2026年信息安全等级保护测评知识考察试题及答案解析

2026年信息安全等级保护测评知识考察试题及答案解析一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在GB/T28448-2019《信息安全技术网络安全等级保护测评要求》中，第三级系统首次测评的周期为（）。A.每半年一次 B.每年一次 C.每两年一次 D.每三年一次答案：B解析：第三级系统首次测评后应每年至少复测一次，见标准7.2.1。2.下列关于等级保护2.0“安全区域边界”控制点的描述，正确的是（）。A.仅适用于云计算平台 B.要求对无线接入进行集中管控 C.不包含抗APT检测要求 D.无需对远程运维通道进行审计答案：B解析：安全区域边界明确对无线接入、远程运维、APT检测等提出集中管控与审计要求。3.在测评过程中，若发现某三级系统未对重要数据实施异地实时备份，依据GB/T28448应判定为（）。A.符合 B.部分符合 C.不符合 D.不适用答案：C解析：三级“安全计算环境”数据完整性保护要求异地实时备份，缺失即不符合。4.下列算法中，用于数字签名且符合GM/T0003.2—2012标准的是（）。A.SM1 B.SM2 C.SM3 D.SM4答案：B解析：SM2为椭圆曲线公钥密码算法，可用于签名；SM1、SM4为对称算法，SM3为杂凑算法。5.在Linux系统中，若文件权限为“-rwsr-xr-x”，则该文件的s位表示（）。A.强制位 B.粘滞位 C.设置用户ID位 D.设置组ID位答案：C解析：s出现在所有者执行位，表示Set-UID。6.等保测评中，对“剩余信息保护”测评最常用的工具是（）。A.Nmap B.Wireshark C.WinHex D.BurpSuite答案：C解析：WinHex可查看内存、磁盘剩余信息是否清除干净。7.某单位将业务系统部署在阿里云VPC中，其责任共担模型下，以下由云租户负责的是（）。A.底层虚拟化漏洞修复 B.云防火墙硬件维护 C.操作系统补丁更新 D.机房动环系统答案：C解析：操作系统层及以上由租户负责。8.在SSL/TLS握手过程中，用于协商对称密钥的报文是（）。A.ClientHello B.ServerHello C.Certificate D.ClientKeyExchange答案：D解析：ClientKeyExchange携带预主密钥或密钥交换参数。9.依据GB/T22239-2019，第四级安全要求中，入侵检测应达到的能力是（）。A.基于签名的检测 B.基于异常的检测 C.基于沙箱的检测 D.以上均需具备答案：D解析：四级要求多重检测机制联动。10.若数据库表users中字段passwd存储的值为`2aA.MD5 B.bcrypt C.PBKDF2 D.scrypt答案：B解析：2a11.在Windows日志中，事件ID4624表示（）。A.账户登录失败 B.账户成功登录 C.权限提升 D.对象访问答案：B解析：4624为成功登录事件。12.下列关于IPv6Sec扩展头的说法，错误的是（）。A.提供端到端机密性 B.支持ESP封装 C.必须依赖IKEv2协商 D.可穿越NAT66答案：C解析：IPv6Sec可手工配置密钥，不强制IKEv2。13.在等保测评报告中，“符合率”计算公式为（）。A.符合项数/测评项总数×100% B.（符合+部分符合）/测评项总数×100%C.符合项数/（测评项-不适用项）×100% D.（符合×1+部分符合×0.5）/测评项总数×100%答案：C解析：标准明确分母需剔除不适用项。14.若采用Kerberos认证，以下哪项必须部署在域控上（）。A.KDC B.CAS C.SAMLIdP D.RADIUS答案：A解析：KDC为Kerberos核心组件。15.在OWASPTop102021中，排名首位的是（）。A.注入 B.失效的访问控制 C.加密失败 D.不安全设计答案：B解析：访问控制失效跃升至第一位。16.下列关于国密SSLVPN的说法，正确的是（）。A.握手协议使用SM2+SM3+SM4 B.记录层协议仅使用ZUC C.不支持前向保密 D.证书必须使用RSA答案：A解析：国密SSL套件定义为SM2签名、SM3杂凑、SM4对称加密，支持ECDHE-SM2前向保密。17.在Linux审计子系统中，用于定义审计规则的命令是（）。A.auditctl B.aureport C.ausearch D.autrace答案：A解析：auditctl实时加载规则。18.若采用双因子认证，以下组合中符合“所知+所有”模型的是（）。A.指纹+虹膜 B.口令+智能卡 C.口令+短信验证码 D.人脸+声纹答案：B解析：口令为所知，智能卡为所有。