PAGEPAGE1數據安全技術應用職業技能競賽理論考試題庫500題（含答案）一、單選題1.以下哪項是降低社會工程學攻擊風險的有效措施？A、增加網絡防火墻的配置B、提供員工教育和培訓C、定期進行漏洞掃描和滲透測試D、使用強密碼保護賬戶答案：B2.下列針對數據安全的運維要求中，正確的操作是（）。A、確認需要備份的是哪些數據/數據庫，設定備份與歸檔的策略B、從數據備份的完整性與成本方面的均衡角度考慮，增量備份結合全量備份是一個推薦的措施C、需要對備份后的數據進行恢復校驗，以確保恢復后的數據可用D、定期對數據相關風險進行評估E、以上都對答案：E3.入職時簽署保密協議的有效期限是A、終生有效B、離職后2-3年失效C、離職后失效D、對商業秘密的保密期限應為任職期間及離職后無限期期間;對于一般的保密信息宜約定2年或3年保密期限答案：D4.違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處（）罰款A、一百萬元以上B、兩百萬元以上C、五百萬元以上D、一百萬元以下答案：D5.防止非法授權訪問數據文件的控制措施，哪項是最佳的方式：A、自動文件條目B、磁帶庫管理程序C、訪問控制軟件D、鎖定庫答案：C6.能夠把零散的、規則的、不規則的數據通過有效的采集方法采集，并進行儲存、加工、處理、分析使其進一步產生新的價值的是()A、物聯網B、大數據C、移動互聯網D、云計算答案：B7.風險評估工具的使用在一定程度上解決了手動評佑的局限性，最主要的是它能夠將專家知識進行集中，使專家的經驗知識被廣泛使用，根據在風險評估過程中的主要任務和作用愿理，風險評估工具可以為以下幾類，其中錯誤的是：A、風險評估與管理工具B、系統基礎平臺風險評估工具C、風險評估輔助工具D、環境風險評估工具答案：D8.企業應針對數據網絡安全設置應急預案與實地演練，下列說法錯誤的是？()A、應每兩年至少組織開展1次本組織的應急演練。關鍵信息基礎設施跨組織、跨地域運行的，應定期組織或參加跨組織、跨地域的應急演練B、應在應急預案中明確，一旦信息系統中斷、受到損害或者發生故障時,需要維護的關鍵業務功能,并明確遭受破壞時恢復關鍵業務和恢復全部業務的時間C、應在應急預案中包括非常規時期、遭受大規模攻擊時等處置流程D、應急預案不僅應包括本組織應急事件的處理,也應包括多個運營者間的應急事件的處理答案：A9.雙因素認證是指結合幾種認證方式進行身份認證？()A、一種B、兩種C、三種D、四種答案：B10.根據《電子簽名法》的規定，電子認證服務提供者應當妥善保存與認證相關的信息，信息保存期限至少為電子簽名認證證書失效后（）年。()A、5B、4C、3D、2答案：A11.一個數據集中存在Bob的數據，即使數據集的其他部分（除了Bob）是已知的，差分隱私也能阻止攻擊者識別BobA、TRUEB、FALSE答案：A12.哪種身份認證方式容易被破解和盜用？()A、生物特征識別B、智能卡認證C、雙因素認證D、用戶名和密碼答案：D13.下列那個是WIFI特點A、基于AP組建的基礎無線網絡B、很強的抗干擾能力和安全性C、可建立臨時對等連接D、只能傳送信息給FFD或從FFD接收信息。答案：A14.下面哪項是加強安全意識推廣的有效方式？A、提供員工獎勵計劃B、發送周期性的安全通知C、禁止員工使用公司電子郵件D、隨機抽查員工隱私信息答案：B15.違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處（）罰款。A、一萬元以上二十萬元以下B、五萬元以上十萬元以下C、一萬元以上十萬元以下D、五萬元以上二十萬元以下答案：C16.linux命令中關于以下說法不正確的是()A、PASS_MAX_DAYS90是指登陸密碼有效期為90天。B、PASS_WARN_AGE7是指登陸密碼過期7天前提示修改。C、FALL_DELAY10是指錯誤登陸限制為10次。（正確答案）D、SYSLOG_SG_ENAByes當限定超級用于組管理日志時使用。答案：C17.密碼猜測/暴力破解攻擊是指攻擊者嘗試使用各種可能的密碼組合來猜測用戶的密碼。這種攻擊的目的是：A、竊取用戶的生物特征信息B、截獲用戶的憑據C、篡改身份驗證信息D、欺騙用戶進行認證答案：B18.以下哪項不是應急響應準備階段應該做的？A、確定重要資產和風險，實施針對風險的防護措施B、編制和管理應急響應計劃C、建立和訓練應急響應組織和準備相關的資源D、評估事件的影響、備份完整系統答案：D19.()是本單位關鍵信息基礎設施安全保護工作第一責任人，負責建立健全網絡安全責任制并組織落實，對本單位關鍵信息基礎設施安全保護工作全面負責A、運營者主要負責人B、企業法人C、政府部門D、安全廠商答案：A20.在科舉考試中，考官必須采用鎖廳制進行封閉出卷，封閉在考場中出題，并且周圍有兵丁把守，禁止內外交流，這種措施體現了數據安全的什么手段（）單選題A、脫敏B、物理隔離C、身份識別與多因素認證D、加密答案：B21.下列說法正確的是.A、處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍B、處理個人信息不用保證個人信息的質量，個人信息不準確、不完整不會對個人權益造成不利影響C、收集個人信息，可以不限于實現處理目的的最小范圍，可以過度收集個人信息D、個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全答案：A22.在訪問控制中，RBAC模型中的權限繼承是指：A、用戶繼承角色的權限B、角色繼承用戶的權限C、角色繼承其他角色的權限D、用戶繼承其他用戶的權限答案：C23.Kerberos協議是一種集中訪問控制協議，他能在復雜的網絡環境中，為用戶提供安全的單點登錄服務。單點登錄是指用戶在網絡中進行一次身份認證，便可以訪問其授權的所有網絡資源，而不在需要其他的認證過程，實質是消息M在多個應用系統之間的傳遞或共享。其中消息M是指以下選項中的()A、安全憑證B、用戶名C、加密密鑰D、會話密鑰答案：A24.以下哪些政務數據不得開放？。A、涉及國家秘密B、商業秘密C、個人隱私D、以上全部都是答案：D25.當二進制向量長度一定時，布隆過濾器的誤報率隨數據塊的增長而增長。A、TRUEB、FALSE答案：A26.以下哪一項不屬于常見的風險評估與管理工具：A、基于信息安全標準的風險評估與管理工具B、基于知識的風險評估與管理工具C、基于模型的風險評估與管理工具D、基于經驗的風險評估與管理工具答案：D27.區塊鏈技術中的挖礦是指：A、通過解決復雜的數學問題來創建新的區塊B、通過購買和出售加密貨幣來獲取利潤C、通過在區塊鏈網絡中傳輸數據來驗證交易D、通過分配計算資源來維護區塊鏈網絡的安全性答案：A28.在訪問控制中，RBAC（Role-BasedAccessControl）是一種常用的策略，它的核心思想是：A、基于用戶的身份驗證進行訪問控制B、基于角色的權限分配進行訪問控制C、基于資源的分類進行訪問控制D、基于審計日志進行訪問控制答案：B29.我國目前確定了五大生產要素包括：A、土地、能源、人才、資本、知識B、土地、能源、勞動力、資本、數據C、土地、能源、商業、人才、信息技術D、土地、勞動力、資本、技術、數據答案：D30.數據私有產權不包括哪些()A、控制權B、管理權C、開放權D、使用權答案：C31.下列哪項不屬于《數據安全法》規定的國家安全機關在數據安全工作中的職責？A、承擔數據安全監管職責B、指導、督促數據處理者加強數據安全保護C、組織開展數據安全宣傳教育D、決定數據處理者的經營策略答案：D32.在中華人民共和國（）開展數據處理活動及其安全監管適用《中華人民共和國數據安全法》A、境內部分地區B、境內以及境外C、境外D、境內答案：D33.數據分類分級的流程不包括()A、數據資產梳理B、元數據管理C、數據分類D、數據分級答案：B34.關鍵系統關鍵崗位的人員，要求（）。A、關鍵崗位人員需要經過背景調查B、關鍵崗位人員離職需遵守脫密流程C、技能必須匹配D、以上都是答案：D35.物聯網中的遠程訪問如何進行安全管理？