等保2.0练习题3.pdf

1 一、网络安全法 一、单选题 1、中华人民共和国网络安全法自（）起施行。B A2016 年 11 月 7 日 B2017 年 6 月 1 日 C2017 年 1 月 1 日 D2016 年 12 月 1 日 2、依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的（）严格保密，不得泄露.出售或者非法向他人提供。D A个人信息 B隐私 C商业秘密 D以上均是 3、在中华人民共和国境内建设、运营、（）和使用网络以及网络安全的监督管理，适用本 法。A A维护 B运维 C运营 D建设 4、根据网络安全法的规定，关键信息基础设施的运营者在中华人民共和国境内运营中 收集和产生的个人信息和重要数据应当在（）。因业务需要，确需向境外提供的，应当按照 国家网信部门会同国务院有关部门制定的办法进行安排评估，法律、行政法规另有规定，依 照其规定。D A境外储存 B外部储存器储存 C第三方储存 D境内储存 5、国家鼓励开发网络数据安全保护和利用技术，促进（）开发，推动技术创新和经济社会 发展。D A公共图书馆资源 B国家数据资源 C公共学校资源 D公共数据资源 6、国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提 高社会的（）和水平，形成全社会共同参与促进网络安全的良好环境。A A网络安全意识 B网络诚信意识 C网络社会道德意识 2 D网络健康意识 7、根据网络安全法的规定，国家实行网络安全（）保护制度。A A等级 B分级 C结构 D行政级别 8、网络安全法规定，各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教 育，并（）有关单位做好网络安全宣传教育工作。A A指导、督促 B支持、指导 C鼓励、指导 D支持、引导 9、国家建立和完善网络安全标准体系，（）和国务院其他有关部门根据各自的职责，组织 制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。B A电信研究机构 B国务院标准化行政主管部门 C网信部门 D电信部门 10、网络产品、服务的提供者不得设置（），发现其网络产品、服务存在安全缺陷、漏洞等 风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。A A恶意程序 B风险程序 C病毒程序 D攻击程序 11、国家推进网络安全（）建设，鼓励有关企业、机构开展网络安全认证、检测和风险评 估等安全服务。C A社会化识别体系 B社会化评估体系 C社会化服务体系 D社会化认证体系 12.根据网络安全法的规定，（）负责统筹协调网络安全工作和相关监督管理工作。C A中国电信 B公安部门 C国家网信部门 D国务院电信主管部门 13.根据网络安全法的规定，（）应当为公安机关、国家安全机关依法维护国家安全和 侦查犯罪的活动提供技术支持和协助。D3 A电信科研机构 B电信企业 C网络合作商 D网络运营者 14、网络产品、服务具有（）的，其提供者应当向用户明示并取得同意，涉及用户个人信 息的，还应当遵守网络安全法和有关法律、行政法规关于个人信息保护的规定。B A公开用户资料功能 B收集用户信息功能 C提供用户家庭信息功能 D用户填写信息功能 15、国家实施网络（）战略，支持研究开发安全、方便的电子身份认证技术，推动不同电 子身份认证之间的互认。B A安全可信 B可信身份 C安全身份 D认证身份 16、网络产品、服务应当符合相关国家标准的（）要求。D A自觉性 B规范性 C建议性 D强制性 17、网络关键设备和网络安全专业产品应当按照相关国家标准的强制性要求，由具备资格的 机构（）或者安全检查符合要求后，方可销售或提供。B A认证设备合格 B安全认证合格 C认证网络合格 D认证产品合格 18、关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家 网信部门会同国务院有关部门组织的（）。C A国家采购审查 B国家网信安全审查 C国家安全审查 D国家网络审查 19、关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可 能存在的风险（）至少进行一次检查评估，并将检查评估情况和改进措施报送相关负责关 键信息基础设施安全保护工作的部门。C A四年 B两年 4 C每年 D三年 20、国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事（）的活动，为未成年人提供安全、健康的网络环境。