2025年网络与数据安全知识竞赛试题及答案.docxVIP

2025年网络与数据安全知识竞赛试题及答案

一、单项选择题（共15题，每题2分，共30分）

1.根据《数据安全法》，国家建立数据分类分级保护制度，其中数据分类分级的责任主体是（）。

A.公安机关

B.数据处理者

C.行业主管部门

D.国家网信部门

答案：B

解析：《数据安全法》第二十一条规定，数据处理者应当按照国家有关规定，对其数据实行分类分级保护。

2.个人信息处理者在处理个人信息时，应遵循“最小必要”原则。以下符合该原则的是（）。

A.电商平台收集用户姓名、手机号、收货地址、浏览记录、支付密码

B.医院为患者建档时仅收集诊疗必需的姓名、病情、联系方式

C.社交软件要求用户授权读取通讯录以注册账号

D.教育类APP要求用户开启定位功能以使用在线学习功能

答案：B

解析：“最小必要”原则要求处理个人信息的范围、类型、频率应限于实现处理目的的最小范围和最短时间。选项B仅收集诊疗必需信息，符合要求。

3.以下不属于《网络安全法》规定的网络运营者义务的是（）。

A.制定内部安全管理制度和操作规程

B.采取技术措施防范计算机病毒和网络攻击

C.定期向用户公开网络日志

D.为公安机关依法维护国家安全提供技术支持和协助

答案：C

解析：《网络安全法》第二十一条规定网络运营者需履行安全保护义务，但未要求定期公开网络日志（仅需留存相关日志）。

4.某企业使用区块链技术存储用户交易数据，其采用的“非对称加密”技术中，用于验证数据来源真实性的是（）。

A.公钥加密，私钥解密

B.私钥加密，公钥解密

C.公钥和私钥均可加密

D.仅私钥用于加密

答案：B

解析：非对称加密中，私钥由用户持有，公钥公开。用私钥加密的数据只能由对应的公钥解密，因此可通过公钥验证数据是否由该私钥持有者（真实来源）加密。

5.依据《关键信息基础设施安全保护条例》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对网络安全风险进行检测评估的周期是（）。

A.每季度一次

B.每半年一次

C.每年至少一次

D.每两年至少一次

答案：C

解析：《关键信息基础设施安全保护条例》第十七条规定，运营者应当每年至少进行一次网络安全检测和风险评估。

6.以下场景中，属于“数据跨境流动”的是（）。

A.中国境内企业将用户数据存储于境内云服务器的香港节点

B.德国分公司将欧盟用户数据传输至中国总部进行分析

C.上海用户通过境内网站访问美国服务器上的公开新闻

D.北京某高校将科研数据共享给国内合作高校

答案：B

解析：数据跨境流动指数据从一个国家（地区）转移到另一个国家（地区）。选项B中数据从欧盟（德国）传输至中国，属于跨境流动。

7.某APP在用户注册时默认勾选“同意隐私政策”，且未明确说明数据用途。该行为违反了个人信息处理的（）。

A.目的明确原则

B.公开透明原则

C.知情同意原则

D.完整性原则

答案：C

解析：《个人信息保护法》第十四条规定，个人信息处理的同意应当由个人在充分知情的前提下自愿、明确作出。默认勾选未明确说明用途，违反“知情同意”。

8.以下不属于网络安全等级保护制度中“第三级”保护要求的是（）。

A.建立安全审计系统，对重要操作进行记录

B.实现网络边界的访问控制，禁止非授权连接

C.仅需制定基本的安全管理制度

D.定期进行渗透测试和漏洞扫描

答案：C

解析：第三级（监督保护级）要求更高的安全管理，需制定详细的安全管理制度（如安全策略、操作规程等），而非“仅基本制度”。

9.某企业发生数据泄露事件，导致10万用户个人信息（含姓名、手机号、身份证号）被非法获取。根据《个人信息保护法》，该企业应在（）内向履行个人信息保护职责的部门报告。

A.24小时

B.48小时

C.3个工作日

D.7个工作日

答案：A

解析：《个人信息保护法》第五十七条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人；通知部门的时限为“24小时内”（紧急情况下）。

10.以下关于“零信任架构”的描述，错误的是（）。

A.默认不信任网络内外部的任何主体

B.基于身份、设备状态、位置等多因素动态授权

C.核心是“持续验证访问请求的合法性”

D.仅适用于企业内网，不涉及外部访问

答案：D

解析：零信任架构适用于所有访问场景（内网、外网、远