2026年服务器安全管理考试题及答案

2026年服务器安全管理考试题及答案一、单项选择题（本大题共20小题，每小题1.5分，共30分，每小题只有一个正确答案）1.下列选项中，不属于服务器物理访问控制核心防护措施的是A.机房出入口设置多级授权门禁系统B.退役存储介质的剩余磁场消磁处理C.机房监控录像留存期限不低于90天D.对服务器闲置USB口做物理封堵2.针对IaaS层云服务器的多租户隔离场景，下列哪项是最核心的底层隔离机制A.虚拟局域网VLAN网络隔离B.Hypervisor虚拟化层隔离C.操作系统访问控制列表ACLD.应用层RBAC角色权限隔离3.相较于无凭证漏洞扫描，带凭证漏洞扫描的核心优势是A.能够准确发现服务器开放的端口B.可检测系统内部未安装补丁的漏洞与配置错误C.扫描过程不会产生额外网络流量D.不会触发服务器入侵防御系统的告警4.根据我国网络安全等级保护2.0标准的要求，三级信息系统服务器操作日志与访问日志的最低留存期限是A.1个月B.3个月C.6个月D.12个月5.对于存储过核心敏感数据的退役服务器存储介质，下列哪种处理方式满足合规要求且安全性最高A.快速格式化后重新分配给非敏感业务使用B.删除分区表后转售给第三方合作机构C.符合NIST800-88标准的消磁/覆写/物理粉碎处理D.删除所有文件后直接丢弃6.下列关于SSH服务安全加固的措施中，错误的是A.禁用root账户直接远程登录B.将默认22端口修改为非特权高位端口C.允许空密码登录提升运维效率D.启用公钥认证，禁用密码登录方式7.下列选项中，属于基于主机的入侵检测系统（HIDS）核心特点的是A.可监控整个服务器网段的所有流量B.仅监测对应服务器本地的活动与异常行为C.无法检测经过加密的流量D.需要部署在核心交换机的镜像端口8.零信任架构应用于服务器访问控制的核心原则是A.默认信任企业内部网络，仅验证外部访问B.永不信任，始终验证C.基于源IP地址授予访问权限D.一次认证，永久信任9.当企业核心服务器遭遇勒索软件加密后，下列哪种处置顺序是符合安全规范的A.直接格式化磁盘清除勒索软件→恢复业务→溯源→上报B.断网隔离被感染服务器→保留攻击现场→备份样本→恢复验证→溯源排查→上报整改C.立即支付赎金解密→恢复业务→修改密码D.删除所有被加密文件→重启服务器→恢复业务10.幽灵、熔断等CPU侧通道漏洞属于下列哪类漏洞A.应用层代码漏洞B.硬件设计漏洞C.服务器配置漏洞D.逻辑漏洞11.下列选项中，不属于服务器基线配置核查必查项的是A.开放端口列表是否符合最小权限原则B.系统中是否存在弱口令账户与闲置账户C.机房温湿度是否符合设备运行要求D.系统中不必要的服务是否已经关闭12.对于面向公网提供服务的Web服务器，下列哪种防护组合能够最有效阻断常见安全攻击A.网络防火墙+Web应用防火墙（WAF）+入侵防御系统（IPS）B.仅开启系统内置防火墙C.仅安装桌面端杀毒软件D.仅留存操作日志，不做主动防护13.灾备体系中，RTO（恢复时间目标）的定义是A.灾难发生后，系统恢复到可正常运行状态所能接受的最长时间B.灾难发生后，所能容忍的最大数据丢失量对应的时间窗口C.主数据中心与灾备中心之间的最小物理距离D.灾备数据要求的最低留存周期14.Linux系统中，存储用户密码哈希值的文件是A./etc/passwdB./etc/shadowC./etc/groupD./etc/hosts15.WindowsServer系统中，默认处于禁用状态的内置账户是A.AdministratorB.GuestC.SystemD.NetworkService16.下列哪种加密方式适合对服务器静态存储敏感数据做全磁盘加密A.AES-256全磁盘加密B.RSA非对称加密C.MD5哈希加密D.Base64编码17.下列关于漏洞CVE编号的说法，正确的是A.CVE是全球通用的公共漏洞披露统一编号B.CVE是我国国家信息安全漏洞共享平台专属编号C.CVE是设备厂商自定义的漏洞编号D.CVE是厂商补丁的统一编号18.下列哪种变更行为符合服务器安全变更管理规范A.