2026年关键基础设施安全培训能力评估.docxVIP

关键基础设施安全培训能力评估

考试时间：______分钟总分：______分姓名：______

一、选择题（每题1分，共20分。下列每题选项中，只有一项符合题意）

1.以下哪个选项不属于关键基础设施的定义范畴？

A.电网

B.通信网络

C.商业银行

D.大型购物中心

2.关键基础设施面临的主要安全威胁类型中，以下哪项不属于网络攻击类别？

A.分布式拒绝服务攻击（DDoS）

B.数据泄露

C.跨站脚本（XSS）

D.重启服务

3.《中华人民共和国网络安全法》适用于中华人民共和国境内网络运营者网络安全保护活动，以下哪个选项不属于该法调整的范围？

A.通过网络提供新闻信息服务

B.从事网络接入服务

C.利用网络销售商品或者提供服务等经营行为

D.个人进行非经营性互联网活动

4.等级保护制度是我国网络安全保障的基本制度，其中三级等保适用于哪些选项？（多选）

A.关键信息基础设施运营者

B.影响或可能影响国家安全、公共利益的网络和信息系统

C.用户规模较小的网络

D.存在大量个人信息的网络

5.以下哪种加密算法属于对称加密算法？

A.RSA

B.AES

C.ECC

D.SHA-256

6.身份认证技术的目的是确认用户或实体的真实身份，以下哪种技术属于多因素认证的范畴？

A.用户名密码认证

B.指纹识别

C.知识密码认证（如口令）

D.以上都是

7.以下关于网络访问控制（NAC）的描述，哪项是错误的？

A.NAC可以在用户或设备访问网络资源前进行身份验证和安全检查。

B.NAC可以基于用户身份、设备类型、位置等因素实施差异化访问策略。

C.NAC的主要目的是提高网络管理的便捷性，安全性是次要考虑。

D.NAC有助于实现最小权限原则。

8.以下哪项措施不属于物理安全防护的范畴？

A.门禁控制系统

B.视频监控系统

C.数据加密传输

D.机房环境监控（温湿度）

9.安全信息与事件管理（SIEM）系统的主要功能不包括：

A.收集和分析来自不同安全设备和系统的日志。

B.实时监控安全事件，并进行告警。

C.自动执行安全响应动作。

D.定期生成安全审计报告。

10.风险评估过程通常包含哪些主要步骤？（多选）

A.资产识别与价值评估

B.威胁识别与评估

C.脆弱性识别与评估

D.风险分析与等级划分

11.以下哪种安全策略模型强调“纵深防御”思想？

A.访问控制模型（ACL）

B.鲁棒性安全模型

C.多层次防御模型

D.零信任模型

12.以下关于应急响应计划的描述，哪项是错误的？

A.应急响应计划应明确组织在安全事件发生时的指挥体系。

B.应急响应计划应规定不同类型事件的响应流程和处置措施。

C.应急响应计划只需在发生重大事件时才需要启动。

D.应急响应计划应定期演练和更新。

13.在关键基础设施安全领域，以下哪个概念强调通过设计来消除或减少安全风险？

A.安全审计

B.安全监控

C.安全加固

D.安全设计

14.以下哪项技术主要用于检测网络流量中的异常行为，以发现潜在的入侵尝试？

A.入侵检测系统（IDS）

B.防火墙

C.反病毒软件

D.数据防泄漏系统

15.供应链安全风险指的是哪些选项？（多选）

A.供应商提供的产品或服务存在安全漏洞。

B.供应链合作伙伴的安全管理能力不足，可能被攻击者利用。

C.内部员工对供应链环节的安全意识薄弱。

D.物理运输环节的信息泄露风险。

16.根据我国《网络安全等级保护条例（征求意见稿）》，网络运营者应当按照网络安全等级保护标准，采取相应的安全保护措施，以下哪项不属于这些措施的主要类别？

A.系统建设与运维

B.数据安全

C.供应链安全管理

D.社交媒体运营

17.以下哪种协议通常用于在安全的通信信道中交换密钥？

A.FTP

B.SSH

C.HTTP