2026年信息安全专家专业度测试题目.docxVIP

第PAGE页共NUMPAGES页

2026年信息安全专家专业度测试题目

一、单选题（共10题，每题2分，计20分）

1.在中华人民共和国网络安全法中，关于关键信息基础设施运营者的义务，以下哪项表述最为准确？

A.仅需在遭受网络攻击后24小时内报告事件

B.应当定期进行网络安全评估，并采取技术措施保障网络安全

C.无需对个人信息进行加密存储，由用户自行负责安全

D.可选择性地披露部分网络安全漏洞，无需通知用户

2.针对某省级政府办公系统，常见的物理安全防护措施中，以下哪项不属于《信息安全技术网络安全等级保护基本要求》（GB/T22239-2024）的强制要求？

A.机房设置生物识别门禁系统

B.服务器设备使用独立电源线路

C.限制非授权人员进入机房，但无需登记

D.配备温湿度监控系统，防止设备过热或受潮

3.某银行采用多因素认证（MFA）提升账户安全，若用户仅使用密码和短信验证码登录，未启用动态令牌，则其防护等级相当于：

A.无认证（等同于密码明文传输）

B.单因素认证（仅密码）

C.双因素认证（密码+动态令牌）

D.三因素认证（密码+短信+硬件令牌）

4.针对工业控制系统（ICS）的渗透测试，以下哪项操作可能违反法律法规？

A.在获得授权的情况下，模拟外部攻击测试防火墙配置

B.对未联网的设备进行漏洞扫描，仅用于内部安全评估

C.在测试前伪造身份，冒充黑客组织发起攻击

D.测试完成后提交详细的漏洞报告，并协助修复

5.某企业采用零信任安全架构，其核心理念是：

A.默认信任内部用户，严格限制外部访问

B.默认不信任任何用户，需逐级验证权限

C.仅信任特定IP地址段，其他流量均阻断

D.通过域控制器统一管理所有用户权限

6.在《信息安全技术数据安全能力成熟度模型》（GB/T37988-2024）中，数据全生命周期安全防护属于哪个等级的要求？

A.初始级（Level1）

B.基础级（Level2）

C.完善级（Level3）

D.优化级（Level4）

7.针对某城市智慧交通系统，以下哪项威胁属于供应链攻击？

A.黑客通过SQL注入获取数据库数据

B.嵌入在交通信号灯控制器中的后门程序

C.利用钓鱼邮件诱导运维人员泄露密码

D.对监控系统进行DDoS攻击导致服务中断

8.某医疗机构使用区块链技术存储电子病历，其主要优势不包括：

A.提高数据防篡改能力

B.降低系统运维成本

C.实现跨机构数据共享

D.自动生成患者就诊时间戳

9.在中华人民共和国个人信息保护法中，关于敏感个人信息的处理，以下哪项需额外获得个人明确同意？

A.为提供医疗服务收集患者体温数据

B.为分析用户行为收集设备ID

C.为反欺诈收集银行卡尾号

D.为身份验证收集人脸特征信息

10.某企业部署了Web应用防火墙（WAF），以下哪项场景可能被WAF误判为攻击？

A.用户使用合法SQL查询语句

B.请求包含异常HTTP头字段

C.用户使用正常登录账号访问

D.请求返回HTTP200状态码

二、多选题（共5题，每题3分，计15分）

1.在《网络安全等级保护2.0》中，针对三级等保系统，以下哪些安全措施是必须具备的？

A.数据库审计系统

B.入侵检测系统（IDS）

C.账户口令策略

D.跨区域数据备份

E.物理环境监控

2.针对某电商平台的API安全防护，以下哪些措施能够有效降低风险？

A.使用HTTPS加密传输数据

B.对API请求进行速率限制

C.采用JWT（JSONWebToken）进行身份验证

D.对敏感参数进行脱敏处理

E.忽略来自内网的API请求

3.某企业遭受勒索病毒攻击，以下哪些应急响应措施是必要的？

A.立即隔离受感染主机

B.恢复备份数据，忽略系统日志分析

C.通知执法部门调查攻击来源

D.更新所有系统补丁，防止二次感染

E.修改所有用户密码，但保留原始密钥

4.在云安全领域，以下哪些属于AWS（亚马逊云服务）的共享责任模型范畴？

A.负责保护虚拟机（EC2）上的数据

B.负责配置子网路由策略

C.负责维护物理数据中心的电力供应

D.负责加密云存储（S3）中的数据

E.负责监控云账户的登录活动

5.针对某政府网站的安全防护，以下哪些属于主动防御措施？

A.定期进行渗透测试

B.实时监控恶意流量

C.部署蜜罐诱骗攻击者

D.建立安全事件通报机制

E.使用CC攻击防护服务

三、判断题（共10题，每题1分，计10分）

1.在中华人民共和国数据安全法中，数据处理活动仅指对已收集的数据进行存储，不涉及传输或共享。

（正确/错误）

2.零信任架构的核心是“从不信任，始终