网络安全应急响应预案培训试卷含答案内部题库

网络安全应急响应预案培训试卷含答案内部题库一、单项选择题（每题2分，共20分）1.网络安全应急响应的首要目标是：A.追责相关责任人B.恢复业务正常运行C.收集证据用于诉讼D.向上级单位汇报答案：B解析：应急响应的核心是“先恢复、后追责”，确保业务连续性优先。2.以下哪项不属于《网络安全法》明确规定的“网络安全事件”分级要素？A.社会影响范围B.数据泄露量级C.系统服务可用性D.攻击者国籍答案：D解析：分级依据为影响范围、危害程度、恢复难度等，与攻击者身份无关。3.在Linux系统中，发现可疑进程pid=2333，应优先执行的命令是：A.`kill-92333`B.`lsof-p2333`C.`netstat-anop|grep2333`D.`ps-ef|grep2333`答案：B解析：`lsof`可列出进程打开的文件、套接字，快速判断异常行为。4.勒索软件加密完成后留下的典型文件名为：A.README.txtB.HOW_TO_DECRYPT.htaC.AUTORUN.infD.desktop.ini答案：B解析：攻击者常用“HOW_TO_DECRYPT”类文件名诱导受害者联系。5.对Web服务器日志进行溯源时，最优先过滤的HTTP状态码是：A.200B.301C.404D.500答案：D解析：500系列错误常伴随攻击载荷触发，可快速定位攻击入口。6.应急演练中“红队”的主要职责是：A.制定演练方案B.模拟攻击行为C.记录演练过程D.恢复业务系统答案：B解析：红队扮演攻击方，检验蓝队监测与处置能力。7.以下哪项不属于“黄金镜像”必备特征？A.出厂默认配置B.最新安全补丁C.日志审计开启D.最小化软件包答案：A解析：黄金镜像需经安全加固，而非出厂默认状态。8.对Windows事件日志取证时，需优先导出哪类日志？A.ApplicationB.SystemC.SecurityD.Setup答案：C解析：Security日志记录登录、特权使用等安全事件，为溯源核心。9.根据ISO/IEC27035，应急响应阶段划分不包括：A.准备B.检测C.根除D.审计答案：D解析：标准阶段为准备、检测、分析、遏制、根除、恢复、总结。10.使用tcpdump抓包时，仅捕获目标端口为443且数据包长度大于1000字节的表达式为：A.`tcpdump-ieth0port443andgreater1000`B.`tcpdump-ieth0port443andlen>1000`C.`tcpdump-ieth0port443andip[2:2]>1000`D.`tcpdump-ieth0port443andmtu>1000`答案：C解析：`ip[2:2]`表示IP总长度字段，可精确过滤。二、多项选择题（每题3分，共30分）11.以下哪些属于“日志篡改”常见痕迹？A.日志时间序列出现倒流B.事件ID不连续C.日志文件大小为0D.日志中出现大量“0x00”填充答案：A、B、C、D解析：四项均为典型篡改特征，需交叉验证。12.对APT攻击进行邮件溯源时，应重点提取的邮件头字段包括：A.ReceivedB.X-MailerC.Return-PathD.Subject答案：A、B、C解析：Subject可被轻易伪造，Received链及X-Mailer更具溯源价值。13.以下哪些命令可用于批量检测内网主机是否存在“永恒之蓝”漏洞？A.nmap--scriptsmb-vuln-ms17-010B.msfauxiliary/scanner/smb/smb_ms17_010C.ping-c1/24D.crackmapexecsmb/24-u''-p''答案：A、B、D解析：ping仅探测存活，不检测漏洞。14.在应急通信群组中，必须禁止的行为有：A.发送截屏含敏感URLB.使用个人邮箱传输事件报告C.讨论尚未公开的攻击手法D.上传病毒样本至网盘共享答案：A、B、C、D解析：四项均可能导致二次泄露或扩大影响。15.以下哪些属于“数据泄露”应急处置中的“遏制”措施？A.下线存在漏洞的API接口B.重置所有用户密码C.关闭数据库公网端口D.对涉事账号进行强制登出答案：A、C、D解析：重置密码属于“根除”阶段，非遏制。