19.在等保测评现场，若发现防火墙规则存在“anyanypermit”条目，应判定为（）。A.高风险 B.中风险 C.低风险 D.可接受答案：A解析：与“最小权限”原则严重冲突，属于高风险项。20.依据《网络安全法》，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应通过（）。A.等级保护测评 B.信息安全认证 C.国家安全审查 D.商用密码检测答案：C解析：《网安法》第三十五条明确国家安全审查制度。二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下属于等级保护2.0“安全管理中心”控制点的有（）。A.系统管理 B.安全管控 C.集中管控 D.安全管理机构答案：A、C解析：安全管理中心下设系统管理、安全管控、集中管控三个子类。22.在测评过程中，可判定为“不适用”的情形包括（）。A.系统无无线网络 B.系统无数据库 C.系统无异地容灾需求 D.系统无用户交互界面答案：A、B、C解析：需根据系统实际场景逐项确认，D仍需对界面进行测评。23.下列属于国密算法体系的有（）。A.SM2 B.SM3 C.SM4 D.SM9答案：A、B、C、D解析：均为国家密码管理局发布的国密算法。24.在云计算等保测评中，责任共担模型涉及的角色包括（）。A.云服务提供商 B.云租户 C.云代理商 D.测评机构答案：A、B、C解析：测评机构为第三方，不属责任共担方。25.以下日志中，可用于溯源APT攻击的有（）。A.DNS查询日志 B.代理日志 C.内存转储 D.NetFlow日志答案：A、B、C、D解析：多源日志关联可发现C&C、横向移动等痕迹。26.在Windows系统中，可用来检测Pass-the-Hash攻击的工具有（）。A.Sysmon B.Mimikatz C.MicrosoftATA D.Wireshark答案：A、C解析：Sysmon可记录LogonType9，ATA可检测PtH异常。27.以下关于数据库安全审计的描述，正确的有（）。A.应记录用户登录、注销 B.应记录数据定义语言操作 C.应记录数据操纵语言操作 D.应记录审计日志的删除操作答案：A、B、C、D解析：四项均为标准明确要求。28.在SSL/TLS最佳实践中，应禁用的算法套件有（）。A.TLS_RSA_WITH_RC4_128_SHA B.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384C.TLS_RSA_WITH_3DES_EDE_CBC_SHA D.TLS_DHE_RSA_WITH_AES_128_CBC_SHA256答案：A、C解析：RC4、3DES已被证明不安全。29.下列关于IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329的写法，正确的有（）。A.2001:db8::ff00:42:8329 B.2001:db8:0:0:0:ff00:42:8329C.2001:db8::ff00:0042:8329 D.2001:db8::ff00:42:8329答案：A、B、C、D解析：IPv6压缩规则允许前导零省略及连续零块用“::”代替一次。30.在等保测评报告中，测评结论应包含的要素有（）。A.等级保护对象范围 B.测评依据 C.符合程度 D.整改建议答案：A、B、C、D解析：报告模板明确要求四要素齐全。三、填空题（每空2分，共20分）31.在GB/T22239-2019中，第四级安全要求的安全保护环境结构为________、________、________三重防护。答案：安全区域边界、安全计算环境、安全管理中心解析：见标准第5章结构图。32.若采用SM2签名算法，其曲线参数推荐使用________位素域。答案：256解析：GM/T0003.1—2012规定使用素域256位。33.在Linux系统中，用于查看SELinux状态的命令是________。答案：getenforce解析：getenforce返回Enforcing、Permissive或Disabled。34.在Windows日志中，清除安全日志的事件ID是________。答案：1102解析：1102表示审计日志已清除。35.在等保测评中，对“恶意代码防范”测评时，若服务器未安装杀毒软件，则测评项判定为________。答案：不符合解析：三级及以上要求主机层恶意代码检测。36.若采用HMAC-SM3，其输出长度为________位。答案：256解析：SM3杂凑输出256位，HMAC不改变长度。37.