单选题
第 61 题
题目:文件上传漏洞中,前端校验一般用什么方法绕过?
题目类型:单选
选项:A.burp 抓包 B. 审查元素 C. 修改 header 字段 D. 采用 get 方式传输
答案:B
解析:文件上传的前端校验可通过 "审查元素" 修改前端代码(如删除文件类型校验的 JS 代码)来绕过;burp 抓包用于修改请求包,属于后端绕过手段;修改 header 字段和 get 方式传输与前端校验绕过无关,故选 B。
第 62 题
题目:某互联网平台数据中心,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关部门报送()。
题目类型:单选
选项:A. 风险评估报告 B. 数据安全风险清单 C. 应急补救措施 D. 风险报告单
答案:A
解析:根据数据安全相关法规,重要数据处理者需定期开展风险评估并报送风险评估报告;数据安全风险清单、应急补救措施、风险报告单并非法定报送内容,故选 A。
第 63 题
题目:Linux 中,排查 root 账户的历史命令是()。
题目类型:单选
选项:A. histroy B. bash_history C. cat /etc/shadow D. whereis -u -B /-f
答案:B
解析:Linux 中 root 账户的历史命令存储在~/.bash_history文件中,histroy命令查看的是当前会话历史,且需结合配置才能完整查看 root 历史;cat /etc/shadow用于查看用户密码哈希;whereis用于查找文件位置,故选 B。
第 64 题
题目:发生重大用户个人数据泄露事件,以下不正确的处理方式是()
题目类型:单选
选项:A. 告知用户和报告有关主管部门 B. 采取补救和预防措施 C. 不报告有关主管部门,自行修复 D. 公开披露
答案:D
解析:根据数据安全相关法规,发生重大数据泄露需告知用户、报告主管部门并采取补救措施;"公开披露" 并非强制要求,且可能因披露方式不当造成更大影响,属于不正确的处理方式,故选 D。
第 65 题
题目:隐私保护计算架构体系中,分为三个逻辑角色,以下哪项不属于其逻辑角色?
题目类型:单选
选项:A. 数据方 B. 计算方 C. 结果方 D. 委托方
答案:B
解析:隐私保护计算的典型逻辑角色是数据方(提供数据)、结果方(获取计算结果)、委托方(发起计算任务),"计算方" 是执行计算的主体,属于架构中的功能角色而非逻辑角色,故选 B。
第 66 题
题目:以下哪些是大部分的 API 管理平台所具备的防护方案?
题目类型:单选
选项:A. API 密钥 B. 基础身份验证 C. OpenID Connect(OIDC) D. 以上都是
答案:D
解析:API 管理平台通常具备多种防护方案,API 密钥用于标识 API 调用者身份,基础身份验证(如用户名密码)是基本认证方式,OpenID Connect(OIDC)是开放身份认证标准,三者均为常见防护手段,故选 D。
第 67 题
题目:跨站脚本攻击漏洞 (XSS) 需要用到以下()编程语言来构造攻击代码。
题目类型:单选
选项:A. python B. php C. javascript D. ruby
答案:C
解析:XSS 攻击是通过在网页中注入恶意脚本(通常是 JavaScript),在用户浏览器端执行以窃取信息或控制页面,Python、PHP、Ruby 主要用于服务端开发,不用于 XSS 攻击代码构造,故选 C。
第 68 题
题目:《数据安全法》第四条规定:维护数据安全,应当坚持(),建立健全数据安全治理体系,提高数据安全保障能力。
题目类型:单选
选项:A. 政治安全观 B. 经济安全观 C. 网络空间安全观 D. 总体国家安全观
答案:D
解析:《数据安全法》明确规定维护数据安全应坚持总体国家安全观,从国家整体层面统筹数据安全与发展,故选 D。
第 69 题
题目:通过 VPN 技术,企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道,实现 VPN 提供的多种安全服务。VPN 不能提供的安全服务是()。
题目类型:单选
选项:A. 保密性服务 B. 网络隔离服务 C. 完整性服务 D. 认证服务
答案:B
解析:VPN 的安全服务包括保密性(加密传输数据)、完整性(校验数据完整性)、认证服务(验证用户 / 设备身份);"网络隔离服务" 是防火墙等设备的功能,VPN 是建立安全连接而非隔离网络,故选 B。
第 70 题
题目:http 协议基于什么协议进行通信()。
题目类型:单选
选项:A. UDP 协议 B. TCP 协议 C. Telnet 协议 D. SMTP 协议
答案:B
解析:HTTP 协议是基于 TCP 协议的应用层协议,使用 TCP 的 80 端口进行可靠数据传输;UDP 是无连接协议,Telnet 是远程登录协议,SMTP 是邮件传输协议,均与 HTTP 通信无关,故选 B。
第 71 题
题目:以下哪项属于隐私保护计算的价值体现?
