2025年7月1+X中級應(yīng)急響應(yīng)復(fù)習(xí)題（附參考答案）一、多選題（共20題，每題1分，共20分）1.業(yè)務(wù)系統(tǒng)面臨的風(fēng)險主要包括()A、內(nèi)部風(fēng)險B、特別風(fēng)險C、外部風(fēng)險D、其他風(fēng)險2.路由器加固中日志安全要求有()A、遠程日志功能B、記錄用戶對設(shè)備的操作C、開啟NTP服務(wù)保證記錄的時間的準(zhǔn)確性D、對用戶登錄進行記錄3.HTTP請求包括三部分,分別是()A、請求正文B、請求頭C、請求行4.日志分析的方法有()A、關(guān)聯(lián)分析B、關(guān)鍵字分析C、詳細分析D、統(tǒng)計分析5.Windows事件日志記錄內(nèi)容有:()A、USB易懂截B、用戶修改系統(tǒng)事件C、遠程桌面訪問D、網(wǎng)絡(luò)連接E、USB移動介質(zhì)插入\拔出F、硬件變化6.業(yè)務(wù)系統(tǒng)加固方式包括哪幾種()A、修復(fù)邏輯漏洞B、修復(fù)系統(tǒng)漏洞C、防止漏洞掃描端口掃描D、web漏洞修復(fù)E、外部風(fēng)險加固7.Weblogic日志地日志類型包括()A、access.ogB、domainlogC、serverlogD、jisdalog8.wireshark的常用功能有哪些?()A、應(yīng)用程序分析B、網(wǎng)絡(luò)安全分析C、故障任務(wù)D、分析一般任務(wù)9.應(yīng)急演練的總結(jié)有?()A、成果運用B、文件歸檔C、考核獎懲D、演練總結(jié)E、演練評估10.下列中HTTP協(xié)議版本有。()A、HTTP/1.1B、HTTP/1.0C、HTTP/2D、HTTP/0.911.病毒有什么特征?()A、寄生性B、隱藏性C、破壞性D、觸發(fā)性E、傳染性12.Wireshark的分析一般任務(wù)是()?A、驗證特有的網(wǎng)絡(luò)操作B、查看某主機使用了哪些程序C、查看網(wǎng)絡(luò)通信D、找出在一個網(wǎng)絡(luò)內(nèi)發(fā)送的數(shù)據(jù)包最多的主機E、分析特定主機或網(wǎng)絡(luò)的數(shù)據(jù)13.Windows日志文件通常分為()A、應(yīng)用程序日志B、安全日志C、系統(tǒng)日志14.商業(yè)情報與開源情報的區(qū)別()A、持續(xù)的人工運營投入B、商業(yè)情報的更新周期相對固定,且頻率較高C、商業(yè)情報有專門的情報供應(yīng)鏈商對情報質(zhì)量負責(zé)D、商業(yè)情報的數(shù)據(jù)維度豐富,數(shù)據(jù)關(guān)聯(lián)性強15.演練組織架構(gòu)包括以下哪些()A、參演機構(gòu)B、指揮機構(gòu)C、管理部門16.業(yè)務(wù)系統(tǒng)面臨的風(fēng)險的外部風(fēng)險有哪些?()A、系統(tǒng)漏洞B、漏洞掃描、端口掃描C、拒絕服務(wù)D、web漏洞E、邏輯漏洞F、信息泄露G、口令爆破17.以下哪個不是路由器加固的要求?()A、IP協(xié)議安全要求B、數(shù)據(jù)備份要求C、災(zāi)難恢復(fù)要求D、日志安全要求18.文件信譽包括()。A、提供明確的惡意類型和家族信息B、可提供本地CacheC、可提供對應(yīng)的網(wǎng)絡(luò)IOC作為分析使用D、云端多引擎檢測,效果優(yōu)于任何單一引擎檢測19.情報數(shù)據(jù)包含()。A、文件信譽B、IP信譽C、個人信譽20.數(shù)據(jù)庫面臨的分險是?()A、數(shù)據(jù)庫本身故障B、口令破解C、數(shù)據(jù)庫漏洞利用D、SQL注入二、判斷題（共20題，每題1分，共20分）1.大多時候,應(yīng)急演練組織并不是常設(shè)機構(gòu),而是根據(jù)每次演練的形式單獨組建。()A、正確B、錯誤2.應(yīng)急演練實施小組是網(wǎng)絡(luò)安全應(yīng)急演練工作的防守方和針對者,是針對網(wǎng)絡(luò)安全突發(fā)事件的模擬場景做出應(yīng)急響應(yīng)的準(zhǔn)備A、正確B、錯誤3.病毒排查可以通過清除powershell和cmd的開機啟動程序。()A、正確B、錯誤4.1994年6月18日頒布實施的《中華人民共和國計算機信息系統(tǒng)安全保護條例》。