2025年网络安全知识及信息系统故障应急演练培训考核测试题库含答案

2025年网络安全知识及信息系统故障应急演练培训考核测试题库含答案单选题（每题1分，共30分）1.2025年新版《网络安全事件分级指南》中，将造成“全国范围重要业务中断2小时以上”的事件定为哪一级？A.特别重大（Ⅰ级）B.重大（Ⅱ级）C.较大（Ⅲ级）D.一般（Ⅳ级）答案：A2.在WindowsServer2025中，默认启用且用于阻止凭据传递攻击的安全特性是：A.CredentialGuardB.LSAProtectionC.RemoteCredentialGuardD.RestrictedAdminMode答案：A3.某单位采用零信任架构，当用户首次访问OA系统时，策略引擎最先触发的动作是：A.生成SPA单包授权敲门B.查询PDP策略决策点C.拉起多因子认证挑战D.下发微隔离标签答案：C4.根据GB/T392642025《信息安全技术数据安全能力成熟度模型》，DSMM五级中“量化”阶段的核心特征是：A.已建立数据安全方针B.通过量化指标持续优化C.完成数据分类分级D.实现数据出境安全评估答案：B5.应急演练中，RTO与RPO的合理关系是：A.RTO≥RPOB.RTO≤RPOC.RTO与RPO无必然大小关系D.RTO=RPO+MTTR答案：A6.2025年3月曝光的“Nimbus”勒索软件主要利用的初始入口向量是：A.VMwarevCenter0dayB.CitrixNetScalerXSSC.FortinetSSLVPN缓冲区溢出D.MicrosoftOutlook内存损坏答案：A7.在Linux内核6.8中，默认集成的用于防御内核代码注入的安全技术是：A.SELinuxB.LockdownLSMC.IMAD.Smack答案：B8.某云原生应用使用Kubernetes1.30，以下哪项配置能最有效地阻断容器逃逸？A.启用PodSecurityPolicyB.启用SeccompProfile=RuntimeDefaultC.启用HostNetwork=trueD.启用Privileged=true答案：B9.对工业控制系统（ICS）进行应急演练时，应优先遵循：A.IEC6244333B.NISTSP80053C.ISO27001D.GB/T222392019答案：A10.2025年7月起，违反《关基保护条例》导致“关键信息基础设施整体瘫痪”的最高罚款额度为：A.100万元B.500万元C.1000万元D.5000万元答案：D11.在DNSoverHTTPS（DoH）流量中，用于识别恶意域名的最佳检测位置是：A.客户端浏览器缓存B.企业出口防火墙C.递归解析器日志D.本地hosts文件答案：C12.某单位采用“红蓝紫”演练模式，紫队的主要职责是：A.模拟攻击B.防御监测C.过程裁判与规则制定D.恢复业务答案：C13.当发生大规模个人信息泄露事件时，根据《个人信息保护法》第57条，企业向省级以上网信办报告的时限为：A.1小时B.3小时C.8小时D.24小时答案：B14.在应急演练总结阶段，用于计算“演练目标达成率”的公式是：A.达成目标数/设定目标总数×100%B.演练耗时/预案预估耗时×100%C.参演人数/应到人数×100%D.发现问题数/整改问题数×100%答案：A15.2025年新版《商用密码管理条例》规定，使用SM4算法对“核心数据”加密时，密钥最小长度为：A.128位B.192位C.256位D.无强制要求答案：A16.在双活数据中心架构中，最可能导致“脑裂”现象的因素是：A.存储复制延迟B.仲裁网络中断C.主机CPU过载D.备份窗口冲突答案：B17.以下哪项最能有效降低AI深度伪造（Deepfake）带来的社会工程风险？A.启用SPF记录B.部署PKI多因子C.采用FIDO2生物识别D.引入内容来源与真实性认证（C2PA）答案：D18.当使用EDR检测到“LivingofftheLand”攻击时，首要的响应动作是：A.立即拔网线B.隔离进程并取证内存C.关闭WindowsDefenderD.重启主机答案：B19.在IPv6only网络中，用于发现邻居不可达性的ICMPv6类型是：A.128B.134C.135D.136答案：D20.2025年5月，国家互联网应急中心（CNCERT）发布的“APT组织海莲”主要使用的C2通信协议是：A.DNSTunnelingB.HTTPSwithJA3随机化C.QUIC0RTTD.MQTToverWebSocket答案：B21.在业务连续性计划中，BIA（业务影响分析）第一步是：A.识别关键业务B.计算MTBFC.