三級(jí)信息安全技術(shù)試題及答案一、單項(xiàng)選擇題（每題1分，共30分。每題只有一個(gè)正確答案，錯(cuò)選、多選、不選均不得分）1.在GB/T222392019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中，第三級(jí)安全要求的“安全通信網(wǎng)絡(luò)”控制點(diǎn)中，以下哪項(xiàng)是新增于第二級(jí)之上的強(qiáng)制項(xiàng)？A.通信傳輸完整性校驗(yàn)B.通信傳輸保密性保護(hù)C.可信驗(yàn)證D.邊界訪問(wèn)控制答案：C解析：第三級(jí)首次引入“可信驗(yàn)證”作為強(qiáng)制要求，強(qiáng)調(diào)對(duì)通信設(shè)備固件與系統(tǒng)啟動(dòng)過(guò)程的可信度量，第二級(jí)僅要求完整性與保密性。2.某三級(jí)系統(tǒng)采用IPSecVPN與分支機(jī)構(gòu)互聯(lián)，管理員發(fā)現(xiàn)IKEv1主模式協(xié)商頻繁失敗，最可能觸發(fā)三級(jí)合規(guī)性審計(jì)不合格的原因是：A.預(yù)共享密鑰長(zhǎng)度低于20字節(jié)B.使用了AES128CBC加密C.未啟用DHGroup15以上D.未啟用完善前向保密PFS答案：D解析：三級(jí)要求“具備完善前向保密能力”，IKEv1主模式若未配置PFS，一旦長(zhǎng)期密鑰泄露，歷史流量可被解密，屬于高風(fēng)險(xiǎn)。3.在Linux服務(wù)器三級(jí)加固中，下列哪條audit規(guī)則可覆蓋“敏感文件刪除”審計(jì)要求？A.w/etc/passwdpwakidentityB.w/usr/bin/rmpxkdeleteC.aalways,exitFarch=b64SunlinkSunlinkatSrmdirFauid>=1000Fauid!=1kdeleteD.w/var/log/audit/pwaklog答案：C解析：三級(jí)要求審計(jì)“用戶級(jí)敏感操作”，需系統(tǒng)調(diào)用級(jí)監(jiān)控unlink/unlinkat/rmdir，并限定真實(shí)用戶（auid>=1000且不為1），C項(xiàng)完整覆蓋。4.三級(jí)系統(tǒng)開(kāi)展商用密碼應(yīng)用安全性評(píng)估時(shí)，以下哪種情況可直接判為“不符合”？A.采用SM4CBC但未定期做密鑰輪換B.采用SM2簽名但未做公鑰證書(shū)校驗(yàn)C.采用SM3做完整性校驗(yàn)但輸出截?cái)酁?28bitD.采用SM1算法但未提供算法實(shí)現(xiàn)源碼答案：C解析：SM3標(biāo)準(zhǔn)輸出256bit，截?cái)嘀?28bit削弱碰撞強(qiáng)度，違反GM/T00052012對(duì)完整性算法輸出長(zhǎng)度的強(qiáng)制要求。5.三級(jí)系統(tǒng)云環(huán)境下，以下關(guān)于虛擬化平臺(tái)“內(nèi)存隔離”最佳實(shí)現(xiàn)是：A.依賴IntelVTd做IOMMU隔離B.啟用EPT并定期掃描內(nèi)存deduplicationC.關(guān)閉KSM并啟用內(nèi)存加密（AMDSEV）D.啟用HugePages并綁定NUMA節(jié)點(diǎn)答案：C解析：三級(jí)要求“防止虛擬機(jī)內(nèi)存交叉訪問(wèn)”，關(guān)閉KSM防止側(cè)信道，SEV提供硬件級(jí)內(nèi)存加密，符合虛擬化隔離要求。6.在三級(jí)系統(tǒng)數(shù)據(jù)備份策略中，RPO≤15分鐘，以下方案組合最經(jīng)濟(jì)且合規(guī)的是：A.數(shù)據(jù)庫(kù)每日全量+日志每15分鐘復(fù)制B.存儲(chǔ)級(jí)快照每10分鐘+異地復(fù)制C.應(yīng)用級(jí)雙活+CDP連續(xù)復(fù)制D.