A、使用安全協議進行通信B、實施訪問控制和身份認證C、網絡隔離設備和系統D、所有以上選項答案：D36.電子合同的標的物為采用在線傳輸方式交付的，（）為交付時間。電子合同當事人對交付商品或者提供服務的方式、時間另有約定的，按照其約定。A、合同簽署時間B、合同標的物進入對方當事人指定的特定系統時間C、合同標的物進入對方當事人指定的特定系統且能夠檢索識別的時間D、當事人確認簽收時間答案：C37.下面有關軟件安全問題的描述中，哪項是由于軟件設計缺陷引起的()A、設計了三層web架構，但是軟件存在sql注入漏洞，導致被黑客攻擊后能直接訪問數據庫B、使用C語言開發時，采用了一些存在安全問題的字符串處理函數，導致存在緩沖區溢出漏洞C、設計了緩存用戶隱私數據機制以加快系統處理性能，導致軟件在發布運行后，被黑客攻擊獲取到用戶隱私數據D、使用了符合要求的密碼算法，但在使用算法接口時，沒有按照要求生成密鑰，導致黑客攻擊后能破解并得到明文數據答案：C38.運營者網絡安全管理負責人履行下列職責A、組織制定網絡安全規章制度、操作規程并監督執行B、組織對關鍵崗位人員的技能考核C、組織開展網絡安全檢查和應急演練，應對處置網絡安全事件D、以上都是答案：D39.《個人信息保護法》施行的時間是.A、2021年10月1日B、2021年11月1日C、2021年11月11日D、2021年12月12日答案：B40.國家大力推進電子政務建設，提高政務數據的（），提升運用數據服務經濟社會發展的能力。A、公益性、準確性B、科學性、準確性、時效性C、準確性、便利性、公益性D、科學性、準確性、高效性答案：D41.數據安全防護要求不包括以下哪項？()A、建立數據安全管理責任和評價考核制度B、嚴格控制重要數據的使用、加工、傳輸、提供和公開等關鍵環節,并采取加密、脫敏、去標識化等技術手段保護敏感數據安全C、采購網絡關鍵設備和網絡安全專用產品目錄中的設備產品時，應采購通過國家檢測認證的設備和產品。D、因業務需要，確需向境外提供數據的,應當按照國家相關規定和標準進行安全評估答案：C42.媒體欺騙是指攻擊者通過偽造以下哪種內容來引導目標執行操作？A、文字內容B、圖像、視頻或音頻材料C、網絡流量D、加密算法答案：B43.拒絕服務攻擊（DDOS）是黑客常用手段，會嚴重影響系統與數據可用性，以下屬于DDOS攻擊的是（）A、利用僵尸網絡進行超大流量攻擊B、利用自動化腳本高頻次在論壇灌水以及刷評論C、利用高頻爬蟲反復爬取同一頁面內容D、發送畸形數據包E、以上都對答案：C44.違反《中華人民共和國數據安全法》第三十六條規定，未經主管機關批準向外國司法或者執法機構提供數據并造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處（）罰款。A、一萬元以上十萬元以下B、五萬元以上五十萬元以下C、十萬元以上一百萬元以下D、二十萬元以上二百萬元以下答案：B45.根據《電子簽名法》的規定，（）與手寫簽名或者蓋章具有同等的法律效力。()A、哈希簽名B、數字簽名C、可靠的電子簽名D、加密簽名答案：C46.以下數據中不屬于國家核心數據的是()。A、關系國家安全的數據B、關系國民經濟命脈的數據C、關系重要民生的數據D、關系公共利益的數據答案：D47.（）應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。A、漏洞掃描報告B、生產管理報告C、風險評估報告D、安全管理文檔答案：C48.下不屬于云計算與物聯網融合模式的是A、單中心-多終端模式B、多中心-大量終端模式C、信息應用分層處理-海量終端模式D、單中心-單終端模式答案：D49.采用多個獨立的哈希算法同時進行映射，可以有效的降低布隆過濾器誤報率。A、TRUEB、FALSE答案：A50.《中華人民共和國網絡安全法》規定:()A、促進公共數據開放B、保護關鍵信息基礎設施C、嚴打網絡詐騙，明確“網絡實名制”.D、保護個人信息E、以上都對答案：E51.身份信息在傳輸過程中需要保證哪些安全性？A、機密性、完整性、可用性B、機密性、可復制性、可用性C、完整性、可變性、可用性D、完整性、可靠性、可復制性答案：A52.敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，哪項不屬于《中華人民共和國個人信息保護法》多定義的個人敏感信息。A、宗教信仰B、金融賬戶、行蹤軌跡C、醫療健康、生物特征D、組織部領導任命前的公示信息答案：D53.《三國演義》第七十二回“諸葛亮智取漢中，曹阿瞞退兵斜谷”中描述：曹操與劉備相持過程中，每天更換營中口令。一日楊修問曹操營中口令，曹操答曰:雞肋。在數據安全保護體系中，這種方式體現了什么思想?()A、輿情檢測B、一次一密C、內容分析D動態風控答案：B54.明朝時期，規定科舉考生必須采用統一字體“臺閣體”答卷，這在個人信息處理上是什么措施A、身份驗證B、去標識C、同態加密D、多方安全計算答案：B55.明朝時期，科舉考生首先要考縣試，縣試之前需要遞交“親供”包含祖上三代的信息，以及考生本人的姓名、年齡、籍貫、體貌特征和曾祖父母、祖父母、父母三代的姓名履歷，以確保考生出身良民世家方可參加考試。這在數據安全治理中體現了什么理念和措施？A、側寫畫像B、關鍵崗位關鍵人員必須進行背景調查C、身份認證D、以上都對答案：D56.以下選項在WiFi技術安全中不屬于網絡層安全的是A、服務配置標識符B、有線等價保密協議C、身份認證D、虛擬專用網答案：B57.以下不是關鍵信息基礎設施重要行業和領域的是？A、公共通信B、能源、交通、水利C、公共服務D、各類電商網購平臺答案：D58.采用移動互聯技術的系統主要包括移動終端、移動應用和無線網絡等特征要素，下列那項定級方式是錯誤的()A、作為一個整體獨立定級B、與相關聯業務系統一起定級C、各要素單獨定級答案：C59.（）是具有民事權利能力和民事行為能力，依法獨立享有民事權利和承擔民事義務的組織。A、中國人民B、中國公民C、自然人D、法人答案：D60.以下不屬于數據分類分級的收益是()A、滿足合規要求B、發現安全漏洞C、提升數據使用價值D、滿足自身發展答案：B61.《中華人民共和國民法典》規定，醫療機構及其醫務人員應當對患者的隱私和個人信息保密。泄漏患者的隱私和個人信息，或者未經患者同意（）其病歷資料的，應當承擔侵權責任。A、存儲B、傳播C、公開D、買賣答案：C62.關于強制訪問控制模型，其中錯誤的是()A、強制訪問控制是指主體和客體都有一個固定的安全屬性，系統用該安全屬性來決定一個主體是否可以訪問某個客體B、安全屬性是強制性的規定，它由安全管理員或操作系統根據限定的規則確定，不能隨意修改C、系統通過比較客體和主體的安全屬性來決定主體是否可以訪問客體D、它是一種對單個用戶執行訪問控制的過程控制措施答案：D63.身份認證的目的是什么？A、對事物的資質審查B、對事物真實性的確認C、對事物的合法性的確認D、對事物的權限進行確認答案：B64.下面哪個是社會工程學的常見形式？A、加密技術B、數據分析C、釣魚攻擊D、防火墻配置答案：C65.關鍵崗位專業技術人員每人每年教育培訓時長不得少于A、1個工作日B、3個工作日C、7個工作日D、在經過認證的安全廠商下培訓滿三個自然月答案：B66.釣魚攻擊通常利用以下哪種方式來欺騙目標？A、偽造電子郵件、短信或其他通信形式B、直接物理接觸C、網絡掃描D、加密解密技術答案：A67.在訪問控制產品的選擇過程中，以下哪個因素應該是最重要的考慮因素？A、產品的售價B、產品的品牌知名度C、產品的功能和特性是否滿足需求D、產品的外觀設計和用戶界面答案：C68.白盒測試的具體優點是：A、其檢查程序是否可與系統的其他部分一起正常運行B、在不知程序內部結構下確保程序的功能性操作有效C、其確定程序準確性成某程序的特定邏輯路徑的狀態D、其通過嚴格限制訪問主機系統的受控或虛擬環境中執行對程序功能的檢查答案：C69.國家建立網絡安全監測預警和（）。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作，按照規定統一發布網絡安全監測預警信息。