2025年网络安全等级测评师(中级)考核试题与答案

2025年网络安全等级测评师(中级)考核试题与答案一、单项选择题（每题2分，共30分）1.根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），三级信息系统的安全通用要求中，以下哪项属于“安全通信网络”层面的控制措施？A.主机操作系统启用管理员账户审计B.网络设备配置访问控制列表（ACL）限制非授权IP访问C.数据中心部署温湿度监控系统D.应用系统实现用户登录失败锁定机制答案：B2.某企业三级信息系统采用集中式日志审计系统，根据等保要求，日志留存时间应至少满足：A.30天B.6个月C.1年D.2年答案：C3.关于网络安全等级测评中“渗透测试”的实施，以下描述错误的是：A.需提前获得被测单位书面授权B.应在业务低峰期进行，避免影响系统可用性C.可直接对核心业务数据库执行SQL注入测试D.测试结果需形成详细记录并经双方确认答案：C4.某金融机构核心交易系统采用双活数据中心架构，测评时发现主中心与灾备中心之间的通信链路仅通过IPSecVPN加密。根据三级系统要求，还需验证的关键安全点是：A.VPN隧道是否支持AES-256以上加密算法B.链路带宽是否满足业务峰值传输需求C.两端设备是否配置会话超时自动断开机制D.加密密钥是否实现定期轮换答案：D5.在主机安全测评中，针对Linux服务器的账户管理，以下哪项不符合要求？A.超级用户（root）仅用于系统维护，日常操作使用普通账户B.所有用户账户均设置90天强制密码修改策略C.系统自动禁用连续6次登录失败的账户D.存在3个未关联具体人员的通用维护账户答案：D6.某政务云平台为多个委办局提供虚拟主机服务，测评时发现不同租户的虚拟机共享同一物理网卡，且未配置VLAN隔离。此问题主要违反了等保2.0中哪项要求？A.物理和环境安全-物理访问控制B.安全通信网络-网络架构C.安全区域边界-访问控制D.安全计算环境-入侵防范答案：B7.应用系统安全测评中，验证“抗抵赖”能力时，重点检查的内容是：A.用户操作日志是否记录IP地址、时间、操作类型B.关键业务操作是否通过数字签名或第三方认证实现不可否认C.数据库是否启用事务回滚机制D.接口调用是否使用OAuth2.0进行身份认证答案：B8.数据安全测评中，针对“数据备份与恢复”，以下符合三级要求的是：A.每天进行一次全量备份，每周进行一次增量备份，备份介质离线存放B.仅对数据库进行逻辑备份，备份文件存储于本地服务器附加存储C.备份恢复测试每季度开展一次，记录显示最近一次测试成功D.重要业务数据采用云存储备份，未签订数据安全协议答案：C9.安全管理制度测评中，若发现某单位《网络安全事件应急预案》未明确以下哪项内容，则判定为不符合要求？A.事件分级标准（如一般、较大、重大）B.应急响应小组成员联系方式C.年度演练计划及频次D.事件上报的具体流程和责任部门答案：D10.对工业控制系统（ICS）进行等级测评时，以下特殊要求需重点关注的是：A.操作站与控制站之间的网络是否部署工业防火墙B.工程师站是否安装最新版本杀毒软件C.历史数据库是否采用RAID5冗余阵列D.监控软件登录口令是否包含大小写字母答案：A11.某电商平台用户信息数据库存储了姓名、身份证号、支付记录等敏感数据，测评时发现数据库字段未进行加密，仅通过应用层权限控制访问。此问题违反了等保2.0中“数据安全”的哪项要求？A.数据完整性B.数据保密性C.数据备份D.数据出境答案：B12.在测评“安全管理中心”时，需验证是否实现对以下哪类设备/系统的集中管理？A.员工个人办公电脑B.第三方合作单位接入终端C.网络设备、安全设备、主机、应用D.访客Wi-Fi接入点答案：C13.关于测评结论的判定，以下描述正确的是：A.单个测评项不满足即判定为“不通过”B.需统计不满足项的数量及对系统整体安全的影响程度C.只要技术要求全部符合，管理要求可放宽D.三级系统允许存在5%以下的轻微不符合项答案：B14.某医院HIS系统（三级）测评时发现，医生工作站终端未安装终端安全管理软件，且存在私自安装游戏软件的情况。此问题主要关联的安全层面是：A.物理和环境安全B.安全计算环境C.