16.对Windows远程桌面暴力破解事件，可提取的证据包括：A.事件ID4625日志B.事件ID4624日志C.rdpwd.dll哈希D.注册表\TerminalServer\WinStations键值答案：A、B、D解析：rdpwd.dll为系统组件，其哈希无法直接证明破解行为。17.以下哪些属于“云原生”环境应急响应新增挑战？A.容器镜像版本快速迭代B.弹性IP漂移导致溯源困难C.宿主机内核漏洞影响多租户D.物理服务器硬盘需下架保全答案：A、B、C解析：云环境硬盘为分布式存储，无需下架。18.使用Volatility进行内存取证时，可检测的恶意特征有：A.隐藏进程B.注入DLLC.网络套接字D.BitLocker密钥答案：A、B、C解析：BitLocker密钥需额外提取，非直接检测项。19.以下哪些属于“供应链”攻击应急响应特有流程？A.通知软件开发商B.校验软件数字签名C.比对Git提交哈希D.下线所有同版本组件答案：A、B、C、D解析：四项均为供应链场景必需。20.关于“零信任”架构下的应急响应，正确说法有：A.微隔离策略可快速阻断横向移动B.需依赖身份凭证而非IP定位主机C.传统“网段隔离”概念失效D.无需再记录网络流量答案：A、B、C解析：零信任仍需全流量记录，用于溯源。三、判断题（每题1分，共10分）21.发现勒索软件后，立即支付赎金可确保100%数据恢复。答案：错解析：攻击者可能收款后消失或留下后门。22.Windows事件日志“.evtx”文件头部签名是“ElfFile”。答案：对解析：evtx文件头固定为0x456c6646696c65。23.使用“chmod000”可彻底阻止取证人员读取Linux文件。答案：错解析：root用户可绕过权限，需配合加密或物理隔离。24.在HTTPS流量中，SNI字段仍可见明文域名。答案：对解析：TLS握手第一阶段SNI未加密，可用于溯源。25.云厂商提供的“快照”功能可作为司法取证原始介质。答案：错解析：快照为逻辑副本，需额外哈希校验并保全证据链。26.内存掉电后，DDR3数据可保持超过30秒。答案：对解析：低温环境下数据残留时间更长，需冷启动攻击防范。27.根据《数据安全法》，泄露1000万条个人信息事件必须在24小时内向省级以上监管部门报告。答案：对解析：达到“重大”级别，时限为24小时。28.使用“netuserhacker/add”创建的后门账号不会在“计算机管理”中显示。答案：错解析：默认可见，需额外修改注册表或利用Rootkit隐藏。29.在容器环境中，/proc/self/exe可指向宿主机文件系统。答案：对解析：容器与宿主机内核共享，需通过seccomp限制。30.应急演练总结报告必须包含“费用支出”明细。答案：错解析：标准报告含改进建议，无强制费用披露要求。四、填空题（每空2分，共20分）31.在Linux系统中，用于查看当前内核模块后门的命令是______。答案：lsmod|grep-v"^Module"解析：对比可信基线，发现异常模块。32.勒索软件常用加密算法组合为______对称加密+______非对称加密。答案：AES；RSA解析：AES加密文件，RSA加密AES密钥。33.Windows日志取证中，事件ID______表示成功登录，事件ID______表示账户锁定。答案：4624；474034.使用tcpdump抓取完整数据包，需添加参数______。答案：-s0解析：默认截断，-s0抓取全长。35.根据NISTSP800-61，应急响应生命周期最后一个阶段是______。答案：Post-IncidentActivity（事后总结）36.在SMTP头中，用于追踪邮件经过的每个跃点字段是______。答案：Received37.对Docker容器进行取证时，需将/var/lib/docker/______目录整体保全。答案：overlay238.用于计算文件完整性的SHA-256命令行工具为______。答案：sha256sum39.应急指挥中心的“热备”模式指备用中心在______秒内可接管指挥权。答案：30解析：金融行业标准RTO≤30s。40.