2026年网络安全等级测评师(中级)考核试题与答案

2026年网络安全等级测评师(中级)考核试题与答案1.单项选择题(1)根据《网络安全等级保护条例》要求，第三级网络运营者应当至少多久开展一次等级测评？A.半年B.一年C.两年D.三年答案：B解析：根据《网络安全等级保护条例》及等级保护工作管理要求，第三级网络/信息系统应当每年至少开展一次等级测评，第四级每半年至少开展一次，第五级根据安全需要随时测评，因此本题选择B。(2)在等保2.0“一个中心三重防护”框架中，安全通用要求不包含以下哪个层面？A.安全物理环境B.安全管理中心C.安全人员安全D.安全计算环境答案：C解析：等保2.0安全通用要求分为五个技术层面，分别是安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，安全人员管理属于安全管理要求范畴，不属于技术要求层面的独立域，因此本题选择C。(3)以下哪种情况不属于身份鉴别常见安全风险？A.使用厂商默认口令B.口令长度为10位，包含大小写字母、数字和特殊符号C.远程管理未采用多因素身份鉴别D.身份鉴别信息明文存储答案：B解析：长度不低于8位，包含多种字符类型的口令符合身份鉴别基本强度要求，不属于安全风险，其余选项均为等保测评中常见的身份鉴别风险点，对于三级系统，远程管理必须采用多因素身份鉴别，因此本题选择B。(4)根据GB/T22239-2019三级系统访问控制要求，系统默认权限应当遵循以下哪个原则？A.最小权限原则B.最大兼容原则C.按需开放原则D.自主分配原则答案：A解析：GB/T22239-2019明确规定，访问控制应遵循默认拒绝原则，配置权限遵循最小权限原则，仅开放业务必要的权限，因此本题选择A。(5)针对第三级信息系统，安全审计要求中审计日志的留存时间最少应当满足以下哪个要求？A.不少于1个月B.不少于3个月C.不少于6个月D.不少于12个月答案：C解析：GB/T22239-2019明确要求，三级以上信息系统的审计日志留存时间不少于6个月，因此本题选择C。(6)针对物联网扩展要求，物联网感知层的核心安全要求不包括以下哪项？A.感知节点身份鉴别B.感知节点数据完整性保护C.感知节点防非授权接入D.感知节点能耗优化答案：D解析：能耗优化属于物联网设备的功能设计需求，不属于等级保护要求的安全控制项，因此本题选择D。2.多项选择题(1)等保2.0相比等保1.0的核心变化包括以下哪些内容？A.扩展了适用范围，将云计算、大数据、物联网、移动互联、工业控制系统等新兴技术领域纳入标准覆盖范围B.提出了“一个中心三重防护”的安全框架，调整了安全要求结构C.优化了分级要求，安全要求强度适配当前网络安全威胁形势D.简化了定级备案流程，降低了对第三级以上系统的安全要求答案：ABC解析：等保2.0并未降低对各级系统的安全要求，反而针对新的威胁场景提升了安全控制要求，D选项描述错误，其余选项均为等保2.0的核心变化，因此本题选择ABC。(2)以下属于第三级系统安全管理中心要求的内容有哪些？A.对全网的安全设备、网络设备、服务器的运行状态进行集中监控B.对全网的安全策略、访问控制规则进行集中管理C.对全网的安全审计日志进行集中存储、汇总和分析D.对恶意代码、病毒库升级实现统一管理答案：ABCD解析：安全管理中心包含系统管理、安全管理、审计管理、集中管控四个核心部分，上述选项内容均属于三级系统安全管理中心的要求范畴，因此本题全选ABCD。(3)云服务场景下等级保护工作责任划分，以下描述正确的有哪些？A.云服务商对云平台自身的安全承担等级保护主体责任，需要对云平台开展等级测评B.