企業(yè)數(shù)據(jù)安全應(yīng)急響應(yīng)咨詢(xún)師崗位招聘考試試卷及答案一、填空題（共10題，每題1分）1.數(shù)據(jù)安全應(yīng)急響應(yīng)的PDRR模型包括______、檢測(cè)、響應(yīng)、恢復(fù)四個(gè)核心環(huán)節(jié)。2.數(shù)據(jù)泄露按泄露主體可分為內(nèi)部泄露和______泄露。3.企業(yè)應(yīng)急響應(yīng)團(tuán)隊(duì)的英文縮寫(xiě)是______。4.等保2.0中，數(shù)據(jù)安全要求屬于______安全維度。5.數(shù)據(jù)備份的3-2-1原則中，“1”指______備份。6.勒索病毒攻擊后，第一步應(yīng)采取的措施是______（含斷網(wǎng)/隔離）。7.GDPR規(guī)定數(shù)據(jù)泄露需在______小時(shí)內(nèi)通知監(jiān)管機(jī)構(gòu)。8.應(yīng)急響應(yīng)預(yù)案的核心要素之一是明確______。9.SIEM工具的主要作用是______。10.未公開(kāi)的系統(tǒng)漏洞被稱(chēng)為_(kāi)_____漏洞。二、單項(xiàng)選擇題（共10題，每題2分）1.應(yīng)急響應(yīng)流程的第一步是（）A.containmentB.檢測(cè)與分析C.根除D.恢復(fù)2.數(shù)據(jù)泄露后，首先應(yīng)執(zhí)行的操作是（）A.立即上報(bào)監(jiān)管B.containmentC.備份日志D.聯(lián)系公關(guān)3.等保2.0的安全維度不包括（）A.安全計(jì)算環(huán)境B.安全管理中心C.數(shù)據(jù)安全D.安全運(yùn)維管理4.勒索病毒的傳播途徑不包括（）A.U盤(pán)B.郵件附件C.藍(lán)牙D.網(wǎng)絡(luò)共享5.應(yīng)急響應(yīng)中的“根除”階段目標(biāo)是（）A.恢復(fù)業(yè)務(wù)B.清除惡意代碼C.限制擴(kuò)散D.收集證據(jù)6.數(shù)據(jù)泄露事件分級(jí)中，“一般事件”的特點(diǎn)是（）A.敏感數(shù)據(jù)泄露B.影響范圍小C.業(yè)務(wù)中斷4小時(shí)以上D.需上報(bào)監(jiān)管7.應(yīng)急響應(yīng)演練的類(lèi)型不包括（）A.桌面演練B.實(shí)戰(zhàn)演練C.模擬演練D.理論考試8.CSIRT的職責(zé)不包括（）A.事件檢測(cè)B.漏洞修復(fù)C.數(shù)據(jù)備份D.事件處置9.GDPR中數(shù)據(jù)主體的權(quán)利不包括（）A.被遺忘權(quán)B.數(shù)據(jù)可攜帶權(quán)C.無(wú)限復(fù)制權(quán)D.修改權(quán)10.應(yīng)急響應(yīng)“恢復(fù)”階段的核心是（）A.恢復(fù)系統(tǒng)正常運(yùn)行B.分析事件原因C.隔離感染主機(jī)D.收集證據(jù)三、多項(xiàng)選擇題（共10題，每題2分，多選/少選均不得分）1.數(shù)據(jù)泄露的常見(jiàn)原因包括（）A.人為誤操作B.黑客攻擊C.系統(tǒng)漏洞D.設(shè)備故障E.自然災(zāi)害2.應(yīng)急響應(yīng)預(yù)案的核心內(nèi)容包括（）A.事件分級(jí)B.職責(zé)分工C.響應(yīng)流程D.演練計(jì)劃E.恢復(fù)策略3.等保2.0中安全運(yùn)維管理的要求包括（）A.漏洞管理B.配置管理C.應(yīng)急響應(yīng)D.備份恢復(fù)E.權(quán)限管理4.勒索病毒應(yīng)對(duì)的關(guān)鍵步驟包括（）A.隔離感染設(shè)備B.支付贖金C.備份數(shù)據(jù)恢復(fù)D.上報(bào)監(jiān)管E.聯(lián)系第三方廠商5.數(shù)據(jù)安全應(yīng)急響應(yīng)團(tuán)隊(duì)的組成人員包括（）A.安全工程師B.法務(wù)人員C.公關(guān)人員D.IT運(yùn)維E.財(cái)務(wù)人員6.常見(jiàn)的應(yīng)急響應(yīng)工具包括（）A.SIEMB.EDRC.漏洞掃描器D.防火墻E.備份系統(tǒng)7.數(shù)據(jù)泄露通知的對(duì)象包括（）A.監(jiān)管機(jī)構(gòu)B.數(shù)據(jù)主體C.客戶D.合作伙伴E.媒體8.應(yīng)急響應(yīng)演練的目的包括（）A.檢驗(yàn)預(yù)案有效性B.提升團(tuán)隊(duì)能力C.發(fā)現(xiàn)潛在風(fēng)險(xiǎn)D.驗(yàn)證工具性能E.提高合規(guī)性9.應(yīng)急響應(yīng)“containment”的措施包括（）A.斷開(kāi)網(wǎng)絡(luò)連接B.隔離感染主機(jī)C.關(guān)閉不必要端口D.修改管理員密碼E.備份日志10.等保2.0中數(shù)據(jù)安全的要求包括（）A.