网络安全等级测评师能力评估（高级）样卷2及参考答案

声明：样卷由公安部关键信息基础设施保护中心发布，相关内容来自互联网，非官方标准答案，仅供学习参考。

一、单选（共10题，每题1分，共10分）

1. 根据《网络安全等级保护定级报告模板》（2025版），“系统服务安全受到破坏时，对公民、法人和其他组织的合法权益造成特别严重损害”，其系统服务安全保护等级应为（B）。

A. 第一级 B. 第二级 C. 第三级 D. 第四级

2. 根据《网络安全等级保护定级报告模板》（2025版），确定等级后需要在矩阵表中标注的方式为（C）。

A. 将整个矩阵表涂黑

B. 将所在行和列全部涂黑

C. 仅将确定的等级及其对应的客体和侵害程度单元格涂黑

D. 不需要涂黑，文字说明即可

3. 根据《网络安全等级保护备案表》（2025版），表六（数据摸底调查表）的填写要求，以下说法正确的是（C）。

A. 每个备案单位填写一张

B. 每个定级对象填写一张

C. 每类数据填写一张，有多类数据的需分别填写

D. 仅第三级及以上定级对象需要填写

4. 依据《关于进一步做好网络安全等级保护有关工作的函》（公网安〔2025〕1001号），第五级信息系统原则上应按照（B）进行保护。

A. 分级保护要求

B. 关键信息基础设施安全保护要求

C. 数据安全管理要求

D. 行业特殊安全要求

5. 依据《网络安全等级保护测评高风险判定实施指引（试行）》（2025版），下列最可能被判定为高风险的是（B）。

A. 办公电脑未设置屏保密码

B. 核心业务系统的远程管理端口（如SSH、RDP）直接暴露于互联网，且仅使用弱口令进行身份鉴别

C. 内部测试环境漏扫时候发现存在高危漏洞

D. 安全管理制度文档的版本号记录不准确

6. 依据《网络安全等级保护测评报告模板》（2025版），不属于重大风险隐患判定原则的是（D）。

A. 相关性原则 B. 严重性原则 C. 高发性原则 D. 普遍性原则

7. 依据《网络安全服务认证技术规范（等级保护测评）》（TRIMPS-JSGF-003：2024），不属于测评机构必须保留纸质档的文件有（D）。

A. 测评报告 B. 测评方案 C. 原始记录签字确认记录 D. 调研表

8. 依据《网络安全服务认证技术规范（等级保护测评）》（TRIMPS-JSGF-003：2024），等保测评服务合同的签订应满足（D）的要求。

A. 中华人民共和国民法典合同法

B. 中华人民共和国民法典

C. 中华人民共和国合同法

D. 中华人民共和国民法典合同编

9. 在渗透测试中，你发现目标Web应用的CORS（跨域资源共享）配置存在漏洞，可能允许攻击者从恶意网站窃取用户的会话令牌。以下CORS配置中最容易被攻击者利用实现目标的是（B）。

A. Access-Control-Allow-Origin: https://example.com 且未设置 Access-Control-Allow-Credentials

B. Access-Control-Allow-Origin: * 且设置了Access-Control-Allow-Credentials: true

C. Access-Control-Allow-Origin: https://api.example.com 且限制了 HTTP 方法为 GET D. Access-Control-Allow-Origin未设置，服务器拒绝所有跨源请求

10. 在渗透测试中，你发现目标Web应用存在一个潜在的任意文件读取漏洞。以下最可能允许攻击者通过Web 请求读取服务器上的敏感文件（如/etc/passwd）的是（A）。

A. Web 应用通过用户输入的filename参数直接拼接路径（如include($_GET['filename'])），未进行任何路径规范化或白名单验证

B. Web 应用仅允许上传.jpg文件，并将文件存储在隔离的目录中

C. Web 应用通过用户输入查询数据库文件内容，并对输入进行了SQL注入防护，但未限制文件路径范围

D. Web 应用使用readfile()函数读取文件，但文件路径由服务器端硬编码为/var/www/html/public/目录下的文件

二、不定项（共15题，每题2分，共30分）

1. 依据《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020），等级保护对象受到破坏后，对客体造成侵害的程度有（ABC）。

A. 一般损害 B. 严重损害 C. 特别严重损害 D. 极其严重损害

2. 根据《关键信息基础设施安全保护条例》，关键信息基础设施运营者的专门安全管理机构应履行的职责有（ABD）。

A. 组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估

B. 制定本单位网络安全事件应急预案，定期开展应急演练

C. 负责编制并直接管理所有运营人员的薪酬与绩效

D. 认定网络安全关键岗位，并提出对相关人员的奖励和惩处建议

3. 《信息安全等级保护管理办法》（公通字〔2007〕43号）制定的目的包括（ABCD）。

A. 规范信息安全等级保护管理

B. 提高信息安全保障能力和水平

C. 维护国家安全、社会稳定和公共利益

D. 保障和促进信息化建设

4. 依据《网络安全等级保护测评高风险判定实施指引（试行）》（2025版），以下不属于“未定期进行等级测评”的高风险问题描述的是（BCD）。

A. 三级系统两年未进行等级测评且上次测评发现的高风险问题未及时整改

B. 二级系统未进行等级测评

C. 测评中发现的高风险问题未整改（有争议，如果是二级系统中发现的高风险问题未整改呢？）

D. 二级系统每两年测评一次

5. 依据《网络安全等级测评报告模板》（2025版），以下属于其他系统或设备的有（ABC）。

A. 移动互联的移动终端

B. 物联网的感知终端

C. 工业控制系统的控制设备

D. 云计算管理软件/平台

6. 依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），第二级及以上的网络系统中“安全管理人员”层面对外部人员访问的管理包括（ABC）。

