网络安全等级测评师能力评估样卷及答案

网络安全等级测评师能力评估（初级）第一套样卷

一、单选（共 30 题，每题 1 分，共 30 分）

根据《中华人民共和国网络安全法》，网络运营者应当按照网络安全等级保护制度的要求，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于( )个月。
A. 三 B. 六 C. 九 D. 十二
以下关于安全整改的说法，正确的是( )。
A. 只需整改高风险项，中低风险项可以忽略
B. 整改应优先处理技术问题，管理问题可以延后
C. 整改应遵循"先修复高危漏洞，再优化管理流程"的次序
D. 整改应覆盖所有不符合项，并制定中长期整改计划
依据《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018），测评人员为了验证安全措施的有效性，通常不会采用的方法是( )。
A. 检查（访谈、查验） B. 测试（人工测试、工具测试）
C. 猜测（凭经验猜测配置） D. 访谈（与人员交流）
依据《关于进一步做好网络安全等级保护有关工作的函》（公网安〔2025〕1001 号），要求 2025 年 11 月
30 日前，全面开展系统备案动态更新；安全保护等级初步确定为( )以上的信息系统，运营者需组织国家网络安全等级保护专家对定级结果进行评审。
A. 第二级（含） B. 第三级（含） C. 第四级（含） D. 第五级（含）
依据《网络安全等保护测评报告模板》（2025 版），测评报告编号由( )组数据构成。
A. 2 组 B. 3 组 C. 4 组 D. 5 组
防止用户被冒名所欺骗的方法是( )。
A. 对信息源发放进行身份验证 B. 进行数据加密
C. 采用防火墙 D. 对访问网络的流量进行过滤和保护
用于加密机制的协议的是( )。
A. HTTP B. FTP C. TELNET D. SSL
属于数据完整性得到保护的例子的是( )。
A. 某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作
B. 某信息系统为保障数据被攻击者篡改后可检查，采用 SM3-HMAC 算法对数据生成消息鉴别码并定期校验
C. 某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D. 李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看
DDos 攻击的全称是( )。
A. 数据加密服务 B. 分布式拒绝服务 C. 脚本攻击 D. 网络监听服务
常见的 WAF 工作在 TCP/IP 网络协议中的( )。
A. 应用层 B. 传输层 C. 网络层 D. 网络接口层/数据链路层
以下不属于应用层防火墙特点的是( )。
A. 更有效的阻止应用层攻击 B. 工作在 0SI 模型的第七层
C. 速度快且对用户透明 D. 比较容易进行审计
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，关于网络安全工作相关人员配备情况以下错误的是( )。
A. 需要配备一定数量的系统管理员、审计管理员和安全管理员等
B. 审计管理员不能承担系统账户授权工作
C. 安全管理员可由网络管理员兼任
D. 各个岗位的人员需根据管理人员名单任职
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），核查程序资源库的修改、更新、发布是否进行了授权和批准，属于( )控制点的测评实施内容。
A. 系统建设管理 B. 软件外包 C. 人员配备 D. 自主软件开发
linux 操作系统下，/etc/pam. d/system-auth 文件中的 lcredit 参数表示( )。
A. 用户密码中必须包含多少个数字
B. 用户密码中必须包含多少个大写字母
C. 用户密码中必须包含多少个小写字母
D. 用户密码中必须包含多少个特殊字符
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，可采取( )措施来实现电力供应方面的要求。
A. 在供电线路上配置稳压器
B. 在供电线路上配置过电压防护设备
C. 提供短期的备用电力供应
D. 以上全是
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求,不属于云计算安全扩展要求中的安全计算环境中的安全控制点的是( )。
A. 身份鉴别 B. 访问控制 C. 安全审计 D. 入侵防范
物联网的感知层设备（如传感器）在安全上面临的主要挑战不包括( )。
A. 计算和存储资源有限，难以实现复杂安全算法
B. 通常部署在无人值守环境，面临物理破坏风险
C. 数量庞大，难以进行统一的身份管理和更新
D. 显示屏幕过大，容易造成信息泄露
在验证测试中，常使用( )工具确定远程主机是否在线。
A. Sqlmap B. BurpSuite C. Namp D. WireShark
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在"访问控制"测评单元中，( )
不是必须核查的内容。
A. 是否为用户分配账户和权限 B. 是否禁用匿名账户
C. 是否启用多因素认证 D. 是否限制默认账户权限
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），"恶意代码防范"测评单元中，必须实施的内容是( )。
A. 每日全盘扫描 B. 安装防恶意代码软件并定期更新
C. 禁止使用移动存储设备 D. 关闭所有网络端口
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），在安全管理机构的"人员配备"
控制点中，应检查( )配备情况。
A. 系统管理员、审计管理员和安全管理员 B. 外包人员
C. 清洁人员 D. 软件开发人员
安全管理制度主要包括：安全策略、管理制度、制定和发布、( )四个控制点。
A. 审核 B. 评审和修订 C. 授权和审批 D. 审核和检查
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在对第三级网络所部署机房进行测评时，下列属于"防火"测评实施内容的是( )。
A. 机房是否设置火灾自动消防系统
B. 自动消防系统是否可以自动检测火情、自动报警并自动灭火
C. 各区域间是否采取了防火措施进行隔离
D. 以上均是
第三级信息系统测评的测评周期是( )。
A. 每半年 B.每年 C. 每两年 D. 备案年度测评一次

复制代码

    依据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络安全管理机构包括 (	)个控制点。

A. 6 B.5 C. 4 D. 3

依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第二级网络安全管理制度包括 ( )个控制点。

A. 6 B.5 C. 4 D. 3

对于与互联网物理隔离的内网环境，下列哪种攻击方式最为有效？

A. 端口扫描 B. 目录遍历 C. 拒绝服务 D. 摆渡木马

关于远程代码执行（RCE）漏洞，以下错误的是( )。

A. 远程代码执行漏洞允许攻击者在目标系统上执行任意命令或代码

B. 反序列化漏洞是导致远程代码执行的常见原因之一

C. 对用户输入进行严格的过滤和转义，可以完全杜绝所有远程代码执行漏洞

D. 框架和组件中的已知 RCE 漏洞，即使未在自定义代码中显式调用，也可能因为应用依赖该组件而存在风险

分析以下代码段，

javascript 复制代码

<script>
function displayMessage() {
const urlParams = new URLSearchParams(window.location.search); const message = urlParams.get('message'); document.getElementById('msg-display').innerHTML = message;
}
</script>

...

代码片段( )，修复建议是( )。

A. 无漏洞，无需修复

B. 存在漏洞，应使用 .textContent 替代 .innerHTML

C. 存在漏洞，应在输出前过滤 alert 和 script 关键字

D. 存在漏洞，应在输出前对 message 进行 HTML 实体编码

某网站页面使用JavaScript 从URL 参数中读取message 的值，并通过 innerHTML 方式将其插入到DOM 中。下列 Payload 能够成功触发 XSS 漏洞的是( )。

A. test'"><aa

B. 《script> alert('XSS')

C. javascript:alert('XSS')

D. <img src=x οnerrοr=alert('XSS')>

二、不定项（共 25 题，每题 2 分，共 50 分）

关于关键信息基础设施（CII）保护的说法，说法正确的有( )。

A. CII 的保护应在网络安全等级保护制度的基础上，实行重点保护

B. CII 的认定由所属行业或领域的主管/监管部门负责组织

C. CII 运营者应设置专门的安全管理机构，并对负责人和关键岗位人员进行安全背景审查

D. 所有第三级信息系统都应被认定为关键信息基础设施
属于"社会工程学"攻击常见手法的有( )。

A. 钓鱼邮件（Phishing）

B. 电话诈骗（Vishing），冒充技术支持人员索要密码

C. 利用 SQL 注入漏洞获取数据库权限

D. 尾随（Piggybacking），跟随授权人员进入受限制的区域
《中华人民共和国网络安全法》第三十四条除了规定关键信息基础设施的运营者应设置专门的安全管理机构和负责人外，还要求履行的安全保护义务包括( )。

A. 定期对从业人员进行网络安全教育、技术培训和技能考核

B. 对重要系统和数据库进行容灾备份

C. 制定网络安全事件应急预案，并定期进行演练

D. 采购网络产品和服务时，应通过国家网络安全审查
《信息安全等级保护管理办法》（公通字〔2007〕43 号），第三级以上信息系统应当选择( )等级保护测评机构进行测评。

A. 在中华人民共和国境内注册成立（港澳台地区除外）

B. 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）

C. 从事相关检测评估工作两年以上，无违法记录

D. 工作人员仅限于中国公民
根据《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕

1960 号），加强网络安全工作各项保障中包括( )。

A. 加强组织领导 B. 加强经费政策保障

C. 加强考核评价 D. 加强技术攻关和人才培养
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），可通过以下哪些方式记录用户所有操作信息( )。

A. 开启系统日志审计功能

B. 采用第三方日志审计软件

C. 通过堡垒机统一管理，开启录像模式和审计模式

D. 采用人工不定期记录日志
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），日志审计记录应包括( )。

A. 事件的日期时间类型 B. 主体标识 C. 客体标识 D. 结果
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），属于第三级网络在"安全通信网络"层面"通信传输"测评实施内容的是( )。

A. 核查是否采用校验技术或密码技术保证通信过程中数据的完整性

B. 测试在通信过程中对敏感信息字段进行加密的有效性

C. 核查网络设备的管理员登录地址是否被限制

D. 核查是否采用密码技术保证通信过程中数据的保密性
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），属于第三级网络在"安全计算环境"层面"数据完整性"测评实施内容的是( )。

A. 核查是否采用校验技术或密码技术保证重要数据在传输过程中的完整性

B. 核查是否采用校验技术或密码技术保证重要数据在存储过程中的完整性

C. 测试验证检测到完整性受到破坏时能否恢复

D. 核查是否对重要程序的完整性进行保护，并在检测到完整性受到破坏时采取恢复措施
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络的"安全管理制度"

控制点包括以下哪些安全要求项( )。

A. 应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等

B. 应对安全管理活动中的各类管理内容建立安全管理制度

C. 网络安全产品采购和使用应符合国家的有关规定

D. 应定期审查审批事项，及时更新需授权和审批的项目
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），下面属于三级"安全建设管理"

层面控制点的是( )。

A. 定级和备案 B. 安全方案设计 C. 密码管理 D. 等级测评
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"变更管理"测评实施内容的是( )。

A. 核查是否具有变更方案

B. 应访谈系统管理员是否对基本配置信息进行记录和保存

C. 核查是否具有变更失败后的恢复方面的相关文档

D. 核查是否具有变更方案评审记录和变更过程记录文档
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），关于"数据备份恢复"的测评实施内容包括( )。

A. 应核查是否按照备份策略进行本地备份

B. 应核查备份策略设置是否合理、配置是否正确

C. 应核查备份结果是否与备份策略一致

D. 应核查近期恢复测试记录是否能够进行正常的数据恢复
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级云计算安全扩展要求，以下属于安全区域边界层面访问控制的安全要求项是( )。

A. 应在虚拟化网络边界部署访问控制机制，并设置访问控制规则

B. 应在不同等级的网络区域边界部署访问控制机制，设置访问控制规

C. 应实现不同云服务客户虚拟网络之间的隔离

D. 应保证云计算平台不承载高于其安全保护等级的业务应用系统
关于文件包含漏洞，下列哪项说法错误的是( )。

A. 分为本地文件包含和远程文件包含两种类型

B. 利用本地文件包含漏洞可以读取服务器上的敏感系统文件

C. PHP 中，远程文件包含漏洞在默认配置下就可以直接利用

D. 修复方法包括对用户输入进行严格校验和使用白名单机制
属于 JWT（JSON Web Token）的常见安全漏洞的有( )。

A 空签名漏洞 B. 弱 HMAC 签名密钥 C. JWKS 欺骗 D. 远程命令执行漏洞
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）第三级安全通用要求，对于"安全事件处置"中事件报告和处置管理制度明确包括的内容是( )。

