:涉及国家秘密信息的,不依照执行。

A、：国家有关保密规定

B、：网络安全审查办法

C、：关键信息基础设施安全保护条例

D、：中华人民共和国网络安全法

答案：BCD

134.以下哪些政务数据不得开放？()

A、涉及国家秘密

B、商业秘密

C、个人隐私

D、领导任命前的公示

答案：ABC

135.Q:下列关于“网络信息安全”说法正确的有。

A、：网络运营者应当对其收集的用户信息严格保密

B、：网络运营者无需建立用户信息保护制度

C、：网络运营者不得泄露、篡改、毁损其收集的个人信息

D、：在经过处理无法识别特定个人且不能复原的情况下,可以未经被收集者同意,

网络运营者向他人提供个人信息

答案：AC

136.以下哪项不是对系统工程过程中“概念与需求定义”阶段的信息安全工作的

正确描述？

A、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的

开始就综合信息系统安全保障的考虑

B、应选择最先进的安全解决方案和技术产品

C、应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的

规范并落实

D、应详细规定系统验收测试中有关安全测试的内容

答案：BCD

137.Q:任何个人、组织都有权对违反本法规定的行为向投诉、举报。

A、：公安机关

B、：国家安全机关

C、：国家网信部门

D、：其他数据安全有关部门

答案：ABCD

138.风险评估工具的使用在一定程度上解决了手动评佑的局限性，最主要的是它

能够将专家知识进行集中，使专家的经验知识被广泛使用，根据在风险评估过程

中的主要任务和作用愿理，以下属于信息系统风险评估工具的是（）：

A、风险评估与管理工具

B、系统基础平台风险评估工具

C、风险评估辅助工具

D、环境风险评估工具

答案：ABC

139.Q:违反《中华人民共和国密码法》第二十六条规定，未经检测认证或者检测

认证不合格的商用密码产品，由市场监督管理部门会同密码管理部门责令改正或

者停止违法行为,给予警告,没收违法产品和违法所得。

A、：研究

B、：开发

C、：销售

D、：提供

答案：CD

140.Q:个人信息保护影响评估应当包括下列内容：

A、：个人信息的处理目的'处理方式等是否合法、正当、必要

B、：对个人权益的影响及安全风险

C、：所采取的保护措施是否合法,有效并与风险程度相适应

D、：处理敏感个人信息

答案：ABC

141.单点登录(SSO)的局限性包括:

A、单点故障可能影响多个应用系统

B、安全性依赖于认证服务器的可靠性

C、需要对现有应用系统进行适配和改造

D、不适用于跨域访问的场景

E、需要额外的硬件和软件支持

答案：ABC

142.以下哪个不是信息安全系统中的基本功能？

A、身份认证

B、访问控制

C、审计功能

D、数据备份

E、加密解密

答案：DE

143.零信任安全模型要求哪些策略来监控和检测潜在的威胁?

A、实时流量分析

B、防火墙配置

C、身份验证策略

D、加密通信

E、硬件防护设备

答案：AC

144.Q:国家采取措施,来源于中华人民共和国境内外的网络安全风险和威胁，保

护关键信息基础设施免受攻击、侵入、干扰和破坏。

A、：监测

B、：防御

C、：隔离

D、：处置

答案：ABD

145.某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下

关于模糊测试过程的说法错误的是：

A、模拟正常用户输入行为，生成大量数据包作为测试用例

B、数据处理点、数据通道的入口点和可信边界点往往不是测试对象

C、监测和记录输入数据后程序正常运行的情况

D、深入分析测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现

并分析

答案：ABC

146.零信任身份验证的核心是什么？

A、基于用户行为的访问控制

B、基于角色的访问控制

C、基于设备的访问控制

D、基于位置的访问控制

E、基于时间的访问控制

答案：AC

147.Q:为了规范数据处理活动，保障数据安全,促进数据开发利用，以下做法正确

的是:。

A、：保护个人、组织的合法权益

B、：不用考虑个人利益，只要考虑组织的合法利益

C、：维护国家主权、安全和发展利益

D、：维护国家主权、安全和长远利益

答案：BC

148.以下属于关键信息基础设施重要行业和领域的是？

A、公共通信

B、能源、交通、水利

C、公共服务

D、各类电商网购平台

答案：ABC

149.Q:网络运营者违反本法规定,有下列行为之一的，由有关主管部门责令改正;

拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管

人员和其他直接责任人员,处一万元以上十万元以下罚款：

A、：使用未经安全审查或者安全审查未通过的网络产品或者服务的

B、：不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停

止传输、消除等处置措施的

C、：拒绝、阻碍有关部门依法实施的监督检查的

D、：拒不向公安机关、国家安全机关提供技术支持和协助的

答案：BCD

150.网络安全审查重点评估相关对象或者情形的,需要考虑以下哪些国家安全风

险因素？()

A、产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏

的风险；

B、产品和服务供应中断对关键信息基础设施业务连续性的危害；

C、产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以

及因为政治、外交'贸易等因素导致供应中断的风险；

D、核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、

非法出境的风险；

答案：ABCD

151.Q:下列哪些说法正确:

A、：基于个人同意处理个人信息的,个人有权撤回其同意

B、：个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，无需重

新取得个人同意

C、：基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、

明确作出

D、：个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效

力

答案：ACD

152.对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应

包括在。合同中。()

A、管理人员

B、承包方人员

C、第三方人员

D、技术人员

答案：ABCD

153.根据《密码法》的规定，国家鼓励商用密码技术的研究开发、学术交流、成

果转化和推广应用，健全0的商用密码市场体系,鼓励和促进商用密码产业发展。

0

A、统一

B、开放

C、竞争

D、有序

答案：ABCD

154.IPv4协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地

进行互联互通，仅依靠IP头的校验和字段来保证IP包安全，因此很容易被篡改。

IETF组织于是制定IPSec协议标准，其设计目标是在IPv4和IPv6环境中为网

络层流量提供灵活、透明的安全服务，保护TCP/IP通信免遭窃听和篡改，同时

保持易用性。下列选项中说法正确的是（）

A、IPSec协议提供对IP及其上层协议的保护。

B、IPSec是一个单独的协议

C、IPSec协议给出了鉴别头的通信保护机制

DvIPSec协议给出了封装安全载荷的通信保护机制。

答案：ACD

155.以下关于模糊测试过程的说法错误的是：

A、模糊测试的效果与覆盖能力，与输入样本选择不相关

B、为保障安全测试的效果和自动化过程，关键是将发现的异常进行现场保护记

录

C、可能无法恢复异常状态进行后续的测试

D、通过异常样本重现异常，人工分析异常原因，判断是否为潜在的安全漏洞，

如果是安全漏洞，就需要进一步分析其危害性、影响范围和修复建议

E、对于可能产生的大量异常报告，需要人工全部分析异常报告

答案：ABCE

156.根据《征信业管理条例》的规定，信息主体认为征信机构采集,保存、提供

的信息存在错误、遗漏的，有权向()提出异议，要求更正。()

A、征信机构

B、征信业监督管理部门

C、信息提供者

D、信息使用者

答案：AC

157.Q:国家采取措施,来源于中华人民共和国境内外的网络安全风险和威胁，保

护关键信息基础设施免受攻击、侵入、干扰和破坏。

A、：隔离

B、：监测

C、：防御

D、：处置

答案：BCD

158.根据《公安机关办理刑事案件电子数据取证规则》的相关规定，冻结电子证

据的方法有哪些？()

A、计算电子数据的完整性校验值

B、锁定网络应用账号

C、采取写保护措施；

D、网上发布禁用通知

答案：ABC

159.下述哪些属于后量子密码算法0

A、基于格的密码算法

B、基于哈希的密码算法

C、基于多变量的密码算法

D、基于身份的密码算法

答案：ABC

160.关于表分区的说法错误的有()

