1+X中級應急響應試題庫與參考答案解析一、單選題（共20題，每題1分，共20分）1.Tcp.port==80是指()?A、顯示所有基于tcp的流量B、顯示某兩個通信單C、tcp會話的流量D、顯示所有tcp80端口的流量正確答案：D答案解析：這是一個用于過濾和顯示特定網絡流量的表達式。“Tcp.port==80”明確表示只關注TCP協議中端口號為80的流量，所以該表達式的作用是顯示所有tcp80端口的流量。2.以下屬于防火墻日志的是()A、以下都是B、域名日志C、威脅日志D、流量日志正確答案：A答案解析：防火墻日志是指防火墻在運行過程中記錄的各種事件和活動的信息，包括但不限于域名解析、威脅檢測、流量監控等方面的日志記錄。選項中的域名日志、威脅日志、流量日志都屬于防火墻日志的范疇，所以答案是[A]，表示以上都是。3.通過wireshark發現攻擊者通過病毒攻擊反彈()來執行系統命令提權。A、shollB、shellC、shall正確答案：B答案解析：在通過wireshark發現攻擊者通過病毒攻擊反彈時，常見的是反彈shell來執行系統命令提權，“>shell”符合這種場景，而“>sholl”和“>shall”并不是常見的用于此目的的指令表述。4.IPS/IDS通常將日志等級分為()個等級A、7B、8C、9D、10正確答案：B5.不屬于數據庫加固主要方式的是?()A、防止SQL注入B、防權限提升C、防信息竊取D、差異備份正確答案：D答案解析：數據庫加固主要方式包括防止SQL注入、防權限提升、防信息竊取等。差異備份是一種數據備份方式，不屬于數據庫加固的主要方式。6.應急響應的規范有哪些()A、應急準備階段監測與預警階段應急處理階段總結改進階段B、應急處理階段應急準備階段監測預警階段總結改進階段C、監測與預警階段應急處理階段應急準備階段總結改進階段正確答案：A答案解析：應急響應規范通常包括應急準備階段、監測與預警階段、應急處理階段、總結改進階段。應急準備是做好應急響應的基礎工作，監測與預警及時發現潛在風險，應急處理是應對突發事件的關鍵行動，總結改進則有助于提升后續應急響應能力。所以選項A的順序是正確的。應急響應規范的這幾個階段是按照事件發展的邏輯順序排列的，從前期準備到風險監測，再到實際應對和經驗總結，環環相扣，共同構成了一個完整有效的應急響應體系。7.查看windows事件日志的EVENTID為4624的時候說明了什么?()A、登陸成功B、登陸失敗C、注銷成功D、用戶啟動的注銷正確答案：A答案解析：EVENTID為4624表示成功登錄，記錄了用戶成功登錄系統的相關信息，包括登錄的用戶名、登錄時間、登錄來源等。選項B，登錄失敗對應的EVENTID通常是4625等；選項C注銷成功等有其他對應的事件ID；選項D用戶啟動的注銷也有其特定對應的事件記錄。8.業務系統面臨的外部風險有哪些()A、拒絕服務B、系統漏洞C、Web漏洞D、邏輯漏洞正確答案：A9.信息安全事件管理分為五個階段分別是什么()A、發現報告準備評估規劃B、準備發現報告規劃評估C、報告發現準備規劃評估D、規劃準備發現報告評估正確答案：D答案解析：信息安全事件管理分為規劃、準備、發現、報告、評估五個階段。規劃階段要制定事件管理策略和計劃；準備階段做好人員、流程、技術等方面的準備；發現階段及時察覺安全事件；報告階段準確匯報事件情況；評估階段對事件影響等進行評估總結。10.()賬號擁有登錄shell。A、dbuser1B、MySQLC、Dbuser2正確答案：B11.