2025年公需科目大數(shù)據(jù)時(shí)代的互聯(lián)網(wǎng)信息安全考試試題及答案分一、單項(xiàng)選擇題（每題2分，共20分）1.大數(shù)據(jù)時(shí)代，信息安全的核心矛盾是（）A.數(shù)據(jù)存儲(chǔ)容量與計(jì)算速度的矛盾B.數(shù)據(jù)價(jià)值挖掘需求與隱私保護(hù)的矛盾C.網(wǎng)絡(luò)帶寬與數(shù)據(jù)傳輸量的矛盾D.硬件性能與軟件復(fù)雜度的矛盾2.以下不屬于大數(shù)據(jù)特征“4V”的是（）A.Volume（大量）B.Velocity（高速）C.Value（價(jià)值）D.Variation（變化）3.某社交平臺(tái)用戶信息數(shù)據(jù)庫(kù)因未加密存儲(chǔ)，導(dǎo)致5000萬(wàn)條用戶姓名、手機(jī)號(hào)、地址泄露，該事件主要暴露的安全問題是（）A.數(shù)據(jù)傳輸加密不足B.數(shù)據(jù)存儲(chǔ)安全防護(hù)缺失C.數(shù)據(jù)訪問權(quán)限管理混亂D.數(shù)據(jù)銷毀流程不規(guī)范4.以下哪種技術(shù)屬于隱私計(jì)算范疇？（）A.哈希算法B.聯(lián)邦學(xué)習(xí)C.數(shù)據(jù)脫敏D.防火墻5.《中華人民共和國(guó)個(gè)人信息保護(hù)法》規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取（）的方式。A.最快速B.最經(jīng)濟(jì)C.最必要D.最全面6.勒索軟件攻擊的核心目的是（）A.竊取敏感數(shù)據(jù)B.破壞系統(tǒng)功能C.通過加密數(shù)據(jù)勒索贖金D.植入后門程序7.大數(shù)據(jù)環(huán)境下，數(shù)據(jù)生命周期不包括（）A.數(shù)據(jù)采集B.數(shù)據(jù)交易C.數(shù)據(jù)處理D.數(shù)據(jù)銷毀8.以下哪項(xiàng)是防止SQL注入攻擊的有效措施？（）A.對(duì)用戶輸入進(jìn)行轉(zhuǎn)義或參數(shù)化查詢B.增加服務(wù)器內(nèi)存C.定期更換系統(tǒng)管理員密碼D.部署入侵檢測(cè)系統(tǒng)（IDS）9.區(qū)塊鏈技術(shù)在信息安全中的核心優(yōu)勢(shì)是（）A.高速數(shù)據(jù)傳輸B.分布式不可篡改C.低成本存儲(chǔ)D.可視化數(shù)據(jù)管理10.某醫(yī)療平臺(tái)因員工誤操作將患者診療數(shù)據(jù)導(dǎo)出至公共云存儲(chǔ)，導(dǎo)致數(shù)據(jù)泄露，該事件的主要責(zé)任方是（）A.云服務(wù)提供商B.數(shù)據(jù)泄露的第三方C.平臺(tái)數(shù)據(jù)操作權(quán)限管理者D.患者自身信息保管不當(dāng)二、填空題（每空1分，共15分）1.大數(shù)據(jù)時(shí)代信息安全的三大支柱是技術(shù)防護(hù)、管理機(jī)制和__________。2.常見的對(duì)稱加密算法有AES和__________，非對(duì)稱加密算法典型代表是__________。3.《數(shù)據(jù)安全法》規(guī)定，國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的__________，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。4.數(shù)據(jù)脫敏的常見方法包括匿名化、__________和__________（列舉兩種）。5.網(wǎng)絡(luò)釣魚攻擊的主要手段是通過__________誘導(dǎo)用戶點(diǎn)擊惡意鏈接或提供敏感信息。6.零信任安全架構(gòu)的核心原則是__________，即默認(rèn)不信任網(wǎng)絡(luò)內(nèi)部或外部的任何設(shè)備、用戶或系統(tǒng)，必須經(jīng)過驗(yàn)證和授權(quán)后方可訪問資源。7.大數(shù)據(jù)平臺(tái)的安全風(fēng)險(xiǎn)主要集中在數(shù)據(jù)采集環(huán)節(jié)的__________風(fēng)險(xiǎn)、存儲(chǔ)環(huán)節(jié)的__________風(fēng)險(xiǎn)、處理環(huán)節(jié)的__________風(fēng)險(xiǎn)和傳輸環(huán)節(jié)的__________風(fēng)險(xiǎn)。