2026年网络安全与数据保护考试题集.docxVIP

第PAGE页共NUMPAGES页

2026年网络安全与数据保护考试题集

一、单选题（每题2分，共20题）

1.根据《中华人民共和国网络安全法》，以下哪项行为不属于网络运营者应履行的安全义务？

A.建立网络安全事件应急预案

B.对用户个人信息进行加密存储

C.定期开展员工安全意识培训

D.允许用户自行决定是否启用防火墙

2.ISO27001标准中，哪项流程主要关注组织信息安全的治理和风险管理？

A.风险评估

B.安全审计

C.治理框架

D.数据备份

3.某企业采用零信任安全模型，以下哪项措施最符合该模型的核心原则？

A.所有用户默认被信任，无需身份验证

B.仅允许内部员工访问敏感数据

C.基于用户身份和设备状态动态授权

D.使用静态防火墙规则控制访问

4.《欧盟通用数据保护条例》（GDPR）中，哪类数据主体享有“被遗忘权”？

A.已离职员工

B.竞争对手信息

C.公开披露的匿名化数据

D.未满16周岁的未成年人

5.以下哪种加密算法属于对称加密？

A.RSA

B.AES

C.ECC

D.SHA-256

6.某银行采用多因素认证（MFA）保护ATM系统，以下哪项属于动态验证因素？

A.硬件安全密钥

B.生动的密码

C.一次性验证码（短信）

D.生物识别指纹

7.根据《中华人民共和国数据安全法》，以下哪项场景需进行数据分类分级管理？

A.企业内部邮件系统

B.公开披露的市场分析报告

C.医疗机构电子病历

D.个人社交平台日志

8.某企业遭受勒索软件攻击，以下哪项措施应优先执行？

A.立即支付赎金

B.恢复从备份中数据

C.关闭所有业务系统

D.向媒体发布公告

9.以下哪种攻击方式利用DNS解析漏洞窃取数据？

A.SQL注入

B.DNS劫持

C.XSS跨站脚本

D.恶意软件植入

10.根据《网络安全等级保护2.0》，以下哪类系统属于三级等保要求？

A.普通企业官网

B.城市交通监控系统

C.个人博客网站

D.小型零售POS系统

二、多选题（每题3分，共10题）

1.《中华人民共和国个人信息保护法》中，以下哪些行为需取得个人信息主体单独同意？

A.敏感个人信息处理

B.个人信息跨境传输

C.自动化决策分析

D.基于用户画像的精准营销

2.以下哪些措施有助于防范APT攻击？

A.威胁情报监测

B.员工安全意识培训

C.静态防火墙策略

D.多层次防御架构

3.根据ISO27005风险管理标准，以下哪些属于组织需评估的信息安全风险？

A.法律合规风险

B.操作中断风险

C.数据泄露风险

D.第三方供应链风险

4.以下哪些属于云安全配置基线要求？

A.启用账户锁定策略

B.关闭不必要的服务端口

C.定期审计API访问日志

D.使用强密码策略

5.某企业部署了数据防泄漏（DLP）系统，以下哪些场景需重点关注？

A.邮件附件外发

B.USB设备存储介质

C.内部文档共享

D.网页表单提交

6.《网络安全等级保护2.0》中，三级等保系统需满足哪些安全要求？

A.日志审计

B.漏洞扫描

C.数据加密

D.应急响应

7.以下哪些属于勒索软件的传播途径？

A.邮件附件

B.漏洞利用

C.恶意广告

D.物理介质

8.根据GDPR，以下哪些属于数据控制者的权利？

A.访问数据主体信息

B.修改数据错误

C.删除违规数据

D.拒绝数据传输请求

9.以下哪些技术可用于数据脱敏处理？

A.随机数替换

B.哈希加密

C.宽泛化处理

D.透明化存储

10.某企业遭受内部数据泄露，以下哪些措施需立即采取？

A.关闭涉事账户

B.追踪数据流出路径

C.通知监管机构

D.评估损失范围

三、判断题（每题1分，共20题）

1.《中华人民共和国网络安全法》规定，关键信息基础设施运营者需每半年进行一次网络安全评估。

（正确/错误）

2.零信任模型认为网络内部的所有用户和设备都可信。

（正确/错误）

3.根据GDPR，数据处理者需对数据保护负责。

（正确/错误）

4.AES-256属于非对称加密算法。

（正确/错误）

5.勒索软件无法通过社交工程传播。

（正确/错误）

6.ISO27001是强制性标准，需政府强制认证。

（正确/错误）

7.《数据安全法》规定，数据处理活动需经过国家网信部门审批。

（正确/错误）

8.数据脱敏可完全消除数据泄露风险。

（正确/错误）

9.DNSSEC可用于防范DNS劫持攻击。

（正确/错误）

10.三级等保系统必须部署物理隔离设备。

（正确/错误）

11.企业员工离职时，无需归还其访问权限。

（正确/错误）

12.