對于Windows事件日志分析,不同的事件代表了不同的意義,事件ID4672代表()A、登錄成功B、登錄失敗C、使用1成績用戶(如管理員)進行登錄D、注銷成功正確答案：C答案解析：事件ID4672表示“使用具有特殊權限的用戶（如管理員）進行登錄”。該事件記錄了使用具有特殊權限的用戶進行登錄操作的相關信息。12.數據庫是什么樣的技術?()A、應用管理B、數據管理C、文件管理D、系統管理←正確答案：B答案解析：數據庫是用于數據管理的技術，它可以對大量數據進行有效的存儲、組織、檢索、更新等操作，以支持各種應用程序對數據的需求。系統管理包含的范圍更廣，數據庫管理是系統管理的一部分；文件管理側重于對文件的操作，與數據庫管理有區別；應用管理主要針對應用程序本身，不是數據庫的核心技術范疇。13.“訪問控制”:在墻上開“門”并派駐守衛,按照安全策略來進行()和放通。A、查看B、檢查C、查驗D、檢驗正確答案：B答案解析：“檢查”更強調對進入情況等進行查看核對，以確定是否符合安全策略從而決定是否放通，在這里“檢查”比“查看”“查驗”“檢驗”更符合語境，所以應該選B。14.震網病毒的發現時間()A、2011年7月B、2010年8月C、2011年8月D、2010年7月正確答案：D答案解析：震網病毒于2010年7月被發現。它是一種專門針對工業控制系統的惡意軟件，具有高度的復雜性和針對性，曾對伊朗的核設施造成了嚴重破壞，引起了全球范圍內對網絡安全的高度關注。15.應急演練技術小組是在網絡安全應急演練工作中提供技術(A)和（）。A、支撐B、支持C、保證D、保障正確答案：D16.以下哪項不是應急響應準備階段應該做的?()A、評估時間的影響范圍,增強審計功能、備份完整系統B、編制和管理應急響應計劃C、建立和訓練應急響應組織和準備相關的資源D、確定重要資產和風險,實施針對風險的防護措施正確答案：A答案解析：應急響應準備階段的工作主要包括確定重要資產和風險并實施防護措施、編制和管理應急響應計劃、建立和訓練應急響應組織以及準備相關資源等。而評估事件的影響范圍，增強審計功能、備份完整系統是應急響應實施階段或后續恢復階段可能會涉及的工作，不屬于準備階段的內容。17.以下哪個不是路由器加固的要求?()A、日志安全要求B、IP協議安全要求C、文件上傳要求正確答案：C答案解析：文件上傳要求并不是路由器加固的典型直接要求。日志安全要求和IP協議安全要求對于路由器加固來說是非常重要的方面，日志安全有助于記錄和審計路由器的活動，IP協議安全則關乎路由器在網絡通信中遵循協議的安全性和穩定性等，而文件上傳要求一般不是路由器加固的核心關注點。18.信息安全運行維護的一系列標準三個標準分別是什么()A、交付規范應急處理總結改進B、應急準備通用要求應急響應規范C、通用要求交付規范應急響應規范D、應急處理應急準備總結改進正確答案：C19.后門型病毒的英文翻譯是()A、backdropB、backdooeC、backdoor正確答案：C20.應急演練機構主要有幾種人員組成()?A、五種B、四種C、一種D、三種正確答案：D二、多選題（共30題，每題1分，共30分）1.常見的病毒命名規則如下字段()A、主行為B、變種C、平臺類型D、子行為E、家族名稱正確答案：ABCDE2.安全感知系統流量傳感器有?()A、威脅情報匹配B、數據采集C、入侵攻擊檢測D、文件還原正確答案：ABCD3.數據庫是按照數據結構來()的倉庫A、管理B、管理數據C、組織D、存儲正確答案：BCD4.