网络安全应急响应技师考试试卷及答案

网络安全应急响应技师考试试卷及答案一、填空题（每题1分，共10分）1.网络安全应急响应流程的第一步是______。2.勒索软件（Ransomware）攻击的核心是______。3.应急响应中用于流量分析的常用工具是______。4.按照GB/T20984，网络安全事件分为______个级别。5.应急响应团队的英文缩写是______。6.应急响应中“遏制”阶段的核心是______。7.Windows系统中，系统日志默认存储在______。8.应急响应预案应至少______更新一次。9.数据泄露属于______类安全事件。10.应急响应事后总结的关键是______。二、单项选择题（每题2分，共20分）1.应急响应流程中，“检测”之后的步骤是？A.准备B.遏制C.根除D.恢复2.下列属于被动遏制措施的是？A.阻断恶意IPB.隔离受感染主机C.限制账户权限D.关闭服务3.Ransomware攻击后，优先需确认的是？A.赎金金额B.备份有效性C.恶意代码位置D.上报时间4.下列工具中，不属于应急响应检测工具的是？A.NessusB.WiresharkC.火绒D.Office5.按照GB/T20984，“造成特别严重危害”的事件属于？A.特别重大B.重大C.较大D.一般6.应急响应“恢复”阶段的核心目标是？A.系统重启B.数据恢复C.无残留恢复运行D.修复漏洞7.下列不属于事后总结内容的是？A.事件复盘B.预案改进C.团队培训D.立即部署新工具8.DDoS攻击应急响应中，优先采取的措施是？A.备份数据B.阻断异常流量C.清除恶意代码D.修补漏洞9.应急响应中，收集日志的目的不包括？A.溯源B.分析攻击路径C.评估危害D.直接清除恶意代码10.下列属于安全事件的是？A.系统正常更新B.用户密码错误登录C.网站被篡改D.邮件垃圾三、多项选择题（每题2分，共20分）1.应急响应核心流程包括哪些？A.准备B.检测C.遏制D.根除E.恢复2.主动遏制措施包括？A.阻断恶意IPB.隔离主机C.限制账户权限D.关闭受感染服务E.恢复数据3.应急响应需收集的日志类型有？A.系统日志B.应用日志C.安全设备日志D.用户操作日志E.浏览器缓存4.Ransomware攻击应对措施有？A.确认备份有效性B.隔离受感染主机C.联系供应商D.上报主管部门E.立即支付赎金5.网络安全事件分级依据包括？A.危害程度B.影响范围C.持续时间D.数据泄露量E.用户数量6.应急响应团队职责有？A.事件检测B.响应处置C.预案更新D.培训演练E.日常运维7.常见恶意代码检测工具包括？A.火绒终端安全B.360安全卫士C.NortonD.卡巴斯基E.Photoshop8.应急响应“根除”阶段的关键是？A.清除所有恶意残留B.修补相关漏洞C.验证系统完整性D.恢复数据E.隔离主机9.事后总结的目的是？A.改进预案B.优化流程C.提升团队能力D.避免重复发生E.立即追责10.下列属于安全事件的是？A.数据泄露B.DDoS攻击C.网站篡改D.系统被入侵E.系统正常补丁更新四、判断题（每题2分，共20分）1.应急响应流程第一步是检测。（）2.被动遏制比主动遏制更安全，应优先选择。（）3.Ransomware攻击后可直接重启系统。（）4.应急响应预案不需要定期演练。（）5.GB/T20984是网络安全事件分级标准。（）6.系统日志包含所有安全事件记录。（）7.遏制措施无需区分主动/被动，能控制即可。（）8.事后总结仅需撰写报告，无需改进。（）9.应急响应团队无需定期培训。（）10.数据泄露属于网络安全事件。（）五、简答题（每题5分，共20分）1.简述网络安全应急响应的核心流程。2.Ransomware攻击发生后，应急响应的关键步骤是什么？3.应急响应中，如何快速识别恶意代码？4.简述网络安全事件事后总结的主要内容。六、讨论题（每题5分，共10分）1.在DDoS攻击应急响应中，主动遏制与被动遏制的适用场景及注意事项是什么？2.针对企业核心业务系统的安全事件，应急响应团队应如何协调内外部资源？---参考答案一、填空题1.准备2.加密数据并索要赎金3.Wireshark4.45.CSIRT6.阻止事件扩散7.EventViewer8.每年9.信息泄露10.改进预案与流程二、单项选择题1.B2.B3.B4.D5.A6.C7.D8.B9.D10.C三、多项选择题1.ABCDE2.ACD3.ABCD4.ABCD5.ABCD6.ABCD7.ABCD8.ABC9.ABCD10.ABCD四、判断题1.×2.√3.×4.×5.√6.×7.×8.×9.×10.√五、简答题1.核心流程：①准备（预案、培训、工具）；②检测（发现异常并确认事件）；③遏制（阻止扩散）；④根除（清恶意代码、补漏洞）；⑤恢复（系统/数据正常运行）；⑥总结（复盘、优化）。2.关键步骤：①确认备份（离线优先）；②隔离受感染主机；③收集日志/样本；④评估危害；⑤处置（有效备份则恢复，否则联系专业团队）；⑥复盘优化。3.识别方法：①特征匹配（杀毒工具）；②行为分析（异常加密/连接）；③哈希校验（VT对比）；④日志溯源（异常进程/操作）；⑤沙箱分析（样本行为）。4.总结内容：①事件概述；②处置过程；③原因分析（漏洞/路径）；④危害评估；⑤改进措施（预案/培训）；⑥报告归档。六、讨论题1.适用场景及注意事项：主动遏制（阻断恶意IP）适用于流量明确场景，注意避免误断正常流量；被动遏制（引流清洗）适用于复杂攻击，