2025年信息系统安全专家CA系统安全基线配置专题试卷及解析.pdfVIP

2025年信息系统安全专家CA系统安全基线配置专题试卷及解析1

2025年信息系统安全专家CA系统安全基线配置专题试卷

及解析

2025年信息系统安全专家CA系统安全基线配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在CA系统安全基线配置中，以下哪项措施是防止私钥泄露的最基本要求？

A、定期更换公钥

B、使用硬件安全模块（HSM）存储私钥

C、限制证书有效期

D、启用证书透明度日志

【答案】B

【解析】正确答案是B。HSM提供物理和逻辑双重保护，是私钥存储的最佳实践。

A选项公钥无需保护；C选项限制有效期不能防止私钥泄露；D选项证书透明度主要防

止恶意签发。知识点：私钥保护机制。易错点：混淆公钥与私钥的保护要求。

2、CA系统基线配置中，关于证书撤销列表（CRL）的发布间隔，最佳实践建议是？

A、每年发布一次

B、每月发布一次

C、每天发布一次

D、实时发布

【答案】C

【解析】正确答案是C。每天发布CRL在安全性和性能间取得平衡。A/B选项间

隔过长可能导致已撤销证书仍被信任；D选项实时发布对系统负载过大。知识点：证书

生命周期管理。易错点：忽视系统性能与安全性的平衡。

3、在CA系统网络隔离配置中，以下哪项不符合安全基线要求？

A、CA服务器与公网直接连接

B、使用防火墙限制管理端口访问

C、部署DMZ隔离对外服务

D、实施网络分段策略

【答案】A

【解析】正确答案是A。CA服务器必须与公网隔离。B/C/D都是标准网络隔离措

施。知识点：CA系统网络架构安全。易错点：误认为CA服务器需要直接公网访问。

4、关于CA系统操作系统的安全加固，以下哪项是基线配置的必选项？

A、安装所有可选组件

B、禁用不必要的服务

C、使用默认密码策略

2025年信息系统安全专家CA系统安全基线配置专题试卷及解析2

D、关闭系统日志功能

【答案】B

【解析】正确答案是B。禁用不必要服务可减少攻击面。A/C/D都违反安全基线。

知识点：操作系统安全加固。易错点：忽视最小权限原则。

5、CA系统审计日志的保存期限，根据等保2.0要求应至少为？

A、30天

B、90天

C、180天

D、365天

【答案】C

【解析】正确答案是C。等保2.0三级要求审计日志保存不少于6个月。A/B选项

时间不足；D选项超过要求但非基线标准。知识点：合规性要求。易错点：混淆不同等

级的保护要求。

6、在CA系统备份策略中，以下哪项不符合基线要求？

A、仅备份证书数据

B、实施异地备份

C、定期测试备份恢复

D、加密备份数据

【答案】A

【解析】正确答案是A。必须备份系统全量数据。B/C/D都是标准备份要求。知识

点：灾难恢复。易错点：忽视系统配置备份的重要性。

7、CA系统访问控制中，关于特权账户管理，最佳实践是？

A、共享root账户

B、使用个人账户+sudo提权

C、禁用所有特权账户

D、允许普通用户直接登录

【答案】B

【解析】正确答案是B。个人账户+sudo实现权责分离。A/C/D都违反最小权限原

则。知识点：访问控制模型。易错点：忽视审计可追溯性。

8、在CA系统密钥长度配置中，当前推荐的最小RSA密钥长度是？

A、1024位

B、2048位

C、4096位

D、512位

【答案】B

2025年信息系统安全专家CA系统安全基线配置专题试卷及解析3

【解析】正确答案是B。2048位是当前安全基线。A/D已被弃用；C可选但非基线

要求。知识点：密码学安全强度。易错点：使用过时的密钥长度标准。