測評師考試模擬題二01以下關于等級保護的地位和作用的說法中不正確的是（）A.是國家信息安全保障工作的基本制度、基本國策。B.是開展信息安全工作的基本方法。C.是提高國家綜合競爭力的主要手段。D.是促進信息化、維護國家信息安全的根本保障。答案：C02以下關于信息系統安全建設整改工作工作方法說法中不正確的是：（）A.突出重要系統，涉及所有等級,試點示范，行業推廣，國家強制執行。B.利用信息安全等級保護綜合工作平臺使等級保護工作常態化。C.管理制度建設和技術措施建設同步或分步實施。D.加固改造缺什么補什么也可以進行總體安全建設整改規劃。答案：A03以下關于定級工作說法不正確的是：（）A.確定定級對象過程中，定級對象是指以下內容：起支撐、傳輸作用的信息網絡（包括專網、內網、外網、網管系統）以及用于生產、調度、管理、指揮、作業、控制、辦公等目的的各類業務系統。B.確定信息系統安全保護等級僅僅是指確定信息系統屬于五個等級中的哪一個。C.在定級工作中同類信息系統的安全保護等級不能隨著部、省、市行政級別的降低而降低。D.新建系統在規劃設計階段應確定等級，按照信息系統等級，同步規劃、同步設計、同步實施安全保護技術措施和管理措施。答案：B04以下哪種協議最安全（D）A.SSL2.0

B.TSL1.0

C.TSL1.2

D.TSL1.3答案：D05下列關于安全審計的內容說法中錯誤的是（）A.應對網絡系統中的網絡設備運行情況、網絡流量、用戶行為等進行日志記錄。B.審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。C.應能根據記錄數據進行分析，并生成報表D.為了節約存儲空間，審計記錄可以隨意刪除、修改或覆蓋。答案：D06當信息系統中包含多個業務子系統時，對每個業務子系統進行安全等級確定，最終信息系統的網絡安全等級應當由____所確定(

)A.業務子系統的安全等級平均值

B.業務子系統的最高安全等級C.業務子系統的最低安全等級

D.以上說法都錯誤答案：B07Oracle數據庫中，以下（

）命令可以刪除整個表中的數據，并且無法回滾。A.Drop

B.Delete

C.Truncate

D.Cascade答案：C08關于資產價值的評估，說法是正確的(

)A.資產的價值指采購費用B.資產的價值無法估計C.資產價值的定量評估要比定性評估簡單容易D.資產的價值與其重要性密切相關答案：D09與9mask24屬于同一網段的主機IP地址是(

)A.

B.0

C.7

D.2答案：B010防火墻的位置一般為（）。A.內外網連接的關口位置

B.內網敏感部門的出口位置C.非軍事區（DMZ）的兩側

D.以上都對答案：D011對于提高人員安全意識和安全操作技能來說，以下所列的安全管理最有效的是（）A.安全檢查

B.教育和培訓

C.責任追究

D.制度約束答案：B012OSPF使用什么來計算到目的的網絡的開銷?(

)A.帶寬

B.帶寬和跳數

C.可靠性

D.負載和可靠性答案：A013查看路由器上所有保存在flash中的配置數據應在特權模式下輸入命令:(

)A.showrunning-config

B.showbuffers

C.showstartup-config

D.showmemory答案：C014（）即非法用戶利用合法用戶的身份，訪問系統資源。A、身份假冒

B、信息竊取

C、數據篡改

D、越權訪問答案：A015linux主機中關于以下說法不正確的是（）A.PASS_MAX_DAYS90是指登陸密碼有效期為90天。B.PASS_WARN_AGE7是指登陸密碼過期7天前提示修改。C.FALL_DELAY10是指錯誤登陸限制為10次。D.SYSLOG_SG_ENAByes當限定超級用戶組管理日志時使用。答案：CFALL_DELAY

系統延遲時間016linux中要想查看對一個文件的是否具有-rwxr—r—權限，使用的命令為（A）A.#ls–l/etc/passwd744

B.#ls–l/etc/shadow740C.#ls–l/etc/rc3.d665

D.#ls–l/etc/inet.conf700答案：A017主機安全評測中需優先檢查的內容是（）A.用戶界面美觀度

B.網絡服務配置與漏洞軟件包C.主機硬盤存儲容量

D.主機顯示器分辨率答案：B018對擬確定為（）以上信息系統的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。A.第一級