A、信息共享制度B、信息傳輸制度C、信息通報制度D、信息保護制度答案：C70.增加/刪除k條數據的ε-DP機制滿足(kε)-DPA、TRUEB、FALSE答案：A71.重要數據和核心數據處理者委托第三方評估機構開展數據安全風險評估時，應確保評估過程具備哪些要素()A、隨機選擇的評估團隊成員B、完備的評估工作方案和有效的技術評測工具C、與行業無關的評估標準D、僅包括技術保障方面的評估內容答案：B72.下列關于軟件安全開發中的BSI（BuildSecurityIn)系列模型說法錯誤的是()A、BIS含義是指將安全內建到軟件開發過程中，不是游離于軟件開發生命周期之外B、軟件安全的三根支柱是風險管理、軟件安全觸點和安全測試C、軟件安全觸點是軟件開發生命周期中一套輕量級最優工程化方法，提供了從不同角度保障安全的行為方式D、BSI系列模型強調應該使用工程化的方法來保證軟件安全，即在整個軟件開發生命周期中都要確保將安全作為軟件的一個有機組成部分答案：B73.降低風險（或減低風險）指通過對面的風險的資產采取保護措施的方式來降低風險，下面那個措施不屬于降低風險的措施()A、減少威脅源，采用法律的手段制裁計算機的犯罪，發揮法律的威懾作用，從而有效遏制威脅源的動機B、簽訂外包服務合同，將存在風險的任務通過簽訂外包合同給與第三方完成，通過合同條款問責應對風險C、減低威脅能力，采取身份認證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性，及時給系統打補丁，關閉無用的網絡服務端口，從而減少系統的脆弱性，降低被利用可能答案：B74.對于用戶刪除賬號和數據，以下哪種做法是不正確的？()A、提供用戶刪除賬號和數據的功能B、刪除用戶數據的備份和鏡像C、限制用戶刪除賬號和數據的時間和方式D、在用戶提交刪除請求后及時處理并回復用戶答案：C75.配置如下兩條訪問控制列表：Access-List1permit55access-List2permit0055訪問控制列表1和2，所控制的地址范圍關系是：()A、1和2的范圍相同B、1的范圍在2的范圍內C、2的范圍在1的范圍內D、1和2的范圍沒有包含關系（正確答案）答案：D76.除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的（）時間A、兩倍B、三倍C、四倍D、最短答案：D77.事實授權訪問控制模型（Fact-BasedAuthorization，FBA）是基于什么來動態決定用戶對資源的訪問權限？A、用戶屬性B、用戶歷史行為和環境信息C、系統管理員D、用戶角色答案：B78.網絡運營者兼并、重組、破產的，數據承接方應承接數據安全責任和義務。沒有數據承接方的，應當對數據（）處理。()A、封存B、刪除C、匿名化D、存儲答案：C79.對于發現存在較大安全風險的數據處理活動，行業監管部門可以采取以下哪種措施()A、給予獎勵B、發出警告信函C、進行約談并要求整改D、暫停行政審批程序答案：C80.網絡安全訪問控制技術主要用于保護什么？A、計算機網絡系統和資源B、用戶隱私C、數據中心D、網絡流量答案：A81.DoS攻擊是拒絕服務攻擊。攻擊者通過利用漏洞或發送大量的請求導致攻擊對象無法訪問網絡或者網站無法被訪問。A、TRUEB、FALSE答案：A82.依據《中華人民共和國數據安全法》，開展數據處理活動應當依照法律、法規的規定，建立健全（）管理制度。A、數據風險評估B、數據泄露應急處置C、數據交易D、全流程數據安全答案：D83.《中華人民共和國數據安全法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議于（）通過。A、2020年6月10日B、2020年6月11日C、2021年6月10日D、2021年6月11日答案：C84.（）負責統籌協調個人信息保護工作和相關監督管理工作A、國家監管機構B、國家征信機構C、國家網信部門D、中國人民銀行答案：C85.智能卡身份驗證需要什么？A、需要智能卡讀卡器和智能卡B、需要指紋識別設備和智能卡C、需要面部識別設備和智能卡D、需要虹膜掃描設備和智能卡答案：A86.《數據安全法》的立法目的是什么？A、打擊數據犯罪B、促進數據交易C、保護數據安全，促進數據開發利用D、限制數據處理活動答案：C87.通信協議要求通信者傳輸什么信息？A、個人資料B、身份信息C、財務信息D、賬號密碼信息答案：B88.以下哪種行為不適用《數據安全法》？()A、中國境內開展數據處理活動的行為B、中國境外開展數據處理活動的行為C、中國境外開展數據處理活動損害中國國家利益的行為D、中國境外開展數據處理活動損害公民合法權益的行為答案：B89.為了體現公平公正原則，每年高考都有嚴格的數據防泄密措施。以下哪項是無效的數據保密手段？A、封閉出卷、封閉閱卷B、試卷密封，運輸過程全監控C、考生個人信息必須填入密封線以內，否則答卷無效D、出題完畢后出題組統一離場，不得交頭接耳E、試卷交由甲級國家秘密載體印制資質的單位印刷答案：D90.在單點登錄（SSO）中，為什么采用SSL進行用戶、應用系統和認證服務器之間的通信？A、提高用戶體驗B、加快應用系統的響應速度C、減小敵手截獲和竊取信息的可能性D、增加數據的傳輸效率答案：C91.在多數不誠實設置中，協議不能達到公平性A、TRUEB、FALSE答案：A92.在ZigBeeMAC安全中，MAC安全幀不包括A、報頭B、報尾C、負載D、幀內容答案：C93.中間人攻擊是指攻擊者在用戶和身份驗證服務器之間插入自己的設備或軟件，以截獲和篡改身份驗證信息。以下哪種是中間人攻擊的示例？A、密碼猜測/暴力破解攻擊B、跨站點腳本（XSS）攻擊C、側信道攻擊D、令牌劫持攻擊答案：D94.POW是指（B）A、權益證明B、工作量證明C、零知識證明D、以上都不是答案：B95.ZigBee根據服務與需求使多個器件之間進行通信()A、物理層B、MAC層C、網絡/安全層D、支持/應用層答案：A96.網絡社會工程學攻擊利用了哪些原理？A、心理學和社交技巧B、網絡傳播和信息交換C、病毒和惡意軟件的編寫和傳播D、以上都不是答案：A97.令牌劫持攻擊是指攻擊者獲取合法用戶的身份驗證令牌或會話標識符，并使用它們來冒充該用戶進行身份驗證。以下哪種是令牌劫持攻擊的示例？A、密碼猜測/暴力破解攻擊B、重放攻擊C、中間人攻擊D、側信道攻擊答案：B98.《中華人民共和國數據安全法》所稱數據，是指任何以電子或者其他方式對信息的記錄。其中數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障（）狀態的能力。A、持續安全B、持續穩定C、部分安全D、部分穩定答案：A99.認證服務器在單點登錄（SSO）過程中的主要職責是什么？A、生成訪問票據并存放在Cookie中B、驗證用戶的登錄請求并確認其合法性C、建立安全訪問通道與應用系統通信D、檢查Cookie的有效性并進行驗證答案：B100.在網絡社會工程學攻擊中，攻擊者通常試圖通過哪些方式來欺騙目標？A、發送虛假的電子郵件、短信或其他通信形式B、利用人際交往或其他社交技巧來獲取目標的信任和信息C、偽裝成授權人員或合法用戶以獲取目標系統或機構的訪問權限D、以上都是答案：D101.（）以上人民政府應當將關鍵信息基礎設施安全保護工作納入地區經濟社會發展總體規劃，加大投入，開展工作績效考核評價A、地市級B、區縣級C、省部集D、重要省會及部分行政區域答案：A102.規范的實施流程和文檔管理，是信息安全風險評估結能否取得成果的重要基礎，按照規范的風險評估實施流程，下面哪個文檔應當是風險要素識別階段的輸出成果()A、《風險評估方案》B、《需要保護的資產清單》C、《風險計算報告》D、《風險程度等級列表》答案：B103.任何組織、個人收集數據，應當采取（）的方式，不得竊取或者以其他非法方式獲取數據。A、合法、正當B、合規、正當C、合法、恰當D、合規、恰當答案：A104.大數據應用所采用的技術有:()A、大規模存儲與大規模計算B、數據的清洗與分析處理C、結合數學建模與人工智能D、都正確答案：D105.要防止網絡社會工程學攻擊，以下哪項是必要的？