第第PAGE\MERGEFORMAT1頁(yè)共NUMPAGES\MERGEFORMAT1頁(yè)信息安全等級(jí)評(píng)測(cè)師題庫(kù)及答案解析（含答案及解析）姓名：科室/部門(mén)/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.信息安全等級(jí)保護(hù)制度中，等級(jí)最高的系統(tǒng)是（）。

A.等級(jí)I系統(tǒng)

B.等級(jí)II系統(tǒng)

C.等級(jí)III系統(tǒng)

D.等級(jí)V系統(tǒng)

2.在進(jìn)行信息系統(tǒng)定級(jí)時(shí)，以下哪項(xiàng)因素不屬于定級(jí)依據(jù)？（）

A.系統(tǒng)重要程度

B.數(shù)據(jù)敏感性

C.用戶(hù)數(shù)量

D.運(yùn)行環(huán)境復(fù)雜度

3.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)存在安全漏洞，應(yīng)如何處理？（）

A.立即停止測(cè)評(píng)

B.由測(cè)評(píng)機(jī)構(gòu)自行修復(fù)

C.要求受測(cè)單位修復(fù)后重新測(cè)評(píng)

D.直接出具不通過(guò)報(bào)告

4.等級(jí)保護(hù)測(cè)評(píng)報(bào)告的核心內(nèi)容不包括（）？

A.測(cè)評(píng)依據(jù)

B.測(cè)評(píng)范圍

C.系統(tǒng)定級(jí)結(jié)果

D.用戶(hù)操作手冊(cè)

5.等級(jí)保護(hù)測(cè)評(píng)中，哪種測(cè)試方法不屬于技術(shù)測(cè)評(píng)范疇？（）

A.滲透測(cè)試

B.設(shè)備配置核查

C.安全策略審查

D.用戶(hù)訪(fǎng)談

6.信息系統(tǒng)備案應(yīng)在系統(tǒng)試運(yùn)行后（）內(nèi)完成。（）

A.5日

B.10日

C.15日

D.30日

7.等級(jí)保護(hù)測(cè)評(píng)中，關(guān)于“系統(tǒng)定級(jí)”的描述，以下正確的是（）？

A.定級(jí)由測(cè)評(píng)機(jī)構(gòu)決定

B.定級(jí)需用戶(hù)單位確認(rèn)

C.定級(jí)結(jié)果與測(cè)評(píng)費(fèi)用掛鉤

D.定級(jí)無(wú)需書(shū)面記錄

8.等級(jí)保護(hù)測(cè)評(píng)中，關(guān)于“安全策略”的審查，重點(diǎn)關(guān)注以下哪項(xiàng)？（）

A.策略文檔是否美觀

B.策略是否與系統(tǒng)定級(jí)匹配

C.策略是否包含公司logo

D.策略是否由管理員制定

9.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)未落實(shí)“最小權(quán)限原則”，應(yīng)如何記錄？（）

A.作為一般發(fā)現(xiàn)項(xiàng)

B.作為重要發(fā)現(xiàn)項(xiàng)

C.不予記錄

D.要求用戶(hù)單位解釋后記錄

10.等級(jí)保護(hù)測(cè)評(píng)報(bào)告的“測(cè)評(píng)結(jié)論”部分，以下哪項(xiàng)表述不規(guī)范？（）

A.“系統(tǒng)符合等級(jí)保護(hù)基本要求”

B.“系統(tǒng)需整改XX項(xiàng)后符合要求”

C.“系統(tǒng)存在重大安全問(wèn)題，建議降級(jí)”

D.“系統(tǒng)定級(jí)為等級(jí)III，符合要求”

11.等級(jí)保護(hù)測(cè)評(píng)中，關(guān)于“應(yīng)急響應(yīng)預(yù)案”的測(cè)評(píng)，以下哪項(xiàng)是關(guān)鍵內(nèi)容？（）

A.預(yù)案是否包含公司名稱(chēng)

B.預(yù)案是否明確響應(yīng)流程

C.預(yù)案是否配有圖片

D.預(yù)案是否由財(cái)務(wù)部門(mén)制定

12.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)向用戶(hù)單位提供（）份測(cè)評(píng)報(bào)告？（）