8.我國(guó)《網(wǎng)絡(luò)安全法》正式實(shí)施的時(shí)間是__________年__________月。三、簡(jiǎn)答題（每題8分，共40分）1.簡(jiǎn)述大數(shù)據(jù)時(shí)代信息安全面臨的三大新挑戰(zhàn)，并舉例說明。2.對(duì)比傳統(tǒng)信息安全與大數(shù)據(jù)時(shí)代信息安全的差異，至少列出三點(diǎn)。3.說明數(shù)據(jù)脫敏與數(shù)據(jù)匿名化的區(qū)別，并舉例說明各自的應(yīng)用場(chǎng)景。4.列舉三種常見的大數(shù)據(jù)平臺(tái)安全防護(hù)技術(shù)，并簡(jiǎn)述其作用。5.結(jié)合《個(gè)人信息保護(hù)法》，說明個(gè)人信息處理者的六項(xiàng)主要義務(wù)。四、案例分析題（共25分）2023年，某電商平臺(tái)發(fā)生大規(guī)模數(shù)據(jù)泄露事件，泄露數(shù)據(jù)包括2億用戶的姓名、手機(jī)號(hào)、收貨地址、歷史訂單記錄及部分支付信息（含銀行卡后四位）。經(jīng)調(diào)查，事件直接原因是平臺(tái)數(shù)據(jù)庫(kù)管理員賬號(hào)因長(zhǎng)期使用弱密碼（“123456”）被黑客破解，黑客通過該賬號(hào)訪問了未加密的用戶信息數(shù)據(jù)庫(kù)并導(dǎo)出數(shù)據(jù)。此外，平臺(tái)未對(duì)敏感數(shù)據(jù)（如手機(jī)號(hào)）進(jìn)行脫敏處理，且未設(shè)置數(shù)據(jù)庫(kù)訪問日志審計(jì)功能，導(dǎo)致數(shù)據(jù)泄露后一周才被發(fā)現(xiàn)。問題：（1）分析該事件暴露的安全漏洞（8分）；（2）提出至少五項(xiàng)針對(duì)性的整改措施（9分）；（3）結(jié)合《數(shù)據(jù)安全法》，說明平臺(tái)應(yīng)承擔(dān)的法律責(zé)任（8分）。答案及解析一、單項(xiàng)選擇題1.B解析：大數(shù)據(jù)的核心是挖掘數(shù)據(jù)價(jià)值，但價(jià)值挖掘需以數(shù)據(jù)收集、整合為前提，這與用戶隱私保護(hù)產(chǎn)生直接矛盾，是信息安全的核心矛盾。2.D解析：大數(shù)據(jù)“4V”特征為Volume（大量）、Velocity（高速）、Variety（多樣）、Value（價(jià)值），Variation（變化）不屬于標(biāo)準(zhǔn)特征。3.B解析：事件關(guān)鍵是數(shù)據(jù)庫(kù)未加密存儲(chǔ)，屬于數(shù)據(jù)存儲(chǔ)環(huán)節(jié)的安全防護(hù)缺失。4.B解析：聯(lián)邦學(xué)習(xí)是隱私計(jì)算的典型技術(shù)，允許在不共享原始數(shù)據(jù)的前提下聯(lián)合建模；哈希算法用于數(shù)據(jù)校驗(yàn)，數(shù)據(jù)脫敏是隱私保護(hù)手段，防火墻是網(wǎng)絡(luò)防護(hù)工具。5.C解析：《個(gè)人信息保護(hù)法》第六條規(guī)定“采取對(duì)個(gè)人權(quán)益影響最小的方式”，即“最必要”。6.C解析：勒索軟件通過加密用戶數(shù)據(jù)，以恢復(fù)數(shù)據(jù)為條件勒索贖金，核心目的是經(jīng)濟(jì)利益。7.B解析：數(shù)據(jù)生命周期包括采集、存儲(chǔ)、處理、傳輸、銷毀，數(shù)據(jù)交易屬于數(shù)據(jù)流通環(huán)節(jié)，非生命周期階段。8.A解析：SQL注入攻擊利用用戶輸入未過濾的漏洞，參數(shù)化查詢或轉(zhuǎn)義輸入可有效防止；其他選項(xiàng)與SQL注入無(wú)直接關(guān)聯(lián)。9.B解析：區(qū)塊鏈的分布式賬本和密碼學(xué)技術(shù)確保數(shù)據(jù)不可篡改，是其在信息安全中的核心優(yōu)勢(shì)。10.C解析：平臺(tái)未對(duì)員工操作權(quán)限進(jìn)行嚴(yán)格管理（如未限制敏感數(shù)據(jù)導(dǎo)出權(quán)限），是事件主要責(zé)任方。