2025年國家網(wǎng)絡(luò)安全知識(shí)競賽題庫附參考答案(研優(yōu)卷)一、單項(xiàng)選擇題（每題2分，共30題）1.依據(jù)《數(shù)據(jù)安全法》，國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，其中“關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)”應(yīng)屬于哪一級(jí)別？A.一般數(shù)據(jù)B.重要數(shù)據(jù)C.核心數(shù)據(jù)D.敏感數(shù)據(jù)答案：C2.2024年發(fā)布的《生成式人工智能服務(wù)管理暫行辦法》要求，提供生成式AI服務(wù)時(shí)，對(duì)用戶輸入信息和日志的保存期限不得少于？A.3個(gè)月B.6個(gè)月C.1年D.2年答案：B3.以下哪種攻擊方式利用了操作系統(tǒng)或應(yīng)用程序的未公開漏洞？A.DDoS攻擊B.零日攻擊（Zero-dayAttack）C.SQL注入D.釣魚攻擊答案：B4.某企業(yè)擬將100GB用戶健康數(shù)據(jù)跨境傳輸至境外母公司，根據(jù)《個(gè)人信息保護(hù)法》及《數(shù)據(jù)出境安全評(píng)估辦法》，應(yīng)當(dāng)？A.自行通過數(shù)據(jù)出境安全評(píng)估B.由省級(jí)網(wǎng)信部門進(jìn)行安全評(píng)估C.向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估D.無需評(píng)估，僅需簽訂標(biāo)準(zhǔn)合同答案：C5.量子密碼通信的核心安全基礎(chǔ)是？A.數(shù)學(xué)加密算法復(fù)雜度B.量子不可克隆定理C.物理隔離D.哈希函數(shù)碰撞阻力答案：B6.工業(yè)互聯(lián)網(wǎng)場景中，OT（運(yùn)營技術(shù)）網(wǎng)絡(luò)與IT（信息技術(shù)）網(wǎng)絡(luò)的主要區(qū)別是？A.OT網(wǎng)絡(luò)使用IPv6協(xié)議，IT網(wǎng)絡(luò)使用IPv4B.OT網(wǎng)絡(luò)強(qiáng)調(diào)實(shí)時(shí)性，IT網(wǎng)絡(luò)強(qiáng)調(diào)數(shù)據(jù)處理C.OT網(wǎng)絡(luò)不連接互聯(lián)網(wǎng)，IT網(wǎng)絡(luò)必須連接D.OT網(wǎng)絡(luò)僅傳輸二進(jìn)制數(shù)據(jù)，IT網(wǎng)絡(luò)傳輸文本答案：B7.某APP收集用戶位置信息時(shí)，未在隱私政策中明確說明“用于廣告精準(zhǔn)推送”，違反了個(gè)人信息處理的哪項(xiàng)原則？A.最小必要原則B.公開透明原則C.目的明確原則D.質(zhì)量原則答案：C8.以下哪種密碼算法已被量子計(jì)算機(jī)威脅，可能在2030年前被替代？A.AES-256B.SM4C.RSA-2048D.SHA-3答案：C9.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中，第三級(jí)信息系統(tǒng)的安全保護(hù)要求比第二級(jí)多了哪項(xiàng)關(guān)鍵措施？A.安全審計(jì)B.入侵檢測C.結(jié)構(gòu)化訪問控制D.安全通信傳輸答案：C10.某高校實(shí)驗(yàn)室開發(fā)的AI模型訓(xùn)練數(shù)據(jù)包含大量學(xué)生人臉信息，根據(jù)《生成式AI服務(wù)管理暫行辦法》，應(yīng)當(dāng)？A.對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化處理B.無需處理，因?qū)儆趦?nèi)部研究C.僅需告知學(xué)生數(shù)據(jù)用途D.必須獲得學(xué)生書面同意答案：A11.以下哪項(xiàng)是物聯(lián)網(wǎng)設(shè)備特有的安全風(fēng)險(xiǎn)？