1+X中级应急响应试题库与参考答案解析

1+X中级应急响应试题库与参考答案解析一、单选题（共20题，每题1分，共20分）1.Tcp.port==80是指()?A、显示所有基于tcp的流量B、显示某两个通信单C、tcp会话的流量D、显示所有tcp80端口的流量正确答案：D答案解析：这是一个用于过滤和显示特定网络流量的表达式。“Tcp.port==80”明确表示只关注TCP协议中端口号为80的流量，所以该表达式的作用是显示所有tcp80端口的流量。2.以下属于防火墙日志的是()A、以下都是B、域名日志C、威胁日志D、流量日志正确答案：A答案解析：防火墙日志是指防火墙在运行过程中记录的各种事件和活动的信息，包括但不限于域名解析、威胁检测、流量监控等方面的日志记录。选项中的域名日志、威胁日志、流量日志都属于防火墙日志的范畴，所以答案是[A]，表示以上都是。3.通过wireshark发现攻击者通过病毒攻击反弹()来执行系统命令提权。A、shollB、shellC、shall正确答案：B答案解析：在通过wireshark发现攻击者通过病毒攻击反弹时，常见的是反弹shell来执行系统命令提权，“>shell”符合这种场景，而“>sholl”和“>shall”并不是常见的用于此目的的指令表述。4.IPS/IDS通常将日志等级分为()个等级A、7B、8C、9D、10正确答案：B5.不属于数据库加固主要方式的是?()A、防止SQL注入B、防权限提升C、防信息窃取D、差异备份正确答案：D答案解析：数据库加固主要方式包括防止SQL注入、防权限提升、防信息窃取等。差异备份是一种数据备份方式，不属于数据库加固的主要方式。6.应急响应的规范有哪些()A、应急准备阶段监测与预警阶段应急处理阶段总结改进阶段B、应急处理阶段应急准备阶段监测预警阶段总结改进阶段C、监测与预警阶段应急处理阶段应急准备阶段总结改进阶段正确答案：A答案解析：应急响应规范通常包括应急准备阶段、监测与预警阶段、应急处理阶段、总结改进阶段。应急准备是做好应急响应的基础工作，监测与预警及时发现潜在风险，应急处理是应对突发事件的关键行动，总结改进则有助于提升后续应急响应能力。所以选项A的顺序是正确的。应急响应规范的这几个阶段是按照事件发展的逻辑顺序排列的，从前期准备到风险监测，再到实际应对和经验总结，环环相扣，共同构成了一个完整有效的应急响应体系。7.查看windows事件日志的EVENTID为4624的时候说明了什么?()A、登陆成功B、登陆失败C、注销成功D、用户启动的注销正确答案：A答案解析：EVENTID为4624表示成功登录，记录了用户成功登录系统的相关信息，包括登录的用户名、登录时间、登录来源等。选项B，登录失败对应的EVENTID通常是4625等；选项C注销成功等有其他对应的事件ID；选项D用户启动的注销也有其特定对应的事件记录。8.业务系统面临的外部风险有哪些()A、拒绝服务B、系统漏洞C、Web漏洞D、逻辑漏洞正确答案：A9.信息安全事件管理分为五个阶段分别是什么()A、发现报告准备评估规划B、准备发现报告规划评估C、报告发现准备规划评估D、规划准备发现报告评估正确答案：D答案解析：信息安全事件管理分为规划、准备、发现、报告、评估五个阶段。规划阶段要制定事件管理策略和计划；准备阶段做好人员、流程、技术等方面的准备；发现阶段及时察觉安全事件；报告阶段准确汇报事件情况；评估阶段对事件影响等进行评估总结。10.()账号拥有登录shell。A、dbuser1B、MySQLC、Dbuser2正确答案：B11.