为加快业务恢复，运维工程师直接变更核心配置，不做审批与记录B.变更前制定回退方案、备份核心数据，走审批流程，变更后验证可用性并记录C.变更完成后仅口头通知相关人员，不做书面记录D.多名运维工程师同时修改核心服务器同一配置，不做隔离管控19.容器化部署的服务器节点中，下列哪项是容器场景特有的安全风险A.容器逃逸获取宿主机权限B.操作系统存在弱口令漏洞C.开放不必要的公网端口D.宿主机漏洞影响容器安全20.根据等保2.0标准要求，三级信息系统的核心服务器应当至少多长时间开展一次全面安全评估A.半年B.1年C.2年D.3个月二、多项选择题（本大题共10小题，每小题2分，共20分，多选、少选、错选均不得分）1.服务器物理安全防护涵盖下列哪些核心方向A.机房出入访问控制B.机房环境监控（温湿度、消防、防水）C.服务器设备防盗防破坏防护D.退役存储介质销毁管理E.服务器应用漏洞修复2.相较于传统物理服务器，云服务器新增了哪些特有的安全风险A.Hypervisor虚拟化层逃逸风险B.多租户共享资源导致的隔离失效风险C.云服务商侧运维权限带来的数据泄露风险D.数据存储位置不可控导致的合规风险E.操作系统漏洞风险3.基于角色的访问控制（RBAC）应用于服务器权限管理的优势包括A.便于落实最小权限原则，权限分配清晰可追溯B.降低大型企业多用户场景下的授权管理复杂度C.实现权限分离，避免超权限访问敏感资源D.默认开放所有权限，提升运维效率E.不需要定期开展权限复核4.服务器日志审计的核心安全作用包括A.入侵事件发生后溯源定位攻击路径与影响范围B.满足等保、GDPR等合规性检查要求C.实时发现异常访问与操作行为D.帮助定位服务器系统与业务故障E.替代漏洞扫描提前发现所有安全漏洞5.勒索软件攻击企业服务器的常见入侵路径包括A.远程桌面RDP/SSH弱口令暴力破解B.公网Web服务存在未修补的远程代码执行漏洞C.钓鱼邮件诱导运维人员下载运行恶意程序D.非授权物理接触服务器植入恶意程序E.移动存储介质交叉使用传播病毒6.企业服务器常见的备份策略类型包括A.完全备份B.增量备份C.差异备份D.快照备份E.无备份策略7.零信任架构落地服务器访问管理的常见措施包括A.取消传统内部信任域，所有访问无论来自内部还是外部都需要验证B.对所有访问者启用多因素身份认证C.持续评估访问风险，动态调整授权范围D.默认开放所有端口，方便业务访问E.基于用户身份而非源IP地址授予权限8.下列选项中，属于Linux服务器安全加固常用措施的有A.禁用不必要的系统服务B.删除或锁定闲置的系统账户C.定期更新系统内核与软件补丁D.启用SELinux/AppArmor强制访问控制E.开放所有ICMP请求方便运维探测9.下列选项中，属于服务器配置错误导致的安全漏洞有A.开放了不必要的公网敏感端口B.保留了系统默认测试账户与默认密码C.开发人员遗留的未公开测试后门D.CPU硬件设计存在侧通道漏洞E.Web应用代码存在SQL注入漏洞10.服务器安全事件处置的基本原则包括A.先恢复业务后清除威胁，不需要保留现场B.先隔离被感染资产，避免威胁扩散C.处置过程尽可能降低对正常业务的影响D.完整保留攻击现场，便于溯源排查E.按照要求及时向监管部门上报事件三、判断题（本大题共10小题，每小题1分，共10分，正确打√，错误打×）1.服务器安全只需要做好网络与逻辑层面防护，物理安全不影响核心数据安全。2.云服务器的所有安全责任都由云服务商承担，用户不需要自行配置安全策略。3.带凭证漏洞扫描需要提供服务器合法账户权限，能够比无凭证扫描更精准发现系统内部漏洞与配置错误。4.Linux系统中，/etc/passwd对所有用户可读，因此不会存储明文密码，用户密码哈希统一存储在仅root可读写的/etc/shadow文件中。5.灾备体系中，RTO指标越小，代表系统恢复能力越强，对应的建设成本也越高。6.为了方便运维，核心服务器的超级管理员账户可以多人共用，不需要记录个人操作。7.容器和虚拟机都拥有独立完整的操作系统，因此二者安全风险没有差异。8.只要在服务器上安装了杀毒软件，就可以完全防范所有安全威胁。9.