A.弱口令B.固件漏洞難以更新C.DDoS攻擊D.釣魚郵件答案：B12.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或委托第三方每年至少進(jìn)行幾次網(wǎng)絡(luò)安全檢測評(píng)估？A.1次B.2次C.3次D.4次答案：A13.某社交平臺(tái)用戶發(fā)布含虛假信息的短視頻，平臺(tái)未及時(shí)處置導(dǎo)致輿情擴(kuò)散，根據(jù)《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》，平臺(tái)應(yīng)承擔(dān)？A.無責(zé)任，因用戶是內(nèi)容發(fā)布者B.主體責(zé)任，需采取刪除、限制傳播等措施C.僅需警告用戶，無需其他處理D.連帶責(zé)任，需賠償受影響用戶損失答案：B14.區(qū)塊鏈技術(shù)中，防止雙花攻擊的核心機(jī)制是？A.共識(shí)算法（如PoW/PoS）B.智能合約C.哈希鏈D.非對(duì)稱加密答案：A15.某企業(yè)使用云服務(wù)存儲(chǔ)客戶數(shù)據(jù)，若云服務(wù)器發(fā)生數(shù)據(jù)泄露，責(zé)任劃分的關(guān)鍵依據(jù)是？A.云服務(wù)合同中的“責(zé)任邊界條款”B.《網(wǎng)絡(luò)安全法》第21條C.數(shù)據(jù)存儲(chǔ)地理位置D.泄露數(shù)據(jù)的敏感程度答案：A16.以下哪種行為符合《網(wǎng)絡(luò)安全審查辦法》要求？A.掌握100萬用戶個(gè)人信息的運(yùn)營者赴國外上市，無需申報(bào)審查B.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品，可能影響國家安全的，需申報(bào)審查C.審查重點(diǎn)僅包括產(chǎn)品技術(shù)漏洞，不涉及數(shù)據(jù)處理活動(dòng)D.審查結(jié)果僅對(duì)申報(bào)企業(yè)內(nèi)部公開答案：B17.移動(dòng)應(yīng)用程序（APP）強(qiáng)制用戶同意讀取通訊錄方可使用核心功能，違反了？A.最小必要原則B.目的明確原則C.公開透明原則D.責(zé)任原則答案：A18.工業(yè)控制系統(tǒng)（ICS）中，用于隔離生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)的關(guān)鍵設(shè)備是？A.防火墻B.網(wǎng)閘C.入侵檢測系統(tǒng)（IDS）D.虛擬專用網(wǎng)（VPN）答案：B19.某單位發(fā)現(xiàn)辦公網(wǎng)絡(luò)中存在APT攻擊跡象，正確的應(yīng)急響應(yīng)流程是？A.立即斷網(wǎng)→上報(bào)主管部門→分析攻擊路徑→恢復(fù)系統(tǒng)B.分析攻擊路徑→隔離受感染設(shè)備→上報(bào)→修復(fù)漏洞C.恢復(fù)系統(tǒng)→隔離設(shè)備→分析日志→上報(bào)D.隔離受感染設(shè)備→保存攻擊證據(jù)→分析溯源→上報(bào)并修復(fù)答案：D20.依據(jù)《密碼法》，以下哪類密碼不屬于“核心密碼”？A.用于保護(hù)國家絕密級(jí)信息的密碼B.用于保護(hù)國家機(jī)密級(jí)信息的密碼C.用于保護(hù)國家秘密級(jí)信息的密碼D.用于保護(hù)公民個(gè)人敏感信息的密碼答案：D21.以下哪種技術(shù)可實(shí)現(xiàn)“隱私計(jì)算”，在不泄露原始數(shù)據(jù)的前提下完成聯(lián)合分析？A.區(qū)塊鏈B.聯(lián)邦學(xué)習(xí)C.量子通信D.邊緣計(jì)算答案：B22.某電商平臺(tái)用戶數(shù)據(jù)庫被拖庫（數(shù)據(jù)泄露），其中包含用戶姓名、手機(jī)號(hào)、訂單金額，根據(jù)《個(gè)人信息保護(hù)法》，平臺(tái)應(yīng)優(yōu)先？