D A针对未成年人黄赌毒 B灌输未成年人错误网络思想 C侵害未成年人受教育权 D危害未成年人身心健康 21、国家（）关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。C A投资 B引导 C鼓励 D支持 22、网络相关行业组织按照章程，（），制定网络安全行为规范，指导会员加强网络安全保 护，提供网络安全保护水平，促进行业健康发展。C A提升行业标准 B宣传行业规范 C加强行业自律 D遵守行业规范 23、关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（），明 确安全和保密义务与责任。C A保密合同 B安全服务合同 C安全保密协议 D安全责任条款 二、多选题 24、网络安全法所称网络，是指由计算机或者其他信息终端及相关设备组成的按照一定 的规则和程序对信息进行（）的系统。ABCD A存储 B传输、交换 C处理 D收集 25、国家支持网络运营者之间在网络安全信息（）等方面进行合作，提高网络运营者的安 全保障能力。ABCD A分析 B通报 C应急处理 D收集 5 26、跟进网络安全法的规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加 大投入，扶持重点网络安全技术产业和项目，（ABCD）A支持企业、研究机构和高等学校等参与国家网络安全技术创新项目 B支持网络安全技术的研究开发和应用 C推广安全可信的网络产品和服务 D保护网络技术知识产权 27、建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技 术措施（BCD）。A同步运维 B同步使用 C同步建设 D同步规划 28、国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行 业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害（）的关键信 息基础设施，在网络安全等级保护制度的基础上，实行重点保护。ACD A公共利益 B群众利益 C国计民生 D国家安全 29、网络运营者应当制定网络安全事件应急预案，及时处置（）安全风险，在发生危害网 络的安全事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报 告。ABCD A系统漏洞 B网络攻击 C网络侵入 D计算机病毒 30、国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列（）措 施。ABCD A对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助 B促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之 间的网络安全信息共享 C对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安 全服务机构对网络存在的安全风险进行检测评估 D定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的 水平和协同配合能力 31、根据网络安全法的规定，任何个人和组织（）ABC A不得从事非法入侵他人网络、干扰他人网络正常功能等危害网络安全的活动 B不得提供专门用于从事侵入网络、干扰网络正常功能等危害网络安全活动的程序 6 C明知他人从事危害网络安全的活动的，不得为其提供技术支持 D明知他人从事危害网络安全的活动的，可以为其进行广告推广 32、国家支持（）等教育培训机构开展国家网络安全相关教育与培训，采取多种方式培养 网络安全人才，促进网络安全人才交流。BCD A中学学校 B职业学校 C高等学校 D企业 33、网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程 序，并根据网络安全风险的特点和可能造成的危害，采取下列（）措施。ABC A要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测 B向社会发布网络安全风险预警，发布避免、减轻危害的措施 C组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的 可能性，影响范围和危害程度 D要求单位和个人协助抓跑嫌犯 34、网络运营者收集、使用个人信息，应当遵循（）的原则，公开收集、使用规则，明示 收集、使用信息的目的、方式和范围，并经被收集者同意。