第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁信息安全測評知識題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

（請將正確選項的字母填入括號內(nèi)）

1.在信息安全測評中，屬于“符合性測評”范疇的工作是（）。

A.對系統(tǒng)進行滲透測試，評估其是否存在安全漏洞

B.檢查系統(tǒng)配置是否符合《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）的規(guī)定

C.對用戶進行安全意識培訓(xùn)，提升其風(fēng)險防范能力

D.分析系統(tǒng)日志，識別異常訪問行為

2.以下哪種測評方法不屬于“黑盒測試”的范疇？（）

A.模擬外部攻擊者對系統(tǒng)進行無授權(quán)訪問嘗試

B.通過源代碼分析，查找安全編碼缺陷

C.利用已知漏洞對系統(tǒng)進行驗證性攻擊

D.檢查系統(tǒng)是否具備入侵檢測功能

3.根據(jù)國家保密局《信息系統(tǒng)保密技術(shù)要求》（BMB/Z12-2014），以下哪種密級系統(tǒng)的測評應(yīng)重點關(guān)注物理環(huán)境安全？（）

A.秘密級系統(tǒng)

B.機密級系統(tǒng)

C.絕密級系統(tǒng)

D.公開級系統(tǒng)

4.在測評報告的編寫中，屬于“問題描述”部分核心要素的是（）。

A.建議采取的整改措施

B.問題發(fā)生的概率評估

C.問題所屬的測評項編號

D.問題對業(yè)務(wù)連續(xù)性的影響程度

5.信息安全測評機構(gòu)在實施測評前，需與被測評單位簽署的協(xié)議是（）。

A.《測評服務(wù)合同》

B.《保密協(xié)議》

C.《測評結(jié)果確認(rèn)書》

D.《風(fēng)險評估報告》

6.根據(jù)公安部《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019），以下哪個測評流程屬于“準(zhǔn)備階段”的工作？（）

A.編寫測評方案

B.現(xiàn)場訪談相關(guān)人員

C.執(zhí)行滲透測試

D.撰寫測評報告

7.在測評過程中，發(fā)現(xiàn)某系統(tǒng)未啟用強制訪問控制策略，屬于哪種風(fēng)險等級？（）

A.低風(fēng)險

B.中風(fēng)險

C.高風(fēng)險

D.極高風(fēng)險

8.以下哪種測評工具主要用于靜態(tài)代碼分析？（）

A.Nmap

B.Wireshark

C.SonarQube

D.Nessus

9.根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》（GB/T28448-2019），測評人員需具備的資質(zhì)是（）。

A.系統(tǒng)管理員認(rèn)證（SysAdmin）

B.CISP-PTE資格證書

C.CCNA認(rèn)證

D.PMP認(rèn)證

10.在測評中發(fā)現(xiàn)某系統(tǒng)存在SQL注入漏洞，其修復(fù)優(yōu)先級應(yīng)屬于（）。

A.第一優(yōu)先級

B.第二優(yōu)先級

C.第三優(yōu)先級

D.根據(jù)業(yè)務(wù)影響動態(tài)評估

11.信息安全測評報告的“結(jié)論”部分應(yīng)包含的內(nèi)容是（）。

A.測評范圍說明

B.測評依據(jù)的標(biāo)準(zhǔn)

C.系統(tǒng)安全等級評定結(jié)果

D.測評費用明細

12.在測評過程中，測評人員需獲取的授權(quán)憑證是（）。

A.被測評單位營業(yè)執(zhí)照復(fù)印件

B.測評人員工作證

C.系統(tǒng)管理員賬號

D.財務(wù)報表

13.以下哪種測評方法不屬于“白盒測試”的范疇？（）

A.檢查數(shù)據(jù)庫默認(rèn)口令是否被禁用

B.分析應(yīng)用程序的內(nèi)存布局

C.模擬內(nèi)部人員越權(quán)操作

D.驗證防火墻策略的精確性

14.根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019），測評機構(gòu)需提交的文檔是（）。

