三级信息安全技术试题及答案

三级信息安全技术试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选、不选均不得分）1.在GB/T222392019《信息安全技术网络安全等级保护基本要求》中，第三级安全要求的“安全通信网络”控制点中，以下哪项是新增于第二级之上的强制项？A.通信传输完整性校验B.通信传输保密性保护C.可信验证D.边界访问控制答案：C解析：第三级首次引入“可信验证”作为强制要求，强调对通信设备固件与系统启动过程的可信度量，第二级仅要求完整性与保密性。2.某三级系统采用IPSecVPN与分支机构互联，管理员发现IKEv1主模式协商频繁失败，最可能触发三级合规性审计不合格的原因是：A.预共享密钥长度低于20字节B.使用了AES128CBC加密C.未启用DHGroup15以上D.未启用完善前向保密PFS答案：D解析：三级要求“具备完善前向保密能力”，IKEv1主模式若未配置PFS，一旦长期密钥泄露，历史流量可被解密，属于高风险。3.在Linux服务器三级加固中，下列哪条audit规则可覆盖“敏感文件删除”审计要求？A.w/etc/passwdpwakidentityB.w/usr/bin/rmpxkdeleteC.aalways,exitFarch=b64SunlinkSunlinkatSrmdirFauid>=1000Fauid!=1kdeleteD.w/var/log/audit/pwaklog答案：C解析：三级要求审计“用户级敏感操作”，需系统调用级监控unlink/unlinkat/rmdir，并限定真实用户（auid>=1000且不为1），C项完整覆盖。4.三级系统开展商用密码应用安全性评估时，以下哪种情况可直接判为“不符合”？A.采用SM4CBC但未定期做密钥轮换B.采用SM2签名但未做公钥证书校验C.采用SM3做完整性校验但输出截断为128bitD.采用SM1算法但未提供算法实现源码答案：C解析：SM3标准输出256bit，截断至128bit削弱碰撞强度，违反GM/T00052012对完整性算法输出长度的强制要求。5.三级系统云环境下，以下关于虚拟化平台“内存隔离”最佳实现是：A.依赖IntelVTd做IOMMU隔离B.启用EPT并定期扫描内存deduplicationC.关闭KSM并启用内存加密（AMDSEV）D.启用HugePages并绑定NUMA节点答案：C解析：三级要求“防止虚拟机内存交叉访问”，关闭KSM防止侧信道，SEV提供硬件级内存加密，符合虚拟化隔离要求。6.在三级系统数据备份策略中，RPO≤15分钟，以下方案组合最经济且合规的是：A.数据库每日全量+日志每15分钟复制B.存储级快照每10分钟+异地复制C.应用级双活+CDP连续复制D.虚拟机级备份每小时+增量每15分钟答案：B解析：存储快照+异地复制可在10分钟内完成，满足RPO≤15分钟，且成本低于双活，三级允许快照作为备份手段。7.三级系统上线前需完成“渗透测试”，以下哪项属于“限制条件”而非测试内容？A.禁止社工钓鱼B.禁止DDoS超过100MbpsC.禁止修改生产数据D.禁止在08:0018:00测试答案：D解析：时间窗口属于测试限制条件，其余为禁止行为，D项仅限制时段，不限制方法。8.三级系统访问控制模型采用RBAC+ABAC混合，以下场景必须启用ABAC的是：A.普通用户访问业务数据库B.运维人员临时提权至rootC.第三方接口在每日22:0024:00调用敏感APID.审计员查看日志答案：C解析：C项需动态属性（时间段+接口敏感度），RBAC静态角色无法满足，需ABAC动态策略。9.三级系统采用容器部署，关于镜像签名验证，以下正确的是：A.使用DockerContentTrust且根密钥离线存储B.使用Notaryv1且定期轮转timestamp密钥C.使用cosign签名并上传签名至镜像仓库的同一repoD.