2025年網(wǎng)絡信息安全等級測評試題及答案一、單項選擇題（每題2分，共30分）1.根據(jù)《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019），第三級信息系統(tǒng)的物理訪問控制應實現(xiàn)（）A.由授權人員登記后進入B.采用電子門禁系統(tǒng)，僅允許授權人員進入C.由值班人員口頭確認身份后進入D.允許運維人員直接進入答案：B2.以下不屬于物聯(lián)網(wǎng)終端設備安全測評要點的是（）A.固件完整性校驗機制B.設備默認密碼復雜度C.設備與平臺間通信加密強度D.設備存儲容量答案：D3.云計算環(huán)境中，針對基礎設施即服務（IaaS）層的安全測評，需重點驗證（）A.租戶虛擬網(wǎng)絡的邏輯隔離措施B.云服務器操作系統(tǒng)補丁更新頻率C.云數(shù)據(jù)庫的備份策略D.云平臺管理員的安全培訓記錄答案：A4.某單位網(wǎng)站采用HTTP協(xié)議傳輸用戶登錄信息，該行為違反了（）要求A.數(shù)據(jù)完整性B.數(shù)據(jù)保密性C.抗抵賴性D.可用性答案：B5.關于移動應用安全測評，以下說法錯誤的是（）A.需檢測應用是否存在敏感信息硬編碼B.需驗證應用權限申請的最小化原則C.只需測試Android版本，iOS版本因封閉性無需檢測D.需分析應用與后臺服務器的通信協(xié)議安全性答案：C6.第二級信息系統(tǒng)的主機安全要求中，應（）對主機的安全配置進行核查A.每季度B.每月C.每周D.每天答案：A7.工業(yè)控制系統(tǒng)（ICS）的安全測評中，需重點關注（）A.操作站與控制站的網(wǎng)絡隔離措施B.辦公網(wǎng)與生產(chǎn)網(wǎng)的病毒庫同步頻率C.工程師站的桌面美觀度D.控制系統(tǒng)軟件的廣告彈窗數(shù)量答案：A8.以下不屬于安全管理制度測評內(nèi)容的是（）A.制度發(fā)布流程是否經(jīng)過審核B.制度內(nèi)容是否覆蓋所有安全層面C.制度是否采用PDF格式存儲D.制度是否定期修訂答案：C9.應用系統(tǒng)的身份鑒別功能測評中，需驗證（）A.鑒別信息在傳輸過程中是否加密B.系統(tǒng)是否允許同一用戶多地同時登錄C.系統(tǒng)登錄界面的顏色搭配是否合理D.鑒別失敗后是否永久鎖定賬戶答案：A10.數(shù)據(jù)安全要求中，第三級系統(tǒng)的重要數(shù)據(jù)在傳輸時應采用（）A.對稱加密算法（如AES-128）B.非對稱加密算法（如RSA-1024）C.哈希算法（如SHA-1）D.明文傳輸答案：A11.關于安全管理機構測評，以下正確的是（）A.只需設置一個安全管理崗位，無需明確職責分工B.應建立安全管理領導小組，由單位主要負責人擔任組長C.安全管理機構的會議記錄可隨意丟棄D.安全管理機構無需與外部機構（如公安網(wǎng)安）建立溝通機制答案：B12.主機安全中的惡意代碼防范要求，第三級系統(tǒng)應（）A.安裝單機版殺毒軟件，手動更新病毒庫B.部署集中式惡意代碼防護系統(tǒng)，自動更新病毒庫C.僅依賴操作系統(tǒng)自帶的防火墻D.不安裝任何惡意代碼防護軟件答案：B13.網(wǎng)絡安全中的入侵防范要求，第二級系統(tǒng)應（）A.部署入侵檢測系統(tǒng)（IDS），并對攻擊行為進行記錄B.部署入侵防御系統(tǒng)（IPS），并自動阻斷攻擊C.僅使用防火墻的基本包過濾功能D.不部署任何入侵防范設備答案：A14.系統(tǒng)運維管理中，第三級系統(tǒng)的日志保存時間應不少于（）A.30天B.6個月C.1年D.3年答案：B15.關于AI模型安全測評，需重點驗證（）A.模型訓練數(shù)據(jù)的隱私保護措施B.模型輸出結果的美觀度C.模型開發(fā)人員的編程風格D.