网络安全监测预警与应急处置办法考核试卷

网络安全监测预警与应急处置办法考核试卷一、单项选择题（每题2分，共20分）1.国家网络安全事件预警级别最高等级为：A.蓝色  B.黄色  C.橙色  D.红色答案：D解析：依据《国家网络安全事件应急预案》，红色为Ⅰ级（特别重大）事件对应最高预警等级。2.下列哪项不属于“监测预警”阶段的核心任务？A.日志集中采集  B.威胁情报共享  C.漏洞扫描  D.业务系统回滚答案：D解析：业务系统回滚属于应急处置中的恢复阶段，而非监测预警。3.对关键信息基础设施运营者而言，发生较大安全事件后，向省级监管部门的初报时限为：A.10分钟  B.30分钟  C.1小时  D.2小时答案：C解析：《关键信息基础设施安全保护条例》第28条明确1小时内初报。4.在SIEM规则中，欲检测“同一源IP在5分钟内登录失败≥20次”，应选用的关联规则类型为：A.单一事件匹配  B.时序窗口计数  C.基线异常  D.沙箱静态特征答案：B解析：时序窗口计数可对单位时间内的重复事件进行阈值判断。5.关于“应急演练”，下列说法正确的是：A.桌面推演无需形成书面报告  B.实战演练必须切断生产流量  C.演练总结应纳入年度风险评估输入  D.红蓝对抗属于桌面推演答案：C解析：演练总结是风险管理的反馈输入；A、B、D均与规范不符。6.利用CVE-2021-44228（Log4Shell）进行攻击，最可能在下列哪条日志字段率先留下痕迹？A.user-agent  B.status  C.bytes  D.referrer答案：A解析：攻击者常将恶意JNDIURL写入user-agent触发漏洞。7.在Linux应急响应中，为快速定位近期被修改的Web文件，应优先执行：A.netstat-tulnp  B.lsof+L1  C.find/var/www-mtime-1-typef  D.ps-ef答案：C解析：find基于mtime可快速筛选近24小时改动文件。8.“黄金镜像”在应急处置中的主要作用是：A.保存攻击样本  B.快速重建干净系统  C.生成数字签名  D.提供日志存储答案：B解析：黄金镜像是经过加固的纯净系统模板，用于快速恢复。9.根据《数据安全法》，对“核心数据”实施出境评估的最高监管主体是：A.网信办  B.工信部  C.公安部  D.国家安全局答案：A解析：国家网信部门统筹协调数据出境安全评估。10.当发生勒索软件加密事件时，下列哪项措施最能直接降低横向移动风险？A.立即支付赎金  B.隔离受影响网段  C.全网补丁更新  D.强制密码策略答案：B解析：隔离网段可阻断横向移动，是首要遏制手段。二、多项选择题（每题3分，共15分，多选少选均不得分）11.以下哪些属于“威胁情报”中的TTPs？A.攻击者使用PsExec  B.注册域名  C.利用哈希传递技术  D.对C2通信采用HTTPS  E.攻击者昵称“TigerGroup”答案：A、C、D解析：TTPs指战术、技术与过程，B、E属于IoC而非TTPs。12.在建立7×24小时安全运营中心（SOC）时，必须考虑的关键指标包括：A.MTTD  B.MTTR  C.误报率  D.漏洞扫描覆盖率  E.平均修复时间答案：A、B、C、E解析：D属于脆弱性管理指标，与SOC实时运营弱相关。13.关于“日志留存”，下列符合中国法规要求的有：A.网络日志≥6个月  B.系统日志≥3个月  C.交易日志≥5年  D.日志须签名防篡改  E.留存日志可存放境外答案：A、B、C、D解析：关键行业交易日志5年；日志应境内留存，E错误。14.在Windows取证中，可用来发现“无文件攻击”残留痕迹的工具有：A.Volatility查看DLL注入  B.ShimCache  C.AmCache  D.Prefetch  E.MasterFileTable答案：A、B、C、D解析：E主要记录文件系统元数据，对内存中无文件攻击帮助有限。15.以下哪些行为属于“应急处置”中的“遏制”阶段？A.关闭被攻陷账号  B.下线失陷主机  C.封禁恶意IP  D.打补丁  E.发布新闻公告答案：A、B、C解析：D属于根除，E属于通报，非遏制。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）16.任何单位均可自行向社会发布网络安全红色预警。  答案：×17.“零信任”架构下，内网流量无需再监测。  答案：×18.利用SOARplaybook可实现事件响应自动化。  答案：√19.在Linux系统中，/var/log/btmp仅记录成功登录事件。  答案：×20.发生数据泄露事件后，通知受影响用户是法定义务。  答案：√21.网络流量镜像端口（SPAN）会对原链路产生延迟。  答案：×22.应急演练后必须修订应急预案。  答案：√23.“白名单”机制可有效防御未知恶意软件。  答案：√24.数字取证时，直接对原始磁盘进行读写分析符合最佳实践。  答案：×25.在TLS1.3中，ServerHello之后的所有握手消息均已加密。  答案：√四、填空题（每空2分，共20分）26.