网络安全等级测评师能力评估（中级）样卷1及参考答案

声明：样卷由公安部关键信息基础设施保护中心发布，相关内容来自互联网，非官方标准答案，仅供学习参考。

网络安全等级测评师能力评估（中级）第一套样卷

一、单选（共 20 题，每题 1 分，共 20 分）

1. 关于 Linux 系统的 syslog 和 audit 服务，以下说法不正确的是（B ）。

A. syslog 主要记录系统信息，audit 主要记录安全信息

B. 若部署了第三方日志审计产品，则可以关闭 syslog 功能

C. audit 服务由 auditd 内核服务和 auditd 守护进程共同组成

D. 操作系统日志文件路径默认位于/var/log 下

解析：

第三方日志审计产品通常依赖 syslog 作为日志来源，关闭 syslog 会导致日志缺失，影响审计完整性。

即使使用第三方产品，syslog 仍应保留运行，确保系统基础日志正常记录。

关闭 syslog 是高风险操作，不符合安全合规要求。

2. 查看/etc/shadow 中用户的口令修改时间戳，用（ B）命令完成时间戳换算。

A. now

B. date

C.year

D. timechange

解析：

ubuntu@VM-4-17-ubuntu:~$ date --date='@2147483647'
Tue Jan 19 11:14:07 AM CST 2038

解析：

3. 以下首次明确提出我国计算机信息系统实行安全等级保护的文件是（A ）。

A.《中华人民共和国计算机信息系统安全保护条例》

B.《信息安全等级保护管理办法》

C.《国家信息化领导小组关于加强信息安全保障工作的意见》

D.《关于信息安全等级保护工作的实施意见》

解析：

A.《中华人民共和国计算机信息系统安全保护条例》1994年2月18日由国务院发布，首次明确提出“计算机信息系统实行安全等级保护制度”，是等级保护制度的法律起点。

B.《信息安全等级保护管理办法》2007年发布，是具体实施管理办法，不是首次提出。

C.《国家信息化领导小组关于加强信息安全保障工作的意见》2003年发布，是政策指导性文件，强调了等级保护的重要性，但不是首次提出。

D.《关于信息安全等级保护工作的实施意见》2004年发布，是推进实施的文件，也不是首次提出。

4. 根据《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846 号文件）要求，第五级网络系统需要到（ B）备案。

A. 市级公安机关网安部门

B. 省级公安机关网安部门

C. 市级及以上公安机关网安部门

D. 公安部

解析：

问题九、第五级网络系统需要到哪里备案？

答复：按照《网络安全等级保护备案实施细则（试行）》要求，第五级网络系统需到省级公安机关网安部门备案。

5. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），当系统为二级时，安全管理制度- 管理制度“应对安全管理活动中的（C ）建立安全管理制度”。

A. 日常管理操作

B. 日常管理内容

C. 主要管理内容

D. 所有管理内容

解析：

二级：a) 应对安全管理活动中的主要管理内容建立安全管理制度；

三级：a) 应对安全管理活动中的各类管理内容建立安全管理制度；

6. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），（C ）及以上安全管理制度出现“应指定或授权专门的部门或人员负责安全管理制度的制定”要求项内容。

A. 第一级

B. 第四级

C. 第二级

D. 第三级

解析：

一级：无

二级：a) 应指定或授权专门的部门或人员负责安全管理制度的制定；

三级：a) 应指定或授权专门的部门或人员负责安全管理制度的制定；

7. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第三级比第二级新增的安全要求项是（D ）。

A. 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员

B. 应提供应急供电设施

C. 应将通信线缆铺设在隐蔽安全处

D. 应设置机房防盗报警系统或设置有专人值守的视频监控系统

解析：

物理环境三级比二级多的：

防盗窃和防破坏：c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。

防雷击：b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

防火：c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

防水和防潮：c) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

防静电：b) 应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。

电力供应：c) 应设置冗余或并行的电力电缆线路为计算机系统供电。

电磁防护：b) 应对关键设备实施电磁屏蔽。

8. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），安全管理制度从第（B）级开始要求通过正式、有效的方式发布。

A.一

B.二

C.三

D.四

解析：

制定和发布：

一级：无

二级：b) 安全管理制度应通过正式、有效的方式发布，并进行版本控制。

三级：b) 安全管理制度应通过正式、有效的方式发布，并进行版本控制。

9. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。”属于第（C ）级（含以上）“安全通信网络”层面中“网络架构”控制点的安全要求。