A. 安全事件的报告、处置和响应流程

B. 安全事件的现场处理、事件报告和后期恢复的管理职责

C. 事件产生的原因、证据、处置过程和教训

D. 事件责任人的罚款金额
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），"安全建设管理"中"工程实施"

的测评内容，包括核查( )。

A. 指定了专门的部门或人员负责工程实施过程的管理

B. 制定了安全工程实施方案

C. 实施方案包括时间限制、进度控制、质量控制等内容

D. 由施工方完全独立实施
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，操作系统运行中需要启用安全审计功能，审计需覆盖到每个用户，对( )进行审计。

A. 重要的用户行为 B. 重要安全事件 C. 所有行为 D. 所有安全事件
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第二级安全要求，"安全审计"是( )层面的控制点。

A. 安全通信网络 B. 安全区域边界 C. 安全计算环境 D. 安全管理中心
为了对组织的安全防护体系进行全面评估，应在哪些( )关键位置部署网络嗅探器？

A. 在重要操作系统和应用程序前端部署网络嗅探器,用以评估用户活动

B. 在网络边界处部署网络嗅探器，用以评估进出网络的流量

C. 在防火墙后端部署网络嗅探器，用以评估准确过滤流量的规则集

D. 在 IDS/IPS 后端部署网络嗅探器，用以确定特征码是否被触发并得到适当的响应
关于跨站脚本攻击（XSS）的成因与有效防御，以下说法正确的是( )。

A. 反射型 XSS 和 DOM 型 XSS 的恶意脚本通常不会持久化存储在服务器上，其利用依赖于诱骗用户访问特定构造的恶意 URL

B. 存储型 XSS 的危害通常更大，因为恶意脚本被永久存储在目标服务器上（如数据库中），所有访问受影响页面的用户都会自动执行该脚本

C. 设置 HTTP 响应头 Content-Security-Policy（内容安全策略）可以有效限制浏览器加载或执行的资源来源，是防御 XSS 的深度防御策略

D. 为 Cookie 属性设置 HttpOnly 标志可以阻止客户端 JavaScript 访问该 Cookie，从而有效缓解 XSS 攻击成功后导致的会话劫持

关于云安全测试，以下说法正确的是( )。

A. 获取云服务器上的元数据是云环境中的一个重要攻击手段

B. 云服务商负责所有安全，因此用户不需要检查自己的配置

C. 错误配置的云存储桶（如设置为"公开访问"）是常见的安全风险

D. 在云中，滥用过大的账户权限是横向移动的主要方式之一

依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），针对第三级网络，以下哪些控制点不属于"安全建设管理"层面（）。

A. 岗位设置 B. 环境管理 C. 工程实施 D. 授权和审批

依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），针对第三级网络，"人员配备"要求配备一定数量的（）。

A. 系统管理员 B. 审计管理员 C. 安全管理员 D. 保洁人员

三、简答（共 2 题，每题 10 分，共 20 分）

1、依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级云计算安全扩展要求，描述安全计算环境层面"入侵防范"控制点的安全要求项？

2、依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全通用要求，描述安全管理机构层面"岗位设置"控制点的安全要求项？

网络安全等级测评师能力评估（初级）第二套样卷

一、单选（共 30 题，每题 1 分，共 30 分）

依据《关键信息基础设施安全保护条例》，负责指导监督关键信息基础设施安全保护工作的部门是( )。
A. 国务院公安部门 B. 国家保密工作部门 C. 国家密码管理部门 D. 国家数据局
我国哪一部( )法规首次明确提出"计算机信息系统实行安全等级保护"制度？
A.《中华人民共和国网络安全法》 B.《中华人民共和国计算机信息系统安全保护条例》 C.《中华人民共和国保密法》 D.《中华人民共和国数据安全法》
依据《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）,等级测评过程主要包括四个基本阶段，以下正确的阶段顺序是( )。
A. 测评准备→方案编制→现场测评→分析与报告编制
B. 方案编制→测评准备→现场测评→分析与报告编制
C. 测评准备→现场测评→方案编制→分析与报告编制
D. 方案编制→现场测评→测评准备→分析与报告编制
依据《网络安全等级保护测评报告模板》（2025 版），等级测评结论为"符合"的条件是( )。
A. 符合率 ≥ 60% B. 符合率 ≥ 90% 且无重大风险隐患
C. 符合率 ≥ 80% D. 无重大风险隐患即可
大数据是指具有体量巨大、( )、生成极快，且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。
A. 责任认定困难 B. 来源多样 C. 处理分散 D. 非结构化
以下说法不正确的是( )。
A. 对称加密算法可以实现保密性 B. HASH 算法可以实现完整性
C. HASH-MAC 算法可以实现完整性 D. 数字签名可以实现不可否认性
不能实现安全事件的识别、报警和分析的安全措施是( )。
A. 态势感知平台 B. IDS/IPS C. 包过滤防火墙 D. 综合审计系统
以下不属于 IDS 主要功能的是( )。
A. 监控和分析用户和系统活动 B. 统计分析异常活动模式
C. 对被破坏的数据进行修复 D. 识别活动模式以反映已知攻击
以下属于身份鉴别( Authentication )过程的情景是( )。
A. 用户依照系统提示需要输入用户名和口令
B. 用户在网络上共享了自己编写的一份 Office 文档,并设定哪些用户可以阅读,哪些用户可以修改
C. 用户使用加密软件对自己编写的 office 文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容
D. 某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程记录在系统日志中
难以通过网络窃听获取信息数据传输方式的是( )。
A. FTP 传输文件 B. TELNET 进行远程管理 URL
C. 以 HTTPS 开头的网页内容 D. 经过 TACACS+认证和授权后建立的连接
SSL/TLS 协议不能提供的安全服务是( )。
A. 数据加密 B. 消息完整性验证 C. 病毒查杀 D. 服务器身份认证
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），不属于第三级安全管理人员中 "安全意识教育和培训"的要求的是( )。
A. 对各类人员进行安全意识教育培训
B. 对不同岗位制定不同的培训计划
C. 对不同岗位的人员进行技能考核
D. 对负责运行维护的技术人员进行相应的技能培训
linux 中要想查看一个文件是否具有-rwxr--r--权限，使用的命令为（）。
A. #ls -l /etc/passwd 744 B. #ls -l /etc/shadow 755
C. #ls -l /etc/rc3.d 633 D. #ls -l /etc/inet. conf 700
数据保密性指的是（）。
A. 保护网络中各系统之间交换的数据防止因数据被截获而造成泄密
B. 提供连接实体身份的鉴别
C. 防止非法实体对用户的主动攻击保证数据接收方收到的信息与发送方发送的信息完全一致
D. 确保数据是由合法实体发出的
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），对"应实现不同云服务客户虚拟网络之间的隔离"的安全要求项，以下说法错误的是( )。
A. 应核查云服务客户之间是否采取网络隔离措施
B. 应核查云服务客户之间是否设置并启用网络资源隔离策略
C. 应测试验证不同云服务客户之间的网络隔离措施是否有效
D. 应核查云服务客户是否可以接入第三方安全产品或在云计算平台选择第三方安全服务
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），云计算安全扩展要求部分，以下说法错误的是( )。
A. 一级系统没有云计算安全扩展要求
B. 云计算的三种服务模式包括 SaaS、PaaS、IaaS
C. 自建私有云并独立承担云上业务应用，云计算平台及其上的云服务应用的责任主体一致
D. 云计算是一种通过网络提供计算资源和服务的模式，允许用户通过互联网访问和使用存储、计算、数据库、应用程序等各种资源，无需拥有这些资源的实际物理设备
云计算平台为满足安全扩展要求，应能提供开放接口允许云服务客户( )。
A. 直接关闭其他客户的虚拟机
B. 接入第三方安全产品或服务
C. 修改云计算平台的基础架构代码
D. 绕过计费系统免费使用资源
下列不属于向服务器写入 webshell 的方法是( )。
A. 通过上传漏洞，上传修改过的文件
B. 通过注入漏洞，用 mysql 的写权限写入文件
C. 通过命令执行漏洞，通过 echo 命令写入文件
D. 通过信息泄露漏洞，浏览器获取网站的 html 源码，修改源代码再次访问
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），根据"安全审计"要求，不是审计记录必须包含的内容的是( )。
A. 事件的日期和时间 B. 用户 C. 事件类型 D. 用户的物理位置
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）第三级安全测评通用要求，"安全管理中心"中要求系统管理员应通过( )方式进行系统管理。
A. 任意终端远程登录 B. 特定的命令或操作界面
C. 无需身份鉴别 D. 共享管理员账户
下列哪类( )漏洞的成因是内存安全问题？
A. 缓冲区溢出 B. SQL 注入 C. 跨站脚本（XSS） D. 竞争条件
Nacos 控制台存在默认弱口令漏洞（如 admin/admin）时，攻击者可直接利用该漏洞（）。
A. 获取所有微服务的源代码
B. 直接获得服务器操作系统最高权限
C. 登录控制台并修改服务配置信息
D. 直接解密数据库中存储的所有加密数据
下列哪个( )SQL 注入 Payload 属于布尔盲注类型？
A. ' UNION SELECT username, password FROM users --
B. ' AND IF(1=1, SLEEP(5), 0) --
C. ' AND (SELECT COUNT(*) FROM users) > 0 --
D. ' OR 1=1 --
在渗透测试的信息收集阶段，以下哪种方法（）最适合用于快速识别目标网络的活跃主机和开放端口？
A. 使用 Nmap 进行主机发现和端口扫描
B. 使用 Metasploit 框架尝试漏洞利用
C. 使用 John the Ripper 进行密码破解
D. 使用 Wireshark 分析网络流量
配置如下两条扩展访问控制列表（以 Cisco 设备为例），用于控制 TCP 协议的访问：
ip access-list extended 101 permit tcp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.0 eq 80
ip access-list extended 102 permit tcp 192.168.1.0 0.0.0.255 any eq 80
分析这两条 ACL 所控制的源 IP 地址和目标 IP 地址范围的关系，并选择正确的选项（）：
A. 101 的范围完全包含在 102 的范围内
B. 102 的范围完全包含在 101 的范围内
C. 101 和 102 的范围一样
D. 101 和 102 的范围完全不同
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下不是第二级网络的控制点要求的是（）。
A. 身份鉴别 B. 访问控制 C. 安全审计 D. 数据保密性
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），机房及相关的工作房间和辅助
房应采用具有（）的建筑材料。
A. 耐热等级 B. 耐水等级 C. 耐火等级 D. 耐潮等级
对于 Linux 操作系统，需要设置 example.txt 文件的所有者可以读、写、执行，属组、其他用户读，如何设

置（）。

A. chmod 744 example.txt B. chmod 447 example.txt

C. chmod 474 example.txt D. chmod 644 example.txt

依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），在第三级网络中，关于安全管理中心-集中管控的安全要求下列说法不正确的是（）。

A. 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控

B. 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测

C. 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析

D. 应能对网络中发生的各类安全事件进行识别、报警和分析

以下哪个算法能够更好地保证数据的存储保密性（）。

A. RSA SHA B. SHA256 C. 3DES D. SM4

二、不定项（共 25 题，每题 2 分，共 50 分）

部署 WAF（Web 应用防火墙）可以有效防护的攻击类型有( )。

A. SQL 注入 B. 跨站脚本（XSS） C. 分布式拒绝服务（DDoS） D. 远程代码执行（RCE）
有效的网络安全监测与分析技术包括( )。

A. 基于特征的检测（如 IDS 签名库） B. 基于异常的检测（如建立行为基线）

C. 沙箱技术（Sandbox） D. 深度包检测（DPI）
依据《中华人民共和国网络安全法》第二十一条和第三十四条，说法正确的是( )。

A. 第二十一条适用于所有网络运营者，第三十四条仅适用于关键信息基础设施的运营者

B. 第三十四条的要求比第二十一条对网络运营者的要求更为严格和具体

C. 两者都要求对关键岗位人员进行背景审查

D. 两者都要求设置专门的安全管理机构和安全负责人
"三化六防"措施中的"三化"是指( )。

A. 实战化 B. 体系化 C. 常态化 D. 规范化
《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）提出了安全通用要求和安全扩展要求，扩展要求包括( )。

A. 云计算扩展要求 B. 工业控制系统扩展要求 C. 车联网扩展要求 D. 大模型扩展要求
根据《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕

1960 号），要求加强网络安全立体化监测体系建设包括的内容有( )。 A.各单位、各部门对关键信息基础设施、重要网络等开展实时监测

B.各单位、各部门研究绘制网络空间地理信息图谱（网络地图）

C.行业主管部门、网络运营者要建设本行业、本单位的网络安全保护业务平台 D.重点行业、网络运营者和公安机关要建设网络安全监控指挥中心
在 Linux 中配置登录失败参数，在以下哪个文件可配置( )。

A. /etc/pam. d/system-auth B. /etc/pam. d/common-auth

C. /etc/pam. d/audit. conf D. /etc/passwd
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），机房所有材料为耐火材料，如( )。

A. 防火墙体 B. 防火玻璃 C. 金属栅栏 D. 木板
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于单项测评构成内容的有( )。

A. 测评指标 B. 测评对象 C. 整体测评分析 D. 测评实施
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），属于第三级网络在"安全管理中心"层面"系统管理"测评实施内容的是( )。

A. 核查是否通过系统管理员对系统的资源和运行进行配置、控制和管理

B. 测试验证系统管理员的操作是否被安全审计设备记录

C. 核查是否对网络中的安全设备或安全组件进行统一管理

D. 核查是否对系统管理员进行身份鉴别
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在安全运维管理层面，属于第三级网络"网络和系统安全管理"测评实施内容的有( )。

A. 核查是否具有远程运维的开通审批记录

B. 核查是否具有运维工具使用审批记录

C. 核查是否制定了重要设备的配置和操作手册

D. 核查是否指定专门的部门或人员进行账户管理
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），"安全管理机构"层面关于"沟通和合作"控制点中要求应加强( )之间的合作与沟通。

A. 各类管理人员 B. 组织内部机构 C. 监管部门 D. 网络安全管理部门
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），"安全管理制度"层面涉及的安全控制点包括( )。

A. 安全策略 B. 管理制度 C. 制定和发布 D. 评审和修订
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"安全管理人员"层面"人员录用"测评实施内容的是( )。

A. 核查是否对被录用人员的身份、背景、专业资格等进行审查

B. 核查是否与关键岗位人员签署保密协议

C. 核查是否要求相关人员离岗时终止其访问权限

D. 核查是否定期对各个岗位的人员进行安全技能考核
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级云计算安全扩展要求，以下属于安全计算环境-入侵防范的安全要求项是( )。

A. 应能检测虚拟机之间的资源隔离失效，并进行告警

B. 应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警

C. 应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警

D. 应实现不同云服务客户虚拟网络之间的隔离
在渗透测试过程中，为了识别和利用目标网络中的潜在漏洞，测试者可能会采用( )技术手段。

A. 端口扫描 B. 漏洞扫描 C. 源代码审计 D. 流量分析
当网站存在命令执行漏洞且服务器无法直接访问外网时，我们仍可能通过以下( )方式将文件上传至服务器。

A. 使用 FTP 协议进行文件传输 B. 通过 PowerShell 写入文件

C. 通过 VBScript 脚本写入文件 D. 使用系统 echo 命令写入文件
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"安全建设管理"层面"测试验收"测评实施内容的是( )。

