2026年网络安全应急响应与事件处置应急预案考核试卷及答案

2026年网络安全应急响应与事件处置应急预案考核试卷及答案1.单项选择题（每题2分，共20分）1.12026年1月1日零时起正式施行的《网络安全事件分级指南》中，将“造成单个省级行政区30%以上固定宽带用户无法上网6小时”的事件定为哪一级？A.特别重大（Ⅰ级）B.重大（Ⅱ级）C.较大（Ⅲ级）D.一般（Ⅳ级）答案：A1.2在Linux取证中，若需验证/bin/login是否被植入恶意代码，最优先使用的静态分析命令是：A.ldd/bin/loginB.file/bin/loginC.sha256sum/bin/loginD.nm-D/bin/login答案：C1.3根据GB/T20988-2026《信息安全技术网络安全应急演练指南》，红队完成“初始入侵”后，蓝队必须在多少分钟内完成首次遏制动作并上传截图至演练平台？A.15B.30C.45D.60答案：B1.4某企业采用NIST800-61r2流程，事件处置中“Eradication”阶段首要输出物是：A.事件关闭报告B.根因分析报告C.清除验证清单D.业务恢复测试报告答案：C1.52026年3月，某APT组织利用0dayCVE-2026-0301攻击Edge浏览器，微软发布紧急补丁KB5020301。下列哪项不是企业级WSUS紧急审批流程的必要字段？A.CVE编号B.补丁哈希C.回退时限D.业务线ROI评估答案：D1.6在WindowsServer2026事件日志中，可定位“LSASS进程被注入”最直接的EventID是：A.4624B.4625C.4661D.4663答案：D1.7使用Suricata7.0进行DDoS检测时，下列规则关键字用于检测UDP反射放大倍数≥10的是：A.dsize:>1000B.flowbits:isset,udp.reflectedC.threshold:typelimit,trackby_src,count10,seconds60D.udp.length:>500答案：C1.82026年新版《数据安全法》要求，发生“核心数据泄露”后，向省级以上网信部门报告的时限为：A.30分钟B.1小时C.2小时D.24小时答案：B1.9在容器逃逸应急响应中，最先应采集的宿主机文件是：A./var/log/audit/audit.logB./proc/sys/kernel/core_patternC./etc/docker/daemon.jsonD./run/containerd/containerd.sock答案：B1.10某单位采用MITREATT&CKv14构建检测矩阵，发现攻击者使用“T1562.003”技术，其对应的中文名称是：A.impairdefenses:impaircommandhistoryloggingB.impairdefenses:disableormodifytoolsC.impairdefenses:disableormodifysystemfirewallD.impairdefenses:impairadversarysimulation答案：C2.多项选择题（每题3分，共30分；每题至少有两个正确答案，多选少选均不得分）2.1下列属于《国家网络安全事件应急预案（2026修订版）》中“Ⅰ级响应”启动条件的有：A.涉及国家核心数据批量泄露超过10TBB.导致证券交易所连续停牌4小时C.造成5个以上省级政府门户网站无法访问2小时D.引发大面积电力SCADA系统离线，影响1000万人口答案：ABD2.2在Windows内存取证中，使用Volatility3.0提取Mimikatz痕迹可依赖的插件包括：A.windows.hashdumpB.windows.lsa_dumpC.windows.cachedumpD.windows.malfind答案：ABD2.3以下关于IPv6DDoS2026新型攻击“DHCPv6Flood”的描述正确的有：A.攻击者伪造大量DHCPv6Solicit报文B.目标服务器回复Advertise报文消耗CPUC.可采用RAGuard进行缓解D.利用UDP/547端口答案：ABD2.42026年1月，GitHub出现针对Rust开发者的“typosquatting”供应链事件，应急响应中应重点检查：A.Cargo.lock哈希一致性B.crates.io索引Git提交C.源代码中#[cfg(backdoor)]条件编译D.CI/CDRunner的/var/log/syslog答案：ABC2.5在工业控制系统（ICS）应急响应中，下列属于“物理隔离”有效性验证手段的有：A.使用便携式防火墙进行带外更新B.通过光纤单向导入装置传输补丁C.在工程师站与PLC间串接数据二极管D.利用5G切片进行远程维护答案：BC2.6关于2026年新版《个人信息保护法》中“跨境提供安全认证”条款，下列场景需要申报安全认证的有：A.个人信息处理者向境外关联公司提供10万人敏感个人信息B.年累计向境外提供1万人非敏感个人信息C.提供涉及国家基础信息基础设施的个人信息D.