网络安全等级测评师能力评估(高级)样卷1及参考答案

声明:样卷由公安部关键信息基础设施保护中心发布,相关内容来自互联网,非官方标准答案,仅供学习参考

一、单选(共10题,每题1分,共10分) 

1. 根据《网络安全等级保护定级报告模板》(2025版),如果一个定级对象处理“核心数据”,其业务信息 安全保护等级至少应为(C)。

A. 第二级 B. 第三级 C. 第四级 D. 第五级

2. 根据《网络安全等级保护定级报告模板》(2025版),如果某定级对象的系统服务中断对“国计民生造成严 重损害”,其系统服务安全保护等级应定为(C)。

A. 第三级 B. 第四级 C. 第五级 D. 第二级

3. 《网络安全等级保护备案表》(2025版)的监制单位是(B)。

A. 国家互联网信息办公室 B. 公安部网络安全保卫局 C. 工业和信息化部 D. 国家密码管理局 

4. 我国首次明确提出“计算机信息系统实行安全等级保护”制度的法规是(B)。

A. 《中华人民共和国网络安全法》

B. 《中华人民共和国计算机信息系统安全保护条例》

C. 《中华人民共和国保密法》

D. 《中华人民共和国数据安全法》

5. 以下哪项最可能被判定为高风险?(C) 

A. 应急预案中缺少某个部门的联系电话

B. 未对第三方运维人员签订保密协议

C. 未明确设立系统安全管理机构和安全管理员

D. 安全培训记录缺少一次年度培训的签到表

6. 依据《网络安全等级保护测评报告模板》(2025版),测评报告编号共由(C)组数据构成。

A. 2 组B. 3 组 C. 4 组D. 5 组 

7. 依据《网络安全服务认证技术规范(等级保护测评)》(TRIMPS-JSGF-003:2024),测评机构的技术主 管岗位人员应取得(C)证书。 

A. 初级测评师 B.中级测评师 C. 高级测评师 D. IIPT

8. 依据《网络安全服务认证技术规范(等级保护测评)》(TRIMPS-JSGF-003:2024),测评机构除等级测 评服务外,还可以开展的业务包括(A)。

A. 安全咨询 B. 网络安全产品研发(自用除外) C. 信息系统安全集成 D. 网络安全产品销售 

9. 在渗透测试中,你通过目录遍历成功访问到了网站根目录下的一个名为 .git的目录,并从中下载了 index 文件和若干object(对象)文件。请问,攻击者最有可能通过分析这些文件获得的关键信息是(C)。

A. 网站Web服务器的配置文件和日志 

B. 网站的后端数据库表结构

C. 网站的Git版本控制历史、完整源代码和提交记录 

D. 网站的管理员登录凭据

10. 在进行内网渗透测试时,你获得了一台Windows主机的低权限用户账户。你希望通过该主机进行横向移动,进一步提升权限。以下最可能获取域管理员权限的是(A)。

A. 使用Mimikatz 从内存中提取明文凭据

B. 修改本地主机的DNS配置以进行流量重定向

C. 利用SQL注入攻击目标内网的数据库服务器

D. 在主机上部署恶意软件以记录用户键盘输入

二、不定项(共15题,每题2分,共30分) 

1. 依据《信息安全技术 网络安全等级保护定级指南》(GB/T22240-2020),关于等级保护对象的定级备案 流程,说法正确的有(ABC)。 

A. 确定定级对象后,初步确定系统等级B. 组织专家对初步定级结果进行评审 C. 主管部门审核定级结果D. 备案完成后方可投入使用 

2. 依据《关于进一步做好网络安全等级保护有关工作的问题释疑》(公网安〔2025〕1846号),第三级(含) 以上网络系统的保护工作方案至少包括的内容是(ABCD)。

A. 互联网资源、基础环境、网络设备等资产情况 

B. 整改思路及后续工作计划

C. 现有安全保护措施

D. 问题成因

3. 依据《中华人民共和国网络安全法》第二十一条和第三十四条,说法正确的是(AB)。

A. 第二十一条适用于所有网络运营者,第三十四条仅适用于关键信息基础设施的运营者

B. 第三十四条的要求比第二十一条对网络运营者的要求更为严格和具体

C. 两者都要求对关键岗位人员进行背景审查

D. 两者都要求设置专门的安全管理机构和安全负责人

4. 依据《网络安全等级保护测评高风险判定实施指引(试行)》(2025版),下列属于“违规采集和存储个人 信息”的高风险问题描述的是(BD)。 

A 采集用户姓名和手机号用于登录验证

B 未告知用户即采集其身份证号码

C 将用户行为数据用于业务分析

D 存储法律法规禁止采集的人脸信息

5. 根据《网络安全等级测评报告模板(2025版)》测评结论判定规则,测评结论与系统是否存在“高风险问 题”或“重大风险隐患”无关的有(CD)。 

A. 测评结论被判定为“符合”时 

B. 测评结论被判定为“基本符合”时 

C. 测评结论被判定为“不符合”时 

D. 当系统符合率高于60%但低于90%时

6. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019),下面属于三级“安全建设管理” 层面控制点的是(ABD)。

