2025年军工信息安全等级保护测评考试题库附答案

2025年军工信息安全等级保护测评考试题库附答案一、单项选择题（每题2分，共20题）1.军工信息系统安全等级保护中，确定系统安全保护等级的主要依据是（）。A.系统建设投入成本B.系统承载的业务类型C.系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度D.系统使用的技术先进程度答案：C2.根据《军工信息系统安全等级保护测评要求》，三级军工信息系统的测评周期应为（）。A.每1年一次B.每2年一次C.每3年一次D.每5年一次答案：A3.以下不属于军工信息系统安全等级保护技术要求中“物理安全”层面的测评项是（）。A.机房应设置电子门禁系统B.重要设备应采取防盗窃和防破坏措施C.网络边界应部署入侵检测系统D.机房应配备可靠的冗余电源答案：C4.军工信息系统中，存储国家秘密信息的数据库管理系统应满足的安全要求不包括（）。A.强制访问控制B.审计记录保存时间不少于6个月C.支持数据库加密存储D.允许默认账户直接登录答案：D5.测评过程中，对“网络安全”层面进行核查时，重点关注的内容是（）。A.服务器操作系统补丁安装情况B.网络设备访问控制列表（ACL）的配置合理性C.机房温湿度监控记录D.安全管理员培训记录答案：B6.军工信息系统等级保护测评中，“安全管理制度”的测评要点不包括（）。A.制度是否覆盖所有安全管理环节B.制度是否经过审批和发布C.制度是否包含具体技术参数配置要求D.制度是否定期修订答案：C7.以下关于军工信息系统安全等级保护测评“现场测评”阶段的描述，错误的是（）。A.需通过访谈、检查、测试等方式收集证据B.测试工具可使用通用漏洞扫描器，但需确保不影响系统正常运行C.测评人员可直接访问被测系统核心数据D.需记录测评过程中发现的问题及证据答案：C8.某军工单位的信息系统处理绝密级国家秘密，其安全保护等级应定为（）。A.一级B.二级C.三级D.四级答案：D9.在验证“应用安全”中的“身份鉴别”要求时，测评人员应重点检查（）。A.应用系统是否支持多因素认证B.应用日志是否记录用户登录时间C.应用服务器是否部署防病毒软件D.应用系统代码是否经过第三方审计答案：A10.军工信息系统等级保护测评中，“数据安全”的核心要求是（）。A.数据备份介质存放在同一机房B.敏感数据在传输过程中采用明文方式C.数据删除后不可恢复D.重要数据需进行加密存储和传输答案：D11.以下不属于三级军工信息系统“主机安全”测评项的是（）。A.操作系统启用强制访问控制B.数据库系统审计功能开启C.主机设备配备冗余电源D.主机账户设置密码复杂度要求答案：C12.测评过程中，发现某系统网络边界未部署防火墙，直接暴露于互联网，该问题属于（）。A.物理安全缺陷B.网络安全缺陷C.主机安全缺陷D.管理安全缺陷答案：B13.军工信息系统等级保护测评的“准备阶段”主要工作不包括（）。A.签订测评合同B.组建测评团队C.制定测评方案D.现场设备测试答案：D14.关于“安全管理机构”的测评要求，正确的是（）。A.安全管理机构可由IT部门兼职负责B.应明确安全管理岗位的职责分工C.安全管理员可同时兼任系统管理员D.无需制定安全管理机构的沟通协作机制答案：B15.某系统采用静态口令进行身份鉴别，且口令长度为6位数字，该情况违反了（）。A.物理安全要求B.网络安全要求C.应用安全要求D.数据安全要求答案：C16.军工信息系统等级保护测评中，“测评结论”的判定依据是（）。A.测评发现的问题数量B.问题的性质及对系统安全的影响程度C.被测单位的整改承诺D.测评机构的主观判断答案：B17.以下属于三级系统“网络安全”中“访问控制”要求的是（）。A.网络设备支持基于源IP、目的IP、端口的访问控制B.网络链路带宽满足业务需求C.网络设备配备冗余接口D.网络拓扑图与实际部署一致答案：A18.测评人员在检查“安全审计”功能时，需验证的内容不包括（）。A.审计记录是否包含事件类型、时间、主体、客体等信息B.审计日志是否由专人定期分析C.审计存储空间是否满足6个月以上记录保存要求D.审计系统是否部署在互联网边界答案：D19.军工信息系统中，处理机密级信息的系统，其安全保护等级最低应为（）。A.一级B.二级C.三级D.四级答案：C20.以下关于“测评报告”的描述，错误的是（）。A.应包含测评过程、发现的问题及整改建议B.报告需经被测单位和测评机构双方确认C.报告内容可对外公开D.报告应明确系统是否符合等级保护要求答案：C二、多项选择题（每题3分，共10题）1.军工信息系统安全等级保护的基本要求包括（）。A.自主保护级（一级）B.指导保护级（二级）C.监督保护级（三级）D.强制保护级（四级）答案：ABCD2.三级军工信息系统的“技术要求”主要包括（）。A.物理安全B.网络安全C.主机安全D.应用安全E.数据安全答案：ABCDE3.测评过程中，“检查”方法可用于验证（）。A.安全管理制度是否发布B.设备配置是否符合要求C.