2025年军工信息安全等级保护测评考试预测试题及答案

2025年军工信息安全等级保护测评考试预测试题及答案一、单项选择题（每题2分，共30分）1.根据《军工涉密信息系统分级保护管理办法》，绝密级军工信息系统在进行等级保护测评时，测评机构应具备的资质是（）A.国家网络安全等级保护工作协调小组办公室推荐的测评机构B.国防科技工业安全保密监督管理办公室认定的甲级资质C.省级保密行政管理部门备案的乙级资质D.国家密码管理局颁发的商用密码检测资质答案：B2.某军工单位拟建设涉及武器装备总体设计的信息系统，经定级审核确定为三级系统。其安全保护能力应满足GB/T22239-2019中（）的要求，同时需补充（）的特殊安全要求。A.第三级；军工行业B.第四级；密码应用C.第三级；物理隔离D.第四级；电磁防护答案：A3.军工信息系统等级保护测评中，对“安全审计”的核查重点不包括（）A.审计记录是否包含用户标识、操作时间、操作类型等要素B.审计存储空间是否满足6个月以上记录留存要求C.审计策略是否覆盖所有用户和重要操作D.审计系统是否与被审计设备使用同一台服务器答案：D4.2025年新版《军工信息安全等级保护测评要求》中新增的“数据跨境流动安全”测评项，主要针对（）场景A.军工单位与境外科研机构联合研发B.涉密数据通过互联网传输C.国产操作系统与国外数据库交互D.移动办公终端接入内部系统答案：A5.关于军工信息系统网络边界安全，下列表述错误的是（）A.互联网接入边界必须部署三重冗余防火墙B.涉密网与非涉密网之间应采用单向导入设备隔离C.工业控制网与管理信息网需通过物理隔离装置连接D.边界访问控制策略应遵循“最小授权”原则答案：A6.某军工单位测评中发现，其主机安全策略未对“特权账户”进行独立管理，违反了GB/T22239中（）的要求A.身份鉴别B.访问控制C.安全审计D.入侵防范答案：B7.军工信息系统密码应用测评中，对密钥管理的核心要求是（）A.密钥长度不低于128位B.密钥生命周期覆盖提供、存储、分发、使用、更新、撤销全流程C.密钥由系统管理员一人保管D.密钥存储介质需与系统主机物理分离答案：B8.2025年测评规范新增的“人工智能安全”指标，重点考察（）A.AI模型训练数据的来源合法性B.AI算法对异常行为的识别准确率C.AI系统与传统安全设备的兼容性D.AI决策过程的可解释性和审计记录答案：D9.某单位测评时发现，其重要服务器未进行定期漏洞扫描，且最近一次扫描是1年前。该行为违反了（）A.《网络安全法》第二十一条B.《保守国家秘密法》第二十四条C.《军工涉密信息系统分级保护管理办法》第三十二条D.《信息安全技术网络安全等级保护测评要求》第6.2.3条答案：C10.军工信息系统物理安全测评中，关于电磁防护的要求是（）A.机房需建设在建筑物地下一层B.涉密设备需采用红黑电源隔离装置C.线缆需与非涉密线缆同槽铺设D.电磁泄露发射强度不超过GJB5792规定的B级标准答案：B11.测评过程中，发现某单位将用户登录失败处理策略设置为“5次失败锁定30分钟”，符合GB/T22239中（）的要求A.身份鉴别——防止重放攻击B.访问控制——最小权限原则C.身份鉴别——失败处理机制D.安全审计——事件记录完整性答案：C12.军工单位安全管理制度中，“三员分立”指的是（）A.系统管理员、安全管理员、审计管理员B.网络管理员、主机管理员、数据库管理员C.保密员、安全员、审计员D.研发员、测试员、运维员答案：A13.对涉密移动存储介质的测评要点不包括（）A.是否统一编号并登记备案B.是否使用专用密码锁进行物理保护C.是否采用国家密码管理局认可的加密技术D.是否限制跨网络使用（如涉密网与非涉密网）答案：B14.2025年测评新增的“云服务安全”指标中，针对军工私有云的核心要求是（）A.云平台需通过等保四级测评B.敏感数据存储需满足“两地三中心”容灾C.