安全通信网络D.安全管理中心答案：B15.对云计算平台进行测评时，针对“虚拟化安全”，需验证的关键措施是：A.虚拟交换机是否支持端口镜像B.宿主机资源分配是否满足业务峰值需求C.虚拟机之间是否实现逻辑隔离（如VLAN、安全组）D.云管理平台管理员是否使用双因素认证答案：C二、判断题（每题1分，共10分。正确填“√”，错误填“×”）1.网络安全等级测评中，“应测尽测”要求覆盖系统所有设备和应用，包括测试环境和开发环境。（×）2.三级系统要求网络设备和安全设备的管理接口必须通过专用管理网访问，禁止通过业务网直接访问。（√）3.主机安全中，“恶意代码防范”只需检查防病毒软件安装情况，无需验证实时监控和定期更新功能。（×）4.应用系统的“身份鉴别”应实现至少两种不同鉴别方式的组合（如用户名+口令+动态令牌）。（√）5.数据安全中，“数据脱敏”仅需在数据输出时实施，存储阶段可保留明文。（×）6.安全管理制度的“版本控制”要求所有制度文件需标注发布日期、修订版本号，并保留历史版本。（√）7.测评过程中发现的“高危风险”应立即向被测单位口头报告，无需等待正式报告。（√）8.工业控制系统的测评中，可直接使用通用漏洞扫描工具对PLC设备进行漏洞检测。（×）9.云计算平台的“租户隔离”只需确保虚拟机层面的资源隔离，无需验证存储和网络层面的隔离。（×）10.安全测评报告中，“整改建议”应具体可行，如“建议在边界部署防火墙”需明确防火墙的性能参数和安全策略要求。（√）三、简答题（每题8分，共40分）1.简述网络安全等级测评中“安全通信网络”层面的主要测评要点。答案：（1）网络架构：验证网络拓扑是否分层设计（核心层、汇聚层、接入层），是否划分安全区域并明确边界；（2）通信传输：检查重要通信是否采用加密措施（如IPSecVPN、SSL/TLS），验证加密算法强度（如AES-256、SM4）；（3）可信验证：确认网络设备（如路由器、交换机）是否支持身份认证（如AAA认证），关键设备是否实现固件完整性校验；（4）访问控制：核查网络设备是否配置ACL，是否根据业务需求限制跨区域流量，是否禁止默认路由；（5）网络冗余：检查核心网络设备是否部署冗余（双机热备），关键链路是否采用负载均衡或双链路备份。2.说明三级信息系统“安全审计”的具体要求及测评方法。答案：要求：（1）审计范围覆盖所有用户（包括管理员）对重要资源（如网络设备、主机、应用、数据库）的访问和操作；（2）审计内容至少包括事件类型、主体（用户/IP）、客体（资源）、时间、结果等；（3）审计记录留存时间不少于1年，重要审计记录留存时间不少于6个月；（4）审计系统需具备防止篡改和删除的功能（如日志服务器只读、哈希校验）；（5）审计日志应定期分析，形成审计报告。测评方法：（1）查阅审计策略配置文档，确认审计范围和内容是否符合要求；（2）现场查看设备/系统的审计日志，验证记录的完整性（如是否包含完整四要素）；（3）检查日志存储介质的留存时间（如通过日志时间戳统计）；（4）测试日志修改/删除操作（如尝试删除日志，验证是否无法删除或自动记录删除行为）；（5）查阅最近3个月的审计分析报告，确认是否定期开展分析。3.列举主机安全测评中“身份鉴别”的主要测评项，并说明不符合项的常见问题。答案：主要测评项：（1）鉴别机制：是否使用多因素鉴别（如口令+动态令牌），口令复杂度（长度≥8位，包含大小写、数字、特殊符号）；（2）鉴别失败处理：是否设置登录失败锁定（如连续5次失败锁定30分钟）；（3）鉴别信息保护：口令是否加密存储（如SHA-256加盐哈希），是否禁止明文传输；（4）管理员鉴别：超级用户（如root、Administrator）是否启用更严格的鉴别措施（如双因素认证）。常见问题：（1）仅使用单一口令鉴别，未采用多因素；（2）口令复杂度不足（如仅数字或字母组合）；（3）登录失败锁定策略未配置或锁定时间过短（如锁定5分钟）；（4）口令明文存储在配置文件中（如数据库连接密码明文）；（5）超级用户未单独设置鉴别方式，与普通用户使用相同策略。4.简述网络安全等级测评与风险评估的主要区别。