2026年网络安全应急救援预案试题及答案

2026年网络安全应急救援预案试题及答案单选题（每题1分，共20分）1.2026年新版《网络安全应急救援预案》规定，重大网络安全事件须在事件确认后多少分钟内向国家互联网应急中心（CNCERT）完成首次报告？A.30分钟 B.60分钟 C.90分钟 D.120分钟答案：A2.在应急指挥体系“1+3+N”架构中，“3”指的三类常设支撑平台不包括：A.信息共享平台 B.漏洞研判平台 C.舆情监测平台 D.攻防演练平台答案：D3.对涉及个人信息泄露的事件进行定级时，若受影响自然人数量≥500万，应直接划为：A.一般事件 B.较大事件 C.重大事件 D.特别重大事件答案：D4.2026年起，勒索软件攻击的应急处置“黄金1小时”内必须完成的关键动作排序正确的是：①隔离核心生产网段 ②生成完整内存镜像 ③通知法务启动合规评估 ④向监管部门初报A.①②④③ B.②①③④ C.①②③④ D.②①④③答案：A5.按照《数据安全法》配套标准，当发生数据跨境泄漏时，启动“数据出境安全评估回滚”的触发条件是：A.泄漏数据≥10GB B.含重要数据任意量级 C.含核心数据任意量级 D.含个人信息≥1万条答案：C6.在工业控制系统（ICS）应急场景中，下列协议最易被利用作为“Living-off-the-land”通道的是：A.Modbus/TCP B.DNP3 C.OPCUA D.MQTT答案：A7.2026版预案首次引入“AI红队”概念，其首要职责是：A.替代人工渗透测试 B.生成对抗样本检验监测模型 C.自动修补漏洞 D.提供威胁情报答案：B8.对云平台多租户隔离失效事件，应急取证时优先采集的日志类型为：A.hypervisor审计日志 B.VPC流日志 C.对象存储访问日志 D.云API调用日志答案：A9.当使用“零信任分段”模型时，应急切网的最小单元粒度应细化到：A./24子网 B.单个终端 C.微服务实例 D.会话级答案：D10.2026年起，国家级应急演练采用“红蓝紫”三色机制，其中紫队职责是：A.攻击 B.防守 C.演练裁判与复盘 D.媒体应对答案：C11.对于Log4j类型0-day爆发，预案规定漏洞情报“分级推送”最长时限为：A.15分钟 B.30分钟 C.45分钟 D.60分钟答案：B12.在应急通信加密要求中，卫星电话回传链路必须启用的算法套件为：A.TLS1.3 B.GmSSLSM9 C.AES-256-GCM D.Quantum-SafeKyber512答案：B13.当发生“深度伪造”人脸诈骗导致资金损失时，启动“声纹+人脸”双因子溯源，其比对阈值设定为：A.FAR=0.1% B.FAR=0.01% C.FAR=0.001% D.FAR=0.0001%答案：C14.2026版预案要求，关基单位每年至少完成几次“断网”极限生存演练？A.1 B.2 C.3 D.4答案：B15.对使用IPv6单栈的关基系统，应急封禁恶意地址时，前缀长度应精确到：A./32 B./48 C./64 D./128答案：C16.在“云地一体”备份策略中，RPO≤15分钟的业务系统，快照间隔不得大于：A.5分钟 B.10分钟 C.15分钟 D.30分钟答案：A17.2026年起，应急物资储备库必须配备的“量子随机数发生器”最低熵源速率为：A.1Mbps B.10Mbps C.100Mbps D.1Gbps答案：B18.当发生无人机蜂群攻击通信铁塔时，启动“GPS欺骗反制”由哪个小组统一指挥？A.网络战分队 B.电磁频谱管控组 C.公安特警 D.民兵预备役答案：B19.对“AI换脸”涉政谣言的舆情处置，必须在多少分钟内完成首条权威辟谣信息推送？A.20 B.30 C.45 D.60答案：A20.2026版预案规定，关基单位应急演练“不合格”的复测周期为：A.15天 B.30天 C.45天 D.60天答案：B多选题（每题2分，共20分）21.以下属于“关基识别五步法”的有：A.业务依存度分析 B.攻击面测绘 C.失效影响度评估 D.供应链穿透 E.数据分级分类答案：A、C、D、E22.在“勒索软件Kill-Chain”中，属于初始入侵阶段常用入口向量的有：A.鱼叉邮件 B.暴力破解RDP C.水坑攻击 D.USB摆渡 E.