()A、正確B、錯誤5.http協(xié)議支持客戶端/服務(wù)端模式,也是一種請求/響應(yīng)模式的協(xié)議()A、正確B、錯誤6.數(shù)據(jù)的統(tǒng)計只能顯示單個IP會話間的數(shù)據(jù)統(tǒng)計。()A、正確B、錯誤7.震網(wǎng)病毒的歷史評價是全球第二種投入實戰(zhàn)的“網(wǎng)絡(luò)武器”()A、正確B、錯誤8.業(yè)務(wù)系統(tǒng)一般是指企業(yè)信息管理系統(tǒng)(RIP)、協(xié)同管理系統(tǒng)()、市場營銷管理、生產(chǎn)制造系統(tǒng)(ERP)、財務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、資產(chǎn)管理系統(tǒng),還有一些企業(yè)也會涉及到項目管理系統(tǒng),合同管理系統(tǒng)等。(對)A、正確B、錯誤9.選擇會話鏈接,右鍵【追蹤流】-【TCP流】,發(fā)現(xiàn)這是一個shell會話以及攻擊者執(zhí)行的命令。()A、正確B、錯誤10.HTTP狀態(tài)碼305的意思是被請求的資源必須通過指定的代理才能被訪問()A、正確B、錯誤11.【tcp】顯示所有TCP80端口的流量。()A、正確B、錯誤12.Wireshark提供了數(shù)據(jù)統(tǒng)計功能,對照OSI七層模型,統(tǒng)計各層協(xié)議分布情況,數(shù)據(jù)包的數(shù)量,流量及占比情況。()A、正確B、錯誤13.【http.request==1】是過濾所有的HTTP響應(yīng)包。()A、正確B、錯誤14.木馬型病毒是指在用戶不知道也不允許的情況下,在被感染的系統(tǒng)上以隱蔽的方式運行,而且用戶無法通過正常的方法禁止其運行()A、正確B、錯誤15.目標(biāo)地址為固定的真地址,這種情況下目的地址通常是被異常流量的對象()A、正確B、錯誤16.APT攻擊即高級可持續(xù)威脅攻擊,也稱為定向威脅攻擊,指某組織對特定對象展開的持續(xù)有效的攻擊活動()A、正確B、錯誤17.APT攻擊,即高級可持續(xù)威脅攻擊,也稱為定向威攻擊,指某組織對特定對象展開的持續(xù)有效的攻擊活動()A、正確B、錯誤18.Wireshark是一個網(wǎng)絡(luò)封包分析軟件。()A、正確B、錯誤19.一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流,且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號()A、正確B、錯誤20.安全策略是由匹配條件和動作組成的控制規(guī)則,可以基于IP、端口、協(xié)議等屬性進行細化的控制。()A、正確B、錯誤答案與解析一、多選題答案1.參考答案：【CD】2.參考答案：【ABCD】答案說明：A選項對用戶登錄進行記錄，可追蹤用戶訪問路由器的行為；B選項記錄用戶對設(shè)備的操作，有助于了解配置更改等情況；C選項開啟NTP服務(wù)保證記錄時間的準(zhǔn)確性，方便后續(xù)對日志進行準(zhǔn)確分析；D選項遠程日志功能便于將日志傳輸?shù)桨踩奈恢眠M行集中管理和分析，這些都是路由器加固中日志安全的重要要求。3.參考答案：【ABC】答案說明：HTTP請求的三部分分別為：請求行，它包含請求方法（如GET、POST等）、請求的URL和HTTP協(xié)議版本；請求頭，用于傳遞額外的信息，如用戶代理、內(nèi)容類型等；請求正文，當(dāng)使用POST等方法時，用于傳輸數(shù)據(jù)。4.參考答案：【ABD】答案說明：1.**關(guān)鍵字分析**：通過特定的關(guān)鍵字來快速定位和篩選日志中的相關(guān)信息，能幫助我們聚焦關(guān)鍵事件。例如，在大量的系統(tǒng)操作日志中查找包含“錯誤”關(guān)鍵字的記錄，可迅速發(fā)現(xiàn)系統(tǒng)運行過程中的故障信息。2.**統(tǒng)計分析**：對日志中的數(shù)據(jù)進行統(tǒng)計計算，如統(tǒng)計特定時間段內(nèi)的事件發(fā)生次數(shù)、不同類型日志的占比等?？梢粤私庀到y(tǒng)的使用模式、活動頻率等情況。比如統(tǒng)計一天內(nèi)某個接口的調(diào)用次數(shù)，分析其使用高峰和低谷時段。