A.一

B.二

C.三

D.四

解析：

二级：

网络架构：

a) 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

b) 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

通信传输：应采用校验技术保证通信过程中数据的完整性。

三级：

网络架构（多3条）：

c) 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

d) 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；

e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

通信传输：

a) 应采用校验技术或密码技术保证通信过程中数据的完整性；

b) 应采用密码技术保证通信过程中数据的保密性。

10. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第二级“安全区域边界”层面不包括以下哪些安全要求（A ）。

A. 应在关键网络节点对垃圾邮件进行检测和防护

B. 应实现边界设备访问控制策略数量最小化

C. 应在网络边界、重要网络节点进行安全审计

D. 应对审计记录进行保护，定期备份

解析：

二级：

恶意代码和垃圾邮件防范：

a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。

三级：

恶意代码和垃圾邮件防范：

a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；

b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

11. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“应保证有敏感信息的存储空间被释放或重新分配前得到完全清除。”属于第（C ）级（含以上）“安全计算环境”层面中“剩余信息保护”控制点的安全要求。

A.一

B.二

C.三

D.四

解析：

一级：

剩余信息保护：无

二级：

剩余信息保护：

a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

三级：

剩余信息保护：

a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

12. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下哪项不是第三级“安全审计” 控制点的安全要求（D ）。

A. 审计范围应覆盖到每个用户

B. 审计记录应包括事件的日期和时间

C. 审计记录的留存时间符合法律法规要求

D. 审计记录应加密存储

解析：

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

d)应对审计进程进行保护，防止未经授权的中断

13. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）物联网安全扩展要求，下列关于感知节点管理描述是第三级要求的是（C ）。

A. 应指定人员定期巡视感知节点设备、网关节点设备的部署环境，对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护

B. 应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定，并进行全程管理

C. 应加强对感知节点设备、网关节点设备部署环境的保密性管理，包括负责检查和维护的人员调离岗位应立即交还相关检查工作和检查维护记录等

D. 感知节点设备所处的物理环境应对感知节点设备造成物理破坏

解析：

安全运维管理 - 感知节点管理：

三级要求：

a) 应指定人员定期巡视感知节点设备、网关节点设备的部署环境，对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护

b) 应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定，并进行全程管理

c) 应加强对感知节点设备、网关节点设备部署环境的保密性管理，包括负责检查和维护的人员调离工作岗位应立即交还相关检查工具和检查维护记录等

安全物理环境 - 感知节点设备物理防护：

一、二、三级要求相同：

a) 感知节点设备所处的物理环境应不对感知节点设备造成物理破坏，如挤压、强振动

b) 感知节点设备在工作状态所处物理环境应能正确反映环境状态（如温湿度传感器不能安装在阳光直射区域）

14. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）云计算安全扩展要求，“安全区域边界”层面“入侵防范”控制点中第三级比第二级增加了以下哪些安全要求（D ）。

A. 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

B. 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

C. 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量

D. 应在检测到网络攻击行为、异常流量情况时进行告警解析：

一级：无

二级：

a) 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

b) 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量

三级：

a) 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

b) 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量

d) 应在检测到网络攻击行为、异常流量情况时进行告警

15. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下哪项不是第二级的安全要求（ D）。

A. 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

B. 应能够检测到针对无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为

C. 大数据平台应为服务客户提供管理其计算和存储资源使用状况的能力

D. 应定期验证防范恶意代码攻击的技术措施的有效性

解析：

ABC均为2级要求，D没找到，排除法

16. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），云服务商在进行数据中心选址时，数据中心可位于（D）。

A. 澳门

B. 台湾

C. 东京

D. 山东

解析：

一二三四级要求

安全物理环境 - 基础设施位置（云拓展要求）：

a)应保证云计算基础设施位于中国境内

17.依据《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018），等级测评可能发生以下哪些风险？(D)

A. 影响系统正常运行

B. 敏感信息泄露

C. 木马植入

D. 以上都是

解析：

都有可能

18. Kerberos 认证体系里的黄金票据攻击伪造的是（A ）。

A. krbtgt 用户的票据

B. ST 票据

C. 用户票据

D. 普通票据

解析：

黄金票据攻击是一种高级持久性威胁（APT）攻击，发生在攻击者已经获取了域控制器中 krbtgt 用户 的密码哈希（NTLM hash 或 AES key）的情况下。