A.通知用戶修改密碼B.向省級(jí)網(wǎng)信部門報(bào)告C.啟動(dòng)數(shù)據(jù)泄露應(yīng)急響應(yīng)機(jī)制D.公開道歉并賠償損失答案：C23.物聯(lián)網(wǎng)設(shè)備默認(rèn)啟用的“遠(yuǎn)程管理端口”未配置訪問控制，可能導(dǎo)致？A.設(shè)備被植入惡意固件B.用戶隱私數(shù)據(jù)被加密C.網(wǎng)絡(luò)帶寬被正常占用D.設(shè)備運(yùn)行速度提升答案：A24.以下哪項(xiàng)是《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中明確的關(guān)鍵信息基礎(chǔ)設(shè)施范圍？A.社區(qū)便利店收銀系統(tǒng)B.省級(jí)電力調(diào)度系統(tǒng)C.個(gè)人家庭Wi-Fi路由器D.高校學(xué)生社團(tuán)網(wǎng)站答案：B25.某企業(yè)使用開源組件開發(fā)系統(tǒng)，未檢查組件漏洞，導(dǎo)致系統(tǒng)被攻擊，責(zé)任主體是？A.開源組件開發(fā)者B.企業(yè)自身C.組件下載平臺(tái)D.無責(zé)任方答案：B26.網(wǎng)絡(luò)安全領(lǐng)域的“白帽黑客”主要從事？A.非法入侵獲取利益B.授權(quán)測試發(fā)現(xiàn)漏洞C.傳播惡意軟件D.網(wǎng)絡(luò)詐騙答案：B27.依據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》，數(shù)據(jù)出境安全評(píng)估重點(diǎn)不包括？A.數(shù)據(jù)接收方所在國的網(wǎng)絡(luò)安全環(huán)境B.數(shù)據(jù)出境和再轉(zhuǎn)移的風(fēng)險(xiǎn)C.數(shù)據(jù)處理者的技術(shù)能力D.數(shù)據(jù)接收方的商業(yè)規(guī)模答案：D28.以下哪種攻擊方式利用了用戶對(duì)權(quán)威機(jī)構(gòu)的信任？A.社工釣魚（SpearPhishing）B.勒索軟件（Ransomware）C.僵尸網(wǎng)絡(luò)（Botnet）D.中間人攻擊（MITM）答案：A29.某金融機(jī)構(gòu)部署的終端安全管理系統(tǒng)要求用戶密碼必須包含字母、數(shù)字、符號(hào)且長度≥12位，這是為了防范？A.暴力破解攻擊B.SQL注入攻擊C.DDoS攻擊D.跨站腳本攻擊（XSS）答案：A30.2024年新型網(wǎng)絡(luò)安全事件中，“AI生成偽造新聞”的主要安全風(fēng)險(xiǎn)屬于？A.數(shù)據(jù)泄露B.網(wǎng)絡(luò)詐騙C.信息內(nèi)容安全D.系統(tǒng)漏洞利用答案：C二、判斷題（每題1分，共20題）1.弱口令僅影響個(gè)人賬戶安全，不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)整體安全造成威脅。（）答案：×2.數(shù)據(jù)脫敏處理后，即可完全消除個(gè)人信息泄露風(fēng)險(xiǎn)。（）答案：×3.物聯(lián)網(wǎng)設(shè)備無需安裝安全補(bǔ)丁，因其功能簡單不易被攻擊。（）答案：×4.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議。（）答案：√5.量子通信可以完全替代傳統(tǒng)加密技術(shù)，無需再使用AES等對(duì)稱加密算法。（）答案：×6.企業(yè)將用戶數(shù)據(jù)存儲(chǔ)在境內(nèi)云服務(wù)器，無需遵守《數(shù)據(jù)安全法》關(guān)于數(shù)據(jù)分類分級(jí)的要求。（）答案：×7.移動(dòng)應(yīng)用程序（APP）在后臺(tái)靜默收集用戶通話記錄，屬于合法行為，因用戶已同意隱私政策。（）答案：×8.