等保2.0三级标准要求，服务器日志留存期限不得少于6个月。10.服务器退役时，只要删除所有文件就可以直接对外出售，不需要做数据销毁处理。四、案例分析题（本大题共2小题，每小题10分，共20分）1.某大型国企内部ERP系统服务器部署在企业自建数据中心，操作系统为WindowsServer2016，仅面向企业内部员工开放访问。运维人员为了方便出差工程师远程维护，将服务器3389远程桌面端口直接映射到公网IP，开启密码登录方式，为了便于记忆设置密码为`abcd@1234`，同时保留了系统安装时默认生成的test测试账户，账户名与密码相同。2025年11月该服务器被勒索软件加密，所有业务数据无法访问，运维人员发现最近3个月的备份数据因为备份硬盘物理损坏完全无法恢复，导致ERP系统停摆3天，直接经济损失超过千万元。问题：（1）请分析该服务器在安全管理方面存在哪些问题？（6分）（2）针对存在的问题给出对应整改措施。（4分）2.某互联网创业公司所有业务都部署在公有云ECS云服务器上，共10台服务器分别运行前端Web、后端接口、用户数据库，开发人员为了方便调试，在所有云服务器的安全组中开放了0.0.0.0/0对22端口、3306端口的访问，所有服务器的root账户使用同一个密码，密码明文存储在开发团队共享的在线文档中，数据库未开启审计日志，近半年没有开展过漏洞扫描和补丁更新。2026年1月，黑客通过公网扫描发现某台Web服务器存在未修补的Log4j2远程代码执行漏洞，入侵后拿到服务器权限，进一步获取root密码，登录数据库窃取了全部10万条用户敏感信息，导致公司被监管部门处罚500万元，同时面临大量用户索赔。问题：（1）请梳理本次入侵事件的完整攻击路径。（4分）（2）请指出该公司在服务器安全配置与管理中存在的错误。（6分）五、综合应用题（本大题共1小题，共20分）某省级政务服务平台核心业务共有12台服务器，其中4台前置Web服务器、2台应用服务器、3台数据库服务器、3台大数据分析服务器，全部部署在政务云平台，按照等保2.0三级标准要求建设。请结合服务器安全管理核心要求，从物理安全（云平台侧）、访问控制、漏洞管理、日志审计、备份恢复、事件处置六个方面，设计该平台核心服务器的安全管理方案，要求符合三级等保要求，覆盖核心安全需求。参考答案与解析一、单项选择题1.答案：B解析：物理访问控制的核心目标是防止非授权人员物理接触或改动服务器资产，消磁处理是退役存储介质的数据销毁措施，不属于访问控制范畴，因此B正确。多级授权门禁、监控留存、封堵闲置USB口都属于物理访问控制措施，因此ACD不选。2.答案：B解析：IaaS层云服务器的底层隔离依赖Hypervisor虚拟化层实现不同租户资源的隔离，这是最核心的底层隔离机制，因此B正确。VLAN隔离是网络层隔离方式，ACL是操作系统层，RBAC是应用层，都不是最核心的底层IaaS隔离机制，因此ACD不选。3.答案：B解析：带凭证扫描通过合法权限登录服务器内部，能够读取系统补丁信息、配置文件，因此可以精准发现未打补丁、配置错误等内部问题，无凭证扫描仅能从外部探测，因此B正确。发现开放端口是无凭证扫描也能实现的功能，带凭证扫描也会产生流量，也可能触发IPS告警，因此ACD错误。4.答案：C解析：我国等保2.0标准明确要求，三级信息系统日志留存不少于6个月，因此C正确。5.答案：C解析：符合NIST800-88标准的消磁（针对磁性介质）、覆写（针对SSD）、物理粉碎（无法覆写的损坏介质）是目前公认最安全合规的存储介质销毁方式，因此C正确。格式化、删除分区表都无法彻底清除数据，残留数据可以被恢复，因此ABD错误。6.答案：C解析：允许空密码登录会导致攻击者无需密码即可登录服务器，属于严重错误的加固措施，因此C正确。其余选项都是正确的SSH加固措施，因此ABD不选。7.答案：B解析：HIDS是部署在单个服务器主机上的入侵检测系统，仅监测对应主机本地的活动，因此B正确。监控全网流量、部署在镜像端口都是网络型入侵检测NIDS的特点，HIDS可以读取解密后的主机本地流量，因此可以检测加密流量，因此ACD错误。