对于Windows事件日志分析,不同的事件代表了不同的意义,事件ID4672代表()A、登录成功B、登录失败C、使用1成绩用户(如管理员)进行登录D、注销成功正确答案：C答案解析：事件ID4672表示“使用具有特殊权限的用户（如管理员）进行登录”。该事件记录了使用具有特殊权限的用户进行登录操作的相关信息。12.数据库是什么样的技术?()A、应用管理B、数据管理C、文件管理D、系统管理←正确答案：B答案解析：数据库是用于数据管理的技术，它可以对大量数据进行有效的存储、组织、检索、更新等操作，以支持各种应用程序对数据的需求。系统管理包含的范围更广，数据库管理是系统管理的一部分；文件管理侧重于对文件的操作，与数据库管理有区别；应用管理主要针对应用程序本身，不是数据库的核心技术范畴。13.“访问控制”:在墙上开“门”并派驻守卫,按照安全策略来进行()和放通。A、查看B、检查C、查验D、检验正确答案：B答案解析：“检查”更强调对进入情况等进行查看核对，以确定是否符合安全策略从而决定是否放通，在这里“检查”比“查看”“查验”“检验”更符合语境，所以应该选B。14.震网病毒的发现时间()A、2011年7月B、2010年8月C、2011年8月D、2010年7月正确答案：D答案解析：震网病毒于2010年7月被发现。它是一种专门针对工业控制系统的恶意软件，具有高度的复杂性和针对性，曾对伊朗的核设施造成了严重破坏，引起了全球范围内对网络安全的高度关注。15.应急演练技术小组是在网络安全应急演练工作中提供技术(A)和（）。A、支撑B、支持C、保证D、保障正确答案：D16.以下哪项不是应急响应准备阶段应该做的?()A、评估时间的影响范围,增强审计功能、备份完整系统B、编制和管理应急响应计划C、建立和训练应急响应组织和准备相关的资源D、确定重要资产和风险,实施针对风险的防护措施正确答案：A答案解析：应急响应准备阶段的工作主要包括确定重要资产和风险并实施防护措施、编制和管理应急响应计划、建立和训练应急响应组织以及准备相关资源等。而评估事件的影响范围，增强审计功能、备份完整系统是应急响应实施阶段或后续恢复阶段可能会涉及的工作，不属于准备阶段的内容。17.以下哪个不是路由器加固的要求?()A、日志安全要求B、IP协议安全要求C、文件上传要求正确答案：C答案解析：文件上传要求并不是路由器加固的典型直接要求。日志安全要求和IP协议安全要求对于路由器加固来说是非常重要的方面，日志安全有助于记录和审计路由器的活动，IP协议安全则关乎路由器在网络通信中遵循协议的安全性和稳定性等，而文件上传要求一般不是路由器加固的核心关注点。18.信息安全运行维护的一系列标准三个标准分别是什么()A、交付规范应急处理总结改进B、应急准备通用要求应急响应规范C、通用要求交付规范应急响应规范D、应急处理应急准备总结改进正确答案：C19.后门型病毒的英文翻译是()A、backdropB、backdooeC、backdoor正确答案：C20.应急演练机构主要有几种人员组成()?A、五种B、四种C、一种D、三种正确答案：D二、多选题（共30题，每题1分，共30分）1.常见的病毒命名规则如下字段()A、主行为B、变种C、平台类型D、子行为E、家族名称正确答案：ABCDE2.安全感知系统流量传感器有?()A、威胁情报匹配B、数据采集C、入侵攻击检测D、文件还原正确答案：ABCD3.数据库是按照数据结构来()的仓库A、管理B、管理数据C、组织D、存储正确答案：BCD4.