工業(yè)控制系統(tǒng)（ICS）的安全目標(biāo)優(yōu)先于功能可用性，因此可以犧牲部分實(shí)時(shí)性保障安全。（）答案：√9.區(qū)塊鏈的“不可篡改”特性意味著鏈上數(shù)據(jù)絕對(duì)無法被修改。（）答案：×（注：51%攻擊或硬分叉可修改）10.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0要求所有信息系統(tǒng)都必須達(dá)到第三級(jí)保護(hù)水平。（）答案：×11.個(gè)人發(fā)現(xiàn)APP過度收集信息，可向?qū)俚鼐W(wǎng)信部門或市場監(jiān)管部門舉報(bào)。（）答案：√12.云服務(wù)提供商對(duì)客戶數(shù)據(jù)的安全負(fù)全部責(zé)任，客戶無需采取額外保護(hù)措施。（）答案：×13.社交工程攻擊主要依賴技術(shù)漏洞，而非心理操縱。（）答案：×14.《密碼法》規(guī)定，商用密碼從業(yè)單位無需進(jìn)行密碼檢測認(rèn)證，可自行銷售。（）答案：×15.企業(yè)員工通過個(gè)人設(shè)備接入公司內(nèi)網(wǎng)，不會(huì)增加網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。（）答案：×16.數(shù)據(jù)跨境流動(dòng)時(shí)，只要數(shù)據(jù)接收方承諾“不泄露”，即可無需進(jìn)行安全評(píng)估。（）答案：×17.人工智能模型訓(xùn)練數(shù)據(jù)中包含大量重復(fù)數(shù)據(jù)，不會(huì)影響模型的安全性。（）答案：×（注：可能導(dǎo)致過擬合或偏見）18.網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中，“斷網(wǎng)”是首選措施，應(yīng)在發(fā)現(xiàn)攻擊后立即執(zhí)行。（）答案：×（注：需先保存證據(jù)）19.無密碼認(rèn)證（如生物識(shí)別、硬件密鑰）完全不存在安全風(fēng)險(xiǎn)。（）答案：×20.網(wǎng)絡(luò)安全宣傳的核心目標(biāo)是提升公眾的技術(shù)防護(hù)能力，而非安全意識(shí)。（）答案：×三、填空題（每題2分，共10題）1.《中華人民共和國網(wǎng)絡(luò)安全法》自____年6月1日起施行。答案：20172.網(wǎng)絡(luò)安全領(lǐng)域的“CIA三元組”指機(jī)密性、完整性和____。答案：可用性3.工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系中，用于唯一標(biāo)識(shí)物理對(duì)象和數(shù)字對(duì)象的編碼是____。答案：工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)（或“標(biāo)識(shí)編碼”）4.依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全，這被稱為____原則。答案：責(zé)任5.常見的抗DDoS攻擊技術(shù)中，通過將流量分散到多個(gè)節(jié)點(diǎn)處理的方法稱為____。答案：流量清洗（或“流量分散”）6.量子密鑰分發(fā)（QKD）的典型協(xié)議是____。答案：BB84協(xié)議7.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中，第一級(jí)信息系統(tǒng)的安全保護(hù)要求由____自行保護(hù)。答案：運(yùn)營使用單位8.某企業(yè)發(fā)生數(shù)據(jù)泄露事件，涉及50萬條個(gè)人信息，應(yīng)當(dāng)自發(fā)生之日起____個(gè)工作日內(nèi)向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)告。答案：79.物聯(lián)網(wǎng)（IoT）設(shè)備的典型安全威脅包括固件篡改、____和拒絕服務(wù)攻擊。