2025年计算机系统安全事件处理考试题及答案

2025年计算机系统安全事件处理考试题及答案一、单项选择题（每题2分，共20分）1.某金融机构检测到数据库服务器异常连接，经分析发现攻击者通过弱口令爆破获取管理员权限，此类安全事件按NISTSP800-61修订版分类应归为：A.恶意代码事件B.信息泄露事件C.非法访问事件D.拒绝服务事件2.计算机系统安全事件响应过程中，“遏制阶段”的核心目标是：A.收集证据链用于后续追责B.防止事件影响范围进一步扩大C.恢复系统至正常运行状态D.分析攻击路径及攻击者意图3.针对新型勒索软件“PhantomLocker”的应急处置中，优先操作应是：A.立即断网隔离受感染主机B.尝试使用解密工具恢复数据C.备份未加密的关键数据D.向公安机关报案4.根据《网络安全法》及《数据安全法》要求，发生导致50万条个人信息泄露的安全事件时，运营者向省级网信部门报告的时限为：A.1小时内B.24小时内C.3个工作日内D.72小时内5.日志分析中，用于判断攻击者是否完成横向移动的关键日志类型是：A.系统登录日志（SecurityEventLog）B.应用程序错误日志（ApplicationLog）C.防火墙流量日志（FirewallLog）D.DNS查询日志（DNSLog）6.某企业邮件服务器检测到大量指向内部OA系统的伪造登录请求，IP地址来自境外200+不同节点，此类攻击最可能的类型是：A.分布式拒绝服务（DDoS）B.暴力破解（BruteForce）C.钓鱼攻击（Phishing）D.供应链攻击（SupplyChainAttack）7.应急响应团队在处置APT攻击事件时，确认攻击者已植入持久化后门“Backdoor.XYZ”，清除该后门的正确操作是：A.直接终止进程并删除文件B.关闭服务后使用安全工具扫描残留C.格式化受感染分区后重装系统D.提取样本分析后通过补丁修复漏洞8.衡量安全事件响应效率的关键指标“MTTR”（平均修复时间）的计算范围是：A.从事件发生到事件确认B.从事件确认到完全恢复C.从事件发生到完全恢复D.从事件报告到责任认定9.某工业控制系统（ICS）因操作站感染恶意软件导致生产线停滞，应急处置中禁止直接断网的主要原因是：A.可能触发物理设备连锁故障B.影响远程运维指令传输C.破坏工业协议实时性要求D.导致历史数据丢失10.数据安全事件中，“数据脱敏”的核心目的是：A.减少存储成本B.防止敏感信息二次泄露C.满足数据备份要求D.提升数据处理效率二、填空题（每题2分，共20分）1.计算机系统安全事件分级的主要依据包括______、影响范围、恢复难度和社会影响。2.事件响应准备阶段的关键活动包括制定预案、______、资源储备和人员培训。3.网络流量分析中，检测异常通信的常用指标有______、通信频率、目的端口和数据量突变。4.根据《个人信息保护法》，发生个人信息泄露事件时，除向监管部门报告外，还应______告知受影响的个人。5.内存取证的核心工具是______，用于提取未写入磁盘的恶意进程和密钥信息。6.勒索软件事件中，判断是否支付赎金的关键依据是______、数据重要性和法律风险。7.安全事件调查报告的核心内容应包括事件经过、______、损失评估和改进建议。8.工业控制系统（ICS）的安全事件处置需特别关注______，避免因操作不当引发物理设备损坏。9.零信任架构下，安全事件检测的关键是______，通过持续验证访问请求的合法性。10.电子数据取证的“三性”要求是______、合法性和关联性。三、简答题（每题8分，共40分）1.简述计算机系统安全事件响应的“PDCERF”六阶段模型及其核心任务。2.列举5种常见的安全事件检测技术，并说明其适用场景。3.某企业发现财务系统数据库被非法导出，简述应急处置中证据固定的具体步骤。4.对比分析“主动防御”与“被动响应”在安全事件处理中的优缺点。5.结合《数据安全法》，说明数据安全事件报告需包含的关键信息。四、案例分析题（每题10分，共20分）案例1：某医疗信息系统于2025年3月15日14:00被监测到异常：13:30：HIS服务器CPU使用率从15%骤升至90%；13:45：数据库连接数超过阈值（200→500），部分查询超时；14:00：安全团队发现服务器进程中存在未知程序“medproc.exe”，经扫描确认该程序为新型勒索软件“MedLock”，已加密住院患者电子病历（约10万条）。