BCD A公平 B正当 C合法 D必要 35、任何个人和组织应当对其使用网络的行为负责，不得设立用于（）违法犯罪活动的网 站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其 他违法犯罪活动的信息。ABCD A实施诈骗 B制作或者销售违禁物品 C制作或者销售管制物品 D传授犯罪方法 36、根据 网络安全法 的规定，关键信息基础设施的运营者应当履行（）安全保护义务。ABCD A设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背 景审查 B对重要系统和数据库进行容灾备份 C制定网络安全事件应急预案，并定期进行演练 D定期对从业人员进行网络安全教育、技术培训和技能考核 37、网络运营者不得（）其收集的个人信息，未经被收集者同意，不得向他人提供个人信 息。但是，经过处理无法识别特定个人且不能复原的除外。ACD A泄露 B使用 7 C损毁 D篡改 38、网络运营者违反网络安全法的规定，有下列行为（）之一的，由有关主管部门责 令改正，拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人 员和其他直接负责人员，处一万元以上十万元以下罚款。ABD A拒绝向公安机关、国家安全机关提供技术支持和协助的 B拒绝、阻碍有关部门依法实施监督检查的 C拒绝配合公安机关提供技术密码的 D不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消 除等处置措施的 39、网络安全法所称网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干 扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的（）的能力。ABC A可用性 B、完整性 C、保密性 D、真实性 40、网络运营者为用户（），在与用户签订协议或者确认提供服务时，应当要求用户提供真 实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。ABD A办理网络接入、域名注册服务 B办理固定电话、移动电话等入网手续 C办理监听业务 D为用户提供信息发布、即时通讯等服务 41、根据网络安全法的规定，有下列（）行为之一的，由有关主管部门责令改正，给 予警告，拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下的罚款，对 直接负责的主管人员处一万元以上十万元一下的罚款。ABCD A擅自终止为其产品、服务提供安全维护的 B未按照规定及时告知用户并向有关主管部门报告的 C设置恶意程序的 D对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施的 42、网络运营者应当按照网络安全等级保护制度的要求，履行（）安全保护义务，保障网 络免受干扰、破坏或者未经授权的访问码，防止网络数据泄露或者被剽窃、篡改。ABCD A采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施 B制定内部安全管理制度和操作规程，确定我拿过来安全负责人，落实网络安全保护责任 C采取数据分类、重要数据备份和加密等措施 D采取检测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络 日志不少于六个月。43、境外的机构、组织、个人从事（）等危害中华人民共和国的关键信息基础设施的活动，8 造成严重后果的，依法追究法律责任，国务院公安部门和有关部门并可以决定对该机构、组 织、个人采取冻结财产或者其他必要的制裁措施。ABCD A攻击 B干扰 C侵入 D破坏 三、判断题 44、国家机关政务网络的运营者不履行网络安全法规定的网络安全保护义务的，由其同 级机关或者有关机关责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分。（）B A对 B错 45、国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提供重 点领域的网络安全政策、工作任务和措施。（）A A对 B错 46、存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守网络安全法外，还应当遵守保密法律、行政法规的规定。（）B A对 B错 47、根据网络安全法的规定，市级以上地方人民政府有关部门的网络安全保护和监督管 理职责，按照国家有关规定确定。（）B A对 B错 48、根据网络安全法的规定，有关部门可以对举报人的相关信息予以保密，保护举报人 的合法权益。