题目类型:单选
选项:A. 打破数据孤岛 B. 安全合规避险 C. 弥合信任鸿沟 D. 以上都是
答案:D
解析:隐私保护计算允许数据在 "可用不可见" 的前提下流通,既能打破数据孤岛(实现跨机构数据协作),又能满足安全合规要求(避免数据泄露风险),还能弥合机构间的信任鸿沟(无需担心数据滥用),故选 D。
第 72 题
题目:某跨国企业的员工使用内部系统填报个人信息,而该信息系统的服务器和该员工所在地不属于同一个司法管辖区,属于()。
题目类型:单选
选项:A. 数据传输 B. 数据采集 C. 数据访问 D. 以上都不是
答案:B
解析:数据采集是指从各种来源收集数据的过程,员工填报个人信息属于数据采集行为,且服务器与员工所在地司法管辖区不同,涉及跨境数据采集的合规问题;数据传输是指数据的移动过程,数据访问是指对数据的查询等操作,均不符合题意,故选 B。
第 73 题
题目:非对称密码算法具有很多优点,其中不包括以下哪项?
题目类型:单选
选项:A. 可提供数字签名、零知识证明等额外服务 B. 加密 / 解密速度快,不需占用较多资源 C. 通信双方事先不需要通过保密信道交换密钥 D. 密钥持有量大大减少
答案:B
解析:非对称加密算法(如 RSA)的加密 / 解密速度较慢,且资源消耗较多;对称加密算法(如 AES)才具备加密 / 解密速度快、资源消耗低的优点。A、C、D 均是非对称密码算法的优点,故选 B。
第 74 题
题目:以下哪项不是数据库防火墙的应用场景?
题目类型:单选
选项:A. SQL 注入检测 B. SQL 注入防御 C. 数据库漏洞攻击检测和防御 D. 跨站脚本攻击防护
答案:D
解析:数据库防火墙专注于数据库层的安全防护,可检测和防御 SQL 注入、数据库漏洞攻击等;跨站脚本攻击(XSS)是 Web 应用层的漏洞,由 Web 应用防火墙(WAF)防护,不属于数据库防火墙的应用场景,故选 D。
第 75 题
题目:下列哪一个关于数据安全风险说法是正确的?
题目类型:单选
选项:A. 风险越大,越不需要保护 B. 风险越小,越需要保护 C. 风险越大,越需要保护 D. 越是中等风险,越需要保护
答案:C
解析:数据安全风险的防护原则是 "风险越大,防护需求越高",因为高风险可能导致严重的安全后果(如大量数据泄露、业务中断);A、B、D 均不符合风险防护的逻辑,故选 C。
第 76 题
题目:云原生技术主要是指()。
题目类型:单选
选项:A. 将传统应用迁移到云端 B. 设计和构建完全基于云平台的应用 C. 提高数据存储设备的可靠性 D. 增强网络通信的加密能力
答案:B
解析:云原生技术的核心是为云环境设计应用,采用容器、微服务、DevOps 等技术构建可弹性扩展、高可用的应用;"将传统应用迁移到云端" 是云适配,而非云原生;C、D 与云原生的核心定义无关,故选 B。
第 77 题
题目:《数据安全法》中规定,国家机关对在履行职责中知悉的部分信息应当依法予以保密,不得泄露或者非法向他人提供,以下()不一定在该范畴。
题目类型:单选
选项:A. 个人隐私 B. 个人信息 C. 商业秘密 D. 商务信息
答案:D
解析:《数据安全法》要求国家机关对履行职责中知悉的个人隐私、个人信息、商业秘密等敏感信息保密;"商务信息" 范围较广,部分非敏感的商务信息可能不在强制保密范畴,故选 D。
第 78 题
题目:下列哪种命令属于数据库高危操作命令?