人员是否具备安全意识D.日志记录是否完整答案：ABD4.军工信息系统“物理安全”的测评要点包括（）。A.机房位置选择是否避开危险区域B.设备防盗窃措施是否有效C.消防设施是否定期检测D.网络带宽是否满足需求答案：ABC5.以下属于“应用安全”中“安全审计”要求的是（）。A.审计覆盖所有用户操作B.审计记录不可被篡改C.审计日志保存时间不少于6个月D.审计系统支持远程访问答案：ABC6.测评人员需具备的基本条件包括（）。A.熟悉国家和军队信息安全相关法规标准B.掌握信息安全测评技术方法C.具有军工单位工作经历D.签订保密协议答案：ABD7.三级系统“网络安全”中的“入侵防范”要求包括（）。A.部署入侵检测或防御系统B.记录入侵事件并分析C.定期更新攻击特征库D.允许所有外部访问请求答案：ABC8.军工信息系统等级保护测评的“结果处理”阶段工作包括（）。A.出具测评报告B.指导被测单位整改C.向主管部门报送结果D.销毁测评过程中收集的敏感数据答案：ABCD9.以下属于“安全管理措施”的是（）。A.制定安全培训计划B.定期进行应急演练C.配置防火墙策略D.签订安全责任书答案：ABD10.测评中发现某系统存在“默认账户未删除”问题，可能导致的风险包括（）。A.攻击者利用默认账户登录B.敏感数据泄露C.系统服务中断D.设备物理损坏答案：AB三、判断题（每题1分，共10题）1.军工信息系统的安全等级由系统使用单位自行确定，无需备案。（）答案：×2.一级系统的测评可由使用单位内部人员自行完成。（）答案：×3.测评过程中，被测单位应配合提供系统拓扑图、安全管理制度等资料。（）答案：√4.存储秘密级信息的数据库可使用默认的简单口令。（）答案：×5.网络设备的访问控制列表（ACL）应定期审核和更新。（）答案：√6.安全审计日志中可以不记录操作的具体内容，仅记录操作类型。（）答案：×7.三级系统的机房应设置电子门禁，仅允许授权人员进入。（）答案：√8.测评机构发现系统存在重大安全隐患时，应立即向社会公开。（）答案：×9.安全管理员和系统管理员可以由同一人担任。（）答案：×10.数据备份应采用离线介质，并异地存放。（）答案：√四、简答题（每题5分，共5题）1.简述军工信息系统等级保护测评的主要流程。答案：主要流程包括：（1）准备阶段：签订合同、组建团队、收集资料；（2）方案编制：根据系统特点制定测评方案；（3）现场测评：通过访谈、检查、测试等方式收集证据；（4）报告编制：分析问题，形成测评结论；（5）结果处理：反馈报告、指导整改、报送主管部门。2.三级军工信息系统在“主机安全”方面需满足哪些基本要求？答案：需满足：（1）操作系统启用强制访问控制；（2）账户设置复杂口令并定期更换；（3）开启审计功能，记录重要操作；（4）安装防病毒软件并定期更新；（5）关闭不必要的服务和端口；（6）定期进行漏洞扫描和补丁修复。3.测评过程中，如何验证“数据安全”中的“数据加密”要求？答案：（1）检查敏感数据（如国家秘密、关键业务数据）在存储时是否采用加密技术（如AES、SM4等）；（2）验证传输过程中是否使用SSL、IPSec等加密协议；（3）查看加密算法是否符合国家密码管理要求；（4）检查密钥管理机制，包括提供、存储、分发和更换流程是否安全。4.简述“安全管理制度”测评的主要要点。答案：（1）制度覆盖性：是否涵盖物理、网络、主机、应用、数据等所有安全管理环节；（2）制度合规性：是否符合国家和军队相关法规标准；（3）制度有效性：是否经过审批发布，是否定期修订；（4）制度执行性：是否有培训记录、执行证据（如检查记录、演练记录等）。5.某军工单位信息系统测评中发现“网络边界未部署防火墙”，请分析该问题的风险及整改建议。答案：风险：系统直接暴露于外部网络，易遭受网络攻击（如DDoS、端口扫描、恶意代码渗透等），可能导致数据泄露、系统瘫痪。整改建议：（1）在网络边界部署符合要求的防火墙，支持基于IP、端口、协议的访问控制；（2）根据业务需求制定严格的访问控制策略，仅允许必要的流量通过；（3）启用防火墙的入侵检测功能，监控异常流量；（4）定期审计防火墙策略，确保其有效性。五、案例分析题（10分）某军工科研单位的“型号试验数据管理系统”（处理机密级信息）完成等级保护测评后，测评报告指出以下问题：（1）数据库默认账户“admin”未删除；（2）应用系统仅使用静态口令进行身份鉴别；（3）审计日志仅记录登录成功事件，未记录登录失败事件；（4）重要数据备份介质存放在机房同一机柜内。问题：1.该系统的安全保护等级应为几级？依据是什么？2.针对上述问题，提出具体整改措施。答案：1.安全保护等级应为三级。依据：该系统处理机密级国家秘密信息，根据《军工信息系统安全等级保护定级指南》，处理机密级信息的系统最低应定为三级。2.整改措施：（1）针对“数据库默认账户未删除”：删除“admin”默认账户，创建专用管理账户，设置复杂口令（长度≥12位，包含字母、数字、特殊符号），并启用多因素认证（如口令+动态令