（）B A对 B错 49、任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害 网络安全，不得利用网络从事危害国家安全、荣誉和利益的活动。（）A A对 B错 50、跟进网络安全法的规定，大众传播媒介应当有针对性地面向社会进行网络安全宣传 教育。（）A A对 B错 9 51、国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。（）A A对 B错 52、网信部门和有关部门在履行网络安全保护职责中获取的信息，用于维护网络安全的需要，也可以用于其他用途。（）B A对 B错 53、网络运营者应当对其收集的用户信息严格保密，并建立健全的用户信息保护制度。A A对 B错 二、定级指南 一、单选题 1、根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公 民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为几级：（）。D A2 B3 C4 D5 10 2、在等级保护对象定级工作一般工作流程中，安全保护等级初步确定为（）及以上的等级 保护对象，其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核，最终确 定其安全保护等级。B A第一级 B第二级 C第三级 D第四级 3、根据定级指南，物联网主要包感知、（）、处理应用等特征要素，需将以上要素作为一个 整体对象定级，各要素不单独定级。A A网络传输 B网络设施 C现场控制 D现场采集 4、以下哪一项不属于侵害国家安全的事项：（）D A影响国家政权稳固和领土完整、海洋权益完整 B影响国家统一、民族团结和社会稳定 C影响国家社会主义市场经济秩序和文化实力 D影响人民群众的生活秩序 5、以下哪一项不属于侵害社会秩序的事项：（）A A影响国家经济竞争力和科技实力 B影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫 生秩序 C影响公共场所的活动秩序、公共交通秩序；D影响人民群众的生活秩序 6、以下哪一项不属于影响公共利益的事项：（）D A影响社会成员使用公共设施 B影响社会成员获取公开信息资源 C影响社会成员接受公共服务等方面 D影响国家重要的安全保卫工作 7、业务信息安全受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安 全造成严重损害,在等保定义中应定义为第几级（）D A第一级 B第二级 C第三级 D第四级 8、业务信息安全受到破坏后，会对国家安全造成特别严重损害,在等保定义中应定义为第几 级（）D A第二级 11 B第三级 C第四级 D第五级 9、业务信息安全受到破坏后，会对公民、法人和其他组织的合法权益造成一般损害,但不损 害国家安全、社会秩序和公共利益，在等保定义中应定义为第几级（）A A第一级 B第二级 C第三级 D第四级 10、系统服务安全受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者 对社会秩序和公共利益造成一般损害，但不损害国家安全,在等保定义中应定义为第几级（）A A第二级 B第三级 C第四级 D第五级 11、系统服务安全受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造 成一般损害,在等保定义中应定义为第几级（）C A第一级 B第二级 C第三级 D第四级 12、对公民、法人和其他组织的合法权益造成一般损害，定义为几级（）A A第一级 B第二级 C第三级 D第四级 13、对公民、法人和其他组织的合法权益造成严重损害，定义为几级（）B A第一级 B第二级 C第三级 D第四级 14、对公民、法人和其他组织的合法权益造成特别严重损害，定义为几级（）B A第一级 B第二级 C第三级 D第四级 15、对社会秩序、公共利益造成一般损害，定义为几级（）B 12 A第一级 B第二级 C第三级 D第四级 16、对社会秩序、公共利益造成严重损害，定义为几级（）C A第一级 B第二级 C第三级 D第四级 17、对社会秩序、公共利益造成特别严重损害，定义为几级（）D A第一级 B第二级 C第三级 D第四级 18、对国家安全造成一般损害，定义为几级（）C A第一级 B第二级 C第三级 D第四级 19、对国家安全造成严重损害，定义为几级（）D A第一级 B第二级 C第三级 D第四级 20、对国家安全造成特别严重损害，定义为几级（）D A第二级 B第三级 C第四级 D第五级 21、涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统，原则上其安全保 护等级不低于（）。