虛擬機(jī)級(jí)備份每小時(shí)+增量每15分鐘答案：B解析：存儲(chǔ)快照+異地復(fù)制可在10分鐘內(nèi)完成，滿足RPO≤15分鐘，且成本低于雙活，三級(jí)允許快照作為備份手段。7.三級(jí)系統(tǒng)上線前需完成“滲透測(cè)試”，以下哪項(xiàng)屬于“限制條件”而非測(cè)試內(nèi)容？A.禁止社工釣魚(yú)B.禁止DDoS超過(guò)100MbpsC.禁止修改生產(chǎn)數(shù)據(jù)D.禁止在08:0018:00測(cè)試答案：D解析：時(shí)間窗口屬于測(cè)試限制條件，其余為禁止行為，D項(xiàng)僅限制時(shí)段，不限制方法。8.三級(jí)系統(tǒng)訪問(wèn)控制模型采用RBAC+ABAC混合，以下場(chǎng)景必須啟用ABAC的是：A.普通用戶訪問(wèn)業(yè)務(wù)數(shù)據(jù)庫(kù)B.運(yùn)維人員臨時(shí)提權(quán)至rootC.第三方接口在每日22:0024:00調(diào)用敏感APID.審計(jì)員查看日志答案：C解析：C項(xiàng)需動(dòng)態(tài)屬性（時(shí)間段+接口敏感度），RBAC靜態(tài)角色無(wú)法滿足，需ABAC動(dòng)態(tài)策略。9.三級(jí)系統(tǒng)采用容器部署，關(guān)于鏡像簽名驗(yàn)證，以下正確的是：A.使用DockerContentTrust且根密鑰離線存儲(chǔ)B.使用Notaryv1且定期輪轉(zhuǎn)timestamp密鑰C.使用cosign簽名并上傳簽名至鏡像倉(cāng)庫(kù)的同一repoD.使用GPG簽名Dockerfile即可答案：A解析：三級(jí)要求“對(duì)鏡像來(lái)源進(jìn)行可信驗(yàn)證”，DockerContentTrust基于Notary，根密鑰離線存儲(chǔ)符合密鑰管理要求。10.三級(jí)系統(tǒng)需建立“供應(yīng)鏈安全”管控，以下哪項(xiàng)為三級(jí)新增于第二級(jí)之上的要求？A.采購(gòu)前對(duì)廠商進(jìn)行背景調(diào)查B.簽署保密協(xié)議C.對(duì)交付物進(jìn)行完整性校驗(yàn)D.對(duì)開(kāi)源組件進(jìn)行SBOM清單管理答案：D解析：三級(jí)首次明確要求“建立軟件物料清單（SBOM）”，實(shí)現(xiàn)開(kāi)源組件可追溯，第二級(jí)僅要求完整性校驗(yàn)。11.在三級(jí)系統(tǒng)密碼機(jī)部署中，以下哪項(xiàng)參數(shù)必須寫(xiě)入密碼機(jī)固件且不可通過(guò)軟件修改？A.密鑰索引B.管理員證書(shū)C.設(shè)備密鑰D.會(huì)話密鑰答案：C解析：設(shè)備密鑰（DeviceKey）用于密碼機(jī)身份認(rèn)證，必須在出廠時(shí)寫(xiě)入硬件并防篡改，符合GM/T00182012要求。12.三級(jí)系統(tǒng)開(kāi)展“紅藍(lán)對(duì)抗”，以下哪項(xiàng)屬于藍(lán)隊(duì)“溯源反制”階段的關(guān)鍵指標(biāo)？A.平均檢測(cè)時(shí)間MTTDB.平均響應(yīng)時(shí)間MTTRC.攻擊者IP地理位置精度D.告警誤報(bào)率答案：C解析：溯源反制需定位攻擊者真實(shí)IP，地理位置精度直接影響后續(xù)執(zhí)法，其余為檢測(cè)響應(yīng)指標(biāo)。13.三級(jí)系統(tǒng)需滿足“個(gè)人信息去標(biāo)識(shí)化”，以下技術(shù)方案中，哪項(xiàng)符合GB/T379182019“重標(biāo)識(shí)風(fēng)險(xiǎn)≤0.05”要求？A.姓名哈希SHA256B.姓名+身份證號(hào)做k匿名k=3C.姓名做掩碼（保留首字）+生日偏移±30天D.