攻击原理：攻击者使用 krbtgt 的密码哈希伪造任意用户的 TGT。由于 TGT 是访问所有服务的基础，伪造的 TGT 可以被用来向 TGS 请求任何服务的 ST，从而获得域内所有资源的未授权访问。

19. windows SAM 安全账号管理器的说法错误的是（C ）。

A. 全账号管理器（SAM）具体表现就是%systemRoot%\system32\config\sam

B. SAM 信息在系统运行时被加载到注册表的 HKEY_LOCAL_MACHINE\SAM 项

C. 安全账号管理器（SAM）存储的账号信息对 administrator 和 system 是可读和可写的

D. 安全账号管理器 (SAM）是 windows 的用户数据库，系统进程通过 security Accounts Manager 服务进行访问和操作

解析：

SAM 存储的账号哈希（NTLM、LM）对 administrator 账户默认不可读；即使是管理员也拿不到哈希，需借助 SYSTEM 权限（如 Mimikatz、PwDump）或特殊工具才能读取。

20. 以下哪种技术可以用于隐藏渗透测试的痕迹（ C）。

A. 端口转发

B. 代理服务器

C. 日志清理

D. 加密隧道

解析：

无

二、不定项（共 20 题，每题 2 分，共 40 分）

1. 在等级测评过程中可以通过采取以下措施规避风险（ABCD ）。

A. 签署委托测评协议

B. 签署保密协议

C. 现场测评工作风险规避

D. 测评现场还原

解析：

GB/T28449—2018第三页

等级测评风险：

1、影响系统正常运行的风险

2、敏感信息泄露风险

3、木马植入风险

等级测评风险规避

a) 签署委托测评协议

b) 签署保密协议

c) 现场测评工作风险的规避

d) 测评现场还原

2. 以下属于方案编制活动过程任务的是（ ABC）。

A. 工具测试方法确定

B. 确定测评对象

C. 确定测评内容

D. 确定测评工具清单

解析：

3. 以下说法错误的是（ ABD）。

A. 时钟信号的同步仅可通过 NTP 协议实现；

B. NTP 协议使用 TCP 123 端口进行通信；

C. NTP 协议面临的主要安全问题是来自于攻击者的恶意重放及拒绝服务攻击；

D. 时钟服务器时钟信号的来源仅来自于上级服务器。

解析：

A: 除了NTP，还有PTP（精确时间协议）、GPS授时、北斗授时等方式。

B:NTP 协议使用 UDP 123 端口进行通信

D: 时钟源可以是GPS、北斗、原子钟等，不限于上级服务器。

4. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“安全管理人员”层面“人员录用” 控制点第三级网络比第二级网络新增的安全要求项有（ B、C、D）。

A. 应对被录用人员的身份、安全背景、专业资格或资质等进行审查

B. 应对被录用人员所具有的技术技能进行考核

C. 应与被录用人员签署保密协议

D. 与关键岗位人员签署岗位责任协议

解析：

二级：

a)应指定或授权专门的部门或人员负责人员录用

b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查

三级：

a)应指定或授权专门的部门或人员负责人员录用

b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核

c)应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议

5. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），对于第三级系统，开通远程运维接口或通道时，需要注意的事项包括（ACD）。

A. 经过审批才可开通

B. 无需经过审批

C. 操作过程中必须保留不可更改的审计日志

D. 操作结束后立即关闭接口或通道

解析：

三级：

a)应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限

b)应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制

c)应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定

d)应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等

e)应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容

f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为

g)应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库

h)应严格控制运维工具的使用，经过审批后才可接人进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据

i)应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道

j)应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为

6. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下关于“安全管理机构”层面“人员配备”控制点的指标要求正确的是（ABCD ）。

A. 应配备一定数量的系统管理员、审计管理员和安全管理员等

B. 应设立网络安全管理工作的职能部门

C. 应成立指导和管理网络安全工作的委员会或领导小组

D. 应配备专职的安全管理员，不可兼任

解析：

三级：

安全管理机构 - 岗位设置

a) 应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权

b)应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责

c)应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责

安全管理机构 - 人员配备

a)应配备一定数量的系统管理员、审计管理员和安全管理员等

b)应配备专职安全管理员，不可兼任

7. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“电源线和通信线缆应隔离铺设，避免相互干扰。”属于以下哪个安全等级的安全要求（B ）。