A、表分区存储在表空间中

B、表分区可用于任意的数据类型的表

C、表分区不能用于含有自定义类型的表

D、表分区的每个分区都必须具有明确的上界值

答案：BD

161.目录级安全控制主要用于控制用户对以下哪些资源的访问？

A、文件

B\目录

C\设备

D、系统管理员权限

E、网络服务器

答案：AB

162.关于特权访问，下列哪些说法正确的是：()

A、特权访问用户必须包含最高管理者

B、特权访问用户通常不包含顾客

C、特权访问用户的访问权限最大权限原则的的应用

D、特殊访问权应与其职能角色一致

答案：BD

163.履行个人信息保护职责的部门履行下列哪些职责：

A、开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护

工作

B、接受、处理与个人信息保护有关的投诉、举报

C、组织对应用程序等个人信息保护情况进行测评，并公布测评结果

D、调查、处理违法个人信息处理活动

答案：ABCD

164.安全等级保护的核心是将等级保护对象划分等级，按标准进行建设、管理和

监督。安全等级保护实施过程中应遵循以下哪些基本原则？()

A、自主保护原则

B、重点保护原则

C\同步建设原则

D、动态调整原则

答案：ABCD

165.利用“网络爬虫技术”获取公开信息时，应0。()

A、注意目标网站的Robots协议的具体内容和限制

B、使用过程中不需要甄别“网络爬虫”收集的信息的权属

C、严格管控数据采集的范围,不超范围采集

D、涉及个人信息的需慎重评价

答案：ACD

166.关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保

护，应遵循以下哪些基本原则。？()

A、以关键业务为核心的整体防控

B、以整体效益为目标的制度保障

C、以风险管理为导向的动态防护

D、以信息共享为基础的协同联防

答案：ACD

167.在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息,应当

与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告，由组织

评估后进行发布。

A、：国家互联网信息办公室

B、：工业和信息化部

C、：公安部

D\:国安局

答案：BC

168.Q:个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的（）

A、目的和期限

B、双方的权利与义务

C、保护措施

D、处理方式和个人信息的种类

答案：ABCD

169.Q:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,

并对处理情况进行记录：

A、：向境外提供个人信息

B、：利用个人信息进行自动化决策

C、：委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息

D、：处理敏感个人信息

答案：ABCD

170.Q:履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措

施：

A、：询问有关当事人,调查与个人信息处理活动有关的情况

B、：查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有

关资料

C、：实施现场检查,对涉嫌违法的个人信息处理活动进行调查

D、：检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人

信息处理活动的设备、物品，向本部门主要负责人书面报告并经批准,可以查封或

者扣押

答案：ABCD

171.防范恶意软件应基于恶意软件检测和修复软件、信息安全意识、适当的系统

访问和变更管理控制,下列哪些防范措施是正确的？()

A、实施防止或检测使用未经授权软件的规则和控制

B、实施防止或检测使用已知或可疑恶意网站的控制

C、减少可被恶意软件利用的漏洞［例如：通过技术漏洞管理

D、安装并定期更新恶意软件检测和修复软件,以扫描计算机和电子存储介质

答案：ABCD

172.《电子合同取证流程规范》(标准号:GB/T39321-2020)中规定的电子取证的

基本流程包含0

A、申请

B、受理

C、批准

D、验证

E、出证

答案：ABDE

173.最小特权管理原则的目标是什么？

A、防止特权滥用

B、确保特权拥有者具备完成任务所需的权限

C、限制特权拥有者的权限,防止其完成任务所需的额外权限

D、提供特权拥有者完全自由的权限管理

E、保护系统免受外部攻击

答案：AC

174.国家采取措施,优先保障哪些领域关键信息基础设施安全运行？()

A、能源

B、金融

C、电信

D、电子政务

答案：AC

175.根据《数据安全法》的规定，国家制定政务数据开放目录,构建()的政务数据

开放平台，推动政务数据开放利用。()