答案：數(shù)據(jù)竊聽（或“通信劫持”）10.依據(jù)《生成式人工智能服務(wù)管理暫行辦法》，生成式AI服務(wù)提供者應(yīng)當(dāng)按照規(guī)定對(duì)生成的文本、圖像、音頻、視頻等內(nèi)容進(jìn)行____，發(fā)現(xiàn)違法內(nèi)容的，應(yīng)當(dāng)及時(shí)采取處置措施。答案：安全評(píng)估四、簡答題（每題5分，共10題）1.簡述“零信任架構(gòu)（ZeroTrustArchitecture）”的核心原則。答案：零信任架構(gòu)的核心原則是“永不信任，始終驗(yàn)證”，具體包括：①所有訪問（內(nèi)網(wǎng)/外網(wǎng)）均需驗(yàn)證身份；②最小權(quán)限訪問，僅授予完成任務(wù)所需的最小權(quán)限；③持續(xù)評(píng)估訪問請(qǐng)求的環(huán)境風(fēng)險(xiǎn)（如設(shè)備狀態(tài)、位置、用戶行為）；④對(duì)網(wǎng)絡(luò)流量進(jìn)行細(xì)粒度監(jiān)控和控制；⑤數(shù)據(jù)加密傳輸，確保在任意網(wǎng)絡(luò)環(huán)境下的安全性。2.列舉《數(shù)據(jù)安全法》規(guī)定的數(shù)據(jù)處理者應(yīng)履行的三項(xiàng)主要義務(wù)。答案：①建立健全數(shù)據(jù)安全管理制度，采取技術(shù)措施保障數(shù)據(jù)安全；②開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估并及時(shí)整改；③對(duì)重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，發(fā)生數(shù)據(jù)安全事件時(shí)立即采取處置措施并報(bào)告；④遵守?cái)?shù)據(jù)分類分級(jí)要求，明確數(shù)據(jù)安全責(zé)任；⑤履行數(shù)據(jù)跨境傳輸?shù)陌踩u(píng)估或認(rèn)證義務(wù)（任意三項(xiàng)即可）。3.說明釣魚攻擊的常見類型及防范措施。答案：常見類型：①郵件釣魚（偽造可信來源發(fā)送含惡意鏈接的郵件）；②網(wǎng)頁釣魚（仿冒銀行、電商等官方網(wǎng)站）；③短信釣魚（通過短信發(fā)送偽基站鏈接）；④社交工程釣魚（通過社交媒體獲取用戶信任后誘導(dǎo)泄露信息）。防范措施：①提高安全意識(shí)，不輕易點(diǎn)擊陌生鏈接；②驗(yàn)證鏈接域名的真實(shí)性（如檢查是否有拼寫錯(cuò)誤）；③啟用郵件/短信的反釣魚過濾功能；④定期進(jìn)行員工安全培訓(xùn)；⑤使用多因素認(rèn)證（MFA）增強(qiáng)賬戶保護(hù)。4.簡述工業(yè)控制系統(tǒng)（ICS）與傳統(tǒng)IT系統(tǒng)的安全需求差異。答案：①實(shí)時(shí)性要求：ICS需保障控制指令的實(shí)時(shí)傳輸，延遲可能導(dǎo)致生產(chǎn)事故；IT系統(tǒng)更關(guān)注數(shù)據(jù)處理效率。②生命周期：ICS設(shè)備（如PLC）固件更新周期長（可能10年以上），難以頻繁打補(bǔ)??；IT設(shè)備可定期更新。③安全目標(biāo)優(yōu)先級(jí)：ICS以功能安全（防止設(shè)備誤動(dòng)作）為核心，IT以數(shù)據(jù)安全為核心。④通信協(xié)議：ICS多使用專有協(xié)議（如Modbus、DNP3），IT多使用通用協(xié)議（如HTTP、TCP/IP）。5.依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者在處理敏感個(gè)人信息時(shí)需滿足哪些特殊要求？