A、使用復雜的密碼，避免使用生日、電話號碼等容易被猜到的信息作為密碼。B、安裝并更新反病毒軟件、防火墻等安全軟件可以有效防止網絡攻擊和惡意軟件入侵。C、教育員工，提高員工對網絡社會工程學攻擊的認識和防范意識。D、以上都是答案：D106.在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、（）或者公民、組織合法權益的，（）。A、公共利益，依法追究法律責任B、國家利益，依法追究法律責任C、公共利益，不能追究法律責任D、國家利益，不能追究法律責任答案：A107.對計算機信息系統中發生的案件，有關使用單位應當在（）內向當地縣級以上人民政府公安機關報告。()A、12小時B、24小時C、48小時D、72小時答案：B108.安全網關產品主要通過什么方式對網絡通信連接進行訪問控制？A、利用網絡數據包信息和威脅特征庫B、使用加密算法對數據進行加密C、監控用戶行為并進行分析D、建立虛擬專用網絡答案：A109.訪問控制技術通過對訪問的申請、批準和撤銷的全過程進行有效控制，從而確保什么樣的訪問才能給予批準？A、合法用戶的非法訪問B、非法用戶的合法訪問C、合法用戶的合法訪問D、非法用戶的非法訪問答案：C110.違反《中華人民共和國數據安全法》第三十五條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處（）罰款。A、五千元以上一萬元以下B、一萬元以上十萬元以下C、五萬元以上五十萬元以下D、二十萬元以上一百萬元以下答案：B111.《中華人民共和國民法典》規定，()的個人信息受法律保護。A、中國人民B、中國公民C、自然人D、法人答案：C112.風險評估過程一般應包括？()A、風險分析B、風險識別C、風險評價D、以上都是答案：D113.國家對計算機信息系統安全專用產品的銷售實行（）制度。具體辦法由公安部會同有關部門制定。()A、登記備案B、注冊C、許可證D、核準答案：C114.以下適用《中華人民共和國網絡安全法》說法正確的是.A、關鍵信息基礎設施的運營者在中華人民共和國境外運營中收集和產生的重要數據的出境安全管理B、關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理C、關鍵信息基礎設施的運營者在中華人民共和國境外運營中收集和產生的一般數據的出境安全管理D、關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的一般數據的出境安全管理答案：B115.下列哪項內容描述的是緩沖區溢出漏洞?A、通過把SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令B、攻擊者在遠程WEB頁面的HTML代碼中插入具有惡意目的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執行。C、當計算機向緩沖區內填充數據位數時超過了緩沖區本身的容量溢出的數據覆蓋在合法數據上D、信息技術、信息產品、信息系統在設計、實現、配置、運行等過程中，有意或無意產生的缺陷答案：C116.關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂(),明確安全和保密義務與責任。A、保密合同B、安全保密協議C、安全責任條款D、安全服務合同答案：B117.在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人A、無論任何情況下都不能公開信息B、按照國家有關規定給予表彰C、處以五十萬元以上一百萬元以下的罰款D、按法律處以十萬元以上五十萬元以下的罰款答案：B118.以下關于等級保護的地位和作用的說法中不正確的是()A、是國家信息安全保障工作的基本制度、基本國策。B、是開展信息安全工作的基本方法。C、是提高國家綜合競爭力的主要手段。（正確答案）D、是促進信息化、維護國家信息安全的根本保障。答案：C119.以下關于政務數據描述錯誤的是。A、指政府部門及法律法規授權具有行政職能的組織在履行職責過程中生成或獲取的的數據。B、政務數據類型包括文字、數字、圖表、圖像、音視頻等。C、政務數據包括政務部門直接或者通過第三方依法采集、依法授權管理的和因履行職責需要依托政務信息系統形成的數據。D、政務數據中包含的個人信息可以直接參與數據交易，作為政府的新經濟營收增長創新模式。答案：D120.自2017年爆出幽靈漏洞之后，2021年又爆出熔斷漏洞，常見CPU無一幸免，該漏洞導致數據泄露的原理是（）A、主板內存泄露B、CPU預測執行的機制可能導致數據泄露C、Windows系統下的缺陷導致的緩沖區溢出D、Linux下未能內存隔離導致數據可能泄露答案：B121.以下哪種行為不適用《個人信息保護法》？()A、在中國境內因商業服務處理自然人個人信息；B、在中國境外以向境內自然人提供產品或者服務為目的處理境內自然人個人信息；C、在中國境外分析、評估境內自然人的行為；D、在中國境內因個人事務處理自然人個人信息。答案：D122.根據《征信業管理條例》的規定，金融信用信息基礎數據庫接收從事信貸業務的機構按照規定提供的（）。()A、信貸信息B、信用信息C、不良信息D、納稅信息答案：A123.以下行為存在信息泄露隱患的是()?A、打印文件后刪除打印機緩存內容B、使用碎紙機粉碎看過的重要資料C、為方便辦公拍攝屏幕D、數據在U盤加密處理答案：C124.數據脫敏中無效化的方法是什么？A、數據加密B、數據替換C、數據截斷或隱藏D、數據備份答案：C125.在大數據關鍵技術中，Hadoop的分布式文件系統HDFS屬于大數據（）。A、存儲技術B、分析技術C、并行分析技術D、挖掘技術答案：A126.省級以上人民政府應當將（）發展納入本級國民經濟和社會發展規劃.A、信息經濟B、智慧經濟C、數字經濟D、數據經濟答案：C127.以下Windows系統的賬號存儲管理機制SAM（SecurityAccoumtsManager）的說法哪個是正確的：A、存儲在注冊表中的賬號數據是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數據administrator賬戶才有權訪問，具有較高的安全性C、存儲在注冊表中的賬號數據任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數據只有System賬號才能訪問，具有較高的安全性答案：D128.區塊鏈是一種：A、分布式數據庫技術B、中心化數據庫技術C、人工智能算法D、云計算技術答案：A129.數據的單位，從小到大依次排序正確的是？A、TB<GB<MB<KBB、MB<GB<TB<PBC、PB<TB<MB<GBD：MB<TB<EB<GB答案：B130.經濟合作與發展組織()在下列哪一年發布《隱私保護和跨境個人數據流動指南》()，鼓勵數據跨境和自由流動。()A、1967年B、1968年C、1990年D、1980年答案：D131.Oracle中的三種系統文件分別是()A、數據文件DBFB、控制文件CTLC、日志文件LOGD、歸檔文件ARC答案：C132.《數據安全法》維護數據安全，應當堅持(),建立健全(),提高()。A、數據安全治理體系，國家安全觀，數據安全治理體系B、國家安全觀，數據安全治理體系，數據安全保障能力C、數據安全保障能力，數據安全治理體系，國家安全觀D、國家安全觀，數據安全保障能力，數據安全治理體系答案：B133.在進行數據校驗時，以下哪個不是推薦的做法？A、使用白名單凈化數據B、接受所有用戶輸入C、使用黑名單剔除特定字符D、對數據進行編碼或替換答案：B134.國家大力推進電子政務建設，提高政務數據的科學性、（）、時效性，提升運用數據服務經濟社會發展的能力。A、公平性B、創新性C、便民性D、準確性答案：D135.營者發現使用的網絡產品（）應當及時采取措施消除風險隱患，涉及重大風險的應當按規定向有關部門報告A、服務存在安全缺陷B、收益未達到運營者期望C、使用了最新的支付系統D、無法從境外網絡訪問答案：A136.