网络安全应急响应分析师岗位招聘考试试卷及答案

网络安全应急响应分析师岗位招聘考试试卷及答案一、填空题（每题1分，共10分）1.网络安全应急响应流程中，“检测与分析”的下一个环节是______。2.勒索病毒常见传播途径包括邮件附件、______、漏洞利用等。3.证据保全需遵循合法性、完整性、______、保密性原则。4.国内网络安全事件分级中，特别重大事件的响应主体是______。5.开源流量分析工具中，______可用于应急响应场景。6.应急响应报告核心需包含事件影响、处置过程、______等内容。7.DDoS攻击应急处置常用措施：流量清洗、______、黑洞路由等。8.应急演练类型包括桌面演练、______、实战演练。9.NISTSP800-61将应急响应分为______个阶段。10.国内《网络安全事件应急演练指南》（GB/T36627）将演练分为______个阶段。二、单项选择题（每题2分，共20分）1.应急响应中发现主机入侵，第一步优先操作是？A.立即重启主机B.备份内存镜像C.断开网络D.清除恶意代码2.以下不属于日志分析工具的是？A.ELKStackB.SplunkC.WiresharkD.Graylog3.国内“较大网络安全事件”的响应主体是？A.省级职能部门B.市级职能部门C.企业自身D.国家部门4.勒索病毒处置错误措施是？A.断网隔离B.尝试解密C.备份加密文件D.格式化硬盘5.NIST800-61中“根除”阶段目标是？A.阻止扩散B.清除攻击源C.恢复系统D.总结经验6.不属于安全事件分类的是？A.恶意代码B.网络攻击C.系统故障D.数据泄露7.属于DDoS攻击的是？A.SYNFloodB.SQL注入C.XSSD.RCE8.事件影响评估不需要包含的是？A.业务中断时长B.数据泄露范围C.攻击者身份D.资产损失9.网络运营者需在事件发生后______小时报告较大事件？A.1B.2C.6D.2410.用于恶意代码静态分析的工具是？A.IDAProB.WiresharkC.NmapD.Snort三、多项选择题（每题2分，共20分）1.应急响应核心流程包括？A.准备B.检测分析C.遏制D.根除恢复E.事后总结2.数据泄露处置措施包括？A.隔离系统B.评估泄露范围C.通知用户D.修复漏洞E.备份泄露数据3.证据收集范围包括？A.系统日志B.内存镜像C.网络流量D.恶意样本E.进程快照4.应急演练目的包括？A.检验预案B.提升能力C.识别不足D.满足合规E.增强意识5.DDoS处置方法包括？A.流量清洗B.CDN防护C.黑洞路由D.服务器扩容E.更换IP6.恶意代码类型包括？A.病毒B.蠕虫C.木马D.勒索软件E.僵尸网络7.“遏制”阶段措施包括？A.断网隔离B.限制权限C.关闭漏洞服务D.清除恶意代码E.恢复系统8.国内安全事件分级包括？A.特别重大B.重大C.较大D.一般E.轻微9.漏洞扫描工具包括？A.NessusB.OpenVASC.NmapD.WiresharkE.Metasploit10.应急报告要求包括？A.客观真实B.内容完整C.逻辑清晰D.数据准确E.及时提交四、判断题（每题2分，共20分）1.证据保全需保证原始证据不被篡改。（）2.勒索病毒感染后格式化硬盘是有效方法。（）3.NIST800-61将应急响应分为5个阶段。（）4.一般安全事件由企业自身响应即可。（）5.应急演练无需邀请外部专家。（）6.数据泄露无需通知受影响用户。（）7.Wireshark可用于流量分析。（）8.应急“准备”阶段包括预案制定、工具储备。（）9.更换IP对DDoS攻击无效。（）10.应急报告无需分析根因。（）五、简答题（每题5分，共20分）1.简述应急响应“准备”阶段核心工作。2.针对勒索病毒事件，简述关键处置步骤。3.简述证据收集的基本原则。4.国内网络安全事件报告的基本要求。六、讨论题（每题5分，共10分）1.如何平衡应急响应中“快速处置”与“证据保全”的关系？2.针对新型勒索病毒（双勒索、供应链勒索），预案需做哪些更新？---答案部分一、填空题1.遏制2.恶意链接3.真实性4.国家相关部门5.Wireshark6.根因分析7.CDN防护8.功能演练9.610.5二、单项选择题1.B2.C3.A4.D5.B6.C7.A8.C9.B10.A三、多项选择题1.ABCDE2.ABCDE3.ABCDE4.ABCDE5.ABCE6.ABCDE7.ABC8.ABCD9.ABC10.ABCDE四、判断题1.√2.×3.×4.√5.×6.×7.√8.√9.×10.×五、简答题1.核心工作：①制定应急预案（明确分级、流程、职责）；②储备工具（日志、流量、恶意代码分析工具）；③人员培训（提升处置能力）；④风险评估（识别关键资产、威胁）；⑤演练计划（年度演练验证预案）。2.关键步骤：①证据保全（备份内存、样本）；②遏制扩散（断网隔离）；③影响评估（加密范围、业务中断）；④尝试解密（官方工具如NoMoreRansom）；⑤清理处置（清除恶意代码、修复漏洞）；⑥恢复业务（备份恢复、验证）；⑦总结报告（根因分析、预案更新）。3.基本原则：①合法性（符合法规，避免非法取证）；②完整性（收集所有相关证据）；③真实性（原始证据不篡改，哈希校验）；④保密性（仅授权人员接触）；⑤可追溯性（记录收集过程）。4.基本要求：①时限（一般24h，较大以上2h）；②内容（时间、类型、影响、处置）；③主体（网络运营者向属地网信/公安报告）；④合规（符合《网络安全法》等）；⑤后续（处置后提交完整报告，含根因、改进）。六、讨论题1.平衡方法：①优先保全关键活证据（内存、样本），再处置；②用自动化工具并行（如Volatility提内存，同时隔离）；③明确优先级（关键业务威胁先临时遏制，再补证据）；④团队培训（识别证据类型，避免误操作）；⑤预案规定（不同事件的收集与处置顺序）。2