题目类型:单选
选项:A. rm -rf/ B. exit C. pwd D. mkdir
答案:A
解析:rm -rf/是 Linux 系统的高危命令,会递归删除根目录下所有文件,若在数据库服务器执行,会导致数据库文件被删除,属于高危操作;exit是退出命令,pwd是查看当前目录,mkdir是创建目录,均无高危风险,故选 A。
第 79 题
题目:下面哪项不属于《个人信息保护法》规定的个人信息范畴?
题目类型:单选
选项:A. 某人的身份证号。 B. 某人的银行卡号。 C. 某学生的学号。 D. 某人的手机号后四位。
答案:D
解析:《个人信息保护法》中的个人信息是指与已识别或可识别的自然人有关的各种信息,身份证号、银行卡号、学号均属于可识别个人的敏感信息;手机号后四位因识别性较弱,不一定属于个人信息范畴,故选 D。
第 80 题
题目:以下哪项不是联邦学习存在的安全问题?
题目类型:单选
选项:A. 梯度带来的隐私泄露问题 B. 基于半同态加密(SHE)的单向隐私保护问题 C. 隐私求交的隐私泄漏问题 D. 数据推导的隐私泄露问题
答案:B
解析:联邦学习的安全问题包括梯度泄露、隐私求交泄露、数据推导泄露等;基于半同态加密(SHE)的单向隐私保护是联邦学习的安全解决方案,而非安全问题,故选 B。
第 81 题
题目:使用 useradd 命令可以添加一个新用户,并为该用户新建一个主目录,默认情况下该用户的主目录在哪个目录下()。
题目类型:单选
选项:A. /home B. /etc C. /var D. /bin
答案:A
解析:Linux 中useradd命令默认会在/home目录下为新用户创建主目录(如/home/用户名);/etc是配置文件目录,/var是可变数据目录,/bin是可执行程序目录,均不是用户主目录的默认位置,故选 A。
第 82 题
题目:银行卡的脱敏规则算法不正确的为()。
题目类型:单选
选项:A. 随机映射 B. 固定映射 C. 遮盖 D. 置空
答案:D
解析:银行卡脱敏常用规则包括随机映射(替换为随机字符)、固定映射(固定位置替换)、遮盖(如中间位用 * 遮盖);"置空" 会导致银行卡信息完全丢失,不符合脱敏需保留部分信息用于验证的要求,属于不正确的算法,故选 D。
第 83 题
题目:在 SMPC 的研究中,根据对手的行为,安全模型可分为以下不同类型,请问哪项不是?
题目类型:单选
选项:A. 半诚实对手模型 B. 有限攻击模型 C. 恶意攻击模型 D. 隐蔽的攻击模型
答案:B
解析:安全多方计算(SMPC)的安全模型主要有半诚实对手模型(对手遵守协议但试图窃取信息)、恶意攻击模型(对手主动破坏协议)、隐蔽的攻击模型(对手在被发现时停止攻击);"有限攻击模型" 并非 SMPC 的标准安全模型分类,故选 B。
第 84 题
题目:以下关于数据安全风险管理的描述不正确的是?
题目类型:单选
选项:A. 风险的四种控制方法有:减低风险 / 转嫁风险 / 规避风险 / 接受风险 B. 数据安全风险管理是否成功在于发现是否切实被消除了 C. 组织应依据数据安全方针和组织要求的安全保证程度,来确定需要管理的数据安全 D. 数据安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程。
答案:B
解析:数据安全风险管理的目标是将风险控制在可接受范围,而非 "完全消除风险"(完全消除风险在实际中不可行);A、C、D 均是数据安全风险管理的正确描述,故选 B。
第 85 题
题目:下面哪一项最好地描述了数据安全风险分析的目的?