模型運行時的耗電量答案：A二、多項選擇題（每題3分，共30分，少選、錯選均不得分）1.物理安全測評的內(nèi)容包括（）A.機房防火設施有效性B.通信線路防盜竊措施C.設備接地電阻值D.機房溫濕度監(jiān)控記錄答案：ABCD2.網(wǎng)絡安全層面的訪問控制要求包括（）A.劃分不同安全域并設置邊界防護設備B.依據(jù)最小權限原則配置訪問控制規(guī)則C.定期審核訪問控制策略的有效性D.允許所有IP地址訪問核心業(yè)務系統(tǒng)答案：ABC3.主機安全中的身份鑒別要求包括（）A.鑒別信息長度不少于8位，包含數(shù)字、字母和特殊符號B.鑒別失敗后鎖定賬戶，鎖定時間可配置C.允許使用弱口令（如“123456”）D.支持兩種及以上組合的鑒別方式（如用戶名+密碼+動態(tài)令牌）答案：ABD4.應用安全的安全審計要求包括（）A.審計記錄包含事件類型、時間、主體、客體、結果等要素B.審計日志存儲在應用服務器本地，無需備份C.審計日志具備防篡改措施（如哈希校驗）D.審計功能可根據(jù)需求開啟或關閉答案：AC5.數(shù)據(jù)安全中的數(shù)據(jù)備份與恢復要求包括（）A.重要數(shù)據(jù)每日增量備份，每周全量備份B.備份數(shù)據(jù)存儲在本地同一機房C.每季度進行恢復測試，驗證恢復有效性D.備份介質(zhì)離線存儲，防止破壞答案：ACD6.安全管理制度測評需檢查（）A.制度是否覆蓋物理、網(wǎng)絡、主機、應用、數(shù)據(jù)等所有層面B.制度發(fā)布前是否經(jīng)過審批，發(fā)布后是否培訓相關人員C.制度是否明確責任部門和執(zhí)行流程D.制度是否使用最新版本，舊版本是否歸檔答案：ABCD7.安全管理機構測評需驗證（）A.是否設立安全管理崗位，明確職責分工B.是否定期召開安全工作會議并形成記錄C.是否與外部機構（如應急響應中心）建立協(xié)作機制D.安全管理人員是否具備相應的安全技能答案：ABCD8.人員安全管理要求包括（）A.新員工上崗前需進行安全培訓并考核B.關鍵崗位人員需簽訂安全保密協(xié)議C.離職人員的系統(tǒng)賬號應在離職后1個月內(nèi)注銷D.定期對人員安全意識進行抽查答案：ABD9.系統(tǒng)建設管理中的安全采購要求包括（）A.采購的安全產(chǎn)品需通過國家相關部門的檢測認證B.采購合同中明確安全責任條款C.優(yōu)先選擇價格最低的供應商，無需考慮安全能力D.對供應商的安全資質(zhì)進行審查答案：ABD10.系統(tǒng)運維管理中的漏洞管理要求包括（）A.定期進行漏洞掃描，形成漏洞報告B.高危漏洞需在72小時內(nèi)修復C.中危漏洞可長期保留，無需處理D.修復后需驗證漏洞是否徹底消除答案：ABD三、判斷題（每題1分，共10分，正確填“√”，錯誤填“×”）1.第一級信息系統(tǒng)無需開展網(wǎng)絡安全等級測評。（）答案：×（注：第一級系統(tǒng)需自主保護，雖測評要求較低，但仍需開展測評）2.云計算環(huán)境中，平臺即服務（PaaS）層的安全責任由云服務提供商和租戶共同承擔。（）答案：√3.物聯(lián)網(wǎng)設備的默認密碼可以保留，無需修改。（）答案：×4.應用系統(tǒng)的會話超時時間應設置為30分鐘以上，以提升用戶體驗。（）答案：×（注：應根據(jù)安全需求設置合理超時時間，過長會增加會話劫持風險）5.重要數(shù)據(jù)的銷毀只需刪除文件系統(tǒng)中的記錄，無需進行物理擦除。（）答案：×6.安全管理制度只需由技術部門制定，無需業(yè)務部門參與。（）答案：×7.主機的安全配置核查應覆蓋操作系統(tǒng)、數(shù)據(jù)庫、中間件等所有組件。（）答案：√8.網(wǎng)絡安全中的流量監(jiān)控只需關注出口流量，無需監(jiān)控內(nèi)部流量。（）答案：×9.人員安全培訓只需在入職時開展一次，后續(xù)無需重復。