數據安全風險評估中，哪些因素不是評估的重點？A、數據泄露的可能性B、數據處理的合規性C、企業員工的個人喜好D、數據訪問的控制措施答案：C137.重放攻擊是指攻擊者截獲合法用戶的身份驗證流量，并在稍后的時間重新發送該流量，以冒充合法用戶進行身份驗證。以下哪種是重放攻擊的示例？A、跨站點腳本（XSS）攻擊B、令牌劫持攻擊C、生物特征欺騙攻擊D、社會工程學攻擊答案：B138.下列關于信息系統生命周期中安全需求說法不準確的是：A、明確安全總體方針，確保安全總體方針源自業務期望B、描述所涉及系統的安全現狀，提交明確的安全需求文檔C、向相關組織和領導人宣貫風險評估準則D、對系統規劃中安全實現的可能性進行充分分析和論證答案：C139.從安全角度看，下面哪項是網絡購物中不好的習慣：A、計算機上的系統不進行升級B、為計算機安裝病毒查殺和安全加固方面的軟件C、設置只能下載和安裝經過簽名的，安全的ActiveX控件D、瀏覽器時設置不在計算機中保留網絡歷史紀錄和表單數據答案：A140.數據安全風險評估報告應包含哪些內容？A、評估人員的個人信息B、風險評估的具體方法和工具C、風險評估的結果和建議措施D、企業的商業機密信息答案：C141.以下哪一行為，符合國家關于信息處理的要求？()A、甲利用作為銀行職員的便利為境外刺探、非法提供銀行金融數據B、甲銀行APP軟件未經客戶明確同意，擅自收集客戶的人臉信息C、甲銀行柜員乙為客戶辦理業務需要，經過客戶同意，按照銀行流程掃描客戶身份證原件D、甲公司要求銀行提供該公司員工乙的支付勞務工資記錄，銀行未經審查直接向甲公司提供答案：C142.根據《數據安全法》的規定，下列數據中不屬于國家核心數據？()A、關系國家安全的數據B、關系國民經濟命脈的數據C、關系重要民生的數據D、關系公共利益的數據答案：D143.ApacheWeb服務器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd.confB、srlconfC、access．confD、Inet.conf答案：A144.開展數據安全風險評估，以下哪項不是風險評估的主要方法？A、定性評估B、定量評估C、主觀臆斷D、綜合評估答案：C145.在進行數據安全風險評估時，應重點關注哪些數據？A、所有類型的數據B、敏感數據C、公開數據D、過期數據答案：B146.日本安全研究員與密歇根大學利用激光攻擊知名廠商的智能音響與語音識別軟件，從5米到110米范圍上述設備與軟件無一幸免，這種攻擊（）A、屬于物理攻擊B、證明了目前的語音識別設備其實存在很大安全隱患C、利用了波的特性，波的特征可以被模仿D、目前沒有很好的防御手段E、以上都對答案：E147.運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行()網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工作部門要求報送情況。A、一次B、二次C、三次D、四次答案：A148.以下哪項不是身份的必要特點？A、唯一性B、可復制性C、可變性D、持久性答案：B149.數據校驗中，推薦使用哪種策略來接受數據？A、黑名單策略B、白名單策略C、隨機策略D、混合策略答案：B150.下面哪個模型和軟件安全開發無關（）？A、微軟提出的“安全開發生命周期（SecurityDevelopmentLifecycle,SDL）”B、GrayMcGraw等提出的“使安全成為軟件開發必須的部分（BuildingSecurityIN，BSI）”C、OWASP維護的“軟件保證成熟度模型（SoftwareAssuranceMaturityMode,SAMM）”D、“信息安全保障技術框架（InformationAssuranceTechnicalFramework，IATF）”答案：D151.區塊鏈信息服務提供者開發上線()的，應當按照有關規定報國家和省、自治區、直轄市互聯網信息辦公室進行安全評估。()A、新產品B、新應用C、新功能D、以上都需要答案：D152.物聯網中的安全測試是用于什么目的？A、發現物聯網設備和系統的安全漏洞B、測試物聯網設備的性能指標C、測試物聯網設備的可用性D、評估物聯網設備的制造成本答案：A153.根據《網絡安全法》的規定，（）應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。A、電信運營商B、科研機構C、外包服務商D、網絡運營者答案：D154.以下哪種訪問控制模型是基于一組定義良好的屬性規則來確定用戶對資源的訪問權限？A、自主訪問控制模型(DAC)B、強制訪問控制模型(MAC)C、事實授權訪問控制模型(FBA)D、基于屬性的訪問控制模型(ABAC)答案：D155.社會工程學攻擊是指攻擊者通過欺騙、誘騙或操縱用戶來獲取其身份驗證憑據。以下哪種不屬于社會工程學攻擊的示例？A、釣魚網站B、重放攻擊C、電話欺詐D、欺騙性電子郵件答案：B156.對于數據安全防護，訪問權限管理是一項良好的安全實踐，以下訪問權限控制措施中合適的是：A、嚴格管理數據庫權限B、嚴格管理運維賬號權限C、最好遵循三權分立原則D、對服務器主機登錄權限做管控E、以上都對答案：E157.URL過濾（URLFilter），一般簡稱為URLF，是指對用戶訪問的URL進行控制，對用戶訪問的Web資源執行允許或禁止操作。A、TRUEB、FALSE答案：A158.K-匿名模型的實施，使得觀察者無法以高于1/k的置信度通過準標識符來識別用戶()A、TRUEB、FALSE答案：A159.涉密人員離崗、離職前，應當將所保管和使用的國家秘密載體全部清退，并（）。A、登記銷毀B、訂卷歸檔C、辦理移交手續D、不一定辦理移交手續答案：C160.對于數字證書而言，一般采用的是哪個標準？A、ISO/IEC1540B、802.11C、GB/T20984D、X.509答案：D161.一份文件為秘密級，保密期限是10年，標志形式應當是()A、秘密10年B、秘密★C、秘密★10年D、秘密●10年答案：C162.民法調整平等主體的（）、法人和非法人組織之間的人身關系和財產關系。A、人民B、公民C、居民D、自然人答案：D163.《中華人民共和國數據安全法》自2021年9月1日起施行。依據該法，下列說法錯誤的是A、省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃B、國家工業和信息化主管部門負責國家數據安全工作的決策和議事協調C、國家建立數據分類分級保護制度，對數據實行分類分級保護D、從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源答案：B164.數據安全風險評估是指：A、對數據安全進行全面評估和分析的過程B、對數據網絡設備進行性能測試的過程C、對數據網絡連接進行速度測試的過程D、對數據網絡用戶進行身份驗證的過程答案：A165.以下哪種訪問控制模型是基于定義的訪問控制策略來控制對資源的訪問權限？A、自主訪問控制模型(DAC)B、強制訪問控制模型(MAC)C、角色基礎訪問控制模型(RBAC)D、基于策略的訪問控制模型(PBAC)答案：D166.重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送數據清單。A、對B、錯答案：B167.某單位門戶網站開發完成后，測試人員使用模糊測試進行安全性測試，以下關于模糊測試過程的說法正確的是：A、模擬正常用戶輸入行為，生成大量數據包作為測試用例B、數據處理點、數據通道的入口點和可信邊界點往往不是測試對象C、監測和記錄輸入數據后程序正常運行的情況D、深入分析測試過程中產生崩潰或異常的原因，必要時需要測試人員手工重現并分析答案：C168.以下選項不屬于數據庫隱私度量標準和位置隱私度量標準的是A、隱私保護度B、數據的可用性C、服務質量D、位置信息的可用性答案：D169.在訪問控制中，下面哪個措施可以增強系統的身份認證安全性？A、多因素認證B、開放注冊C、共享賬號和口令D、強制口令重用答案：A170.