網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工程師崗位招聘考試試卷及答案一、填空題（共10題，每題1分）1.網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程包含準(zhǔn)備、檢測(cè)分析、______、根除、恢復(fù)、事后總結(jié)六個(gè)核心階段。2.應(yīng)急響應(yīng)中，快速隔離受感染主機(jī)的常用措施是______。3.檢測(cè)ransomware攻擊的關(guān)鍵日志來(lái)源包括主機(jī)的______日志和文件修改日志。4.應(yīng)急響應(yīng)預(yù)案的“事件分級(jí)”通?；诠魪?qiáng)度、業(yè)務(wù)影響、______三個(gè)維度。5.Windows環(huán)境下，收集系統(tǒng)進(jìn)程與網(wǎng)絡(luò)連接信息的應(yīng)急工具是______。6.應(yīng)急響應(yīng)“事后總結(jié)”階段的核心工作是______。7.針對(duì)DDoS攻擊，將流量引導(dǎo)至清洗中心過(guò)濾惡意流量的措施是______。8.確認(rèn)“數(shù)據(jù)是否泄露”的常用方法是______。9.應(yīng)急響應(yīng)“準(zhǔn)備階段”需完成的基礎(chǔ)工作包括資產(chǎn)清點(diǎn)、漏洞掃描、______。10.釣魚(yú)郵件引發(fā)感染時(shí)，應(yīng)急響應(yīng)第一步是______。二、單項(xiàng)選擇題（共10題，每題2分）1.Web服務(wù)器被SQL注入攻擊后，應(yīng)急第一步是？A.重啟服務(wù)器B.隔離網(wǎng)絡(luò)C.修補(bǔ)漏洞D.備份數(shù)據(jù)庫(kù)2.不屬于“檢測(cè)與分析”階段的任務(wù)是？A.驗(yàn)證告警真實(shí)性B.評(píng)估業(yè)務(wù)影響C.恢復(fù)系統(tǒng)D.分析攻擊向量3.ransomware攻擊中最不可取的措施是？A.斷網(wǎng)隔離B.備份恢復(fù)C.支付贖金D.收集樣本4.“根除階段”的核心目標(biāo)是？A.清除攻擊痕跡B.恢復(fù)系統(tǒng)C.隔離資產(chǎn)D.確認(rèn)事件結(jié)束5.可用于惡意代碼分析的工具是？A.WiresharkB.ProcessExplorerC.IDAProD.Nmap6.應(yīng)急聯(lián)系人清單不包括？A.技術(shù)工程師B.法務(wù)C.市場(chǎng)D.管理層7.DDoS攻擊的遏制措施是？A.流量清洗B.修補(bǔ)漏洞C.備份配置D.發(fā)布公告8.“恢復(fù)階段”的關(guān)鍵是？A.驗(yàn)證功能與安全B.隔離主機(jī)C.分析樣本D.修補(bǔ)漏洞9.高優(yōu)先級(jí)應(yīng)急事件是？A.單臺(tái)非核心主機(jī)感染B.核心服務(wù)器被ransomware加密C.單用戶(hù)收釣魚(yú)郵件D.minor設(shè)備告警10.“事后總結(jié)”需提交的核心文檔是？A.預(yù)案B.復(fù)盤(pán)報(bào)告C.漏洞掃描D.備份日志三、多項(xiàng)選擇題（共10題，每題2分，多選/少選不得分）1.應(yīng)急響應(yīng)“準(zhǔn)備階段”工作包括？A.資產(chǎn)清點(diǎn)B.漏洞修復(fù)C.備份策略D.聯(lián)系人更新2.“遏制措施”常見(jiàn)類(lèi)型包括？A.網(wǎng)絡(luò)隔離B.進(jìn)程禁用C.權(quán)限限制D.流量過(guò)濾3.檢測(cè)惡意代碼的方法包括？A.檢查異常進(jìn)程B.分析文件修改C.掃描陌生端口D.查看補(bǔ)丁狀態(tài)4.ransomware攻擊應(yīng)急措施包括？A.斷網(wǎng)隔離B.收集樣本C.備份恢復(fù)D.立即重啟5.“檢測(cè)與分析”需收集的日志包括？A.系統(tǒng)日志B.網(wǎng)絡(luò)日志C.應(yīng)用日志D.備份日志6.預(yù)案核心要素包括？A.事件分級(jí)B.響應(yīng)流程C.聯(lián)系人清單D.風(fēng)險(xiǎn)矩陣7.DDoS攻擊應(yīng)急措施包括？A.流量清洗B.黑洞路由C.擴(kuò)容帶寬D.修補(bǔ)漏洞8.“根除階段”工作包括？A.清除惡意文件B.修補(bǔ)漏洞C.移除惡意賬號(hào)D.恢復(fù)系統(tǒng)9.屬于應(yīng)急工具的有？