姓名替換為UUID+身份證號(hào)AES加密答案：B解析：k匿名k=3使等價(jià)類大小≥3，重標(biāo)識(shí)概率≤1/3≈0.33，需再疊加ldiversity或tcloseness，但題干僅k匿名已低于0.05閾值（當(dāng)k≥20），選項(xiàng)中k=3最接近且可擴(kuò)展，其余方案重標(biāo)識(shí)風(fēng)險(xiǎn)更高。14.三級(jí)系統(tǒng)采用“零信任”架構(gòu)，以下哪項(xiàng)是“動(dòng)態(tài)訪問(wèn)控制引擎”的核心輸入？A.用戶靜態(tài)角色B.設(shè)備補(bǔ)丁等級(jí)C.網(wǎng)絡(luò)防火墻規(guī)則D.交換機(jī)MAC表答案：B解析：零信任依賴多維度屬性，設(shè)備補(bǔ)丁等級(jí)反映終端安全狀態(tài)，是動(dòng)態(tài)授權(quán)的關(guān)鍵輸入。15.三級(jí)系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)需記錄“返回行數(shù)”，以下哪項(xiàng)配置可實(shí)現(xiàn)？A.MySQLgenerallogB.MySQLauditplugin+QUERY_RETURN_ROWS_ROWSC.MySQLbinlogrow模式D.MySQLslowlog答案：B解析：auditplugin的QUERY_RETURN_ROWS_ROWS事件可記錄SELECT返回行數(shù)，滿足三級(jí)“結(jié)果審計(jì)”要求。16.三級(jí)系統(tǒng)需建立“安全運(yùn)營(yíng)中心（SOC）”，以下哪項(xiàng)指標(biāo)最能反映“檢測(cè)有效性”？A.日均告警量B.告警閉環(huán)率C.真實(shí)告警占比D.平均響應(yīng)時(shí)長(zhǎng)答案：C解析：真實(shí)告警占比=TP/(TP+FP)，直接反映檢測(cè)能力，其余為流程指標(biāo)。17.三級(jí)系統(tǒng)需對(duì)“工業(yè)控制系統(tǒng)”做等保，以下哪項(xiàng)屬于“白名單”防護(hù)最佳實(shí)踐？A.基于IP五元組ACLB.基于Modbus功能碼+寄存器范圍C.基于DPI特征庫(kù)D.基于流量大小閾值答案：B解析：工業(yè)協(xié)議白名單需細(xì)化到功能碼與寄存器，防止非法指令，B項(xiàng)最細(xì)粒度。18.三級(jí)系統(tǒng)需做“密評(píng)”，以下哪項(xiàng)屬于“物理環(huán)境”測(cè)評(píng)點(diǎn)？A.密碼機(jī)是否雙因子登錄B.密碼機(jī)是否具備門(mén)開(kāi)報(bào)警C.密碼機(jī)是否采用SM2證書(shū)D.密碼機(jī)是否支持密鑰歸檔答案：B解析：物理防護(hù)要求“機(jī)殼撬開(kāi)檢測(cè)”，門(mén)開(kāi)報(bào)警為物理安全項(xiàng)，其余為功能與管理。19.三級(jí)系統(tǒng)需建立“數(shù)據(jù)安全分類分級(jí)”，以下哪項(xiàng)屬于“核心數(shù)據(jù)”？A.用戶登錄日志B.企業(yè)年度財(cái)務(wù)報(bào)表C.國(guó)家地理信息矢量圖D.員工通訊錄答案：C解析：國(guó)家地理信息矢量圖涉及國(guó)家安全，屬“核心數(shù)據(jù)”分級(jí)，參考《數(shù)據(jù)安全法》。20.三級(jí)系統(tǒng)需做“攻防演練”，以下哪項(xiàng)屬于“攻擊方”評(píng)分維度？A.是否造成業(yè)務(wù)中斷B.是否被發(fā)現(xiàn)C.是否獲取域控D.是否報(bào)告完整答案：C解析：攻擊方得分以“控制關(guān)鍵資產(chǎn)”為核心，獲取域控代表控制AD，為高分項(xiàng)。21.三級(jí)系統(tǒng)需對(duì)“日志”做簽名防篡改，以下哪項(xiàng)算法組合符合國(guó)密且性能最優(yōu)？A.SM2withSM3簽名B.SM9簽名C.HMACSM3D.RSAPSSwithSHA256答案：A解析：SM2withSM3為國(guó)密標(biāo)準(zhǔn)簽名方案，性能優(yōu)于RSA，三級(jí)推薦。