2025年信息系统安全专家安全运营中心数据泄露事件响应与处置专题试卷及解析.pdfVIP

2025年信息系统安全专家安全运营中心数据泄露事件响应与处置专题试卷及解析1

2025年信息系统安全专家安全运营中心数据泄露事件响应

与处置专题试卷及解析

2025年信息系统安全专家安全运营中心数据泄露事件响应与处置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在数据泄露事件响应的初步阶段，SOC团队首先应该采取的行动是什么？

A、立即切断受影响系统的网络连接

B、启动事件响应计划并组建响应团队

C、通知法律合规部门

D、开始收集数字证据

【答案】B

【解析】正确答案是B。根据NISTSP80061事件响应框架，第一步是准备阶段，

当事件发生时应立即启动预先制定的事件响应计划并组建跨职能团队。A选项虽然重

要但属于遏制措施，应在团队组建后执行；C选项通知法律部门属于后续沟通环节；D

选项证据收集需要专业团队指导。知识点：事件响应生命周期。易错点：容易混淆遏制

措施和初始响应的顺序。

2、以下哪种技术最适合用于检测数据库中的异常数据访问行为？

A、防火墙日志分析

B、数据丢失防护(DLP)系统

C、用户行为分析(UBA)

D、入侵检测系统(IDS)

【答案】C

【解析】正确答案是C。UBA专门用于监控用户行为模式，能识别异常的数据访问

模式。A选项防火墙主要监控网络流量；B选项DLP侧重数据外发监控；D选项IDS

主要检测网络攻击特征。知识点：数据泄露检测技术。易错点：容易误选DLP，但DLP

更关注数据传输而非访问行为。

3、在数据泄露事件中，“黄金一小时”通常指什么？

A、从发现到遏制的时间窗口

B、从发生到检测的时间窗口

C、从遏制到恢复的时间窗口

D、从通知到响应的时间窗口

【答案】A

【解析】正确答案是A。“黄金一小时”是安全领域的术语，指从发现事件到成功遏制

的关键时间窗口，此时采取行动最有效。B选项是检测时间；C选项是恢复阶段；D选

2025年信息系统安全专家安全运营中心数据泄露事件响应与处置专题试卷及解析2

项是通知流程。知识点：事件响应时间窗口。易错点：容易与MTTD(平均检测时间)混

淆。

4、根据GDPR，数据泄露事件通知监管机构的时限是多久？

A、24小时内

B、48小时内

C、72小时内

D、7天内

【答案】C

【解析】正确答案是C。GDPR第33条规定，控制者应在知晓泄露后72小时内通

知监管机构，除非不太可能对个人权利造成风险。A、B选项时间过短；D选项不符合

规定。知识点：数据泄露合规要求。易错点：容易与其他地区法规(如加州CCPA的72

小时)混淆。

5、在数据泄露调查中，“攻击路径重构”的主要目的是什么？

A、确定泄露数据量

B、识别攻击者TTPs

C、评估业务影响

D、修复系统漏洞

【答案】B

【解析】正确答案是B。攻击路径重构重点分析攻击者的战术、技术和程序(TTPs)，

以了解攻击手法。A选项是数据范围分析；C选项是影响评估；D选项是补救措施。知

识点：数字取证分析。易错点：容易与漏洞评估混淆，但前者关注攻击过程，后者关注

系统缺陷。

6、以下哪种数据泄露场景最适合采用”蜜罐”技术进行防御？

A、内部人员恶意下载

B、SQL注入攻击

C、勒索软件加密

D、凭证填充攻击

【答案】B

【解析】正确答案是B。蜜罐可模拟易受SQL注入的数据库，诱捕攻击者并收集攻

击特征。A选项内部威胁需要DLP；C选项勒索软件需要端点防护；D选项凭证填充

需要MFA。知识点：主动防御技术。易错点：容易误选所有场景，但蜜罐主要针对外

部攻击探测。

7、在数据泄露事件中，“数据最小化”原则如何帮助降低风险？

A、减少存储成本

B、降低泄露影响范围

2025年信息系统安全专家安全运营中心数据泄露事件响应与处置专题试卷及解析3

C、简化数据分类

D、加快备份速度

【答案】B

【解析】正确答案是B。数据最小化通过限制收集和存储的数据量，直接降低潜在

泄露的影响范围。A、D选项是次要好处