网络安全等级测评师能力评估(中级)样卷2及参考答案
声明:样卷由公安部关键信息基础设施保护中心发布,相关内容来自互联网,非官方标准答案,仅供学习参考。
一、单选(共 20 题,每题 1 分,共 20 分)
1. 关于 TPCM 和 TCM 以下描述错误的是(B )。
A. 对于网络设备的可信验证结果需要基于 TCM 进行签名以保证验证结果的完整性和不可否认性
B. TCM 可单独使用作为可信根,实现可信验证功能
C. TCM 密码模块采用国产密码算法 SM2、SM3、SM4
D. TCM 提供密码服务和密钥的管理体系,以支撑可信计算身份认证、状态度量、保密存储过程中的密码服务
解析:
TCM 是可信计算密码支撑平台的硬件模块,提供密码算法支撑和密钥管理,是可信度量根(RTM)、可信存储根(RTS)和可信报告根(RTR)的基础。然而,单独使用 TCM 并不能构成完整的可信根。在实际的可信计算体系中,可信根通常需要结合可信平台控制模块(TPCM)或可信软件基(TSB)等部件协同工作,以实现主动度量、控制和可信验证功能
2. Windows 操作系统中与日志记录相关的服务是(A )。
A. Windows Event Log;
B. Windows Installer;
C. Windows Update;
D. Windows Defender Firewall。
解析:无
3.《中华人民共和国网络安全法》的实施时间是(D )。
A. 2016 年 6 月 1 日
B.2016 年 12 月 30 日
C.2017 年 5 月 1 日
D.2017 年 6 月 1 日
解析:《中华人民共和国网络安全法》已由第十二届全国人大常委会第二十四次会议于2016年11月7日通过,并明确自2017年6月1日起施行
4. 依据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020),等级保护对象受到破坏后对客 体造成侵害的程度不包括(D )。
A. 造成特别严重损害
B. 造成严重损害
C. 造成一般损害
D. 造成轻微损害
解析:《中华人民共和国网络安全法》已由第十二届全国人大常委会第二十四次会议于2016年11月7日通过,并明确自2017年6月1日起施行
5. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),以下属于第二级“外包软件开 发”安全要求项内容的是(B )。
A. 应将开发环境与实际运行环境物理分开
B. 应在软件交付前检测其中可能存在的恶意代码
C. 应保证开发单位提供软件源代码
D. 应对软件中可能存在的后门和隐蔽信道进行审查
解析:
A属于安全建设管理 - 自行软件开发,a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制
安全建设管理 - 外包软件开发
三级
a)应在软件交付前检测软件其中可能存在的恶意代码
b)应保证开发单位提供软件设计文档和使用指南
c)应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道
6. 依据《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019),针对“审核和检查”安全控制 点,三级网络比二级网络新增的测评实施内容包括( B) 。
①核查常规安全检查记录是否包括了系统日常运 行、系统漏洞和数据备份等情况 ;
②核查全面安全检查记录是否对现有技术措施落实和管理的要求执行情况 等进行了检查;
③核查是否具有安全检查表格、安全检查记录、安全检查报告 ;
④核查是否具有安全检查结果通报记录。
A. ②④
B. ②③④
C. ①②④
D. ③④
解析:
安全管理机构 - 审核和检查
a)应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况
b)应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等(三级)
c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报(三级)
7. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),第三级在人员录用方面比第二级增强的安全要求项是(C )。
A. 应指定或授权专门的部门或人员负责人员录用
B. 应对被录用人员的身份、安全背景、专业资格或资质等进行审查
C. 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议
D. 应对从事关键岗位的人员从内部人员选拔,并定期进行信用审查
解析:
安全管理人员 - 人员录用
a)应指定或授权专门的部门或人员负责人员录用(一级)
b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核
c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议(三级)
8. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),第三级安全通用要求对于外包运维服务协议的内容要求不包括(D )。
A. 明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对 IT 基础设施中断服务的应 急保障要求等
B. 明确约定外包运维的范围、工作内容
C. 明确在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力
D. 明确合同到期后完整提供运维数据,并承诺清除外包运维单位存储的运维数据
解析:
安全运维管理 - 外包运维管理
a)应确保外包运维服务商的选择符合国家的有关规定
b)应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容