C A第一级 B第二级 C第三级 D第四级 22、网络安全等级保护工作直接作用的对象，称为：（）C A客体 13 B客观方面 C等级保护对象 D系统服务 23、受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益,称为（）A A客体 B客观方面 C等级保护对象 D系统服务 24、对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等,称为（）B A客体 B客观方面 C等级保护对象 D系统服务 二、多选题 25、等级保护对象的定级要素包括：（）AB A受侵害的客体 B对客体的侵害程度 C社会秩序、公共利益 D国家安全 26、等级保护对象受到破坏时所侵害的客体包括的三个方面为：（）ABC A 公民、法人和其他组织的合法权益 B社会秩序、公共利益 C国家安全 D个人利益 27、等级保护对象受到破坏后对客体造成侵害的程度归结为哪三种（）BCD A.造成轻微损害 B造成一般损害 C造成严重损害 D造成特别严重损害 28、作为定级对象的信息系统应具有如下基本特征：（）BCD A、具有唯一确定的安全责任单位 B、具有信息系统的基本要素 C、承载单一或相对独立的业务应用 D、单位具有独立的法人 29、根据定级指南，工业控制系统主要包括的特征要素有：（）ABCD A现场采集/执行 14 B现场控制 C过程控制 D生产管理 30、对于大型工业控制系统，可根据（）等因素划分为多个定级对象。ABCD A系统功能 B责任主体 C控制对象 D生产厂商 31、根据定级指南，定级对象的安全主要包括哪两个方面的安全：（）AB A、业务信息安全 B、系统服务安全 C、系统运维安全 D、系统建设安全 32、定级方法的具体流程包括：（）BCD A确定业务系统保护等级 B确定收到破坏时所侵害的客体 C确定对客体的侵害程度 D确定安全保护等级 33、业务信息安全和系统服务安全受到破坏后，可能产生以下危害后果：（）ABCD A、影响行使工作职能 B导致业务能力下降 C引起法律纠纷 D导致财产损失 34、定级对象受到破坏时，侵害国家安全的事项包括：（）ABCD A影响国家政权稳固和领土主权、海洋权益完整 B影响国家统一、民族团结和社会稳定 C影响国家社会主义市场经济秩序和文化实力 D其他影响国家安全的事项 35、定级对象受到破坏时，侵害社会秩序的事项包括：（）ABCD A影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫 生秩序 B影响公共场所的活动秩序、公共交通秩序 C影响人民群众的生活秩序 D其他影响社会秩序的事项 36、定级对象受到破坏时，侵害公共利益的事项包括以下方面：（）ABCD A影响社会成员使用公共设施 B影响社会成员获取公开数据资源 15 C影响社会成员接受公共服务等方面 D其他影响公共利益的事项 三、实施指南 一、单选题 1、GB/T 25058-2019信息安全技术网络安全等级保护实施指南的发布时间是：（）B A2019.5.10 B2019.8.30 C2019.12.1 D2020.3.1 2、安全等级保护的核心是将（）划分等级，按标准进行建设、管理和监督。C A客体 B客观方面 C等级保护对象 D系统服务 3、在安全等级保护确定中，以下哪项不是定级、审核和批准的子活动内容：（）A A定级对象的概述 B定级对象安全保护等级初步确定 C定级结果评审 D定级结果审核、批准 4、安全设计与实施阶段的目标是按照等级保护对象安全总体方案的要求，结合（）安全建 设项目规划，分期分布落实安全措施。C A客体 B客观方面 C等级保护对象 D系统服务 16 5、以下哪项不是安全管理制度的建设和修订的子活动内容：（）D A应用范围明确 B行为规范 C评估与完善 D安全组织确定 6、以下哪项不是安全管理机构和人员的设置的子活动内容：（）B A安全组织确定 B行为规范规定 C角色说明 D人员安全管理 7、根据实施指南，以下哪项不是运行管理职责确定的子活动内容：（）A A行为规范规定 B划分运行管理角色 C授予管理权限 D定义人员职责 8、根据实施指南，以下哪项不是变更过程控制的子活动内容：（）D A变更内容审核和审批 B建立变更过程日志 C形成变更结果报告 D明确变更类别 9、根据实施指南，以下哪项不是监控状态分析和报告的子活动内容：（）D A状态分析 B影响分析 C形成安全状态分析报告 D选择监控工具 10、根据实施指南，以下哪项不是安全改进实施的子活动内容：（）A A安全改进方案 B安全方案实施控制 C安全措施测试与验收 D配套技术文件和管理制度的修订 11、根据等级保护管理部门对等级保护对象（）、规划设计、建设实施和运行管理等过程的 监督检查要求，等级保护管理部门应按照国家、行业相关等级保护监督检查要求及标准，开 展监督检查工作。