A. 应核查是否具有上线前的安全测试报告

B. 应核查测试验收报告是否有相关部门和人员的审定意见

C. 应核查是否具有软件开发的相关文档

D. 应核查工程测试验收方案是否明确了参与测试的部门、人员、测试验收内容等
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），第三级网络"安全建设管理"中"系统交付"的控制点，测评实施时需核查( )。

A. 交付清单是否说明了交付的设备、软件和文档

B. 是否对运行维护技术人员进行了技能培训

C. 是否提供了建设过程文档和运行维护文档

D. 是否具有上线前的安全测试报告
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019)，以下属于个人信息保护要求测评项的是( )。

A. 应仅采集和保存业务必需的用户个人信息

B. 应禁止未授权访问和使用用户个人信息

C. 应允许对用户个人信息的访问和使用

D. 应制定有关用户个人信息保护的管理制度和流程
以下关于漏洞扫描的评估要素和原则的描述中，哪些是正确的？（）

A. 漏洞扫描结果应包含漏洞名称、类型、描述、风险等级及修复建议等信息

B. 漏洞扫描工具无需更新漏洞库即可准确识别最新漏洞

C. 应通过工具自动扫描结合人工分析的方式，综合判断漏洞的实际风险等级

D. 扫描时可任意设置高线程数和最大流量以提高扫描效率，无需考虑对目标系统的影响
以下哪些情况属于容器环境中明确存在的安全风险或错误配置？（）

A. 使用未经更新、包含已知高危漏洞的第三方基础镜像

B. 容器进程默认以 root 用户权限运行且未设置权限降级

C. 容器镜像的构建文件中硬编码数据库连接密码等敏感信息

D. 集群内未配置网络策略（Network Policy），允许所有容器间无条件通信
以下哪些情况可能导致文件上传功能存在安全漏洞？（）

A. 仅在前端 JavaScript 中验证文件类型，后端未做任何检查

B. 服务端校验文件类型时仅检查 HTTP 请求头中的 Content-Type

C. 允许用户上传的文件存储在 Web 服务器的可执行目录下

D. 对上传后的文件使用随机化重命名，但未修改文件后缀
可以增加 Windows 账户安全性的有（）。

A. 关闭默认共享 B. 远程登录超时设置 C. 日志记录策略设置 D. 关闭系统不必要的服务
Linux 系统安全配置内容包括（）。

A. 账户安全设置 B. 远程登录安全 C. 审计策略 D. 文件权限操作命令

三、简答（共 2 题，每题 10 分，共 20 分）

依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），针对三级云计算安全测评扩展要求"应在虚拟化网络边界部署访问控制机制，并设置访问控制规则"指标项，请描述测评实施包括哪些内容?
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全通用要求，描述安全建设管理层面"定级和备案"控制点的安全要求项？

网络安全等级测评师能力评估（初级）第三套样卷

一、单选（共 30 题，每题 1 分，共 30 分）

根据《中华人民共和国网络安全法》，发生网络安全事件时，网络运营者应立即启动应急预案，采取相应的补救措施，并按照规定向有关( )报告。
A. 行业协会 B. 主管部门 C. 客户和用户 D. 社会公众
依据《关于进一步做好网络安全等级保护有关工作的函》（公网安〔2025〕1001 号），第五级信息系统原则上应按照( )进行保护。
A. 分级保护要求 B. 关键信息基础设施安全保护要求
C. 数据安全管理要求 D. 行业特殊安全要求
依据《网络安全等级保护测评报告模板》（2025 版），等级测评结论为"基本符合"的是( )。
A. 符合率高于 90%，且无重大风险隐患 B. 符合率高于 60%，但存在重大风险隐患
C. 符合率高于 90%，但存在高风险问题 D. 符合率低于 60%
如果云服务客户业务应用系统同时部署在两种不同服务模式（如 IaaS 和 PaaS）的云计算平台上，测评报告中应如何体现( )？
A. 任选一个平台进行说明
B. 合并描述，取两个平台的平均水平
C. 使用多个"等级测评结论扩展表（云计算安全）"来分别展示
D. 只需在结论中文字说明即可
依据《网络安全等级保护测评报告模板》（2025 版），第一组编号的含义是( )。
A. 年份 B. 系统备案表编号 C. 机构代码 D. 测评次数
以下属于采用明文传输方式的协议是( )。
A. Telnet B. HTTPS C. SSH D. SFTP
防火墙采用的技术是( )。
A. 安装保护卡 B. 隔离 C. 包过滤 D. 设置进入密码
入侵检测的分析处理过程不包括( )。
A. 构建分析器阶段 B. 对现场数据进行分析阶段
C. 反馈和提炼阶段 D. 响应处理阶段
属于虚拟专用网络（VPN）的安全功能的是( )。
A. 验证，访问控制和密码 B. 隧道，防火墙和拨号
C. 加密，鉴别和密钥管理 D. 压缩，解密和密码
以下属于病毒特性的是( )。
A. 不感染、依附性 B. 不感染、独立性
C. 可感染、依附性 D. 可感染、独立性
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），设备管理、介质管理都属于安全管理部分( )层面控制点。
A. 安全管理机构 B. 安全管理制度 C. 安全建设管理 D. 安全运维管理
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在第三级安全管理测评中，不
属于"人员录用"测评实施内容的是( )。
A. 应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作
B. 应访谈信息/网络安全主管是否在人员录用时对录用人身份、安全背景、专业资格或资质等进行审查
C. 应核查保密协议是否有岗位安全责任定义、协议的有效期限和责任人签字等内容
D. 应核查是否具有离岗人员终止其访问权限、交还身份证件、软硬件设备等的登记记录。
与 10. 110. 12. 29 mask 255. 255. 255. 224 属于同一网段的主机 IP 地址的是（）。
A. 10. 110. 12. 0 B. 10. 110. 12. 30 C. 10. 110. 12. 31 D. 10. 110. 12. 32
windows 系统中的审计日志不包括( )。
A. 系统日志 B. 安全日志 C. 应用程序日志 D. 用户日志
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），移动互联部分通常由( )三部分组成。
A 移动终端、移动应用和无线网络 B. 移动终端、有线网络和数据中心
C. 移动终端、服务器和路由器 D. 智能手机、平板电脑和无线接入点
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），移动互联安全扩展要求，安全区域边界的控制点不包括( )。
A 边界防护 B. 访问控制 C. 入侵防范 D. 电磁辐射控制
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在"数据备份与恢复"测评单元中，( )不是必须核查的内容。
A. 备份策略是否合理 B. 备份数据是否加密
C. 近期是否有恢复测试记录 D. 备份结果是否与策略一致
在工业控制系统安全中，对"拨号使用"的特殊要求是( )
A. 应尽可能使用无线拨号替代有线拨号
B. 应采用账号、口令等多种方式认证用户身份
C. 为方便记忆，拨号账号和口令可长期固定不变
D. 拨号日志无需记录和审计
渗透测试人员行为不包括( )。
A. 记录详细测试过程 B. 使用标准渗透测试工具
C. 编写详细的报告 D. 未经授权访问数据
IPSec 协议中的 AH 协议不能提供的服务是( )。
A. 数据源认证 B. 数据包重放 C. 访问控制 D. 机密性
以下哪种情况表明 API 接口存在严重安全缺陷？( )
A. 身份验证机制依赖客户端提交的 User-ID 参数进行权限判断
B. 返回数据使用 JSON 格式而不是 XML 格式
C. API 响应时间偶尔超过 200 毫秒
D. 服务器使用最新版本的 Linux 操作系统
以下哪种情况属于典型的"硬编码"安全漏洞？( )
A. 将数据库密码明文写在源代码中 B. 用户输入未经过滤直接输出到网页
C. 使用过时的加密算法处理数据 D. 服务器开放了非必要的网络端口
以下哪种情况是中间人攻击的典型特征？( )
A. 攻击者通过暴力破解获取用户密码 B. 攻击者窃听或篡改两台设备之间的通信数据
C. 攻击者向服务器发送大量请求导致服务瘫痪 D. 攻击者利用 SQL 注入获取数据库信息
关于高危端口、服务与漏洞的关联性描述，下列哪项是正确的？( )
A. 端口 445 、SMB 服务、可能关联 MS17-010（永恒之蓝）远程代码执行漏洞
B. 端口 21 、FTP 服务、必然导致匿名登录漏洞
C. 端口 1433 、MSSQL 服务、仅存在暴力破解风险，无远程代码执行漏洞
D. 端口 3389 、RDP 服务、仅存在暴力破解风险，无远程代码执行漏洞
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），哪个等级及以上安全管理制度出现"应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架"要求项内容( )。
A. 第一级 B. 第四级 C. 第二级 D. 第三级
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），根据安全管理中心集中管控控制点要求，应对哪些（）安全相关事项进行集中管理。
A. 安全策略 B. 恶意代码 C. 补丁升级 D. 以上都是
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），针对网络和系统安全管理，以下说法正确的是（）。
A. 应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限
B. 应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制
C. 应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与补丁、口令更新周期等方面做出规定
D. 以上选项都正确
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下不属于第三级网络在安全物理环境层面"防盗窃和防破坏"控制点的要求内容是（）。
A. 各类机柜、设施和设备等通过接地系统安全接地 B. 设备固定
C. 通信线缆隐蔽铺 D. 配置防盗报警系统或专人值守的视频监控系统
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络安全管理人员包括
（）个控制点。
A. 4 B. 5 C. 6 D. 3
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络安全建设管理包括
（）个控制点。
A. 8 B. 9 C. 10 D. 11