A.1份

B.2份

C.3份

D.測(cè)評(píng)雙方協(xié)商確定

13.等級(jí)保護(hù)測(cè)評(píng)中，關(guān)于“系統(tǒng)架構(gòu)圖”的核查，主要目的是（）？

A.確認(rèn)系統(tǒng)設(shè)計(jì)美觀

B.了解系統(tǒng)組件間安全隔離情況

C.核查系統(tǒng)是否包含公司logo

D.評(píng)估系統(tǒng)開(kāi)發(fā)成本

14.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)存在“弱口令”問(wèn)題，應(yīng)如何記錄？（）

A.作為一般發(fā)現(xiàn)項(xiàng)

B.作為重要發(fā)現(xiàn)項(xiàng)

C.不予記錄

D.要求用戶(hù)單位解釋后記錄

15.等級(jí)保護(hù)測(cè)評(píng)中，關(guān)于“物理環(huán)境”的測(cè)評(píng)，以下哪項(xiàng)不屬于核查內(nèi)容？（）

A.機(jī)房門(mén)禁系統(tǒng)

B.服務(wù)器擺放整齊度

C.消防設(shè)施有效性

D.操作人員培訓(xùn)記錄

16.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)提前（）通知用戶(hù)單位測(cè)評(píng)安排？（）

A.3日

B.5日

C.7日

D.10日

17.等級(jí)保護(hù)測(cè)評(píng)報(bào)告的“整改建議”部分，以下哪項(xiàng)表述不規(guī)范？（）

A.“建議修復(fù)XX漏洞”

B.“建議加強(qiáng)XX策略”

C.“建議購(gòu)買(mǎi)XX產(chǎn)品”

D.“建議制定XX預(yù)案”

18.等級(jí)保護(hù)測(cè)評(píng)中，關(guān)于“系統(tǒng)定級(jí)”的爭(zhēng)議處理，以下正確的是（）？

A.由測(cè)評(píng)機(jī)構(gòu)重新定級(jí)

B.由用戶(hù)單位自行決定

C.由公安機(jī)關(guān)協(xié)調(diào)定級(jí)

D.由行業(yè)協(xié)會(huì)仲裁定級(jí)

19.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)使用（）進(jìn)行測(cè)評(píng)？（）

A.用戶(hù)單位的測(cè)試賬號(hào)

B.測(cè)評(píng)機(jī)構(gòu)自制的測(cè)試工具

C.測(cè)評(píng)機(jī)構(gòu)授權(quán)的測(cè)評(píng)工具

D.公安機(jī)關(guān)提供的測(cè)評(píng)工具

20.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)保留測(cè)評(píng)過(guò)程記錄，保存期限不少于（）？（）

A.1年

B.2年

C.3年

D.5年

二、多選題（共15分，多選、錯(cuò)選不得分）

21.等級(jí)保護(hù)測(cè)評(píng)中，以下哪些屬于系統(tǒng)定級(jí)依據(jù)？（）

A.系統(tǒng)重要程度

B.數(shù)據(jù)敏感性

C.用戶(hù)數(shù)量

D.運(yùn)行環(huán)境復(fù)雜度

E.系統(tǒng)開(kāi)發(fā)成本

22.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查以下哪些安全策略？（）

A.訪(fǎng)問(wèn)控制策略

B.數(shù)據(jù)備份策略

C.安全審計(jì)策略

D.應(yīng)急響應(yīng)策略

E.員工保密協(xié)議

23.等級(jí)保護(hù)測(cè)評(píng)中，關(guān)于“技術(shù)測(cè)評(píng)”，以下哪些方法屬于滲透測(cè)試范疇？（）

A.黑盒測(cè)試

B.白盒測(cè)試

C.灰盒測(cè)試

D.模糊測(cè)試

E.漏洞掃描

24.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查以下哪些物理環(huán)境要素？（）

A.機(jī)房門(mén)禁系統(tǒng)

B.服務(wù)器擺放整齊度

C.消防設(shè)施有效性

D.操作人員培訓(xùn)記錄

E.機(jī)房溫濕度控制

25.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)存在以下哪些問(wèn)題，應(yīng)作為重要發(fā)現(xiàn)項(xiàng)記錄？（）