c)应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确(三级)
d)应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等(三级)
9. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),“应建立异地灾难备份中心, 提供业务应用的实时切换。”属于第(D )级(含以上)“安全计算环境”层面中“数据备份恢复”控制点的 安全要求。
A.一
B.二
C.三
D.四
解析:
安全计算环境-数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能(一级)
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
c)应提供重要数据处理系统的热冗余,保证系统的高可用性(三级)
d)应建立异地灾难备份中心,提供业务应用的实时切换(四级)
10. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),“安全区域边界”层面“安全审计”控制点中第三级比第二级新增了以下哪些安全要求(A )。
A. 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
B. 应对审计进程进行保护,防止未经授权的中断
C. 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求
D. 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为
解析:
安全区域边界-安全审计
a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析(三级)
11. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),第(C )级(含以上)“安全计算环境”层面中增加了“数据保密性”控制点。
A.一
B.二
C.三
D.四
解析:
安全区域边界-数据保密性
一级、二级没有保密性要求
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等(三级)
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等(三级)
安全区域边界-数据完整性
a)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等(一级开始有)
b)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等(三级)
c)在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖(四级)
12. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),以下哪项不是第二级“安全计算环境”层面中“入侵防范”方面的安全要求(D )。
A. 应遵循最小安装的原则,仅安装需要的组件和应用程序
B. 应关闭不需要的系统服务、默认共享和高危端口
C. 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
D. 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
解析:
a)应遵循最小安装的原则,仅安装需要的组件和应用程序(一级开始有)
b)应关闭不需要的系统服务、默认共享和高危端口(一级开始有)
c)应通过设定终端接人方式或网络地址范围对通过网络进行管理的管理终端进行限制(二级)
d)应提供数据有效性检验功能,保证通过人机接口输人或通过通信接口输人的内容符合系统设定要求(二级)
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞(二级)
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警(三级)
13. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)工业控制系统安全扩展要求,下 列属于第三级工业控制系统安全扩展要求安全建设管理的内容是(C )。
A. 应在软件交付前检测其中可能存在的恶意代码
B. 应保证开发单位提供软件设计文档和使用指南
C. 应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在证明周期内有关保密、禁 止关键技术扩散和设备行业专用等方面的内容
D. 应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制
解析:
安全建设管理 - 外包软件开发-工控拓展
应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容(二三四都一样)
14. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),以下哪项安全控制点不属于移动互联安全扩展要求(D )。
A. 边界防护
B. 入侵防范
C. 访问控制
D. 数据完整性保护解析:
D. 数据完整性保护在移动互联没有拓展要求
技术层面只有
安全物理环境 - 无线接入点的物理位置
安全区域边界的边界防护、访问控制、入侵防范
安全计算环境 - 移动应用管控
15. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)云计算安全扩展要求,“安全计 算环境”层面“镜像和快照保护”控制点中第三级比第二级新增了以下哪些安全要求(C )。
A. 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务