二、不定项（共 25 题，每题 2 分，共 50 分）

属于网络数据处理活动的有( )。
A. 收集、加工 B. 存储、传输 C. 公开、删除 D. 定价、交易
以下用于保障数据的"保密性"的安全措施有( )。
A. 利用加密算法对敏感文件进行加密存储
B. 使用 VPN 技术在公网上建立加密传输通道
C. 对数据库表设置访问权限，只允许授权用户查询特定列
D. 为重要电子文件添加数字签名
《中华人民共和国网络安全法》第三十三条要求，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施( )。
A. 同步规划 B. 同步建设 C. 同步使用 D. 同步运维
根据我国信息安全等级保护工作的职责分工，负有专门的"监督、检查、指导"职责的部门包括( )。
A. 公安机关 B. 国家保密工作部门
C. 国家密码管理部门 D. 国务院信息化工作办公室
根据《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕
1960 号），公安机关在网络安全保护工作中的职责包括( )。
A. 公安部负责关键信息基础设施安全保护工作的顶层设计和规划部署
B. 公安机关加强对关键信息基础设施安全服务机构的安全管理，为运营者开展安全保护工作提供支持
C. 公安机关建立挂牌督办制度，对重大安全问题隐患久拖不改的进行约谈督办
D. 公安机关将网络安全工作纳入社会治安综合治理考核评价体系
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），"防雷击"测评中，防止感应雷的测评证据主要取自( ) 。
A. 电源线 B. 防雷保安器 C. 过压保护装置 D. 静电地板
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），需要对( )数据进行异地备份。
A. 配置数据 B. 业务数据 C. 仿真数据 D. 缓存数据
在 Linux 系统中的 SELinux 服务有哪几种工作模式( ) 。
A. enforcing B. permissive C. disabled D. seurity
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"环境管理"测评实施内容的是( )。
A. 核查职责文档是否明确负责管理机房的部门或人员的相关职责
B. 核查机房安全管理制度是否覆盖机房物理访问授权、物品带进/带出机房
C. 核查机房安全管理制度是否明确来访人员的接待区域
D. 观察办公环境桌面上是否有敏感文件或介质
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，安全运维管理的主要活动内容包括( )。
A. 变更管理 B. 安全事件处置 C. 应急预案管理 D. 备份与恢复管理
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下选项属于第三级网络在"自行软件开发"控制点的安全要求项的是( )。
A. 应在软件交付前检测软件中可能存在的恶意代码
B. 应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制
C. 应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则
D. 应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"环境管理"方面测评实施内容的是( )。
A. 是否指定专门的部门或人员负责机房安全
B. 是否制定了机房安全管理制度
C. 物理访问、物品进出和环境安全等是否具有相关记录
D. 设备管理员对带离机房的设备是否经过审批
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，"安全管理人员"层面对外部人员访问的管理包括( )。
A. 在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案
B. 在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案
C. 外部人员离场后应及时清除其所有的访问权限
D. 为保护个人信息，消除外部人员进出机房录像与登记记录
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），移动互联安全扩展的测评对象包括哪些？( )
A. 无线接入设备（AP） B. 无线接入网关设备（AC）
C. 无线安全防护设备（WIDS/WIPS） D. 移动终端管理系统（MDM/MAM/MCM）
可以有效地减轻 SQL 注入攻击的风险的安全措施有( )。
A. 使用参数化查询 B. 对所有用户输入进行严格的验证和清理
C. 禁止数据库的直接访问 D. 部署 Web 应用防火墙（WAF）
通过调用系统级函数（如内核或运行时库函数）来隐藏自身的 rootkit 类型包括( )。
A. 应用层 Rootkit B. 内核层 Rootkit C. 运行库层 Rootkit D. 系统层 Rootkit
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第二级安全要求，"恶意代码防范"是( )层面的控制点。
A. 安全区域边界 B. 安全计算环境 C. 安全运维管理 D. 安全建设管理
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），在网络安全等级保护中，在"一个中心，三重防护"的思想中，"三重防护"指的是( )。
A. 安全物理环境 B. 安全通信网络 C. 安全区域边界 D. 安全计算环境
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络"安全运维管理"的"介质管理"中要求应对介质在物理传输过程中进行控制的情况包括( )。
A. 人员选择 B. 打包 C. 交付 D. 介质颜色
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），对于"安全管理制度"的"评审和修订"测评实施，第三级测评需( )。
A. 访谈安全主管是否定期对安全管理制度进行审定
B. 核查是否有安全管理制度的审定或论证记录
C. 核查制度修订后是否有更新的版本
D. 核查制度是否每年重新编写一次
进行网络嗅探时，以下哪些做法符合其技术方法和评估原则？（）
A. 使用自动化工具向常用端口发送多种类型的探测数据包（如 ICMP）
B. 将收到的响应数据包与已知的操作系统和服务的特征数据库进行比较。
C. 在具体网段上部署嗅探器，以捕获并分析流量来验证加密协议（如 TLS）的有效性。
D. 为了获得最全面的信息，应优先选择在业务高峰时段进行大规模主动扫描。
工具测试接入点规划时应该遵循以下哪些原则？（）
A. 由低级别系统向高级别系统探测
B. 同一系统中同等重要程度的功能区域之间要相互探测
C. 由外联接口向系统内部探测
D. 由较低重要程度区域向较高重要程度区域探测
某电商平台存在业务逻辑漏洞，以下哪些场景属于该类漏洞的典型利用方式？（）
A. 修改订单提交参数中的商品价格
B. 通过重复发包触发数据库缓冲区溢出
C. 篡改密码重置请求中的用户 ID 参数
D. 利用竞争条件无限领取优惠券
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下属于第三级网络在"电磁防护"方面要求的是（）
A. 电源线和通信线缆隔离铺设
B. 供电线路安装稳压器
C. 对关键设备实施电磁屏蔽
D. 设置冗余或并行的供电线路
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，下列关于"自行软件开发"说法正确的是（）。
A. 开发人员应为专职人员
B. 自行开发软件时开发环境与实际运行环境物理分开
C. 自行开发软件时需要制定开发管理制度
D. 自行开发软件时需制定代码编写规范

三、简答（共 2 题，每题 10 分，共 20 分）

1、依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全通用要求，安全运维管理层面包括哪些安全控制点要求？

2、依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级移动互联安全扩展要求，描述安全计算环境层面"移动应用管控"控制点的安全要求项？

网络安全等级测评师能力评估（初级）样卷答案汇总

第一套样卷答案

一、单选（共30题，每题1分，共30分）

B（《网络安全法》要求留存网络日志不少于6个月）
D（整改需覆盖所有不符合项，并制定中长期计划；A忽略中低风险错，B管理延后错，C优先级错误）
C（测评方法不含"猜测"，仅检查、测试、访谈）
B（公网安〔2025〕1001号：三级及以上系统需专家评审定级结果）
C（2025版测评报告编号由4组数据构成）
A（防止冒名需对信息源身份验证；B是保密，C是边界防护，D是流量过滤）
D（SSL是加密协议；HTTP、FTP、TELNET为明文传输）
B（SM3-HMAC保障数据完整性；A是可用性，C是审计，D是物理安全）
B（DDoS=分布式拒绝服务）
A（WAF工作在TCP/IP协议栈应用层）
C（应用层防火墙速度较慢，需深度解析应用层数据；A、B、D为其特点）
C（三级要求安全管理员不可由网络管理员兼任，需职责分离）
D（程序资源库修改授权属于"自主软件开发"控制点）
C（Linux中lcredit表示密码需包含的小写字母数量；dcredit为数字，ucredit为大写，ocredit为特殊字符）
D（三级电力供应需稳压器、过电压防护、短期备用电力）网络安全等级测评师能力评估（初级）第一套样卷
一、单选（共 30 题，每题 1 分，共 30 分）
根据《中华人民共和国网络安全法》，网络运营者应当按照网络安全等级保护制度的要求，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于( )个月。
A. 三 B. 六 C. 九 D. 十二
以下关于安全整改的说法，正确的是( )。
A. 只需整改高风险项，中低风险项可以忽略
B. 整改应优先处理技术问题，管理问题可以延后
C. 整改应遵循"先修复高危漏洞，再优化管理流程"的次序
D. 整改应覆盖所有不符合项，并制定中长期整改计划
依据《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018），测评人员为了验证安全措施的有效性，通常不会采用的方法是( )。
A. 检查（访谈、查验） B. 测试（人工测试、工具测试）
C. 猜测（凭经验猜测配置） D. 访谈（与人员交流）
依据《关于进一步做好网络安全等级保护有关工作的函》（公网安〔2025〕1001 号），要求 2025 年 11 月
30 日前，全面开展系统备案动态更新；安全保护等级初步确定为( )以上的信息系统，运营者需组织国家网络安全等级保护专家对定级结果进行评审。
A. 第二级（含） B. 第三级（含） C. 第四级（含） D. 第五级（含）
依据《网络安全等保护测评报告模板》（2025 版），测评报告编号由( )组数据构成。
A. 2 组 B. 3 组 C. 4 组 D. 5 组
防止用户被冒名所欺骗的方法是( )。
A. 对信息源发放进行身份验证 B. 进行数据加密
C. 采用防火墙 D. 对访问网络的流量进行过滤和保护
用于加密机制的协议的是( )。
A. HTTP B. FTP C. TELNET D. SSL
属于数据完整性得到保护的例子的是( )。
A. 某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作
B. 某信息系统为保障数据被攻击者篡改后可检查，采用 SM3-HMAC 算法对数据生成消息鉴别码并定期校验
C. 某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D. 李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看
DDos 攻击的全称是( )。
A. 数据加密服务 B. 分布式拒绝服务 C. 脚本攻击 D. 网络监听服务
常见的 WAF 工作在 TCP/IP 网络协议中的( )。
A. 应用层 B. 传输层 C. 网络层 D. 网络接口层/数据链路层
以下不属于应用层防火墙特点的是( )。
A. 更有效的阻止应用层攻击 B. 工作在 0SI 模型的第七层
C. 速度快且对用户透明 D. 比较容易进行审计
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，关于网络安全工作相关人员配备情况以下错误的是( )。
A. 需要配备一定数量的系统管理员、审计管理员和安全管理员等
B. 审计管理员不能承担系统账户授权工作
C. 安全管理员可由网络管理员兼任
D. 各个岗位的人员需根据管理人员名单任职
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），核查程序资源库的修改、更新、发布是否进行了授权和批准，属于( )控制点的测评实施内容。
A. 系统建设管理 B. 软件外包 C. 人员配备 D. 自主软件开发
linux 操作系统下，/etc/pam. d/system-auth 文件中的 lcredit 参数表示( )。
A. 用户密码中必须包含多少个数字
B. 用户密码中必须包含多少个大写字母
C. 用户密码中必须包含多少个小写字母
D. 用户密码中必须包含多少个特殊字符
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，可采取( )措施来实现电力供应方面的要求。
A. 在供电线路上配置稳压器
B. 在供电线路上配置过电压防护设备
C. 提供短期的备用电力供应
D. 以上全是
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求,不属于云计算安全扩展要求中的安全计算环境中的安全控制点的是( )。
A. 身份鉴别 B. 访问控制 C. 安全审计 D. 入侵防范
物联网的感知层设备（如传感器）在安全上面临的主要挑战不包括( )。
A. 计算和存储资源有限，难以实现复杂安全算法
B. 通常部署在无人值守环境，面临物理破坏风险
C. 数量庞大，难以进行统一的身份管理和更新
D. 显示屏幕过大，容易造成信息泄露
在验证测试中，常使用( )工具确定远程主机是否在线。
A. Sqlmap B. BurpSuite C. Namp D. WireShark
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在"访问控制"测评单元中，( )
不是必须核查的内容。
A. 是否为用户分配账户和权限 B. 是否禁用匿名账户
C. 是否启用多因素认证 D. 是否限制默认账户权限
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），"恶意代码防范"测评单元中，必须实施的内容是( )。
A. 每日全盘扫描 B. 安装防恶意代码软件并定期更新
C. 禁止使用移动存储设备 D. 关闭所有网络端口
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），在安全管理机构的"人员配备"
控制点中，应检查( )配备情况。
A. 系统管理员、审计管理员和安全管理员 B. 外包人员
C. 清洁人员 D. 软件开发人员
安全管理制度主要包括：安全策略、管理制度、制定和发布、( )四个控制点。
A. 审核 B. 评审和修订 C. 授权和审批 D. 审核和检查
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在对第三级网络所部署机房进行测评时，下列属于"防火"测评实施内容的是( )。
A. 机房是否设置火灾自动消防系统
B. 自动消防系统是否可以自动检测火情、自动报警并自动灭火
C. 各区域间是否采取了防火措施进行隔离
D. 以上均是
第三级信息系统测评的测评周期是( )。
A. 每半年 B.每年 C. 每两年 D. 备案年度测评一次

复制代码

    依据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络安全管理机构包括 (	)个控制点。

A. 6 B.5 C. 4 D. 3

依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第二级网络安全管理制度包括 ( )个控制点。

A. 6 B.5 C. 4 D. 3

对于与互联网物理隔离的内网环境，下列哪种攻击方式最为有效？

A. 端口扫描 B. 目录遍历 C. 拒绝服务 D. 摆渡木马

关于远程代码执行（RCE）漏洞，以下错误的是( )。

A. 远程代码执行漏洞允许攻击者在目标系统上执行任意命令或代码

B. 反序列化漏洞是导致远程代码执行的常见原因之一

C. 对用户输入进行严格的过滤和转义，可以完全杜绝所有远程代码执行漏洞

D. 框架和组件中的已知 RCE 漏洞，即使未在自定义代码中显式调用，也可能因为应用依赖该组件而存在风险

分析以下代码段，

...
代码片段( )，修复建议是( )。 A. 无漏洞，无需修复 B. 存在漏洞，应使用 .textContent 替代 .innerHTML C. 存在漏洞，应在输出前过滤 alert 和 script 关键字 D. 存在漏洞，应在输出前对 message 进行 HTML 实体编码 30. 某网站页面使用JavaScript 从URL 参数中读取message 的值，并通过 innerHTML 方式将其插入到DOM 中。下列 Payload 能够成功触发 XSS 漏洞的是( )。 A. test'">< B. C. javascript:alert('XSS') D. :x:

二、不定项（共 25 题，每题 2 分，共 50 分）

关于关键信息基础设施（CII）保护的说法，说法正确的有( )。

A. CII 的保护应在网络安全等级保护制度的基础上，实行重点保护

B. CII 的认定由所属行业或领域的主管/监管部门负责组织

C. CII 运营者应设置专门的安全管理机构，并对负责人和关键岗位人员进行安全背景审查

D. 所有第三级信息系统都应被认定为关键信息基础设施
属于"社会工程学"攻击常见手法的有( )。

A. 钓鱼邮件（Phishing）

B. 电话诈骗（Vishing），冒充技术支持人员索要密码

C. 利用 SQL 注入漏洞获取数据库权限

D. 尾随（Piggybacking），跟随授权人员进入受限制的区域
《中华人民共和国网络安全法》第三十四条除了规定关键信息基础设施的运营者应设置专门的安全管理机构和负责人外，还要求履行的安全保护义务包括( )。

A. 定期对从业人员进行网络安全教育、技术培训和技能考核

B. 对重要系统和数据库进行容灾备份

C. 制定网络安全事件应急预案，并定期进行演练

D. 采购网络产品和服务时，应通过国家网络安全审查
《信息安全等级保护管理办法》（公通字〔2007〕43 号），第三级以上信息系统应当选择( )等级保护测评机构进行测评。

A. 在中华人民共和国境内注册成立（港澳台地区除外）

B. 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）

C. 从事相关检测评估工作两年以上，无违法记录

D. 工作人员仅限于中国公民
根据《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕

1960 号），加强网络安全工作各项保障中包括( )。

A. 加强组织领导 B. 加强经费政策保障

C. 加强考核评价 D. 加强技术攻关和人才培养
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），可通过以下哪些方式记录用户所有操作信息( )。

A. 开启系统日志审计功能

B. 采用第三方日志审计软件

C. 通过堡垒机统一管理，开启录像模式和审计模式

D. 采用人工不定期记录日志
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），日志审计记录应包括( )。

A. 事件的日期时间类型 B. 主体标识 C. 客体标识 D. 结果
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），属于第三级网络在"安全通信网络"层面"通信传输"测评实施内容的是( )。