22.三級(jí)系統(tǒng)需做“漏洞掃描”，以下哪項(xiàng)屬于“高風(fēng)險(xiǎn)”漏洞？A.OpenSSLCVE20213449空指針解引用DoSB.ApacheLog4j2.14.1JNDI注入C.Nginx1.20.0目錄穿越D.Redis6.2.5未授權(quán)訪問(wèn)答案：B解析：Log4jJNDI注入可遠(yuǎn)程執(zhí)行代碼，CVSS10.0，屬極高風(fēng)險(xiǎn)。23.三級(jí)系統(tǒng)需做“移動(dòng)APP安全檢測(cè)”，以下哪項(xiàng)屬于“運(yùn)行期”動(dòng)態(tài)測(cè)試？A.證書(shū)固定繞過(guò)B.SO符號(hào)剝離C.Manifest最小權(quán)限D(zhuǎn).硬編碼密鑰答案：A解析：證書(shū)固定需在運(yùn)行時(shí)Hook驗(yàn)證邏輯，屬動(dòng)態(tài)測(cè)試，其余為靜態(tài)。24.三級(jí)系統(tǒng)需做“無(wú)線安全”，以下哪項(xiàng)為“WPA3Enterprise”強(qiáng)制要求？A.PMF管理幀保護(hù)B.SAE認(rèn)證C.192位加密套件D.OCSPStapling答案：A解析：WPA3Enterprise強(qiáng)制啟用PMF，防止Deauth攻擊，SAE為個(gè)人模式。25.三級(jí)系統(tǒng)需做“災(zāi)備演練”，以下哪項(xiàng)指標(biāo)直接反映“業(yè)務(wù)連續(xù)性”？A.RTOB.RPOC.NPOD.MTO答案：A解析：RTO為恢復(fù)時(shí)間目標(biāo)，直接衡量業(yè)務(wù)中斷時(shí)長(zhǎng)。26.三級(jí)系統(tǒng)需做“源代碼審計(jì)”，以下哪項(xiàng)為“注入”類缺陷？A.strcpy(dst,src)B.system(cmd)C.inta[10];a[10]=0;D.free(p);free(p);答案：B解析：system(cmd)直接執(zhí)行拼接命令，存在命令注入風(fēng)險(xiǎn)。27.三級(jí)系統(tǒng)需做“API安全”，以下哪項(xiàng)為“RESTful接口”認(rèn)證最佳實(shí)踐？A.APIKey+HTTPSB.JWT+JWEC.OAuth2.0+PKCED.HMACSHA1答案：C解析：OAuth2.0+PKCE防止授權(quán)碼攔截，三級(jí)推薦。28.三級(jí)系統(tǒng)需做“云安全”，以下哪項(xiàng)為“CISBenchmark”針對(duì)AWS核心建議？A.關(guān)閉CloudTrailB.啟用S3公共讀寫(xiě)C.啟用MFADeleteonS3D.使用IAMAccessKey長(zhǎng)期有效答案：C解析：MFADelete防止誤刪，CIS要求啟用。29.三級(jí)系統(tǒng)需做“物聯(lián)網(wǎng)安全”，以下哪項(xiàng)為“CoAP協(xié)議”安全擴(kuò)展？A.DTLSB.TLS1.3C.IPSecD.SSH答案：A解析：CoAP基于UDP，采用DTLS提供安全通道。30.三級(jí)系統(tǒng)需做“人工智能安全”，以下哪項(xiàng)為“對(duì)抗樣本”防御技術(shù)？A.DropoutB.梯度掩碼C.對(duì)抗訓(xùn)練D.L2正則化答案：C解析：對(duì)抗訓(xùn)練在訓(xùn)練集加入擾動(dòng)樣本，提升魯棒性，直接針對(duì)對(duì)抗樣本。二、多項(xiàng)選擇題（每題2分，共20分。每題有兩個(gè)或兩個(gè)以上正確答案，多選、少選、錯(cuò)選均不得分）31.以下哪些屬于三級(jí)系統(tǒng)“安全區(qū)域邊界”必須部署的組件？A.下一代防火墻B.入侵防御系統(tǒng)IPSC.防病毒網(wǎng)關(guān)D.