根据《个人信息保护法》，处理敏感个人信息须取得个人的______同意。答案：单独五、简答题（每题10分，共30分）41.描述发现Web服务器被植入Webshell后的完整应急流程，并给出三条关键命令。答案：流程：1)遏制：立即隔离主机，下线公网IP或配置WAF阻断；2)收集：镜像内存、全盘只读模式备份；3)分析：定位Webshell文件，提取创建时间、修改时间、所有者；4)根除：删除Webshell，修复上传漏洞，更新中间件；5)恢复：重新部署代码，回归测试；6)总结：出具报告，加固上线。关键命令：1)`find/var/www-typef-name".php"-mtime-1-execls-l{}\;`1)`find/var/www-typef-name".php"-mtime-1-execls-l{}\;`2)`grep-r"eval("/var/www--include=".php"`2)`grep-r"eval("/var/www--include=".php"`3)`ls-i/path/to/shell.php;df-h/;debugfs-R'stat<inode>'/dev/sda1`42.说明如何利用SIEM平台检测“内网横向移动”行为，并给出两条检测规则。答案：思路：基于认证日志、进程链、网络连接建立行为基线，发现异常跳跃。规则1（认证）：`index=windowsEventCode=4624ANDLogonType=3ANDSourceNetworkAddress!=/8ANDAccountName!=``|statsdc(ComputerName)asunique_targetsbyAccountName|whereunique_targets>5规则2（网络）：`index=flowsrc_ip=/8dst_port=445ANDbytes<1000ANDproto=tcp`|evaltime_bucket=round(_time/300)300|evaltime_bucket=round(_time/300)300|statsdc(dst_ip)asscanned_ipsbysrc_ip,time_bucket|wherescanned_ips>1043.阐述“云函数（Serverless）”场景下应急响应的特殊点，并给出一份最小化封存清单。答案：特殊点：1)实例瞬时性，内存数据易失；2)日志分散在多个服务（CloudWatch、S3、Kinesis）；3)触发源多样（API网关、OSS事件、定时器），需全链路追踪；4)按量计费，攻击者可能滥用资源造成经济损失。封存清单：1)函数代码包及SHA-256；2)所有版本配置（环境变量、层、超时、权限策略）；3)CloudWatchLogs全量导出；4)调用方API网关访问日志；5)事件源（如S3）对象版本及元数据；6)费用账单截图；7)函数执行ARN列表及时间窗口；8)IAM角色策略JSON；9)X-Ray追踪ID；10)云厂商工单号及沟通记录。六、综合计算题（共20分）44.某企业内网遭暴力破解，安全设备记录如下：攻击源IP：5目标IP：0起始时间：14:00:00结束时间：14:05:00登录失败事件：4625日志共1200条成功登录事件：4624日志1条，时间戳14:03:20平均包长：110字节网络层传输额外开销：以太网头14字节，IP头20字节，TCP头20字节问题：(1)计算攻击者尝试频率（次/秒）。（4分）(2)估算共产生出站流量（MB），保留两位小数。（8分）(3)若SIEM每秒可处理500条日志，判断是否存在丢包风险，并给出缓解措施。（8分）答案与解析：(1)总时长=300秒，尝试频率=1200/300=4次/秒。(2)单条尝试总字节=110+14+20+20=164字节总字节=1200×164=196800字节≈0.19MB成功登录流量可忽略，故出站流量≈0.19MB。(3)4次/秒<500条/秒，理论上无丢包；但RDP爆破伴随多通道，日志可能膨胀。缓解：1)在采集端使用Kafka缓冲，峰值削峰；2)启用日志过滤，丢弃重复失败字段；3)增加SIEM集群节点，横向扩展；4)网络层部署限速，降低攻击频率。七