2026年关键信息基础设施保护考核试题及答案

2026年关键信息基础设施保护考核试题及答案一、单项选择题（每题2分，共20分）1.根据《中华人民共和国网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险（）至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。A.每季度B.每半年C.每年D.每两年2.依据《关键信息基础设施安全保护条例》，下列哪项不属于关键信息基础设施安全保护工作应坚持的原则？（）A.统筹协调B.谁主管谁负责C.市场化运作D.依法保护3.在网络安全等级保护2.0标准体系中，关键信息基础设施的安全保护等级原则上应不低于（）。A.第一级B.第二级C.第三级D.第四级4.针对关键信息基础设施的供应链安全风险，运营者应对采购的网络产品和服务，在（）环节进行安全审查。A.仅采购前B.仅使用中C.采购前和使用中D.采购前、使用中和报废后5.以下哪种攻击方式最可能被用于破坏关键信息基础设施的物理层安全？（）A.SQL注入攻击B.分布式拒绝服务攻击C.针对工业控制系统的恶意代码攻击D.对核心机房供电设施的物理破坏6.根据相关要求，关键信息基础设施的运营者应当设立专门的（），并对该机构负责人和关键岗位人员进行安全背景审查。A.市场营销部门B.网络安全管理部门C.人力资源部门D.财务审计部门7.在发生危害关键信息基础设施安全的重大风险事件时，运营者应当按照有关规定，立即启动应急预案，并（）向保护工作部门和相关主管部门报告。A.在24小时内B.在12小时内C.在事件处置完毕后D.立即8.下列哪项技术主要用于检测和防御针对关键信息基础设施的高级持续性威胁？（）A.传统防火墙B.基于特征的入侵检测系统C.威胁情报与行为分析结合的安全平台D.网络访问控制列表9.对于关键信息基础设施的数据安全，特别强调对（）的保护，防止数据泄露、篡改、丢失。A.所有存储数据B.公开宣传数据C.核心业务数据、重要数据和公民个人信息D.历史备份数据10.关键信息基础设施的运营者进行网络安全应急演练，其频率应至少为（）。A.每月一次B.每季度一次C.每年一次D.每两年一次二、多项选择题（每题3分，共15分，多选、少选、错选均不得分）1.根据《关键信息基础设施安全保护条例》，关键信息基础设施的认定需要考虑的因素包括（）。A.网络、设施、系统对本行业、本领域关键核心业务的重要程度B.网络、设施、系统一旦遭到破坏、丧失功能或者数据泄露可能造成的危害程度C.对其他行业和领域的关联性影响D.运营者的所有制形式和资产规模2.关键信息基础设施安全保护“三化六防”中的“三化”指的是（）。A.实战化B.体系化C.常态化D.制度化3.关键信息基础设施的运营者应当履行的安全保护义务包括（）。A.建立健全网络安全保护制度和责任制B.设置专门安全管理机构，进行安全背景审查C.对重要系统和数据库进行容灾备份D.优先采购国产化的网络产品和服务4.下列属于关键信息基础设施典型安全威胁的有（）。A.勒索软件攻击B.供应链攻击C.内部人员恶意操作D.自然灾害导致的基础设施损毁5.在关键信息基础设施安全监测预警体系中，通常包括的环节有（）。A.信息收集B.风险评估C.预警发布D.响应处置三、判断题（每题1分，共10分）1.《关键信息基础设施安全保护条例》的立法依据包括《中华人民共和国网络安全法》和《中华人民共和国数据安全法》。（）2.所有的大型互联网平台企业运营的网络都属于关键信息基础设施。（）3.关键信息基础设施的运营者可以自主决定是否对其网络进行等级保护定级备案。（）4.安全审计是事中防护和事后追溯的重要手段，关键信息基础设施必须部署完善的审计系统。（）5.根据最小权限原则，关键信息基础设施运维人员的访问权限应设定为其完成工作所必需的最小权限。（）6.对关键信息基础设施的攻防演练只能由运营者内部组织，不得引入外部攻击方。