（）答案：×10.工業(yè)控制系統(tǒng)的安全測評可完全參照傳統(tǒng)信息系統(tǒng)的測評方法。（）答案：×（注：需考慮工業(yè)控制系統(tǒng)的實時性、可靠性要求，避免測評操作影響生產(chǎn)）四、簡答題（每題5分，共20分）1.簡述第三級信息系統(tǒng)在物理安全層面的“防盜竊和防破壞”要求。答案：第三級系統(tǒng)的防盜竊和防破壞要求包括：①主機房、通信機房等重要區(qū)域應設置電子門禁系統(tǒng)，僅允許授權人員進入；②重要設備應固定在不易移動的位置（如機柜加固）；③通信線路應采取防盜竊措施（如穿管保護、路由隱蔽）；④機房應安裝視頻監(jiān)控系統(tǒng)，監(jiān)控資料保存時間不少于30天；⑤重要區(qū)域應設置入侵報警系統(tǒng)，與監(jiān)控系統(tǒng)聯(lián)動。2.請說明云環(huán)境下“責任邊界劃分”的測評要點。答案：云環(huán)境下責任邊界劃分的測評要點包括：①明確云服務類型（IaaS/PaaS/SaaS）對應的安全責任主體；②驗證云服務商提供的安全能力（如虛擬網(wǎng)絡隔離、漏洞掃描）；③檢查租戶自身需承擔的安全責任（如虛擬機操作系統(tǒng)加固、應用漏洞修復）；④核查雙方簽訂的服務協(xié)議中是否明確安全責任條款；⑤確認安全事件發(fā)生時的響應流程和責任歸屬。3.應用系統(tǒng)的“身份鑒別”功能需滿足哪些安全要求？答案：應用系統(tǒng)的身份鑒別功能需滿足：①鑒別信息復雜度要求（長度≥8位，包含多字符類型）；②支持兩種及以上組合鑒別方式（如用戶名+密碼+動態(tài)令牌）；③鑒別信息在傳輸和存儲過程中加密（如傳輸用TLS，存儲用哈希加鹽）；④鑒別失敗鎖定機制（如連續(xù)5次失敗鎖定30分鐘）；⑤防止重放攻擊（如使用一次性口令或會話令牌）。4.簡述安全運維管理中“日志管理”的具體要求。答案：安全運維管理中的日志管理要求包括：①日志內(nèi)容完整性（包含事件時間、主體、客體、操作類型、結果等）；②日志存儲安全性（采用獨立日志服務器，避免本地存儲；日志文件具備防篡改措施）；③日志保留時間（第三級系統(tǒng)≥6個月，第二級≥3個月）；④日志分析機制（定期分析日志，發(fā)現(xiàn)異常行為）；⑤日志訪問控制（僅授權人員可查看和修改日志）。五、案例分析題（共10分）背景：某市級醫(yī)院（三級等保系統(tǒng)）的HIS（醫(yī)院信息系統(tǒng)）近期發(fā)生患者病歷數(shù)據(jù)泄露事件。經(jīng)初步調(diào)查，攻擊者通過弱口令登錄護士站終端，獲取操作系統(tǒng)權限后，竊取了存儲在數(shù)據(jù)庫中的患者信息。測評機構需對該醫(yī)院信息系統(tǒng)進行安全整改測評。問題：（1）分析該事件暴露出的安全漏洞（至少4點）；（2）提出針對性的整改措施（至少4條）。答案：（1）暴露的安全漏洞：①終端設備身份鑒別薄弱：護士站終端使用弱口令（如簡單密碼或默認密碼），未滿足復雜度要求；②主機安全配置缺失：終端操作系統(tǒng)未啟用賬戶鎖定機制，允許暴力破解；③訪問控制策略不合理：終端設備未限制對數(shù)據(jù)庫的直接訪問權限，導致普通終端可直接連接核心數(shù)據(jù)庫；④數(shù)據(jù)加密措施不足：患者病歷數(shù)據(jù)在數(shù)據(jù)庫中未加密存儲，被竊取后可直接讀取；⑤日志審計缺失：終端登錄日志和數(shù)據(jù)庫訪問日志未完整記錄，無法及時發(fā)現(xiàn)異常操作；⑥人員安全意識不足：護士未定期修改密碼，對弱口令風險缺乏認知。（2）整改措施：①強化身份鑒別：終端和系統(tǒng)賬戶要求密碼長度≥12位，包含數(shù)字、字母、特殊符號，每30天強制修改；②實施訪問控制：在數(shù)據(jù)庫前端部署應用網(wǎng)關，僅允許授權終端通過特定端口訪問，限