2025年教育行业在线教学平台信息安全知识考察试题及答案解析.docxVIP

2025年教育行业在线教学平台信息安全知识考察试题及答案解析

一、单项选择题（共15题，每题2分，共30分）

1.教育在线教学平台中，学生姓名、身份证号、家校联系地址属于哪类数据？

A.公共数据

B.一般数据

C.敏感数据

D.冗余数据

答案：C

解析：根据《个人信息保护法》，学生姓名、身份证号、联系地址等属于个人敏感信息，一旦泄露可能对个人权益造成严重影响，因此归类为敏感数据。

2.以下哪种技术是防止在线教学平台用户密码被明文存储的最佳实践？

A.MD5哈希（无盐）

B.SHA256哈希+盐值

C.对称加密（如AES）

D.非对称加密（如RSA）

答案：B

解析：密码存储需采用安全哈希算法并添加盐值（Salt），防止彩虹表攻击。SHA256是强哈希算法，结合盐值可有效避免相同密码生成相同哈希值；MD5无盐易被破解，加密（对称/非对称）是用于数据传输或解密场景，非存储最优解。

3.在线教学平台进行数据备份时，以下哪项操作违反“最小必要”原则？

A.每日备份学生观看课程的时长统计数据

B.每周备份教师上传的课件原文件（含未发布版本）

C.每月备份已结课班级的学生签到记录（仅保留6个月）

D.实时备份所有用户注册时提交的身份证扫描件（永久存储）

答案：D

解析：“最小必要”原则要求数据收集、存储应与服务目的直接相关且最小化。用户身份证扫描件仅需在注册验证阶段使用，永久存储超出必要范围，违反原则。

4.某平台发现学生账号被批量撞库攻击，最可能的原因是？

A.平台未启用HTTPS协议

B.用户密码设置过于简单（如“123456”）

C.数据库未做读写分离

D.服务器未安装杀毒软件

答案：B

解析：撞库攻击通过尝试常见弱密码（如“123456”“abc123”）破解账号，若用户密码复杂度不足，易被破解。HTTPS防止的是传输层窃听，与撞库无直接关联；数据库读写分离是性能优化，杀毒软件防病毒而非撞库。

5.在线教学平台的日志记录应至少保留多久？

A.30天

B.6个月

C.1年

D.3年

答案：B

解析：根据《网络安全法》第二十一条，网络运营者应当留存网络日志不少于六个月，教育平台作为关键信息基础设施运营者，需遵守此要求。

6.以下哪种数据脱敏方法适用于学生成绩表中的具体分数？

A.替换（如“90分”→“”）

B.随机化（如“90分”→“8595分”）

C.截断（如“90分”→“9”）

D.加密（如AES加密）

答案：B

解析：成绩分数需保留统计意义（如区分“优秀”“良好”），随机化脱敏可在保护具体数值的同时保留区间信息；替换或截断会丢失关键信息，加密属于保护而非脱敏（脱敏后数据需不可还原）。

7.零信任架构在在线教学平台中的核心原则是？

A.所有访问默认信任，仅验证高权限操作

B.仅信任内网设备，拒绝外网访问

C.永不信任，始终验证（NeverTrust,AlwaysVerify）

D.依赖传统防火墙实现边界防御

答案：C

解析：零信任的核心是打破“内网即安全”的假设，对所有访问请求（无论来自内网/外网）进行身份、设备、位置等多因素验证，确保“持续验证”。

8.在线教学平台使用SQL数据库存储用户信息，防止SQL注入攻击的最有效措施是？

A.对用户输入的特殊字符（如“’”“”）进行过滤

B.使用预编译语句（PreparedStatement）

C.限制数据库管理员的权限

D.定期更新数据库补丁

答案：B

解析：SQL注入的本质是用户输入与SQL语句未隔离，预编译语句将输入参数化，从根本上避免注入风险；过滤特殊字符易被绕过（如编码绕过），仅为辅助手段。

9.某平台教师端需上传课件（最大2GB），为防止大文件上传导致的DDoS攻击，应采取以下哪项措施？

A.限制单用户每日上传次数

B.对上传文件进行哈希校验

C.启用速率限制（RateLimiting）

D.对上传文件进行病毒扫描

答案：C

解析：DDoS攻击通过大量请求耗尽资源，速率限制可控制单位时间内的上传请求数量，防止资源耗尽；限制次数是长期控制，哈希校验防篡改，病毒扫描防恶意文件，均非针对DDoS。

10.教育平台收集学生人脸信息用于在线签到，需满足的关键合规要求是？

A.无需告知学生及家长收集目的

B.仅需获得学生本人同意（若年满14周岁）

C.明确告知收集方式、存储期限并获得家长书面同意

D.可将人脸信息