A、统一规范

B、互联互通

C、安全可控

D、高效便民

答案：ABC

176.下列属于智能交通实际应用的是

A、不停车收费系统

B、先进的车辆控制系统

C、探测车辆和设备

D、先进的公共交通系统

答案：ABD

177.Q:关键信息基础设施运营者、网络平台运营者申报网络安全审查,应当提交

以下（）材料。

A、：申报书

B、关于影响或者可能影响国家安全的分析报告

C、采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请

文件

D、网络安全审查工作需要的其他材料

答案：ABCD

178.Q:下列关于《网络安全法》的说法正确的有。

A、：国家规定关键信息基础设施以外的网络运营者必须参与关键信息基础设施保

护体系

B、：关键信息基础设施的运营者可自行采购网络产品和服务不通过安全审查

C、：网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止

发布或者传输的信息的,可以不向上级汇报

D、：国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工

作,按照规定统一发布网络安全监测预警信息

答案：AD

179.明朝时期，科举考生要防止替考，需要办理“互结”与“具结”：一同参考

的五位考生证明其是考生本人，承诺一人作弊五人连坐，称为“互结”。请本县

的秀才做担保人，证明考生不冒籍、不匿丧（明代以孝为本，官员或考生父母去

世需守孝，不能当官或参加科举），家世清白。请问这种机制在数据安全治理中

是代表了什么样的理念和措施？

A、侧写画像

B、多因素认证

C、隔离

D、加密

答案：AB

180.分组密码算法是一类十分重要的密码算法，下面描述中，正确的是（）

A、分组密码算法要求输入明文按组分成固定长度的块

B、分组密码的算法每次计算得到固定长度的密文输出块

C、分组密码算法也称作序列密码算法

D、常见的DES、IDEA算法都属于分组密码算法

答案：ABD

181.以下哪类智慧城市应用中可能存在海量个人信息，需要重点保护

A、电子政务系统

B、轨道交通系统

C、智慧校园一卡通

D、智慧气象分析系统

答案：ABC

182.《网络产品安全漏洞管理规定》由颁布。

A、：国家互联网信息办公室

B、：工业和信息化部

c、：公安部

D\:国安局

答案：ABC

183.Q:《中华人民共和国数据安全法》所称数据，是指任何以电子或者其他方式

对信息的记录。其中数据处理，包括数据的收集、存储、,提供、公开等。

A、：使用

B、：加工

C、：传输

D、：开发

答案：ABC

184.针对数据迁移保护,对网络服务提供方提出以下哪些要求？()

A、在客户服务合同到期时,安全地返还云计算平台上的客户数据

B、为客户数据迁移提供技术手段,并协助完成数据迁移

C、在客户定义的时间内,删除云计算平台上存储的客户数据,并确保不能以商业

市场的技术手段恢复

D、无需用户同意，自主将数据迁移至关联应用程序服务商

答案：ABC

185.下列针对数据安全的运维要求中，正确的操作是()。

A、确认需要备份的是哪些数据/数据库，设定备份与归档的策略

B、从数据备份的完整性与成本方面的均衡角度考虑，增量备份结合全量备份是

一个推荐的措施

C、需要对备份后的数据进行恢复校验，以确保恢复后的数据可用

D、定期对数据相关风险进行评估

答案：ABCD

186.以下哪些是口令安全管理的原则？

A、口令长度至少8个字符

B、使用强密码复杂度要求

C、鼓励用户共享口令

D、定期更换口令

E、加密存储口令

答案：ABDE

187.Q:密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和向

其披露源代码等密码相关专有信息。

A、：商用密码检测机构

B、：商用密码生产机构

C、：商用密码研究机构

D、：商用密码认证机构

答案：AD

188.拒绝服务攻击(DDOS)是黑客常用手段，会严重影响系统与数据可用性，以

下属于DDOS攻击的是()