减少信息泄露有哪几种()A、不要随意丢弃含有个人信息的票据B、不要使用不正规的招聘网站或软件C、尽量不要使用危险的公共WiFiD、注册各类应用、网站要尽量赋予最少的信息和权限正确答案：ABCD答案解析：选项A，随意丢弃含有个人信息的票据可能导致个人信息被他人获取，所以不随意丢弃可减少信息泄露；选项B，不正规的招聘网站或软件可能存在信息安全隐患，使用正规的能降低信息泄露风险；选项C，危险的公共WiFi容易被黑客攻击，导致信息泄露，尽量不使用可减少此类风险；选项D，注册时赋予最少的信息和权限，能减少个人信息暴露的范围，从而减少信息泄露。5.病毒按宿主分类可分成()。A、蠕虫病毒B、宏病毒C、引导类D、脚本病毒E、文件类正确答案：BCDE6.应急演练实施制定演练方案是以下哪几点()。A、编制评估方案B、编写演练脚本C、编制工作方案D、编制保障方案正确答案：ABCD答案解析：制定演练方案包括编制工作方案，明确演练目标、内容、步骤等；编制保障方案，保障演练所需的人力、物力、财力等；编制评估方案，用于对演练效果进行评估；编写演练脚本，详细描述演练过程中的场景、角色行动等，这几个方面共同构成了完整的演练方案。7.交换机加固中SNMP的安全有()A、系统远程管理服务只允许特定地址访问B、修改SNMP默认通行字C、使用SNMPV或以上版本D、SNMP访问控制正确答案：BCD8.蠕虫病毒是指利用方式传播自己的病毒?(A、系统的漏洞B、外发邮件C、共享目录D、可传输文件的软件E、可移动存储介质正确答案：ABCDE答案解析：蠕虫病毒的传播方式多样，它可以利用系统的漏洞进行传播，通过扫描系统漏洞来植入自身；利用外发邮件，将病毒伪装在邮件附件中进行传播；通过共享目录，当用户访问共享目录时感染病毒；借助可传输文件的软件，如即时通讯软件等传输病毒文件；还能通过可移动存储介质，如U盘等，在不同设备间传播。9.应急响应计划文档的总则包括哪些?()A、适用范围B、编制依据C、工作原则D、编制目的正确答案：ABCD答案解析：应急响应计划文档的总则通常涵盖编制目的、编制依据、适用范围和工作原则等方面。编制目的明确制定计划想要达成的目标；编制依据说明计划制定所遵循的相关法律法规、标准规范等；适用范围界定计划所适用的具体场景、对象等；工作原则阐述在应急响应过程中应遵循的基本原则，如快速反应、科学应对等。10.交换机加固中IP协议有哪些要求()A、使用SSH加密管理B、配置远程日志服务器C、系统远程管理服务只允许特定地址访问正确答案：AC11.病毒的传播方式-文件传播有()A、软件捆绑B、文件感染C、文件点击D、错误文件正确答案：AB12.日志就是()等在某种情况下记录的信息A、计算机系统B、设备C、软件D、硬盘正确答案：ABC答案解析：日志是计算机系统、设备、软件等在某种情况下记录的信息。计算机系统在运行过程中会产生各种日志记录系统的活动、错误等情况；设备（如网络设备、服务器硬件等）也会记录自身的运行状态、事件等信息；软件在执行过程中同样会记录相关的操作、错误、调试等信息。而硬盘主要是用于存储数据的硬件设备，不是日志记录的主体，所以不选D。13.木马病毒排查过程有()。A、确定黑客IPB、确定黑客的攻击入口C、黑客添加的木马D、找到木马名称后查找的绝对路径E、根据日志查找黑客在服务器的操作正确答案：ABCDE答案解析：1.确定黑客IP：了解黑客的IP地址有助于定位攻击源头，是排查木马病毒的重要基础。2.确定黑客的攻击入口：明确攻击是通过何种方式进入系统的，比如网络漏洞、弱口令等，有助于后续阻断类似攻击并深入排查。3.黑客添加的木马：找出黑客添加到系统中的木马程序，这是排查的核心任务之一。4.找到木马名称后查找的绝对路径：确定木马的绝对路径，有助于全面清理木马及其相关文件，防止残留。