网络安全应急演练考试题及答案

网络安全应急演练考试题及答案一、单项选择题（每题2分，共20题，满分40分）1.按照国家标准《信息安全技术网络安全事件应急响应指南》（GB/T20984-2021），网络安全事件应急响应的第一个实施阶段是哪一项？A.遏制阶段B.检测阶段C.根除阶段D.恢复阶段2.开展网络安全应急演练的核心目的是以下哪一项？A.完成监管部门的考核要求，应付检查B.检验应急预案的实用性，磨合应急联动机制，提升参演人员应急处置能力C.展示单位网络安全建设成果D.考核网络安全部门的工作业绩3.某企业技术人员发现内网一台核心业务服务器已经被勒索软件加密，以下哪种处置操作是错误的？A.立即断开该服务器的网络连接，阻止攻击扩散B.对服务器内存、硬盘做完整镜像固化证据，留存勒索信样本C.为避免证据被破坏，不对受感染服务器做任何写入操作D.为尽快恢复业务，立即格式化所有受感染磁盘，重新部署系统4.根据网络安全等级保护2.0的相关要求，第三级信息系统运营使用单位，应当至少多久开展一次网络安全应急演练？A.每半年一次B.每年一次C.每两年一次D.每三年一次5.发生重大网络安全事件后，单位内部舆情处置工作的第一责任人是以下哪一个角色？A.单位网络安全管理员B.单位网络安全应急指挥机构总指挥C.单位专职舆情专员D.外包公关公司负责人6.根据《中华人民共和国个人信息保护法》规定，发生个人信息泄露事件后，个人信息处理者应当最迟在多少小时内向履行个人信息保护职责的部门报告？A.24小时B.48小时C.72小时D.96小时7.按照应急演练的组织形式划分，以下哪一项属于桌面演练的典型特点？A.需要动用实际生产业务系统开展处置操作B.针对真实发生的网络安全事件开展复盘处置C.基于预设场景开展讨论分析，不启动实际生产环境的处置流程D.需要协调多个外部单位共同开展现场处置8.企业安全运维人员收到态势感知平台发来的高危告警，提示某台对外提供服务的服务器存在异常出站连接，疑似被植入木马后门，以下哪一项是应当开展的第一步操作？A.立即断开该服务器的网络连接，防止数据外传B.向上级领导汇报，启动应急预案C.对告警信息进行验证，排查是否为误报D.直接对服务器进行杀毒操作9.根据《国家网络安全事件应急预案》，网络安全事件按危害程度从高到低分级，特别重大网络安全事件对应哪一级？A.一级B.二级C.三级D.四级10.根据网络安全等级保护的相关要求，单位网络安全日志、网络安全事件相关记录应当至少留存多长时间？A.3个月B.6个月C.12个月D.24个月11.单位遭遇勒索软件攻击，核心业务系统被加密，以下哪种处置做法是正确的？A.为尽快恢复业务，按照勒索信要求直接支付赎金B.第一时间隔离受感染资产，固化攻击证据，向属地网信部门和公安机关报案C.担心事件曝光影响单位声誉，隐瞒事件不报告，自行悄悄处置D.删除所有被感染的文件，直接从备份恢复业务，不需要留存证据12.在网络安全事件应急处置的证据提取环节，以下哪种操作顺序是正确的？A.先提取硬盘数据，再提取内存数据B.先提取易失性证据，再提取非易失性证据C.先删除可疑病毒文件，再提取合法证据D.先重启设备确认故障，再提取证据13.以下哪一项不属于网络安全应急演练后评估的核心内容？A.应急预案的完整性和实用性B.参演人员的应急响应速度和处置能力C.单位办公区域的环境舒适度D.应急物资、技术资源的保障能力14.单位遭遇上游供应链攻击，第三方供应商的系统漏洞导致本单位内网被入侵，应当第一时间联系以下哪一方？A.第三方供应商的应急对接负责人，确认漏洞详情和影响范围B.属地监管部门，立刻汇报请求处置C.公安机关，立刻报案抓人D.本单位的所有客户，通知客户立刻停止使用系统15.根据《中华人民共和国网络安全法》规定，关键信息基础设施运营者应当至少多久开展一次网络安全应急演练？A.每半年B.每年C.每两年D.每三年16.以下哪一种场景不属于网络安全应急演练的典型预设场景？A.核心业务系统遭遇勒索软件攻击B.大量用户个人信息泄露C.办公区域线路故障导致突发停电D.门户网站遭受大流量DDoS攻击导致无法访问17.