減少信息泄露有哪幾種()A、不要隨意丟棄含有個人信息的票據B、不要使用不正規的招聘網站或軟件C、盡量不要使用危險的公共WiFiD、注冊各類應用、網站要盡量賦予最少的信息和權限正確答案：ABCD答案解析：選項A，隨意丟棄含有個人信息的票據可能導致個人信息被他人獲取，所以不隨意丟棄可減少信息泄露；選項B，不正規的招聘網站或軟件可能存在信息安全隱患，使用正規的能降低信息泄露風險；選項C，危險的公共WiFi容易被黑客攻擊，導致信息泄露，盡量不使用可減少此類風險；選項D，注冊時賦予最少的信息和權限，能減少個人信息暴露的范圍，從而減少信息泄露。5.病毒按宿主分類可分成()。A、蠕蟲病毒B、宏病毒C、引導類D、腳本病毒E、文件類正確答案：BCDE6.應急演練實施制定演練方案是以下哪幾點()。A、編制評估方案B、編寫演練腳本C、編制工作方案D、編制保障方案正確答案：ABCD答案解析：制定演練方案包括編制工作方案，明確演練目標、內容、步驟等；編制保障方案，保障演練所需的人力、物力、財力等；編制評估方案，用于對演練效果進行評估；編寫演練腳本，詳細描述演練過程中的場景、角色行動等，這幾個方面共同構成了完整的演練方案。7.交換機加固中SNMP的安全有()A、系統遠程管理服務只允許特定地址訪問B、修改SNMP默認通行字C、使用SNMPV或以上版本D、SNMP訪問控制正確答案：BCD8.蠕蟲病毒是指利用方式傳播自己的病毒?(A、系統的漏洞B、外發郵件C、共享目錄D、可傳輸文件的軟件E、可移動存儲介質正確答案：ABCDE答案解析：蠕蟲病毒的傳播方式多樣，它可以利用系統的漏洞進行傳播，通過掃描系統漏洞來植入自身；利用外發郵件，將病毒偽裝在郵件附件中進行傳播；通過共享目錄，當用戶訪問共享目錄時感染病毒；借助可傳輸文件的軟件，如即時通訊軟件等傳輸病毒文件；還能通過可移動存儲介質，如U盤等，在不同設備間傳播。9.應急響應計劃文檔的總則包括哪些?()A、適用范圍B、編制依據C、工作原則D、編制目的正確答案：ABCD答案解析：應急響應計劃文檔的總則通常涵蓋編制目的、編制依據、適用范圍和工作原則等方面。編制目的明確制定計劃想要達成的目標；編制依據說明計劃制定所遵循的相關法律法規、標準規范等；適用范圍界定計劃所適用的具體場景、對象等；工作原則闡述在應急響應過程中應遵循的基本原則，如快速反應、科學應對等。10.交換機加固中IP協議有哪些要求()A、使用SSH加密管理B、配置遠程日志服務器C、系統遠程管理服務只允許特定地址訪問正確答案：AC11.病毒的傳播方式-文件傳播有()A、軟件捆綁B、文件感染C、文件點擊D、錯誤文件正確答案：AB12.日志就是()等在某種情況下記錄的信息A、計算機系統B、設備C、軟件D、硬盤正確答案：ABC答案解析：日志是計算機系統、設備、軟件等在某種情況下記錄的信息。計算機系統在運行過程中會產生各種日志記錄系統的活動、錯誤等情況；設備（如網絡設備、服務器硬件等）也會記錄自身的運行狀態、事件等信息；軟件在執行過程中同樣會記錄相關的操作、錯誤、調試等信息。而硬盤主要是用于存儲數據的硬件設備，不是日志記錄的主體，所以不選D。13.木馬病毒排查過程有()。A、確定黑客IPB、確定黑客的攻擊入口C、黑客添加的木馬D、找到木馬名稱后查找的絕對路徑E、根據日志查找黑客在服務器的操作正確答案：ABCDE答案解析：1.確定黑客IP：了解黑客的IP地址有助于定位攻擊源頭，是排查木馬病毒的重要基礎。2.確定黑客的攻擊入口：明確攻擊是通過何種方式進入系統的，比如網絡漏洞、弱口令等，有助于后續阻斷類似攻擊并深入排查。3.黑客添加的木馬：找出黑客添加到系統中的木馬程序，這是排查的核心任務之一。4.找到木馬名稱后查找的絕對路徑：確定木馬的絕對路徑，有助于全面清理木馬及其相關文件，防止殘留。