B A评估 B定级 C维护 D检查 17 12、以下哪些不是服务商选择的子活动内容：（）D A服务能力分析 B网络安全风险分析 C服务内容互斥分析 D影响分析 13、（）是等级保护实施过程中的最后环节。D A等级保护对象定级与备案阶段 B总体安全规划阶段 C安全设计与实施阶段 D定级对象终止阶段 二、多选题 14、安全等级保护实施过程中应遵循以下基本原则：（）ABCD A自主保护原则 B重点保护原则 C同步建设原则 D动态调整原则 15、哪些是属于等级保护对象实施网络安全等级保护过程中涉及的各类角色：（）ABCD A等级保护管理部门 B运营、使用单位 C网络安全服务机构 D网络安全等级测评机构 16、对等级保护对象实施保护的基本流程包括：（）ABCD A等级保护对象定级与备案阶段 B总体安全规划阶段 C安全设计与实施阶段 D安全运行与维护阶段和定级对象终止阶段 17、在实施指南，行业/领域定级工作主要包括的子活动内容有：（）ABCD A识别、分析行业/领域重要性 B识别行业/领域的主要任务 C定级指导 D定级工作部署 18、安全保护等级确定包括的内容有：（）BCD A总体安全规划 B定级、审核和批准 C形成定级报告 D定级结果备案 18 19、根据实施指南，基本安全需求确定的子活动内容主要有：（）AB A确定等级保护对象范围和分析对象 B形成基本安全需求 C重要资产分析 D综合风险分析 20、确定特殊安全需求可以采用目前成熟或流行的需求分析或风险分析方法，还可以采用以 下哪些活动：（）ABCD A重要资产分析 B重要资产安全弱点评估 C重要资产面临威胁评估 D综合风险分析 21、根据实施指南，系统验收主要包括的子活动内容有：（）ABCD A系统验收准备 B组织验收 C验收报告 D系统交付 22、根据实施指南，安全管理制度的建设和修订的子活动内容有：（）ABC A应用范围明确 B行为规范 C评估与完善 D安全组织确定 23、根据实施指南，属于安全实施过程管理的子活动内容有：（）ABCD A质量管理 B风险管理 C变更管理 D进度管理 24、根据实施指南，变更需求和影响分析的子活动内容有：（）ABCD A变更需求分析 B变更影响分析 C明确变更的类别 D制定变更方案 25、在安全状态监控中，监控对象确定的子活动内容有：（）CD A选择监控工具 B状态信息收集 C安全关键点分析 D形成监控对象列表 26、属于安全状态自查的子活动内容有：（）ABCD19 A确定自查对象和自查方法 B制定自查计划和自查方案 C安全自查实施 D安全自查结果和报告 27、信息转移、暂存和清除主要包括的子活动内容有：（）ABD A识别要转移、暂存和清除的信息资产 B信息资产转移、暂存和清除 C处理过程审批 D处理方案记录 28、存储介质的清除或销毁主要包括的子活动内容有：（）ABCD A识别要清除或销毁的介质 B确定存储介质处理方法和流程 C处理方案审批 D存储介质处理和记录 四、安全设计技术要求 一、单选题 1、根据 GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求，网络安全 等级保护等级分为几个级别：（）C A3 B4 C5 D6 2、根据 GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求，规定了网 络安全等级保护第一级到（）等级保护对象的安全设计技术要求。C A第二级 B第三级 C第四级 D第五级 20 3、根据工业控制系统登记保护安全技术设计框架，工业控制系统分为几层：（）D A一层 B二层 C三层 D四层 4、实现顶级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力，是属于（）系统安全保护环境的设计目标。A A第一级 B第二级 C第三级 D第四级 5、在第一级系统安全保护环境的基础上，增加系统安全设计、客体重用等安全功能，并实 施以用户为基本粒度的自主访问控制，使系统具有更强的自主保护能力，并保障基础计算资 源和应用程序可信，是属于（）系统安全保护环境的设计目标。B A第一级 B第二级 C第三级 D第四级 6、在第二级系统安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控 制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力，并 保障基础计算资源和应用程序可信，确保关键执行环节可信，是属于（）系统安全保护环 境的设计目标。