恶意NPM包答案：A、B、C、E23.启动“国家级网络灾难Ⅰ级响应”时，国务院指挥部可动用的国家级资源包括：A.卫星带宽优先征用 B.电信企业7×24小时现场值守 C.央行紧急冻结可疑账户 D.工信部签发0-day漏洞出口管制 E.军队网络战部队跨区支援答案：A、B、C、E24.2026版“数据安全匣”强制功能有：A.国密SM4全盘加密 B.量子密钥分发备份 C.物理自毁 D.区块链存证 E.AI异常访问阻断答案：A、C、D、E25.对“云原生”容器逃逸事件，应急必须采集的遥测数据包括：A.eBPF系统调用流 B.containerd事件 C.kube-audit日志 D.SR-IOV网卡寄存器 E.宿主机dmesg答案：A、B、C、E26.在“零日漏洞”披露流程中，可接受的首报渠道有：A.CNCERT官网表单 B.国家漏洞库（CNNVD）邮箱 C.“网安联”微信小程序 D.电话传真 E.可信第三方平台HackerOne答案：A、B、C、D27.以下哪些场景需启动“个人信息泄漏公告”义务：A.泄漏用户姓名+手机号 B.泄漏用户加密密码且可逆 C.泄漏用户订单地址 D.泄漏用户脱敏后生日 E.泄漏用户人脸识别特征向量答案：A、B、C、E28.2026版“关基工程验收”必须通过的“双演”指：A.红队单盲演练 B.紫队复盘演练 C.蓝队极限演练 D.全员消防演练 E.供应链穿透演练答案：A、C29.对“AI深度伪造”检测，国家推荐的多模态算法包括：A.CNN+LSTM B.VisionTransformer C.音频MFCC+GMM D.唇形同步检测 E.对抗样本检测答案：A、B、C、D30.在“量子加密应急通道”建设中，必须兼容的协议有：A.QKD-BB84 B.PQC-Kyber C.TLS1.3+PQC混合 D.IPsec+IKEv2+PQC E.SSH-post-quantum答案：A、B、C、D填空题（每空1分，共20分）31.2026年起，关基单位网络安全负责人发生变更，须在______个工作日内向属地网信办书面备案。答案：532.对工业控制网络，应急封禁恶意IP时，防火墙规则应使用______号端口避免干扰Modbus正常业务。答案：50233.当发生“数据勒索”时，法律规定向境外支付比特币需先获得______部门行政许可。答案：外汇管理局34.在“IPv6-only”环境下，应急取证常使用______扩展头实现隐蔽隧道检测。答案：DestinationOptions35.2026版预案要求，关基单位每年至少组织______小时以上的“全员网安意识”再教育。答案：836.对“AI换脸”检测，国家推荐数据集“DF-Set2026”包含至少______段4K高清视频。答案：5000037.启动“国家级舆情干预”时，权威信息应在______分钟内覆盖中央级媒体客户端首屏。答案：3038.按照《密码法》，应急场景下使用商用密码产品必须取得______型号证书。答案：商用密码产品认证39.对“无人机劫持”导致基站掉线，应急恢复优先启用的频段为______MHz。答案：70040.2026版“云灾备”RTO≤30分钟的系统，快照必须采用______一致性策略。答案：崩溃一致（Crash-Consistent）41.在“零信任”架构中，设备信任评估失败时，网关返回的HTTP状态码为______。答案：40342.对“勒索软件”解密工具，国家应急平台要求上传样本后______小时内给出初步可解密性结论。答案：243.2026年起，国家级应急演练评分低于______分需强制复测。答案：8044.对“供应链污染”事件，软件物料清单（SBOM）必须采用______格式提交。答案：SPDXLite45.在“量子保密通信”中，误码率超过______%时自动触发密钥重协商。答案：546.对“深度伪造”谣言，启动“声纹溯源”时，语音最短有效时长为______秒。答案：347.2026版预案规定，关基单位应急物资库中，国密USBKey储备量不低于员工总数的______%。答案：12048.对“AI自动化攻击”检测，国家推荐模型“GuardNet2026”的输入向量维度为______。答案：204849.在“IPv6”应急封禁中，使用______前缀可实现对单个/64子网快速黑洞。