5.根據日志查找黑客在服務器的操作：通過服務器日志可以了解黑客的操作行為，進一步評估系統受影響程度以及進行后續的安全加固。14.應急演練技術小組的主要職責有哪些?()A、應急演練設計的通信、調度等技術支撐系統的技術保障工作B、制定技術方案和實施方案C、扮演攻擊方,模擬網絡安全事件D、根據應急演練工作方案擬定應急演練腳本正確答案：ABCD答案解析：應急演練技術小組的主要職責包括制定技術方案和實施方案，為演練提供整體技術規劃與實施路徑；根據應急演練工作方案擬定應急演練腳本，明確演練流程和內容；扮演攻擊方，模擬網絡安全事件，檢驗應急響應能力；負責應急演練設計的通信、調度等技術支撐系統的技術保障工作，確保演練中相關技術系統穩定運行。15.下列中HTTP協議版本有。()A、HTTP/1.0B、HTTP/2C、HTTP/0.9D、HTTP/1.1正確答案：ABCD答案解析：HTTP協議有多個版本，常見的包括HTTP/0.9、HTTP/1.0、HTTP/1.1以及HTTP/2等。HTTP/0.9是最早的版本，功能較為簡單；HTTP/1.0在其基礎上進行了擴展；HTTP/1.1是廣泛使用的版本，引入了許多重要特性；HTTP/2則在性能等方面有進一步提升。16.數據庫是“按照數據結構來組織、存儲和管理數據的倉庫”。是一個長期存儲在()大量數據的集合A、可共享的B、統一管理的C、計算機內的D、有組織的正確答案：ABCD答案解析：數據庫是長期存儲在計算機內、有組織的、可共享的、統一管理的大量數據的集合。計算機內表明了數據的存儲位置；有組織體現了數據是按照一定結構進行存儲的；可共享說明數據能被多個用戶或程序使用；統一管理意味著對數據的各種操作（如存儲、檢索、更新等）是通過特定的管理系統進行統一協調的。17.業務系統面臨的風險主要包括()A、外部風險B、內部風險C、其他風險D、特別風險正確答案：AC18.應急演練的組織機構包括哪些?()A、應急演練領導小組B、應急演練管理小組C、應急演練技術小組D、應急演練實施小組正確答案：ABCD答案解析：應急演練的組織機構通常包括應急演練領導小組，負責全面領導演練工作；應急演練管理小組，負責演練的組織、協調、管理等工作；應急演練技術小組，提供技術支持和指導；應急演練實施小組，具體執行演練的各項任務。所以ABCD選項均正確。19.病毒網頁的傳播方式()A、將木馬偽裝為頁面元素B、利用腳本運行的漏洞C、偽裝為缺失的組件D、通過腳本運行調用某些com組件E、利用軟件漏洞正確答案：ABCDE答案解析：1.**將木馬偽裝為頁面元素**：病毒網頁可以把惡意的木馬程序巧妙地偽裝成看似正常的頁面元素，比如按鈕、圖片等。當用戶在瀏覽網頁時，不經意間點擊這些偽裝的元素，就可能觸發木馬程序的下載或執行，從而導致電腦被感染。2.**利用腳本運行的漏洞**：許多網頁會使用腳本語言（如JavaScript）來實現各種交互效果和功能。如果這些腳本存在漏洞，病毒編寫者就可以利用這些漏洞來執行惡意代碼。他們可能會通過構造特殊的URL或在網頁中插入惡意腳本片段，當用戶訪問該網頁時，腳本漏洞被觸發，惡意代碼得以運行，進而感染用戶的設備。3.**偽裝為缺失的組件**：病毒網頁可能會偽裝成用戶電腦中缺失的組件，誘導用戶進行下載安裝。例如，它可能聲稱用戶需要某個特定的插件或組件才能正常瀏覽網頁內容，而實際上提供的是帶有病毒的虛假安裝包。用戶一旦輕信并下載安裝，病毒就會隨之進入系統。4.**通過腳本運行調用某些com組件**：網頁腳本可以通過特定的方式調用計算機系統中的COM組件（ComponentObjectModel，組件對象模型）。