為降低本國數據傳輸至境外造成的安全風險，我國針對性的推出了哪項政策法規？()A、《關鍵信息基礎設施安全保護條例》B、《網絡安全產品漏洞管理規定》C、《數據出境安全評估辦法》D、《信息安全等級保護管理辦法》答案：C171.定密責任人在職權范圍內承擔有關國家秘密的（）工作。A、確定B、變更C、解除D、以上都不正確答案：C172.身份認證是為了確認通信過程中的另一端個體是誰，這個個體可以是哪些類型？A、人B、物體C、虛擬過程D、以上都可以答案：D173.（）負責統籌協調個人信息保護工作和相關監督管理工作A、中國農業銀行B、國家網信部門C、國家法律部門D、國家監管機構答案：B174.開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、（），不得損害個人、組織的合法權益。A、公共利益B、國家利益C、私有企業利益D、國有企事業單位利益答案：A175.下列哪項關于區塊鏈的定義是錯誤的？()A、區塊鏈信息服務是基于區塊鏈技術或系統，通過互聯網站、應用程序等網絡平臺提供的信息服務。B、時間戳是對時間和其他待簽名數據進行簽名得到的,用于表明數據時間屬性的數據C、上鏈是具有特定功能的區塊鏈組件,可獨立運行的單元D、智能合約是存儲在分布式賬本中的計算機程序,由區塊鏈用戶部署并自動執行,其任何執行結果都記錄在分布式賬本中答案：C176.2020年微盟的離職人員心懷不滿，利用遠程登錄方式銷毀了在線電商數據，對微盟的業務與營收造成了嚴重影響，這件事情警示大家，對賬號的管理也應當從嚴，以下哪項不屬于賬號生命周期管理。A、賬號創建B、崗位變動后賬號權限變更C、離職人員賬號關停審計D、賬號口令強度要求，最好是大小寫字母結合數字與特殊字符的復雜口令答案：D177.HTTP定義了很多頭字段用于描述HTTP信息，可以針對各種類型的頭字段進行過濾。A、TRUEB、FALSE答案：A178.以下哪一個是中國移動的網站：A、B、www.1OO86.cnC、D、答案：C179.人離開后電腦不鎖屏可能導致窺屏方式的數據泄密，以下鎖定屏幕的方法正確的是（）A、Windows鍵+LB、Ctrl鍵+LC、Alt鍵+LD、Shift鍵+L答案：A180.以下哪個方面不是數據合規審查中需要關注的要點？()A、數據來源的合規性B、數據使用的合規性C、數據跨境的合規性D、數據價值的評估答案：D181.自主訪問控制模型（DiscretionaryAccessControl，DAC）是基于什么原則來控制資源訪問權限？A、系統管理員決定B、資源所有者決定C、角色分配決定D、屬性規則決定答案：B182.唐朝年間，科舉基本上被五姓七家把控，他們世代聯姻，利用裙帶關系錄取考生，武則天于是決定采用糊名制度，“暗考以定其等級”，糊名制度在個人信息處理上是什么措施()A、隔離B、身份驗證C、去標識D、差分隱私答案：C183.個人信息處理者利用個人信息進行自動化決策，應當保證決策的（）和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇A、可行性B、自動化C、透明度D、精準度答案：C184.發生以下情況數據安全等級需要升級的是()A、數據匯聚融合B、生產數據脫敏C、特定時間或事件后信息失去原有敏感性D、刪除關鍵字段答案：A185.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在人力資源安全方面實施常規控制，人力資源安全劃分為3個控制階段，不包括哪一項()A、任用之前B、任用中C、任用終止或變化D、任用后答案：D186.運營者的（）對關鍵信息基礎設施安全保護負總責。A、安全運維團隊B、信息中心負責人C、生產責任人D、主要負責人答案：D187.以下哪個拒絕服務攻擊方式不是流量型拒絕服務攻擊A、LandB、UDPFloodC、SmurfD、Teardrop答案：D188.物聯網中的社交工程是指什么？A、攻擊者利用社交媒體進行攻擊B、攻擊者通過社交網絡竊取數據C、攻擊者利用人們的社交行為進行欺騙和攻擊D、攻擊者利用物聯網設備進行社交活動答案：C189.國家鼓勵開發網絡數據安全保護和利用技術，促進（），推動技術創新和經濟社會發展。A、國家政務數據開放B、國家數據資源開放C、公共數據資源開放D、敏感數據合理開放答案：C190.未滿（）的未成年人為無民事行為能力人，其網絡打賞行為是無效的。A、8周歲B、10周歲C、12周歲D、14周歲答案：A191.以下關于定級工作說法不正確的是：()A、確定定級對象過程中，定級對象是指以下內容：起支撐、傳輸作用的信息網絡（包括（正確答案）專網、內網、外網、網管系統）以及用于生產、調度、管理、指揮、作業、控制、辦公等目的的各類業務系統（正確答案）B、確定信息系統安全保護等級僅僅是指確定信息系統屬于五個等級中的哪一個。C、在定級工作中同類信息系統的安全保護等級不能隨著部、省、市行政級別的降低而降低。D、新建系統在規劃設計階段應確定等級，按照信息系統等級，同步規劃、同步設計、同步實施安全保護技術措施和管理措施。答案：A192.《中華人民共和國數據安全法》所稱數據，是指任何以電子或者其他方式對（）的記錄。A、圖片B、文字C、鏈接D、信息答案：D193.依據ISO27001，信息系統審計是()。()A、應在系統運行期間進行，以便于準確地發現弱電B、審計工具在組織內應公開可獲取，以便于提升員工的能力C、發現信息系統脆弱性的手段之一D、只要定期進行，就可以替代內部ISMS審核答案：C194.（）以上的未成年人為限制民事行為能力人實施民事法律行為，由其法定代理人代理或者經其法定代理人同意、追認。A、8周歲B、10周歲C、12周歲D、14周歲答案：A195.ISMS是基于組織的()風險角度建立的。()A、財務部門B、資產安全C、信息部門D、整體業務答案：D196.訪問控制中的審計是指：A、對用戶行為進行實時監控B、檢查和記錄用戶的訪問活動C、對系統進行漏洞掃描D、對網絡流量進行流量分析答案：B197.關于風險要素識別階段工作內容敘述錯誤的是：A、資產識別是指對需求保護的資產和系統等進行識別和分類B、威脅識別是指識別與每項資產相關的可能威脅和漏洞及其發生的可能性C、脆弱性識別以資產為核心，針對每一項需求保護的資產，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D、確認已有的安全措施僅屬于技術層面的工作，牽涉到具體方面包括：物理平臺、系統平臺、網絡平臺和應用平臺答案：D198.我國定義的五大生產要素，包括：A、信息技術B、能源C、數據D、商業機密答案：C199.常見的數據格式有哪些()A、結構化數據B、非結構化數據C、半結構化數據D、以上全是答案：D200.根據《征信業管理條例》的規定，征信機構可以采集以下哪種個人信息？()A、個人的血型信息B、個人的指紋信息C、個人的真實身份信息D、個人的疾病信息答案：C多選題1.《電子合同取證流程規范》（標準號：GB/T39321-2020）中規定的電子取證的基本流程包含()A、申請B、受理C、批準D、驗證E、出證答案：ABDE2.以下哪類智慧城市應用中可能存在海量個人信息，需要重點保護A、電子政務系統B、軌道交通系統C、智慧校園一卡通D、智慧氣象分析系統答案：ABC3.下列針對數據安全的運維要求中，正確的操作是（）。A、確認需要備份的是哪些數據/數據庫，設定備份與歸檔的策略B、從數據備份的完整性與成本方面的均衡角度考慮，增量備份結合全量備份是一個推薦的措施C、需要對備份后的數據進行恢復校驗，以確保恢復后的數據可用D、定期對數據相關風險進行評估答案：ABCD4.常見的非數據化數據有哪些()A、視頻B、圖片C、日志D、文檔答案：ABD5.生物特征認證一般需要經過以下哪些過程？A、圖像采集B、特征提取C、圖像處理D、特征匹配E、哈希計算答案：ABD6.聲紋是生物特征之一，但是不建議利用聲紋進行驗證，原因是什么？A、可能會有波形拼接方式的攻擊攻陷聲紋識別系統B、可以利用激光模擬方式攻陷聲紋識別系統C、環境噪音會對識別率造成影響D、同一個人的聲音易受身體狀況、年齡、情緒等的影響，具有易變性答案：ABCD7.