A.測評方案

B.測評報告

C.工作底稿

D.以上所有

15.在測評過程中，發(fā)現(xiàn)某系統(tǒng)未設(shè)置操作日志審計功能，屬于哪種風(fēng)險等級？（）

A.低風(fēng)險

B.中風(fēng)險

C.高風(fēng)險

D.極高風(fēng)險

16.信息安全測評的“證據(jù)鏈”要求包括（）。

A.測評依據(jù)的標(biāo)準(zhǔn)編號

B.測評人員簽名的現(xiàn)場記錄

C.受測系統(tǒng)的截圖

D.以上所有

17.在測評過程中，發(fā)現(xiàn)某系統(tǒng)未安裝防病毒軟件，屬于哪種風(fēng)險等級？（）

A.低風(fēng)險

B.中風(fēng)險

C.高風(fēng)險

D.極高風(fēng)險

18.根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》（GB/T28448-2019），測評機構(gòu)需具備的資質(zhì)是（）。

A.ISO27001認(rèn)證

B.CMMI認(rèn)證

C.信息系統(tǒng)安全測評機構(gòu)資質(zhì)

D.PCIDSS認(rèn)證

19.在測評報告中，屬于“問題整改建議”部分核心要素的是（）。

A.問題發(fā)生的概率評估

B.問題所屬的測評項編號

C.建議采取的整改措施及實施周期

D.問題對業(yè)務(wù)連續(xù)性的影響程度

20.以下哪種測評方法不屬于“灰盒測試”的范疇？（）

A.通過已知的業(yè)務(wù)流程驗證系統(tǒng)功能

B.檢查系統(tǒng)配置是否滿足安全要求

C.模擬外部攻擊者進行無授權(quán)訪問

D.分析應(yīng)用程序的內(nèi)存布局

二、多選題（共15分，多選、錯選不得分）

（請將正確選項的字母填入括號內(nèi)）

21.信息安全測評報告應(yīng)包含的內(nèi)容有（）。

A.測評依據(jù)的標(biāo)準(zhǔn)

B.測評范圍說明

C.測評過程中發(fā)現(xiàn)的安全問題

D.被測評單位的組織架構(gòu)圖

E.測評機構(gòu)資質(zhì)證明

22.在測評過程中，測評人員需注意的道德規(guī)范包括（）。

A.不得泄露被測評單位的商業(yè)秘密

B.不得篡改測評證據(jù)

C.不得利用測評工具進行攻擊

D.不得接受被測評單位的饋贈

E.不得私自擴大測評范圍

23.根據(jù)公安部《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019），以下哪些測評流程屬于“準(zhǔn)備階段”的工作？（）

A.編寫測評方案

B.現(xiàn)場訪談相關(guān)人員

C.執(zhí)行滲透測試

D.檢查系統(tǒng)配置

E.撰寫測評報告

24.在測評過程中，發(fā)現(xiàn)某系統(tǒng)存在以下哪些安全隱患？（）

A.未啟用強制訪問控制策略

B.數(shù)據(jù)庫默認(rèn)口令未禁用

C.未設(shè)置操作日志審計功能

D.未安裝防病毒軟件

E.未配置防火墻策略

25.信息安全測評機構(gòu)需具備的資質(zhì)包括（）。

A.專業(yè)的測評團隊

B.合格的測評設(shè)備

C.信息系統(tǒng)安全測評機構(gòu)資質(zhì)

D.ISO27001認(rèn)證

E.良好的行業(yè)口碑

三、判斷題（共10分，每題0.5分）

（請將正確選項的符號填入括號內(nèi)，√表示正確，×表示錯誤）

26.信息安全測評只能由具備國家認(rèn)可的測評機構(gòu)實施。（）

27.測評人員可以私自將測評過程中發(fā)現(xiàn)的漏洞信息告知競爭對手。（）

28.測評報告的“結(jié)論”部分應(yīng)包含系統(tǒng)安全等級評定結(jié)果。（）

29.在測評過程中，測評人員需獲取被測評單位系統(tǒng)管理員賬號。（）

30.測評報告的“問題整改建議”部分應(yīng)明確整改措施的實施周期。（）

31.信息安全測評只能針對網(wǎng)絡(luò)系統(tǒng)進行。（）

32.測評人員可以測評與測評范圍無關(guān)的系統(tǒng)功能。（）

33.測評報告的“證據(jù)鏈”要求包括測評依據(jù)的標(biāo)準(zhǔn)編號。（）

34.在測評過程中，發(fā)現(xiàn)某系統(tǒng)未安裝防病毒軟件屬于高風(fēng)險問題。（）

35.測評機構(gòu)需在測評前與被測評單位簽署《保密協(xié)議》。（）

四、填空題（共10分，每空1分）

（請將答案填入橫線內(nèi)）

36.信息安全測評的目的是評估信息系統(tǒng)的______和______是否滿足相關(guān)標(biāo)準(zhǔn)要求。

37.根據(jù)公安部《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019），測評機構(gòu)需具備的資質(zhì)是______。