A. 核查是否采用校验技术或密码技术保证通信过程中数据的完整性

B. 测试在通信过程中对敏感信息字段进行加密的有效性

C. 核查网络设备的管理员登录地址是否被限制

D. 核查是否采用密码技术保证通信过程中数据的保密性
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），属于第三级网络在"安全计算环境"层面"数据完整性"测评实施内容的是( )。

A. 核查是否采用校验技术或密码技术保证重要数据在传输过程中的完整性

B. 核查是否采用校验技术或密码技术保证重要数据在存储过程中的完整性

C. 测试验证检测到完整性受到破坏时能否恢复

D. 核查是否对重要程序的完整性进行保护，并在检测到完整性受到破坏时采取恢复措施
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络的"安全管理制度"

控制点包括以下哪些安全要求项( )。

A. 应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等

B. 应对安全管理活动中的各类管理内容建立安全管理制度

C. 网络安全产品采购和使用应符合国家的有关规定

D. 应定期审查审批事项，及时更新需授权和审批的项目
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），下面属于三级"安全建设管理"

层面控制点的是( )。

A. 定级和备案 B. 安全方案设计 C. 密码管理 D. 等级测评
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"变更管理"测评实施内容的是( )。

A. 核查是否具有变更方案

B. 应访谈系统管理员是否对基本配置信息进行记录和保存

C. 核查是否具有变更失败后的恢复方面的相关文档

D. 核查是否具有变更方案评审记录和变更过程记录文档
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），关于"数据备份恢复"的测评实施内容包括( )。

A. 应核查是否按照备份策略进行本地备份

B. 应核查备份策略设置是否合理、配置是否正确

C. 应核查备份结果是否与备份策略一致

D. 应核查近期恢复测试记录是否能够进行正常的数据恢复
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级云计算安全扩展要求，以下属于安全区域边界层面访问控制的安全要求项是( )。

A. 应在虚拟化网络边界部署访问控制机制，并设置访问控制规则

B. 应在不同等级的网络区域边界部署访问控制机制，设置访问控制规

C. 应实现不同云服务客户虚拟网络之间的隔离

D. 应保证云计算平台不承载高于其安全保护等级的业务应用系统
关于文件包含漏洞，下列哪项说法错误的是( )。

A. 分为本地文件包含和远程文件包含两种类型

B. 利用本地文件包含漏洞可以读取服务器上的敏感系统文件

C. PHP 中，远程文件包含漏洞在默认配置下就可以直接利用

D. 修复方法包括对用户输入进行严格校验和使用白名单机制
属于 JWT（JSON Web Token）的常见安全漏洞的有( )。

A 空签名漏洞 B. 弱 HMAC 签名密钥 C. JWKS 欺骗 D. 远程命令执行漏洞
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）第三级安全通用要求，对于"安全事件处置"中事件报告和处置管理制度明确包括的内容是( )。

A. 安全事件的报告、处置和响应流程

B. 安全事件的现场处理、事件报告和后期恢复的管理职责

C. 事件产生的原因、证据、处置过程和教训

D. 事件责任人的罚款金额
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），"安全建设管理"中"工程实施"

的测评内容，包括核查( )。

A. 指定了专门的部门或人员负责工程实施过程的管理

B. 制定了安全工程实施方案

C. 实施方案包括时间限制、进度控制、质量控制等内容

D. 由施工方完全独立实施
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，操作系统运行中需要启用安全审计功能，审计需覆盖到每个用户，对( )进行审计。

A. 重要的用户行为 B. 重要安全事件 C. 所有行为 D. 所有安全事件
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第二级安全要求，"安全审计"是( )层面的控制点。

A. 安全通信网络 B. 安全区域边界 C. 安全计算环境 D. 安全管理中心
为了对组织的安全防护体系进行全面评估，应在哪些( )关键位置部署网络嗅探器？

A. 在重要操作系统和应用程序前端部署网络嗅探器,用以评估用户活动

B. 在网络边界处部署网络嗅探器，用以评估进出网络的流量

C. 在防火墙后端部署网络嗅探器，用以评估准确过滤流量的规则集

D. 在 IDS/IPS 后端部署网络嗅探器，用以确定特征码是否被触发并得到适当的响应
关于跨站脚本攻击（XSS）的成因与有效防御，以下说法正确的是( )。

A. 反射型 XSS 和 DOM 型 XSS 的恶意脚本通常不会持久化存储在服务器上，其利用依赖于诱骗用户访问特定构造的恶意 URL

B. 存储型 XSS 的危害通常更大，因为恶意脚本被永久存储在目标服务器上（如数据库中），所有访问受影响页面的用户都会自动执行该脚本

C. 设置 HTTP 响应头 Content-Security-Policy（内容安全策略）可以有效限制浏览器加载或执行的资源来源，是防御 XSS 的深度防御策略

D. 为 Cookie 属性设置 HttpOnly 标志可以阻止客户端 JavaScript 访问该 Cookie，从而有效缓解 XSS 攻击成功后导致的会话劫持

关于云安全测试，以下说法正确的是( )。

A. 获取云服务器上的元数据是云环境中的一个重要攻击手段

B. 云服务商负责所有安全，因此用户不需要检查自己的配置

C. 错误配置的云存储桶（如设置为"公开访问"）是常见的安全风险

D. 在云中，滥用过大的账户权限是横向移动的主要方式之一

依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），针对第三级网络，以下哪些控制点不属于"安全建设管理"层面（）。

A. 岗位设置 B. 环境管理 C. 工程实施 D. 授权和审批

依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），针对第三级网络，"人员配备"要求配备一定数量的（）。

A. 系统管理员 B. 审计管理员 C. 安全管理员 D. 保洁人员

三、简答（共 2 题，每题 10 分，共 20 分）

2、依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全通用要求，描述安全管理机构层面"岗位设置"控制点的安全要求项？

网络安全等级测评师能力评估（初级）第二套样卷

一、单选（共 30 题，每题 1 分，共 30 分）

依据《关键信息基础设施安全保护条例》，负责指导监督关键信息基础设施安全保护工作的部门是( )。
A. 国务院公安部门 B. 国家保密工作部门 C. 国家密码管理部门 D. 国家数据局
我国哪一部( )法规首次明确提出"计算机信息系统实行安全等级保护"制度？
A.《中华人民共和国网络安全法》 B.《中华人民共和国计算机信息系统安全保护条例》 C.《中华人民共和国保密法》 D.《中华人民共和国数据安全法》
依据《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）,等级测评过程主要包括四个基本阶段，以下正确的阶段顺序是( )。
A. 测评准备→方案编制→现场测评→分析与报告编制
B. 方案编制→测评准备→现场测评→分析与报告编制
C. 测评准备→现场测评→方案编制→分析与报告编制
D. 方案编制→现场测评→测评准备→分析与报告编制
依据《网络安全等级保护测评报告模板》（2025 版），等级测评结论为"符合"的条件是( )。
A. 符合率 ≥ 60% B. 符合率 ≥ 90% 且无重大风险隐患
C. 符合率 ≥ 80% D. 无重大风险隐患即可
大数据是指具有体量巨大、( )、生成极快，且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。
A. 责任认定困难 B. 来源多样 C. 处理分散 D. 非结构化
以下说法不正确的是( )。
A. 对称加密算法可以实现保密性 B. HASH 算法可以实现完整性
C. HASH-MAC 算法可以实现完整性 D. 数字签名可以实现不可否认性
不能实现安全事件的识别、报警和分析的安全措施是( )。
A. 态势感知平台 B. IDS/IPS C. 包过滤防火墙 D. 综合审计系统
以下不属于 IDS 主要功能的是( )。
A. 监控和分析用户和系统活动 B. 统计分析异常活动模式
C. 对被破坏的数据进行修复 D. 识别活动模式以反映已知攻击
以下属于身份鉴别( Authentication )过程的情景是( )。
A. 用户依照系统提示需要输入用户名和口令
B. 用户在网络上共享了自己编写的一份 Office 文档,并设定哪些用户可以阅读,哪些用户可以修改
C. 用户使用加密软件对自己编写的 office 文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容
D. 某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程记录在系统日志中
难以通过网络窃听获取信息数据传输方式的是( )。
A. FTP 传输文件 B. TELNET 进行远程管理 URL
C. 以 HTTPS 开头的网页内容 D. 经过 TACACS+认证和授权后建立的连接
SSL/TLS 协议不能提供的安全服务是( )。
A. 数据加密 B. 消息完整性验证 C. 病毒查杀 D. 服务器身份认证
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），不属于第三级安全管理人员中 "安全意识教育和培训"的要求的是( )。
A. 对各类人员进行安全意识教育培训
B. 对不同岗位制定不同的培训计划
C. 对不同岗位的人员进行技能考核
D. 对负责运行维护的技术人员进行相应的技能培训
linux 中要想查看一个文件是否具有-rwxr--r--权限，使用的命令为（）。
A. #ls -l /etc/passwd 744 B. #ls -l /etc/shadow 755
C. #ls -l /etc/rc3.d 633 D. #ls -l /etc/inet. conf 700
数据保密性指的是（）。
A. 保护网络中各系统之间交换的数据防止因数据被截获而造成泄密
B. 提供连接实体身份的鉴别
C. 防止非法实体对用户的主动攻击保证数据接收方收到的信息与发送方发送的信息完全一致
D. 确保数据是由合法实体发出的
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），对"应实现不同云服务客户虚拟网络之间的隔离"的安全要求项，以下说法错误的是( )。
A. 应核查云服务客户之间是否采取网络隔离措施
B. 应核查云服务客户之间是否设置并启用网络资源隔离策略
C. 应测试验证不同云服务客户之间的网络隔离措施是否有效
D. 应核查云服务客户是否可以接入第三方安全产品或在云计算平台选择第三方安全服务
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），云计算安全扩展要求部分，以下说法错误的是( )。
A. 一级系统没有云计算安全扩展要求
B. 云计算的三种服务模式包括 SaaS、PaaS、IaaS
C. 自建私有云并独立承担云上业务应用，云计算平台及其上的云服务应用的责任主体一致
D. 云计算是一种通过网络提供计算资源和服务的模式，允许用户通过互联网访问和使用存储、计算、数据库、应用程序等各种资源，无需拥有这些资源的实际物理设备
云计算平台为满足安全扩展要求，应能提供开放接口允许云服务客户( )。
A. 直接关闭其他客户的虚拟机
B. 接入第三方安全产品或服务
C. 修改云计算平台的基础架构代码
D. 绕过计费系统免费使用资源
下列不属于向服务器写入 webshell 的方法是( )。
A. 通过上传漏洞，上传修改过的文件
B. 通过注入漏洞，用 mysql 的写权限写入文件
C. 通过命令执行漏洞，通过 echo 命令写入文件
D. 通过信息泄露漏洞，浏览器获取网站的 html 源码，修改源代码再次访问
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），根据"安全审计"要求，不是审计记录必须包含的内容的是( )。
A. 事件的日期和时间 B. 用户 C. 事件类型 D. 用户的物理位置
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）第三级安全测评通用要求，"安全管理中心"中要求系统管理员应通过( )方式进行系统管理。
A. 任意终端远程登录 B. 特定的命令或操作界面
C. 无需身份鉴别 D. 共享管理员账户
下列哪类( )漏洞的成因是内存安全问题？
A. 缓冲区溢出 B. SQL 注入 C. 跨站脚本（XSS） D. 竞争条件
Nacos 控制台存在默认弱口令漏洞（如 admin/admin）时，攻击者可直接利用该漏洞（）。
A. 获取所有微服务的源代码
B. 直接获得服务器操作系统最高权限
C. 登录控制台并修改服务配置信息
D. 直接解密数据库中存储的所有加密数据
下列哪个( )SQL 注入 Payload 属于布尔盲注类型？
A. ' UNION SELECT username, password FROM users --
B. ' AND IF(1=1, SLEEP(5), 0) --
C. ' AND (SELECT COUNT(*) FROM users) > 0 --
D. ' OR 1=1 --
在渗透测试的信息收集阶段，以下哪种方法（）最适合用于快速识别目标网络的活跃主机和开放端口？
A. 使用 Nmap 进行主机发现和端口扫描
B. 使用 Metasploit 框架尝试漏洞利用
C. 使用 John the Ripper 进行密码破解
D. 使用 Wireshark 分析网络流量
配置如下两条扩展访问控制列表（以 Cisco 设备为例），用于控制 TCP 协议的访问：
ip access-list extended 101 permit tcp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.0 eq 80
ip access-list extended 102 permit tcp 192.168.1.0 0.0.0.255 any eq 80
分析这两条 ACL 所控制的源 IP 地址和目标 IP 地址范围的关系，并选择正确的选项（）：
A. 101 的范围完全包含在 102 的范围内
B. 102 的范围完全包含在 101 的范围内
C. 101 和 102 的范围一样
D. 101 和 102 的范围完全不同
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下不是第二级网络的控制点要求的是（）。
A. 身份鉴别 B. 访问控制 C. 安全审计 D. 数据保密性
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），机房及相关的工作房间和辅助
房应采用具有（）的建筑材料。
A. 耐热等级 B. 耐水等级 C. 耐火等级 D. 耐潮等级
对于 Linux 操作系统，需要设置 example.txt 文件的所有者可以读、写、执行，属组、其他用户读，如何设