二、填空題1.法律法規(guī)（或制度保障）2.DES；RSA3.危害程度4.去標(biāo)識(shí)化；泛化（或掩碼、置換等）5.仿冒可信站點(diǎn)（或偽造郵件、短信）6.永不信任，持續(xù)驗(yàn)證7.越權(quán)采集；越權(quán)訪問；算法偏見（或錯(cuò)誤處理）；傳輸截獲8.2017；6三、簡(jiǎn)答題1.（1）數(shù)據(jù)規(guī)模劇增帶來的存儲(chǔ)安全壓力：如某云平臺(tái)存儲(chǔ)PB級(jí)用戶行為數(shù)據(jù)，傳統(tǒng)加密技術(shù)因計(jì)算復(fù)雜度高難以實(shí)現(xiàn)全量加密，導(dǎo)致部分?jǐn)?shù)據(jù)裸存風(fēng)險(xiǎn)。（2）多源異構(gòu)數(shù)據(jù)整合的隱私泄露風(fēng)險(xiǎn)：例如醫(yī)療平臺(tái)整合醫(yī)院、藥店、保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)時(shí)，不同系統(tǒng)數(shù)據(jù)格式差異大，整合過程中可能因關(guān)聯(lián)分析暴露患者隱私（如通過用藥記錄反推疾病）。（3）實(shí)時(shí)處理需求與安全防護(hù)的矛盾：電商大促期間需毫秒級(jí)處理用戶訂單數(shù)據(jù)，若同步進(jìn)行嚴(yán)格的訪問控制驗(yàn)證，可能導(dǎo)致系統(tǒng)卡頓，部分企業(yè)為保證性能降低安全驗(yàn)證級(jí)別，增加攻擊窗口。2.（1）保護(hù)對(duì)象不同：傳統(tǒng)安全側(cè)重系統(tǒng)和網(wǎng)絡(luò)邊界（如防病毒、防火墻），大數(shù)據(jù)安全側(cè)重?cái)?shù)據(jù)本身（如全生命周期保護(hù)）；（2）風(fēng)險(xiǎn)場(chǎng)景不同：傳統(tǒng)安全以外部攻擊為主（如木馬、DDOS），大數(shù)據(jù)安全更多來自內(nèi)部越權(quán)訪問（如管理員誤操作、內(nèi)鬼泄露）；（3）技術(shù)需求不同：傳統(tǒng)安全依賴邊界防御技術(shù)（如IDS），大數(shù)據(jù)安全需隱私計(jì)算、聯(lián)邦學(xué)習(xí)、數(shù)據(jù)脫敏等針對(duì)數(shù)據(jù)本身的防護(hù)技術(shù)；（4）合規(guī)要求不同：傳統(tǒng)安全遵循《網(wǎng)絡(luò)安全法》，大數(shù)據(jù)安全需同時(shí)符合《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》及行業(yè)數(shù)據(jù)規(guī)范（如醫(yī)療數(shù)據(jù)的《個(gè)人信息保護(hù)法》特殊條款）。3.數(shù)據(jù)脫敏是對(duì)敏感數(shù)據(jù)進(jìn)行變形處理（如將手機(jī)號(hào)脫敏為“1385678”），保留數(shù)據(jù)使用價(jià)值（如統(tǒng)計(jì)用戶地域分布），但可通過關(guān)聯(lián)分析部分還原原始數(shù)據(jù)；數(shù)據(jù)匿名化是通過不可逆操作（如哈希加鹽）使數(shù)據(jù)無(wú)法關(guān)聯(lián)到特定個(gè)體（如將姓名“張三”轉(zhuǎn)換為哈希值“abc123”），理論上無(wú)法還原。應(yīng)用場(chǎng)景：脫敏用于需要保留部分?jǐn)?shù)據(jù)特征的分析（如電商用戶消費(fèi)習(xí)慣統(tǒng)計(jì)）；匿名化用于數(shù)據(jù)共享（如醫(yī)院將匿名化后的病例數(shù)據(jù)提供給科研機(jī)構(gòu)）。4.（1）聯(lián)邦學(xué)習(xí)：允許不同機(jī)構(gòu)在不共享原始數(shù)據(jù)的前提下聯(lián)合訓(xùn)練模型，防止數(shù)據(jù)泄露（如銀行與電商聯(lián)合建模用戶信用，無(wú)需交換用戶信息）；（2）同態(tài)加密：對(duì)加密數(shù)據(jù)直接進(jìn)行計(jì)算，結(jié)果解密后與明文計(jì)算一致，保障計(jì)算過程中數(shù)據(jù)隱私（如云端對(duì)加密的醫(yī)療數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析）；（3）訪問控制列表（ACL）：為大數(shù)據(jù)平臺(tái)的不同數(shù)據(jù)資源設(shè)置細(xì)粒度權(quán)限（如僅允許高級(jí)分析師訪問用戶支付信息），防止越權(quán)訪問；（4）數(shù)據(jù)水?。