B. 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改
C. 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问
D. 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定
解析:
安全计算环境 - 镜像和快照保护
a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务(二级)
b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改(二级)
c) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问(三级)
A选项属于安全物理环境 - 基础设施位置
16. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),以下哪项不是第二级的安全要求(D )。
A. 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等
B. 应能够检测到针对无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为
C. 大数据平台应为服务客户提供管理其计算和存储资源使用状况的能力
D. 应定期验证防范恶意代码攻击的技术措施的有效性
解析:
D属于安全运维管理 - 恶意代码防范管理
a)应提高所有用户的防恶意代码意识,对外来计算机或存储设备接人系统前进行恶意代码检查等(二级)
b)应定期验证防范恶意代码攻击的技术措施的有效性(三级)
17.依据《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018),以下哪个过程不属于等级保护测评过程? (A)
A. 定级备案
B. 测评准备
C. 现场实施
D. 方案编制
解析:
顶级备案不属于等级保护测评过程
18. 非 SQL 注入攻击的请求是(D )。
A. search.php?type=1) AND 6439=4567 AND (1424=1424
B. search.php?type=1);WAITFOR DELAY '0:0:5'—
C. search.php?type=1 UNION ALL SELECT NULL,NULL,NULL,NULL
D. search.php?type='
解析:无
19. CSRF 漏洞防护措施包括(ACD )。
A. HTTP Referer / Origin 验证
B. 使用 Cookie 的 Session 验证
C. 添加 Token 字段并验证
D. 添加自定义字段并验证
解析:
ACD正确B是CSRF攻击所利用的特性
20. 使用户访问某网站时获得一个其他网站的 IP 地址,从而将用户的访问引导到其他网站的攻击手段是(B)。
A. ARP 欺骗攻击
B. DNS 欺骗攻击
C. 暴力攻击
D. 重放攻击
解析:
DNS欺骗攻击利用方式
中间人监听 + 抢先回复:在同一局域网或路径上嗅探 53 端口 UDP 查询,抢在权威服务器之前返回伪造响应。
生日悖论式爆破:向解析器发大量伪造响应,利用 16 位事务 ID 与源端口猜测匹配,把恶意记录塞进缓存。
劫持上游路由/BGP:让 DNS 请求先经过攻击者设备,再返回任意解析结果。
本地 Hosts / 恶意插件:直接修改用户本机静态映射。
二、不定项(共 20 题,每题 2 分,共 40 分)
1. 以下说法错误的是(ABD )。
A. 时钟信号的同步仅可通过 NTP 协议实现;
B. NTP 协议使用 TCP 123 端口进行通信;
C. NTP 协议面临的主要安全问题是来自于攻击者的恶意重放及拒绝服务攻击;
D. 时钟服务器时钟信号的来源仅来自于上级服务器。
解析:
时钟信号的同步还可以通过还有PTP(精确时间协议)、GPS授时、北斗授时等方式
NTP 协议使用 UDP123端口进行通信;
时钟源可以是GPS、北斗、原子钟等,不限于上级服务器。
2. 依据《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)以下属于现场测评活动输出 文档的是(BCD )。
A. 测评指导书
B. 现场测评授权书
C. 技术和管理层面的测评记录
D. 工具测试结果
解析:
无
3. 以下( B)是 Linux 操作系统用来配置审计规则的配置文件。
A. auditd.conf
B. audit.rules
C. audit.conf
D. auditd.rules
解析:
auditd.conf 只负责守护进程本身的运行参数(日志文件大小、轮转策略等),不存放审计规则。
/etc/audit/rules.d/audit.rules ← 管理员编辑的规则源文件
/etc/audit/audit.rules ← 启动时由 systemd 自动合并生成的最终规则文件(只读)
4. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),在“人员配备”控制点方面, 第三级和第四级网络的共同安全要求包括(AC )。
A. 配备专职的安全管理员
B. 关键事务岗位由多人共同管理
C. 应配备一定数量的系统管理员、安全管理员、审计管理员
D. 配备外联单位联系列表
解析:
一级:
a)应配备一定数量的系统管理员
二级:
a)应配备一定数量的系统管理员、审计管理员和安全管理员等
三级:
a)应配备一定数量的系统管理员、审计管理员和安全管理员等
b)应配备专职安全管理员,不可兼任
c)关键事务岗位应配备多人共同管理(四级)
5. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),不属于第二级测评要求中“设备维护管理”控制点中的内容有(BCD )。