A. 在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案

B. 在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案

C. 外部人员离场后应及时清除其所有的访问权限

D. 为保护个人信息，消除外部人员进出机房录像与登记记录

7. 常见的DDOS攻击类型包括（ABCD）。

A. 攻击带宽 B．攻击系统资源 C．攻击应用层 D．混合攻击

8. 依据《网络安全服务认证技术规范（等级保护测评）》（TRIMPS-JSGF-003：2024），测评项目管理程序主要包括的内容有（ABCD）。

A. 组织形式 B. 工作职责 C. 测评各阶段工作内容 D. 测评各阶段管理要求

9. 依据《网络安全服务认证技术规范（等级保护测评）》（TRIMPS-JSGF-003：2024），测评报告由测评项目组长作为第一编制人，技术主管或具备高级测评师资质的授权人员负责审核，（AB）负责签发或批准。

A. 机构管理者 B. 授权人员 C. 技术主管 D. 质量主管

10. 依据《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018），现场测评活动工作流程包括（ABD）。

A. 现场测评准备 B. 现场测评和结果记录 C. 单项测评结果判定 D. 结果确认和资料归还

11．依据《网络安全服务认证技术规范（等级保护测评）》（TRIMPS-JSGF-003：2024），测评机构应至少制定哪些管理制度？（ABCD）

A. 保密管理制度 B. 测评项目管理程序 C. 人员管理制度 D. 设备管理制度

12. 依据《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020），“侵害公共利益”的事项包括（AD）。

A. 影响社会成员使用公共设施

B. 影响人民群众的生活秩序

C. 影响国家机关的生产秩序

D. 影响社会成员接受公共服务

13. 依据《关于进一步做好网络安全等级保护有关工作的问题释疑》（公网安〔2025〕1846号），第五级网络系统是指对（ABC）造成严重或者特别严重损害的网络系统。

A. 国家安全 B. 地区安全 C. 国计民生 D. 社会秩序

14. 在进行内网渗透测试时，你已获得一台内网主机的权限，但该主机位于NAT或防火墙之后，以下可能造成内网穿透的有（AD）。

A. 在受控主机上运行SSH反向隧道（ssh-R），将内网主机的端口映射到攻击者的外部VPS，允许远程访问

B. 用Nmap进行端口扫描，发现内网开放服务和操作系统信息

C. 在内网主机上运行未加密的Telnet服务，尝试通过外部直接连接内网IP，获取Shell访问

D. 通过ICMP隐蔽隧道将TCP流量封装在ICMP包中传输，绕过传统防火墙检测

15. 在针对云环境的渗透测试中，以下属于云平台漏洞利用方式的有（ABCD）。

A. 使用AK获取云环境的权限

B. 通过访问地址网页的返回内容的不同来爆破存储桶名称

C. 当存储桶的ListObjects 权限配置不当时，可直接获取存储桶内的所有key，从而通过拼接key遍历数据

D. 利用容器逃逸技术（如特权容器挂载宿主机根目录），从容器环境突破到宿主机

三、简答（共2题，每题10分，共20分）

1. 依据《网络安全服务认证技术规范（等级保护测评）》（TRIMPS-JSGF-003：2024），简要描述测评机构不得从事的活动。

1)测评机构不应从事对等级保护测评相关工作的公正性产生影响的业务,包括从事信息系统安全集成或网络安全产品研发(自用除外)、生产、销售等

2)测评机构所有在职人员不应投资或兼职于信息系统安全集成或网络安全产品研发、生产、销售企业。

3)测评机构不应限定被测评单位购买、使用指定的网络安全产品,或者与产品和服务商存在利益勾结行为等。

4)测评机构及其测评相关人员不应泄露被测评单位工作秘密、重要数据信息。

5)测评机构及其测评相关人员不应隐瞒测评过程中发现的重大安全问题,不应在测评过程中弄虚作假。

2. 简要描述重大风险隐患判定原则，并至少列举3个判定为重大风险隐患的场景。

重大风险隐患判定的三个原则是相关性原则、严重性原则和高发性原则。其含义如下：

相关性原则:基于网络安全等级保护测评中发现的、可能导致系统面临高风险的安全问题，且针对该问题未采取任一缓解措施；

严重性原则:安全事件一旦发生后将造成严重后果,包括导致业务中断、重要数据泄露或被篡改，获得系统管理权限或业务权限等；

高发性原则:在实际运行中由该问题导致的安全事件发生率较大；

判定为重大风险隐患的场景如下：

场景一：通过渗透测试，获取面向互联网开放OA系统的管理员权限；

场景二：某信息系统正式上线运行半年后，其审计记录留存时间为三个月左右。

场景三：某信息系统手机个人身份证、姓名、电话、财产、脸部信息，且访问控制措施不严格，可以被任意人员访问。