答案：/4850.对“云原生”容器逃逸，cgroupv2必须挂载到______目录才能完整审计资源异常。答案：/sys/fs/cgroup判断题（每题1分，共10分）51.2026版预案允许关基单位在紧急情况下临时关闭日志审计以节省性能。答案：错误52.对“AI深度伪造”检测，国家要求误报率不得高于1%。答案：正确53.在“量子加密通道”中，密钥分发的理论安全性基于量子不可克隆定理。答案：正确54.2026年起，关基单位可将应急演练外包给无网络安全服务资质的企业。答案：错误55.对“勒索软件”支付赎金行为，我国法律明确予以鼓励以快速恢复业务。答案：错误56.2026版预案规定，所有工业控制设备必须在出厂前预置国密可信启动链。答案：正确57.在“零信任”模型中，用户行为基线一旦建立后永不更新。答案：错误58.对“数据跨境泄漏”事件，企业可在完成自评后直接公开，无需报备。答案：错误59.2026年起，国家级应急演练成绩纳入关基单位绩效考核权重不低于20%。答案：正确60.对“AI换脸”涉政谣言，公安机关可依据《治安管理处罚法》第25条处以行政拘留。答案：正确简答题（每题5分，共25分）61.简述2026版“关基识别五步法”及其核心输出物。答案：1.业务依存度分析：输出业务图谱；2.失效影响度评估：输出最大可接受中断时间（MAIT）；3.数据分级分类：输出数据资产清单与级别；4.供应链穿透：输出SBOM与关键供应商清单；5.攻击面测绘：输出暴露面风险矩阵。五份输出物共同形成关基认定报告。62.说明“AI红队”在0-day爆发场景下的三项具体任务。答案：（1）生成对抗样本绕过现有WAF/EDR检测模型；（2）构建自动化利用脚本验证漏洞可达性；（3）输出模型脆弱性报告供蓝队加固。63.概述“量子保密通信+经典加密”混合通道的密钥分发流程。答案：量子信道通过BB84协议生成原始密钥→经典信道进行误码协商与隐私放大→国密SM4会话密钥加密业务数据→量子密钥定期（≤1小时）更新→若QKD误码>5%触发PQCKyber备份密钥。64.列举工业控制系统“断网”极限演练中必须验证的四项生存指标。答案：（1）现场HMI本地操控可用性；（2）安全仪表系统（SIS）独立运行≥24h；（3）历史数据本地备份完整性；（4）工程师站补丁升级离线通道。65.说明“云原生”容器逃逸事件应急响应中，如何确保镜像完整性校验。答案：启用镜像签名（cosign+Sigstore）→在准入控制器验证签名→运行时通过eBPF校验文件系统哈希→发现篡改立即隔离Pod并触发快照回滚→对比SBOM确认软件物料一致性。应用题（共55分）66.计算题（10分）某关基单位业务峰值流量为20Gbps，采用ErasureCoding（10+4）冗余，每chunk64MB，网络RTT=50ms。求：（1）单chunk传输理论最短时间；（2）若磁盘写入带宽为800MB/s，恢复一个chunk所需时间；（3）在丢失3个chunk情况下，系统恢复所需总时间。答案：（1）T1=64MB/(20Gbps/8)=0.256s；（2）T2=64MB/800MB/s=0.08s；（3）需读取10个chunk重建，瓶颈为网络，总时间=10×0.256=2.56s。67.分析题（15分）给出一个“AI深度伪造”诈骗案例：攻击者利用CEO换脸视频指令财务转账500万美元。请：（1）画出攻击链Kill-Chain六阶段；（2）给出技术+管理两道防御措施；（3）若已发生损失，列出应急溯源三步。答案：（1）侦察→武器化→投递→利用→安装→命令控制→行动；（2）技术：部署VisionTransformer检测模型+FIDO2硬件令牌；管理：建立“大额转账双人+视频回拨”制度；（3）①保全原始视频提取声纹+人脸深度特征；②通过CNCERT协调社交平台获取上传源IP；③警方跨境司法协作冻结收款账户。68.综合题（30分）背景：某市地铁信号系统（基于CBTC）遭遇“勒索软件+供应链”双重攻击，列车紧急制动，停运6小时。已知：a)攻击者通过供应商OTA更新服务器植入勒索载荷；b)信号网与办公网物理隔离失效；c)备份系统使用同厂商云盘，密钥被同步加密。任务：（1）绘制事件时间线（T0-T+6h）；（2）给出应急指挥“