C A第一级 B第二级 C第三级 D第四级 7、建立一个明确定义的形式化安全策略模型，将自主和强制访问控制扩展到所有主体与客 体，相应增强其他安全功能强度；将系统安全保护环境机构化为关键保护元素和非关键保护 元素，使系统具有抗渗透的能力；保障基础计算资源和应用程序可信，确保所有关键执行环 节可信，对所有可信验证结果进行动态关联感知；是属于（）系统安全保护环境的设计目 标。D A第一级 B第二级 C第三级 D第四级 8、由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系 统进行安全保护的环境称为（）B A网络安全 B定级系统安全保护环境 21 C系统服务安全 D系统建设安全 9、Service.msc 是 Windows2000/XP/2003/Vista/7/2008/8/8.1/10 系统中用来启动、终止并 设置 Windows 服务的（）A A管理策略 B控制服务 C系统服务 D管理服务 10、等保 2.0 的二级系统的安全管理中心包括（）两个层面。C A数据管理、系统管理 B中心管理、系统管理 C审计管理、系统管理 D安全管理、集中管控 11、远程接入域由移动互联系统运营使用单位通过（）技术手段远程接入。C AISP BWPAN CVPN DWMAN 12、工业控制系统分为 4 层，第（）为工业控制系统等级保护的范畴。C A01 B02 C03 D04 13、第一系统安全保护环境的设计目标是按照（）对第一系统的安全保护要求。A AGB178591999 BGB/T 202692006 CGB/T 202702006 DGB/T 20271-2006 二、多选题 14、定级系统安全保护环境由哪些构成：（）ABCD A安全计算环境 B安全区域边界 C安全通信网络 D安全管理中心 15、结合云计算功能分层框架和云计算安全特点，构建云计算安全设计防护技术框架云用户 层、访问层以及以下哪些：（）ABCD A服务层 B资源层 22 C硬件设施层 D管理层 16、在网络安全等级保护安全技术设计概述中，除了通用等级保护安全技术设计框架，还包 括以下哪些框架：（）ABCD A云计算等级保护安全技术设计框架 B移动互联等级保护安全技术设计框架 C物联网等级保护安全技术设计框架 D工业控制等级保护安全技术设计框架 17、对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要 求并定期更换的测评方法及步骤（）ABCD A检查用户在登录时是否采用了身份鉴别措施 B核查用户列表确认用户身份标识是否具有唯一性 C核查用户配置信息或测试验证是否不存在空口令用户 D核查用户鉴别信息是否具有复杂度要求并定期更换 18、“安全管理中心”要求侧重在对（）补丁升级、安全事件等集中式的分析与管控。ABCD A设备运行状况 B审计数据 C安全策略 D恶意代码 19、构建云计算安全设计防护技术框架，包括哪些方面？（）ABC A云用户层、访问层 B服务层、资源层 C硬件设施层、管理层（跨层功能）D数据层、应用层、虚拟化 20、云安全计算环境设计技术要求应包括哪些？ABC A用户账号保护 B虚拟化安全 C恶意代码防范 D应用管控 23 一、单选题 五、等保基本要求 1、GB/T22239-2019信息安全技术 网络安全等级保护基本要求 规定了网络安全等级保 护的第一级到（）等级保护对象的安全通用要求和安全扩展要求。C A第二级 B第三级 C第四级 D第五级 2、等级保护对象由低到高分为几个安全保护等级：（）D A2 个 B3 个 C4 个 D5 个 3、根据 GB/T22239-2019信息安全技术 网络安全登记保护基本要求，在第一级安全要求 中，访问控制的要求不包括：（）D A应对登录的用户分配账户和权限 B应重命名或删除默认账户，修改默认账户的默认口令 C应及时删除或停用多余的、过期的账户，避免共享账户的存在 D应关闭不需要的系统服务 4、根据第一级安全要求，无线接入设备应开启接入认证功能，并且禁止使用 WEP 方式进行 认证，如使用口令，长度不小于（）位字符。C A4 B6 C8 D10 5、根据第二级安全要求，以下哪些不是外部人员访问管理的要求：（）A A对外部人员的身份、安全背景、专业资格或资质等进行审查 B在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案 C在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开始账户、分配权 限，并登记备案 D外部人员离场后应及时清除其所有的访问权限 6、在云计算环境管理中，云计算平台的运维地点应位于（），境外对境内云计算平台实施 运维操作应遵循国家相关规定。