A、利用僵尸网络进行超大流量攻击

B、利用自动化脚本高频次在论坛灌水以及刷评论

C、利用高频爬虫反复爬取同一页面内容

D、发送畸形数据包

E、利用DNS杠杆攻击

答案：ABODE

189.使用智能卡身份验证时,智能卡中可能存储的信息有哪些？

A、用户名和密码

B、数字证书和私钥

C、指纹和面部识别信息

D、身份证号码和地址信息

E、银行卡信息和密码

答案：BC

190.Q:开展数据处理活动应当加强风险监测,什么时候应该立即采取补救措施：

A、：数据安全缺陷

B、：漏洞

C、：输错口令

D、：口令遗忘

答案：AB

191.根据《网络安全法》的规定，任何个人和组织（）。

A、不得提供专门用于从事侵入网络、干扰网络正常功能等危害网络安全活动的

程序

B、不得为从事危害网络安全的活动的他人提供技术支持

C、可以利用爬虫技术收集个人信息进行加工处理与售卖

D、和监管机构合作采集加工处理个人信息进行交易

答案：AB

192.安全人员发现了针对服务器的口令暴破攻击，于是决定对设置帐户锁定策略。

他设置了以下账户锁定策略如下：03次无效登陆锁定账户；0锁定时间30分

钟；0复位账户锁定计数器5分钟；以下关于以上策略设置后的说法哪些错误

的

A、设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错的密码的

用户就会被锁住

B、如果正常用户部小心输错了3次密码，那么该账户就会被锁定30分钟，30

分钟内即使输入正确的密码，也无法登录系统

C、如果正常用户不小心连续输入错误密码3次,那么该拥护帐号被锁定5分钟，

5分钟内即使交了正确的密码，也无法登录系统

D、攻击者在进行口令破解时,只要连续输错3次密码，该账户就被锁定10分钟，

而正常拥护登陆不受影响

答案：ACD

193.下列哪些情形发生时，个人信息处理者应当主动删除个人信息；个人信息处

理者未删除的，个人有权请求删除：

A、处理目的已实现；

B、个人撤回同意；

C、个人信息保存期限已届满

D、个人信息处理者停止提供产品或者服务

答案：ABCD

194.文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法正确的

是:

A、组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规

范文件等文档是组织的工作标准，也是ISMS审核的依据

B、组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和

记录，对这些记录不需要保护和控制

C、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、

发布日期、编写人、审批人、主要修订等内容

D、多层级的文档体系是ISMS建设的直接体现，文档体系应当依据风险评估的结

果建立

答案：ACD

195.零信任安全模型中，以下哪些技术可以用于实施细粒度的访问控制？

A、双因素身份验证

B、代理服务器

C、角色基础访问控制

D、防火墙

E、强制访问控制

答案：ACE

196.为了规范网络产品安全漏洞（）（）（）等行为防范网络安全风险，根据《中

华人民共和国网络安全法》制定本规定。

A、发现

B、报告

C、修补

D、发布

答案：ABCD

197.区块链带来的价值包含0

A、降低拓展成本

B、提高业务效率

C、创造合作机制

D、增强监管能力

答案：ABCD

198.个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、

准确、完整地向个人告知下列事项（）：

A、个人信息处理者的名称或者姓名和联系方式

B、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限

C、个人行使本法规定权利的方式和程序

D、法律、行政法规规定应当告知的其他事项

答案：ABCD

199.Q:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参

与数据安全相关国际规则和标准的制定，下列说法错误的是

A、：数据随意跨境，无需监管

B、：数据跨境需要监管

C、：为了商业利益，数据可以自由的交易而不需要审查

D、：数据在交易之前应该接受审查

答案：AC

200.Q:密码管理部门和有关部门建立的商用密码事中事后监管制度包括。

A、：日常监管

B、：随机抽查

C、：专人监管

D、：全量检查

答案：AB

201.以下关于数据库常用的安全策略理解正确的是：

A、最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小

的特权，使得这些信息恰好能够完成用户的工作

B、最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程

度地共享数据库中的信息

C、粒度最小的策略，将数据库中数据项进行划分，粒度越小，安全级别越高，

在实际中需要选择最小粒度

D、按内容存取控制策略，不同权限的用户访问数据库的不同部分

答