2025年网络安全使用规范试题及答案 .docxVIP

2025年网络安全使用规范试题及答案

一、单项选择题（每题2分，共20分）

1.根据《2025年网络安全使用规范指南》，以下哪类数据属于“核心敏感数据”？

A.企业公开的产品宣传文案

B.用户注册时提供的手机号

C.金融机构客户的银行卡CVV码

D.电商平台记录的用户浏览历史

2.某企业采用多因素认证（MFA）作为账户登录的强制要求，以下哪种组合符合规范中“强多因素”标准？

A.密码+手机短信验证码

B.密码+指纹识别

C.密码+硬件令牌（如U盾）

D.密码+邮箱验证码

3.针对AI生成内容（AIGC）的安全管理，规范要求运营者需对生成内容进行“溯源标记”。以下哪项不属于溯源标记的必要信息？

A.生成模型的版本号

B.内容生成的时间戳

C.生成内容的用户ID

D.模型训练使用的数据集来源

4.物联网（IoT）设备接入企业内网时，规范要求必须实施“最小权限原则”。以下哪种配置符合该原则？

A.所有IoT设备共享同一个管理员账户

B.每台IoT设备根据功能分配独立账号，仅开放必要的网络端口

C.IoT设备默认开启远程SSH管理功能

D.IoT设备与办公终端共用同一VLAN（虚拟局域网）

5.某医院信息系统需存储患者的电子病历（包含诊断结果、用药记录），根据《个人信息保护法》及2025年规范，其数据存储周期应满足：

A.自患者出院之日起存储1年

B.自数据生成之日起存储至患者死亡后5年

C.无明确期限，直至系统升级时清除

D.自数据生成之日起存储至少10年

6.移动设备（如员工个人手机）接入企业移动办公平台时，规范要求必须启用“设备健康状态检测”。以下哪项不属于检测范围？

A.设备是否安装非官方应用商店的软件

B.设备操作系统是否为最新安全补丁版本

C.设备是否开启“开发者模式”

D.设备电池剩余电量是否低于20%

7.针对钓鱼邮件的防范，2025年规范新增“动态域名解析拦截”要求。以下哪种场景需触发拦截？

A.邮件正文中包含企业官网链接（如）

B.邮件附件为PDF格式的“工资单”，文件名含乱码（如“2025工资_8a7b.pdf”）

C.邮件发件人显示为“财务部张经理”，但域名解析结果指向非企业注册的IP地址

D.邮件主题为“系统升级通知”，要求点击链接输入账号密码

8.云服务用户与云服务商的安全责任划分中，以下哪项属于用户的责任范围？

A.云服务器底层物理机的防火墙配置

B.数据库中用户数据的加密存储与访问控制

C.云数据中心的物理安防（如门禁、监控）

D.云平台漏洞的修复与补丁更新

9.某企业部署零信任架构（ZeroTrust），规范要求其“持续验证”机制需覆盖的维度不包括：

A.用户登录时的地理位置

B.用户终端的安全状态（如是否感染恶意软件）

C.用户历史行为模式（如操作习惯、登录时段）

D.用户所属部门的层级（如普通员工/部门经理）

10.根据《网络安全法》及2025年规范，网络运营者发生数据泄露事件后，向省级网信部门报告的时限应为：

A.发现泄露后立即报告，最迟不超过24小时

B.发现泄露后48小时内

C.完成泄露影响评估后72小时内

D.无需主动报告，等待监管部门通知

二、判断题（每题1分，共10分。正确填“√”，错误填“×”）

1.员工可将企业账号密码记录在个人手机备忘录中，以便忘记时快速查找。（）

2.公共Wi-Fi环境下使用网银时，只要开启VPN（虚拟专用网络）即可确保安全，无需额外防护。（）

3.社交工程攻击（如冒充领导要求转账）的防范责任仅属于安全部门，普通员工无需参与培训。（）

4.企业数据发生泄露后，若未造成实际经济损失，可自行处理而不向用户告知。（）

5.物联网设备的默认出厂密码（如“admin/admin”）可直接使用，无需修改。（）

6.生物信息（如指纹、人脸）属于“敏感个人信息”，存储时需采用不可逆加密（如哈希加盐），禁止明文存储。（）

7.开发人员可直接使用开源代码库中的组件，无需进行漏洞扫描和安全审计。（）

8.处理14周岁以下儿童个人信息时，除取得监护人同意外，还需通过“儿童模式”限制功能权限（如禁止付费、禁止社交互动）。（）

9.企业内网因物理隔离（不连接互联网），无需部署入侵检测系统（IDS）。（）

10.报废的办公电脑只需格式化硬盘即可丢弃，无需进行数据彻底擦除（如使用DBAN工具覆盖数据）。（）