A.一

B.二

C.三

D.四

解析：

一级：无

三级：

安全物理环境 - 电磁防护

a)电源线和通信线缆应隔离铺设，避免互相干扰

b)应对关键设备实施电磁屏蔽

8. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），第二级“安全计算环境”层面“安全审计”控制点包括的安全要求有（ABC ）。

A. 启用安全审计功能，审计覆盖到每个用户

B. 通过审计管理员对审计记录进行分析，并根据分析结果进行处理

C. 定期备份审计记录

D. 对审计进程进行保护，防止未经授权的中断

解析：

安全计算环境 - 安全审计

一级：无

三级：

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

d)应对审计进程进行保护，防止未经授权的中断

9. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），“应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。”不属于以下哪个安全等级的安全要求（CD ）。

A.一

B.二

C.三

D.四

解析：

安全物理环境 - 防水和防潮

一级：

a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透

三级：

a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透

b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透

c)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警

10. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）中关于大数据应用场景说明，下列可作为第三级安全要求的有（CD ）。

A. 应选择安全合规的大数据平台，其所提供的大数据平台服务应为其所承载的大数据应用提供相应等级的安全保护能力

B. 应以书面方式约定大数据平台提供者的权限与责任、各项服务内容和具体技术指标等，尤其是安全服务内容

C. 应明确约束数据交换、共享的接收方对数据的保护责任，并确保接收方有足够或相当的安全防护能力

D. 应制定并执行数据分类分级保护策略，针对不同类别级别的数据制定不同的安全保护措施

解析：

三级

安全物理环境 - 大数据

应保证承载大数据存储、处理和分析的设备机房位于中国境内；

安全通信网络 - 大数据

应保证大数据平台不承载高于其安全保护等级的大数据应用；

应保证大数据平台的管理流量与系统业务流量分离；

安全计算环境 - 大数据

大数据平台应对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别；

大数据平台应能对不同客户的大数据应用实施标识和鉴别；

大数据平台应为大数据应用提供集中管控其计算和存储资源使用状况的能力；

大数据平台应对其提供的辅助工具或服务组件，实施有效管理；

大数据平台应屏蔽计算、内存、存储资源故障，保障业务正常运行；

大数据平台应提供静态脱敏和去标识化的工具或服务组件技术；

对外提供服务的大数据平台，平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理；

大数据平台应提供数据分类分级安全管理功能，供大数据应用针对不同类别级别的数据采取不同的安全保护措施；

大数据平台应提供设置数据安全标记功能，基于安全标记的授权和访问控制措施，满足细粒度授权访问控制管理能力要求；

大数据平台应在数据采集、存储、处理、分析等各个环节，支持对数据进行分类分级处置，并保证安全保护策略保持一致；

涉及重要数据接口、重要服务接口的调用，应实施访问控制，包括但不限于数据处理、使用、分析、导出、共享、交换等相关操作；

应在数据清洗和转换过程中对重要数据进行保护，以保证重要数据清洗和转换后的一致性，避免数据失真，并在产生问题时能有效还原和恢复；

应跟踪和记录数据采集、处理、分析和挖掘等过程，保证溯源数据能重现相应过程，溯源数据满足合规审计要求；

大数据平台应保证不同客户大数据应用的审计数据隔离存放，并提供不同客户审计数据收集汇总和集中分析的能力；

安全建设管理 - 大数据

应选择安全合规的大数据平台，其所提供的大数据平台服务应为其所承载的大数据应用提供相应等级的安全保护能力；

应以书面方式约定大数据平台提供者的权限与责任、各项服务内容和具体技术指标等，尤其是安全服务内容；

应明确约束数据交换、共享的接收方对数据的保护责任，并确保接收方有足够或相当的安全防护能力；

安全运维管理 - 大数据

应建立数字资产安全管理策略，对数据全生命周期的操作规范、保护措施、管理人员职责等进行规定，包括并不限于数据采集、存储、处理、应用、流动、销毁等过程；

应制定并执行数据分类分级保护策略，针对不同类别级别的数据制定不同的安全保护措施；

应在数据分类分级的基础上，划分重要数字资产范围，明确重要数据进行自动脱敏或去标识的使用场景和业务处理流程；

应定期评审数据的类别和级别，如需要变更数据的类别或级别，应依据变更审批流程执行变更；

11. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）中关于工业控制系统应用场景说明，工业控制系统包括多种工业生产中使用的控制系统，如下选项中是工业控制系统的有（ABCD ）。

