2026年网络与信息安全管理员考试题(含答案)

2026年网络与信息安全管理员考试题(含答案)1.单项选择题（每题1分，共10分）1.根据《网络安全等级保护条例》要求，第三级网络运营者应当至少多长时间开展一次等级测评？A.半年B.一年C.两年D.三年答案：B2.根据《生成式人工智能服务管理暂行办法》要求，生成式人工智能服务提供者应当对哪类内容作出显著标识，便于用户区分人工智能生成内容与人类生成内容？A.训练数据B.用户输入内容C.模型生成内容D.输出模型参数答案：C3.以下攻击类型中，属于应用层DDoS攻击的是A.SYN洪水攻击B.HTTP慢连接攻击C.UDP洪水攻击D.Smurf攻击答案：B4.网络与信息安全管理员完成漏洞扫描后，首要开展的工作是A.立即批量修复所有扫描出的漏洞B.对扫描出的漏洞进行验证，确认误报并评估风险等级C.直接将漏洞扫描报告上报主管部门D.将漏洞记录归档后等待处理答案：B5.《中华人民共和国个人信息保护法》明确规定，处理敏感个人信息应当取得个人的A.口头同意B.概括同意C.单独同意D.书面同意答案：C6.零信任安全架构的核心设计思想是A.基于网络边界划分信任域B.永不信任，始终验证C.默认信任内部访问主体D.一次认证终身有效答案：B7.以下加密算法中，属于我国自主研发的非对称国密算法是A.SM2B.SM3C.SM4D.AES答案：A8.网络运营者发生较大网络安全事件后，应当按照《网络安全事件报告管理办法》要求，在多少小时内向省级以上网信部门和公安机关报告？A.12小时B.24小时C.48小时D.72小时答案：B9.攻击者在网站登录框输入内容“'OR'1'='1--”，该攻击行为最可能的目的是A.删除网站数据库数据B.绕过登录验证进入后台C.篡改网站首页内容D.获取服务器操作系统权限答案：B10.针对深度伪造内容的溯源场景，以下哪种技术的防护效果最优？A.数字水印技术B.入侵检测技术C.内容过滤技术D.访问控制技术答案：A2.多项选择题（每题2分，共10分，多选、少选、错选均不得分）1.关键信息基础设施运营者应当履行的核心安全保护义务包括A.对关键岗位从业人员开展背景审查B.定期对本单位开展网络安全评估，评估报告报送相关部门C.重要系统和核心数据的容灾备份必须存储在境内D.制定网络安全事件应急预案，每年至少开展一次应急演练E.采购网络产品和服务时签订安全保密协议，明确安全责任答案：ABCDE2.常见的Web应用安全漏洞类型包括A.SQL注入漏洞B.跨站脚本漏洞（XSS）C.跨站请求伪造漏洞（CSRF）D.命令注入漏洞E.目录遍历漏洞答案：ABCDE3.根据《生成式人工智能服务管理暂行办法》，生成式人工智能服务提供者不得实施下列哪些行为？A.非法获取、训练、利用他人个人信息用于模型训练B.生成传播虚假信息、侵害他人合法权益的内容C.未采取有效措施防止生成歧视性内容D.未对生成内容进行标识向公众提供服务E.向未成年人提供生成式人工智能服务答案：ABCD4.等级保护2.0的安全要求框架包含以下哪些层面？A.安全物理环境B.安全通信网络C.安全区域边界D.安全计算环境E.安全管理中心答案：ABCDE5.数据泄露事件发生后，正确的处置流程包括A.第一时间阻断泄露源，防止泄露范围扩大B.对泄露事件的影响和风险进行评估C.按照要求向监管部门上报事件D.通知受到影响的个人告知相关风险和应对措施E.完成处置后开展复盘，完善安全管理制度答案：ABCDE3.判断题（每题1分，共5分，正确打√，错误打×）1.