2025年信息系统安全专家数据生命周期安全管理专题试卷及解析.pdfVIP

2025年信息系统安全专家数据生命周期安全管理专题试卷及解析1

2025年信息系统安全专家数据生命周期安全管理专题试卷

及解析

2025年信息系统安全专家数据生命周期安全管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在数据生命周期的哪个阶段，最应该实施数据分类分级以确定适当的保护措施？

A、数据创建

B、数据存储

C、数据传输

D、数据销毁

【答案】A

【解析】正确答案是A。数据分类分级应在数据创建阶段尽早实施，这是整个数据

生命周期安全管理的基础。只有在数据产生时就明确其敏感性和重要性，才能为后续的

存储、传输、使用和销毁等阶段制定相应的安全策略。B、C、D选项都是数据生命周

期的后续阶段，虽然也需要安全措施，但分类分级的前提工作应该在创建阶段完成。知

识点：数据生命周期管理、数据分类分级。易错点：容易混淆数据分类分级与数据加密

等具体安全措施的实施阶段，误认为在存储或传输阶段才需要分类。

2、以下哪项技术最适合用于保护静态数据（DataatRest）的机密性？

A、SSL/TLS

B、IPSec

C、数据库加密

D、访问控制列表

【答案】C

【解析】正确答案是C。数据库加密是专门用于保护存储在磁盘上的静态数据机密

性的核心技术，通过加密算法将数据变为不可读的密文。A选项SSL/TLS和B选项

IPSec主要用于保护网络传输中的动态数据（DatainTransit）。D选项访问控制列表是

身份认证和授权机制，用于防止未授权访问，但数据本身如果被物理窃取，仍然可能被

读取，不能提供机密性保障。知识点：数据加密、数据状态（静态、动态、使用中）。易

错点：容易将不同数据状态（静态、动态）的保护技术混淆，特别是将SSL/TLS与数

据库加密的适用场景搞混。

3、根据数据最小化原则，在数据收集阶段应遵循什么做法？

A、尽可能收集所有可能用到的数据

B、只收集实现特定目的所必需的最少数据

C、先收集大量数据，后续再筛选

D、收集用户的所有个人数据以备不时之需

2025年信息系统安全专家数据生命周期安全管理专题试卷及解析2

【答案】B

【解析】正确答案是B。数据最小化原则是数据生命周期安全管理的基本原则之一，

要求在数据收集阶段，仅收集与特定、明确、合法目的直接相关的最少数据。这可以降

低数据泄露风险和合规成本。A、C、D选项都违反了数据最小化原则，过度收集数据会

不必要地增加组织的安全负担和隐私风险。知识点：数据最小化原则、隐私保护设计。

易错点：在实际业务中，容易出于“未来可能有用”的考虑而过度收集数据，忽视了该原

则的重要性。

4、数据脱敏的主要目的是什么？

A、提高数据查询性能

B、减少数据存储空间

C、在保护敏感信息的同时保留数据格式和分布特征

D、简化数据备份流程

【答案】C

【解析】正确答案是C。数据脱敏技术通过对敏感数据进行替换、遮蔽、哈希等处

理，旨在保护隐私和敏感信息，同时保持脱敏后数据的格式、统计分布和业务逻辑的有

效性，使其可用于开发、测试、分析等非生产环境。A、B、D选项都不是数据脱敏的

主要目的，它们分别涉及性能优化、存储管理和运维流程。知识点：数据脱敏、匿名化、

假名化。易错点：容易将数据脱敏与数据删除或数据压缩混淆，不理解其核心在于“可

用性”与“安全性”的平衡。

5、在数据销毁阶段，对于存储在固态硬盘（SSD）上的高度敏感数据，最可靠的销

毁方法是？

A、普通文件删除

B、格式化

C、物理销毁（如粉碎）

D、数据覆写

【答案】C

【解析】正确答案是C。对于SSD，由于其内部的磨损均衡、垃圾回收等机制，传

统的文件删除、格式化甚至数据覆写都可能无法彻底清除所有数据块，存在数据恢复的

风险。因此，对于高度敏感数据，物理销毁（如使用粉碎机彻底破坏存储芯片）是最可

靠、最彻底的方法。A和B选项几乎无效。D选项在SSD上效果不佳，不如在传统硬

盘上可靠。知识点：数据销