评估供应链D.制定恢复策略答案：A22.当发生“数据库被加密，但备份可用”的勒索场景时，最佳恢复顺序为：A.先支付赎金再恢复B.先隔离网络再恢复C.先恢复再溯源D.先通报再恢复答案：B23.在零信任网络中，用于动态评估终端风险的常见数据源不包括：A.终端补丁级别B.用户地理位置C.交换机MAC表D.终端证书指纹答案：C24.2025年起，等级保护2.0扩展要求中，云计算扩展要求新增的“三同步”不包括：A.同步规划B.同步建设C.同步运行D.同步测评答案：D25.当使用ChaosEngineering进行故障演练时，首要原则是：A.最小爆炸半径B.最大并发C.最长持续时间D.最高权限答案：A26.在应急演练中，用于衡量“从事件发现到完成初步遏制”的指标是：A.MTTDB.MTTRC.MTTCD.MTTI答案：C27.2025年发布的《生成式人工智能安全基本要求》规定，模型训练数据中含个人信息超过多少条需单独安全评估？A.1000B.5000C.10000D.50000答案：C28.当使用SOARplaybook自动响应钓鱼邮件时，最先执行的逻辑节点是：A.提取邮件头B.查询URL信誉C.删除邮件D.发工单答案：A29.在Linux系统中，用于限制进程系统调用的安全机制是：A.iptablesB.seccompC.tcpwrapperD.apparmor答案：B30.2025年新版《数据出境安全评估办法》将“出境数据规模”阈值从“10万人”调整为：A.1万人B.5万人C.50万人D.100万人答案：A多选题（每题2分，共20分，每题至少两个正确答案，多选少选均不得分）31.以下哪些属于《关基保护条例》中规定的“关键业务链”核心环节？A.域名解析B.电子支付C.身份认证D.物流快递答案：ABC32.在应急演练“事前准备”阶段，必须完成的工作包括：A.演练方案审批B.数据备份验证C.红队武器库更新D.媒体通稿撰写答案：ABC33.以下哪些技术可有效检测无文件攻击？A.内存行为分析B.脚本块日志C.ETW事件追踪D.文件哈希比对答案：ABC34.关于“数据分类分级”与“数据脱敏”关系，正确的是：A.分类分级是脱敏前提B.脱敏策略需与级别匹配C.脱敏后数据可降级别D.脱敏必须不可逆答案：ABC35.在零信任架构中，持续信任评估依赖的数据源包括：A.终端EDR日志B.用户行为基线C.物理门禁刷卡记录D.威胁情报平台答案：ABD36.以下哪些场景会触发《个人信息保护法》下的“告知同意”例外？A.突发公共卫生事件B.紧急情况下保护生命健康C.已公开信息处理D.履行法定职责答案：ABD37.在灾备切换演练中，造成“数据零丢失”的技术手段有：A.同步复制B.异步复制+延迟回放C.存储级双活D.应用级双写答案：ACD38.2025年新版《网络安全事件应急预案》中，事件分级依据包括：A.影响范围B.持续时间C.数据规模D.社会危害程度答案：ABD39.以下哪些属于“紫队”在演练过程中的输出物？A.演练规则书B.攻击路径图C.防守监测报告D.演练评分表答案：AD40.当使用容器安全平台时，可阻断的逃逸行为包括：A.挂载宿主机/procB.调用内核提权漏洞C.访问KubernetesAPID.修改容器hosts文件答案：AB填空题（每空1分，共20分）41.2025年4月，国家标准化管理委员会发布的《信息安全技术关键信息基础设施安全监测预警技术接口规范》标准编号为________。答案：GB/T42584202542.在Linux系统中，用于查看当前已加载内核模块的命令是________。答案：lsmod43.当发生大规模勒索软件事件时，根据等保2.0要求，单位应在事件________小时内向公安机关报告。答案：2444.在零信任模型中，用于动态下发访问策略的核心组件简称________。答案：PDP45.2025年新版《数据出境安全评估办法》将“重要数据”出境评估有效期延长至________年。答案：246.在应急演练中，用于衡量“从事件发现到完成业务恢复”的指标英文缩写是________。答案：MTTR47.在WindowsServer2025中，默认启用的用于隔离管理员凭据的安全特性简称________。答案：LAPS48.当使用ChaosBlade工具模拟网络延迟时，默认使用的网络损伤模式是________。答案：tc（trafficcontrol）49.在IPv6中，用于替代ARP的协议是________。答案：NDP（邻居发现协议）50.2025年7月，国家网信办对“滴滴”处以罚款的依据是违反《________法》。答案：个人信息保护51.