B A美国境内 B中国境内 C新加坡境内 D英国境内 7以下哪项不是采用移动互联技术的等级保护对象其移动互联的部分：（）D 24 A移动终端 B移动应用 C无线网络 D有线网络 8、物联网通常从架构上可以分为三个逻辑层，以下哪项不是：（）D A感知层 B网络传输层 C处理应用层 D硬件设施层 9、工业控制系统层数模型，从上到下分为几个层级：（）D A2 个 B3 个 C4 个 D5 个 10、大数据系统的构成不包括以下哪方面：（）B A大数据平台 B数据储存 C大数据应用 D处理的数据集合 二、多选题 11、根据 GB/T22239-2019信息安全技术 网络安全等级保护基本要求，以下属于移动终 端的有：（）ABCD A智能手机 B平板电脑 C个人电脑 D专用终端设备 12、网络安全是通过采取必要措施，防范对网络的攻击、侵入、干扰和非法使用以及意外事 故，使网络处于稳定可靠运行的状态，以及保障网络数据的哪些方面的能力：（）BCD A独立性 B完整性 C保密性 D可用性 13、移动终端管理系统用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括：（）AD A客户端软件 B交换机 C服务器 D服务端软件 25 14、移动终端管理系统用于进行移动终端 、和 的专用软件。（）ABC A设备管理 B应用管理 C内容管理 D人员管理 15、由于哪些不同因素，不同的等级保护对象会以不同的形态出现。（）BCD A执行情况 B业务目标 C使用技术 D应用场景 16、根据 GB/T22239-2019信息安全技术 网络安全等级保护基本要求，本标准针对哪些 方面提出来安全扩展要求。（）ABCD A云计算 B移动互联 C物联网 D工业控制系统 17、根据 GB/T22239-2019，在第一级安全要求中，访问控制的要求包括：（）ABC A应对登录的用户分配账户和权限 B应重命名或删除默认账户，修改默认账户的默认口令 C应及时删除或停用多余的、过期的账户，避免共享账户的存在 D应关闭不需要的系统服务 18、根据第一级安全要求，应在工业控制系统与企业其他系统之间部署访问控制设备，配置 访问控制策略，禁止任何穿越区域边界的哪些通用网络服务：（）ABCD AE-Mail BWeb CTelnet DFTP 19、根据第二级安全要求，安全管理机构应定期进行常规安全检查，检查内容包括：（）ACD A系统日常运行 B人员配备 C系统漏洞 D数据备份 20、根据第四级安全要求，通信传输的要求包括：（）ABCD A应采用密码技术保证通信过程中数据的完整性 B应采用密码技术保证通信过程中数据的保密性 C应在通信前基于密码技术对通信的双方进行验证或认证 D应基于硬件密码模块对重要通信过程进行密码运算和密钥管理 26 六、等保测评 一、单选题 1、下列选项中属于网络管理协议的是：（）C ADES BSTMP CSNMP DRES 2、以下哪项是工具测试的方法（）C A手工核查服务器配置 B手工核查安全设备策略 C利用扫描器扫描目标系统 D对机房物理环境进行检查 3、以下测评实施不是防水测评中的要求是（）D A检查是否有除湿装置 B检查机房是否安装了水管 C检查是否安全防水检测装置 D检查机房出入口是否有专人值守 4、在第三级安全管理测评中，“人员录用”控制点需检查的管理制度是（）B A员工保密协议 B人员录用制度 C人员离岗规范 D人员考核制度 5、关于“攻击工具日益先进，攻击者需要的技能日趋下降”，不正确的观点是（）B A网络受到攻击的可能性将越来越大 B网络受到攻击的可能性将越来越小 C网络攻击无处不在 D网络风险日益严重 6、在第三级物理安全测评中，下面哪个不是“防盗窃和防破坏”控制点中的核查要点（）A A安全接地 27 B设备固定 C通信线缆隐蔽 D防盗报报警系统 7、检查“开发环境与实际运行环境是否物理分开，开发人员和测试人员是否分离”是以下哪 个控制点的测评实施内容（）D A系统建设管理 B软件外包 C人员配备 D自主软件开发 8、关于网络安全工作相关人员配备情况以下哪项是错误：（）C A需要配备一定数量的系统管理员、审计管理员和安全管理员等 B审计管理员不能承担系统账户授权工作 C安全管理员可由网络管理员兼任 D必须指派安全管理员 9、以下关于等级保护的地位和作用的说法中不正确的是（）C A是国家信息安全保障工作的基本制度、基本国策。B是开展信息安全工作的基本方法。C是提高国家综合竞争力的主要手段。D是促进信息化、维护国家信息安全的根本保障。10、安全管理测评主要采用的测评方法有（）A A访谈和核查 B访谈和测试 C核查和测试 D核查和研究 11、计算机信息网络国际联网安