如果這些COM組件存在安全漏洞，病毒編寫者就可以利用腳本運行時對COM組件的調用，執行惡意操作，如竊取用戶信息、破壞系統文件等。5.**利用軟件漏洞**：除了網頁腳本相關的漏洞外，病毒網頁還可能利用操作系統、瀏覽器或其他軟件本身存在的漏洞來傳播。例如，某些軟件在處理特定格式的文件或網絡請求時存在缺陷，病毒網頁可以利用這些缺陷來繞過安全防護機制，將病毒代碼注入到用戶的設備中。20.操作系統安全加固措施包括。()A、禁止任何應用程序以及超級用戶身份運行B、安裝后續的補丁合集C、關閉SNMP協議D、升級到當前系統版本正確答案：ABCD21.威脅情報提供的內容有哪些?()A、HostB、URLC、ResponsecodeD、IP正確答案：ABCD22.業務系統包含哪些系統?()A、協同管理系統B、資產管理系統C、市場營銷管理、生產制造系統D、人力資源管理系統E、財務系統F、企業信息管理系統正確答案：ABCDEF答案解析：企業信息管理系統、協同管理系統、市場營銷管理系統、生產制造系統、財務系統、人力資源管理系統、資產管理系統都屬于業務系統所包含的范疇。23.系統加固對象有哪些(A、服務器系統加固B、網絡結構加固C、數據庫加固D、網絡設備加固正確答案：ABCD答案解析：網絡設備加固可防止網絡攻擊，提升網絡安全性；網絡結構加固有助于優化網絡架構，增強整體穩定性和安全性；服務器系統加固能保障服務器穩定運行，抵御各類惡意入侵；數據庫加固可保護數據庫中的重要數據不被非法獲取或篡改，這些都是系統加固的重要對象。24.指揮機構主要有以下哪三種人員組成()A、督導人員B、策劃人員C、檢查人員D、指揮人員正確答案：ABD答案解析：指揮機構主要由指揮人員、策劃人員和督導人員組成。指揮人員負責整體指揮調度；策劃人員提供策略和方案規劃；督導人員監督執行情況，以確保各項工作按計劃推進。而檢查人員并不屬于指揮機構的主要組成人員類型。25.病毒常見的主行為命名有哪些?()A、TrojanB、BackdoorC、WormD、ApplicationE、VirusF、RootkitG、Hack正確答案：ABCDEFG26.利用數據庫可以()存儲數據,使人們能夠()地管理數據。A、有組織地B、更方便C、更快D、高效正確答案：ABCD27.APT研究的難點有哪些?()A、新組織、新活動發現B、攻擊背景研判C、攻擊目的研判D、攻擊能力研判正確答案：ABCD答案解析：新組織、新活動發現困難在于它們可能較為隱蔽，不易被察覺；攻擊背景研判需要綜合多方面信息，信息收集和分析難度大；攻擊目的研判同樣復雜，攻擊者可能會隱藏真實目的；攻擊能力研判也不容易，要準確評估攻擊者具備的技術和手段等都存在挑戰。28.APT攻擊的4個要素()。A、攻擊者B、攻擊目的C、攻擊手段D、攻擊過程E、手段高級正確答案：ABCD29.數據庫加固方式包括()A、防止SQL注入B、防口令破解C、信息竊取D、防拒絕服務正確答案：ABD答案解析：數據庫加固方式主要包括防止SQL注入，避免惡意攻擊者通過構造SQL語句來獲取或篡改數據；防口令破解，保護數據庫用戶賬號的安全，防止密碼被破解；防拒絕服務，抵御針對數據庫的拒絕服務攻擊，確保數據庫服務的可用性。而信息竊取不屬于數據庫加固方式，它是一種數據安全風險，需要通過其他安全措施來防范，比如數據加密、訪問控制等。30.APT攻擊手段有()。A、文件視覺偽裝B、快捷方式偽裝C、捆綁合法程序反偵察術D、水坑攻擊正確答案：ABCD答案解析：1.文件視覺偽裝：通過修改文件的元數據、圖標等，使其