提供经匿名化处理的个人信息答案：AC2.7在Linux系统遭受“Systemd-notify”后门攻击后，应急人员使用systemctllist-units发现异常服务“foo.service”，下列可用于定位恶意ExecStart路径的命令有：A.systemctlcatfoo.serviceB.systemctlshowfoo.service-pExecStartC.cat/etc/systemd/system/foo.serviceD.journalctl-ufoo.service-b答案：ABC2.82026年5月，某企业收到第三方威胁情报提示“SSLVPN设备存在0day”，在野利用特征包含：A.User-Agent:Mozilla/5.0(RedHat-2026)B.URI:/remote/login?lang=enC.请求体包含base64编码的“bash-i>&/dev/tcp/”D.响应头X-Vpn-Slice:2026答案：BC2.9在公有云多账号场景下，使用AWSOrganizations进行事件响应时，下列API调用可用于快速获取所有成员账号CloudTrail日志的有：A.organizations:ListAccountsB.cloudtrail:LookupEventsC.s3:GetObjectD.sts:AssumeRole答案：ABD2.102026年7月，某医疗单位遭遇Wiper攻击，磁盘前2048扇区被覆写0xFF。下列可用于快速判断业务数据可恢复性的工具有：A.ddrescueB.photorecC.testdiskD.zfsdiff答案：ABC3.填空题（每空2分，共30分）3.1根据《网络安全事件分级指南2026》，若一次事件造成“直接经济损失________亿元人民币以上”，即可定为特别重大（Ⅰ级）事件。答案：103.2在WindowsServer2026中，使用________命令可查看当前系统所有WFP（WindowsFilteringPlatform）过滤层及权重。答案：netshwfpshowfilters3.32026年3月，Linux内核曝出CVE-2026-1616，攻击者利用________子系统的use-after-free实现本地提权，官方修复补丁编号为________。答案：io_uring；5.19.1043.4使用Splunk进行日志分析时，若需统计过去24小时内所有RDP暴力破解事件，检索语句为：index=windowsEventCode=________|statscountbySource_IP。答案：46253.5在容器镜像供应链检测中，符合NIST800-204a要求的镜像签名规范是________。答案：cosign3.62026年新版《关键信息基础设施安全保护条例》要求，CII运营者必须每________年完成一次网络安全应急演练，演练报告保存期限不少于________年。答案：1；33.7使用Wireshark4.2分析QUIC协议时，过滤字段为________，可显示所有版本为Q046的报文。答案：quic.version==0x000000463.8在IPv6网络中，发送大量________报文可导致目标主机CPU耗尽，该攻击属于NDP协议层的________攻击。答案：RouterAdvertisement；DoS3.92026年1月，某银行采用“零信任”架构，其身份认证核心协议采用________（填写RFC编号）定义的________模式，实现动态访问控制。答案：RFC8693；TokenExchange3.10使用Volatility3.0提取Windows2026内存镜像的注册表SAM哈希，需先获取________虚拟地址，插件参数为________。答案：SAM\Domains\Account；hashdump3.11在工业控制系统中，ModbusTCP功能码________用于写单个寄存器，若被滥用可导致PLC输出异常。答案：063.122026年7月，微软发布安全更新KB5022525，修复了Excel________公式引擎的远程代码执行漏洞，其CVE编号为________。答案：calcchain；CVE-2026-42033.13使用Python3.11进行恶意样本沙箱自动化时，调用________库可实现动态APIHook，其底层采用________框架。答案：frida；frida-core3.14在Linux内核模块Rootkit检测中，使用kprobe技术可监控________系统调用表，若发现地址被改写，则判定为________类型Rootkit。答案：sys_call_table；inlinehook3.152026年新版《个人信息出境标准合同办法》规定，个人信息处理者需在合同生效之日起________个工作日内向所在地省级网信部门备案。答案：104.简答题（每题10分，共40分）4.1简述2026年新版《网络安全事件分级指南》中“重大（Ⅱ级）”事件的定量判定标准，并给出两条新增指标。答案：1.造成5个以上省级行政区关键业务系统中断3小时；2.