8.答案：B解析：零信任的核心原则就是永不信任，始终验证，因此B正确。其余选项都是传统基于边界的访问控制的特点，因此ACD错误。9.答案：B解析：正确的处置顺序是先断网隔离防止勒索病毒横向扩散，保留攻击现场便于后续溯源，备份样本后再恢复业务，最后溯源排查、上报整改，因此B正确。其余选项都会破坏现场或者导致威胁扩散，因此ACD错误。10.答案：B解析：幽灵、熔断漏洞是CPU芯片设计阶段存在的逻辑缺陷，属于硬件设计漏洞，因此B正确。11.答案：C解析：机房温湿度属于物理环境安全检查项，不属于服务器基线配置核查的范畴，基线配置核查针对服务器系统本身的配置，因此C正确。其余选项都是基线配置核查的必查项，因此ABD不选。12.答案：A解析：网络防火墙阻断非法端口访问，WAF防护Web层常见攻击（SQL注入、XSS等），IPS阻断网络层入侵行为，三者组合可以有效防护公网Web服务器的常见攻击，因此A正确。其余选项防护不完整，无法应对多种攻击，因此BCD错误。13.答案：A解析：RTO是恢复时间目标，指灾难发生后系统恢复可正常运行的最长可接受时间，RPO是恢复点目标，指可容忍的最大数据丢失量，因此A正确。14.答案：B解析：Linux系统将用户密码哈希存储在/etc/shadow文件中，该文件仅root用户可读写，/etc/passwd存储用户基本信息，对所有用户可读，因此B正确。15.答案：B解析：WindowsServer系统中，Guest来宾账户默认处于禁用状态，因此B正确。Administrator默认启用，System、NetworkService是系统服务账户，因此ACD错误。16.答案：A解析：AES-256是对称加密算法，加密效率高，适合对全磁盘大容量数据进行加密，因此A正确。RSA加密效率低，适合加密小容量密钥，MD5是哈希算法不是加密算法，Base64是编码不是加密，因此BCD错误。17.答案：A解析：CVE（CommonVulnerabilitiesandExposures）是全球通用的公共漏洞统一披露编号，因此A正确。我国国家信息安全漏洞共享平台编号是CNNVD编号，因此B错误。18.答案：B解析：变更管理规范要求变更前备份、审批，制定回退方案，变更后验证记录，因此B正确。其余选项都不符合变更管理规范，因此ACD错误。19.答案：A解析：容器共享宿主机内核，因此存在攻击者突破容器限制获取宿主机权限的容器逃逸风险，这是容器场景特有的风险，因此A正确。其余选项是物理服务器和云服务器共有的风险，因此BCD不选。20.答案：B解析：等保2.0要求三级信息系统每年至少开展一次全面安全评估，因此B正确。二、多项选择题1.答案：ABCD解析：应用漏洞修复属于逻辑层面安全防护，不属于物理安全范畴，因此E不选，其余选项都属于服务器物理安全防护方向，因此ABCD正确。2.答案：ABCD解析：操作系统漏洞是物理服务器和云服务器共有的风险，不是云服务器特有，因此E不选，其余选项都是云服务器特有的风险，因此ABCD正确。3.答案：ABC解析：RBAC默认按照角色授予最小权限，不会默认开放所有权限，且需要定期复核权限，因此DE错误，其余选项都是RBAC的优势，因此ABC正确。4.答案：ABCD解析：日志审计无法替代漏洞扫描发现所有漏洞，因此E错误，其余选项都是日志审计的核心作用，因此ABCD正确。5.答案：ABCDE解析：勒索软件可以通过上述所有路径入侵服务器，其中前三种是当前最常见的路径，后两种也是不可忽视的入侵方式，因此ABCDE全部正确。6.答案：ABCD解析：无备份不属于合法备份策略类型，因此E不选，其余选项都是常见的服务器备份策略，因此ABCD正确。7.答案：ABCE解析：零信任遵循最小权限原则，不会默认开放所有端口，因此D错误，其余选项都是零信任落地的常见措施，因此ABCE正确。8.答案：ABCD解析：开放所有ICMP请求会方便攻击者探测服务器存活，不属于安全加固措施，因此E错误，其余选项都是正确的Linux加固措施，因此ABCD正确。9.