2026年网络安全应急响应预案培训试卷(含答案)

2026年网络安全应急响应预案培训试卷(含答案)1.单项选择题（每题1分，共20分）1.12026年《国家网络安全事件应急预案》中，将网络安全事件分为四级，其中“特别重大”对应的颜色标识为A.红色  B.橙色  C.黄色  D.蓝色答案：A1.2在应急响应PDCERF模型中，字母“E”代表的阶段是A.根除  B.评估  C.证据固定  D.经验总结答案：A1.3对WindowsServer2026遭受Pass-the-Hash攻击的最有效第一道缓解措施是A.关闭SMB445端口  B.启用LAPS  C.配置RDPNLA  D.禁用WDigest答案：D1.4根据GB/T36627-2026，对日志进行完整性保护应采用的算法套件为A.HMAC-SHA256  B.AES-128-CBC  C.RSA-2048  D.SM4-GCM答案：A1.5当发生数据泄露事件时，依据《个人信息保护法》第57条，企业向省级以上网信办报告的时限为A.24小时  B.48小时  C.72小时  D.5个工作日答案：C1.6在Linux取证中，用于获取内存转储的开源工具是A.Volatility3  B.SleuthKit  C.Plaso  D.Yara答案：A1.72026年新版TLS1.4握手默认要求的密钥交换算法为A.ECDHE-SM2  B.FFDHE-2048  C.RSA-4096  D.PSK-only答案：A1.8对工业控制网络进行应急隔离时，应优先遵循的Zone模型层级是A.Level0  B.Level1  C.Level3.5(DMZ)  D.Level4答案：C1.9以下哪项不属于《关基保护条例》定义的“关键业务链”A.供应链管理系统  B.企业官网  C.电力SCADA  D.金融清算系统答案：B1.10在威胁情报STIX3.0中，表示攻击者预算的字段为A.threat-actor.budget  B.intrusion-set.resource_level  C.campaign.funding  D.indicator.cost答案：B1.11应急演练中“红队”与“蓝队”首次对接会议应在演练前至少A.1天  B.3天  C.1周  D.2周答案：D1.12对容器逃逸事件进行溯源时，首先应检查的宿主机日志文件是A./var/log/audit/audit.log  B./var/log/syslog  C./var/lib/docker/events  D.journald.kmsg答案：A1.132026年发布的《零信任参考架构》中，用于动态评估访问风险的引擎缩写为A.SDP  B.SIEM  C.RAdAC  D.UEBA答案：C1.14当发生勒索软件加密事件时，下列哪项操作最符合“最小改变”原则A.立即全网关机  B.断开感染VLAN路由  C.格式化所有硬盘  D.重装系统答案：B1.15对云原生API网关进行DDoS清洗时，最有效的限速维度是A.IP  B.User-Agent  C.JWT声明sub字段  D.URL路径答案：C1.16在应急响应报告中，CVSSv4.0评分向量中“AttackComplexity”取值高意味着A.攻击者需绕过内存保护  B.需用户交互  C.需竞争条件  D.需收集大量目标信息答案：D1.17对VMwarevSphere8.0遭CVE-2026-0001漏洞利用后的取证，应首先A.关闭宿主机电源  B.生成快照并标记为证据  C.克隆vmdk到NTFS磁盘  D.重启vCenter答案：B1.18依据《数据安全法》第21条，重要数据出境安全评估的牵头部门为A.公安部  B.国家网信办  C.工信部  D.行业主管部委答案：B1.19在IoT僵尸网络应急处置中，对C2域名实施A.DNS劫持  B.DNSSinkhole  C.BGP黑洞  D.RST复位答案：B1.20对5G核心网SBA架构进行应急演练时，最需要隔离的微服务为A.AMF  B.SMF  C.NRF  D.UPF答案：C2.多项选择题（每题2分，共20分；每题至少有两个正确答案，多选少选均不得分）2.1以下属于《网络安全事件分类分级指南》中“网络可用性事件”子类的有A.DDoS  B.BGP劫持  C.光纤挖断  D.内存泄漏答案：ABC2.2在Windows日志取证中，EventID4624可提取的字段包括A.LogonType  B.ProcessName  C.IpAddress  D.WorkstationName答案：ACD2.3关于SM4-GCM算法的正确描述A.128位分组  B.支持附加认证数据  C.密钥长度固定128bit  D.属于序列密码答案：ABC2.4以下哪些操作会触发Linuxsystemd的audit事件A.systemctlrestartsshd  B.echo0>/proc/sys/net/ipv4/ip_forward  C.dockerexec-itwebbash  D.chmod4755/usr/bin/python3答案：ACD2.5在威胁狩猎假设“PowerShell下载器”中，可纳入IOC的特征有A.powershell.exe-enc  B.User-Agent“Mozilla/5.0(WindowsNT10.0;Win64;x64)”  C.