2025年网络信息安全等级测评试题及答案

2025年网络信息安全等级测评试题及答案一、单项选择题（每题2分，共30分）1.根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），第三级信息系统的物理访问控制应实现（）A.由授权人员登记后进入B.采用电子门禁系统，仅允许授权人员进入C.由值班人员口头确认身份后进入D.允许运维人员直接进入答案：B2.以下不属于物联网终端设备安全测评要点的是（）A.固件完整性校验机制B.设备默认密码复杂度C.设备与平台间通信加密强度D.设备存储容量答案：D3.云计算环境中，针对基础设施即服务（IaaS）层的安全测评，需重点验证（）A.租户虚拟网络的逻辑隔离措施B.云服务器操作系统补丁更新频率C.云数据库的备份策略D.云平台管理员的安全培训记录答案：A4.某单位网站采用HTTP协议传输用户登录信息，该行为违反了（）要求A.数据完整性B.数据保密性C.抗抵赖性D.可用性答案：B5.关于移动应用安全测评，以下说法错误的是（）A.需检测应用是否存在敏感信息硬编码B.需验证应用权限申请的最小化原则C.只需测试Android版本，iOS版本因封闭性无需检测D.需分析应用与后台服务器的通信协议安全性答案：C6.第二级信息系统的主机安全要求中，应（）对主机的安全配置进行核查A.每季度B.每月C.每周D.每天答案：A7.工业控制系统（ICS）的安全测评中，需重点关注（）A.操作站与控制站的网络隔离措施B.办公网与生产网的病毒库同步频率C.工程师站的桌面美观度D.控制系统软件的广告弹窗数量答案：A8.以下不属于安全管理制度测评内容的是（）A.制度发布流程是否经过审核B.制度内容是否覆盖所有安全层面C.制度是否采用PDF格式存储D.制度是否定期修订答案：C9.应用系统的身份鉴别功能测评中，需验证（）A.鉴别信息在传输过程中是否加密B.系统是否允许同一用户多地同时登录C.系统登录界面的颜色搭配是否合理D.鉴别失败后是否永久锁定账户答案：A10.数据安全要求中，第三级系统的重要数据在传输时应采用（）A.对称加密算法（如AES-128）B.非对称加密算法（如RSA-1024）C.哈希算法（如SHA-1）D.明文传输答案：A11.关于安全管理机构测评，以下正确的是（）A.只需设置一个安全管理岗位，无需明确职责分工B.应建立安全管理领导小组，由单位主要负责人担任组长C.安全管理机构的会议记录可随意丢弃D.安全管理机构无需与外部机构（如公安网安）建立沟通机制答案：B12.主机安全中的恶意代码防范要求，第三级系统应（）A.安装单机版杀毒软件，手动更新病毒库B.部署集中式恶意代码防护系统，自动更新病毒库C.仅依赖操作系统自带的防火墙D.不安装任何恶意代码防护软件答案：B13.网络安全中的入侵防范要求，第二级系统应（）A.部署入侵检测系统（IDS），并对攻击行为进行记录B.部署入侵防御系统（IPS），并自动阻断攻击C.仅使用防火墙的基本包过滤功能D.不部署任何入侵防范设备答案：A14.系统运维管理中，第三级系统的日志保存时间应不少于（）A.30天B.6个月C.1年D.3年答案：B15.关于AI模型安全测评，需重点验证（）A.模型训练数据的隐私保护措施B.模型输出结果的美观度C.模型开发人员的编程风格D.模型运行时的耗电量答案：A二、多项选择题（每题3分，共30分，少选、错选均不得分）1.物理安全测评的内容包括（）A.机房防火设施有效性B.通信线路防盗窃措施C.设备接地电阻值D.机房温湿度监控记录答案：ABCD2.网络安全层面的访问控制要求包括（）A.划分不同安全域并设置边界防护设备B.依据最小权限原则配置访问控制规则C.定期审核访问控制策略的有效性D.允许所有IP地址访问核心业务系统答案：ABC3.主机安全中的身份鉴别要求包括（）A.鉴别信息长度不少于8位，包含数字、字母和特殊符号B.鉴别失败后锁定账户，锁定时间可配置C.允许使用弱口令（如“123456”）D.支持两种及以上组合的鉴别方式（如用户名+密码+动态令牌）答案：ABD4.应用安全的安全审计要求包括（）A.审计记录包含事件类型、时间、主体、客体、结果等要素B.审计日志存储在应用服务器本地，无需备份C.审计日志具备防篡改措施（如哈希校验）D.审计功能可根据需求开启或关闭答案：AC5.数据安全中的数据备份与恢复要求包括（）A.重要数据每日增量备份，每周全量备份B.备份数据存储在本地同一机房C.每季度进行恢复测试，验证恢复有效性D.备份介质离线存储，防止破坏答案：ACD6.安全管理制度测评需检查（）A.制度是否覆盖物理、网络、主机、应用、数据等所有层面B.制度发布前是否经过审批，发布后是否培训相关人员C.制度是否明确责任部门和执行流程D.制度是否使用最新版本，旧版本是否归档答案：ABCD7.安全管理机构测评需验证（）A.是否设立安全管理岗位，明确职责分工B.是否定期召开安全工作会议并形成记录C.