数据安全事件的处置方法试题及答案.docxVIP

数据安全事件的处置方法试题及答案

一、单项选择题（每题2分，共20分）

1.某企业发现用户注册信息数据库连接日志异常，经初步核查，存在未授权访问记录，可能涉及500条用户姓名、手机号泄露。根据《数据安全法》及行业标准，该事件应定级为：

A.一般数据安全事件

B.较大数据安全事件

C.重大数据安全事件

D.特别重大数据安全事件

2.数据安全事件处置中，现场保护阶段的核心操作是：

A.立即关闭所有系统访问权限

B.对涉事设备进行物理隔离并留存原始日志

C.通知媒体并公开事件细节

D.直接删除异常操作记录

3.关于数据安全事件报告时限，以下说法正确的是：

A.一般事件应在发现后24小时内向行业主管部门报告

B.重大事件应在发现后1小时内口头报告，2小时内书面报告

C.所有事件均需立即向公安机关报案

D.无需向用户报告，仅需内部处理

4.数据泄露事件中，验证泄露数据真实性的关键手段是：

A.对比泄露数据中的哈希值与数据库存储的哈希值

B.联系声称掌握数据的第三方直接索要样本

C.通过社交媒体舆情判断数据真实性

D.随机抽取10%数据与用户核对

5.应急响应团队在处置数据篡改事件时，首要任务是：

A.恢复被篡改数据至最近备份版本

B.追踪篡改操作的源IP地址

C.关闭所有数据写入接口防止二次篡改

D.通知用户修改账户密码

6.某医疗系统发生患者诊疗记录泄露，泄露数据包含诊断结果、用药信息。根据《个人信息保护法》，除技术处置外，还需重点关注：

A.向患者提供免费的信用监测服务

B.对涉事员工进行经济处罚

C.重新签订数据安全责任书

D.评估事件对患者权益的影响并采取补救措施

7.数据安全事件溯源时，不属于关键证据的是：

A.数据库操作审计日志（包括时间戳、操作账号、SQL语句）

B.服务器登录失败尝试记录

C.系统管理员最近修改的安全策略文档

D.网络流量镜像文件（含IP地址、通信内容）

8.处置勒索软件导致的数据加密事件，正确的操作顺序是：

①隔离受感染设备②评估数据备份可用性③支付赎金解密④分析勒索软件特征

A.①→②→④→③

B.①→④→②→③

C.①→④→②→（不执行③）

D.④→①→②→③

9.数据安全事件总结报告中，根本原因分析应重点说明：

A.事件造成的直接经济损失金额

B.导致事件发生的管理漏洞或技术缺陷

C.应急响应团队的人员组成

D.向监管部门报告的具体时间

10.对于涉及跨境数据泄露的事件，除遵守国内法规外，还需符合：

A.数据接收地国家或地区的法律要求

B.国际刑警组织的统一处置流程

C.行业协会制定的推荐性标准

D.数据发送方母公司的内部制度

二、简答题（每题8分，共40分）

1.简述数据安全事件分级的主要依据（需列出至少4项）。

2.说明数据泄露事件中用户通知的必要内容（需列出至少5项）。

3.列举3种用于数据安全事件技术溯源的工具或方法，并说明其作用。

4.对比数据泄露事件与数据篡改事件在处置重点上的差异。

5.阐述数据安全事件处置中最小影响原则的具体体现（需结合技术和管理措施）。

三、案例分析题（40分）

2023年11月15日10:30，某电商平台安全团队通过日志监测系统发现，用户数据库（存储约200万条用户姓名、身份证号、收货地址）在11月14日22:00-23:00期间存在异常查询操作，操作账号为已离职的前运维工程师张某（账号未及时注销）。经初步核查，数据库导出日志显示导出5万条用户数据至外部存储设备。11月15日11:00，安全团队确认张某的个人电脑中存在该5万条数据的拷贝，且部分数据已通过即时通讯工具发送给未知第三方。

请根据上述场景，完成以下任务：

（1）判断该事件的等级并说明依据；（5分）

（2）列出应急响应团队应立即采取的处置步骤（需包含技术和管理措施，至少8项）；（15分）

（3）设计用户通知方案（需明确通知对象、方式、内容、时间节点）；（10分）

（4）提出防止类似事件再次发生的改进措施（至少5项）。（10分）

答案及解析

一、单项选择题

1.答案：A

解析：根据《数据安全事件分类分级指南》，一般事件指涉及500条以下敏感个人信息泄露（或500-5000条一般个人信息），未造成重大社会影响或经济损失。本题中泄露500条手机号（一般个人信息），属一般事件。

2.答案：B

解析：现场保护的核心是保留原始证据，物理隔离可防止证据被破坏或篡改，留存日志是后续溯源的关键。立即关闭所有权限可能影响业务连续性，直接删除记录会破坏证据。

3.答案：A

解析：《数据安全法》要求，一般事件24小时内向行业主管部门报告；重大事件需1小时内口头、2小时内书面报告（B错误）