A. SCADA

B. DCS

C. PLC

D. ICS

解析：

根据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）中关于工业控制系统应用场景的说明，工业控制系统（ICS）是一个广义术语，涵盖了工业生产中使用的多种控制系统。选项中的SCADA（监控与数据采集系统）、DCS（分布式控制系统）、PLC（可编程逻辑控制器）都是工业控制系统的典型组成部分，而ICS本身即工业控制系统的缩写，也属于该范畴。

12. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下哪些安全要求属于第二级物联网安全扩展要求（AB ）。

A. 应能够限制与感知节点通信的目标地址，以避免对陌生地址的攻击行为

B. 应能够限制与网关节点通信的目标地址，以避免对陌生地址的攻击行为

C. 应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更

D. 应能够鉴别历史数据的非法修改，避免数据的修改重放攻击

解析：

安全区域边界 - 入侵防范-物联网拓展

三级：

a) 应能够限制与感知节点通信的目标地址，以避免对陌生地址的攻击行为

b) 应能够限制与网关节点通信的目标地址，以避免对陌生地址的攻击行为

安全计算环境 - 感知节点设备安全

a) 应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更

b) 应具有对其连接的网关节点设备（包括读卡器）进行身份标识和鉴别的能力

c) 应具有对其连接的其他感知节点设备（包括路由节点）进行身份标识和鉴别的能力

安全计算环境 - 抗数据重放

a) 应能够鉴别数据的新鲜性，避免历史数据的重放攻击

b) 应能够鉴别历史数据的非法修改，避免数据的修改重放攻击

13. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下哪项安全要求不属于第二级云计算安全扩展要求（AB ）。

A. 应能检测虚拟机之间的资源隔离失效，并进行告警

B. 应支持云服务客户部署密钥管理解决方案

C. 应为各业务应用系统划分独立的资源池

D. 应实现不同云服务客户虚拟网络之间的隔离

解析：

三级

安全区域边界 - 入侵防范-云拓展

a) 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

b) 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等

c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量

d) 应在检测到网络攻击行为、异常流量情况时进行告警

安全计算环境 - 数据完整性和保密性-云拓展

a) 应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定

b) 应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限

c) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施

d) 应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程

14. 依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），以下哪些安全要求属于第二级大数据安全扩展要求（ABC ）。