A.WiresharkB.ProcessExplorerC.NmapD.Metasploit10.“事后總結(jié)”工作包括？A.復(fù)盤(pán)分析B.預(yù)案更新C.員工培訓(xùn)D.漏洞加固四、判斷題（共10題，每題2分，√/×）1.恢復(fù)階段只需恢復(fù)系統(tǒng)，無(wú)需驗(yàn)證。2.支付贖金是ransomware攻擊的有效解決方法。3.檢測(cè)分析需優(yōu)先確認(rèn)事件真實(shí)性，排除誤報(bào)。4.預(yù)案無(wú)需包含數(shù)據(jù)泄露應(yīng)對(duì)流程。5.流量清洗是DDoS攻擊的有效遏制措施。6.遏制階段核心是清除攻擊痕跡。7.單臺(tái)非核心主機(jī)感染無(wú)需啟動(dòng)應(yīng)急流程。8.事后總結(jié)需更新漏洞基線(xiàn)。9.檢測(cè)惡意代碼只需依賴(lài)antivirus工具。10.準(zhǔn)備階段需定期演練預(yù)案。五、簡(jiǎn)答題（共4題，每題5分，≤200字）1.簡(jiǎn)述“檢測(cè)與分析”階段的主要任務(wù)。2.簡(jiǎn)述ransomware攻擊的應(yīng)急步驟。3.簡(jiǎn)述“準(zhǔn)備階段”的核心工作。4.簡(jiǎn)述“事后總結(jié)”的關(guān)鍵輸出。六、討論題（共2題，每題5分，≤200字）1.大規(guī)模ransomware攻擊中，如何平衡“遏制擴(kuò)散”與“減少數(shù)據(jù)損失”？2.發(fā)現(xiàn)數(shù)據(jù)已泄露時(shí)，應(yīng)采取哪些關(guān)鍵措施？---答案部分一、填空題答案1.遏制（Containment）2.斷開(kāi)受感染主機(jī)網(wǎng)絡(luò)連接3.進(jìn)程/文件系統(tǒng)4.數(shù)據(jù)泄露風(fēng)險(xiǎn)5.ProcessExplorer6.復(fù)盤(pán)事件、更新預(yù)案、加固漏洞7.流量清洗8.核查敏感數(shù)據(jù)訪問(wèn)日志及外部泄露線(xiàn)索9.備份機(jī)制完善10.隔離含惡意郵件的收件箱及相關(guān)服務(wù)器二、單項(xiàng)選擇題答案1.B2.C3.C4.A5.C6.C7.A8.A9.B10.B三、多項(xiàng)選擇題答案1.ABCD2.ABCD3.ABC4.ABC5.ABC6.ABCD7.AB8.ABC9.ABC10.ABCD四、判斷題答案1.×2.×3.√4.×5.√6.×7.×8.√9.×10.√五、簡(jiǎn)答題答案1.檢測(cè)與分析任務(wù)：①驗(yàn)證告警真實(shí)性（排除誤報(bào)）；②收集系統(tǒng)/網(wǎng)絡(luò)/應(yīng)用日志；③分析攻擊向量（漏洞、釣魚(yú)等）；④評(píng)估影響（受感染資產(chǎn)、數(shù)據(jù)泄露）；⑤判斷事件類(lèi)型（ransomware、DDoS等）；⑥輸出初步報(bào)告，支撐后續(xù)遏制。2.ransomware應(yīng)急步驟：①立即隔離感染主機(jī)（斷網(wǎng)+禁用共享）；②收集樣本與日志；③評(píng)估備份有效性（優(yōu)先異地備份）；④從備份恢復(fù)核心數(shù)據(jù)；⑤清除惡意文件；⑥驗(yàn)證系統(tǒng)安全；⑦復(fù)盤(pán)更新預(yù)案。避免支付贖金。3.準(zhǔn)備階段核心工作：①資產(chǎn)清點(diǎn)（分類(lèi)核心/非核心）；②漏洞基線(xiàn)建立（定期掃描修復(fù)）；③備份策略（定期+異地存儲(chǔ)）；④預(yù)案制定（事件分級(jí)、響應(yīng)流程）；⑤聯(lián)系人清單（技術(shù)、法務(wù)、管理層）；⑥定期演練（驗(yàn)證預(yù)案有效性）。4.事后總結(jié)關(guān)鍵輸出：①事件復(fù)盤(pán)報(bào)告（經(jīng)過(guò)、原因、影響）；②預(yù)案更新（補(bǔ)充缺失流程）；③漏洞加固清單（攻擊利用漏洞）；④員工培訓(xùn)計(jì)劃（提升意識(shí)）；⑤管理層通報(bào)（影響與改進(jìn)）。六、討論題答案1.平衡措施：①優(yōu)先隔離核心業(yè)務(wù)主機(jī)（斷網(wǎng)+權(quán)限限制），阻斷擴(kuò)散；②對(duì)感染主機(jī)，先終止惡意進(jìn)程，再評(píng)估備份（優(yōu)先異地備份）；③同步收集樣本提交分析，不盲目支付贖金；④恢復(fù)后驗(yàn)證所有補(bǔ)丁，加固漏洞；⑤及時(shí)通報(bào)管理層，避免恐慌