2026年网络与信息安全管理员考试模拟题及答案

2026年网络与信息安全管理员考试模拟题及答案1.根据《网络安全等级保护2.0》要求，第三级以上网络的运营者应当聘请对网络进行等级测评，测评频率为。下列选项正确的是（）A.公安机关，每年至少一次B.国家认可的等级测评机构，每两年至少一次C.国家认可的等级测评机构，每年至少一次D.第三方安全厂商，每两年至少一次正确答案C。根据《网络安全等级保护条例》和等级保护2.0相关要求，第三级及以上网络运营者需要委托具备资质的、国家认可的等级测评机构开展测评，其中第三级网络每年至少测评一次，第四级每半年至少测评一次，因此选C。2.某企业办公系统遭遇攻击者入侵，攻击者通过在网站注入恶意代码，获取了用户存储在浏览器中的登录Cookie信息，进而冒用用户身份登录系统，该攻击方式属于（）A.CSRF跨站请求伪造B.XSS跨站脚本攻击C.SQL注入攻击D.目录遍历攻击正确答案B。XSS跨站脚本攻击的核心是攻击者向网页注入恶意脚本，盗取用户Cookie、session等身份凭证，进而冒用身份，符合题干描述；CSRF是跨站请求伪造，是利用用户登录凭证伪造请求，并非盗取Cookie；SQL注入是通过注入SQL语句操纵后台数据库，目录遍历是非法获取服务器目录文件，因此选B。3.根据《生成式人工智能服务管理暂行办法》，提供生成式人工智能服务的提供者应当对训练数据来源的合法性进行审核，对于训练数据中包含的个人信息，应当遵循以下哪项要求（）A.可以任意使用公开个人信息训练模型，无需取得同意B.不得非法收集个人信息，不得在未取得同意的情况下处理敏感个人信息用于训练C.处理个人信息无需告知用户用途D.只要是公开可获取的个人信息，都可以直接用于商业训练正确答案B。《生成式人工智能服务管理暂行办法》明确要求，生成式AI服务提供者应当遵守个人信息保护相关法律规定，不得非法收集个人信息，处理敏感个人信息应当取得个人单独同意，不得违规使用公开可获取的个人信息进行模型训练，因此只有B选项符合要求。1.以下属于常见的对称加密算法的有（）A.AESB.RSAC.DESD.SM4E.ECC正确答案ACD。对称加密算法的特点是加密和解密使用同一密钥，常见的对称加密算法包括AES、DES、国密SM4；RSA和ECC（椭圆曲线加密算法）属于非对称加密算法，加密解密使用不同密钥，因此排除BE，选ACD。2.网络运营者开展网络运营，按照《中华人民共和国网络安全法》要求，需要履行的安全保护义务包括以下哪些项（）A.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施C.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月D.采取数据分类、重要数据备份和加密等措施E.法律、行政法规规定的其他义务正确答案ABCDE。《中华人民共和国网络安全法》第二十一条明确规定了网络运营者的安全保护义务，以上五项全部符合要求，因此全选。3.以下关于零信任架构的描述，正确的有（）A.零信任的核心思想是“永不信任，始终验证”B.零信任默认内部网络也是不安全的，不存在默认可信的内部区域C.零信任只对外部访问身份进行验证，内部访问无需验证D.零信任一般基于最小权限原则分配访问权限E.零信任架构要求持续对访问主体进行身份验证，而不是一次验证永久有效正确答案ABDE。零信任架构打破了传统的边界信任假设，认为不管是内外部访问都不存在默认可信的主体，因此C选项错误；零信任核心就是永不信任始终验证，默认无信任边界，遵循最小权限，持续验证，因此ABDE正确。1.HTTPS协议是由HTTP加上SSL/TLS协议构建的加密通信协议，其默认端口是443，可以有效防止传输过程中数据被窃听篡改，HTTPS比HTTP更安全。（）正确。HTTPS即HTTPoverSSL/TLS，默认服务端口为443，通过对传输内容进行加密校验，实现了身份认证和数据加密传输，安全性远高于明文传输的HTTP。2.DNS污染攻击主要是通过篡改域名解析结果，将用户访问请求导向恶意服务器，通常只会跳转域名不会中断访问，因此不属于危害网络安全的攻击行为。（）错误。DNS污染又称为域名缓存投毒，攻击者通过篡改DNS服务器的域名解析记录，将用户合法域名访问导向恶意钓鱼站点、带毒软件站点，会造成用户信息泄露、设备中毒等严重安全问题，属于典型的网络攻击行为。3.根据《数据安全法》，国家对数据实行分级分类保护，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。（）正确。《中华人民共和国数据安全法》第三十条明确规定，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。某本地生活服务平台公司，注册用户超过500万，平台存储了用户的姓名、手机号、收货地址等信息，其中部分用户还绑定了银行卡信息用于支付。该平台的用户信息管理系统部署在公有云服务器上，平台运营团队为了方便开发调试，将数据库的远程访问端口直接开放到了公网，并且使用默认管理员账号admin，密码设置为123456。2025年10月，该平台发生数据泄露事件，攻击者通过扫描公网端口，暴力破解获得了数据库管理员权限，导出了超过300万条用户信息，在暗网出售。经事后调查，该平台未按照要求开展等级保护测评，也未建立日常的安全监测机制，入侵行为发生超过1个月才被第三方安全厂商发现。问题1：该平台存储的用户银行卡信息属于哪类个人信息，处理此类信息应当符合什么要求？答案：用户的银行卡信息属于敏感个人信息，敏感个人信息指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，金融账户信息属于典型的敏感个人信息范畴。处理敏感个人信息应当符合以下要求：第一，应当具备特定的目的和充分的必要性，严格依照法律规定取得个人的单独同意，行政法规要求书面同意的从其规定；第二，应当明确向个人告知处理敏感个人信息的用途、权限范围以及对个人权益的影响；第三，处理者应当采取更高等级的安全保护措施，对敏感个人信息进行加密存储、加密传输，严格管控访问权限，防范数据泄露风险。问题2：结合案例分析，该平台存在哪些安全隐患？答案：该平台存在的安全隐患主要包括五点：第一，网络边界安全配置违规，将数据库这类核心服务的远程访问端口直接开放到公网，大幅扩大了攻击暴露面，给攻击者提供了入侵入口；第二，身份认证机制极不安全，使用默认管理员账号，设置弱口令，极易被暴力破解，不符合核心系统的身份安全要求；第三，未落实网络安全等级保护要求，未按规定开展等级测评和安全整改，安全保护措施不符合对应等级要求；第四，缺乏安全监测和应急响应能力，入侵行为发生一个月才被外部发现，未建立日常安全监测机制，无法及时识别异常访问攻击；第五，数据安全保护措施缺失，未对用户敏感个人信息做加密存储，数据泄露后可被攻击者直接利用，也未落实权限管控要求。问题3：针对此类数据泄露事件，网络运营者应当采取哪些防范措施？答案：第一，严格落实网络安全等级保护制度，根据系统定级要求部署防火墙、入侵检测、WAF等安全防护设备，定期开展等级测评和漏洞整改，满足对应等级的安全防护要求；第二，强化网络访问和身份认证安全，禁止核心服务端口直接开放到公网，通过VPN、IP访问控制列表严格限制访问来源，禁用默认账号，强制要求高复杂度口令，核心账号开启多因素认证；第三，建立常态化安全监测机制，开启核心服务器日志审计，对异常访问、异常导