是否与外部机构（如应急响应中心）建立协作机制D.安全管理人员是否具备相应的安全技能答案：ABCD8.人员安全管理要求包括（）A.新员工上岗前需进行安全培训并考核B.关键岗位人员需签订安全保密协议C.离职人员的系统账号应在离职后1个月内注销D.定期对人员安全意识进行抽查答案：ABD9.系统建设管理中的安全采购要求包括（）A.采购的安全产品需通过国家相关部门的检测认证B.采购合同中明确安全责任条款C.优先选择价格最低的供应商，无需考虑安全能力D.对供应商的安全资质进行审查答案：ABD10.系统运维管理中的漏洞管理要求包括（）A.定期进行漏洞扫描，形成漏洞报告B.高危漏洞需在72小时内修复C.中危漏洞可长期保留，无需处理D.修复后需验证漏洞是否彻底消除答案：ABD三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.第一级信息系统无需开展网络安全等级测评。（）答案：×（注：第一级系统需自主保护，虽测评要求较低，但仍需开展测评）2.云计算环境中，平台即服务（PaaS）层的安全责任由云服务提供商和租户共同承担。（）答案：√3.物联网设备的默认密码可以保留，无需修改。（）答案：×4.应用系统的会话超时时间应设置为30分钟以上，以提升用户体验。（）答案：×（注：应根据安全需求设置合理超时时间，过长会增加会话劫持风险）5.重要数据的销毁只需删除文件系统中的记录，无需进行物理擦除。（）答案：×6.安全管理制度只需由技术部门制定，无需业务部门参与。（）答案：×7.主机的安全配置核查应覆盖操作系统、数据库、中间件等所有组件。（）答案：√8.网络安全中的流量监控只需关注出口流量，无需监控内部流量。（）答案：×9.人员安全培训只需在入职时开展一次，后续无需重复。（）答案：×10.工业控制系统的安全测评可完全参照传统信息系统的测评方法。（）答案：×（注：需考虑工业控制系统的实时性、可靠性要求，避免测评操作影响生产）四、简答题（每题5分，共20分）1.简述第三级信息系统在物理安全层面的“防盗窃和防破坏”要求。答案：第三级系统的防盗窃和防破坏要求包括：①主机房、通信机房等重要区域应设置电子门禁系统，仅允许授权人员进入；②重要设备应固定在不易移动的位置（如机柜加固）；③通信线路应采取防盗窃措施（如穿管保护、路由隐蔽）；④机房应安装视频监控系统，监控资料保存时间不少于30天；⑤重要区域应设置入侵报警系统，与监控系统联动。2.请说明云环境下“责任边界划分”的测评要点。答案：云环境下责任边界划分的测评要点包括：①明确云服务类型（IaaS/PaaS/SaaS）对应的安全责任主体；②验证云服务商提供的安全能力（如虚拟网络隔离、漏洞扫描）；③检查租户自身需承担的安全责任（如虚拟机操作系统加固、应用漏洞修复）；④核查双方签订的服务协议中是否明确安全责任条款；⑤确认安全事件发生时的响应流程和责任归属。3.应用系统的“身份鉴别”功能需满足哪些安全要求？答案：应用系统的身份鉴别功能需满足：①鉴别信息复杂度要求（长度≥8位，包含多字符类型）；②支持两种及以上组合鉴别方式（如用户名+密码+动态令牌）；③鉴别信息在传输和存储过程中加密（如传输用TLS，存储用哈希加盐）；④鉴别失败锁定机制（如连续5次失败锁定30分钟）；⑤防止重放攻击（如使用一次性口令或会话令牌）。4.简述安全运维管理中“日志管理”的具体要求。答案：安全运维管理中的日志管理要求包括：①日志内容完整性（包含事件时间、主体、客体、操作类型、结果等）；②日志存储安全性（采用独立日志服务器，避免本地存储；日志文件具备防篡改措施）；③日志保留时间（第三级系统≥6个月，第二级≥3个月）；④日志分析机制（定期分析日志，发现异常行为）；⑤日志访问控制（仅授权人员可查看和修改日志）。五、案例分析题（共10分）背景：某市级医院（三级等保系统）的HIS（医院信息系统）近期发生患者病历数据泄露事件。经初步调查，攻击者通过弱口令登录护士站终端，获取操作系统权限后，窃取了存储在数据库中的患者信息。测评机构需对该医院信息系统进行安全整改测评。问题：（1）分析该事件暴露出的安全漏洞（至少4点）；（2）提出针对性的整改措施（至少4条）。答案：（1）暴露的安全漏洞：①终端设备身份鉴别薄弱：护士站终端使用弱口令（如简单密码或默认密码），未满足复杂度要求；②主机安全配置缺失：终端操作系统未启用账户锁定机制，允许暴力破解；③访问控制策略不合理：终端设备未限制对数据库的直接访问权限，导致普通终端可直接连接核心数据库；④数据加密措施不足：患者病历数据在数据库中未加密存储，被窃取后可直接读取；⑤日志审计缺失：终端登录日志和数据库访问日志未完整记录，无法及时发现异常操作；⑥人员安全意识不足：护士未定期修改密码，对弱口令风险缺乏认知。（2）整改措施：①强化身份鉴别：终端和系统账户要求密码长度≥12位，包含数字、字母、特殊符号，每30天强制修改；②实施访问控制：在数据库前端部署应用网关，仅允许授权终端通过特定端口访问，限