使用GPG签名Dockerfile即可答案：A解析：三级要求“对镜像来源进行可信验证”，DockerContentTrust基于Notary，根密钥离线存储符合密钥管理要求。10.三级系统需建立“供应链安全”管控，以下哪项为三级新增于第二级之上的要求？A.采购前对厂商进行背景调查B.签署保密协议C.对交付物进行完整性校验D.对开源组件进行SBOM清单管理答案：D解析：三级首次明确要求“建立软件物料清单（SBOM）”，实现开源组件可追溯，第二级仅要求完整性校验。11.在三级系统密码机部署中，以下哪项参数必须写入密码机固件且不可通过软件修改？A.密钥索引B.管理员证书C.设备密钥D.会话密钥答案：C解析：设备密钥（DeviceKey）用于密码机身份认证，必须在出厂时写入硬件并防篡改，符合GM/T00182012要求。12.三级系统开展“红蓝对抗”，以下哪项属于蓝队“溯源反制”阶段的关键指标？A.平均检测时间MTTDB.平均响应时间MTTRC.攻击者IP地理位置精度D.告警误报率答案：C解析：溯源反制需定位攻击者真实IP，地理位置精度直接影响后续执法，其余为检测响应指标。13.三级系统需满足“个人信息去标识化”，以下技术方案中，哪项符合GB/T379182019“重标识风险≤0.05”要求？A.姓名哈希SHA256B.姓名+身份证号做k匿名k=3C.姓名做掩码（保留首字）+生日偏移±30天D.姓名替换为UUID+身份证号AES加密答案：B解析：k匿名k=3使等价类大小≥3，重标识概率≤1/3≈0.33，需再叠加ldiversity或tcloseness，但题干仅k匿名已低于0.05阈值（当k≥20），选项中k=3最接近且可扩展，其余方案重标识风险更高。14.三级系统采用“零信任”架构，以下哪项是“动态访问控制引擎”的核心输入？A.用户静态角色B.设备补丁等级C.网络防火墙规则D.交换机MAC表答案：B解析：零信任依赖多维度属性，设备补丁等级反映终端安全状态，是动态授权的关键输入。15.三级系统数据库审计需记录“返回行数”，以下哪项配置可实现？A.MySQLgenerallogB.MySQLauditplugin+QUERY_RETURN_ROWS_ROWSC.MySQLbinlogrow模式D.MySQLslowlog答案：B解析：auditplugin的QUERY_RETURN_ROWS_ROWS事件可记录SELECT返回行数，满足三级“结果审计”要求。16.三级系统需建立“安全运营中心（SOC）”，以下哪项指标最能反映“检测有效性”？A.日均告警量B.告警闭环率C.真实告警占比D.平均响应时长答案：C解析：真实告警占比=TP/(TP+FP)，直接反映检测能力，其余为流程指标。17.三级系统需对“工业控制系统”做等保，以下哪项属于“白名单”防护最佳实践？A.基于IP五元组ACLB.基于Modbus功能码+寄存器范围C.基于DPI特征库D.基于流量大小阈值答案：B解析：工业协议白名单需细化到功能码与寄存器，防止非法指令，B项最细粒度。18.三级系统需做“密评”，以下哪项属于“物理环境”测评点？A.密码机是否双因子登录B.密码机是否具备门开报警C.密码机是否采用SM2证书D.密码机是否支持密钥归档答案：B解析：物理防护要求“机壳撬开检测”，门开报警为物理安全项，其余为功能与管理。19.三级系统需建立“数据安全分类分级”，以下哪项属于“核心数据”？A.用户登录日志B.企业年度财务报表C.国家地理信息矢量图D.员工通讯录答案：C解析：国家地理信息矢量图涉及国家安全，属“核心数据”分级，参考《数据安全法》。20.三级系统需做“攻防演练”，以下哪项属于“攻击方”评分维度？A.是否造成业务中断B.是否被发现C.是否获取域控D.是否报告完整答案：C解析：攻击方得分以“控制关键资产”为核心，获取域控代表控制AD，为高分项。21.三级系统需对“日志”做签名防篡改，以下哪项算法组合符合国密且性能最优？