置（）。

A. chmod 744 example.txt B. chmod 447 example.txt

C. chmod 474 example.txt D. chmod 644 example.txt

依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），在第三级网络中，关于安全管理中心-集中管控的安全要求下列说法不正确的是（）。

A. 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控

B. 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测

C. 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析

D. 应能对网络中发生的各类安全事件进行识别、报警和分析

以下哪个算法能够更好地保证数据的存储保密性（）。

A. RSA SHA B. SHA256 C. 3DES D. SM4

二、不定项（共 25 题，每题 2 分，共 50 分）

部署 WAF（Web 应用防火墙）可以有效防护的攻击类型有( )。

A. SQL 注入 B. 跨站脚本（XSS） C. 分布式拒绝服务（DDoS） D. 远程代码执行（RCE）
有效的网络安全监测与分析技术包括( )。

A. 基于特征的检测（如 IDS 签名库） B. 基于异常的检测（如建立行为基线）

C. 沙箱技术（Sandbox） D. 深度包检测（DPI）
依据《中华人民共和国网络安全法》第二十一条和第三十四条，说法正确的是( )。

A. 第二十一条适用于所有网络运营者，第三十四条仅适用于关键信息基础设施的运营者

B. 第三十四条的要求比第二十一条对网络运营者的要求更为严格和具体

C. 两者都要求对关键岗位人员进行背景审查

D. 两者都要求设置专门的安全管理机构和安全负责人
"三化六防"措施中的"三化"是指( )。

A. 实战化 B. 体系化 C. 常态化 D. 规范化
《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）提出了安全通用要求和安全扩展要求，扩展要求包括( )。

A. 云计算扩展要求 B. 工业控制系统扩展要求 C. 车联网扩展要求 D. 大模型扩展要求
根据《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕

1960 号），要求加强网络安全立体化监测体系建设包括的内容有( )。 A.各单位、各部门对关键信息基础设施、重要网络等开展实时监测

B.各单位、各部门研究绘制网络空间地理信息图谱（网络地图）

C.行业主管部门、网络运营者要建设本行业、本单位的网络安全保护业务平台 D.重点行业、网络运营者和公安机关要建设网络安全监控指挥中心
在 Linux 中配置登录失败参数，在以下哪个文件可配置( )。

A. /etc/pam. d/system-auth B. /etc/pam. d/common-auth

C. /etc/pam. d/audit. conf D. /etc/passwd
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），机房所有材料为耐火材料，如( )。

A. 防火墙体 B. 防火玻璃 C. 金属栅栏 D. 木板
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于单项测评构成内容的有( )。

A. 测评指标 B. 测评对象 C. 整体测评分析 D. 测评实施
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），属于第三级网络在"安全管理中心"层面"系统管理"测评实施内容的是( )。

A. 核查是否通过系统管理员对系统的资源和运行进行配置、控制和管理

B. 测试验证系统管理员的操作是否被安全审计设备记录

C. 核查是否对网络中的安全设备或安全组件进行统一管理

D. 核查是否对系统管理员进行身份鉴别
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在安全运维管理层面，属于第三级网络"网络和系统安全管理"测评实施内容的有( )。

A. 核查是否具有远程运维的开通审批记录

B. 核查是否具有运维工具使用审批记录

C. 核查是否制定了重要设备的配置和操作手册

D. 核查是否指定专门的部门或人员进行账户管理
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），"安全管理机构"层面关于"沟通和合作"控制点中要求应加强( )之间的合作与沟通。

A. 各类管理人员 B. 组织内部机构 C. 监管部门 D. 网络安全管理部门
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），"安全管理制度"层面涉及的安全控制点包括( )。

A. 安全策略 B. 管理制度 C. 制定和发布 D. 评审和修订
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"安全管理人员"层面"人员录用"测评实施内容的是( )。

A. 核查是否对被录用人员的身份、背景、专业资格等进行审查

B. 核查是否与关键岗位人员签署保密协议

C. 核查是否要求相关人员离岗时终止其访问权限

D. 核查是否定期对各个岗位的人员进行安全技能考核
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级云计算安全扩展要求，以下属于安全计算环境-入侵防范的安全要求项是( )。

A. 应能检测虚拟机之间的资源隔离失效，并进行告警

B. 应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警

C. 应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警

D. 应实现不同云服务客户虚拟网络之间的隔离
在渗透测试过程中，为了识别和利用目标网络中的潜在漏洞，测试者可能会采用( )技术手段。

A. 端口扫描 B. 漏洞扫描 C. 源代码审计 D. 流量分析
当网站存在命令执行漏洞且服务器无法直接访问外网时，我们仍可能通过以下( )方式将文件上传至服务器。

A. 使用 FTP 协议进行文件传输 B. 通过 PowerShell 写入文件

C. 通过 VBScript 脚本写入文件 D. 使用系统 echo 命令写入文件
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"安全建设管理"层面"测试验收"测评实施内容的是( )。

A. 应核查是否具有上线前的安全测试报告

B. 应核查测试验收报告是否有相关部门和人员的审定意见

C. 应核查是否具有软件开发的相关文档

D. 应核查工程测试验收方案是否明确了参与测试的部门、人员、测试验收内容等
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），第三级网络"安全建设管理"中"系统交付"的控制点，测评实施时需核查( )。

A. 交付清单是否说明了交付的设备、软件和文档

B. 是否对运行维护技术人员进行了技能培训

C. 是否提供了建设过程文档和运行维护文档

D. 是否具有上线前的安全测试报告
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019)，以下属于个人信息保护要求测评项的是( )。

A. 应仅采集和保存业务必需的用户个人信息

B. 应禁止未授权访问和使用用户个人信息

C. 应允许对用户个人信息的访问和使用

D. 应制定有关用户个人信息保护的管理制度和流程
以下关于漏洞扫描的评估要素和原则的描述中，哪些是正确的？（）

A. 漏洞扫描结果应包含漏洞名称、类型、描述、风险等级及修复建议等信息

B. 漏洞扫描工具无需更新漏洞库即可准确识别最新漏洞

C. 应通过工具自动扫描结合人工分析的方式，综合判断漏洞的实际风险等级

D. 扫描时可任意设置高线程数和最大流量以提高扫描效率，无需考虑对目标系统的影响
以下哪些情况属于容器环境中明确存在的安全风险或错误配置？（）

A. 使用未经更新、包含已知高危漏洞的第三方基础镜像

B. 容器进程默认以 root 用户权限运行且未设置权限降级

C. 容器镜像的构建文件中硬编码数据库连接密码等敏感信息

D. 集群内未配置网络策略（Network Policy），允许所有容器间无条件通信
以下哪些情况可能导致文件上传功能存在安全漏洞？（）

A. 仅在前端 JavaScript 中验证文件类型，后端未做任何检查

B. 服务端校验文件类型时仅检查 HTTP 请求头中的 Content-Type

C. 允许用户上传的文件存储在 Web 服务器的可执行目录下

D. 对上传后的文件使用随机化重命名，但未修改文件后缀
可以增加 Windows 账户安全性的有（）。

A. 关闭默认共享 B. 远程登录超时设置 C. 日志记录策略设置 D. 关闭系统不必要的服务
Linux 系统安全配置内容包括（）。

A. 账户安全设置 B. 远程登录安全 C. 审计策略 D. 文件权限操作命令

三、简答（共 2 题，每题 10 分，共 20 分）
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），针对三级云计算安全测评扩展要求"应在虚拟化网络边界部署访问控制机制，并设置访问控制规则"指标项，请描述测评实施包括哪些内容?
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全通用要求，描述安全建设管理层面"定级和备案"控制点的安全要求项？

网络安全等级测评师能力评估（初级）第三套样卷

一、单选（共 30 题，每题 1 分，共 30 分）
根据《中华人民共和国网络安全法》，发生网络安全事件时，网络运营者应立即启动应急预案，采取相应的补救措施，并按照规定向有关( )报告。

A. 行业协会 B. 主管部门 C. 客户和用户 D. 社会公众
依据《关于进一步做好网络安全等级保护有关工作的函》（公网安〔2025〕1001 号），第五级信息系统原则上应按照( )进行保护。

A. 分级保护要求 B. 关键信息基础设施安全保护要求

C. 数据安全管理要求 D. 行业特殊安全要求
依据《网络安全等级保护测评报告模板》（2025 版），等级测评结论为"基本符合"的是( )。

A. 符合率高于 90%，且无重大风险隐患 B. 符合率高于 60%，但存在重大风险隐患

C. 符合率高于 90%，但存在高风险问题 D. 符合率低于 60%
如果云服务客户业务应用系统同时部署在两种不同服务模式（如 IaaS 和 PaaS）的云计算平台上，测评报告中应如何体现( )？

A. 任选一个平台进行说明

B. 合并描述，取两个平台的平均水平

C. 使用多个"等级测评结论扩展表（云计算安全）"来分别展示

D. 只需在结论中文字说明即可
依据《网络安全等级保护测评报告模板》（2025 版），第一组编号的含义是( )。

A. 年份 B. 系统备案表编号 C. 机构代码 D. 测评次数
以下属于采用明文传输方式的协议是( )。

A. Telnet B. HTTPS C. SSH D. SFTP
防火墙采用的技术是( )。

A. 安装保护卡 B. 隔离 C. 包过滤 D. 设置进入密码
入侵检测的分析处理过程不包括( )。

A. 构建分析器阶段 B. 对现场数据进行分析阶段

C. 反馈和提炼阶段 D. 响应处理阶段
属于虚拟专用网络（VPN）的安全功能的是( )。

A. 验证，访问控制和密码 B. 隧道，防火墙和拨号

C. 加密，鉴别和密钥管理 D. 压缩，解密和密码
以下属于病毒特性的是( )。

A. 不感染、依附性 B. 不感染、独立性

C. 可感染、依附性 D. 可感染、独立性
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），设备管理、介质管理都属于安全管理部分( )层面控制点。

A. 安全管理机构 B. 安全管理制度 C. 安全建设管理 D. 安全运维管理
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在第三级安全管理测评中，不

属于"人员录用"测评实施内容的是( )。

A. 应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作

B. 应访谈信息/网络安全主管是否在人员录用时对录用人身份、安全背景、专业资格或资质等进行审查

C. 应核查保密协议是否有岗位安全责任定义、协议的有效期限和责任人签字等内容

D. 应核查是否具有离岗人员终止其访问权限、交还身份证件、软硬件设备等的登记记录。
与 10. 110. 12. 29 mask 255. 255. 255. 224 属于同一网段的主机 IP 地址的是（）。

A. 10. 110. 12. 0 B. 10. 110. 12. 30 C. 10. 110. 12. 31 D. 10. 110. 12. 32
windows 系统中的审计日志不包括( )。

A. 系统日志 B. 安全日志 C. 应用程序日志 D. 用户日志
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），移动互联部分通常由( )三部分组成。

A 移动终端、移动应用和无线网络 B. 移动终端、有线网络和数据中心

C. 移动终端、服务器和路由器 D. 智能手机、平板电脑和无线接入点
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），移动互联安全扩展要求，安全区域边界的控制点不包括( )。

A 边界防护 B. 访问控制 C. 入侵防范 D. 电磁辐射控制
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在"数据备份与恢复"测评单元中，( )不是必须核查的内容。

A. 备份策略是否合理 B. 备份数据是否加密

C. 近期是否有恢复测试记录 D. 备份结果是否与策略一致
在工业控制系统安全中，对"拨号使用"的特殊要求是( )

A. 应尽可能使用无线拨号替代有线拨号

B. 应采用账号、口令等多种方式认证用户身份

C. 为方便记忆，拨号账号和口令可长期固定不变

D. 拨号日志无需记录和审计
渗透测试人员行为不包括( )。

A. 记录详细测试过程 B. 使用标准渗透测试工具

C. 编写详细的报告 D. 未经授权访问数据
IPSec 协议中的 AH 协议不能提供的服务是( )。

A. 数据源认证 B. 数据包重放 C. 访问控制 D. 机密性
以下哪种情况表明 API 接口存在严重安全缺陷？( )

A. 身份验证机制依赖客户端提交的 User-ID 参数进行权限判断

B. 返回数据使用 JSON 格式而不是 XML 格式

C. API 响应时间偶尔超过 200 毫秒

D. 服务器使用最新版本的 Linux 操作系统
以下哪种情况属于典型的"硬编码"安全漏洞？( )

A. 将数据库密码明文写在源代码中 B. 用户输入未经过滤直接输出到网页

C. 使用过时的加密算法处理数据 D. 服务器开放了非必要的网络端口
以下哪种情况是中间人攻击的典型特征？( )

A. 攻击者通过暴力破解获取用户密码 B. 攻击者窃听或篡改两台设备之间的通信数据

C. 攻击者向服务器发送大量请求导致服务瘫痪 D. 攻击者利用 SQL 注入获取数据库信息
关于高危端口、服务与漏洞的关联性描述，下列哪项是正确的？( )

A. 端口 445 、SMB 服务、可能关联 MS17-010（永恒之蓝）远程代码执行漏洞

B. 端口 21 、FTP 服务、必然导致匿名登录漏洞

C. 端口 1433 、MSSQL 服务、仅存在暴力破解风险，无远程代码执行漏洞

D. 端口 3389 、RDP 服务、仅存在暴力破解风险，无远程代码执行漏洞
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），哪个等级及以上安全管理制度出现"应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架"要求项内容( )。