A. 指定专门的部门或人员对各种设备、线路进行定期进行维护管理
B. 信息处理设备必须经过审批才能带离机房或办公地点
C. 含有存储介质的设备带出工作环境时其中重要数据必须加密
D. 建立配套设施、软硬件维护方面的管理制度
解析:
二级
a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理(一级)
b)应对配套设施、软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等
三级
a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理
b)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等(三级和二级有区别)
c)信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密(三级)
d)含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用(三级)
6. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),关于“电磁防护”控制点,以 下说法正确的是(AC )。
A. 二级及以上网络均要求电源线和通信线缆隔离铺设
B. 二级及以上网络要求对关键设备实施电磁屏蔽
C. 三级及以上网络要求对关键设备实施电磁屏蔽
D. 三级网络要求机房供电线路上配置稳压器和过电压防护设备
解析:
三级
安全物理环境 - 电磁防护
a)电源线和通信线缆应隔离铺设,避免互相干扰(二级)
b)应对关键设备实施电磁屏蔽(三级)
7. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),“应对关键设备实施电磁屏蔽。” 属于以下哪个安全等级的安全要求( CD)。
A.一
B.二
C.三
D.四
解析:
一级:无
三级:
安全物理环境 - 电磁防护
a)电源线和通信线缆应隔离铺设,避免互相干扰(二级)
b)应对关键设备实施电磁屏蔽
8. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),以下哪项不是第二级”安全物 理环境”中“防火”控制点的安全要求( BD)。
A. 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火
B. 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施
C. 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料
D. 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透
解析:
安全物理环境 - 防火
一级:
a)机房应设置灭火设备
三级:
a)机房应设置火灾 自动消防系统,能够自动检测火情自动报警,并自动灭火(二级)
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料(二级)
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施(三级)
9. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),第二级“安全计算环境”层面 包括以下哪些安全要求(AC )。
A. 应对登录的用户分配账户和权限
B. 应对审计进程进行保护,防止未经授权的中断
C. 应关闭不需要的系统服务、默认共享和高危端口
D. 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
解析:
B属于三级的安全审计d)项要求
D也属于三级剩余信息保护b)项要求
10. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)物联网安全扩展要求,下列关于 感知节点设备物理防护安全要求项描述不正确的是( ACD)。
A. 感知节点设备所处的物理环境应对感知节点设备造成物理破坏
B. 感知节点设备在工作状态所处物理环境应能正确反映环境状态
C. 感知节点设备在工作状态所处物理环境可对感知节点设备的正常工作造成影响
D. 关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力)
解析:
不确定
11. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)的云计算安全扩展要求,第二级和第三级网络共同包含的服务水平协议内容包括( ACD)。
A. 应在服务水平协议中规定云服务的各项服务内容和具体技术指标
B. 应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据
C. 应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为 准则、违约责任等
D. 应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清 除
解析:
安全建设管理 - 云服务商选择
a) 应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力(一级开始有)
b) 应在服务水平协议中规定云服务的各项服务内容和具体技术指标(一级开始有)
c) 应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等(一级开始有)
d) 应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除(二级开始有)
e) 应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据(三级开始有)
12. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),以下哪项安全要求属于移动互联安全扩展要求(BCD )。
A. 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
B. 应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备
C. 应能够检测到非授权无线接入设备和非授权移动终端的接入行为
D. 应能够检测到无线接入设备的 SSID 广播、WPS 等高风险功能的开启状态
解析:
A选项没找到,BCD均为移动互联安全扩展要求
安全区域边界 - 边界防护
应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备(1234级相同)
安全区域边界 - 访问控制
无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证(1234级相同)
安全区域边界 - 入侵防范
a) 应能够检测到非授权无线接入设备和非授权移动终端的接入行为(二级)
b) 应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为(二级)
c) 应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态(二级)
d) 应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等(二级)
e) 应禁止多个AP使用同一个认证密钥(二级)
f) 应能够阻断非授权无线接入设备或非授权移动终端(三级)
13. 依据《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)大数据安全扩展要求,“大数据平台应提供静态脱敏和去标识化的工具或服务组件技术”的测评实施描述正确的是(ABCD)。
A. 应核查大数据平台设计或建设文档是否具备数据静态脱密和去标识化措施或方案,如核查工具或服务组件 是否具备配置不同的脱敏算法的能力
B. 应核查静态脱敏和去标识化工具或服务组件是否进行了策略配置
C. 应核查大数据平台是否为大数据应用提供静态脱敏和去标识化的工具或服务组件技术
D. 应测试验证脱敏后的数据是否实现对敏感信息内容的屏蔽和隐藏,验证脱敏处理是否具备不可逆性
解析:
附录B.4.3.6 测评单元(BDS-L4-06)
该测评单元包括以下要求:
a) 测评指标:大数据平台应提供静态脱敏和去标识化的工具或服务组件技术。
b) 测评对象:设计或建设文档、大数据应用和大数据平台。
c) 测评实施包括以下内容:
1) 应核查大数据平台设计或建设文档是否具备数据静态脱密和去标识化措施或方案,如核
查工具或服务组件是否具备配置不同的脱敏算法的能力;
2) 应核查静态脱敏和去标识化工具或服务组件是否进行了策略配置;
3) 应核查大数据平台是否为大数据应用提供静态脱敏和去标识化的工具或服务组件技术;
4) 应测试验证脱敏后的数据是否实现对敏感信息内容的屏蔽和隐藏,验证脱敏处理是否具
备不可逆性。
d) 单元判定:如果 1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
14. 依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),以下哪项不是第一级“安全计 算环境”层面中“访问控制”方面的安全要求( D)。
A. 应对登录的用户分配账户和权限
B. 应重命名或删除默认账户,修改默认账户的默认口令
C. 应及时删除或停用多余的、过期的账户,避免共享账户的存在
D. 应授予管理用户所需的最小权限,实现管理用户的权限分离
解析:
三级为例
安全计算环境-访问控制
a)应对登录的用户分配账户和权限(一级开始有)
b)应重命名或删除默认账户,修改默认账户的默认口令(一级开始有)
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在(一级开始有)
d)应授予管理用户所需的最小权限,实现管理用户的权限分离(二级开始有)
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则(三级开始有)
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件,数据库表级(三级开始有)
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问(三级开始有)
15. 关于缓冲区溢出(Buffer Overflow)准确的描述包括( ACD)。
A. 缓冲区溢出指的是通过向程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈 或堆内存,使程序转而执行其他指令,以达到攻击的目的
B. 在 C/C++语言中,缓冲区溢出的任何尝试通常都会被语言本身自动检测并阻止
C. 检查缓冲区长度、使用 GS 编译选项(如栈保护机制)、启用堆栈保护技术(如 StackGuard)可以防御缓 冲区溢出攻击
D. 缓冲区溢出是程序设计者因未充分验证输入或使用不安全函数等设计不足所带来的错误
解析:
B选项:strcpy()、gets() 等函数都不检查边界,极易造成溢出。
ABC正确
16. 属于攻击者入侵虚拟化平台后常见的后渗透利用方式包括(ABCD )。
A. 获取虚拟化管理平台账号
B. 批量控制虚拟机
C. 获取虚拟机高价值数据
D. 进入隔离网络
解析:
无,ABCD均正确
17. Docker 容器的攻击手法包括(ABCD )。
A. 利用特权模式(--privileged)启动容器导致的容器逃逸
B. 错误将宿主机 Docker 守护进程套接字文件(/var/run/docker.sock)挂载至容器内导致的逃逸