5.根据日志查找黑客在服务器的操作：通过服务器日志可以了解黑客的操作行为，进一步评估系统受影响程度以及进行后续的安全加固。14.应急演练技术小组的主要职责有哪些?()A、应急演练设计的通信、调度等技术支撑系统的技术保障工作B、制定技术方案和实施方案C、扮演攻击方,模拟网络安全事件D、根据应急演练工作方案拟定应急演练脚本正确答案：ABCD答案解析：应急演练技术小组的主要职责包括制定技术方案和实施方案，为演练提供整体技术规划与实施路径；根据应急演练工作方案拟定应急演练脚本，明确演练流程和内容；扮演攻击方，模拟网络安全事件，检验应急响应能力；负责应急演练设计的通信、调度等技术支撑系统的技术保障工作，确保演练中相关技术系统稳定运行。15.下列中HTTP协议版本有。()A、HTTP/1.0B、HTTP/2C、HTTP/0.9D、HTTP/1.1正确答案：ABCD答案解析：HTTP协议有多个版本，常见的包括HTTP/0.9、HTTP/1.0、HTTP/1.1以及HTTP/2等。HTTP/0.9是最早的版本，功能较为简单；HTTP/1.0在其基础上进行了扩展；HTTP/1.1是广泛使用的版本，引入了许多重要特性；HTTP/2则在性能等方面有进一步提升。16.数据库是“按照数据结构来组织、存储和管理数据的仓库”。是一个长期存储在()大量数据的集合A、可共享的B、统一管理的C、计算机内的D、有组织的正确答案：ABCD答案解析：数据库是长期存储在计算机内、有组织的、可共享的、统一管理的大量数据的集合。计算机内表明了数据的存储位置；有组织体现了数据是按照一定结构进行存储的；可共享说明数据能被多个用户或程序使用；统一管理意味着对数据的各种操作（如存储、检索、更新等）是通过特定的管理系统进行统一协调的。17.业务系统面临的风险主要包括()A、外部风险B、内部风险C、其他风险D、特别风险正确答案：AC18.应急演练的组织机构包括哪些?()A、应急演练领导小组B、应急演练管理小组C、应急演练技术小组D、应急演练实施小组正确答案：ABCD答案解析：应急演练的组织机构通常包括应急演练领导小组，负责全面领导演练工作；应急演练管理小组，负责演练的组织、协调、管理等工作；应急演练技术小组，提供技术支持和指导；应急演练实施小组，具体执行演练的各项任务。所以ABCD选项均正确。19.病毒网页的传播方式()A、将木马伪装为页面元素B、利用脚本运行的漏洞C、伪装为缺失的组件D、通过脚本运行调用某些com组件E、利用软件漏洞正确答案：ABCDE答案解析：1.**将木马伪装为页面元素**：病毒网页可以把恶意的木马程序巧妙地伪装成看似正常的页面元素，比如按钮、图片等。当用户在浏览网页时，不经意间点击这些伪装的元素，就可能触发木马程序的下载或执行，从而导致电脑被感染。2.**利用脚本运行的漏洞**：许多网页会使用脚本语言（如JavaScript）来实现各种交互效果和功能。如果这些脚本存在漏洞，病毒编写者就可以利用这些漏洞来执行恶意代码。他们可能会通过构造特殊的URL或在网页中插入恶意脚本片段，当用户访问该网页时，脚本漏洞被触发，恶意代码得以运行，进而感染用户的设备。3.**伪装为缺失的组件**：病毒网页可能会伪装成用户电脑中缺失的组件，诱导用户进行下载安装。例如，它可能声称用户需要某个特定的插件或组件才能正常浏览网页内容，而实际上提供的是带有病毒的虚假安装包。用户一旦轻信并下载安装，病毒就会随之进入系统。4.**通过脚本运行调用某些com组件**：网页脚本可以通过特定的方式调用计算机系统中的COM组件（ComponentObjectModel，组件对象模型）。