A. 大数据平台应对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别

B. 大数据平台应能对不同客户的大数据应用实施标识和鉴别

C. 大数据平台应为大数据应用提供管控其计算和存储资源使用状况的能力

D. 只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理

解析：

三级

安全计算环境 - 大数据

大数据平台应对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别；

大数据平台应能对不同客户的大数据应用实施标识和鉴别；

大数据平台应为大数据应用提供集中管控其计算和存储资源使用状况的能力；

大数据平台应对其提供的辅助工具或服务组件，实施有效管理；

大数据平台应屏蔽计算、内存、存储资源故障，保障业务正常运行；

大数据平台应提供静态脱敏和去标识化的工具或服务组件技术；

对外提供服务的大数据平台，平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理；

大数据平台应提供数据分类分级安全管理功能，供大数据应用针对不同类别级别的数据采取不同的安全保护措施；

大数据平台应提供设置数据安全标记功能，基于安全标记的授权和访问控制措施，满足细粒度授权访问控制管理能力要求；

大数据平台应在数据采集、存储、处理、分析等各个环节，支持对数据进行分类分级处置，并保证安全保护策略保持一致；

涉及重要数据接口、重要服务接口的调用，应实施访问控制，包括但不限于数据处理、使用、分析、导出、共享、交换等相关操作；

应在数据清洗和转换过程中对重要数据进行保护，以保证重要数据清洗和转换后的一致性，避免数据失真，并在产生问题时能有效还原和恢复；

应跟踪和记录数据采集、处理、分析和挖掘等过程，保证溯源数据能重现相应过程，溯源数据满足合规审计要求；

大数据平台应保证不同客户大数据应用的审计数据隔离存放，并提供不同客户审计数据收集汇总和集中分析的能力；

15. 端口扫描可以发现目标系统开放了以下哪些信息（ABC ）。

A. 端口号

B. 服务名称

C. 操作系统类型

D. 用户名

解析：

无

16. 攻击者通过暴力破解的方式入侵系统，不论是否成功，在日志中会留下入侵痕迹，应当重点关注事件 id 有（AB ）。

A. 4624

B. 4625

C. 4526

D. 4527

解析：

4625登录失败

4624登录成功

17. 在利用.htaccess 文件进行 URL 重写（或其他高级功能）时，要想使.htaccess 文件生效，需要（ BC）。

A. 在 Apache 的配置文件中写上 AllowOverride None

B. 在 Apache 的配置文件中写上 AllowOverride All

C. Apache 要加载 mod_Rewrite 模块

D. Apache 不能加载 mod_Rewrite 模块

解析：

要使 .htaccess 文件里的 URL 重写（或其他需要 RewriteRule 之类指令的高级功能）真正生效，必须同时满足两点：

1）当前目录允许使用 .htaccess 覆盖配置

2）URL 重写引擎可用（即 mod_rewrite 已加载）

18. 有效对抗 ARP 欺骗的策略是（ AB）。

A. 使用静态的 ARP 缓存

B. 使用 ARP 防护功能的交换机/三层设备

C. 使用 linux 系统提高安全性

D. 更改子网掩码/路由策略

解析：

对抗 ARP 欺骗（ARP spoofing / ARP poisoning）的核心思路只有两条：

1)让主机不再相信“任何”ARP 应答；

2)让交换机/三层设备替主机把关 ARP 合法性。

D:ARP七篇发生在二层，改三层路由策略无效

19. 防止 SQL 注入的方法（ AB）。

A. 使用参数化查询

B. 对用户输入进行过滤

C. 部署防火墙

D. 定期更新数据库

解析：

无

20. Java 反序列化是应急响应中常见的问题，以下 web 中间件受 Java 反序列化漏洞影响的是（ABCD ）。

A. weblogic

B. jboss

C. tomcat

D. Jenkins

解析：

无

三、简答（共 3 题，每题 10 分，共 30 分）

1. 依据《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846 号），备案单位如何选择备案地？

答：

备案受理主体原则及特殊情况：
原则上由地市级以上公安机关网安部门受理备案。省级公安机关可以根据实际情况，指定具有受理备案条件的县级公安机关受理备案。
备案地确定规则：
备案单位工商注册登记地、实际业务运营机构所在地、安全管理机构所在地、网络设备所在地等不一致的，以备案单位安全管理机构、运维所在地为主受理备案。若安全管理机构和运维所在地等不一致的，以安全管理机构所在地为主受理备案。