答案：①取得個(gè)人的單獨(dú)同意（書面或明確的電子同意）；②向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響；③采取嚴(yán)格的保護(hù)措施（如加密、訪問控制、最小化存儲(chǔ)）；④進(jìn)行個(gè)人信息保護(hù)影響評(píng)估（PIA）并留存記錄；⑤法律、行政法規(guī)規(guī)定的其他要求（如醫(yī)療健康信息需符合衛(wèi)生健康領(lǐng)域的特別規(guī)定）。6.說明勒索軟件的攻擊流程及應(yīng)急處置步驟。答案：攻擊流程：①掃描目標(biāo)網(wǎng)絡(luò)（利用漏洞或社工釣魚）；②植入惡意軟件（如通過釣魚郵件附件、漏洞利用工具）；③加密關(guān)鍵文件（使用高強(qiáng)度算法如AES-256）；④彈出勒索頁面（要求支付比特幣等加密貨幣解鎖）。應(yīng)急處置步驟：①立即隔離受感染設(shè)備，防止勒索軟件擴(kuò)散；②關(guān)閉受影響系統(tǒng)的網(wǎng)絡(luò)連接（避免文件繼續(xù)被加密）；③檢查是否有未加密的備份數(shù)據(jù)（優(yōu)先使用備份恢復(fù)）；④保存勒索軟件樣本和攻擊日志（用于溯源和分析）；⑤向公安機(jī)關(guān)和網(wǎng)信部門報(bào)告；⑥更新系統(tǒng)補(bǔ)丁，修復(fù)漏洞，加強(qiáng)員工安全培訓(xùn)。7.簡述區(qū)塊鏈技術(shù)的安全優(yōu)勢(shì)與潛在風(fēng)險(xiǎn)。答案：安全優(yōu)勢(shì)：①去中心化存儲(chǔ)，避免單點(diǎn)故障；②哈希鏈保證數(shù)據(jù)不可篡改（除非控制51%以上算力）；③智能合約自動(dòng)執(zhí)行，減少人為干預(yù)風(fēng)險(xiǎn)；④非對(duì)稱加密保護(hù)用戶身份。潛在風(fēng)險(xiǎn)：①51%攻擊（算力集中時(shí)可能篡改交易記錄）；②智能合約漏洞（代碼邏輯錯(cuò)誤可能導(dǎo)致資產(chǎn)損失）；③私鑰丟失風(fēng)險(xiǎn)（用戶丟失私鑰將無法訪問資產(chǎn)）；④監(jiān)管合規(guī)風(fēng)險(xiǎn)（匿名性可能被用于非法交易）。8.列舉三種常見的移動(dòng)應(yīng)用安全威脅及防護(hù)措施。答案：威脅①：應(yīng)用漏洞（如代碼注入、越權(quán)訪問）；防護(hù)：使用靜態(tài)代碼分析工具（SAST）檢測漏洞，及時(shí)修復(fù)。威脅②：數(shù)據(jù)泄露（如緩存中存儲(chǔ)敏感信息）；防護(hù)：對(duì)敏感數(shù)據(jù)加密存儲(chǔ)，限制緩存生命周期。威脅③：第三方SDK濫用權(quán)限（如未授權(quán)讀取通訊錄）；防護(hù)：審核SDK的權(quán)限申請(qǐng)，選擇合規(guī)SDK，最小化集成數(shù)量。威脅④：釣魚APP（仿冒官方應(yīng)用）；防護(hù)：引導(dǎo)用戶通過官方應(yīng)用商店下載，啟用應(yīng)用簽名驗(yàn)證。（任意三種）9.說明《網(wǎng)絡(luò)安全審查辦法》的適用范圍及審查重點(diǎn)。答案：適用范圍：①關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)；②數(shù)據(jù)處理者開展數(shù)據(jù)處理活動(dòng)，影響或可能影響國家安全；③掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營者赴國外上市。審查重點(diǎn)：①產(chǎn)品和服務(wù)使用后帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；②數(shù)據(jù)處理活動(dòng)對(duì)國家安全的影響；③產(chǎn)品和服務(wù)供應(yīng)鏈安全風(fēng)險(xiǎn)；④境外上市可能帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)；⑤其他影響國家安全的因素。10.簡述“隱私計(jì)算”在數(shù)據(jù)共享中的應(yīng)用場景及技術(shù)價(jià)值。