B.第二級

C.第三級

D.第四級答案：D019區塊鏈平臺安全擴展要求中，新增的測評項是（）A.節點算力排名統計

B.智能合約代碼安全審計

C.礦機功耗檢測

D.代幣發行總量核查答案：B020按照測評報告模板（2025版），若被測系統符合率為95%且存在1個重大風險隱患，測評結論應為（）A.基本符合

B.符合

C.不符合

D．需復測后判定答案：A021以下不屬于容器安全的新增檢查項有哪些（）A.容器CPU使用率監控

B.容器鏡像數字簽名驗證C.容器內進程數量統計

D.容器日志格式字體審查答案：ACD022能夠起到訪問控制功能的設備有（）A.網閘

B.三層交換機

C.入侵檢測系統

D.防火墻答案：ABD023允許不具備資質的第三方參與等保測評，主要違反的規定是（）A.數據加密標準

B.測評機構資質準入制度C.設備物理安全要求

D.日志存儲周期規范答案：B024訪問控制列表可實現下列哪些要求（）A.允許/16網段的主機可以使用協議HTTP訪問B.不讓任何機器使用Telnet登錄C.使某個用戶能從外部遠程登錄D.讓某公司的每臺機器都可經由SMTP發送郵件E.允許在晚上8:00到晚上12:00訪問網絡F.有選擇地只發送某些郵件而不發送另一些文件答案：ABDF025工具測試前需收集的網絡拓撲信息包括下面哪些內容（）。A.區域劃分與設備位置

B.業務數據采集頻率C.核心業務流程路徑

D.設備物理端口可用性答案：ACD026工業控制系統（ICS）安全擴展要求中，新增的測評項是有（A）A.工控協議漏洞掃描

B.設備外觀防腐蝕檢測C.傳感器供電電壓穩定性測試

D.操作員工作站屏幕尺寸核查答案：A027我國信息安全等級保護的內容包括（）A.對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸和處理這些信息的信息系統分等級實行安全保護B.對信息系統中使用的網絡安全產品實行按等級管理C.對網絡安全從業人員實行按等級管理D.對信息系統中發生的網絡安全事件按照等級進行響應和處置E.對網絡安全違反行為實行按等級懲處答案：ABD028網絡設備進行遠程管理時，應采用（）協議的方式以防被竊聽。A.SSH

B.HTTP

C.HTTPS

D.Telnet

E.FTP答案：AC029下列屬于雙因子認證的是（）A.口令和虹膜掃描

B.令牌和門卡

C.兩次輸入密碼

D.門卡和筆記（跡）答案：AD030重大風險隱患的判定依據包括下列哪些內容()A.安全問題的影響程度

B.安全問題被利用的可能性C.安全問題與新興技術場景的關聯性

D.安全問題的修復成本答案：ABC031數據庫常見的威脅有哪些?在網絡安全等級保護2.0測評中，數據庫安全性測評屬于哪個安全層面?測評過程中，數據庫測評的主要包括哪些控制點?答案：一、數據庫常見威脅：包括非授權訪問、特權提升、SQL注入針對漏洞進行攻擊、繞過訪問控制進行非授權訪問等。二、數據庫測評屬于：安全計算環境這個安全層面。三、數據庫測評控制點涉及到5個方面的內容分別為：身份鑒別、訪問控制、安全審計、入侵防范以及數據備份恢復。1、身份鑒別要求項：A)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；B)應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；C)當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；D)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。2、訪問控制要求項：A)應對登錄的用戶分配賬戶和權限；B)應重命名或刪除默認賬戶，修改默認賬戶的默認口令；C)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；D)應授予管理用戶所需的最小權限，實現管理用戶的權限分離；E)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；F)訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；3、安全審計要求項：A)應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；B)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；C)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；D)應對審計進程進行保護，防止未經授權的中斷。4、入侵防范要求項：A)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；b)應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞；5、數據備份恢復要求項：A)應提供重要數據的本地數據備份與恢復功能；B)應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地032某公司需要建設一套業務系統，并且該業務系統有一定的安全需求（安全保護等級擬定第二級（含）以上），需要進行等級保護測評工作。問題1：從安全建設管理出發需要完成哪些方面的工作？（10分）答案：需要完成10個層面的要求：1、定級和備案2、安全方案設計3、產品采購和使用4、自行軟件開發5、外包軟件開發6、工程實施7、測試驗收8、系統交付9、等級測評10、服務供應商選擇。（10分，每個層面1分）問題2：請說明安全建設管理中定級和備案需要完成哪些工作？（5分）答案：1）應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由；（2分）2）應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定；（1分）3）應保證定級結果經過相關部門的批準；（1分）4）應將備案材料報主管部門和相應公安機關備案。（1分）033假如你是一家企業信息技術部門的運維工程師，現有一個對互聯網提供web服務的業務系統即將上線運行，該系統采用虛擬化方式部署于企業私有云平臺上。為保障該系統順利通過網絡安全等級保護測評，由你負責計算