云服务商需具备军工涉密业务咨询服务安全保密资质D.虚拟主机与物理主机之间需实现资源隔离答案：C15.某单位测评报告中“不符合项”描述为：“核心交换机配置未启用端口安全，存在MAC地址泛洪风险”。该问题属于（）类安全弱点A.物理安全B.网络安全C.主机安全D.应用安全答案：B二、多项选择题（每题3分，共30分，多选、错选不得分，少选得1分）1.军工信息安全等级保护测评的依据包括（）A.GB/T22239-2019《信息安全技术网络安全等级保护基本要求》B.《军工涉密信息系统分级保护管理办法》（国保发〔2021〕13号）C.GJB5713-2006《军队计算机信息系统安全保密测评准则》D.《武器装备科研生产单位保密资格审查认证管理办法》答案：ABD2.关于测评流程，下列说法正确的有（）A.测评准备阶段需签订保密协议并制定测评方案B.现场测评应覆盖物理环境、网络架构、设备配置、管理制度等全要素C.测评结论分为“符合”“基本符合”“不符合”三个等级D.对整改后的系统需进行复测，复测不通过则原测评结论失效答案：ABD3.军工信息系统访问控制测评需核查（）A.账户权限是否遵循“最小必要”原则B.特权账户是否启用多因素认证C.访问控制策略是否定期评审和更新D.远程访问是否通过VPN等加密通道答案：ABCD4.物理安全测评中的“环境安全”包括（）A.机房温度、湿度是否符合GB50174要求B.消防系统是否具备气体灭火功能（非水基）C.监控系统是否覆盖机房入口、设备区等关键区域D.供电系统是否采用双路市电+UPS+备用发电机冗余答案：ABCD5.2025年测评新增的“数据安全”指标重点考察（）A.敏感数据分类分级标识的完整性B.数据脱敏技术在对外发布中的应用C.数据备份策略是否满足“异机异址”要求D.数据跨境传输的安全评估报告答案：ABD6.关于密码应用测评，正确的要求有（）A.身份鉴别应采用国密算法（如SM2）B.传输加密需使用TLS1.3协议并禁用SSLC.存储加密应实现数据库字段级加密D.密钥管理系统（KMS）需独立于业务系统部署答案：ACD7.安全管理制度测评需核查（）A.制度是否涵盖定级、备案、建设、测评、整改全流程B.制度发布是否经过单位负责人审批C.员工是否接受年度安全培训并留存记录D.应急预案是否每半年进行一次实战演练答案：ABC8.工业控制系统（ICS）的特殊测评要点包括（）A.控制网络与管理网络的逻辑隔离有效性B.工控设备固件更新的安全验证机制C.操作站与PLC之间通信的身份认证D.历史数据存储的防篡改措施答案：ABCD9.移动终端安全测评需检查（）A.移动办公设备是否安装终端安全管理软件B.蓝牙、Wi-Fi等无线功能是否默认关闭C.存储的涉密文件是否自动加密D.设备丢失后是否支持远程擦除答案：ABCD10.测评报告的核心内容应包含（）A.被测系统的基本信息（如定级文件、拓扑图）B.测评实施过程（时间、方法、工具）C.不符合项的具体描述（问题点、依据条款）D.整改建议（技术措施、管理措施）答案：ABCD三、判断题（每题1分，共10分，正确打√，错误打×）1.军工信息系统等级保护测评中，绝密级系统需由国家保密局指定的测评机构实施。（）答案：×（应为国防科工局认定的甲级资质机构）2.测评过程中，发现某单位将审计日志存储在被审计设备本地，符合安全要求。（）答案：×（需存储在独立审计服务器）3.军工单位可以自行选择非涉密信息系统的测评机构，无需备案。（）答案：×（需选择经推荐的测评机构并向主管部门备案）4.访问控制策略中，“允许所有IP访问内部文件服务器”违反了“最小授权”原则。（）答案：√5.物理安全测评中，机房玻璃窗户无需采取防护措施，只需安装门禁即可。（）答案：×（需采取防砸、防窥视等措施）6.密码应用测评中，允许使用国外通用算法（如AES）进行内部数据加密。（）答案：×（需使用国密算法）7.安全培训记录只需保存1年，超过期限可销毁。（）答案：×（需保存3年以上）8.