国家网络安全事件分为______级，其中特别重大事件对应______色预警。答案：四；红27.在KillChain模型中，攻击者首次成功执行恶意代码的阶段称为______。答案：Exploitation28.常用的哈希算法SHA-256输出长度为______位。答案：25629.若某企业网络采用/24段，则可用主机地址数量为______。答案：25430.在SIEM中，关联规则“SELECTFROMauthWHEREstatus=‘fail’GROUPBYsrc_ipHAVINGCOUNT()>15WITHIN300s”中的时间窗口为______秒。30.在SIEM中，关联规则“SELECTFROMauthWHEREstatus=‘fail’GROUPBYsrc_ipHAVINGCOUNT()>15WITHIN300s”中的时间窗口为______秒。答案：30031.依据《个人信息保护法，处理敏感个人信息须取得个人的______同意。答案：单独32.Windows事件ID______表示成功登录。答案：462433.在TCP三次握手中，SYN+ACK报文对应的标志位组合为______。答案：SYN=1,ACK=134.利用______命令可在Linux中查看当前监听端口对应的进程PID。答案：ss-ltnp或netstat-tulnp35.当发生WebShell攻击时，通过______HTTP头常可发现攻击者IP经过CDN前的真实地址。答案：X-Forwarded-For五、简答题（每题10分，共30分）36.简述“威胁狩猎”（ThreatHunting）与“传统入侵检测”在方法论上的三点差异。答案要点：1)主动性：狩猎基于假设主动搜寻，而传统IDS被动触发告警；2)数据源：狩猎融合多源日志、情报与行为分析，IDS多依赖签名；3)输出：狩猎产出高置信度“发现”并优化检测规则，IDS产出大量待处置告警。37.说明建立“安全运营度量指标体系”时应遵循的SMART原则，并给出两个具体指标示例。答案：SMART即Specific、Measurable、Achievable、Relevant、Time-bound。示例1：关键漏洞（CVSS≥7）平均修复时间（MTTR）≤15天；示例2：高危告警误报率≤5%（按月统计）。38.当发现内网主机被植入CobaltStrikeBeacon后，列出四项优先应急动作并说明理由。答案：1)立即隔离主机网络，防止横向移动；2)采集内存转储，保留Beacon配置与C2地址；3)封锁已知的C2域名/IP，降低外联风险；4)排查同一网段其他主机是否存在相同IOC，遏制扩散。六、综合案例分析（25分）背景：某省级政务云平台于2024-03-1809:12监测到一批虚拟机CPU占用率异常升高，同时出口防火墙检测到大量对境外IP5的443端口HTTPS流量。SOC触发“加密隧道外联”告警。经初步核查，发现攻击者利用VMwarevCenter远程代码执行漏洞（CVE-2023-34048）植入后门，随后下发挖矿程序并建立C2隧道。政务云承载47个委办局的业务系统，其中财政支付系统数据库服务器亦被横向移动攻陷。问题：39.请给出完整的事件分级结果并说明依据。（5分）答案：依据《国家网络安全事件应急预案》，攻击造成省级关键业务中断、重要数据面临泄露风险，符合Ⅱ级（重大）事件标准，对应橙色预警。40.设计一套“监测+遏制+根除+恢复”四阶段处置方案，要求列出关键技术措施与责任角色。（12分）答案：监测：1)利用vCenter日志、ESXisyslog发现异常shell创建；2)网络流量镜像至NDR，通过JA3/JA3S指纹识别CobaltStrikeHTTPSbeacon；3)责任角色：SOC分析师。遏制：1)通过微分段将受感染集群划入隔离VLAN；2)防火墙封禁5/24；3)责任角色：网络运维组。根除：1)关闭所有被投权的vCenter账号，重置SSO域密码；2)使用官方补丁升级vCenter至8.0U2；3)清除挖矿进程与Beacon定时任务；4)责任角色：虚拟化管理员、主机安全组。恢复：1)利用无恶意软件的黄金模板重新部署虚拟机；2)导入当日凌晨快照并校验文件哈希；3)财政支付系统数据库进行事务一致性校验；4)责任角色：业务运维、数据库管理员。41.结合《数据安全法》与《个人信息保护法》，说明事件通报与舆情应对流程。（8分）答案：1)2小时内向省级网信办、公安厅初报；2)24小时内提交书面报告，含受影响数据类型、数量、涉及个人信息规模；3)评估涉及个人信息泄露≥10万人，启动个人信息安全事件专项报告；4)由省级政府新闻办统一口径，避免多头发布；5)通过政务微博、APP定向推送受影响用户，告知风险与补救措施；6)留存通报记录5年备查。七、计算题（共20分）42.某企业网络每天产生日志480GB，平均压缩率25%，计划留存6个月，采用RAID5（3+1）磁盘阵列，每块磁盘8TB，考虑10%格式化损耗与20%冗余空间，请计算至少需多少块磁盘？（给出计算过程，结果向上取整）（10分）答案：原始数据量：480压缩后：87.84可用空间单盘：8RAID5有效容量：(解得：N向上取整得5块