38.在測評過程中，發(fā)現(xiàn)某系統(tǒng)未啟用強制訪問控制策略，屬于______風(fēng)險。

39.信息安全測評報告的“證據(jù)鏈”要求包括______、______和______。

40.根據(jù)國家保密局《信息系統(tǒng)保密技術(shù)要求》（BMB/Z12-2014），絕密級系統(tǒng)的測評應(yīng)重點關(guān)注______安全。

五、簡答題（共25分）

41.簡述信息安全測評的“準(zhǔn)備階段”需完成的工作。（6分）

42.測評過程中發(fā)現(xiàn)某系統(tǒng)存在SQL注入漏洞，應(yīng)如何進行修復(fù)？（6分）

43.簡述信息安全測評報告的“問題整改建議”部分應(yīng)包含的內(nèi)容。（6分）

44.測評人員需遵守哪些道德規(guī)范？（7分）

六、案例分析題（共30分）

案例背景：某金融機構(gòu)的系統(tǒng)安全等級為三級，測評機構(gòu)在測評過程中發(fā)現(xiàn)以下問題：

（1）系統(tǒng)未啟用強制訪問控制策略；

（2）數(shù)據(jù)庫默認(rèn)口令未禁用；

（3）未設(shè)置操作日志審計功能；

（4）未安裝防病毒軟件。

問題：

（1）請分析上述問題的風(fēng)險等級及可能造成的后果。（10分）

（2）請?zhí)岢鲠槍ι鲜鰡栴}的整改建議。（10分）

（3）請說明測評機構(gòu)在提交測評報告時應(yīng)注意的事項。（10分）

參考答案及解析

一、單選題

1.B

解析：符合性測評主要檢查系統(tǒng)配置是否符合相關(guān)標(biāo)準(zhǔn)要求，B選項符合該定義。A選項屬于滲透測試，C選項屬于安全意識培訓(xùn)，D選項屬于日志分析。

2.B

解析：白盒測試需獲取源代碼進行分析，B選項不屬于白盒測試范疇。A、C、D選項均屬于黑盒測試方法。

3.C

解析：根據(jù)《信息系統(tǒng)保密技術(shù)要求》（BMB/Z12-2014），絕密級系統(tǒng)的測評應(yīng)重點關(guān)注物理環(huán)境安全。

4.C

解析：問題描述部分的核心要素是問題所屬的測評項編號，C選項符合該要求。A選項屬于整改建議，B選項屬于風(fēng)險評估，D選項屬于影響程度評估。

5.A

解析：測評機構(gòu)在實施測評前需與被測評單位簽署《測評服務(wù)合同》。

6.A

解析：準(zhǔn)備階段的工作包括編寫測評方案，B、C、D選項均屬于后續(xù)階段的工作。

7.C

解析：未啟用強制訪問控制策略屬于高風(fēng)險問題，屬于培訓(xùn)中強調(diào)的“核心安全控制缺失”。

8.C

解析：SonarQube是用于靜態(tài)代碼分析的測評工具，A選項是網(wǎng)絡(luò)掃描工具，B選項是網(wǎng)絡(luò)抓包工具，D選項是漏洞掃描工具。

9.B

解析：根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》（GB/T28448-2019），測評人員需具備CISP-PTE資格證書。