在Kubernetes中，用于限制容器CPU使用的资源字段是________。答案：limits.cpu52.当使用SOAR平台时，用于描述自动化响应流程的脚本格式通常称为________。答案：Playbook53.在数据库加密中，将加密粒度控制在列级别的技术称为________加密。答案：列级54.根据《密码法》，商用密码产品检测由________机构实施。答案：国家密码管理局指定55.在业务连续性计划中，用于描述“可接受最大数据丢失量”的指标英文缩写是________。答案：RPO56.2025年新版《网络安全审查办法》将“核心数据”出境纳入________审查。答案：安全57.在Linux系统中，用于强制删除被占用文件的命令参数是________。答案：f58.当使用Wireshark分析QUIC流量时，需先加载________密钥日志才能解密。答案：SSLKEYLOGFILE59.在应急演练中，用于记录“演练发现问题整改完成率”的指标英文缩写是________。答案：CR（CloseRate）60.在零信任架构中，用于持续评估终端风险的引擎简称________。答案：TE（TrustEngine）判断题（每题1分，共10分，正确打“√”，错误打“×”）61.2025年起，所有等级保护三级系统必须采用国密算法进行数据加密。答案：√62.在应急演练中，红队攻击成功即代表演练失败。答案：×63.使用ChaosEngineering工具时，生产环境也可直接注入故障无需审批。答案：×64.根据《个人信息保护法》，去标识化后的个人信息不再受该法约束。答案：×65.在零信任网络中，内部网络流量默认无需再次认证。答案：×66.2025年新版《数据出境安全评估办法》将“个人信息”出境阈值从“50万人”下调至“10万人”。答案：√67.当使用容器运行时，启用seccomp可阻断容器对宿主机内核的任意系统调用。答案：√68.在IPv6only网络中，ICMPv6类型135用于替代ARP请求。答案：√69.根据《关基保护条例》，关键信息基础设施运营者每年至少开展一次应急演练。答案：√70.在灾备切换演练中，RPO=0意味着数据零丢失。答案：√简答题（封闭型，每题5分，共20分）71.简述2025年新版《网络安全事件分级指南》中“特别重大（Ⅰ级）”事件的四条判定标准。答案：1.导致全国范围重要业务中断2小时以上；2.涉及1亿以上个人信息泄露；3.造成直接经济损失10亿元以上；4.对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁。72.说明零信任架构中“持续信任评估”的三类关键数据源。答案：1.终端环境数据（补丁、EDR、证书）；2.用户行为数据（登录位置、访问频率、异常操作）；3.威胁情报数据（IP信誉、域名信誉、APT指标）。73.列出应急演练“事后总结”阶段必须输出的四份文档。答案：1.演练总结报告；2.问题清单与整改计划；3.演练评分表；4.修订后的应急预案。74.说明使用ChaosEngineering进行故障演练时的“最小爆炸半径”原则含义。答案：通过限制影响范围（如仅对单容器、单可用区、5%流量）注入故障，确保在可控范围内验证系统韧性，避免引发级联故障导致生产事故。应用题（综合类，每题10分，共30分）75.计算题：某三级等保系统RTO=30分钟，RPO=5分钟，灾备采用同步复制+快照技术。假设7月3日14:00主数据中心遭遇雷击断电，14:32完成业务切换，15:10主中心恢复供电。请计算：（1）实际RTO与预设RTO差值；（2）实际RPO；（3）是否满足等级保护三级灾备要求并说明理由。答案：（1）实际RTO=32分钟，差值=+2分钟；（2）因采用同步复制，实际RPO=0分钟；（3）满足要求。理由：等级保护三级要求RTO<30分钟、RPO<10分钟，实际RPO=0满足，RTO仅超2分钟，在可接受偏差范围内，且业务已恢复。76.分析题：某单位零信任架构采用SDP+微隔离。7月5日10:00，员工A使用个人笔记本通过VPN接入，10:05访问财务系统失败，10:06收到“终端不合规”提示。日志显示：终端未安装EDR、系统版本为Windows101903、补丁缺失KB5034441。请分析：（1）触发访问拒绝的策略节点；（2）整改措施；（3）如何在不降低安全强度前提下允许临时办公。答案：（1）策略引擎在“终端环境检查”节点发现未安装EDR且补丁缺失，触发“拒绝访问”；（2）立即安装EDR客户端并升级至Windows1022H2，打全补丁；（3）采用“临时沙箱桌面”：通过VDI发布