如果这些COM组件存在安全漏洞，病毒编写者就可以利用脚本运行时对COM组件的调用，执行恶意操作，如窃取用户信息、破坏系统文件等。5.**利用软件漏洞**：除了网页脚本相关的漏洞外，病毒网页还可能利用操作系统、浏览器或其他软件本身存在的漏洞来传播。例如，某些软件在处理特定格式的文件或网络请求时存在缺陷，病毒网页可以利用这些缺陷来绕过安全防护机制，将病毒代码注入到用户的设备中。20.操作系统安全加固措施包括。()A、禁止任何应用程序以及超级用户身份运行B、安装后续的补丁合集C、关闭SNMP协议D、升级到当前系统版本正确答案：ABCD21.威胁情报提供的内容有哪些?()A、HostB、URLC、ResponsecodeD、IP正确答案：ABCD22.业务系统包含哪些系统?()A、协同管理系统B、资产管理系统C、市场营销管理、生产制造系统D、人力资源管理系统E、财务系统F、企业信息管理系统正确答案：ABCDEF答案解析：企业信息管理系统、协同管理系统、市场营销管理系统、生产制造系统、财务系统、人力资源管理系统、资产管理系统都属于业务系统所包含的范畴。23.系统加固对象有哪些(A、服务器系统加固B、网络结构加固C、数据库加固D、网络设备加固正确答案：ABCD答案解析：网络设备加固可防止网络攻击，提升网络安全性；网络结构加固有助于优化网络架构，增强整体稳定性和安全性；服务器系统加固能保障服务器稳定运行，抵御各类恶意入侵；数据库加固可保护数据库中的重要数据不被非法获取或篡改，这些都是系统加固的重要对象。24.指挥机构主要有以下哪三种人员组成()A、督导人员B、策划人员C、检查人员D、指挥人员正确答案：ABD答案解析：指挥机构主要由指挥人员、策划人员和督导人员组成。指挥人员负责整体指挥调度；策划人员提供策略和方案规划；督导人员监督执行情况，以确保各项工作按计划推进。而检查人员并不属于指挥机构的主要组成人员类型。25.病毒常见的主行为命名有哪些?()A、TrojanB、BackdoorC、WormD、ApplicationE、VirusF、RootkitG、Hack正确答案：ABCDEFG26.利用数据库可以()存储数据,使人们能够()地管理数据。A、有组织地B、更方便C、更快D、高效正确答案：ABCD27.APT研究的难点有哪些?()A、新组织、新活动发现B、攻击背景研判C、攻击目的研判D、攻击能力研判正确答案：ABCD答案解析：新组织、新活动发现困难在于它们可能较为隐蔽，不易被察觉；攻击背景研判需要综合多方面信息，信息收集和分析难度大；攻击目的研判同样复杂，攻击者可能会隐藏真实目的；攻击能力研判也不容易，要准确评估攻击者具备的技术和手段等都存在挑战。28.APT攻击的4个要素()。A、攻击者B、攻击目的C、攻击手段D、攻击过程E、手段高级正确答案：ABCD29.数据库加固方式包括()A、防止SQL注入B、防口令破解C、信息窃取D、防拒绝服务正确答案：ABD答案解析：数据库加固方式主要包括防止SQL注入，避免恶意攻击者通过构造SQL语句来获取或篡改数据；防口令破解，保护数据库用户账号的安全，防止密码被破解；防拒绝服务，抵御针对数据库的拒绝服务攻击，确保数据库服务的可用性。而信息窃取不属于数据库加固方式，它是一种数据安全风险，需要通过其他安全措施来防范，比如数据加密、访问控制等。30.APT攻击手段有()。A、文件视觉伪装B、快捷方式伪装C、捆绑合法程序反侦察术D、水坑攻击正确答案：ABCD答案解析：1.文件视觉伪装：通过修改文件的元数据、图标等，使其