三级信息安全试题及答案

三级信息安全试题及答案一、单项选择题（每题2分，共20分。每题只有一个正确答案，错选、多选均不得分）1.在GB/T222392019《信息安全技术网络安全等级保护基本要求》中，第三级安全要求首次明确提出的“安全区域边界”概念，其核心目标是：A.实现网络设备冗余B.实现不同安全等级网络的物理隔离C.实现横向流量访问控制与纵向流量可信验证D.实现全网零信任架构答案：C解析：第三级“安全区域边界”强调横向（东西向）与纵向（南北向）流量的精细化控制，通过可信验证机制降低横向移动风险，而非简单物理隔离或零信任口号。2.某三级系统采用国密SM4CBC模式对数据库字段加密，运维人员发现同一明文字段在两次加密后密文不同，最可能的原因是：A.SM4算法本身存在随机性B.每次加密使用了不同的初始向量IVC.数据库触发器引入了时间戳D.加密机硬件噪声干扰答案：B解析：CBC模式要求每次加密使用随机IV，IV与密钥共同决定密文，IV不同则密文不同，这是防止重放攻击的设计，并非算法或硬件问题。3.在三级系统灾备方案中，RPO=15分钟、RTO=30分钟，以下技术组合最能满足要求且成本可控：A.存储级同步复制+双活集群B.数据库异步日志传输+应用层热备C.虚拟机快照+人工脚本切换D.磁带备份+异地人工运输答案：B解析：异步日志传输可在分钟级内实现数据差异（RPO≈15min），热备节点30分钟内拉起业务（RTO≈30min），成本低于双活，远高于磁带。4.三级系统开展渗透测试时，以下哪项行为最违反《网络安全法》第27条：A.利用未公开漏洞获取系统权限后制作报告B.在客户授权范围内对生产环境进行弱口令扫描C.测试结束后删除所有测试数据D.将漏洞细节仅提交给CNNVD答案：A解析：未公开漏洞利用即使授权也可能造成不可控风险，属于“侵入他人网络”的禁止行为；其余选项均在合法测试流程内。5.三级系统访问控制策略采用ABAC模型，主体属性中“当前风险评分”动态变化由以下哪项组件实时计算：A.身份管理IdMB.权限管理系统PMSC.安全运营中心SOCD.风险分析引擎RAE答案：D解析：RAE负责实时汇聚多源日志、威胁情报，计算主体/客体风险评分，供ABAC策略决策；SOC仅展示告警，不直接输出属性。6.三级系统密码应用方案需通过密评，以下哪项指标在“物理和环境安全”层面属于四级指标但三级系统可自愿采纳：A.门禁日志签名验证B.视频监控数据完整性C.密码产品合规性D.电子门禁系统身份鉴别答案：A解析：四级要求“门禁记录签名验证”防篡改，三级未强制；其余指标三级已要求。7.在Linux三级主机加固中，若需阻止普通用户通过“sudok”清除时间戳从而强制重新输入密码，应配置：A.Defaultstimestamp_timeout=0B.Defaults!tty_ticketsC.Defaultstimestamp_timeout=1D.Defaultsrequiretty答案：A解析：timestamp_timeout=0表示每次sudo都需密码，无法通过sudok清除；负值表示永不过期，反而降低安全。8.三级系统采用TLS1.3通信，若证书私钥采用SM2算法，则握手过程中用于密钥交换的算法套件应为：A.TLS_SM4_GCM_SM3B.TLS_SM2DHE_SM4_GCM_SM3C.TLS_ECDHE_SM4_GCM_SM3D.TLS_SM2_KEYX_SM4_GCM_SM3答案：B解析：国密TLS1.3草案中，SM2DHE表示SM2算法用于EphemeralDiffieHellman密钥交换，后续使用SM4GCM加密、SM3哈希。9.三级系统上线前需进行源代码审计，以下哪种缺陷最可能被定为“高”风险：A.日志中记录用户密码哈希B.使用strcpy复制不可信输入C.未对上传文件进行大小限制D.异常信息泄露绝对路径答案：B解析：strcpy可导致缓冲区溢出，直接获取系统权限，属“高”风险；其余为“中”或“低”。10.三级系统需满足“剩余信息保护”要求，Windows服务器在删除文件后，以下哪项操作最能消除物理层剩余信息：A.清空回收站B.使用cipher/wC.执行format/qD.关闭NTFS压缩答案：B解析：cipher/w用0x00、0xFF、随机数三次覆盖已删除文件簇，符合三级清除要求；快速格式化仅重置元数据。二、多项选择题（每题3分，共15分。每题有两个或以上正确答案，多选、漏选、错选均不得分）11.三级系统开展商用密码应用安全性评估时，以下哪些文件必须提交至国家密码管理局备案：A.密码应用方案B.密码产品合格证书C.密评机构出具的评估报告D.