網(wǎng)閘答案：A、B解析：三級(jí)強(qiáng)制要求“入侵防范”與“惡意代碼防護(hù)”，IPS與NGFW即可覆蓋，網(wǎng)閘僅跨網(wǎng)需，防病毒網(wǎng)關(guān)可集成于NGFW。32.三級(jí)系統(tǒng)“數(shù)據(jù)脫敏”需滿足哪些要求？A.不可逆B.一致性C.可逆D.可重復(fù)答案：A、B、D解析：脫敏需不可逆、跨庫(kù)一致性、相同輸入重復(fù)脫敏結(jié)果一致，可逆為加密需求。33.以下哪些日志需保存6個(gè)月以上？A.系統(tǒng)登錄日志B.數(shù)據(jù)庫(kù)查詢?nèi)罩綜.堡壘機(jī)操作錄像D.網(wǎng)絡(luò)流量原始包答案：A、B、C解析：三級(jí)要求“重要日志保存6個(gè)月”，流量原始包非強(qiáng)制，全流量留存成本高。34.三級(jí)系統(tǒng)“商用密碼產(chǎn)品”需具備哪些證書(shū)？A.商用密碼產(chǎn)品認(rèn)證證書(shū)B(niǎo).計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證C.節(jié)能認(rèn)證D.型號(hào)證書(shū)答案：A、B、D解析：密碼產(chǎn)品需同時(shí)有商密認(rèn)證、公安銷售許可、型號(hào)證書(shū)，節(jié)能非安全項(xiàng)。35.以下哪些屬于“安全運(yùn)維”中的“變更管理”必須環(huán)節(jié)？A.變更申請(qǐng)B.變更測(cè)試C.變更回退方案D.變更公告答案：A、B、C解析：三級(jí)要求變更申請(qǐng)、測(cè)試、回退，公告非強(qiáng)制。36.三級(jí)系統(tǒng)“終端安全”需滿足哪些？A.補(bǔ)丁管理B.白名單殺毒C.磁盤(pán)加密D.外設(shè)管控答案：A、B、D解析：磁盤(pán)加密僅含敏感數(shù)據(jù)終端需，非全部。37.以下哪些屬于“云服務(wù)商”三級(jí)合規(guī)必須提供的材料？A.等保三級(jí)測(cè)評(píng)報(bào)告B.云服務(wù)等級(jí)保護(hù)合規(guī)性證明C.云服務(wù)商安全責(zé)任書(shū)D.云服務(wù)商財(cái)務(wù)報(bào)表答案：A、B、C解析：財(cái)務(wù)報(bào)表與合規(guī)無(wú)關(guān)。38.三級(jí)系統(tǒng)“安全審計(jì)”需覆蓋哪些協(xié)議？A.HTTPB.SSHC.RDPD.ICMP答案：A、B、C解析：審計(jì)面向應(yīng)用與遠(yuǎn)程維護(hù)協(xié)議，ICMP無(wú)會(huì)話內(nèi)容。39.以下哪些屬于“數(shù)據(jù)出境”安全評(píng)估需提交材料？A.數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告B.接收方所在國(guó)法律環(huán)境分析C.數(shù)據(jù)出境合同D.數(shù)據(jù)出境鏈路加密說(shuō)明答案：A、B、C、D解析：四項(xiàng)均為《數(shù)據(jù)出境安全評(píng)估辦法》要求。40.三級(jí)系統(tǒng)“應(yīng)急演練”需包含哪些階段？A.準(zhǔn)備B.實(shí)施C.總結(jié)D.復(fù)盤(pán)答案：A、B、C解析：復(fù)盤(pán)可并入總結(jié)，標(biāo)準(zhǔn)三階段。三、判斷題（每題1分，共10分。正確打“√”，錯(cuò)誤打“×”）41.三級(jí)系統(tǒng)可采用SNMPv2c進(jìn)行網(wǎng)絡(luò)設(shè)備監(jiān)控。答案：×解析：SNMPv2c無(wú)加密，三級(jí)要求“網(wǎng)絡(luò)管理流量保密”，需采用SNMPv3。42.三級(jí)系統(tǒng)密碼機(jī)密鑰可在虛擬機(jī)內(nèi)生成后導(dǎo)入。答案：×解析：三級(jí)要求“密鑰必須在硬件密碼機(jī)內(nèi)部生成”，禁止外部導(dǎo)入明文密鑰。