A. 第一级 B. 第四级 C. 第二级 D. 第三级
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），根据安全管理中心集中管控控制点要求，应对哪些（）安全相关事项进行集中管理。

A. 安全策略 B. 恶意代码 C. 补丁升级 D. 以上都是
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），针对网络和系统安全管理，以下说法正确的是（）。

A. 应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限

B. 应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制

C. 应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与补丁、口令更新周期等方面做出规定

D. 以上选项都正确
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下不属于第三级网络在安全物理环境层面"防盗窃和防破坏"控制点的要求内容是（）。

A. 各类机柜、设施和设备等通过接地系统安全接地 B. 设备固定

C. 通信线缆隐蔽铺 D. 配置防盗报警系统或专人值守的视频监控系统
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络安全管理人员包括

（）个控制点。

A. 4 B. 5 C. 6 D. 3
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络安全建设管理包括

（）个控制点。

A. 8 B. 9 C. 10 D. 11

二、不定项（共 25 题，每题 2 分，共 50 分）

属于网络数据处理活动的有( )。
A. 收集、加工 B. 存储、传输 C. 公开、删除 D. 定价、交易
以下用于保障数据的"保密性"的安全措施有( )。
A. 利用加密算法对敏感文件进行加密存储
B. 使用 VPN 技术在公网上建立加密传输通道
C. 对数据库表设置访问权限，只允许授权用户查询特定列
D. 为重要电子文件添加数字签名
《中华人民共和国网络安全法》第三十三条要求，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施( )。
A. 同步规划 B. 同步建设 C. 同步使用 D. 同步运维
根据我国信息安全等级保护工作的职责分工，负有专门的"监督、检查、指导"职责的部门包括( )。
A. 公安机关 B. 国家保密工作部门
C. 国家密码管理部门 D. 国务院信息化工作办公室
根据《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕
1960 号），公安机关在网络安全保护工作中的职责包括( )。
A. 公安部负责关键信息基础设施安全保护工作的顶层设计和规划部署
B. 公安机关加强对关键信息基础设施安全服务机构的安全管理，为运营者开展安全保护工作提供支持
C. 公安机关建立挂牌督办制度，对重大安全问题隐患久拖不改的进行约谈督办
D. 公安机关将网络安全工作纳入社会治安综合治理考核评价体系
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），"防雷击"测评中，防止感应雷的测评证据主要取自( ) 。
A. 电源线 B. 防雷保安器 C. 过压保护装置 D. 静电地板
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），需要对( )数据进行异地备份。
A. 配置数据 B. 业务数据 C. 仿真数据 D. 缓存数据
在 Linux 系统中的 SELinux 服务有哪几种工作模式( ) 。
A. enforcing B. permissive C. disabled D. seurity
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"环境管理"测评实施内容的是( )。
A. 核查职责文档是否明确负责管理机房的部门或人员的相关职责
B. 核查机房安全管理制度是否覆盖机房物理访问授权、物品带进/带出机房
C. 核查机房安全管理制度是否明确来访人员的接待区域
D. 观察办公环境桌面上是否有敏感文件或介质
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，安全运维管理的主要活动内容包括( )。
A. 变更管理 B. 安全事件处置 C. 应急预案管理 D. 备份与恢复管理
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下选项属于第三级网络在"自行软件开发"控制点的安全要求项的是( )。
A. 应在软件交付前检测软件中可能存在的恶意代码
B. 应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制
C. 应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则
D. 应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），以下属于第三级网络在"环境管理"方面测评实施内容的是( )。
A. 是否指定专门的部门或人员负责机房安全
B. 是否制定了机房安全管理制度
C. 物理访问、物品进出和环境安全等是否具有相关记录
D. 设备管理员对带离机房的设备是否经过审批
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，"安全管理人员"层面对外部人员访问的管理包括( )。
A. 在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案
B. 在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案
C. 外部人员离场后应及时清除其所有的访问权限
D. 为保护个人信息，消除外部人员进出机房录像与登记记录
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），移动互联安全扩展的测评对象包括哪些？( )
A. 无线接入设备（AP） B. 无线接入网关设备（AC）
C. 无线安全防护设备（WIDS/WIPS） D. 移动终端管理系统（MDM/MAM/MCM）
可以有效地减轻 SQL 注入攻击的风险的安全措施有( )。
A. 使用参数化查询 B. 对所有用户输入进行严格的验证和清理
C. 禁止数据库的直接访问 D. 部署 Web 应用防火墙（WAF）
通过调用系统级函数（如内核或运行时库函数）来隐藏自身的 rootkit 类型包括( )。
A. 应用层 Rootkit B. 内核层 Rootkit C. 运行库层 Rootkit D. 系统层 Rootkit
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第二级安全要求，"恶意代码防范"是( )层面的控制点。
A. 安全区域边界 B. 安全计算环境 C. 安全运维管理 D. 安全建设管理
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），在网络安全等级保护中，在"一个中心，三重防护"的思想中，"三重防护"指的是( )。
A. 安全物理环境 B. 安全通信网络 C. 安全区域边界 D. 安全计算环境
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级网络"安全运维管理"的"介质管理"中要求应对介质在物理传输过程中进行控制的情况包括( )。
A. 人员选择 B. 打包 C. 交付 D. 介质颜色
依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），对于"安全管理制度"的"评审和修订"测评实施，第三级测评需( )。
A. 访谈安全主管是否定期对安全管理制度进行审定
B. 核查是否有安全管理制度的审定或论证记录
C. 核查制度修订后是否有更新的版本
D. 核查制度是否每年重新编写一次
进行网络嗅探时，以下哪些做法符合其技术方法和评估原则？（）
A. 使用自动化工具向常用端口发送多种类型的探测数据包（如 ICMP）
B. 将收到的响应数据包与已知的操作系统和服务的特征数据库进行比较。
C. 在具体网段上部署嗅探器，以捕获并分析流量来验证加密协议（如 TLS）的有效性。
D. 为了获得最全面的信息，应优先选择在业务高峰时段进行大规模主动扫描。
工具测试接入点规划时应该遵循以下哪些原则？（）
A. 由低级别系统向高级别系统探测
B. 同一系统中同等重要程度的功能区域之间要相互探测
C. 由外联接口向系统内部探测
D. 由较低重要程度区域向较高重要程度区域探测
某电商平台存在业务逻辑漏洞，以下哪些场景属于该类漏洞的典型利用方式？（）
A. 修改订单提交参数中的商品价格
B. 通过重复发包触发数据库缓冲区溢出
C. 篡改密码重置请求中的用户 ID 参数
D. 利用竞争条件无限领取优惠券
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下属于第三级网络在"电磁防护"方面要求的是（）
A. 电源线和通信线缆隔离铺设
B. 供电线路安装稳压器
C. 对关键设备实施电磁屏蔽
D. 设置冗余或并行的供电线路
依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全要求，下列关于"自行软件开发"说法正确的是（）。
A. 开发人员应为专职人员
B. 自行开发软件时开发环境与实际运行环境物理分开
C. 自行开发软件时需要制定开发管理制度
D. 自行开发软件时需制定代码编写规范

三、简答（共 2 题，每题 10 分，共 20 分）

1、依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级安全通用要求，安全运维管理层面包括哪些安全控制点要求？

C（云计算安全计算环境控制点不含"安全审计"，其属于通用安全要求）
D（物联网感知层设备无"显示屏幕过大"问题，多为资源有限、无人值守、数量庞大）
C（Nmap（题干"Namp"为笔误）用于检测远程主机在线状态）
C（访问控制测评无需强制核查"多因素认证"，A、B、D为必查项）
B（恶意代码防范必做：安装防恶意代码软件并定期更新；A、C、D非强制）
A（人员配备需系统管理员、审计管理员、安全管理员）
B（安全管理制度含4个控制点：安全策略、管理制度、制定和发布、评审和修订）
D（防火测评含自动消防系统、防火隔离、火情检测报警）
B（三级信息系统测评周期为每年1次）
B（三级安全管理机构含5个控制点：岗位设置、人员配备、职责分工、沟通合作、审核检查）
C（二级安全管理制度含4个控制点：安全策略、管理制度、制定和发布、评审和修订）
D（物理隔离内网需"摆渡木马"传播数据，其他攻击无法跨隔离生效）
C（严格过滤无法"完全杜绝"RCE漏洞，存在绕过可能）
B（代码用innerHTML存在DOM型XSS，修复需用textContent（直接禁用HTML解析）或HTML实体编码，textContent更直接）
D（<img src=x onerror=alert('XSS')>易触发XSS，<script>常被过滤）

二、不定项（共25题，每题2分，共50分）

ABC（D错误：三级系统不一定是关键信息基础设施（CII））
ABD（C错误：SQL注入是技术漏洞，非社会工程学）
ABCD（《网络安全法》34条要求：定期培训、容灾备份、应急预案、安全审查）
ABCD（三级以上测评机构需满足：境内注册、中资、2年无违法、人员为中国公民）
ABCD（1960号文保障措施：组织领导、经费、考核评价、技术人才）
ABC（D错误：人工不定期记录无法确保日志完整性和时效性）
ABCD（日志审计记录需包含：日期时间、主体标识、客体标识、事件结果）
ABD（C错误：限制管理员登录地址属于"访问控制"，非"通信传输"）
ABCD（数据完整性测评含：传输/存储完整性、破坏恢复、程序完整性）
ABCD（三级安全管理制度要求：总体方针、专项制度、合规采购、定期审查）
ABCD（三级安全建设管理控制点：定级备案、安全方案设计、密码管理、等级测评）
ACD（B错误：记录基本配置属于"配置管理"，非"变更管理"）
ABCD（数据备份恢复测评含：本地备份、策略合理性、备份一致性、恢复测试）
ACD（B错误："不同等级网络区域边界控制"属于通用要求，非云计算扩展）
C（C错误：PHP默认allow_url_include=Off，远程文件包含无法直接利用）
ABC（D错误：远程命令执行（RCE）非JWT常见漏洞）
ABC（D错误："罚款金额"不属于事件处置制度内容）
ABC（D错误：工程实施需甲方监督，不可由施工方完全独立）
AB（审计需覆盖"重要"行为和事件，非所有）
CD（二级安全审计属于"安全计算环境"和"安全管理中心"）
BCD（A错误：操作系统前端无需部署嗅探器，易影响业务）
ABCD（反射型/DOM型XSS依赖恶意URL、存储型XSS危害更大、CSP和HttpOnly均为有效防御手段）
ACD（B错误：云用户需自行检查配置（如存储桶权限），云服务商不承担全部责任）
ABD（C错误："工程实施"属于安全建设管理；A属安全管理机构，B属安全运维，D属安全管理制度）
ABC（D错误：保洁人员不属于安全管理岗位）

三、简答（共2题，每题10分，共20分）

1. 第三级云计算安全扩展要求-安全计算环境-"入侵防范"控制点

（1）应能检测虚拟机之间的资源隔离失效（如内存泄露、CPU越权访问），并实时告警；

（2）应能检测非授权新建、重启或启用虚拟机的行为，并记录告警；

（3）应能检测恶意代码在虚拟机间的传播（如文件共享、进程通信传播），并阻断告警；

（4）应能检测针对云计算平台管理接口（如API、控制台）的攻击（如注入、越权），并拦截告警；

（5）应能检测非授权访问、修改云计算平台组件（如虚拟化层、云管理平台）的行为，并审计告警；

（6）应采取技术措施（如虚拟化层加固、内存隔离）防止"虚拟机逃逸"攻击。

2. 第三级安全通用要求-安全管理机构-"岗位设置"控制点

（1）应设立独立的网络安全管理岗位，明确各岗位的职责、权限和人员配备标准；

（2）应按"职责分离"原则设置核心岗位：系统管理员（负责系统配置）、审计管理员（负责日志审计）、安全管理员（负责安全策略），且审计管理员不得承担账户授权，安全管理员不得兼任网络/系统管理员；