请回答：（1）请列出事件响应的优先处置步骤（按顺序）；（2）针对患者电子病历泄露风险，需采取哪些合规性措施？案例2：某能源企业SCADA系统于2025年5月20日22:00接收到报警：21:40：工程师站日志显示异常SSH登录（IP：192.168.100.5，尝试次数20次/分钟）；21:50：交换机流量监控发现大量从工程师站到PLC控制器的Modbus/TCP数据包（正常时段无此类通信）；22:10：PLC控制器反馈“温度传感器读数异常”（实际温度30℃，读数显示80℃）。经调查，192.168.100.5为已离职工程师张某的办公电脑，其账号未及时注销。请回答：（1）判断该事件的类型及可能造成的后果；（2）说明防止此类事件再次发生的技术和管理措施。答案一、单项选择题1.C2.B3.C4.B5.A6.B7.D8.B9.A10.B二、填空题1.数据敏感性2.建立响应团队3.异常IP地址4.及时5.Volatility6.数据是否有备份7.技术分析结论8.物理安全9.持续身份验证10.真实性三、简答题1.PDCERF模型包括：准备（Preparation）：制定预案、培训团队、储备工具；检测（Detection）：通过监控工具发现异常；分析（Analysis）：确认事件性质、攻击路径；遏制（Containment）：隔离受影响系统，阻止扩散；恢复（Recovery）：修复漏洞，恢复数据和服务；总结（Post-EventReview）：复盘改进，更新预案。2.常见检测技术及场景：日志分析：适用于服务器、网络设备的异常操作追踪；入侵检测系统（IDS）：实时监控网络流量中的攻击特征；端点检测与响应（EDR）：终端设备的恶意进程和文件检测；威胁情报关联：通过已知恶意IP/域名匹配异常通信；异常行为分析（UEBA）：识别用户或系统的非典型操作（如深夜大额转账）。3.证据固定步骤：立即断开数据库服务器网络连接（仅保留取证接口）；使用写保护工具（如FTKImager）制作磁盘镜像；记录服务器当前运行状态（进程、网络连接、开放端口）；提取数据库日志（包括查询时间、用户、操作内容）；对镜像文件进行哈希校验（如SHA-256）并留存记录；由两名以上取证人员签字确认证据完整性。4.主动防御与被动响应对比：主动防御（如EDR、AI威胁预测）：优点是提前阻断攻击，减少损失；缺点是可能误报，增加系统开销；被动响应（如事件发生后的应急处置）：优点是针对性强，资源集中；缺点是响应滞后，可能已造成数据泄露或服务中断。5.《数据安全法》要求报告的关键信息：事件基本情况（时间、地点、系统/数据类型）；泄露或破坏的数据量及敏感性（如个人信息、重要数据）；已采取的应急措施（如隔离、数据备份）；影响评估（涉及用户数、可能造成的危害）；责任主体及联系方式（企业名称、负责人、联系人）。四、案例分析题案例1答案：（1）优先处置步骤：①立即隔离HIS服务器（断开与其他医疗系统的网络连接，保留管理端口用于取证）；②备份未加密的关键数据（通过只读方式复制到离线存储设备）；③终止“medproc.exe”进程（使用任务管理器或EDR工具），并扫描内存残留；④分析勒索软件样本（上传至沙箱，确认加密算法及是否有公开解密工具）；⑤启动数据恢复（使用最近的备份还原电子病历，无备份时评估是否支付赎金）；⑥向卫生健康主管部门及网信部门报告（24小时内）。（2）合规性措施：①对受影响患者进行告知（通过短信、APP推送等方式，说明泄露数据类型及可能风险）；②启动个人信息保护影响评估（PIA），分析泄露对患者权益的影响；③加强电子病历访问控制（如升级为多因素认证，限制夜间高权限操作）；④配合监管部门调查（提供事件日志、响应记录等证据）；⑤发布公开声明（澄清事件进展，承诺改进安全措施）。案例2答案：（1）事件类型及后果：类型：内部人员利用未注销账号实施的SCADA系统攻击（可能为破坏或数据篡改）；可能后果：PLC控制器接收错误温度数据，导致工业流程误动作（如误触发冷却系统关闭，引发设备过热损坏；或误启动紧急停机，造成生产中断）。（2）技术与管理措施：技术措施：①实施账号最小权限原则（工程师账号仅保留必要的PLC访问权限）；②启用多因素认证（MFA）对SCADA系统远程登录进行二次验证；③部署工业协议深度检测（如Modbus/TCP白名单，仅允许已知合法指令