使用智能卡身份驗證時，智能卡中可能存儲的信息有哪些？A、用戶名和密碼B、數字證書和私鑰C、指紋和面部識別信息D、身份證號碼和地址信息E、銀行卡信息和密碼答案：BC8.《中華人民共和國數據安全法》所稱數據，是指任何以電子或者其他方式對信息的記錄。其中數據處理，包括數據的（）、（）、使用、加工、傳輸、提供、（）等。A、收集B、存儲C、過濾D、公開答案：ABD9.國家保護個人、組織與數據有關的權益，為了促進以數據為關鍵要素的數字經濟發展，以下說法正確的是.A、鼓勵數據依法合理有效利用B、鼓勵數據依法有效利用C、保障數據依法有序自由流動D、保障數據有序自由流動答案：AC10.某單位門戶網站開發完成后，測試人員使用模糊測試進行安全性測試，以下關于模糊測試過程的說法錯誤的是：A、模擬正常用戶輸入行為，生成大量數據包作為測試用例B、數據處理點、數據通道的入口點和可信邊界點往往不是測試對象C、監測和記錄輸入數據后程序正常運行的情況D、深入分析測試過程中產生崩潰或異常的原因，必要時需要測試人員手工重現并分析答案：ABC11.區塊鏈的類型有（ABCD）A、私有鏈B、公有鏈C、聯盟鏈D、專有鏈答案：ABCD12.以下選項屬于數據安全分類分級原則的是()A、合法合規B、棄低取高C、動態調整法D、棄高取低答案：ABC13.下列哪些行為可能違反《數據安全法》的規定？A、非法獲取數據B、篡改數據C、泄露數據D、合法利用數據答案：ABC14.MFA可以使用哪些因素進行身份驗證？A、用戶名和密碼B、指紋和密碼C、面部識別和密碼D、短信驗證碼E、智能卡答案：BCDE15.發現系統0Day漏洞時，不應當（）。A、悄悄修復即可B、應當及時修復C、應當通告上級主管部門及相關監管機構D、查看日志，如果利用該漏洞攻擊可以暫時先不修復答案：AD16.以下數據中屬于國家核心數據的是()。A、關系國家安全的數據B、關系國民經濟命脈的數據C、關系重要民生的數據D、關系公共利益的數據答案：ABC17.如果App運營者將個人信息用于用戶畫像、個性化展示等，隱私政策中應說明其（）。()A、存儲方式B、運行原理C、應用場景D、可能對用戶產生的影響答案：CD18.以下哪些屬于國產自主可控聯盟鏈（BD）A、EthereumB、長安鏈C、HyperledgerFabricD、FISCOBCOS答案：BD19.面向關鍵信息基礎設施開展安全檢測評估，發布系統漏洞、計算機病毒、網絡攻擊等安全威脅信息，提供云計算、信息技術外包等服務的機構，應當符合有關要求。具體要求由（）制定A、國家網信部門B、國務院有關部門C、提供安全服務的有關上市公司D、信息安全學員答案：AB20.零信任身份驗證的優點是什么？A、提高了數據安全性B、減少了IT管理工作量C、提高了用戶體驗D、減少了成本E、可以防止內部威脅答案：ABE21.以下哪項屬于政務數據共享的類型？A、無條件共享B、有條件共享C、不予共享D、部分共享答案：ABD22.以下關于定級工作說法正確的是：()A、確定定級對象過程中，定級對象是指以下內容：起支撐、傳輸作用的信息網絡（包括專網、內網、外網、網管系統）以及用于生產、調度、管理、指揮、作業、控制、辦公等目的的各類業務系統B、確定信息系統安全保護等級僅僅是指確定信息系統屬于五個等級中的哪一個。C、在定級工作中同類信息系統的安全保護等級不能隨著部、省、市行政級別的降低而降低。D、新建系統在規劃設計階段應確定等級，按照信息系統等級，同步規劃、同步設計、同步實施安全保護技術措施和管理措施。答案：BCD23.根據《中華人民共和國個人信息保護法》其他有關規定，下列哪些規定情形不需取得個人同意。A、為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需B、為履行法定職責或者法定義務所必需C、為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需D、為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息答案：ABCD24.《關于促進數據安全產業發展的指導意見》中，促進數據安全產業發展的措施包括哪些？A、加強數據安全技術研發B、培養數據安全人才C、推進數據安全標準制定D、推動數據安全產品和服務創新答案：ABCD25.根據《征信業管理條例》的規定，以下哪些機構發生重大信息泄露等事件的，國務院征信業監督管理部門可以采取臨時接管相關信息系統等必要措施，避免損害擴大。()A、經營企業征信業務的征信機構B、經營個人征信業務的征信機構C、金融信用信息基礎數據庫D、向金融信用信息基礎數據庫提供或者查詢信息的機構答案：BCD26.大數據應用所采用的技術有:()A、大規模存儲與大規模計算B、數據的清洗與分析處理C、結合數學建模與人工智能D、以上都不對答案：BC27.如果只對主機地址為5進行訪問列表的設置，下面各項正確的有()A、55B、（正確答案）C、any5D、host（正確答案）答案：BD28.windows文件系統權限管理使用訪問控制列表機制，以下哪些說法是正確的：A、安裝Windows系統時要確保文件格式適用的是NTFS.因為Windows的ACL機制需要NTFS文件格式的支持B、由于Windows操作系統自身有大量文件和目錄，因此很難對每個文件和目錄設置嚴格的訪問權限，為了使用上的便利,Windows上的ACL存在默認設置安全性不高的問題C、Windows的ACL機制中，文件和文件夾的權限是主體進行關聯的，即文件夾和文件的訪問權限信息是寫在用戶數據庫中的D、由于ACL具有很好靈活性，在實際使用中可以為每一個文件設定獨立擁護的權限答案：ABD29.零信任安全模型的核心概念是什么？A、信任所有用戶和設備B、控制網絡邊界C、僅限制外部網絡訪問D、不信任任何用戶和設備E、提供廣泛的訪問權限答案：BD30.4.以下哪些是用戶訪問管理的主要內容？A、用戶登記和認證B、用戶權限分配和授權C、訪問記錄和審計D、權限監測和修改E、用戶培訓和教育答案：ABCD31.對于數據安全防護，訪問權限管理是一項良好的安全實踐，以下訪問權限控制措施中合適的是：A、嚴格管理數據庫權限B、嚴格管理運維賬號權限C、最好遵循三權分立原則D、對服務器主機登錄權限做管控答案：ACD32.關于源代碼審核，下列說法錯誤的是：A、人工審核源代碼審校的效率低，但采用多人并行分析可以完全彌補這個缺點B、源代碼審核通過提供非預期的輸入并監視異常結果來發現軟件故障，從而定位可能導致安全弱點的薄弱之處C、使用工具進行源代碼審核，速度快，準確率高，已經取代了傳統的人工審核D、源代碼審核是對源代碼檢查分析，檢測并報告源代碼中可能導致安全弱點的薄弱之處答案：ABC33.利用“網絡爬蟲技術”獲取公開信息時，應（）。()A、注意目標網站的Robots協議的具體內容和限制B、使用過程中不需要甄別“網絡爬蟲”收集的信息的權屬C、嚴格管控數據采集的范圍，不超范圍采集D、涉及個人信息的需慎重評價答案：ACD34.風險評估工具的使用在一定程度上解決了手動評佑的局限性，最主要的是它能夠將專家知識進行集中，使專家的經驗知識被廣泛使用，根據在風險評估過程中的主要任務和作用愿理，以下屬于信息系統風險評估工具的是():A、風險評估與管理工具B、系統基礎平臺風險評估工具C、風險評估輔助工具D、環境風險評估工具答案：ABC35.以下哪些選項屬于《個人信息保護法》的目的？()A、保護個人信息權益；B、規范個人信息處理活動；C、促進個人信息合理利用；D、推動個人信息數據無限制跨境流動。答案：ABC36.按照部署方式和服務對象可將云計算劃分為A、公有云B、私有云C、混合云D、國有云答案：ABC37.運營者應當保障專門安全管理機構的運行經費、并()A、配備相應的人員B、開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與C、購買指定安全廠商的安全服務D、鼓勵員工直接進行漏洞攻擊測試答案：AB38.