3.**關(guān)聯(lián)分析**：發(fā)現(xiàn)日志中不同事件之間的關(guān)聯(lián)關(guān)系，找出潛在的問題或模式。例如，發(fā)現(xiàn)某個用戶在進行特定操作前頻繁出現(xiàn)另一個相關(guān)的提示信息，從而推斷出操作流程中的可能問題。詳細分析不屬于日志分析的常見方法類別。5.參考答案：【ABCDEF】答案說明：Windows事件日志記錄的內(nèi)容非常廣泛，包括硬件變化、網(wǎng)絡(luò)連接、USB設(shè)備的插拔操作、用戶對系統(tǒng)事件的修改以及遠程桌面訪問等各個方面的信息。這些日志對于系統(tǒng)故障排查、安全審計等都具有重要意義。6.參考答案：【ABCDE】答案說明：-**A選項外部風(fēng)險加固**：可以從業(yè)務(wù)系統(tǒng)外部環(huán)境的角度，對可能存在的風(fēng)險進行加固，比如設(shè)置合理的訪問控制策略防止外部非法訪問等，有助于提升業(yè)務(wù)系統(tǒng)安全性。-**B選項web漏洞修復(fù)**：業(yè)務(wù)系統(tǒng)若存在web相關(guān)的漏洞，如SQL注入、跨站腳本攻擊等漏洞，修復(fù)這些漏洞能有效防止攻擊者利用漏洞入侵系統(tǒng)，屬于業(yè)務(wù)系統(tǒng)加固方式。-**C選項防止漏洞掃描端口掃描**：通過采取技術(shù)手段，如設(shè)置防火墻規(guī)則限制外部對特定端口的掃描探測，避免業(yè)務(wù)系統(tǒng)暴露潛在的漏洞信息，保障系統(tǒng)安全，是加固業(yè)務(wù)系統(tǒng)的一種方式。-**D選項修復(fù)系統(tǒng)漏洞**：操作系統(tǒng)及相關(guān)軟件的漏洞可能被攻擊者利用來突破業(yè)務(wù)系統(tǒng)防線，及時修復(fù)系統(tǒng)漏洞是加固業(yè)務(wù)系統(tǒng)的重要基礎(chǔ)工作。-**E選項修復(fù)邏輯漏洞**：業(yè)務(wù)系統(tǒng)自身可能存在邏輯設(shè)計上的漏洞，如業(yè)務(wù)流程中的權(quán)限繞過、數(shù)據(jù)處理邏輯錯誤等，修復(fù)這些邏輯漏洞能使業(yè)務(wù)系統(tǒng)更加健壯安全。7.參考答案：【ABC】答案說明：Weblogic日志的日志類型包括access.log（訪問日志）、serverlog（服務(wù)器日志）、domainlog（域日志）等。而jisdalog并不是Weblogic日志的標(biāo)準(zhǔn)類型。8.參考答案：【ABCD】答案說明：1.**分析一般任務(wù)**：-可以捕獲網(wǎng)絡(luò)數(shù)據(jù)包，對網(wǎng)絡(luò)流量進行實時監(jiān)測。通過查看數(shù)據(jù)包的源IP、目的IP、端口號、協(xié)議類型等信息，分析網(wǎng)絡(luò)中數(shù)據(jù)的傳輸情況，比如判斷網(wǎng)絡(luò)連接是否正常、數(shù)據(jù)傳輸?shù)姆较虻取＠?，在一個局域網(wǎng)中，可以通過Wireshark捕獲數(shù)據(jù)包來查看不同設(shè)備之間的通信情況，確定是否存在異常的流量模式。2.**故障任務(wù)**：-當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，如網(wǎng)絡(luò)連接中斷、應(yīng)用程序無法正常通信等，Wireshark可以幫助定位問題。通過分析捕獲的數(shù)據(jù)包，可以查看是否有丟包、重傳、錯誤的協(xié)議交互等情況。比如，如果某個應(yīng)用程序無法訪問服務(wù)器，通過Wireshark捕獲網(wǎng)絡(luò)數(shù)據(jù)包，檢查是否有TCP連接建立失敗、數(shù)據(jù)包被防火墻攔截等問題。3.**網(wǎng)絡(luò)安全分析**：-檢測網(wǎng)絡(luò)中的安全威脅，如嗅探攻擊、端口掃描、惡意軟件通信等?？梢圆榭磾?shù)據(jù)包中的內(nèi)容，檢測是否存在敏感信息泄露，如密碼、信用卡號等在網(wǎng)絡(luò)中以明文形式傳輸。例如，分析數(shù)據(jù)包是否存在異常的端口連接，判斷是否有黑客正在進行端口掃描探測內(nèi)部網(wǎng)絡(luò)的安全性。4.