答案：（1）依据不同：测评以《网络安全等级保护基本要求》等国家标准为依据，风险评估以《信息安全技术信息安全风险评估规范》（GB/T20984）为依据；（2）目标不同：测评是验证系统是否符合等级保护要求，风险评估是识别系统面临的威胁、脆弱性及可能造成的影响；（3）范围不同：测评覆盖等级保护要求的所有技术和管理措施，风险评估关注资产、威胁、脆弱性的关联分析；（4）方法不同：测评采用符合性测试（检查、验证、测试），风险评估采用定性/定量分析（如资产赋值、威胁建模、脆弱性评分）；（5）结果应用不同：测评结果用于判断是否通过等级保护合规，风险评估结果用于制定风险处置计划（规避、降低、转移等）。5.针对某企业办公网与生产网边界未部署安全设备的问题，说明测评时应关注的要点及整改建议。答案：关注要点：（1）边界识别：确认办公网与生产网的物理/逻辑边界（如是否通过交换机端口划分）；（2）流量监控：检查是否存在跨边界的未授权流量（如办公终端直接访问生产数据库）；（3）访问控制：验证是否通过网络设备ACL或安全策略限制跨边界访问，是否默认拒绝非授权流量；（4）安全防护：评估边界缺失安全设备（如防火墙、入侵检测系统）对生产网的威胁（如办公网终端感染病毒传播至生产网）。整改建议：（1）在办公网与生产网边界部署下一代防火墙（NGFW），支持应用层过滤、入侵防御（IPS）功能；（2）基于最小权限原则配置安全策略，仅允许必要的业务流量（如生产管理系统访问），默认拒绝其他流量；（3）在防火墙上启用日志审计功能，记录跨边界流量的源/目的IP、端口、时间等信息；（4）定期更新防火墙规则和威胁特征库，确保对新型攻击的防护能力；（5）对生产网核心设备（如SCADA服务器）部署主机防火墙，作为边界防护的补充。四、综合题（每题10分，共20分）1.某省智慧交通管理平台（三级系统）包含交通信号控制子系统、车辆轨迹追踪子系统、公众出行服务子系统。请设计该系统的网络安全等级测评方案，需包含测评范围、依据、方法及重点测评项。答案：（1）测评范围：物理环境：数据中心机房（包括服务器、存储、网络设备）、通信链路（如交通信号灯控制专网）；技术层面：网络架构、通信传输、区域边界、计算环境（服务器/终端）、应用系统（三大子系统）、数据安全（车辆轨迹、用户信息）；管理层面：安全管理制度、机构与人员、系统建设管理（如供应商安全管理）、运维管理（如事件响应）。（2）测评依据：国家标准：GB/T22239-2019《网络安全等级保护基本要求》、GB/T28448-2019《网络安全等级保护测评要求》；行业规范：《交通运输行业网络安全等级保护定级指南》；系统文档：《智慧交通管理平台设计方案》《安全需求说明书》《应急预案》等。（3）测评方法：文档审查：查阅安全管理制度、设备配置手册、测试记录等；现场验证：通过工具（如漏洞扫描器、协议分析仪）检测网络设备配置、主机安全策略；测试验证：模拟攻击（如SQL注入、DDoS）验证应用系统防护能力，开展备份恢复测试验证数据安全；人员访谈：与安全管理员、运维人员沟通，确认安全措施执行情况。（4）重点测评项：物理安全：交通信号控制专网的物理链路是否冗余（防止断网导致信号灯失控）；网络安全：专网与互联网边界（如公众出行服务子系统）是否部署入侵防御系统（IPS），是否限制外部对专网的访问；应用安全：车辆轨迹追踪子系统的用户身份鉴别是否采用双因素（如账号+短信验证码），敏感操作（如轨迹查询）是否记录审计日志；数据安全：车辆身份信息（如车牌、VIN码）是否加密存储（如SM4算法），数据备份是否包含专网配置参数（防止设备故障后无法恢复）；管理安全：是否制定《交通数据安全分级分类指南》，是否对第三方运维人员（如信号设备供应商）实施访问控制（如最小权限、临时账号）。2.某企业ERP系统（三级）测评时发现：（1）核心数据库服务器未启用审计功能；（2）财务模块用户存在多人共用同一账号的情况；（3）DMZ区Web服务器与内网数据库之间的通信未加密。请分析上述问题的风险，并提出整改措施。答案：（1）核心数据库未启用审计功能的风险：无法追踪数据库的异常操作（如数据删除、修改），难以定位安全事件责任人；不符合等保2.0“安全计算环境-审计管理”要求（三级系统需审计数据库的访问和操作）；存在内部人员违规操作或外部入侵后篡改数据无法追溯的风险。整改措施：启用数据库审计功能（如M