（）7.密码技术是保障关键信息基础设施安全的核心技术和基础支撑。（）8.关键信息基础设施的运营者只需保护自身网络安全，无需关注其供应链上下游合作伙伴的安全状况。（）9.云计算、物联网等新技术的应用，降低了关键信息基础设施的安全风险。（）10.关键信息基础设施的网络安全事件应急预案，应当与相关行业、领域的国家级应急预案相衔接。（）四、简答题（每题5分，共25分）1.简述关键信息基础设施安全保护中“动态防御”理念的核心内涵。2.列出关键信息基础设施运营者应定期开展的至少三项主要安全活动。3.说明在关键信息基础设施安全保护中，为何要特别强调“数据安全”。4.简述供应链安全风险对关键信息基础设施的主要威胁形式。5.简要说明网络安全审查制度对于关键信息基础设施安全保护的意义。五、论述题（每题10分，共20分）1.请论述在数字化、智能化转型背景下，关键信息基础设施安全保护面临哪些新的挑战？运营者应如何应对？2.结合《关键信息基础设施安全保护条例》，论述国家、行业主管部门、运营者三方在关键信息基础设施安全保护体系中的职责与协同机制。六、案例分析题（10分）某大型能源企业的生产控制系统被认定为关键信息基础设施。该系统早期采用国外某厂商的工控设备，并通过专用网络与企业管理网进行有限的数据交换。近年来，为提升智能化管理水平，企业实施了“工业互联网”改造项目，将大量生产控制数据通过新建的工业互联网平台与企业云平台、移动应用端进行集成，实现了远程监控和数据分析。改造后不久，企业网络安全监测平台发现生产控制网络中有异常数据外传的迹象，经溯源分析，疑似为潜伏在早期采购的国外工控设备固件中的后门程序被远程激活导致。请根据上述案例，分析：1.该企业在关键信息基础设施保护方面可能存在哪些薄弱环节？（4分）2.从技术和管理两个层面，提出针对性的改进建议。（6分）七、计算题（本题10分，请写出详细计算过程）假设某关键信息基础设施的某个核心业务系统，其可用性要求为99.99%。现计划部署双机热备系统以提高可靠性。已知单台服务器的平均故障间隔时间（MTBF）为10000小时，平均修复时间（MTTR）为10小时。当采用双机热备（一台工作，一台热备，假设切换时间为0）模式时，试计算该双机热备系统的理论可用性。（提示：单机可用性A=；双机热备系统可用性=1答案与解析一、单项选择题1.C解析：根据《中华人民共和国网络安全法》第三十八条，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。2.C解析：《关键信息基础设施安全保护条例》第四条规定，关键信息基础设施安全保护工作坚持综合协调、分工负责、依法保护，并强化和落实运营者主体责任。未包含“市场化运作”原则。3.C解析：根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等相关规定，关键信息基础设施在网络安全等级保护制度基础上实行重点保护，其安全保护等级应不低于第三级。4.C解析：《关键信息基础设施安全保护条例》第十九条、二十条明确，运营者应当优先采购安全可信的网络产品和服务，并按照规定进行安全审查。供应链安全风险应进行全生命周期管理，包括采购前和使用中。5.D解析：物理层安全主要关注环境、设备、介质等的安全。对核心机房供电设施的物理破坏直接针对物理基础设施，属于物理层攻击。其他选项主要针对网络、应用或控制系统逻辑层面。6.B解析：《关键信息基础设施安全保护条例》第十五条规定，运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。7.D解析：《关键信息基础设施安全保护条例》第二十四条规定，发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定，立即启动应急预案，并立即向保护工作部门、公安机关报告。8.C解析：高级持续性威胁通常具有隐蔽性强、持续时间长、手段复杂多变的特点。