在SSL/TLS握手协议中，ServerHelloDone消息的长度固定为________字节。答案：0解析：该消息仅类型字段，无负载。38.在数据库加密中，列级加密通常采用的加密模式为________模式，以支持等值查询。答案：确定性加密（DET）解析：AzureAlwaysEncrypted、MySQLENCRYPTEDCOLUMN均支持DET。39.在等保2.0中，云计算扩展要求对虚拟化平台的测评属于________层。答案：虚拟化层解析：云计算扩展要求明确分层。40.若采用国密SSLVPN，其握手过程中用于密钥交换的椭圆曲线点为________进制表示。答案：十六解析：SM2公钥点坐标以十六进制编码传输。四、简答题（每题10分，共30分）41.简述等级保护2.0与1.0在“安全管理中心”要求上的主要差异。答案与解析：1.0仅提出“安全管理机构”管理要求，2.0新增“安全管理中心”技术控制域，要求建设集中管控、系统管理、安全管控三大子类，强调技术平台化：（1）集中管控：要求部署SOC或SIEM，实现策略集中下发、日志集中收集、告警统一呈现；（2）系统管理：要求对设备、资产、补丁、配置进行集中管理，支持自动化；（3）安全管控：引入安全可视化、态势感知、联动处置，四级以上要求支持APT检测与威胁情报对接。综上，2.0将安全管理从制度层面提升到“平台+制度”双轮驱动。42.说明在云计算环境中，测评机构如何对“镜像完整性”进行验证，并给出两种技术方法。答案与解析：（1）镜像哈希校验：在黄金镜像发布阶段，使用SM3或SHA-256计算镜像文件哈希，写入签名文件；测评时抽取运行实例磁盘，重新计算哈希并与签名值比对，若一致则判定为符合。（2）远程证明（RemoteAttestation）：利用TPM/vTPM对镜像启动过程进行度量，把PCR值通过国密SM2签名后发送至验证平台；测评机构通过验证签名及PCR预期值，确认镜像未被篡改。以上两种方法可交叉验证，确保镜像完整性。43.概述SSL/TLS中间人攻击的原理，并给出在等保测评中可采取的三种防御检测措施。答案与解析：原理：攻击者通过伪造证书、劫持ARP或DNS，使客户端与攻击者建立加密通道，攻击者再与服务器建立第二条通道，从而解密、篡改流量。防御检测措施：（1）证书校验：启用HSTS、PKI证书链校验，禁止浏览器跳过警告；测评时使用SSLLabs工具检测证书可信度。（2）证书透明度（CT）日志核查：要求CA将证书发布到CT日志，测评时通过crt.sh查询是否存在可疑证书。（3）通道绑定（ChannelBinding）：启用TLS扩展tls-unique或RFC5929，将TLSFinished消息绑定到上层协议，测评时通过抓取握手包验证绑定值一致性，发现中间人注入。五、综合应用题（共60分）44.计算与分析题（20分）某三级系统采用双机房热备，数据库每日0点全量备份，每6小时增量备份。全量备份大小800GB，增量备份平均40GB，备份数据保留30天，采用RAID5存储，磁盘利用率，单盘4TB。（1）计算30天所需总存储容量（单位：TB，保留两位小数）。（2）若采用8盘RAID5，求实际需配置的裸容量，并判断单盘故障是否影响备份可用性。（3）从等保测评角度，给出两项改进建议并说明理由。答案与解析：（1）全量：800GB×30=24TB；增量：40GB×4×30=4.8TB；合计28.80TB。（2）8盘RAID5可用容量=4TB×(8-1)=28TB<28.80TB，不满足；需裸容量=28.80×8/7≈32.91TB，即至少9盘；RAID5单盘故障可通过校验盘重建，备份可用，但重建期间再故障则数据丢失。（3）建议：①增加异地容灾，按四级要求实时备份，防止机房级灾难；②采用RAID6或三副本，提高容错能力，降低重建窗口风险。45.案例分析题（20分）某电商平台部署在阿里云，系统等级为三级。测评发现：a)云防火墙仅启用默认策略，未限制出方向；b)应用服务器Windows2012未打补丁KB5015807（高危）；c)RDSMySQL开启公网地址，root允许任意主机登录；d)日志仅保存18天；e)未提供第三方渗透测试报告。请依据GB/T28448-2019，完成：（1）给出每项问题对应的测评项编号（写到最小控制点）；（2）判定每项问题的风险等级（高/中/低）；（3）给出整改优先级排序（1最高），并说明理由。答案与解析：（1）a)安全区域边界-访问控制-三级要求：应对进出网络的数据流进行控制（7.1.3.2）；b)安全计算环境-恶意代码防范-应及时更新补丁（7.1.4.3）；c)安全计算环境-身份鉴别-应对管理员进行双因子并限制来源（7.1.4.1）；d)安全管理中心-集中管控-日志保存不少于6个月（7.1.6.3）；e)