网络安全应急演练结束后，最重要的后续工作是以下哪一项？A.解散参演人员，恢复日常工作秩序B.开展总结评估，针对发现的问题修订应急预案，补齐应急短板C.撰写演练报告上报监管部门完成任务即可D.清理演练用到的设备环境即可18.单位门户网站突发大流量DDoS攻击，导致网站无法正常访问，以下哪一项是优先采取的处置措施？A.立即将攻击流量牵引到流量清洗中心，开展流量清洗B.立即关闭网站服务器，避免服务器被打坏C.立即更换网站的公网IP地址D.立即向监管部门上报，等待监管指导处置19.发生个人信息泄露事件后，个人信息处理者通知受影响用户的内容中，不应当包含以下哪一项？A.泄露事件的基本情况和可能造成的影响B.已经采取和将要采取的补救措施C.所有受影响用户的完整个人信息明细D.用户咨询和联系的渠道20.以下哪一项是网络安全事件应急处置的首要原则？A.优先控制风险，防止事件扩大，保障业务连续性B.优先排查攻击来源，抓住攻击者C.优先恢复系统，不需要管证据留存D.优先上报监管，等待指示再处置二、多项选择题（每题3分，共10题，满分30分；多选、少选、错选均不得分）1.开展跨部门综合性网络安全应急演练，常见的参与方包括以下哪些主体？A.单位内部网络安全技术团队B.单位核心业务系统运营部门C.单位网络安全应急指挥管理团队D.属地网信、公安等监管部门对接人员E.合作安全厂商的应急响应工程师团队2.企业技术人员发现内网服务器被勒索软件感染后，以下哪些操作是明确禁止的？A.直接重启受感染服务器排查故障B.格式化受感染磁盘清除病毒C.将受感染服务器连接到内部共享存储，排查其他设备是否感染D.在受感染服务器上安装杀毒软件进行全盘扫描3.网络安全应急演练结束后形成的总结评估报告，应当包含以下哪些核心内容？A.本次演练的基本概况，包括演练目标、场景、参与人员、流程安排B.本次演练暴露的问题，包括预案漏洞、人员能力不足、资源缺失等C.针对发现问题的具体整改措施、责任人和整改时限D.对本次演练参演人员的考核结果和奖惩建议4.根据《国家网络安全事件应急预案》，网络安全事件按照危害程度和影响范围，分为哪几个等级？A.特别重大网络安全事件B.重大网络安全事件C.较大网络安全事件D.一般网络安全事件5.单位发生重大数据泄露事件后，按照相关法律法规要求，需要向以下哪些部门报告情况？A.属地网信部门B.对应行业主管部门C.属地公安机关D.如果涉及大量个人信息，还需要向属地电信主管部门报告6.相较于实战演练，桌面演练的优势包括以下哪些？A.组织成本低，不需要动用生产业务资源B.可以锻炼各部门参演人员的沟通协调能力C.不会对实际业务运行产生影响，风险极低D.可以完全替代实战演练检验处置能力7.单位的网络安全应急保障资源通常包含以下哪些内容？A.备用网络带宽、备用服务器等硬件资源B.应急响应工具、病毒样本库、漏洞扫描工具等技术资源C.离线备份的核心业务数据D.提前签约的外部安全厂商应急响应服务团队8.APT（高级持续性威胁）攻击的典型特点包括以下哪些？A.攻击潜伏期长，通常会在内网潜伏数月甚至数年不被发现B.攻击针对性强，通常以窃取单位核心涉密数据、商业机密为目标C.攻击手段复杂，会结合零日漏洞、社会工程学等多种手段突破防御D.破坏力大，一旦成功窃取数据会给单位造成重大损失9.发生网络安全事件引发舆情后，以下哪些舆情处置做法是正确的？A.及时主动发声，第一时间向公众通报基本情况，避免谣言滋生B.统一信息发布口径，由单位指定的专门发言人对外发布信息C.根据事件处置进展，及时更新发布相关信息，保障公众知情权D.为了避免负面影响，隐瞒事件真实情况，误导公众10.开展正式网络安全应急演练前，需要完成以下哪些准备工作？A.明确演练目标和场景，制定详细的演练实施方案B.准备演练所需的环境、工具、文档等物资C.对参演人员开展提前培训，明确演练流程和各自职责D.协调参与演练的内部部门和外部单位，提前沟通好演练相关安排三、判断题（每题1分，共10题，满分10分；正确打√，错误打×）1.网络安全应急演练的主要作用就是应付监管检查，不需要真的发现问题和整改。2.遭遇勒索软件攻击后，为了尽快恢复业务，应当直接支付赎金，不需要向监管部门报告。