传统防火墙和基于特征的入侵检测系统难以有效应对。结合威胁情报与用户实体行为分析的安全平台，能够更好地发现异常行为和未知威胁。9.C解析：关键信息基础设施承载着核心业务和重要数据，其数据安全至关重要。相关法律法规特别强调对核心业务数据、重要数据和公民个人信息的重点保护。10.C解析：相关标准和管理要求通常规定，关键信息基础设施的运营者应每年至少组织一次网络安全应急演练，以检验预案的有效性，提升应急处置能力。二、多项选择题1.ABC解析：《关键信息基础设施安全保护条例》第九条规定了认定关键信息基础设施需要考虑网络、设施、系统的重要性、危害程度和关联性影响，与运营者的所有制形式和资产规模无直接必然联系。2.ABD解析：在关键信息基础设施安全保护实践中，“三化”通常指实战化、体系化、常态化。“六防”指动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控。3.ABC解析：A、B、C选项均为《关键信息基础设施安全保护条例》中明确规定的运营者安全保护义务。D选项“优先采购国产化产品和服务”是政策导向和安全审查要求的一部分，但并非直接的法定义务条文表述，且安全审查不局限于国产产品。4.ABCD解析：关键信息基础设施面临的安全威胁是全方位、多层次的，既包括网络攻击（A、B、C），也包括物理和环境安全威胁（D）。5.ABCD解析：一个完整的监测预警体系应包括从信息收集、分析研判、风险评估、预警发布到响应处置的全流程闭环管理。三、判断题1.√解析：《关键信息基础设施安全保护条例》第一条规定，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律制定本条例。2.×解析：关键信息基础设施的认定基于网络、设施、系统对国家、社会、公共利益的重要性及危害程度，并非所有大型互联网平台都必然被认定为关键信息基础设施，需由相关认定规则和主管部门确定。3.×解析：关键信息基础设施必须依法开展网络安全等级保护定级、备案、测评、整改等工作，这不是运营者可自主决定的事项。4.√解析：安全审计能够记录和分析用户行为和系统事件，是发现违规操作、安全事件追溯定责的关键措施，对关键信息基础设施必不可少。5.√解析：最小权限原则是网络安全的基本原则之一，旨在减少因权限过大带来的内部风险。6.×解析：国家支持运营者、专业机构等依法开展网络安全仿真测试、攻防演练等活动，提升防护能力。实战化的攻防演练常会引入外部专业攻击团队（红队）。7.√解析：密码技术是实现身份认证、数据加密、完整性保护等安全功能的基础，在关键信息基础设施保护中具有不可替代的作用。8.×解析：供应链安全是整体安全的重要组成部分。运营者需对采购的网络产品和服务进行安全审查，并关注供应链上下游的安全风险。9.×解析：云计算、物联网等新技术在带来便利和效率提升的同时，也引入了新的安全风险，如虚拟化安全、边界模糊、海量终端接入等，使安全防护更为复杂。10.√解析：关键信息基础设施的网络安全事件影响范围广，其应急预案需要纳入国家及行业整体的应急响应体系，实现协同联动。四、简答题1.动态防御的核心内涵是改变传统静态、被动的防护模式，通过持续监测、分析、响应和调整安全策略，使防御体系能够适应不断变化的威胁环境。它强调安全能力的“可生长”和“自适应”，包括资产的动态梳理、威胁的动态感知、策略的动态调整和能力的动态提升，旨在构建一个能够“主动进化”的防御体系。2.（1）每年至少进行一次全面的网络安全风险评估和检测评估。（2）定期（如每年）组织网络安全应急演练。（3）定期对全体员工进行网络安全意识教育和技能培训。（4）定期对安全策略、访问控制列表、系统漏洞等进行审查和更新。（5）定期对安全日志和审计记录进行分析。（答出其中三项即可）3.关键信息基础设施承载和处理大量核心业务数据、重要数据和海量公民个人信息。