应急演练中，只需模拟网络攻击场景，无需测试自然灾难（如火灾）的应对。（）答案：×（需覆盖各类风险场景）9.移动存储介质可以在涉密网和非涉密网之间交叉使用，只要进行格式化。（）答案：×（严禁交叉使用）10.测评结论为“基本符合”的系统，只需对不符合项进行整改，无需复测。（）答案：×（需整改后复测）四、简答题（每题6分，共30分）1.简述军工信息安全等级保护测评与普通信息系统等保测评的主要区别。答案：①依据标准不同：增加《军工涉密信息系统分级保护管理办法》等行业规范；②涉密要求更严：涉及国家秘密的系统需满足物理隔离、电磁防护、三员分立等特殊要求；③测评机构资质特殊：绝密级系统需甲级军工测评资质；④数据安全要求更高：强调敏感数据全生命周期管理和跨境流动管控；⑤密码应用强制：必须使用国密算法，密钥管理更严格。2.列举5项网络安全层面的测评要点（基于GB/T22239-2019）。答案：①网络架构合理性（如分层设计、冗余部署）；②边界访问控制策略（最小授权、规则审核）；③入侵检测/防御系统（IDS/IPS）的有效性；④网络设备口令复杂度及定期更换；⑤网络流量监控与异常检测机制。3.简述“三员分立”的具体职责及测评核查方法。答案：三员指系统管理员（负责系统配置）、安全管理员（负责安全策略制定）、审计管理员（负责审计日志查看）。测评核查方法：①检查岗位职责文件是否明确三员权限分离；②核查系统账号设置是否无交叉权限；③抽查审计日志，确认三员操作未越权；④访谈相关人员，确认实际操作中职责未混淆。4.2025年测评新增“数据安全”指标，说明需重点核查的3项内容。答案：①数据分类分级：是否按《军工数据分类分级指南》完成标识，敏感数据（如装备参数）是否标注密级；②数据脱敏：对外提供的非涉密数据是否采用不可逆脱敏技术（如乱码化、泛化）；③数据跨境流动：与境外合作产生的交换数据是否通过安全评估，是否签订数据安全协议，是否采取加密传输和访问控制措施。5.某军工单位测评中发现，其核心数据库存在SQL注入漏洞，且未部署Web应用防火墙（WAF）。请从技术和管理两方面提出整改建议。答案：技术方面：①修补数据库系统及Web应用程序的SQL注入漏洞（如参数化查询、输入校验）；②部署WAF并启用SQL注入攻击防护规则；③对数据库访问启用白名单控制，限制外部直接访问；④开启数据库审计功能，记录所有SQL操作。管理方面：①制定漏洞扫描与修复流程，每周进行一次漏洞检测；②对开发团队开展安全编码培训（如OWASPTop10）；③更新安全管理制度，明确WAF的日常运维和规则更新要求；④将漏洞整改情况纳入部门安全考核指标。五、案例分析题（每题10分，共20分）案例1：某军工研究所建设了“新型导弹仿真计算平台”，定级为三级系统。测评过程中发现以下问题：（1）平台服务器部署在研究所机房，未划分独立的安全区域，与行政办公服务器共用供电线路；（2）用户登录仅使用静态密码，未启用多因素认证；（3）仿真模型数据存储在普通数据库，未进行加密；（4）安全管理制度中未明确数据备份的频率和介质要求。问题：请结合军工等保要求，分析上述问题的风险，并提出整改措施。答案：风险分析：（1）共用供电线路可能导致行政办公区电源故障影响核心系统，违反物理安全“设备冗余”要求；（2）单因素认证易被暴力破解，导致非法访问仿真平台，违反身份鉴别“增强鉴别”要求；（3）敏感数据未加密存储，存在泄露后直接被读取的风险，违反数据安全“存储加密”要求；（4）备份策略缺失可能导致数据丢失后无法恢复，违反运维管理“数据备份与恢复”要求。整改措施：（1）划分独立安全区域，为仿真平台服务器配置专用UPS和备用发电机，与其他服务器物理隔离；（2）启用多因素认证（如静态密码+USBKey或短信验证码），并设置登录失败锁定机制；（3）对仿真模型数据采用国密SM4算法进行字段级加密，密钥由独立KMS管理；（4）修订安全管理制度，明确数