网络安全管理情景应用题及答案手册.docxVIP

第PAGE页共NUMPAGES页

网络安全管理情景应用题及答案手册

第一部分：数据安全与隐私保护情景题（3题，每题15分）

题目1（15分）：

某省级医院信息系统升级后，需对存储在云端的患者电子病历进行加密存储。假设医院采用AES-256位对称加密算法，同时部署了基于角色的访问控制（RBAC）机制。请设计一个具体场景，描述如何实现以下目标：

1.确保只有授权的医生和护士能解密并访问患者病历；

2.防止内部员工通过破解密钥窃取数据；

3.若发生密钥泄露，如何通过日志审计追溯责任。

题目2（15分）：

某跨国电商公司在华东地区运营，因欧盟《通用数据保护条例》（GDPR）要求，需对其用户数据进行本地化存储并实施匿名化处理。假设公司采用Hadoop分布式存储，请回答：

1.如何在Hadoop中配置数据脱敏规则，防止个人身份信息（PII）泄露；

2.若用户投诉数据未脱敏被泄露，公司需采取哪些法律合规措施；

3.结合地域特点，分析中国《个人信息保护法》与GDPR的差异性及应对策略。

题目3（15分）：

某政府部门需向公民开放电子政务API接口，但需确保数据传输过程中的机密性和完整性。假设接口采用HTTPS协议，请设计以下方案：

1.描述如何通过TLS1.3协议实现端到端加密；

2.若API存在SQL注入风险，应如何通过参数校验和WAF防护缓解；

3.若某次传输中检测到重放攻击，应如何通过nonce机制防御。

答案与解析

答案1（15分）：

1.加密与访问控制设计：

-使用AES-256对病历文件加密，密钥通过KMS（密钥管理系统）动态生成，每个角色（医生/护士）分配独立的密钥访问权限。RBAC通过RBAC表（Role,User,Permission）关联用户权限，确保只能访问其职责范围内病历。

-举例：医生角色拥有“解密病历”权限，护士角色仅拥有“读取病历摘要”权限。

2.防止密钥破解：

-密钥存储在硬件安全模块（HSM）中，禁止明文传输或存储；定期（如90天）轮换密钥，并绑定多因素认证（MFA）；对密钥操作行为进行硬件级别的日志记录。

3.日志审计设计：

-HSM日志与SIEM系统（如Splunk）集成，记录密钥使用时间、IP地址、操作人；若发现异常（如深夜访问），触发告警，结合工号与绩效考核挂钩。

答案2（15分）：

1.Hadoop脱敏规则配置：

-在Hadoop的HDFS文件系统中，通过自定义脚本对敏感字段（如身份证号）执行哈希（SHA-256）脱敏；在MapReduce任务中添加预处理逻辑，确保数据写入前已脱敏。

2.法律合规措施：

-启动GDPR规定的“数据泄露通知”流程，72小时内向监管机构提交报告；对受影响用户进行赔偿（如免费信用监测服务）；聘请欧洲法律顾问评估损失。

3.中欧法规差异：

-GDPR要求“充分性认定”（如欧盟境内存储即可），而中国《个人信息保护法》强调“境外传输需通过安全评估”；应对策略：若用户属GDPR管辖，数据必须驻留欧洲；若属中国法律管辖，需通过“个人信息出境安全评估”。

答案3（15分）：

1.TLS1.3加密方案：

-配置服务器支持TLS1.3，禁用TLS1.0-1.2；启用ECDHE-RSA-AES128-GCM-SHA256等强加密套件；客户端证书绑定IP地址，防止中间人攻击。

2.SQL注入与WAF防护：

-对API入参使用预编译语句（如PostgreSQL的psycopg2）；部署OWASPWAF，规则库包含“OR1=1”等高危正则；限制请求频率（如IP每分钟100次）。

3.重放攻击防御：

-在请求头添加`X-Request-Id`随机数，服务端校验是否重复；结合JWT令牌设置短期有效期（如5分钟），并绑定`jti`（JWTID）防止重放。

第二部分：云安全与基础设施防护情景题（4题，每题20分）

题目4（20分）：

某金融机构将核心业务迁移至阿里云，需满足“等保2.0”三级要求。请回答：

1.如何通过云监控（如云监控SCS）实现资产动态发现与脆弱性扫描；

2.若检测到ECS实例被暴力破解，应如何通过RAM策略限制登录IP；

3.结合金融行业特性，说明为何需部署数据防泄漏（DLP）系统。

题目5（20分）：

某电商企业使用AWSS3存储商品图片，因遭受DDoS攻击导致服务中断。请设计应急响应方案：

1.如何通过AWSShield标准版缓解流量冲击；

2.若攻击来自僵尸网络，应如何通过VPCFlowLogs分析攻击源；

3.结合中国《网络安全法》要求，说明企业需履行的日志留存义务。

题目6（20分）：

某制造业公司使用工控系统（ICS）连接生产线，需防止恶意软件通过USB接口传播。