關于表分區的說法正確的有()A、表分區存儲在表空間中（正確答案）B、表分區可用于任意的數據類型的表C、表分區不能用于含有自定義類型的表（正確答案）D、表分區的每個分區都必須具有明確的上界值答案：AC39.符合下列哪些情況下，個人信息處理者就應當按照《個人信息保護法》的規定設置專職的個人信息保護負責人和個人信息保護工作機構？()A、主要業務涉及個人信息處理，且從業人員規模大于200人B、處理超過100萬人的個人信息，或預計在12個月內處理超過100萬人的個人信息C、處理超過10萬人的個人敏感信息的D、以上全部情況均無需設置專職的個人信息保護負責人和個人信息保護工作機構答案：ABC40.下列關于收集數據說法錯誤的是.A、通過非正當技術手段獲取數據B、應當采取合法、正當的方式C、不得竊取或者以其他非法方式獲取數據。D、公安部門可以竊取或者以其他非法方式獲取數據。答案：AD41.你是一名IT公司的工作人員，你們公司有企業微信作為內部通訊工具。今天你收到QQ好友添加請求，顯示為IT部門同事需要通過QQ遠程協助對你的電腦進行升級，你應該如何處理？A、通過好友請求并開啟遠程協助B、通過企業微信確認真實性C、絕對不能在聊天中透露個人及公司信息，但可以讓其遠程協助處理問題D、拒絕并向IT部門反饋E、先通過QQ好友請求，向對方發起QQ視頻通話，確認身份后方可提供遠程協助答案：BD42.()等部門在各自職責范圍內負責相關網絡安全保護和監督管理工作A、國務院公安B、國家保密行政管理C、國家商業管理中心D、國家密碼管理答案：ABD43.根據《個人信息保護法》規定，以下哪些情況下采集敏感個人信息無需取得個人的同意？()A、法院為了審理案件而采集B、公安機關為了偵查案件而采集C、檢察機關為了監督案件而采集D、行政機關為了本機關宣傳而采集答案：ABC44.當前，應用軟件安全已經日益引起人們的重視，每年新發現的應用軟件漏洞已經占新發現漏洞總數一半以上。下列選項中，哪些與應用軟件漏洞成因有關：A、傳統的軟件開發工程未能充分考慮安全因素B、開發人員對信息安全知識掌握不足C、相比操作系統而言，應用軟件編碼所采用的高級語言更容易出現漏洞D、應用軟件的功能越來越多，軟件越來越復雜，更容易出現漏洞答案：ABD45.在《基礎電信企業數據分類分級方法》中指出，將基礎電信企業的數據分為哪幾類()A、公民個人數據B、用戶相關數據C、通用數據D、企業自身數據答案：ABCD46.根據《工業和信息化領域數據安全管理辦法（試行）》，企業在處理重要數據時，應如何確保數據安全？A、采取必要的數據加密措施B、定期進行數據備份和恢復C、隨意處置數據D、建立數據安全監測和預警機制答案：ABD47.訪問控制列表可實現下列哪些要求()A、允許/16網段的主機可以使用協議HTTP訪問（正確答案）B、不讓任何機器使用Telnet登錄（正確答案）C、使某個用戶能從外部遠程登錄D、允許在晚上8:00到晚上12:00訪問網絡（正確答案）答案：ABD48.以下關于數據庫常用的安全策略理解正確的是：A、最小特權原則，是讓用戶可以合法的存取或修改數據庫的前提下，分配最小的特權，使得這些信息恰好能夠完成用戶的工作B、最大共享策略，在保證數據庫的完整性、保密性和可用性的前提下，最大程度地共享數據庫中的信息C、粒度最小的策略，將數據庫中數據項進行劃分，粒度越小，安全級別越高，在實際中需要選擇最小粒度D、按內容存取控制策略，不同權限的用戶訪問數據庫的不同部分答案：ACD49.安全人員發現了針對服務器的口令暴破攻擊，于是決定對設置帳戶鎖定策略。他設置了以下賬戶鎖定策略如下：3次無效登陸鎖定賬戶；鎖定時間30分鐘；復位賬戶鎖定計數器5分鐘；以下關于以上策略設置后的說法哪些錯誤的A、設置賬戶鎖定策略后，攻擊者無法再進行口令暴力破解，所有輸錯的密碼的用戶就會被鎖住B、如果正常用戶部小心輸錯了3次密碼，那么該賬戶就會被鎖定30分鐘，30分鐘內即使輸入正確的密碼，也無法登錄系統C、如果正常用戶不小心連續輸入錯誤密碼3次，那么該擁護帳號被鎖定5分鐘，5分鐘內即使交了正確的密碼，也無法登錄系統D、攻擊者在進行口令破解時，只要連續輸錯3次密碼，該賬戶就被鎖定10分鐘，而正常擁護登陸不受影響答案：ACD50.關鍵信息基礎設施安全保護堅持(),強化和落實關鍵信息基礎設施運營者（以下簡稱運營者）主體責任，充分發揮政府及社會各方面的作用，共同保護關鍵信息基礎設施安全。()A、綜合協調B、分工負責C、依法保護D、實時監測答案：ABC51.公安機關對計算機信息系統安全保護工作行使下列監督職權？()A、制定安全等級的劃分標準和安全等級保護的具體辦法B、監督、檢查、指導計算機信息系統安全保護工作C、查處危害計算機信息系統安全的違法犯罪案件D、履行計算機信息系統安全保護工作的其他監督職責答案：BCD52.保護工作部門應當建A、建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度B、及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢C、確認部門購買了指定安全廠商的服務和產品D、預警通報網絡安全威脅和隱患，指導做好安全防范工作答案：ABD53.任何個人和組織發現危害關鍵信息基礎設施安全的行為，有權向（）部門進行舉報。A、網信B、公安C、行業主管D、監管部分答案：ABCD54.下列屬于智能交通實際應用的是A、不停車收費系統B、先進的車輛控制系統C、探測車輛和設備D、先進的公共交通系統答案：ABD55.下列屬于傳感設備的是A、RFIDB、紅外感應器C、全球定位系統D、激光掃描器答案：ABCD56.以下哪些政務數據不得開放？（）A、涉及國家秘密B、商業秘密C、個人隱私D、領導任命前的公示答案：ABC57.存儲介質的清除或銷毀指通過采用合理的方式對計算機介質(包括磁帶、磁盤、打印結果和文檔)進行信息清除或銷毀處理，主要包括以下哪些內容？()A、識別要清除或銷毀的介質B、確定存儲介質處理方法和流程C、處理方案審批D、存儲介質處理和記錄答案：ABCD58.在零信任安全模型中，訪問控制決策基于哪些因素？A、用戶身份驗證狀態B、設備類型C、用戶地理位置D、應用程序版本E、用戶的政治觀點答案：ABC59.一下屬于數據匿名化的技術手段的是()A、數據掩蔽B、數據混排C、數據擾動D、數據抽樣答案：ABCD60.若數據處理者未按照相應監管要求進行數據跨境傳輸，視情節輕重可能收到下列哪些處罰?()A、警告B、罰款C、停業整頓D、吊銷相關業務許可證或吊銷營業執照答案：ABCD61.一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害（）的，應當納入關鍵信息基礎設施保護范圍A、國家安全B、國計民生C、公共利益D、個人收入答案：ABC62.上市公司對于數據的公開有嚴格要求，以下選項哪些不是上市公司對外披露數據的合理手段()A、在財報未披露前先面向社會公開，彰顯公開透明的原則B、遵循信息披露制度，上市公司必須披露定期報告C、不得對外公示財報，以保守商業秘密D、按照法定要求向證監會以及投資者披露財務經營等會計信息答案：AC63.數據安全能力成熟度PA體系包含哪些方面()A、數據全生命周期過程域B、數據生存周期過程域C、基礎過程域D、通用過程域答案：BD64.履行個人信息保護職責的部門依法履行職責，當事人（）A、應當予以協助B、拒絕C、阻撓D、應當予以配合答案：AD65.國際電信聯盟（ITU）發布名為《InternetofThings》的技術報告，其中包含A、物聯網技術支持B、市場機遇C、發達中國的機遇D、面臨的挑戰和存在的問題答案：ABD66.最小特權管理原則的目標是什么？A、防止特權濫用B、確保特權擁有者具備完成任務所需的權限C、限制特權擁有者的權限，防止其完成任務所需的額外權限D、提供特權擁有者完全自由的權限管理E、保護系統免受外部攻擊答案：AC67.下列哪些是訪問控制的主要產品？A、4A系統B、安全網關C、系統安全增強D、防火墻E、數據庫管理系統答案：ABCDE68.IPv4協議在設計之初并沒有過多地考慮安全問題，為了能夠使網絡方便地進行互聯互通，僅依