子进程为cmd.exe  D.连接端口443答案：AC2.6依据ISO/IEC27035:2026，事件响应团队必须包含的角色A.事件经理  B.法务顾问  C.公关经理  D.红队队长答案：ABC2.7对Kubernetes集群进行应急隔离时可执行的策略A.NetworkPolicy拒绝全部ingress  B.删除etcd数据  C.设置PodSecurityPolicy为restricted  D.关闭kubelet服务答案：ACD2.8以下属于《关基安全保护要求》中“检测”类控制点A.日志留存≥6个月  B.威胁情报接入  C.攻防演练≥1次/年  D.备份恢复验证答案：ABC2.9在移动APP隐私合规应急中，需立即下架的情形包括A.未经同意收集IMEI  B.超频次获取位置  C.加密算法使用DES  D.未提供账号注销功能答案：ABD2.10对勒索软件进行链上追踪时，可利用的公开数据源A.BitcoinAbuseDB  B.EtherScan  C.ChainalysisKYT  D.WHOIS答案：ABC3.填空题（每空1分，共20分）3.12026年新版《数据出境安全评估办法》规定，处理________万以上个人信息的数据处理者向境外提供数据时，必须申报安全评估。答案：1003.2在应急响应6R模型中，R3阶段的中文名称是________。答案：遏制3.3Windows2026默认启用CredentialGuard，其基于的虚拟化技术缩写为________。答案：VBS3.4对IPv6地址2001:db8::1进行压缩时，最长连续0块可用________表示。答案：::3.5根据CVSSv4.0，若攻击向量AV=N、攻击复杂度AC=H、所需权限PR=L，则基础分计算公式的Exploitability子项E=________。答案：8.22×0.44×0.27≈0.9763.6在Linux审计规则中，监控/etc/shadow写操作的auditctl参数为________。答案：-w/etc/shadow-pwa-kshadow_change3.72026年发布的《工业互联网安全分类分级指南》将工业APP分为________类。答案：33.8对容器镜像进行签名时，Docker使用的签名规范为________。答案：DockerContentTrust(DCT)3.95G核心网中，负责网络切片选择的功能实体英文缩写为________。答案：NSSF3.10依据《密码法》，商用密码产品检测由________机构实施。答案：国家密码管理局指定3.11在TLS1.3握手过程中，用于实现0-RTT的扩展名称是________。答案：EarlyData3.12对勒索软件进行解密时，若已知部分明文m与对应密文c，则利用的攻击模式称为________。答案：已知明文攻击3.13对云硬盘进行快照并跨地域复制时，为保证一致性，应使用________技术。答案：崩溃一致性快照+写时复制3.14在威胁情报共享TAXII2.1中，获取指定Collection的URL路径模板为________。答案：/taxii2/collections/{collection_id}/objects/3.15对工业防火墙规则进行应急变更时，必须提前备份的配置文件扩展名通常为________。答案：.xml或.conf3.16对APT组织进行画像时，TTPs中的第二个T指________。答案：Techniques3.17在零信任架构中，用于动态签发访问票据的协议为________。答案：OAuth2.0+SPIFFE3.18对BGP路由进行劫持清洗时，常用社区属性值为________。答案：no-export3.19对Windows内核驱动进行取证时，可提取数字签名的工具为________。答案：sigcheck3.20依据《关键信息基础设施安全保护条例》，运营者应________年开展一次应急演练。答案：每4.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.1依据2026年新版《网络安全审查办法》，赴国外上市的中概股必须主动申报网络安全审查。答案：√4.2在Linux中，ls-la命令可以查看文件ACL详情。答案：×4.3SM9标识密码算法属于非对称密码体制。答案：√4.4Windows事件ID1102表示日志清除，可视为高可疑行为。答案：√4.5容器运行时runC漏洞CVE-2026-abc属于虚拟化逃逸而非容器逃逸。答案：×4.65G网络切片之间的隔离强度等同于物理隔离。答案：×4.7依据《个人信息保护法》，14周岁以下未成年人的信息属于敏感个人信息。答案：√4.8在应急响应中，使用“dd”命令获取磁盘镜像时，参数conv=noerror,sync可避免坏扇区中断。答案：√4.9DNSoverHTTPS(DoH)默认使用UDP443端口。