A.存在弱口令

B.未落實(shí)最小權(quán)限原則

C.未制定應(yīng)急響應(yīng)預(yù)案

D.數(shù)據(jù)備份頻率不合規(guī)

E.安全審計(jì)日志不完整

三、判斷題（共10分，每題0.5分）

26.信息安全等級(jí)保護(hù)制度適用于所有信息系統(tǒng)。（）

27.等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)必須是公安機(jī)關(guān)認(rèn)證的第三方機(jī)構(gòu)。（）

28.系統(tǒng)定級(jí)結(jié)果由用戶(hù)單位自行決定，無(wú)需測(cè)評(píng)機(jī)構(gòu)參與。（）

29.等級(jí)保護(hù)測(cè)評(píng)報(bào)告必須包含用戶(hù)單位的蓋章。（）

30.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)可以要求用戶(hù)單位支付額外費(fèi)用。（）

31.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查系統(tǒng)是否安裝殺毒軟件。（）

32.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查系統(tǒng)是否使用正版軟件。（）

33.等級(jí)保護(hù)測(cè)評(píng)報(bào)告的“測(cè)評(píng)結(jié)論”部分，可以直接建議用戶(hù)單位降級(jí)。（）

34.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查系統(tǒng)是否設(shè)置密碼復(fù)雜度要求。（）

35.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查系統(tǒng)是否提供安全培訓(xùn)記錄。（）

四、填空題（共10空，每空1分，共10分）

36.信息安全等級(jí)保護(hù)制度的核心原則是________和________。

37.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查系統(tǒng)的________和________。

38.等級(jí)保護(hù)測(cè)評(píng)報(bào)告的“測(cè)評(píng)依據(jù)”部分，需引用________和________。

39.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查系統(tǒng)的________和________。

40.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查系統(tǒng)的________和________。

五、簡(jiǎn)答題（共30分）

41.簡(jiǎn)述等級(jí)保護(hù)測(cè)評(píng)中“系統(tǒng)定級(jí)”的流程。（10分）

42.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)應(yīng)核查哪些安全策略？簡(jiǎn)述核查要點(diǎn)。（10分）

43.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)存在安全漏洞，應(yīng)如何處理？請(qǐng)簡(jiǎn)述處理流程。（10分）

六、案例分析題（共25分）

案例背景：

某金融機(jī)構(gòu)部署了一套核心業(yè)務(wù)系統(tǒng)，系統(tǒng)處理包括客戶(hù)賬戶(hù)信息、交易流水等敏感數(shù)據(jù)。系統(tǒng)運(yùn)維部門(mén)反映，近期多次出現(xiàn)登錄失敗日志，且部分交易記錄存在異常。公安機(jī)關(guān)要求該機(jī)構(gòu)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，測(cè)評(píng)機(jī)構(gòu)發(fā)現(xiàn)系統(tǒng)存在以下問(wèn)題：

-用戶(hù)默認(rèn)密碼未修改；

-未落實(shí)最小權(quán)限原則，部分管理員賬號(hào)可訪(fǎng)問(wèn)非必要數(shù)據(jù)；

-未制定應(yīng)急響應(yīng)預(yù)案；

-數(shù)據(jù)備份僅每日全量備份，未設(shè)置增量備份。

問(wèn)題：

1.結(jié)合案例，分析系統(tǒng)可能存在的安全風(fēng)險(xiǎn)。（6分）

2.針對(duì)案例中提出的問(wèn)題，提出整改建議，并說(shuō)明依據(jù)。（12分）

3.總結(jié)該案例對(duì)金融機(jī)構(gòu)等級(jí)保護(hù)工作的啟示。（7分）

參考答案及解析

參考答案

一、單選題

1.D

2.C

3.C

4.D

5.D

6.D

7.B

8.B

9.B

10.C

11.B

12.B

13.B

14.B

15.D

16.C

17.C

18.C

19.C

20.B

二、多選題

21.ABCD

22.ABCD

23.ABCD

24.ABC

25.ABCDE

三、判斷題

26.√

27.√

28.×

29.√

30.×

31.√

32.√

33.×

34.√

35.√

四、填空題

36.最小化風(fēng)險(xiǎn)；自主保護(hù)

37.訪(fǎng)問(wèn)控制；安全審計(jì)