數(shù)據(jù)分類(lèi)分級(jí)B.數(shù)據(jù)加密C.數(shù)據(jù)備份D.數(shù)據(jù)訪問(wèn)控制E.數(shù)據(jù)泄露監(jiān)測(cè)四、判斷題（共10題，每題2分，正確打√，錯(cuò)誤打×）1.應(yīng)急響應(yīng)流程中，containment在檢測(cè)之后（）2.數(shù)據(jù)泄露后必須立即支付贖金（）3.等保2.0要求企業(yè)必須制定應(yīng)急響應(yīng)預(yù)案（）4.GDPR中數(shù)據(jù)泄露通知時(shí)限為72小時(shí)（）5.數(shù)據(jù)備份3-2-1原則是“3份備份、2種介質(zhì)、1份異地”（）6.應(yīng)急響應(yīng)團(tuán)隊(duì)不需要公關(guān)人員參與（）7.勒索病毒主要傳播途徑是郵件附件（）8.重大數(shù)據(jù)泄露事件指敏感數(shù)據(jù)泄露且影響范圍廣（）9.應(yīng)急響應(yīng)演練每年至少開(kāi)展1次（）10.SIEM工具可實(shí)現(xiàn)事件關(guān)聯(lián)分析（）五、簡(jiǎn)答題（共4題，每題5分）1.簡(jiǎn)述數(shù)據(jù)安全應(yīng)急響應(yīng)的基本流程。2.數(shù)據(jù)泄露事件后應(yīng)向哪些主體通知？3.簡(jiǎn)述數(shù)據(jù)備份3-2-1原則及其重要性。4.應(yīng)急響應(yīng)預(yù)案的核心要素有哪些？六、討論題（共2題，每題5分）1.某企業(yè)核心業(yè)務(wù)系統(tǒng)遭勒索病毒攻擊，勒索金額50萬(wàn)元，作為應(yīng)急響應(yīng)咨詢(xún)師，你會(huì)給出哪些建議？2.數(shù)據(jù)安全應(yīng)急響應(yīng)中，如何平衡“快速恢復(fù)業(yè)務(wù)”與“保留事件證據(jù)”的矛盾？---答案部分一、填空題答案1.防護(hù)2.外部3.CSIRT4.安全計(jì)算環(huán)境5.異地6.containment（或斷網(wǎng)隔離）7.728.職責(zé)分工（或事件分級(jí)）9.安全事件關(guān)聯(lián)分析10.0day二、單項(xiàng)選擇題答案1.B2.B3.C4.C5.B6.B7.D8.C9.C10.A三、多項(xiàng)選擇題答案1.ABCDE2.ABCDE3.ABCDE4.ACDE5.ABCDE6.ABC7.ABCDE8.ABCDE9.ABCE10.ABCDE四、判斷題答案1.√2.×3.√4.√5.√6.×7.√8.√9.√10.√五、簡(jiǎn)答題答案1.流程：①檢測(cè)與分析：通過(guò)SIEM/EDR發(fā)現(xiàn)異常，確認(rèn)事件類(lèi)型、范圍；②containment：斷網(wǎng)隔離感染主機(jī)，限制擴(kuò)散；③根除：清除惡意代碼、修復(fù)漏洞；④恢復(fù)：用未感染備份恢復(fù)系統(tǒng)，驗(yàn)證正常；⑤復(fù)盤(pán)：總結(jié)經(jīng)驗(yàn)，更新預(yù)案。2.通知主體：①監(jiān)管機(jī)構(gòu)（如網(wǎng)信/公安，GDPR72小時(shí)內(nèi)）；②數(shù)據(jù)主體（可識(shí)別個(gè)人信息泄露時(shí)）；③客戶/合作伙伴（影響其利益時(shí)）；④內(nèi)部管理層；⑤必要時(shí)通知媒體（公關(guān)評(píng)估后）。3.3-2-1原則：3份備份（原始+2副本）、2種介質(zhì)（硬盤(pán)+磁帶）、1份異地（云端/異地機(jī)房）。重要性：防止單點(diǎn)故障，應(yīng)對(duì)本地災(zāi)難（火災(zāi)/盜竊），保障數(shù)據(jù)可恢復(fù)，減少業(yè)務(wù)中斷損失。4.核心要素：①事件分級(jí)標(biāo)準(zhǔn)（影響范圍、數(shù)據(jù)敏感度）；②職責(zé)分工（各崗位響應(yīng)職責(zé)）；③響應(yīng)流程（檢測(cè)到復(fù)盤(pán)）；④恢復(fù)策略（備份恢復(fù)方法）；⑤演練計(jì)劃（頻率/類(lèi)型）；⑥外部對(duì)接（監(jiān)管、第三方廠商）。六、討論題答案1.建議：①立即containment：斷網(wǎng)隔離感染主機(jī)，避免擴(kuò)散；②備份隔離：確保核心備份未被感染；③團(tuán)隊(duì)協(xié)作：聯(lián)合CSIRT+外部廠商分析病毒（是否有解密工具）；④上報(bào)：向管理層、監(jiān)管機(jī)構(gòu)報(bào)告；⑤贖金評(píng)估：若業(yè)務(wù)中斷損失遠(yuǎn)大于贖金且無(wú)解密工具，謹(jǐn)慎決策；⑥恢復(fù)：用未感染備份恢復(fù)，驗(yàn)證后上線；⑦復(fù)盤(pán)：更新預(yù)案，加強(qiáng)EDR部署、員工培訓(xùn)、漏洞修復(fù)。2.平衡方法：①證據(jù)優(yōu)先：containment前先