答案：×4.10对勒索软件支付赎金后，攻击者一定会提供完整解密工具。答案：×5.简答题（每题6分，共30分）5.1简述2026年新版“网络安全事件分级”中“重大事件”的定量划分标准，并给出对应示例。答案：重大事件指造成1千万以上1亿元以下直接经济损失，或影响100万以上用户、或中断业务≥12小时且<24小时。示例：某省政务云遭勒索，导致社保系统停机18小时，涉及用户300万，直接损失5000万元。5.2说明在Linux系统中利用eBPF技术进行实时勒索软件行为检测的原理，并给出关键函数名。答案：通过kprobe挂载sys_openat、sys_write，利用eBPF程序在内核态实时过滤文件写操作，若发现大量写操作且熵值>7.8、文件扩展名被改写为已知勒索后缀，则向用户态Agent发送告警。关键函数：bpf_get_current_pid_tgid、bpf_probe_read_user、bpf_perf_event_output。5.3概述零信任架构下“微分段”在工业控制网络中的实施步骤。答案：1.资产梳理：基于Nmap、SNMP发现全部PLC、HMI；2.流量基线：利用Zeek采集30天建立白名单；3.策略建模：按IEC62443Zone原则划分Level0-3，默认拒绝；4.策略下发：通过工业防火墙+SDP网关动态ACL；5.持续监控：UEBA检测异常，SOAR自动隔离。5.4说明在容器云环境中遭遇挖矿木马时，如何在不重启业务Pod的前提下完成样本提取、进程终止和持久化清除。答案：1.利用kubectldebug创建ephemeralcontainer，挂载目标Podpidnamespace；2.使用nsenter-tPID-m-u-n-i，cp/proc/PID/exe/tmp/minerd提取样本；3.kill-9PID终止进程；4.检查cron、systemd、/etc/ld.so.preload清除持久化；5.利用NetworkPolicy阻断矿池IP；6.生成内存快照供Volatility分析。5.5列举向省级监管单位提交《网络安全事件调查报告》时必须包含的6项要素，并给出每要素一句话说明。答案：1.事件概况：说明时间、地点、系统名称；2.影响范围：用户量、业务中断时长；3.事件定级：引用国标分级依据；4.原因分析：技术漏洞或管理缺陷；5.处置过程：按PDCERF阶段描述；6.整改措施：技术加固与制度修订。6.计算与分析题（每题10分，共30分）6.1某企业遭DDoS攻击，攻击流量为1.2Tbps，持续15分钟。已知清洗中心最大处理能力800Gbps，攻击流量呈正弦分布：f(t)=Asin(πt/15)，其中A=1.2Tbps，t∈[0,15]。求：(1)超过清洗能力的累计时长；(2)若每超出1Gbps·分钟计费0.05美元，计算额外费用。答案：(1)令Asin(πt/15)=800⇒sin(πt/15)=800/1200=2/3⇒t1=(15/π)arcsin(2/3)≈3.24min，对称t2=15−3.24=11.76min，超出时长=11.76−3.24=8.52min。(2)额外流量积分：∫_{t1}^{t2}[1200sin(πt/15)−800]dt=[−1200·15/πcos(πt/15)−800t]_{3.24}^{11.76}≈480Gbps·min，费用=480×0.05=24美元。6.2某勒索软件使用AES-256-CTR加密文件，密钥K通过RSA-2048公钥加密传输。已知公钥(e,n)中e=65537，n=pq，p≈q≈2^{1024}。若攻击者已获取部分私钥d的低200位，利用Coppersmith方法求完整d的成功率近似公式为P≈2^{(200−512)/2}。计算成功率，并评估是否值得投入100万元购买算力（若成功解密收益500万元）。答案：P≈2^{(200−512)/2}=2^{−156}≈1.4×10^{−47}，期望收益=500×1.4×10^{−47}≈7×10^{−45}万元，远小于100万元，不值得投入。6.3某关基单位进行应急演练，网络拓扑含100个节点，采用ER随机图模型G(n,p)，n=100，p=0.05。求：(1)图连通概率；(2)若需保证连通概率≥99%，最小应增加多少条边？答案：(1)临界p_c=lnn/n≈0.046，p=0.05>0.046，故连通概率≈1−n^{−(np−lnn)}=1−100^{−(5−4.605)}≈0.96。(2)设增加x条边，则新p′=(0.05·C(100,2)+x)/C(100,2)，令1−100^{−(100p′−4.605)}≥0.99⇒100p′−4.605≥2⇒p′≥0.06605，解得x≥(0.06605−0.05)·4950≈79条。7.综合案例题（20分）背景：2026年7月12日09:10，某市智慧交通信号系统出现异常，红绿灯同时熄灭，持续90秒。经初查，信号控制器（OSC）品牌为Trans2026，固件版本V2.1.0，暴露于5G切片专网，管理端口TCP8080。09:15，SOC收到来自控制器IP4的告警：连续三次登录失败，来源IP00。0