43.三級(jí)系統(tǒng)需對(duì)“開(kāi)發(fā)測(cè)試環(huán)境”與“生產(chǎn)環(huán)境”邏輯隔離即可。答案：×解析：需“物理隔離或強(qiáng)邏輯隔離”，僅邏輯隔離不滿足高風(fēng)險(xiǎn)業(yè)務(wù)。44.三級(jí)系統(tǒng)可采用NTP公網(wǎng)池同步時(shí)間。答案：×解析：需“可信時(shí)間源”，公網(wǎng)池不可信，需自建GPS或北斗時(shí)鐘。45.三級(jí)系統(tǒng)需對(duì)“退役硬盤(pán)”做消磁處理。答案：√解析：三級(jí)要求“不可恢復(fù)”，消磁或物理粉碎均可。46.三級(jí)系統(tǒng)可采用自簽名SSL證書(shū)對(duì)內(nèi)業(yè)務(wù)。答案：√解析：內(nèi)部業(yè)務(wù)可不采購(gòu)CA證書(shū)，但需自建CA并做證書(shū)管理。47.三級(jí)系統(tǒng)需對(duì)“業(yè)務(wù)高峰流量”做Qos限制。答案：×解析：Qos非安全要求，屬性能。48.三級(jí)系統(tǒng)需對(duì)“第三方組件”做許可證合規(guī)審計(jì)。答案：√解析：開(kāi)源許可證沖突可能引入法律風(fēng)險(xiǎn)，屬供應(yīng)鏈安全。49.三級(jí)系統(tǒng)可采用WindowsXP嵌入式版作為瘦客戶機(jī)。答案：×解析：XP已停止支持，存在已知漏洞，三級(jí)禁止。50.三級(jí)系統(tǒng)需對(duì)“安全測(cè)試報(bào)告”加蓋電子簽章。答案：√解析：報(bào)告需防篡改，電子簽章滿足。四、簡(jiǎn)答題（每題10分，共30分）51.簡(jiǎn)述三級(jí)系統(tǒng)“安全通信網(wǎng)絡(luò)”中“可信驗(yàn)證”實(shí)現(xiàn)原理，并給出一種硬件方案。答案：可信驗(yàn)證基于可信計(jì)算，通過(guò)TPCM/TPM芯片在設(shè)備啟動(dòng)時(shí)度量BIOS→Bootloader→OS→應(yīng)用，形成信任鏈，將度量值與預(yù)期值對(duì)比，不一致則拒絕接入網(wǎng)絡(luò)。硬件方案：在防火墻或SDWANCPE內(nèi)置TPCM芯片，啟動(dòng)時(shí)生成度量報(bào)告，通過(guò)GM/T0012標(biāo)準(zhǔn)接口上傳至集中管控平臺(tái)，平臺(tái)驗(yàn)證簽名后下發(fā)網(wǎng)絡(luò)準(zhǔn)入策略，實(shí)現(xiàn)“不可信，不聯(lián)網(wǎng)”。52.三級(jí)系統(tǒng)需對(duì)“數(shù)據(jù)分類分級(jí)”結(jié)果落地，請(qǐng)給出實(shí)施流程與輸出物。答案：流程：①資產(chǎn)梳理→②敏感數(shù)據(jù)識(shí)別（正則+機(jī)器學(xué)習(xí)）→③業(yè)務(wù)影響評(píng)估→④分級(jí)打標(biāo)（核心/重要/一般）→⑤策略映射（加密/脫敏/訪問(wèn)控制）→⑥平臺(tái)固化（數(shù)據(jù)安全中心）→⑦持續(xù)監(jiān)督。輸出物：《數(shù)據(jù)分類分級(jí)清單》《敏感數(shù)據(jù)分布圖》《數(shù)據(jù)安全策略矩陣》《數(shù)據(jù)分級(jí)保護(hù)制度》《數(shù)據(jù)安全責(zé)任人清單》。53.三級(jí)系統(tǒng)“攻防演練”中，紅隊(duì)成功獲取域控但未被發(fā)現(xiàn)，請(qǐng)從藍(lán)隊(duì)角度給出改進(jìn)方案。答案：①檢測(cè)：部署AD蜜罐賬戶（如administrator偽裝），任何綁定均觸發(fā)告警；②日志：開(kāi)啟AD審計(jì)“DSAccess→DirectoryServiceChanges”，記錄5141事件；③分析：使用UEBA基線學(xué)習(xí)，發(fā)現(xiàn)異常KerberosTG