C. 利用宿主机操作系统内核漏洞在容器内提权导致的逃逸
D. Docker Remote API(TCP 端口)未授权访问导致远程控制
解析:
A选项:--privileged 把几乎所有宿主机设备和**能力(capabilities)**都赋予容器,容器内进程可轻易挂载宿主机磁盘、修改 cgroup、重新加载内核模块等,经典逃逸场景。
B选项:容器内只要对 docker.sock 有写权限,就可以通过 Docker API 在宿主机上启动新容器,并把宿主机根目录挂载进去,从而读写宿主机任意文件,实现逃逸。
C选项: 容器与宿主机共享内核,一旦内核存在提权漏洞(如 DirtyCow、CVE-2022-0847、CVE-2022-0492 等),容器内进程可先提权到 root,再逃逸到宿主机。
D选项: Docker 默认监听 Unix socket,若管理员把 Daemon 暴露到 0.0.0.0:2375 且未启用 TLS,任何人都能远程调用 Docker API,无认证地创建、启动、进入容器,等于直接拿到宿主机控制权。
18. 端口扫描可以发现目标系统开放了以下哪些信息(ABC )。
A. 端口号
B. 服务名称
C. 操作系统类型
D. 用户名
解析:
Nmap常规
19. 缓冲区溢出可能导致的安全风险包括以下哪些(ABCD )。
A. 任意代码执行
B. 拒绝服务
C. 提权
D. 数据损毁
解析:
A选项:任意代码执行
✅ 正确——经典风险:覆盖返回地址或函数指针后跳转到攻击者 shellcode。
B选项:拒绝服务
✅ 正确——只需溢出覆盖关键变量、返回地址或 SEH 链,即可让进程崩溃重启。
C选项:提权
✅ 正确——若被溢出的进程以高权限(root、SYSTEM、管理员)运行,成功利用后可获取同等权限。
D选项:数据损毁
✅ 正确——溢出会覆盖相邻栈/堆变量、结构体、文件缓存等,导致数据被破坏或逻辑被篡改。
20. MySQL 盲注可用的函数或方法包括( ABCD)。
A. Sleep
B. Benchmark
C. 笛卡尔积
D. RLIKE
解析:
A选项:Sleep
✅ 正确。SLEEP(n) 是最经典的 时间盲注 函数,能让 SQL 查询暂停 n 秒,常用于布尔盲注或时间盲注中判断条件是否成立。
例:
BENCHMARK(10000000, MD5('abc'))
B选项: Benchmark
✅ 正确。
BENCHMARK(count, expr) 会重复执行表达式 count 次,造成 CPU 延迟,从而间接导致响应时间变长,常用于 时间盲注(尤其在禁用 SLEEP 时)。
例:
BENCHMARK(10000000, MD5('abc'))
C选项:笛卡尔积
✅ 正确。
通过构造 大表之间的笛卡尔积(CROSS JOIN),可以让查询结果集爆炸性增长,导致 响应时间显著增加,从而作为时间延迟的替代手段,属于 时间盲注的旁路技巧。
例:
SELECT * FROM information_schema.tables AS t1 JOIN information_schema.tables AS t2 JOIN information_schema.tables AS t3;
D. RLIKE
✅ 正确。
RLIKE 是正则匹配操作符,可用于 布尔盲注 中构造真假差异响应。例如通过正则匹配字符逐步爆破数据,结合 IF 或 AND 实现条件判断。
例:
SELECT * FROM users WHERE id=1 AND IF((SELECT user() RLIKE '^r'), 1, 0);
三、简答(共 3 题,每题 10 分,共 30 分)
1. 《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846 号),请简述 2025 版 网络安全等级保护测评报告模板为什么引入重大风险隐患概念?若存在高风险或重大风险隐患会对 2025 版报 告结论的判定有何影响?
1、2025 版 网络安全等级保护测评报告模板为什么引入重大风险隐患概念?
答:引入重大风险隐患概念标志着网络安全等级保护工作从原有的“合规达标”转变至“动态防护”。通过以问题为导向,推动运营者聚焦核心安全问题优化改进网络安全防护手段,全面提升网络安全防护能力。
2、存在高风险或重大风险隐患会对 2025 版报 告结论的判定有何影响?
答:
据重大风险隐患判定原则(相关性原则、严重性原则、高发性原则)进行综合分析,判定是否为重大风险隐患。重大风险隐患可能由一个高风险问题引发,也可能是多个高、中、低安全问题叠加。
被测系统符合率高于90%,且无重大风险隐患,判定为符合。测评结论与有无重大风险隐患有关。
被测系统符合率高于60%,低于90%,且无重大风险隐患,判定为基本符合。此种情况下,测评结论与有无高风险问题、重大风险隐患无关。
被测系统符合绿低于60%,判定为不符合。
2. 在等级测评过程中对一个三级系统进行了全方面的测评,目前发现客户缺少应急预案,客户请你站在专业 的角度给出整改意见。
答:
建议规定统一的应急预案框架,包括应急预案的启动条件(明确四级启动条件(特别重大、重大、较大、一般))、应急组织构成、事后教育和培训等 。
建议制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容。
建议定期对系统相关的人员进行应急预案培训,并进行应急预案的演练, 每年至少 1 次综合应急演练、2 次专项演练 ,并形成应急预案培训记录和应急演练记录。
建议定期对原有的应急预案重新评估,修订完善,建立“年度评估+触发式修订”机制:发生较大事件或系统重大变更后 15 日内完成评估,具有应急预案修订记录。
3. 请依据《网络安全等级保护测评高风险判定实施指引(试行)》描述“应对登录的用户进行身份标识和鉴
别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换”指标项存在哪些场景可能被识别为高风
险问题?存在哪些缓解措施?