3.网络安全事件应急处置的核心原则之一是优先保障核心业务连续性，控制事件影响范围，避免事件扩大。4.在提取网络安全事件证据时，应当先提取非易失性证据，再提取易失性证据。5.根据《中华人民共和国网络安全法》要求，关键信息基础设施运营者应当每年至少开展一次网络安全应急演练。6.桌面演练不需要提前制定场景和脚本，随意组织人员讨论即可达到演练目的。7.《中华人民共和国个人信息保护法》明确要求，发生个人信息泄露事件后，个人信息处理者应当在72小时内上报监管部门。8.门户网站遭遇DDoS攻击后，应当直接关闭网站服务器，避免攻击扩大，减少损失。9.应急演练结束后，针对演练暴露出来的应急预案漏洞和应急短板，应当及时修订预案、补充资源，完成整改。10.只要单位部署了足够多的安全防护设备，就不会发生网络安全事件，因此不需要开展应急演练。四、案例分析题（每题10分，共2题，满分20分）1.案例背景：某市属三甲医院，核心HIS系统（医院信息系统，支撑挂号、收费、住院结算、医生开单等全流程核心业务）部署在本地机房，2022年通过网络安全等级保护三级测评，日常数据备份策略为每天凌晨1点做全量数据备份，备份文件存储在本地机房同一区域的共享存储设备中。2024年5月12日，医院信息科早班值班人员8点巡检时发现，所有HIS系统服务器的业务数据文件全部被加密，文件后缀统一改为“.lockbit”，服务器桌面留下电子版勒索信，要求支付300万元比特币赎金才可获取解密密钥。此时门诊已经开诊，大量患者排队无法挂号结算，现场出现混乱。信息科负责人接到报告后，第一时间安排技术人员逐个重启服务器尝试清除病毒，随后向院领导汇报情况，为了尽快恢复业务，安排人员联系勒索信中留下的联系方式，准备协商赎金支付事宜。请结合以上案例回答以下问题：（1）请指出该医院在本次事件处置过程中存在哪些错误操作，并说明理由。（4分）（2）请写出本次勒索软件攻击事件正确的应急处置流程。（3分）（3）请指出该医院日常应急准备工作存在哪些漏洞，提出对应的整改措施。（3分）2.案例背景：某国内中型互联网电商平台，累计注册用户超过5200万，平台存储了所有注册用户的姓名、手机号、收货地址、身份证号等个人信息，平台所有业务系统部署在国内某主流公有云平台。2024年3月15日，平台安全运维团队监测到态势感知系统发出高危告警：有陌生IP从境外多次尝试访问平台用户核心数据库，经过初步排查，安全团队发现数据库服务器存在未及时更新的Redis未授权访问漏洞，攻击者已经利用漏洞下载了超过120万条用户个人信息，随后安全团队发现多个海外黑产论坛和社交平台已经出现兜售该平台用户数据的帖子，部分用户接到诈骗电话后打电话到平台询问，多家本地媒体开始报道该事件，引发负面舆情。请结合以上案例回答以下问题：（1）该平台发生本次个人信息泄露事件后，按照法律法规要求，应当向哪些部门报告，报告时限是多久？（3分）（2）针对本次事件引发的负面舆情，平台应当如何正确开展舆情处置？（3分）（3）如果针对该场景开展桌面应急演练，请写出桌面演练的主要环节设置。（4分）参考答案与解析一、单项选择题1.答案：B解析：根据国家标准GB/T20984-2021《信息安全技术网络安全事件应急响应指南》，应急响应正式实施阶段的顺序为：检测阶段、遏制阶段、根除阶段、恢复阶段、总结阶段，因此第一个实施阶段是检测阶段，本题选择B。2.答案：B解析：网络安全应急演练的核心目的是检验预案的可行性，磨合各部门之间的联动机制，提升应急处置人员的实战能力，应对监管要求、展示成果、考核业绩都属于附带目的，不是核心，因此本题选择B。3.答案：D解析：发现勒索软件感染后，立即格式化受感染磁盘会彻底破坏攻击证据，不利于后续溯源调查，同时也会增加数据恢复的难度，是错误操作。其他选项操作均符合处置规范，因此本题选择D。4.答案：B解析：网络安全等级保护2.0要求，二级信息系统每两年至少开展一次应急演练，三级信息系统每年至少开展一次应急演练，因此本题选择B。5.