密码管理制度答案：A、C解析：依据《商用密码应用安全性评估管理办法（试行）》，方案与评估报告需备案；产品证书由厂商持有，制度由运营者留存。12.三级系统边界防火墙开启IPS功能后，可能带来的负面影响包括：A.增加网络延迟B.误阻断合法流量C.暴露防火墙自身漏洞D.降低链路带宽利用率答案：A、B、C解析：IPS深度检测引入延迟与误报；开启新服务扩大攻击面；带宽利用率通常不变，D不选。13.三级系统采用Kubernetes编排，以下哪些配置能满足“镜像完整性”要求：A.启用AdmissionController验证镜像签名B.使用Harbor内容信任（Notary）C.在CI阶段对镜像进行病毒扫描D.将镜像摘要写入Deployment注解答案：A、B解析：签名与Notary提供密码学完整性；病毒扫描属恶意代码检测；摘要注解可被篡改，不具完整性。14.三级系统数据库审计设备需满足的关键功能包括：A.双向审计（请求+返回）B.参数化语句变量还原C.阻断高危SQLD.审计日志防篡改答案：A、B、D解析：三级要求双向审计、变量还原、日志签名；实时阻断属四级增强要求，三级未强制。15.三级系统发生数据泄露事件后，根据《个人信息保护法》应履行的义务有：A.72小时内向省级以上监管部门报告B.通知可能受影响个人C.记录事件处置日志D.立即断开网络防止扩散答案：A、B、C解析：断开网络并非法律义务，且可能破坏现场；其余均为明确义务。三、判断题（每题1分，共10分。正确打“√”，错误打“×”）16.三级系统可采用自签名证书实现内部管理通道的TLS加密，无需购买CA证书。答案：√解析：内部通道若通过证书指纹或私有CA实现可信验证，即满足三级“通信完整性”要求，无需公开CA。17.三级系统主机恶意代码防护要求“全网统一管控”，因此禁止终端安装不同品牌杀毒软件。答案：×解析：标准仅要求统一管控策略（升级、日志汇总），并未禁止多品牌，但需确保兼容。18.在三级系统云计算扩展要求中，虚拟机迁移时必须保证镜像加密密钥同步迁移。答案：√解析：防止密钥与镜像分离导致数据无法解密，符合“剩余信息保护”在云环境的扩展。19.三级系统采用SM2withSM3签名算法，其签名值长度为64字节。答案：×解析：SM2签名结果为(r,s)各32字节，共64字节，但需加上DER编码头，实际长度70~72字节。20.三级系统网络边界必须部署“抗APT”产品，否则无法通过等级保护测评。答案：×解析：三级无“抗APT”强制产品要求，仅要求检测高级威胁能力，可通过日志分析、沙箱等多种方式实现。21.三级系统若使用开源组件，必须在上线前完成源代码安全审查并留存审查报告。答案：√解析：开源组件同样纳入“供应链管理”，需审查已知CVE与自定义代码，报告需存档备查。22.三级系统数据库账户口令最长使用期限为90天，但可配置“免口令”的本地信任连接。答案：×解析：三级要求“身份鉴别”，禁止免口令；信任连接违反强制鉴别要求。23.三级系统可采用KMS集中管理密钥，但加密机必须为国密型号，且通过FIPS1402认证。答案：×解析：国内三级系统只需国密型号，通过国密局检测；FIPS为美国标准，非强制。24.三级系统必须每年至少开展一次应急演练，且需覆盖数据泄露场景。答案：√解析：《网络安全法》与等保2.0均要求年度演练，数据泄露属重要场景。25.三级系统日志留存时间不少于6个月，且需进行异地备份。答案：√解析：等保2.0明确要求6个月留存，且“重要日志”需异地备份，防止单点故障。四、填空题（每空2分，共20分）26.三级系统安全区域边界应实现对________、________、________三种典型流量的访问控制。答案：南北向用户访问流量、东西向业务互访流量、运维管理流量解析：三级边界需细分用户、业务、运维三类流量，分别设置最小权限策略。27.国密SM2算法密钥长度为________位，其安全强度相当于RSA________位。答案：256、3072解析：SM2基于椭圆曲线，256位等价于RSA3072位强度。28.三级系统采用双因子认证时，常见的“所知”因子可以是________，“所有”因子可以是________。答案：静态口令、国密USBKey或动态令牌解析：符合《GB/T366512018信息安全技术双因子鉴别指南》。29.在Linux系统中，使用________命令可查看当前内核加载的SELinux策略模块。答案：semodulel解析：列出所有已加载模块名称及版本。30.三级系统数据库审计日志应至少包含________、________、________三个字段，以满足溯源要求。答案：主体标识、操作时间、操作结果解析：缺失任一字段将无法关联用户行为与时间线。31.若三级系统采用IPv6，ICMPv6类型________用于邻居发现，需放通；类型________用于重定向，应禁止。