2025年信息系统安全专家GDPR、CCPA等数据隐私法规下的CSRF风险合规专题试卷及解析.pdfVIP

2025年信息系统安全专家GDPR、CCPA等数据隐私法规下的CSRF风险合规专题试卷及解析1

2025年信息系统安全专家GDPR、CCPA等数据隐私法

规下的CSRF风险合规专题试卷及解析

2025年信息系统安全专家GDPR、CCPA等数据隐私法规下的CSRF风险合规专

题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在GDPR框架下，因CSRF攻击导致用户数据泄露，企业可能面临的最严重

后果是什么？

A、网站暂时无法访问

B、用户密码被重置

C、最高2000万欧元或全球年营业额4%的罚款

D、需要向用户发送道歉邮件

【答案】C

【解析】正确答案是C。GDPR第83条规定，对于严重违反数据保护原则的行为，

罚款上限为2000万欧元或全球年营业额的4%（以较高者为准）。CSRF攻击导致的数

据泄露属于此类严重违规。A选项是技术影响而非法律后果；B选项是攻击的直接后果

而非最严重后果；D选项是补救措施而非法律制裁。知识点：GDPR处罚机制。易错

点：混淆技术影响与法律后果。

2、CCPA要求企业在发生数据泄露后多长时间内通知受影响用户？

A、24小时内

B、72小时内

C、30天内

D、45天内

【答案】D

【解析】正确答案是D。CCPA规定企业必须在发现数据泄露后”在合理时间内”通

知用户，但不得超过45天。A选项是医疗数据泄露的要求；B选项是GDPR的要求；

C选项是某些州级法规的要求。知识点：CCPA通知时限。易错点：混淆不同法规的通

知时限要求。

3、以下哪项措施最能有效防止CSRF攻击？

A、使用HTTPS加密

B、实施SameSiteCookie属性

C、增加密码复杂度要求

D、定期更换密钥

【答案】B

2025年信息系统安全专家GDPR、CCPA等数据隐私法规下的CSRF风险合规专题试卷及解析2

【解析】正确答案是B。SameSiteCookie属性可以防止浏览器在跨站请求时发送

Cookie，是专门针对CSRF的防护措施。A选项防止中间人攻击但无法阻止CSRF；C

选项针对暴力破解；D选项是密钥管理措施。知识点：CSRF防护技术。易错点：误认

为HTTPS能防护所有攻击类型。

4、GDPR中的”数据最小化原则”对CSRF防护有何指导意义？

A、要求减少网站功能数量

B、限制处理敏感数据的接口权限

C、缩短数据保留期限

D、降低数据传输频率

【答案】B

【解析】正确答案是B。数据最小化原则要求只处理必要数据，因此在设计API时

应限制敏感数据的访问权限，减少CSRF攻击可能造成的危害。A选项过于极端；C选

项是存储原则；D选项与CSRF防护无关。知识点：GDPR原则与安全设计。易错点：

混淆不同数据保护原则的应用场景。

5、CCPA赋予消费者的”选择退出权”主要针对哪种数据处理活动？

A、必要的数据收集

B、数据出售

C、数据备份

D、数据加密

【答案】B

【解析】正确答案是B。CCPA的核心权利之一是允许消费者选择退出其个人信息

被”出售”给第三方。A选项是必要处理；C选项是安全措施；D选项是保护技术。知识

点：CCPA消费者权利。易错点：误认为选择退出权适用于所有数据处理活动。

6、在CSRF攻击中，攻击者通常利用什么机制？

A、SQL注入漏洞

B、用户的已认证会话

C、服务器配置错误

D、弱密码策略

【答案】B

【解析】正确答案是B。CSRF攻击的核心是利用用户在目标网站的已认证会话，诱

使用户浏览器发送恶意请求。A选项是不同攻击类型；C选项是配置问题；D选项是认

证问题。知识点：CSRF攻击原理。易错点：混淆不同Web攻击的利用机制。

7、GDPR要求企业实施数据保护影响评估(DPIA)的触发条件不包括？

A、大规模处理敏感数据

B、系统性监控个人

2025年信息系统安全专家GDPR、CCPA等数据隐私法规下的CSRF风险合规专题试卷及解析3