答案：應(yīng)用場景：①醫(yī)療領(lǐng)域：不同醫(yī)院聯(lián)合分析病例數(shù)據(jù)（不共享原始病歷）；②金融領(lǐng)域：銀行與保險(xiǎn)機(jī)構(gòu)聯(lián)合風(fēng)控（不泄露客戶隱私）；③政務(wù)領(lǐng)域：跨部門數(shù)據(jù)協(xié)同（如稅務(wù)與社保數(shù)據(jù)比對(duì)）；④互聯(lián)網(wǎng)廣告：平臺(tái)與廣告主聯(lián)合計(jì)算用戶興趣（不共享用戶ID）。技術(shù)價(jià)值：在保障數(shù)據(jù)“可用不可見”的前提下實(shí)現(xiàn)聯(lián)合計(jì)算，平衡數(shù)據(jù)利用與隱私保護(hù)需求，促進(jìn)數(shù)據(jù)要素的安全流通。五、案例分析題（每題10分，共2題）案例1：某智能汽車制造企業(yè)A開發(fā)了車載智能系統(tǒng)，集成了導(dǎo)航、娛樂、遠(yuǎn)程控制等功能。系統(tǒng)通過4G/5G網(wǎng)絡(luò)與云端服務(wù)器通信，存儲(chǔ)用戶位置、駕駛習(xí)慣、車內(nèi)攝像頭拍攝的視頻等數(shù)據(jù)。2024年8月，安全研究人員發(fā)現(xiàn)該系統(tǒng)存在以下問題：（1）車載系統(tǒng)固件未采用數(shù)字簽名，可被篡改；（2）用戶身份驗(yàn)證僅使用手機(jī)短信驗(yàn)證碼，未啟用多因素認(rèn)證；（3）車內(nèi)攝像頭拍攝的視頻通過HTTP協(xié)議傳輸，未加密；（4）云端服務(wù)器存儲(chǔ)的用戶數(shù)據(jù)未進(jìn)行分類分級(jí)，且訪問日志僅保存3個(gè)月。問題：（1）分析該企業(yè)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；（2）提出針對(duì)性的整改措施。答案：（1）風(fēng)險(xiǎn)分析：①固件篡改風(fēng)險(xiǎn)：未簽名的固件可能被植入惡意代碼，控制車輛行駛（如突然加速、剎車），威脅人身安全；②身份認(rèn)證薄弱：僅用短信驗(yàn)證碼易被截獲（如偽基站攻擊），導(dǎo)致非法用戶遠(yuǎn)程控制車輛；③視頻傳輸未加密：HTTP協(xié)議易被中間人攻擊，竊聽車內(nèi)隱私（如對(duì)話、乘客身份）；④數(shù)據(jù)管理缺失：未分類分級(jí)可能導(dǎo)致敏感數(shù)據(jù)（如位置、視頻）被非授權(quán)訪問；日志保存不足（《網(wǎng)絡(luò)安全法》要求至少6個(gè)月），無法追溯安全事件。（2）整改措施：①固件安全：為固件添加數(shù)字簽名（如使用國密SM2算法），升級(jí)時(shí)驗(yàn)證簽名有效性；②身份認(rèn)證：啟用多因素認(rèn)證（如短信驗(yàn)證碼+生物識(shí)別/硬件密鑰），提升認(rèn)證強(qiáng)度；③通信加密：將視頻傳輸協(xié)議升級(jí)為HTTPS/TLS1.3，對(duì)敏感數(shù)據(jù)（如位置）額外使用AES-256加密；④數(shù)據(jù)管理：建立數(shù)據(jù)分類分級(jí)制度（如將視頻、位置列為“核心數(shù)據(jù)”），加強(qiáng)訪問控制（最小權(quán)限原則）；延長日志保存期限至6個(gè)月以上，定期審計(jì)訪問記錄；⑤安全測試：委托第三方進(jìn)行固件安全檢測、滲透測試，修復(fù)發(fā)現(xiàn)的漏洞；⑥用戶告知：在隱私政策中明確說明數(shù)據(jù)收集范圍、用途及保護(hù)措施，取得用戶明確同意。案例2：2024年10月，某省級(jí)政務(wù)云平臺(tái)發(fā)生數(shù)據(jù)泄露事件，導(dǎo)致120萬條居民社保信息（包含姓名、身份證號(hào)、繳費(fèi)記錄）被非法獲取。經(jīng)調(diào)查，事件原因?yàn)椋海?）平臺(tái)運(yùn)維人員張某因不滿薪資，利用系統(tǒng)權(quán)限