网络安全应急响应工程师岗位招聘考试试卷及答案

网络安全应急响应工程师岗位招聘考试试卷及答案一、填空题（共10题，每题1分）1.网络安全应急响应流程包含准备、检测分析、______、根除、恢复、事后总结六个核心阶段。2.应急响应中，快速隔离受感染主机的常用措施是______。3.检测ransomware攻击的关键日志来源包括主机的______日志和文件修改日志。4.应急响应预案的“事件分级”通常基于攻击强度、业务影响、______三个维度。5.Windows环境下，收集系统进程与网络连接信息的应急工具是______。6.应急响应“事后总结”阶段的核心工作是______。7.针对DDoS攻击，将流量引导至清洗中心过滤恶意流量的措施是______。8.确认“数据是否泄露”的常用方法是______。9.应急响应“准备阶段”需完成的基础工作包括资产清点、漏洞扫描、______。10.钓鱼邮件引发感染时，应急响应第一步是______。二、单项选择题（共10题，每题2分）1.Web服务器被SQL注入攻击后，应急第一步是？A.重启服务器B.隔离网络C.修补漏洞D.备份数据库2.不属于“检测与分析”阶段的任务是？A.验证告警真实性B.评估业务影响C.恢复系统D.分析攻击向量3.ransomware攻击中最不可取的措施是？A.断网隔离B.备份恢复C.支付赎金D.收集样本4.“根除阶段”的核心目标是？A.清除攻击痕迹B.恢复系统C.隔离资产D.确认事件结束5.可用于恶意代码分析的工具是？A.WiresharkB.ProcessExplorerC.IDAProD.Nmap6.应急联系人清单不包括？A.技术工程师B.法务C.市场D.管理层7.DDoS攻击的遏制措施是？A.流量清洗B.修补漏洞C.备份配置D.发布公告8.“恢复阶段”的关键是？A.验证功能与安全B.隔离主机C.分析样本D.修补漏洞9.高优先级应急事件是？A.单台非核心主机感染B.核心服务器被ransomware加密C.单用户收钓鱼邮件D.minor设备告警10.“事后总结”需提交的核心文档是？A.预案B.复盘报告C.漏洞扫描D.备份日志三、多项选择题（共10题，每题2分，多选/少选不得分）1.应急响应“准备阶段”工作包括？A.资产清点B.漏洞修复C.备份策略D.联系人更新2.“遏制措施”常见类型包括？A.网络隔离B.进程禁用C.权限限制D.流量过滤3.检测恶意代码的方法包括？A.检查异常进程B.分析文件修改C.扫描陌生端口D.查看补丁状态4.ransomware攻击应急措施包括？A.断网隔离B.收集样本C.备份恢复D.立即重启5.“检测与分析”需收集的日志包括？A.系统日志B.网络日志C.应用日志D.备份日志6.预案核心要素包括？A.事件分级B.响应流程C.联系人清单D.风险矩阵7.DDoS攻击应急措施包括？A.流量清洗B.黑洞路由C.扩容带宽D.修补漏洞8.“根除阶段”工作包括？A.清除恶意文件B.修补漏洞C.移除恶意账号D.恢复系统9.属于应急工具的有？A.WiresharkB.ProcessExplorerC.NmapD.Metasploit10.“事后总结”工作包括？A.复盘分析B.预案更新C.员工培训D.漏洞加固四、判断题（共10题，每题2分，√/×）1.恢复阶段只需恢复系统，无需验证。2.支付赎金是ransomware攻击的有效解决方法。3.检测分析需优先确认事件真实性，排除误报。4.预案无需包含数据泄露应对流程。5.流量清洗是DDoS攻击的有效遏制措施。6.遏制阶段核心是清除攻击痕迹。7.单台非核心主机感染无需启动应急流程。8.事后总结需更新漏洞基线。9.检测恶意代码只需依赖antivirus工具。10.准备阶段需定期演练预案。五、简答题（共4题，每题5分，≤200字）1.简述“检测与分析”阶段的主要任务。2.简述ransomware攻击的应急步骤。3.简述“准备阶段”的核心工作。4.简述“事后总结”的关键输出。六、讨论题（共2题，每题5分，≤200字）1.大规模ransomware攻击中，如何平衡“遏制扩散”与“减少数据损失”？2.发现数据已泄露时，应采取哪些关键措施？---答案部分一、填空题答案1.遏制（Containment）2.断开受感染主机网络连接3.进程/文件系统4.数据泄露风险5.ProcessExplorer6.复盘事件、更新预案、加固漏洞7.流量清洗8.核查敏感数据访问日志及外部泄露线索9.备份机制完善10.隔离含恶意邮件的收件箱及相关服务器二、单项选择题答案1.B2.C3.C4.A5.C6.C7.A8.A9.B10.B三、多项选择题答案1.ABCD2.ABCD3.ABC4.ABC5.ABC6.ABCD7.AB8.ABC9.ABC10.ABCD四、判断题答案1.×2.×3.√4.×5.√6.×7.×8.√9.×10.√五、简答题答案1.检测与分析任务：①验证告警真实性（排除误报）；②收集系统/网络/应用日志；③分析攻击向量（漏洞、钓鱼等）；④评估影响（受感染资产、数据泄露）；⑤判断事件类型（ransomware、DDoS等）；⑥输出初步报告，支撑后续遏制。2.ransomware应急步骤：①立即隔离感染主机（断网+禁用共享）；②收集样本与日志；③评估备份有效性（优先异地备份）；④从备份恢复核心数据；⑤清除恶意文件；⑥验证系统安全；⑦复盘更新预案。避免支付赎金。3.准备阶段核心工作：①资产清点（分类核心/非核心）；②漏洞基线建立（定期扫描修复）；③备份策略（定期+异地存储）；④预案制定（事件分级、响应流程）；⑤联系人清单（技术、法务、管理层）；⑥定期演练（验证预案有效性）。4.事后总结关键输出：①事件复盘报告（经过、原因、影响）；②预案更新（补充缺失流程）；③漏洞加固清单（攻击利用漏洞）；④员工培训计划（提升意识）；⑤管理层通报（影响与改进）。六、讨论题答案1.平衡措施：①优先隔离核心业务主机（断网+权限限制），阻断扩散；②对感染主机，先终止恶意进程，再评估备份（优先异地备份）；③同步收集样本提交分析，不盲目支付赎金；④恢复后验证所有补丁，加固漏洞；⑤及时通报管理层，避免恐慌