答:
1、些场景可能被识别为高风险问题?
答:
1)存在可登录的空口令、无身份鉴别措施或身份鉴别措施可以被绕过等。
2)存在可登录的弱口令或容易被猜解的口令。
3)多个不同被测对象管理账户的口令相同或同一被测对象多个管理账户口令相同。
2、存在哪些缓解措施?
答:
1)仅限本地登录,或具有登录地址限制、登录终端限制、物理位置限制等远程登录管控措施。
2)采用不可绕过的两种或两种以上组合的身份鉴别方式。
四、设计(共 1 题,每题 10 分,共 10 分)
1. 某单位内网发生异常流量,经排查发现内网一台管理服务器在近期开启了远程管理服务(未启用多因素认 证),并且该服务器的操作系统长期未打 SMB 相关补丁,出现了 PSEXEC 远程链接痕迹(可疑的横向移动 利用工具痕迹)。请结合下图,从网络与安全管理两个角度进行事件分析与整改建议。
答:
一、事件分析
(一)网络角度分析
1、攻击入口点:管理服务器作为初始攻破点,开启了远程管理服务(如RDP、SMB),但未启用多因素认证,成为攻击者进入内网的跳板。 操作系统长期未打补丁,尤其是SMB相关漏洞(如MS17_010、CVE-2019-0708漏洞),为攻击者提供了利用PSEXEC等工具进行横向移动的条件。
2、横向移动路径:
路径1(PSEXEC工具):攻击者利用管理服务器作为跳板,通过PSEXEC等工具在内网中进行横向移动,访问其他服务器或终端。
路径2:攻击者通过窃凭证或爆破手段获取核心服务器更高权限账户,进一步扩大控制范围。
路径3: 攻击者可能植入后门程序、发送钓鱼邮件等方式,建立反向连接通道,持续控制内网主机。
3、网络层面可能存在的问题:
网络区域划分不够清晰,管理服务器与核心业务区、内部服务器区之间缺乏有效的访问控制。
防火墙策略可能存在疏漏,未能有效阻断横向移动路径。
(二)安全管理角度分析
1、管理服务器未启用多因素认证,仅依赖用户名密码,同时可能未在管理上对口令更新周期进行强制要求,易被暴力破解或凭据窃取。
2、补丁管理缺失、漏洞和风险管理未落实,未能及时发现安全漏洞和隐患,并对发现的安全漏洞和隐患及时进行修补。
3、应急响应机制薄弱,异常流量发现较晚,说明缺乏有效的流量监控与快速响应机制。
4、备份与恢复管理缺失,关键设备未双击热备,未见备份服务器,发生攻击事件(勒索等)无法恢复数据。(可能与事件分析无关)
5、远程运维的开通未经审批,远程管理服务直接面向互联网开放,未采取进一步安全措施,导致事件发生。
二、整改建议
(一)网络层面整改建议
1、清晰划分网络区域(办公区、内部服务器区、核心业务区、管理区等),实施最小权限访问原则。
2、在核心交换机、服务器区防火墙、办公区接入交换机等关键节点部署严格的访问控制策略,阻断横向移动路径。
3、加强防火墙访问控制策略,默认拒绝所有通信,按需要开放访问控制白名单,访问控制策略细化到端口级。
对于445、3389等高危端口默认严格拒绝,经审批才可以开通。
4、在核心交换机镜像口部署IPS串联+IDS旁路,联动防火墙自动阻断。
(二)管理层面整改建议
1、强化身份认证机制,对所有远程管理服务启用多因素认证(MFA),提高账户安全性。
2、 建立定期补丁更新制度,优先修复SMB、RDP等高风险漏洞,使用漏洞扫描工具定期检查系统漏洞,及时修复。
3、建立应急响应机制:制定并演练网络安全事件应急预案,明确事件发现、分析、处置、恢复流程,发生异常流量时,立即隔离涉事主机,开展取证分析,防止事件扩大。
4、重要业务信息数据制定备份策略,包括备份周期、备份方式等,定期备份,备份数据保存180天以上。
5、 限制远程运维开通,限制远程访问来源IP,采用VPN等加密通道进行远程管理,运维通道经审批后方可开通。
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。