答案：ABC解析：CPU硬件漏洞属于硬件设计问题，SQL注入属于应用代码漏洞，二者都不属于配置错误导致的漏洞，因此DE错误，其余选项都是配置错误导致的漏洞，因此ABC正确。10.答案：BCDE解析：安全事件处置要求保留攻击现场便于溯源，因此A错误，其余选项都是安全事件处置的基本原则，因此BCDE正确。三、判断题1.答案：×解析：物理安全是服务器安全的基础，非授权物理接触可以直接窃取存储数据、破坏硬件，因此物理安全非常重要。2.答案：×解析：云服务器安全采用责任分担机制，云服务商负责云基础设施安全，用户负责自身操作系统、应用、数据的安全，因此用户需要自行配置安全策略。3.答案：√解析：带凭证扫描拥有服务器内部访问权限，可以获取系统内部信息，扫描精度远高于无凭证扫描。4.答案：√解析：Linux系统的影子文件机制就是为了避免密码哈希泄露，/etc/shadow仅root可读写，提升了安全性。5.答案：√解析：RTO越小，要求灾备系统的恢复能力越强，需要投入的建设成本也越高。6.答案：×解析：核心服务器要求一人一号，一人一权限，所有操作可追溯，不允许多人共用超级管理员账户。7.答案：×解析：容器共享宿主机内核，没有独立完整的操作系统，安全风险比虚拟机更高，存在容器逃逸等特有风险。8.答案：×解析：杀毒软件主要防范已知病毒，无法防范零日漏洞、内鬼攻击、配置错误导致的安全问题，因此不能防范所有威胁。9.答案：√解析：等保2.0三级标准明确要求日志留存不少于6个月。10.答案：×解析：普通删除无法彻底清除数据，专业工具可以恢复残留数据，导致敏感数据泄露，因此退役服务器必须做数据销毁处理。四、案例分析题1.参考答案：（1）存在的问题：①暴露面管控不到位：将远程桌面3389端口直接映射到公网，未限制访问来源，增加了被暴力破解的风险；②密码管理不规范：使用强度极低的弱口令，容易被暴力破解；③账户管理不到位：未及时清理系统默认的闲置测试账户，给攻击者留下额外攻击入口；④备份管理不合规：没有建立多副本备份机制，未定期验证备份可用性，导致攻击后无法恢复业务；⑤未建立入侵检测机制：没有对远程登录失败行为做告警，无法及时发现暴力破解攻击。（每点1.2分，共6分）（2）整改措施：①关闭3389公网映射，远程运维必须通过VPN或零信任访问网关接入，仅允许授权IP段访问远程桌面；②落实强密码策略，要求密码长度不小于10位，包含大小写、数字、特殊字符，定期更换密码，启用多因素认证；③定期清理服务器闲置账户，删除默认测试账户；④建立“3-2-1”备份机制，定期开展备份恢复演练，验证备份可用性；⑤开启远程访问日志审计，对多次登录失败行为触发实时告警。（答对4点即可得4分）2.参考答案：（1）攻击路径：①黑客通过公网扫描发现该公司开放的Web服务与未修补的Log4j2漏洞；②利用漏洞执行恶意代码，入侵Web服务器获取权限；③在Web服务器中窃取到root明文密码，发现所有服务器使用同一密码；④利用3306、22端口对所有公网开放的配置，直接登录数据库服务器，窃取全部用户敏感数据。（每点1分，共4分）（2）存在的错误：①端口访问配置错误：开放了数据库3306、运维22端口对所有公网的访问，违反了最小暴露原则，仅应该允许授权IP访问；②密码管理严重失误：所有服务器使用同一root密码，且密码明文存储在共享文档中，一台服务器被攻破后所有服务器全部沦陷；③漏洞管理缺失：半年未开展漏洞扫描和补丁更新，导致已知高危漏洞Log4j2长期存在，被攻击者利用；④合规管理不到位：数据库未开启审计日志，入侵后无法溯源，不符合网络安全合规要求；⑤权限配置错误：云服务器安全组规则配置过于宽松，没有遵循最小权限原则。（每点1.2分，共6分）五、综合应用题参考答案：从六个方面设计安全管理方案如下：1.物理安全（云平台侧）：政务云服务商需要按照等保三级要求落实物理安全管控，机房出入口设置二级以上门禁，所有人员出入需要授权并登记，机房全域监控录像留存不少于6个月；落实温湿度、烟雾、漏水、防雷等环境监控，核心服务器采用冗余供电、冗余物理链路，避免单点故障；退役存储敏感数据的介质严格按照国家保密标准进行统一销毁，不允许流出政务云环境，防止数据泄