2. 简述安全管理方面，针对第三级信息系统比第二级增加的安全控制点。

答：

安全管理制度方面：

安全管理制度-管理制度

a)应对安全管理活动中的各类管理内容建立安全管理制度

b)应对管理人员或操作人员执行的日常管理操作建立操作规程

c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系

安全管理机构方面：

安全管理机构-岗位设置

a) 应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权

b)应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责

c)应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责

安全管理机构 - 人员配备

a)应配备一定数量的系统管理员、审计管理员和安全管理员等

b)应配备专职安全管理员，不可兼任

安全管理机构 - 授权和审批

a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等

b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度

c)应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息

安全管理机构 - 审核和检查

a)应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况

b)应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等

c)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报

安全管理人员方面：

安全管理人员 - 人员录用

a)应指定或授权专门的部门或人员负责人员录用

b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核

c)应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议

安全管理人员 - 人员离岗

a)应及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备

b)应办理严格的调离手续，并承诺调离后的保密义务后方可离开

安全管理人员 - 安全意识教育和培训

a)应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施

b)应针对不同岗位制定不同的培训计划，对安全基础知识、岗位操作规程等进行培训

c)应定期对不同岗位的人员进行技能考核

安全管理人员 - 外部人员访问管理

a)应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案

b)应在外部人员接人受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案

c)外部人员离场后应及时清除其所有的访问权限

d)获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息

安全建设管理方面：

安全建设管理- 产品采购和使用

a)应确保网络安全产品采购和使用符合国家的有关规定

b)应确保密码产品与服务的采购和使用符合国家密码主管部门的要求

c)应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单

安全建设管理 - 工程实施

a)应指定或授权专门的部门或人员负责工程实施过程的管理

b)应制定安全工程实施方案控制工程实施过程

c)应通过第三方工程监理控制项目的实施过程

安全建设管理 - 测试验收

a)应制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告

b)应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容

安全建设管理 - 服务供应商管理

a)应确保服务供应商的选择符合国家的有关规定

b)应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安全相关义务

c) 应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制

安全建设管理 - 自行软件开发

a)应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制

b)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则

c)应制定代码编写安全规范，要求开发人员参照规范编写代码

d)应具备软件设计的相关文档和使用指南，并对文档使用进行控制

e)应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测

f)应对程序资源库的修改、更新、发布进行授权和批准，并严格进行版本控制

g)应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查

安全建设管理 - 外包软件开发

a)应在软件交付前检测软件其中可能存在的恶意代码

b)应保证开发单位提供软件设计文档和使用指南

c)应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道

3. 背景信息：某个三级私有云平台，部署于物理隔离网内，采用带外管理方式运维，运维人员均为单位正式员工，已完成背景核查、定期开展安全培训并签署保密协议，运维区域实施严格管控，各运维环节形成安全闭环且无隐患。在本年度网络安全等级保护测评工作中，仅检测出该云管理平台存在一个 SQL 注入高危漏洞，可导致云管理平台数据泄露、数据篡改、身份绕过等风险。

问题：请依据《网络安全等级测评报告模板（2025 版）》中关于重大风险隐患的判定规则，判定该问题是否构成重大风险隐患并说明判定理由。

参考答一：

1、构成重大风险隐患

2、满足相关性原则：

1）问题来源于本次等保测评实测结果，属于“测评中发现的高危安全问题”。2）题干明确“未采取任何缓解措施”（无WAF、无代码修复、无参数化改造）。

满足严重性原则：

1）该漏洞可导致云管理平台数据泄露、数据篡改、身份绕过等风险，一旦被利用导致后果严重。

满足高发性原则：

1） SQL 注入在历年国家漏洞库、CNVD、CNCERT 统计中均居Web 漏洞首位，利用工具公开、攻击成本低，利用难度低

2）即使物理隔离，内部用户或运维终端被钓鱼后即可触发攻击，发生概率大。

3）采用带外管理方式运维，可能通过带外管理通道攻击，进一部增加被攻击风险。

4)综上，在实际运行中由该问题导致的安全事件发生概率较大。

PS:

——相关性原则：基于网络安全等级保护测评中发现的、可能导致系统面临高风险的安全问题，且针对该问题未采取任一缓解措施；

——严重性原则：安全事件一旦发生后将造成严重后果，包括导致业务中断、重要数据泄露或被篡改，获得系统管理权限或业务权限等；

——高发性原则：在实际运行中由该问题导致的安全事件发生概率较大

参考答二：

该问题不构成重大风险隐患。

判定理由：

严重性原则 – 已满足
判定依据：安全事件一旦发生后将造成严重后果，包括导致业务中断、重要数据泄露或被篡改，获得系统管理权限或业务权限等。
分析：材料明确该SQL注入漏洞“可导致云管理平台数据泄露、数据篡改、身份绕过等风险”。云管理平台是核心，这些后果与判定标准中的严重后果高度吻合，一旦成功利用将对三级私有云造成极高危害。因此，该问题符合严重性原则。

相关性原则 – 未满足
判定依据：基于网络安全等级保护测评中发现的、可能导致系统面临高风险的安全问题，且针对该问题未采取任一缓解措施。
分析：
SQL注入高危漏洞是测评中发现的“高风险的安全问题”，这一点符合。
然而，“未采取任一缓解措施”的条件不满足。尽管没有直接针对SQL注入技术本身的修复（如参数化查询、WAF），但背景信息提供的环境和管理措施，符合《网络安全等级保护测评高风险判定实施指引(试行)》6.4.3.2 (d) 中定义的“可能的缓解措施”：
(d) 2) 通过非互联网等公共通信网络管理或访问的系统或设备，具有仅限本地访问，或具有登录地址限制、登录终端限制、物理位置限制等远程访问管控措施，使得高危漏洞难以利用；
案例中的“物理隔离网内”和“带外管理”系统，本身就提供了高度受限的访问环境，通常包含“登录地址限制、登录终端限制、物理位置限制”等特性。此外，“运维区域严格管控”、“各运维环节安全闭环”也进一步增强了这种访问管控的有效性。这些措施使得即使漏洞存在，其被外部或非授权途径利用的门槛和难度大幅提高，符合《指引》中“使得高危漏洞难以利用”的描述。
因此，可以认为针对该漏洞已采取了提升其利用难度的缓解措施。