38.《信息安全等級(jí)保護(hù)管理辦法》；相關(guān)標(biāo)準(zhǔn)

39.物理環(huán)境；邏輯環(huán)境

40.安全策略；應(yīng)急響應(yīng)

五、簡(jiǎn)答題

41.答：

①用戶(hù)單位提交定級(jí)申請(qǐng)；

②測(cè)評(píng)機(jī)構(gòu)進(jìn)行訪(fǎng)談，了解系統(tǒng)情況；

③測(cè)評(píng)機(jī)構(gòu)根據(jù)《信息安全等級(jí)保護(hù)管理辦法》定級(jí)規(guī)則，協(xié)助用戶(hù)單位確定系統(tǒng)等級(jí)；

④用戶(hù)單位確認(rèn)定級(jí)結(jié)果，并書(shū)面記錄。

解析：本題考查系統(tǒng)定級(jí)流程，需結(jié)合培訓(xùn)中“系統(tǒng)定級(jí)”模塊內(nèi)容，流程包括申請(qǐng)、訪(fǎng)談、定級(jí)、確認(rèn)四個(gè)步驟。

42.答：

測(cè)評(píng)機(jī)構(gòu)應(yīng)核查以下安全策略：

①訪(fǎng)問(wèn)控制策略（核查是否落實(shí)身份認(rèn)證、權(quán)限控制等）；

②數(shù)據(jù)備份策略（核查備份頻率、存儲(chǔ)方式等）；

③安全審計(jì)策略（核查是否記錄關(guān)鍵操作日志）；

④應(yīng)急響應(yīng)策略（核查是否制定應(yīng)急預(yù)案）。

解析：本題考查安全策略核查要點(diǎn)，需結(jié)合培訓(xùn)中“安全策略”模塊內(nèi)容，重點(diǎn)關(guān)注策略是否與系統(tǒng)定級(jí)匹配，是否可落地執(zhí)行。

43.答：

①測(cè)評(píng)機(jī)構(gòu)記錄漏洞信息（包括漏洞類(lèi)型、嚴(yán)重程度等）；

②要求用戶(hù)單位修復(fù)漏洞，并提供修復(fù)證明；

③測(cè)評(píng)機(jī)構(gòu)重新測(cè)評(píng)，確認(rèn)漏洞修復(fù)效果；

④將漏洞修復(fù)情況記錄在測(cè)評(píng)報(bào)告中。

解析：本題考查漏洞處理流程，需結(jié)合培訓(xùn)中“技術(shù)測(cè)評(píng)”模塊內(nèi)容，流程包括記錄、修復(fù)、復(fù)測(cè)、記錄四個(gè)步驟。

六、案例分析題

1.答：

-用戶(hù)默認(rèn)密碼未修改，可能導(dǎo)致未授權(quán)訪(fǎng)問(wèn)；

-未落實(shí)最小權(quán)限原則，可能導(dǎo)致敏感數(shù)據(jù)泄露；

-未制定應(yīng)急響應(yīng)預(yù)案，可能導(dǎo)致安全事件擴(kuò)大；

-數(shù)據(jù)備份頻率不合規(guī)，可能導(dǎo)致數(shù)據(jù)丟失。

解析：本題考查安全風(fēng)險(xiǎn)分析，需結(jié)合培訓(xùn)中“安全風(fēng)險(xiǎn)”模塊內(nèi)容，從系統(tǒng)設(shè)計(jì)、運(yùn)維、應(yīng)急三個(gè)方面分析風(fēng)險(xiǎn)。

2.答：

①修改用戶(hù)默認(rèn)密碼，并要求用戶(hù)設(shè)置復(fù)雜度密碼；

②落實(shí)最小權(quán)限原則，限制管理員賬號(hào)訪(fǎng)問(wèn)范圍；

③制定應(yīng)急響應(yīng)預(yù)案，明確響應(yīng)流程和人員職責(zé)；

④設(shè)置增量備份，提高數(shù)據(jù)恢復(fù)效率。

依據(jù)：

-根據(jù)《信息安全等級(jí)保護(hù)管理辦法》第X條，系統(tǒng)應(yīng)落實(shí)身份認(rèn)證和權(quán)限控制；

-根據(jù)[行業(yè)標(biāo)