涸跀?shù)據(jù)中嵌入不可見標(biāo)識(shí)（如用戶ID的哈希值），用于追蹤數(shù)據(jù)泄露來源（如發(fā)現(xiàn)泄露數(shù)據(jù)含特定水印，可定位到內(nèi)部員工）。5.（1）告知義務(wù)：處理個(gè)人信息前需明確告知處理目的、方式、范圍等（如APP首次啟動(dòng)時(shí)彈出隱私政策）；（2）最小必要義務(wù)：僅收集與服務(wù)直接相關(guān)的最少個(gè)人信息（如天氣APP無(wú)需收集通訊錄）；（3）安全保障義務(wù)：采取技術(shù)和管理措施確保個(gè)人信息安全（如加密存儲(chǔ)、訪問控制）；（4）更正刪除義務(wù)：用戶有權(quán)要求更正錯(cuò)誤信息或刪除已處理的個(gè)人信息（如用戶注銷賬號(hào)后刪除其數(shù)據(jù)）；（5）委托處理審批義務(wù)：委托第三方處理個(gè)人信息需事前評(píng)估第三方安全能力并簽訂協(xié)議；（6）風(fēng)險(xiǎn)告知義務(wù)：發(fā)生個(gè)人信息泄露時(shí)，需及時(shí)通知用戶并采取補(bǔ)救措施（如通過APP推送泄露通知）。四、案例分析題（1）暴露的安全漏洞：①身份認(rèn)證缺陷：數(shù)據(jù)庫(kù)管理員使用弱密碼（“123456”），未強(qiáng)制要求復(fù)雜密碼或多因素認(rèn)證；②數(shù)據(jù)存儲(chǔ)安全缺失：用戶信息數(shù)據(jù)庫(kù)未加密存儲(chǔ)，敏感數(shù)據(jù)（如手機(jī)號(hào)）未脫敏處理；③訪問控制失效：未對(duì)數(shù)據(jù)庫(kù)管理員賬號(hào)設(shè)置最小權(quán)限（如僅需查詢權(quán)限卻擁有導(dǎo)出權(quán)限）；④日志審計(jì)缺失：未記錄數(shù)據(jù)庫(kù)訪問操作日志，導(dǎo)致數(shù)據(jù)泄露后無(wú)法及時(shí)發(fā)現(xiàn)；⑤安全意識(shí)薄弱：管理員對(duì)弱密碼風(fēng)險(xiǎn)認(rèn)知不足，平臺(tái)未開展定期安全培訓(xùn)。（2）整改措施：①?gòu)?qiáng)化身份認(rèn)證：要求管理員賬號(hào)使用“字母+數(shù)字+符號(hào)”的復(fù)雜密碼，啟用雙因素認(rèn)證（如短信驗(yàn)證碼+動(dòng)態(tài)令牌）；②加密敏感數(shù)據(jù)：對(duì)用戶手機(jī)號(hào)、地址、支付信息等敏感字段采用AES加密存儲(chǔ)，關(guān)鍵數(shù)據(jù)（如銀行卡后四位）額外進(jìn)行脫敏處理（如替換為“”）；③實(shí)施最小權(quán)限原則：為數(shù)據(jù)庫(kù)管理員分配僅“查詢”權(quán)限，導(dǎo)出數(shù)據(jù)需經(jīng)二級(jí)審批并記錄操作日志；④部署審計(jì)系統(tǒng)：對(duì)數(shù)據(jù)庫(kù)訪問、修改、導(dǎo)出等操作進(jìn)行全量日志記錄，設(shè)置異常操作（如夜間批量導(dǎo)出）實(shí)時(shí)告警；⑤開展安全培訓(xùn)：定期組織員工學(xué)習(xí)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，模擬釣魚攻擊演練，提升安全意識(shí)；⑥引入隱私計(jì)算技術(shù)：在需要分析用戶行為時(shí)，采用聯(lián)邦學(xué)習(xí)模型，避免直接使用原始數(shù)據(jù)。（3）法律責(zé)任：根據(jù)《數(shù)據(jù)安全法》第三十條、第四十五條及《個(gè)人信息保護(hù)法》第六十六條，平臺(tái)需承擔(dān)以下責(zé)任：①行政責(zé)任：由省級(jí)以上網(wǎng)信部門責(zé)令改正，給予警告，沒收違法所得；拒不改正的，處一百萬(wàn)元以下罰款；對(duì)直接負(fù)責(zé)的主