2026年信息安全与数据保护考试题库及答案解析.docxVIP

第PAGE页共NUMPAGES页

2026年信息安全与数据保护考试题库及答案解析

一、单选题（每题2分，共20题）

1.在《个人信息保护法》中，哪项行为属于“过度收集个人信息”？

A.根据用户需求提供个性化推荐服务

B.在用户注册时要求填写真实姓名和身份证号

C.未明确告知用途收集用户地理位置信息

D.通过用户同意的方式收集其社交媒体公开数据

2.以下哪种加密算法目前被广泛应用于TLS/SSL协议中？

A.DES

B.RSA

C.AES

D.IDEA

3.某企业采用零信任架构，其核心原则是？

A.默认信任，需验证后才拒绝访问

B.默认拒绝，需验证后才允许访问

C.仅信任本地网络内的用户

D.仅信任外部认证的用户

4.根据GDPR规定，数据主体有权要求企业删除其个人数据，这一权利被称为？

A.更正权

B.删除权（被遗忘权）

C.可携带权

D.拒绝权

5.某公司数据库遭到SQL注入攻击，原因是开发者在拼接SQL语句时未使用参数化查询，以下哪种防御措施最有效？

A.增加防火墙规则

B.对输入进行严格的白名单校验

C.使用参数化查询

D.定期更新数据库补丁

6.在数据备份策略中，3-2-1备份法指的是？

A.3份本地备份，2份异地备份，1份归档备份

B.3台服务器，2个存储阵列，1个磁带库

C.3天备份周期，2级压缩，1次增量备份

D.3个副本，2种介质，1个冷备份

7.某企业遭受勒索软件攻击后，发现未及时更新系统补丁是漏洞来源，以下哪项措施最能避免类似事件再次发生？

A.增加安全运维人员

B.实施补丁管理流程

C.提高员工安全意识

D.购买勒索软件保险

8.在BISO信息安全框架中，保护数据属于哪个层级？

A.身份与访问管理

B.数据安全

C.事件响应

D.风险治理

9.某银行采用多因素认证（MFA）保护账户安全，以下哪种认证方式不属于MFA范畴？

A.密码+短信验证码

B.生物识别+硬件令牌

C.密码+安全问题

D.硬件令牌+动态口令

10.在《网络安全法》中，关键信息基础设施运营者需定期进行安全评估，其目的是？

A.降低运营成本

B.提升用户满意度

C.保障网络安全和数据安全

D.满足监管要求

二、多选题（每题3分，共10题）

1.以下哪些措施有助于防范APT攻击？

A.实施网络分段

B.使用入侵检测系统（IDS）

C.定期进行威胁情报分析

D.禁用不必要的服务端口

2.根据《数据安全法》，以下哪些属于重要数据的范畴？

A.关键信息基础设施运营者的业务数据

B.个人生物识别信息

C.地理空间信息

D.企业的财务数据

3.在数据脱敏技术中，以下哪些方法属于常见的脱敏方式？

A.替换

B.抽稀

C.乱序

D.加密

4.零信任架构的核心原则包括？

A.最小权限原则

B.持续验证原则

C.单点登录原则

D.域控制器信任原则

5.以下哪些行为违反了《个人信息保护法》中“目的限制原则”？

A.将用户注册信息用于精准营销

B.在未告知的情况下收集用户地理位置

C.将用户数据提供给第三方征信机构

D.收集用户数据用于学术研究但未匿名化

6.某企业数据库遭受未授权访问，可能的原因包括？

A.密码强度不足

B.账户存在弱口令

C.未及时关闭闲置账户

D.外部人员通过钓鱼攻击获取凭证

7.在数据备份策略中，以下哪些属于增量备份的特点？

A.每次备份仅保存自上次备份以来发生变化的数据

B.备份速度较快

C.恢复数据时需结合全量备份和增量备份

D.占用存储空间较小

8.以下哪些属于勒索软件的传播方式？

A.邮件附件

B.漏洞利用

C.恶意软件下载

D.物理介质感染

9.在BISO信息安全框架中，风险评估包括哪些内容？

A.识别潜在威胁

B.分析资产价值

C.评估现有控制措施

D.确定风险等级

10.以下哪些措施有助于提升云数据安全？

A.使用云原生加密工具

B.定期进行云安全配置核查

C.启用多租户隔离

D.将数据存储在离线设备中

三、判断题（每题1分，共10题）

1.《网络安全法》规定，关键信息基础设施运营者需在网络安全事件发生后24小时内向有关部门报告。（对/错）

2.在数据脱敏中，K-匿名技术指的是对数据集进行去标识化，确保至少有K-1条记录与某条记录不可区分。（对/错）

3.零信任架构的核心思想是“从不信任，始终验证”。（对/错）

4.根据GDPR，数据控制者需对数据保护官（DPO）的任命负责。（对/错）

5.SQL注入攻击无法通过Web应用程序的输入字段发起。（对/错）

6.数据备份的RPO（恢复点目标）指的是数据丢失的容