泄露重要数据超过1TB或敏感个人信息超过100万条；3.直接经济损失1亿元以上10亿元以下；4.引发全国范围金融、能源、交通等行业连锁反应，影响用户超过500万；5.新增指标：a)导致证券交易所暂停交易2小时；b)造成5个以上三甲医院信息系统无法开展诊疗业务4小时。4.2描述在WindowsServer2026环境下，利用Sysmon与PowerShell进行“无文件”后门检测的三步方法，并给出关键日志字段。答案：第一步：部署Sysmon15.0，配置规则记录ProcessCreate（EventID1）与PipeCreated（EventID17），过滤powershell.exe、pwsh.exe；第二步：使用PowerShell命令Get-WinEvent-FilterHashtable@{LogName='Microsoft-Windows-Sysmon/Operational';ID=1}|Where-Object{$_.Message-match"powershell.-w.hidden.*-c"}定位隐藏窗口执行；第三步：关联Pipe事件，若发现命名管道名称匹配“\\.\pipe\MSSE-XXXX-server”，结合CommandLine字段包含“Invoke-Expression”或“IEX”，即可判定无文件后门。关键字段：CommandLine、ParentImage、PipeName、Hashes（SHA256）。4.3说明在容器云环境中，使用eBPF技术实现“容器逃逸”实时检测的原理，并给出核心eBPF程序框架。答案：原理：通过kprobe/sys_ptrace、kprobe/cap_capable跟踪容器进程是否获得宿主机CAP_SYS_ADMIN、是否调用ptrace附加到宿主机init；利用eBPFmap记录容器PID与挂载命名空间，若发现当前命名空间与初始命名空间不一致且调用setns(/proc/1/ns/mnt)，则判定逃逸。核心框架：```cSEC("kprobe/sys_setns")inttrace_setns(structpt_regs*ctx){u32pid=bpf_get_current_pid_tgid()>>32;structtask_structtask=(structtask_struct)bpf_get_current_task();u32current_ns=task->nsproxy->mnt_ns->ns.inum;u32*orig_ns=bpf_map_lookup_elem(&pid_to_ns,&pid);if(orig_ns&¤t_ns!=*orig_ns&¤t_ns==1)bpf_printk("ESCAPEDpid=%d",pid);return0;}```4.4阐述2026年新版《关键信息基础设施安全保护条例》对“应急演练复盘”环节的五项强制输出，并给出文档模板目录。答案：强制输出：1.演练总结报告；2.根因分析报告；3.整改清单及时限；4.演练过程原始日志（含流量、录像）；5.第三方测评意见。模板目录：1.封面（密级、版本号）2.演练概述（目标、范围、时间、组织）3.场景设计（攻击路径、TTP映射ATT&CK）4.演练执行（时间线、截图、日志索引）5.发现问题（技术、管理、合规）6.根因分析（5Why、鱼骨图）7.整改措施（责任人、资金、时限）8.复测计划9.附录（日志哈希、第三方签字）5.应用题（共50分）5.1计算题（10分）某企业遭受DDoS攻击，攻击流量为1.2Tbps，持续15分钟。已知该企业购买云清洗保底带宽为200Gbps，弹性后付费单价为0.3元/Gbps/小时，保底费用已含200Gbps。计算本次攻击产生的额外流量费用。答案：额外流量=1200200=1000Gbps时长=15min=0.25h费用=1000×0.25×0.3=75元5.2分析题（15分）给出一段Base64编码的PowerShell命令：```powershellpowershell-eJABHAEkAVABoAGEAdAA9AEcAaQB0AEgAdQBiAEIAcgBhAG4AYwBoACgAJwBtAGEAcwB0AGUAcgAnACkAOwBJAE4AVgBvAGsAZQAtAEUAeABwAHIAZQBzAHMAaQBvAG4AIAAkAEcAaQB0AGgAYQB0AA==```请解码并说明其功能，指出对应的MITREATT&CK技术编号。答案：解码后：```powershellGI```功能：从GitHub仓库master分支拉取代码并执行，实现无文件远程加载。技术编号：T1059.001（CommandandScriptingInterpreter:PowerShell）+T1105（IngressToolTransfer）。5.3综合题（25分）背景：2026年8月2日09:10，某市政务云监测到一台对外提供SSLVPN服务的虚拟机（IP5）CPU异常升高，流量突增到800Mbps。安全团队采集到如下信息：1.NetFlow显示大量UDP/443会话，单一会话持续<2