这些数据一旦泄露、篡改或丢失，可能直接危害国家安全、经济运行、社会稳定和公共利益。数据安全是保障关键信息基础设施业务连续性的基础，也是维护个人权益和社会信任的关键。因此，在保护网络和系统安全的同时，必须将数据安全置于突出位置，进行全生命周期保护。4.主要威胁形式包括：（1）在产品硬件、软件、固件中植入恶意代码、后门；（2）提供存在已知或未知高危漏洞的产品和服务；（3）在软件更新、维护服务过程中实施攻击；（4）供应商自身安全能力不足导致其成为攻击跳板；（5）关键产品和服务供应中断的风险。5.网络安全审查制度是防范关键信息基础设施供应链安全风险的重要关口。其意义在于：（1）事前预防：通过对采购的网络产品和服务进行安全审查，提前发现并阻断潜在的安全威胁，特别是产品非法控制、数据泄露等风险。（2）保障安全可信：推动运营者优先采购安全可信的产品和服务，提升整体供应链安全水平。（3）维护国家安全：是维护国家网络安全，特别是关键信息基础设施安全的重要法律制度安排。五、论述题1.新挑战：攻击面扩大：数字化、智能化转型推动IT与OT深度融合，工业互联网、物联网设备大量接入，使得攻击入口急剧增加，传统网络边界模糊甚至消失。威胁复杂化：攻击者利用人工智能、大数据等技术发动更精准、更隐蔽的高级持续性威胁和供应链攻击。针对工业控制系统的专用恶意软件威胁增大。数据安全风险凸显：数据成为核心资产，数据采集、流动、共享场景复杂，数据泄露、滥用、跨境流动带来的风险加剧。技术依赖风险：对特定基础软件、硬件平台、云服务的深度依赖，可能形成新的供应链“卡脖子”风险和安全漏洞集中风险。安全人才与技能缺口：复合型网络安全人才（既懂IT又懂OT）严重短缺，现有人员安全技能难以应对新技术、新场景下的安全需求。应对策略：构建纵深防御与零信任体系：在传统边界防护基础上，向身份为中心、持续验证的零信任架构演进，实现细粒度访问控制。强化主动与动态防御能力：加强威胁情报建设，利用态势感知平台实现全局监控、协同响应。定期开展实战化攻防演练。深化数据安全治理：建立覆盖数据全生命周期的安全管理体系，采用加密、脱敏、审计等技术，严格管控数据访问与流动。加强供应链安全管控：严格执行安全审查制度，建立供应商安全评估机制，推动关键环节技术产品的自主可控与安全可信。注重安全内生与人才建设：推动安全能力与业务系统同步规划、建设、运行，加大复合型网络安全人才培养和引进力度。2.三方职责与协同：国家层面：负责顶层设计、制定法律法规、国家标准和重大政策；建立统筹协调机制；组织跨部门、跨行业、跨地区的联合防护和应急响应；对影响国家安全的重大风险进行处置。行业主管部门/保护工作部门：负责制定本行业、本领域关键信息基础设施安全规划、政策和标准；组织认定本行业、本领域关键信息基础设施；指导监督运营者落实安全保护义务；接收运营者安全报告，组织检查检测；负责本行业、本领域的监测预警和应急协调。运营者：承担安全保护主体责任。包括：建立健全内部安全管理制度和责任制；设置专门安全管理机构；落实等级保护制度；开展风险评估、监测预警、应急演练；报告安全事件和威胁；保障安全投入；履行供应链安全审查义务等。协同机制：信息共享与通报：国家建立信息共享平台，运营者按规定向保护工作部门报送安全信息，保护工作部门向运营者通报威胁情报和预警信息。监督指导与检查：保护工作部门对运营者进行监督、检查和指导，运营者配合并落实整改要求。应急联动：在国家及行业应急预案框架下，运营者、保护工作部门、国家协调机制之间建立顺畅的应急报告和协同处置流程。技术支持与协作：国家支持技术创新和产业发展，运营者、研究机构、安全企业等多方协作，共同提升技术防护能力。六、案例分析题1.存在的薄弱环节：供应链安全管理缺失：早期采购国外工控设备时，未进行充分的安全审查或检测，导致内置后门风险未被发现。安全架构设计缺陷：在“工业互联网”改造中，可能未充分评估并隔离生产控制网络（OT）与企业管理网、互联网（IT）之间日益增多的数据通道风险