题目类型:单选
选项:A. 识别用于保护数据资产的责任义务和规章制度 B. 识别数据资产以及保护资产所使用的技术控制措施 C. 识别数据资产、脆弱性并计算潜在的风险 D. 识别同责任义务有直接关系的威胁
答案:C
解析:数据安全风险分析的核心是 "识别数据资产→分析资产的脆弱性→评估威胁发生的可能性→计算潜在风险",从而为风险应对提供依据;A 是合规识别,B 是资产与控制识别,D 是威胁识别,均不全面,故选 C。
第 86 题
题目:图片马一般与哪种漏洞联动获得 WebShell?
题目类型:单选
选项:A. sql 注入 B. 目录穿越 C. 文件包含 D. CSRF
答案:C
解析:图片马是指在图片文件中嵌入恶意脚本或代码,当服务器存在文件包含漏洞时,可通过包含该图片文件执行其中的恶意代码,从而获得 WebShell;SQL 注入用于数据库攻击,目录穿越用于访问未授权文件,CSRF 用于伪造请求,均与图片马联动获取 WebShell 无关,故选 C。
第 87 题
题目:在数据交换过程中操作抗抵赖的安全要求不包括?
题目类型:单选
选项:A. 由数据提供方对发出数据和时间戳进行数字签名,数据使用方校验数字签名的合法性。 B. 由数据使用方对接收到的数据进行确认,包括交换事务标识、交换数据摘要、时间戳、数据使用方的数字签名。 C. 数据提供方校验数据使用方数字签名的合法性。 D. 数据提供方对交换数据的分级分类记录。
答案:D
解析:数据交换抗抵赖的安全要求是通过数字签名、时间戳等技术确保数据发送方和接收方无法否认操作;"数据分级分类记录" 是数据管理的合规要求,与抗抵赖的技术实现无关,故选 D。
第 88 题
题目:关于数据分类分级,以下描述正确的是?
题目类型:单选
选项:A. 数据分类分级工作由国家统筹,组织或企业在国家统一框架下进行即可,各行业、领域的分地区、分部门不需要参与。 B. 对于数据级别比较高、列入有条件共享和不予共享的数据,可以经脱敏、脱密等处理后向政务管理和服务机构提供,法律、法规另有规定的除外。 C. 国家对于重要数据的相关要求是独立于数据分类分级工作之外的,对分类分级工作无指导意义。 D. 数据分类分级不仅能够确保具有较低信任级别的用户无法访问敏感数据以保护重要的数据资产,也能够避免对重要的数据采取不必要的安全措施。
答案:D
解析:数据分类分级的作用是通过划分数据级别,对不同级别数据采取适配的安全措施:低信任用户无法访问敏感数据(保护资产),同时避免对非重要数据过度防护(节约成本)。A 错误(行业、部门需参与分类分级);B 错误(有条件共享和不予共享数据一般不对外提供,即使脱敏也需严格审批);C 错误(国家对重要数据的要求是数据分类分级的重要依据),故选 D。
第 89 题
题目:《数据出境安全评估办法》中规定描述错误的是哪项?
题目类型:单选
选项:A. 该办法于 2022 年 9 月 1 日正式施行。 B. 关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息应申报数据出境安全评估。 C. 自当年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息的应申报数据出境安全评估。 D. 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。
答案:C
解析:《数据出境安全评估办法》规定,自上年1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者需申报,而非 "当年",C 选项时间表述错误;A、B、D 均为正确规定,故选 C。
第 90 题
题目:数据安全能力成熟度等级有()个等级。
题目类型:单选
选项:A. 6 B. 5 C. 4 D. 3
答案:A
解析:数据安全能力成熟度通常分为 6 个等级(从初始级到优化级),用于评估组织数据安全能力的成熟程度,故选 A。