A. 定级和备案

B. 安全方案设计

C. 密码管理

D. 等级测评

7. 在第三级网络系统测评中,“防盗窃和破坏”测评的检查要点主要包括(ABD)。 

A. 设备固定,并设置明显不易去除的标识

B.通信线缆铺设在隐蔽安全处

C.各类机柜、设施和设备等是否通过接地系统安全接地

D.机房设置防盗报警系统或设置有专人值守的视频监控系统

8. 依据《网络安全服务认证技术规范(等级保护测评)》(TRIMPS-JSGF-003:2024),自主开发的测试工具及开源测试工具需实施安全验证后方可使用,安全验证包括的内容有(BCD)。

A. 压力测试 B. 功能正确性 C. 自身安全性D. 恶意代码 

9. 依据《网络安全服务认证技术规范(等级保护测评)》(TRIMPS-JSGF-003:2024),漏洞扫描和渗透测试目标包括的内容有(ABCD)。 

A. 网络设备和安全设备 C. 应用系统 B. 操作系统、数据库系统、中间件 D. 新技术新应用相关的特征要素 

10. 依据《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018),等级测评过程包括的基本测评活动有(ABCD)。

A. 测评准备活动 B. 方案编制活动 C. 现场测评活动D. 报告编制活动 

11. 依据《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018),以下属于测评准备阶段中 测评委托单位职责的有(ACD)。 

A. 提供测评机构需要的资料 C. 准确填写调查表格 B. 向测评机构介绍组织运营情况 D. 制定应急预案 

12.《关键信息基础设施安全保护条例》规定,负责关键信息基础设施安全保护工作的部门是重要行业和领域 的(AB)。

A. 主管部门 B. 监督管理部门 C. 信息安全服务机构 D. 科信管理部门 

13.依据《信息安全技术 网络安全等级保护定级指南》(GB/T22240-2020),对于大型工业控制系统,可根据(ABCD)等因素划分为多个定级对象。

A. 系统功能 B. 责任主体 C. 控制对象 D. 生产厂商

14. 在对基于Java框架(如Spring或Struts)的Web应用进行渗透测试时,以下在识别和验证Java框架漏洞 时应优先考虑的测试方法的有(BD)。 

A. 检查Spring 框架是否启用了默认的Actuator端点(如/actuator/env),并验证是否未授权访问导致信息泄露 

B. 测试Struts2 框架是否存在已知的RCE(远程代码执行)漏洞 

C. 测试Fastjson 的反序列化漏洞 

D. Apache Log4j2 的 JNDI 注入漏洞(CVE-2021-44228),允许通过恶意日志消息触发JNDIlookup执行任意 代码 

15. 对使用ApacheShiro 框架的Web应用进行渗透测试时,测试人员需要验证是否存在CVE-2016-4437 (Shiro-550)反序列化漏洞。以下是在识别和验证此漏洞时应优先考虑的测试方法的有(BC)。 

A. 使用通用XSSPayload测试Shiro的输入验证机制,以确认是否存在跨站脚本漏。 公安部关键信息基础设施保护中心 

B. 检查目标应用是否使用默认的Shiro记住我(RememberMe)功能,并尝试构造恶意序列化数据以触发反序 列化漏洞 公安部关键信息基础设施保护中心 

C. 验证Shiro 的AES加密密钥是否为默认值或弱密钥,通过发送加密的RememberMeCookie进行测试 

D. 分析Shiro 配置文件,检查是否禁用了RememberMe功能或使用了强加密密钥来缓解漏洞风险

三、简答(共2题,每题10分,共20分) 

1. 简要测评报告评审的要点及注意事项。

1)测评报告中拓扑图区域划分明确、拓扑描述完整准确;

2)测评报告中被测系统的资产、测评对象、测评指标、工具接入等选择准确;

3)测评过程中不适用指标判定是否合理;

4)测评结果记录问题描述是否清晰、客观、真实,结果判定是否准确;

5)测评问题风险评估是否准确;

6)测评问题的整个建议是否具有针对性和可操作性;

7)工具扫描、渗透测试是否与方案中资产、系统范围一致,测试结果是否描述清楚;

8)测评结论是否准确;

9)测评报告中的资产设备、数量是否与测评方案一致;

10) 测评报告中的模板、文本是否正确,是否有其它错别字;

11)若设计扩展指标,是否具扩展项的测评结论表。

2. 根据《网络安全等级保护测评高风险判定实施指引(试行)》,举例分析4个高风险案例(需包括技术和管理方向)。

案例一:机房内部未配置火灾自动消防系统,手提式灭火设备未定期检查,已失效。当发生火情时,不能及时进行应急处置,因此判定为高风险。

案例二:针对应用系统远程登录,未采用密码技术对传输链路进行保护,导致用户名和用户的鉴别信息以明文的方式在网络通道上进行传输,导致用户名和用户鉴别信息容易被攻击者嗅探,因此判定为高风险。

案例三:未成立网络安全工作机构(领导小组),对网络安全工作重视不足,存在工作岗位和责任不清晰的问题,因此判定为高风险。

案例四:未定期开展应急预案的演练和培训,导致系统相关人员对应急预案理解不足,不清楚自己的工作职责和岗位要求,不熟悉相关工作流程,不能在应急事件发生时从容应对,因此判定为高风险。

以上试题来源于网络,答案仅供参考。