A.SM2withSM3签名B.SM9签名C.HMACSM3D.RSAPSSwithSHA256答案：A解析：SM2withSM3为国密标准签名方案，性能优于RSA，三级推荐。22.三级系统需做“漏洞扫描”，以下哪项属于“高风险”漏洞？A.OpenSSLCVE20213449空指针解引用DoSB.ApacheLog4j2.14.1JNDI注入C.Nginx1.20.0目录穿越D.Redis6.2.5未授权访问答案：B解析：Log4jJNDI注入可远程执行代码，CVSS10.0，属极高风险。23.三级系统需做“移动APP安全检测”，以下哪项属于“运行期”动态测试？A.证书固定绕过B.SO符号剥离C.Manifest最小权限D.硬编码密钥答案：A解析：证书固定需在运行时Hook验证逻辑，属动态测试，其余为静态。24.三级系统需做“无线安全”，以下哪项为“WPA3Enterprise”强制要求？A.PMF管理帧保护B.SAE认证C.192位加密套件D.OCSPStapling答案：A解析：WPA3Enterprise强制启用PMF，防止Deauth攻击，SAE为个人模式。25.三级系统需做“灾备演练”，以下哪项指标直接反映“业务连续性”？A.RTOB.RPOC.NPOD.MTO答案：A解析：RTO为恢复时间目标，直接衡量业务中断时长。26.三级系统需做“源代码审计”，以下哪项为“注入”类缺陷？A.strcpy(dst,src)B.system(cmd)C.inta[10];a[10]=0;D.free(p);free(p);答案：B解析：system(cmd)直接执行拼接命令，存在命令注入风险。27.三级系统需做“API安全”，以下哪项为“RESTful接口”认证最佳实践？A.APIKey+HTTPSB.JWT+JWEC.OAuth2.0+PKCED.HMACSHA1答案：C解析：OAuth2.0+PKCE防止授权码拦截，三级推荐。28.三级系统需做“云安全”，以下哪项为“CISBenchmark”针对AWS核心建议？A.关闭CloudTrailB.启用S3公共读写C.启用MFADeleteonS3D.使用IAMAccessKey长期有效答案：C解析：MFADelete防止误删，CIS要求启用。29.三级系统需做“物联网安全”，以下哪项为“CoAP协议”安全扩展？A.DTLSB.TLS1.3C.IPSecD.SSH答案：A解析：CoAP基于UDP，采用DTLS提供安全通道。30.三级系统需做“人工智能安全”，以下哪项为“对抗样本”防御技术？A.DropoutB.梯度掩码C.对抗训练D.L2正则化答案：C解析：对抗训练在训练集加入扰动样本，提升鲁棒性，直接针对对抗样本。二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于三级系统“安全区域边界”必须部署的组件？A.下一代防火墙B.入侵防御系统IPSC.防病毒网关D.网闸答案：A、B解析：三级强制要求“入侵防范”与“恶意代码防护”，IPS与NGFW即可覆盖，网闸仅跨网需，防病毒网关可集成于NGFW。32.三级系统“数据脱敏”需满足哪些要求？A.不可逆B.一致性C.可逆D.可重复答案：A、B、D解析：脱敏需不可逆、跨库一致性、相同输入重复脱敏结果一致，可逆为加密需求。33.以下哪些日志需保存6个月以上？A.系统登录日志B.数据库查询日志C.堡垒机操作录像D.网络流量原始包答案：A、B、C解析：三级要求“重要日志保存6个月”，流量原始包非强制，全流量留存成本高。34.三级系统“商用密码产品”需具备哪些证书？A.商用密码产品认证证书B.计算机信息系统安全专用产品销售许可证C.节能认证D.型号证书答案：A、B、D解析：密码产品需同时有商密认证、公安销售许可、型号证书，节能非安全项。35.以下哪些属于“安全运维”中的“变更管理”必须环节？