根据《中华人民共和国数据安全法》，核心数据是关系国家安全、国民经济命脉、重要民生、重大公共利益的数据，核心数据不得出境。答案：√2.对称加密算法的特点是加密密钥和解密密钥相同，加密速度快，适合加密大量数据。答案：√3.跨站脚本攻击（XSS）的核心危害是冒用用户合法身份，偷偷发起用户不知情的请求。答案：×4.全量备份加增量备份的备份策略，恢复数据时只需要最后一次全量备份和最后一次增量备份即可完成恢复。答案：×5.第三级网络的备案流程是定级后提交备案材料，由网安部门审核备案，测评后完成备案。答案：√4.案例分析题（共25分）某城市商业银行搭建了线上手机银行APP和官网服务平台，存储了超过千万级用户的个人信息、账户信息以及金融交易数据，该单位将手机银行平台定级为第三级网络，官网定级为第二级。近期当地网安部门开展网络安全检查，发现该单位存在以下问题：①手机银行用户的交易密码明文存储在后台数据库，未进行加密处理；②官网服务器存在多个未修补的高危漏洞，包括Log4j2远程代码执行漏洞和Spring框架远程代码执行漏洞，管理员称因为担心补丁影响业务正常运行，所以一直没有安装；③该银行自2023年完成定级备案后，仅在2023年开展了一次等级测评，之后未再开展测评；④仅在网络出口部署了防火墙，手机银行APP后端接口未做专门的防护，也未定期开展渗透测试；⑤新上线的手机银行版本更新，直接通过第三方网盘提供下载链接，没有对安装包进行签名校验。问题1：请分别指出上述五个问题存在的安全风险，以及对应的整改措施。（15分）问题2：请说明该银行在等级测评工作上是否符合合规要求，分别说明手机银行（第三级）和官网（第二级）的等级测评要求。（10分）答案：问题1：（1）第一个问题：交易密码明文存储存在极大的数据泄露风险，一旦数据库被非法访问，所有用户的交易密码会直接泄露，威胁用户资金安全。整改措施：采用国密算法对用户交易密码进行加盐哈希存储，不得存储明文密码，严格限制数据库访问权限，仅开放必要的访问权限给授权应用。（2）第二个问题：高危漏洞长期未修补，攻击者可以利用漏洞直接获取服务器权限，窃取甚至篡改系统数据，导致整个服务被控制。整改措施：立即在测试环境验证补丁兼容性，验证通过后在生产环境安装补丁；如果业务确实无法立即补丁升级，应当临时采取防护措施，通过WAF配置规则拦截相关攻击，梳理暴露面关闭不必要的端口和服务，安排专人实时监测攻击行为，待业务低峰期完成漏洞修补，建立常态化漏洞管理机制，每月开展漏洞扫描，新爆发高危漏洞一周内完成排查和处置。（3）第三个问题：等级测评未按要求开展，无法及时发现系统的安全隐患，不符合网络安全等级保护的合规要求，一旦发生安全事件需要承担相应责任。整改措施：立即委托有资质的等级测评机构开展年度等级测评，针对测评发现的问题按时完成整改，测评报告上报当地网安部门。（4）第四个问题：手机银行后端接口缺乏防护，容易遭受接口攻击、越权访问等攻击行为，长期不做渗透测试无法发现业务逻辑层面的安全问题。整改措施：部署移动应用防护和API安全网关，对接口访问进行鉴权、速率限制和攻击检测，每年至少开展一次第三方渗透测试，及时发现修复业务逻辑漏洞。（5）第五个问题：安装包不做签名校验，用户容易下载到被篡改植入恶意代码的安装包，导致用户信息和资金被盗。整改措施：对官方发布的安装包进行数字签名，引导用户从官方渠道下载安装包，APP端增加签名校验逻辑，对被篡改的安装包拒绝启动运行。问题2：该银行的等级测评工作不符合合规要求。根据《网络安全等级保护条例》的要求：①手机银行定级为第三级，要求每年至少开展一次等级测评，该银行自2023年后未再开