云租户对自身部署在云平台的业务系统承担等级保护主体责任，需要定级备案并开展租户侧测评C.云平台已经做过等级测评，租户侧的业务系统不需要再单独定级测评D.第三级云租户业务系统同样需要每年开展一次等级测评答案：ABD解析：即使云平台已经完成等级测评，云租户自有独立业务系统符合定级标准的，仍然需要单独定级备案和测评，C选项描述错误，其余选项描述均符合云场景等级保护工作要求，因此本题选择ABD。(4)等级测评工作中，现场测评环节包含以下哪些工作内容？A.按照测评指标逐项开展配置核查B.开展漏洞扫描、渗透测试等技术测评工作C.访谈安全管理人员，核查管理制度落实情况D.编制测评结论和测评报告答案：ABC解析：编制测评报告属于报告编制环节的工作，不属于现场测评环节，D选项错误，其余均为现场测评环节的工作内容，因此本题选择ABC。(5)以下属于访问控制常见不符合项的有哪些？A.存在超权限开放用户权限的情况B.未删除离职人员的系统账号C.默认账户未修改默认口令或禁用D.权限配置遵循职责分离要求答案：ABC解析：权限配置遵循职责分离是符合要求的情况，不属于不符合项，D选项错误，其余均为常见的访问控制不符合项，因此本题选择ABC。3.案例分析题案例背景：某地级市政务服务中心，2025年完成定级，将对外提供企业办事服务的“一网通办”业务系统定为第三级，该系统部署在市政务云平台，整体架构为：前端用户通过互联网访问，云边界部署云WAF，负载均衡后转发到后端Web应用集群，后端关联云MySQL数据库和分布式缓存服务，后台运维管理员通过互联网远程登录服务器和网络设备进行运维操作，仅采用账号口令进行身份认证；系统开启了全量日志审计，日志存储在Web服务器本地磁盘，存储周期设置为30天；该单位指定了1名专职人员负责系统安全管理，制定了基本的安全管理制度，因为单位编制有限，每2年委托测评机构开展一次等级测评。请回答以下两个问题：(1)请指出该系统当前配置和管理中不符合三级等保要求的问题，并说明对应正确要求。(2)针对该系统的远程运维场景，列出该场景需要满足的三级系统身份鉴别要求。答案：(1)该系统共有6项不符合三级等保要求的问题，具体如下：①测评周期不符合要求：第三级系统要求每年至少开展一次等级测评，该单位每2年开展一次不符合规定。②远程运维身份鉴别不符合要求：三级系统要求对远程管理用户采用两种及以上组合的身份鉴别技术，即多因素鉴别，该单位仅使用口令单因素鉴别，不符合要求。③日志存储周期不符合要求：三级系统要求审计日志留存不少于6个月，该单位仅存储30天，不符合要求。④日志存储方式不符合要求：三级系统要求审计日志应当独立集中存储，避免攻击者入侵后删除篡改本地日志，该单位存储在Web服务器本地，不符合安全审计要求。⑤安全区域边界防护不符合要求：仅部署云WAF，缺少边界访问控制、入侵检测/防御等必要安全措施，未对进出核心区域的流量进行全面的访问控制和入侵防范，不符合“一个中心三重防护”中安全区域边界的要求。⑥人员管理不符合要求：三级系统应当明确安全管理岗位职责，满足职责分离要求，该单位仅配置1名专职安全管理人员，未实现权限分散、职责分离，也未按要求开展定期人员安全培训和考核，不符合安全管理要求。(2)远程运维场景需要满足的三级系统身份鉴别要求如下：①应对每一个远程运维用户分配唯一的身份标识，确保身份标识唯一可追溯，禁止多人共用运维身份账号。②身份鉴别信息需要满足复杂度要求，要求口令长度不低于8位，包含大小写字母、数字、特殊符号中至少三种类型，并且要求定期更换，不得复用近三次以内的历史口令。③必须采用两种或两种以上组合的身份鉴别技术，其中至少一种鉴别技术需要通过密码技术实现，例如口令加U盾、口令加动态令牌、口令加加密的生物识别等多因素鉴别方式。