数据安全应急响应工程师岗位招聘考试试卷及答案

数据安全应急响应工程师岗位招聘考试试卷及答案一、填空题（每题1分，共10分）1.数据安全应急响应流程中，“事件确认与分级”的前一步是______。2.伪装成合法邮件窃取凭证的攻击是______。3.应急响应中隔离受感染主机的常用措施是______（写1种）。4.《网络安全法》要求网络运营者制定______。5.应急响应团队（CSIRT）的全称为______。6.追踪泄露数据流向的技术是______（写1种）。7.恢复业务系统的前提是确认______已清除。8.云服务商提供的DDoS防护工具是______（写1种）。9.数据安全事件上报监管部门的时限一般不超过______小时。10.记录事件时间、影响范围的文档是______。二、单项选择题（每题2分，共20分）1.应急响应流程正确顺序是？A.监测告警→分级响应→containment→根除→恢复→复盘B.分级响应→监测告警→containment→根除→恢复→复盘C.监测告警→containment→分级响应→根除→恢复→复盘D.监测告警→分级响应→根除→containment→恢复→复盘答案：A2.不属于containment措施的是？A.断网隔离受感染主机B.修改管理员密码C.备份受影响数据D.关闭漏洞服务答案：C3.数据泄露后需向谁报告？A.公安机关B.网信部门C.行业主管部门D.以上均需答案：D4.分析恶意代码的工具是？A.WiresharkB.IDAProC.NmapD.Nessus答案：B5.一般数据泄露事件影响个人信息数量是？A.100人以下B.1000人以下C.1万人以下D.10万人以下答案：A6.“根除”阶段的核心目标是？A.隔离系统B.清除攻击残留C.恢复业务D.总结经验答案：B7.属于内部威胁的是？A.黑客入侵B.员工误删敏感数据C.钓鱼攻击D.DDoS攻击答案：B8.应急响应团队核心职责不包括？A.事件监测B.漏洞修复C.事后复盘D.安全审计答案：D9.验证漏洞存在的工具是？A.MetasploitB.SnortC.SplunkD.OpenVAS答案：A10.数据泄露后首先采取的措施是？A.通知用户B.上报监管C.containmentD.分析攻击源答案：C三、多项选择题（每题2分，共20分）1.事后总结阶段包括？A.事件复盘B.漏洞修复验证C.预案更新D.员工培训E.报告撰写答案：ACDE2.属于containment措施的是？A.隔离受感染主机B.禁用可疑账号C.清除恶意代码D.阻断攻击流量E.备份数据答案：ABD3.应急响应遵循的原则有？A.最小影响B.可追溯C.合规性D.保密性E.及时性答案：ABCDE4.常见数据泄露载体有？A.邮件附件B.即时通讯工具C.移动存储设备D.云共享链接E.蓝牙传输答案：ABCD5.日志分析的作用是？A.定位攻击源B.确认攻击路径C.验证漏洞D.追踪时间线E.缓解DDoS答案：ABD6.《数据安全法》要求建立的制度有？A.应急响应制度B.分类分级保护制度C.数据出境制度D.数据加密制度E.数据备份制度答案：ABC7.应急响应团队组成包括？A.安全分析师B.系统管理员C.网络工程师D.法务人员E.公关人员答案：ABCDE8.属于数据安全事件的是？A.敏感数据泄露B.数据篡改C.数据不可用D.漏洞被利用E.员工违规访问答案：ABCDE9.阻断DDoS的措施有？A.流量清洗设备B.云DDoS防护C.修改DNS解析D.增加带宽E.关闭受攻击端口答案：ABCE10.事后复盘关键要素包括？A.事件背景B.响应回顾C.问题分析D.改进措施E.责任认定答案：ABCD四、判断题（每题2分，共20分）1.containment阶段优先临时措施而非永久措施。答案：对2.数据泄露后无需确认范围即可通知用户。答案：错3.网络运营者需每半年开展一次应急演练。答案：错4.恢复系统需验证无残留威胁。答案：对5.内部威胁比外部攻击更难检测。答案：对6.应急文档无需保存攻击样本。答案：错7.重大事件含10万人以上个人信息泄露。答案：对8.应急团队无需参与事前演练。答案：错9.先上报监管再采取containment措施。答案：错10.数据水印可追踪泄露来源。答案：对五、简答题（每题5分，共20分）1.简述数据安全应急响应核心步骤。答案：核心步骤为：①监测告警：工具发现异常；②确认分级：验证事件真实性并按影响分级；③containment：隔离受影响系统/账号，阻断扩散；④根除：清除攻击残留（恶意代码、漏洞）；⑤恢复：验证系统功能正常后恢复业务；⑥复盘：更新预案、修复漏洞、培训员工。每步遵循最小影响、合规原则。2.如何确定受影响用户范围？答案：①定位泄露数据类型（如个人信息）；②溯源存储位置（数据库、云存储）；③分析攻击路径（日志确认获取范围）；④对比备份验证泄露量；⑤提取泄露记录统计用户数。过程中需保护隐私，避免二次泄露。3.内部威胁应急响应的特殊注意事项？答案：①最小权限：响应人员不接触无关数据；②证据保全：记录操作日志、权限变更，避免篡改；③合规：联动法务、人力，不侵犯员工权益；④隔离控制：禁用可疑账号但保留记录；⑤事后改进：加强权限审计、行为监测。4.应急响应演练的主要目的？答案：①验证预案有效性；②提升团队协作与工具使用能力；③发现潜在风险（漏洞、响应延迟）；④满足合规要求（《数据安全法》）；⑤增强全员应急意识。需模拟真实场景（如数据泄露），事后复盘改进。六、讨论题（每题5分，共10分）1.大规模数据泄露（100万用户）时优先采取哪些措施？为什么？答案：优先：①containment：隔离数据库、关闭泄露接口（阻断扩散）；②证据保全：备份日志、样本（用于调查）；③上报联动：向监管、公安上报，联动法务公关（合规）；④初步评估：确认泄露数据类型与范围（为通知用户做准备）。原因：先控制扩散避免损失扩大，再处理后续，且需及时合规上报。2.如何平衡响应速度与证据保全