（3）应明确各岗位的工作流程（如权限申请、事件处置），确保安全管理动作可追溯；

（4）应根据业务规模和安全需求合理配备人员数量，避免单人兼任多核心岗位导致风险。

第二套样卷答案

一、单选（共30题，每题1分，共30分）

A（《关键信息基础设施安全保护条例》：国务院公安部门指导监督CII保护）
B（首次提出等级保护的是《计算机信息系统安全保护条例》）
A（测评过程：测评准备→方案编制→现场测评→分析与报告编制）
B（"符合"结论要求：符合率≥90%且无重大风险隐患）
B（大数据特征：体量巨大、来源多样、生成极快、多变）
B（单纯HASH算法无法保障完整性（易被篡改数据+HASH值），需结合密钥（如HASH-MAC）；A、C、D正确）
C（包过滤防火墙仅基于IP/端口过滤，无法识别安全事件）
C（IDS仅检测告警，不修复数据）
A（身份鉴别是验证用户身份（如用户名+口令）；B是访问控制，C是保密，D是审计）
C（HTTPS基于TLS加密，难以窃听；FTP、TELNET、TACACS+为明文）
C（SSL/TLS提供加密、完整性、身份认证，不提供病毒查杀）
D（"技术人员技能培训"属于运维能力，非"安全意识教育"）
A（ls -l查看权限，-rwxr--r--对应权限值744）
A（数据保密性：防止数据被截获泄密；B是身份鉴别，C是完整性，D是数据源认证）
D（"接入第三方安全产品"与"不同云客户隔离"无关，非该要求测评内容）
A（一级系统无云计算安全扩展要求，B、C、D正确）
B（云计算平台开放接口允许接入第三方安全产品（如WAF、漏扫））
D（"获取HTML源码修改后访问"仅客户端生效，无法写入服务器）
D（审计记录无需包含"用户物理位置"）
B（系统管理员需通过特定命令/界面管理，禁止任意终端、共享账户）
A（缓冲区溢出由内存越界导致，属内存安全问题；B、C、D非内存问题）
C（Nacos弱口令可登录控制台修改服务配置，无法直接获取源码、系统权限或解密数据库）
C（布尔盲注通过判断条件真假（如COUNT(*)>0）获取信息；A是联合查询，B是时间盲注，D是万能密码）
A（Nmap快速实现主机发现和端口扫描；B是漏洞利用，C是密码破解，D是流量分析）
A（ACL 101目标为172.16.0.0/16，ACL 102目标为any，101范围完全包含于102）
D（二级网络无强制"数据保密性"要求；A、B、C为必选）
C（机房建筑材料需具备耐火等级）
A（rwxr--r--对应权限值744，命令为chmod 744 example.txt）
C（安全管理中心集中管控无需"单独审计远程/互联网访问行为"，D为必选要求）
D（SM4是国密对称加密算法，更适合保障存储保密性；3DES为国际算法，国标优先推荐SM4）

二、不定项（共25题，每题2分，共50分）

ABD（C错误：WAF无法防护DDoS，需抗D设备）
ABCD（安全监测技术：基于特征检测、基于异常检测、沙箱、深度包检测（DPI））
AB（C错误：21条不要求背景审查，34条要求；D错误：21条不要求设置安全管理机构，34条要求）
ABC（"三化"：实战化、体系化、常态化）
ABC（扩展要求含云计算、工业控制系统、车联网，无"大模型"）
ABCD（1960号文立体化监测：实时监测、网络地图、业务平台、监控指挥中心）
AB（Linux登录失败配置在/etc/pam.d/system-auth和/etc/pam.d/common-auth）
AB（机房耐火材料：防火墙体、防火玻璃；金属栅栏、木板非耐火材料）
ABD（单项测评构成：测评指标、测评对象、测评实施；C是整体测评内容）
ABD（C错误："统一管理安全组件"属于"集中管控"，非"系统管理"）
ABCD（安全运维管理：远程运维审批、运维工具审批、配置手册、账户管理）
ABCD（沟通合作对象：内部管理人员、内部机构、监管部门、网络安全部门）
ABCD（安全管理制度控制点：安全策略、管理制度、制定和发布、评审和修订）
AB（C错误：离岗权限终止属于"人员离岗"管理；D错误：技能考核属于"人员考核"）
ABC（D错误："不同云客户隔离"属于"安全区域边界"，非"入侵防范"）
ABCD（渗透测试技术：端口扫描、漏洞扫描、源代码审计、流量分析）
BCD（A错误：FTP需外网，无法在断网环境使用）
ABD（C错误：软件开发文档属于"自行软件开发"管理，非"测试验收"）
ABCD（系统交付测评：交付清单、技能培训、文档、安全测试报告）
ABD（C错误：仅允许"授权访问"用户个人信息，非任意允许）
AC（B错误：漏洞库需定期更新；D错误：高线程会影响目标业务）
ABCD（容器安全风险：旧镜像、root运行、硬编码密码、无网络策略）
ABCD（文件上传漏洞场景：前端验证、Content-Type验证、存储可执行目录、随机名不改后缀）
ABCD（增加Windows账户安全：关闭默认共享、远程超时、日志记录、关闭无用服务）
ABCD（Linux安全配置：账户安全、远程登录、审计策略、文件权限）

三、简答（共2题，每题10分，共20分）

1. 三级云计算安全扩展要求"应在虚拟化网络边界部署访问控制机制，并设置访问控制规则"测评实施内容

（1）核查虚拟化网络边界是否部署访问控制设备（如虚拟防火墙、SDN访问控制组件），是否覆盖虚拟机间、虚拟机与物理网络的所有通信链路；

（2）核查访问控制规则是否基于"最小权限"设计，是否包含源地址、目的地址、端口、协议等要素，是否禁止不必要的通信（如跨客户虚拟机通信）；

（3）核查访问控制规则的管理流程：是否定期审查（如每季度）、是否存在冗余/冲突/过期规则、变更是否经授权并记录；

（4）通过工具测试验证规则有效性：模拟违反规则的访问（如未授权IP访问敏感端口），检查是否被阻断并告警；

（5）核查访问控制设备的日志：是否记录访问控制动作（允许/拒绝），日志是否可追溯至具体虚拟机和操作主体。

2. 第三级安全通用要求-安全建设管理-"定级和备案"控制点

（1）定级流程：应依据国标明确系统安全保护等级，考虑业务重要性、数据敏感性、影响范围，必要时委托第三方测评机构验证定级合理性；

（2）备案时间：系统投入运行前，向当地公安机关网安部门提交备案材料（备案表、定级报告、测评报告）；

（3）材料要求：备案材料需真实完整，包含系统拓扑、安全措施、责任主体等信息；

（4）变更管理：系统等级调整或重大变更（如业务范围扩展）时，需重新定级并更新备案；

（5）文档归档：留存定级报告、备案凭证、测评报告等文档，保存期限不少于系统生命周期；

（6）定期复核：每年复核系统等级适配性，若业务或威胁环境变化，及时调整等级。

第三套样卷答案

一、单选（共30题，每题1分，共30分）

B（网络安全事件需向"主管部门"报告）
B（五级系统原则上按关键信息基础设施要求保护）
B（"基本符合"：符合率≥60%但存在重大风险隐患）
C（不同云服务模式需用多个"云计算安全扩展表"分别展示）
A（2025版测评报告第一组编号为"年份"）
A（Telnet为明文传输；HTTPS、SSH、SFTP均加密）
C（防火墙核心技术为"包过滤"）
D（入侵检测分析过程：构建分析器→现场数据解析→反馈提炼；响应处理是后续动作）
C（VPN安全功能：加密（保密性）、鉴别（身份验证）、密钥管理）
C（病毒特性：可感染、依附性（需寄生宿主））
D（设备管理、介质管理属于"安全运维管理"）
D（D属于"人员离岗"管理，非"人员录用"）
B（10.110.12.29/27网段为10.110.12.0-31，主机地址为1-30，10.110.12.30在范围内）
D（Windows审计日志：系统日志、安全日志、应用程序日志，无"用户日志"）
A（移动互联组成：移动终端、移动应用、无线网络）
D（电磁辐射控制属于"安全物理环境"，非移动互联区域边界）
B（数据备份测评无需强制核查"备份数据加密"）
B（工控系统拨号需多因素认证；A、C、D均违反安全要求）
D（渗透测试人员不得未经授权访问数据）
D（IPSec AH协议提供数据源认证、防重放、访问控制，不提供机密性（需ESP协议））
A（API依赖客户端User-ID判断权限易被篡改，属严重缺陷；B、C、D非安全缺陷）
A（硬编码漏洞：将敏感信息（如密码）明文写入源代码）
B（中间人攻击特征：窃听或篡改两台设备间的通信）
A（端口445（SMB服务）关联MS17-010漏洞；B、C、D表述绝对化错误）
D（三级及以上系统要求制定网络安全总体方针）
D（安全管理中心集中管控：安全策略、恶意代码、补丁升级）
D（网络和系统安全管理：角色划分、账户管理、管理制度）
A（"设备接地"属于防雷击，非"防盗窃和防破坏"）
A（三级安全管理人员含4个控制点：人员录用、人员离岗、安全意识教育和培训、人员考核）
A（三级安全建设管理含8个控制点：定级备案、安全方案设计、产品采购、工程实施、测试验收、系统交付、等级测评、密码管理）

二、不定项（共25题，每题2分，共50分）

ABC（"定价、交易"不属于网络数据处理活动）
ABC（D错误：数字签名保障完整性和不可否认性，非保密性）
ABC（《网络安全法》33条：安全技术措施同步规划、建设、使用）
ABC（监督检查部门：公安、保密、密码管理；国务院信息化办已整合）
ABCD（公安机关职责：顶层设计、安全服务机构管理、挂牌督办、综治考核）
ABC（静电地板与防雷击无关）
AB（需异地备份的是配置数据、业务数据；仿真、缓存数据无需）
ABC（SELinux模式：enforcing（强制）、permissive（宽容）、disabled（禁用））
ABCD（环境管理测评：机房职责、管理制度、接待区域、敏感文件管控）
ABCD（安全运维管理活动：变更、事件处置、应急预案、备份恢复）
ABCD（自行软件开发要求：恶意代码检测、环境隔离、管理制度、专职人员）
ABCD（环境管理测评：机房负责部门、管理制度、访问记录、设备带离审批）
ABC（D错误：需保留外部人员进出录像和登记记录）
ABCD（移动互联测评对象：AP、AC、WIDS/WIPS、MDM/MAM/MCM）
ABD（C错误：禁止数据库直接访问不现实，需通过权限控制）
ABC（Rootkit类型：应用层、内核层、运行库层；无"系统层"）
AB（二级恶意代码防范属于"安全区域边界"和"安全计算环境"）
BCD（"三重防护"：安全通信网络、安全区域边界、安全计算环境；物理环境是基础）
ABC（介质物理传输控制：人员选择、打包、交付；颜色无关）
ABC（D错误：制度无需"每年重新编写"，仅需定期评审修订）
ABC（D错误：需避开业务高峰，避免影响系统运行）
ACD（B错误：同等重要区域无需相互探测）
ACD（B错误：缓冲区溢出是技术漏洞，非业务逻辑漏洞）
AC（B、D属于电力供应，非电磁防护）
ABCD（自行软件开发要求：专职人员、环境隔离、管理制度、代码规范）

三、简答（共2题，每题10分，共20分）

1. 第三级安全通用要求-安全运维管理层面安全控制点

（1）环境管理：明确机房管理部门和职责，制定物理访问、物品进出、环境监控（温湿度、消防）制度；

（2）资产管理：建立硬件、软件、介质资产台账，定期盘点，记录资产生命周期（采购、使用、销毁）；

（3）介质管理：规范介质的生成、存储、传输、销毁，敏感介质需加密和标识，物理传输需专人管控；

（4）设备维护管理：制定设备维护计划（如路由、防火墙），记录维护过程，及时修复故障，避免带病运行；

（5）漏洞和补丁管理：定期扫描漏洞（如每月），评估风险等级，及时测试并安装安全补丁，记录补丁台账；

（6）变更管理：建立变更流程（申请→评审→实施→验证），对系统配置、软件版本、网络拓扑变更严格管控，制定回滚方案；

（7）配置管理：记录设备/系统的基线配置，定期备份配置文件，跟踪配置变更，确保配置一致性；

（8）安全事件处置：制定事件分类标准（如一般、重大），明确响应流程和职责，及时发现、报告、处置事件，保留证据；

（9）应急预案管理：制定应急预案（含应急组织、资源、流程），每年至少1次应急演练，优化演练结果；

（10）备份与恢复管理：制定备份策略（内容、频率、介质），定期验证备份有效性（如每季度恢复测试），确保数据可恢复。

2. 第三级移动互联安全扩展要求-安全计算环境-"移动应用管控"控制点

（1）应用准入：移动应用需经安全检测（如漏洞扫描、恶意代码检测）和审批后部署，禁止使用未经授权的应用（如第三方未知应用）；

（2）安装管控：仅允许从官方/可信渠道（如企业应用商店）安装应用，禁止侧载未知应用，管控应用的卸载和更新；

（3）权限控制：按"最小权限"配置应用权限，禁止应用申请不必要的系统资源（如非地图应用获取位置信息）；

（4）行为监测：检测应用的恶意行为（如未经授权收集敏感信息、后台发送数据），发现后告警并阻断；

（5）通信安全：应用与后端系统通信需采用TLS加密，禁止明文传输敏感数据（如账号、业务数据）；

（6）版本管理：建立应用版本台账，记录版本信息、部署时间、更新内容，支持版本回滚（如发现漏洞时）；

（7）应用加固：对敏感业务应用（如金融、办公）采用代码混淆、加壳、反调试技术，防止逆向工程和篡改；

（8）卸载清理：应用卸载时需清除残留数据（如缓存、配置），防止敏感信息泄露。