A.变更申请B.变更测试C.变更回退方案D.变更公告答案：A、B、C解析：三级要求变更申请、测试、回退，公告非强制。36.三级系统“终端安全”需满足哪些？A.补丁管理B.白名单杀毒C.磁盘加密D.外设管控答案：A、B、D解析：磁盘加密仅含敏感数据终端需，非全部。37.以下哪些属于“云服务商”三级合规必须提供的材料？A.等保三级测评报告B.云服务等级保护合规性证明C.云服务商安全责任书D.云服务商财务报表答案：A、B、C解析：财务报表与合规无关。38.三级系统“安全审计”需覆盖哪些协议？A.HTTPB.SSHC.RDPD.ICMP答案：A、B、C解析：审计面向应用与远程维护协议，ICMP无会话内容。39.以下哪些属于“数据出境”安全评估需提交材料？A.数据出境风险自评估报告B.接收方所在国法律环境分析C.数据出境合同D.数据出境链路加密说明答案：A、B、C、D解析：四项均为《数据出境安全评估办法》要求。40.三级系统“应急演练”需包含哪些阶段？A.准备B.实施C.总结D.复盘答案：A、B、C解析：复盘可并入总结，标准三阶段。三、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.三级系统可采用SNMPv2c进行网络设备监控。答案：×解析：SNMPv2c无加密，三级要求“网络管理流量保密”，需采用SNMPv3。42.三级系统密码机密钥可在虚拟机内生成后导入。答案：×解析：三级要求“密钥必须在硬件密码机内部生成”，禁止外部导入明文密钥。43.三级系统需对“开发测试环境”与“生产环境”逻辑隔离即可。答案：×解析：需“物理隔离或强逻辑隔离”，仅逻辑隔离不满足高风险业务。44.三级系统可采用NTP公网池同步时间。答案：×解析：需“可信时间源”，公网池不可信，需自建GPS或北斗时钟。45.三级系统需对“退役硬盘”做消磁处理。答案：√解析：三级要求“不可恢复”，消磁或物理粉碎均可。46.三级系统可采用自签名SSL证书对内业务。答案：√解析：内部业务可不采购CA证书，但需自建CA并做证书管理。47.三级系统需对“业务高峰流量”做Qos限制。答案：×解析：Qos非安全要求，属性能。48.三级系统需对“第三方组件”做许可证合规审计。答案：√解析：开源许可证冲突可能引入法律风险，属供应链安全。49.三级系统可采用WindowsXP嵌入式版作为瘦客户机。答案：×解析：XP已停止支持，存在已知漏洞，三级禁止。50.三级系统需对“安全测试报告”加盖电子签章。答案：√解析：报告需防篡改，电子签章满足。四、简答题（每题10分，共30分）51.简述三级系统“安全通信网络”中“可信验证”实现原理，并给出一种硬件方案。答案：可信验证基于可信计算，通过TPCM/TPM芯片在设备启动时度量BIOS→Bootloader→OS→应用，形成信任链，将度量值与预期值对比，不一致则拒绝接入网络。硬件方案：在防火墙或SDWANCPE内置TPCM芯片，启动时生成度量报告，通过GM/T0012标准接口上传至集中管控平台，平台验证签名后下发网络准入策略，实现“不可信，不联网”。52.三级系统需对“数据分类分级”结果落地，请给出实施流程与输出物。答案：流程：①资产梳理→②敏感数据识别（正则+机器学习）→③业务影响评估→④分级打标（核心/重要/一般）→⑤策略映射（加密/脱敏/访问控制）→⑥平台固化（数据安全中心）→⑦持续监督。输出物：《数据分类分级清单》《敏感数据分布图》《数据安全策略矩阵》《数据分级保护制度》《数据安全责任人清单》。53.三级系统“攻防演练”中，红队成功获取域控但未被发现，请从蓝队角度给出改进方案。答案：①检测：部署AD蜜罐账户（如administrator伪装），任何绑定均触发告警；②日志：开启AD审计“DSAccess→DirectoryServiceChanges”，记录5141事件；③分析：使用UEBA基线学习，发现异常KerberosTG