10.A

解析：SQL注入漏洞屬于高危漏洞，修復(fù)優(yōu)先級應(yīng)屬于第一優(yōu)先級。

11.C

解析：結(jié)論部分應(yīng)包含系統(tǒng)安全等級評定結(jié)果。

12.B

解析：測評人員需獲取工作證進行授權(quán)。

13.B

解析：檢查數(shù)據(jù)庫默認(rèn)口令是否被禁用屬于白盒測試范疇，B選項不屬于白盒測試。A、C、D選項均屬于白盒或灰盒測試方法。

14.D

解析：測評機構(gòu)需提交測評方案、測評報告和工作底稿。

15.C

解析：未設(shè)置操作日志審計功能屬于高風(fēng)險問題，屬于培訓(xùn)中強調(diào)的“核心安全控制缺失”。

16.D

解析：證據(jù)鏈要求包括測評依據(jù)的標(biāo)準(zhǔn)編號、測評人員簽名的現(xiàn)場記錄和受測系統(tǒng)的截圖。

17.C

解析：未安裝防病毒軟件屬于高風(fēng)險問題，屬于培訓(xùn)中強調(diào)的“基礎(chǔ)安全防護缺失”。

18.C

解析：測評機構(gòu)需具備信息系統(tǒng)安全測評機構(gòu)資質(zhì)。

19.C

解析：問題整改建議部分應(yīng)明確整改措施及實施周期。

20.C

解析：模擬外部攻擊者進行無授權(quán)訪問屬于黑盒測試范疇，C選項不屬于灰盒測試。

二、多選題

21.ABC

解析：測評報告應(yīng)包含測評依據(jù)的標(biāo)準(zhǔn)、測評范圍說明和測評過程中發(fā)現(xiàn)的安全問題。D選項不屬于測評報告的必要內(nèi)容。

22.ABCD

解析：測評人員需遵守不泄露商業(yè)秘密、不篡改證據(jù)、不利用工具攻擊、不接受饋贈等道德規(guī)范。

23.AB

解析：準(zhǔn)備階段的工作包括編寫測評方案和現(xiàn)場訪談相關(guān)人員。C、D、E選項均屬于后續(xù)階段的工作。

24.ABCD

解析：以上均屬于安全隱患。

25.ABC

解析：測評機構(gòu)需具備專業(yè)的測評團隊、合格的測評設(shè)備和信息系統(tǒng)安全測評機構(gòu)資質(zhì)。D選項不是測評機構(gòu)的資質(zhì)要求。

三、判斷題

26.√

27.×

解析：測評人員不得私自泄露漏洞信息。

28.√

29.×

解析：測評人員無需獲取系統(tǒng)管理員賬號。

30.√

31.×

解析：測評對象包括網(wǎng)絡(luò)系統(tǒng)、主機系統(tǒng)、應(yīng)用系統(tǒng)等。

32.×

解析：測評人員需在測評范圍內(nèi)工作。

33.√

34.√

35.√

四、填空題

36.安全性；可靠性

37.信息系統(tǒng)安全測評機構(gòu)資質(zhì)

38.高

39.測評依據(jù)的標(biāo)準(zhǔn)編號；測評人員簽名的現(xiàn)場記錄；受測系統(tǒng)的截圖

40.物理

五、簡答題

41.答：

①編寫測評方案；

②獲取測評授權(quán)；

③獲取測評工具；

④現(xiàn)場訪談相關(guān)人員；

⑤檢查測評環(huán)境。（6分）

42.答：

①禁用數(shù)據(jù)庫默認(rèn)口令；

②修改密碼為強密碼；

③開啟數(shù)據(jù)庫審計功能；

④對應(yīng)用程序進行代碼審計，修復(fù)SQL注入漏洞。（6分）

43.答：

①問題所屬的測評項編號；

②問題描述；

③建議采取的整改措施；

④整改措施的實施周期。（6分）

44.答：

①不得泄露被測評單位的商業(yè)秘密；

②不得篡改測評證據(jù)；

③不得利用測評工具進行攻擊；

④不得私自擴大測評范圍；

⑤不得接受被測評單位的饋贈；

⑥需遵守國家法律法規(guī)和行業(yè)規(guī)范。（7分）

六、案例分析題

（1）答：

①未啟用強制訪問控制策略：屬于高風(fēng)險問題，可能導(dǎo)致未授權(quán)訪問和數(shù)據(jù)泄露。（3分）

②數(shù)據(jù)庫默認(rèn)口令未禁用：屬于高風(fēng)險問題，可能導(dǎo)致