答案：B解析：网络安全事件的舆情处置工作由单位应急指挥机构统一领导，总指挥作为第一责任人负责统筹舆情应对工作，舆情专员、外包人员都是执行人员，不是第一责任人，因此本题选择B。6.答案：C解析：《中华人民共和国个人信息保护法》第五十五条明确规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人，按照要求应当在72小时内完成上报，因此本题选择C。7.答案：C解析：桌面演练是指参演人员依托预设的事件场景，通过讨论、推演的方式开展应急演练，不需要动用实际生产系统，也不需要开展现场处置，因此C选项符合桌面演练的特点，其他选项都是实战演练的特点。8.答案：C解析：安全设备发出的告警存在一定误报率，接到告警后第一步需要验证告警的真实性，排查误报，确认存在攻击后再开展隔离、上报等操作，因此本题选择C。9.答案：A解析：《国家网络安全事件应急预案》明确规定，网络安全事件分为四级：特别重大（一级）、重大（二级）、较大（三级）、一般（四级），因此特别重大对应一级，本题选择A。10.答案：B解析：网络安全等级保护相关要求明确规定，网络日志、事件记录应当至少留存6个月，因此本题选择B。11.答案：B解析：遭遇勒索软件攻击后，正确流程是第一时间隔离受感染资产，固化攻击证据，向网信部门和公安机关报案，配合调查，支付赎金不仅存在无法解密的风险，还可能涉嫌违法，隐瞒事件不报告、删除证据都是错误操作，因此本题选择B。12.答案：B解析：易失性证据（如内存数据、运行中的进程信息等）会在断电、重启后消失，因此证据提取应当遵循先易失性、后非易失性的顺序，本题选择B。13.答案：C解析：应急演练评估围绕预案、人员、资源三个核心维度展开，单位办公环境舒适度和应急演练评估无关，因此本题选择C。14.答案：A解析：发生供应链攻击后，第一时间应当联系上游供应商的应急对接人，确认漏洞详情、影响范围和已有的处置方案，再根据事件严重程度决定是否上报监管、公安，通知客户，因此本题选择A。15.答案：B解析：《中华人民共和国网络安全法》第三十四条规定，关键信息基础设施运营者应当定期开展应急演练，至少每年开展一次，因此本题选择B。16.答案：C解析：办公区域突发停电属于后勤保障应急事件，不属于网络安全事件，因此不是网络安全应急演练的典型场景，本题选择C。17.答案：B解析：应急演练的核心价值就是通过演练发现问题，因此演练结束后最重要的工作就是总结评估，整改问题，修订预案，其他选项都是常规工作，不是核心，因此本题选择B。18.答案：A解析：DDoS攻击发生后，优先处置动作是牵引攻击流量到清洗中心，清洗恶意流量，保障正常访问，直接关闭服务器会导致业务完全中断，扩大损失，更换IP、上报都不是优先处置动作，因此本题选择A。19.答案：C解析：通知受影响用户时，不能泄露所有用户的完整个人信息明细，否则会造成二次泄露，因此本题选择C。20.答案：A解析：网络安全应急处置的首要原则是控制风险，防止事件扩大，优先保障核心业务的连续性，减少事件造成的损失，其他选项都偏离了首要原则，因此本题选择A。二、多项选择题1.答案：ABCDE解析：综合性网络安全应急演练通常需要内部技术、业务、指挥团队参与，如果涉及监管对接或者外部技术支撑，还需要监管部门对接人员、安全厂商应急团队参与，因此所有选项均正确。2.答案：ABCD解析：以上四种操作都是错误的：直接重启服务器会丢失内存中的易失性证据，格式化磁盘会破坏所有攻击证据，连接共享存储会导致勒索病毒扩散到更多设备，在受感染服务器安装软件会覆盖磁盘原有数据，破坏证据，因此所有选项均符合题意。3.答案：ABCD解析：应急演练总结评估报告需要包含演练概况、暴露的问题、整改措施、人员考核四个部分，因此所有选项均正确。4.答案：ABCD解析：《国家网络安全事件应急预案》明确将网络安全事件分为特别重大、重大、较大、一般四个等级，因此所有选项均正确。5.答案：ABCD解析：根据《网络安全法》《数据安全法》《个人信息保护法》的要求，发生重大数据泄露事件后，需要向属地网信部门、行业主管部门、公安机关报告，涉及个人信息的还需要向电信主管部门报告，因此所有选项均正确。6.