**應(yīng)用程序分析**：-分析特定應(yīng)用程序在網(wǎng)絡(luò)中的通信行為。不同的應(yīng)用程序使用不同的協(xié)議和端口進行通信，通過Wireshark可以深入了解應(yīng)用程序與服務(wù)器之間交換的數(shù)據(jù)內(nèi)容和格式。比如，分析HTTP應(yīng)用程序的數(shù)據(jù)包，可以查看請求的網(wǎng)頁內(nèi)容、服務(wù)器返回的狀態(tài)碼等信息，有助于優(yōu)化應(yīng)用程序的性能或排查應(yīng)用程序與服務(wù)器交互過程中的問題。9.參考答案：【ABCDE】答案說明：應(yīng)急演練總結(jié)包含多個方面。演練評估是對演練效果等進行評價分析；演練總結(jié)全面梳理演練過程等情況；文件歸檔將演練相關(guān)資料妥善保存；考核獎懲用于激勵相關(guān)人員；成果運用則把演練中獲得的經(jīng)驗等應(yīng)用到實際工作中，這些都是應(yīng)急演練總結(jié)的重要內(nèi)容。10.參考答案：【ABCD】答案說明：HTTP協(xié)議有多個版本，常見的包括HTTP/0.9、HTTP/1.0、HTTP/1.1以及HTTP/2等。HTTP/0.9是最早的版本，功能較為簡單；HTTP/1.0在其基礎(chǔ)上進行了擴展；HTTP/1.1是廣泛使用的版本，引入了許多重要特性；HTTP/2則在性能等方面有進一步提升。11.參考答案：【ABCDE】答案說明：病毒具有破壞性，會破壞計算機系統(tǒng)或數(shù)據(jù)；具有隱藏性，不易被發(fā)現(xiàn)；具有傳染性，可通過各種途徑傳播；具有觸發(fā)性，在特定條件下發(fā)作；具有寄生性，依附在其他程序或文件上。12.參考答案：【ABCDE】答案說明：Wireshark是一款網(wǎng)絡(luò)協(xié)議分析軟件，其分析的一般任務(wù)包括查看網(wǎng)絡(luò)通信，能直觀呈現(xiàn)網(wǎng)絡(luò)中數(shù)據(jù)包的交互情況；查看某主機使用了哪些程序，可通過分析數(shù)據(jù)包中的應(yīng)用層信息來判斷；找出在一個網(wǎng)絡(luò)內(nèi)發(fā)送數(shù)據(jù)包最多的主機，通過統(tǒng)計數(shù)據(jù)包數(shù)量等方式實現(xiàn)；驗證特有的網(wǎng)絡(luò)操作，比如特定的協(xié)議交互流程是否正確等；分析特定主機或網(wǎng)絡(luò)的數(shù)據(jù)，深入了解其網(wǎng)絡(luò)行為和數(shù)據(jù)傳輸特征。所以這些選項都是Wireshark常見的分析任務(wù)。13.參考答案：【ABC】答案說明：系統(tǒng)日志記錄系統(tǒng)組件的事件，如驅(qū)動程序加載、系統(tǒng)服務(wù)啟動等；應(yīng)用程序日志記錄應(yīng)用程序產(chǎn)生的事件，例如某個應(yīng)用程序的錯誤信息等；安全日志記錄與安全相關(guān)的事件，如用戶登錄、權(quán)限更改等。這三種日志文件是Windows日志文件常見的分類。14.參考答案：【ABCD】答案說明：商業(yè)情報與開源情報存在多方面區(qū)別。選項A，商業(yè)情報更新周期相對固定且頻率較高，能更及時反映市場動態(tài)；選項B，商業(yè)情報的數(shù)據(jù)維度豐富，數(shù)據(jù)關(guān)聯(lián)性強，可提供更全面深入的信息；選項C，商業(yè)情報有專門的情報供應(yīng)鏈商對情報質(zhì)量負責(zé)，保障了情報的可靠性；選項D，商業(yè)情報需要持續(xù)的人工運營投入來進行收集、整理和分析等工作。15.參考答案：【ABC】答案說明：演練組織架構(gòu)通常涵蓋管理部門，負責(zé)對演練整體進行規(guī)劃、協(xié)調(diào)等工作；指揮機構(gòu)，承擔(dān)指揮演練進程的職責(zé)；參演機構(gòu)則是具體參與演練行動的部分，它們共同構(gòu)成了演練組織架構(gòu)。所以演練組織架構(gòu)包括管理部門、指揮機構(gòu)、參演機構(gòu)。16.參考答案：【ABCDEFG】17.參考答案：【BC】18.參考答案：【ABCD】答案說明：云端多引擎檢測可綜合多個引擎優(yōu)勢，效果優(yōu)于單一引擎檢測，能更全面準(zhǔn)確判斷文件信譽，A正確；提供本地Cache可提高檢測