答案：135、137解析：135（邻居请求）必要，137（重定向）可被滥用。32.三级系统密码应用方案中，密钥分层管理通常分为________层、________层、________层。答案：主密钥、密钥加密密钥、工作密钥解析：符合国密三级密钥体系。33.在Windows三级主机中，可通过设置注册表项________为1，强制使用NTLMv2并拒绝LM响应。答案：LmCompatibilityLevel解析：值为5时仅发送NTLMv2，提升抗破解能力。34.三级系统云环境扩展要求，虚拟机迁移应采用________技术，确保内存数据不落地。答案：加密热迁移（或TLS隧道迁移）解析：防止内存镜像被截获。35.三级系统开展渗透测试时，测试方需具备________资质，并在测试前向________报备。答案：网络安全等级保护测评机构、属地公安机关解析：依据《网络安全等级保护测评机构管理办法》。五、简答题（每题10分，共20分）36.某三级系统采用微服务架构，服务间通信采用gRPC+TLS1.3，证书有效期1年。运维人员发现某服务证书将在7天后过期，但重启服务会导致业务中断。请给出一种零中断更换证书的方案，并说明关键步骤及风险控制点。答案与解析：方案：采用“双证书热轮换”机制，利用TLS1.3的证书消息扩展（CertificateMessage）实现无中断切换。关键步骤：1.提前申请新证书，保持旧证书仍在有效期；2.将新证书与私钥注入服务所在节点的KubernetesSecret，版本号递增；3.服务启动时同时加载旧证书（默认）与新证书（备用），并监听SIGHUP信号；4.通过CI/CD向服务发送SIGHUP，触发gRPC框架调用SSL_CTX_use_certificate_chain_file()重新加载证书，无需重启进程；5.利用gRPC的“连接优雅关闭”机制：服务端发送GOAWAY帧，客户端收到后在新连接上使用新证书，旧连接自然消亡；6.监控新旧证书流量比例，确认100%流量切换到新证书后，删除旧证书。风险控制：a.回滚：若新证书加载失败，框架自动回退旧证书；b.灰度：先对10%节点操作，观察错误率；c.有效期校验：确保证书链完整，OCSPStapling正常；d.私钥权限：新私钥文件权限400，属主root，防止泄露。37.三级系统需建立“数据分类分级”制度，请说明如何对一份包含姓名、身份证、手机号、订单金额的电商订单数据进行分级，并给出每级数据的加密、脱敏、备份策略。答案与解析：分级结果：1级（核心）：身份证、手机号；2级（重要）：订单金额；3级（一般）：姓名。策略：加密：1级：使用国密SM4GCM，字段级加密，密钥托管于硬件加密机，实行列级加密；2级：SM4CBC，密钥与1级隔离，但可存储于KMS；3级：可明文，但需传输加密（TLS）。脱敏：1级：前端展示身份证保留前1后1，中间；手机号中间4位；2级：订单金额>1万元展示“”；3级：姓名脱敏为“张”。备份：1级：实时异步复制到异地加密仓库，RPO=5min，保留5年；2级：每日增量备份，RPO=1h，保留3年；3级：每周全量，RPO=1d，保留1年。所有备份数据采用SM4加密，密钥与生产隔离，备份介质出库需双人双锁。六、综合应用题（15分）38.背景：某省政务云平台承载三级系统，租户A的OA系统于2024031509:10被发现异常外联C2服务器（IP8）。SOC告警显示，该IP首次出现，且通信流量采用HTTPS，证书颁发者为“Let’sEncrypt”。租户A称未申请过该域名证书。日志摘录：防火墙：允许443出站，目的IP8，字节数1.2GB；主机：/tmp/.x86_64文件创建，md5=aef23c1b，属主wwwdata；Web访问日志：09:00出现POST/wpadmin/adminajax.php，UserAgent“WordPress/6.0”；数据库：09:05出现SELECTFROMwp_users，返回598行。问题：（1）给出事件定性及依据；（3分）（2）给出攻击路径还原；（4分）（3）给出遏制、根除、恢复、复盘四阶段具体措施；（8分）答案与解析：（1）定性：针对三级系统的“数据泄露”与“恶意代码感染”安全事件，已造成598条用户信息泄露，符合《国家网络安全事件应急预案》较大事件标准。依据：a.数据泄露量>500条；b.外联C2属恶意通信；c.主机出现未知进程文件。（2）攻击路径：a.攻击者利用WordPress6.0某0day或弱口令进入wpadmin；b.通过adminajax.php上传webshell至/tmp/.x86_64，属主wwwdata；c.执行反向