答案：ABC解析：桌面演练无法替代实战演练检验实际处置能力，桌面演练只能锻炼协调能力和预案熟悉程度，因此D选项错误，ABC选项正确。7.答案：ABCD解析：网络安全应急资源包含硬件资源、技术资源、数据备份资源、外部支撑资源四个部分，所有选项均正确。8.答案：ABCD解析：APT攻击的典型特点就是潜伏期长、针对性强、手段复杂、破坏力大，四个选项均符合APT攻击的特征，因此全选。9.答案：ABC解析：隐瞒事件真实情况是错误的舆情处置做法，会导致谣言扩散，负面影响扩大，因此D选项错误，ABC选项正确。10.答案：ABCD解析：演练前需要完成方案制定、物资准备、人员培训、协调沟通四个方面的准备工作，所有选项均正确，因此全选。三、判断题1.答案：×解析：网络安全应急演练的核心目的是发现应急工作中的短板，提升处置能力，不是单纯应付检查，因此本题错误。2.答案：×解析：支付赎金会助长勒索犯罪，同时按照法律法规要求，发生重大网络安全事件必须向监管部门报告，因此本题错误。3.答案：√解析：应急处置的核心原则包含“先控制后根除，优先保障业务连续性”，因此本题正确。4.答案：×解析：证据提取顺序是先易失性后非易失性，易失性证据容易丢失，因此本题错误。5.答案：√解析：《网络安全法》明确要求关键信息基础设施运营者每年至少开展一次应急演练，因此本题正确。6.答案：×解析：不管是桌面演练还是实战演练，都需要提前制定场景、脚本和流程，随意讨论无法达到演练目的，因此本题错误。7.答案：√解析：《个人信息保护法》明确要求72小时上报，因此本题正确。8.答案：×解析：DDoS攻击发生后应当优先开展流量清洗，保障业务可用，直接关闭服务器会导致业务中断，扩大损失，因此本题错误。9.答案：√解析：演练发现问题后必须及时整改修订预案，才能提升应急能力，因此本题正确。10.答案：×解析：没有绝对安全的防护，任何单位都可能发生网络安全事件，因此必须开展应急演练提升处置能力，本题错误。四、案例分析题1.参考答案：（1）该医院处置过程中的错误操作共有三处：①安排技术人员逐个重启服务器是错误操作。理由：重启服务器会清除内存中的易失性攻击证据，不利于后续溯源调查，同时也可能导致潜伏在内存中的勒索病毒进一步扩散。②未第一时间隔离攻击源就开展其他操作是错误的。理由：该医院的备份存储和受感染服务器在同一内网，未及时隔离会导致备份文件也被加密，彻底丧失数据恢复的可能，扩大事件损失。③未上报监管就直接联系攻击者协商赎金是错误操作。理由：按照相关规定，发生重大网络安全事件应当第一时间向属地网信部门和公安机关报告，支付赎金不仅存在无法获取解密密钥的风险，还涉嫌纵容网络犯罪，违反监管要求。（每个错误及理由1分，答对4点即可得满分，本题共4分）（2）本次勒索软件攻击事件正确的应急处置流程为：①检测确认：确认勒索攻击事件性质，核实受影响的系统范围和业务影响程度，同步通知应急指挥中心启动应急响应；②遏制隔离：第一时间断开所有受感染服务器的网络连接，断开核心备份存储的网络连接，阻断攻击扩散路径；③证据固化：对所有受感染设备的内存、硬盘做完整镜像备份，留存勒索信样本、攻击流量日志等原始证据；④分级上报：向医院应急指挥中心、属地卫生健康行业主管部门、网信部门、公安机关上报事件详情；⑤根除恢复：对未受感染的系统进行全面漏洞排查，关闭攻击入口，使用干净的离线备份逐步恢复核心业务系统，优先保障门诊、急诊等核心业务运行；⑥总结整改：开展事件复盘，排查安全短板，完善应急预案和备份策略。（答对核心流程即可给分，本题3分）（3）日常应急准备的漏洞和整改措施：漏洞：第一，备份策略不合理，备份存储和生产系统放在同一机房同一内网，未做异机离线备份，一旦发生勒索攻击，备份会一并被加密，导致备份完全失效；第二，未制定勒索软件事件专项应急预案，发生事件后处置职责不清，流程混乱；第三，未定期开展勒索软件专项应急演练，应急处置人员对处置流程不熟悉，能力不足。整改措施：第一，采用“异城三地多备份”的备份策略，核心医疗数据必须保留离线异机备份，定期验证备份的可恢复性；第二，制定勒索软件专项应急预案，明确各岗位处置职责，细化处置流程；第三，每年至少开展一