高发性原则 – 未满足
判定依据：在实际运行中由该问题导致的安全事件发生概率较大。
分析：由于存在如上述“带外管理”和“物理隔离网”等严格的“远程访问管控措施”，使得该SQL注入漏洞的“利用难度”显著增加。
《指引》6.4.3.2 (e) 中明确指出：“2) 通过非互联网等公共通信网络管理或访问的系统或设备，存在外界披露的可被利用的高危安全漏洞，但具有仅限本地访问，或具有登录地址限制、登录终端限制、物理位置限制等远程访问管控措施，使得高危漏洞难以利用，可根据实际措施效果酌情降低风险等级；”
这意味着，当存在有效的访问管控措施使漏洞“难以利用”时，其导致安全事件的发生“概率”被评估为降低，不属于“发生概率较大”的情况。
因此，该问题不符合高发性原则。

四、设计（共 1 题，每题 10 分，共 10 分）

1. 下图为某公司互联网的业务网络结构示意图。目标客户想要在当前网络架构的基础上完善一下网络架构，增强该网络架构的安全性。作为一个成熟的等保测评师，请根据你所掌握的知识，等保 2.0 第三级安全要求中 “安全通信网络”及“安全区域边界”的相关规定，分析一下当前该网络结构还有哪些不足，提出对应的问题，并针对这些问题提供相应的加固建议，帮助客户完善网络架构，杜绝潜在的威胁。

备注：图中防火墙仅具备基础访问控制功能，且当前未配置任何访问控制策略。

1、问题：互联网出口仅有一台防火墙，且无访问控制策略。

加固建议：建议增加一台异构防火墙构成双机热备，在出口防火墙配置ACL访问控制策略，默认拒绝所有流量，设置基于源地址、目的地址、源端口、目的端口的访问控制策略，仅开放必要的端口和协议。

2、问题：网络区域未划分。

加固建议：在业务网核心交换机划分VLAN，设置业务服务器区、管理区、数据区、DMZ区。

3、问题：服务器直接部署在边界

加固建议：新建DMZ区，将中间件服务器下沉至DMZ区，在DMZ区和业务服务器区中间增加业务服务器区防火墙，并配置访问控制策略。

4、问题：无法检测、防止从内部和外部发起的攻击行为，无法报警

加固建议：在业务网核心交换机镜像口部署IPS串联+IDS旁路，联动防火墙自动阻断。

5、问题：通信链路、核心交换机等关键设备未冗余部署。

加固建议：建议采用双链路（双运营商）部署、关键设备采用双击热备，热冗余部署。

6、问题：网络中无恶意代码和垃圾邮件防范措施。

加固建议：建议在边界与邮件网关处部署沙箱+APT 检测引擎；终端配套 EDR

7、问题：无内联管控和外联管控措施。

加固建议：建议部署网络准入系统，同时终端和服务器配套安装 EDR。

8、问题：未部署综合日志审计平台，攻击痕迹分散，无法溯源

加固建议：建议部署日志审计平台（Syslog+Kafka）集中管理、分析日志，所有网络、安全、操作系统日志集中保存≥6 个月，并与 SOC/态势感知对接

9、问题：与数据存储中心之间无边界防护措施。

加固建议：与数据中心之间增加防火墙进行访问控制。

10、问题：网络管理系统、财务管理系统、建议管理系统均通过管理网交换机进行管理，管理网与业务网未安全隔离。

加固建议：管理网出口单独挂一台管理网防火墙，默认拒绝策略，仅开放堡垒机 IP → 网络/财务/建议管理系统的运维端口（SSH 22、RDP 3389、SNMP 161 等），对不同业务、管理用户通过堡垒机分配管理权限。