2025年信息系统安全专家企业内部网络取证调查与合规审计专题试卷及解析.pdfVIP

2025年信息系统安全专家企业内部网络取证调查与合规审计专题试卷及解析1

2025年信息系统安全专家企业内部网络取证调查与合规审

计专题试卷及解析

2025年信息系统安全专家企业内部网络取证调查与合规审计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在企业内部网络取证调查中，为了确保证据的原始性和完整性，调查人员应首

先采取的措施是？

A、立即断开目标设备的网络连接

B、对目标设备进行内存镜像

C、使用写保护设备连接目标存储介质

D、询问相关当事人获取口供

【答案】C

【解析】正确答案是C。使用写保护设备是确保原始存储介质不被修改的关键步骤，

符合取证基本原则。A选项断网可能破坏易失性数据；B选项内存镜像虽重要但不是首

要措施；D选项口供不能替代电子证据。知识点：证据保全原则。易错点：易忽视写保

护的重要性而直接进行数据提取。

2、根据GDPR规定，企业在发生数据泄露事件后，向监管机构报告的最长时限是？

A、24小时

B、48小时

C、72小时

D、7天

【答案】C

【解析】正确答案是C。GDPR第33条明确规定72小时内报告是法定要求。A、B

选项时间过短不现实；D选项超过法定时限。知识点：合规时效要求。易错点：易与其

他法规如PCIDSS的24小时要求混淆。

3、在Windows系统中，用于记录用户登录/登出事件的关键日志文件是？

A、System.evtx

B、Security.evtx

C、Application.evtx

D、Setup.evtx

【答案】B

【解析】正确答案是B。Security.evtx专门记录安全相关事件包括登录审计。A记

录系统事件；C记录应用程序事件；D记录系统安装事件。知识点：Windows日志系

统。易错点：易混淆不同日志文件的功能定位。

4、在进行网络流量取证时，捕获HTTPS加密通信的有效方法是？

2025年信息系统安全专家企业内部网络取证调查与合规审计专题试卷及解析2

A、使用Wireshark直接抓包

B、部署SSL中间人代理

C、分析路由器日志

D、检查DNS记录

【答案】B

【解析】正确答案是B。SSL中间人代理是解密HTTPS流量的标准取证方法。A

只能捕获加密数据；C、D无法获取通信内容。知识点：加密流量分析。易错点：忽视

HTTPS加密特性导致取证失败。

5、根据ISO27001标准，内部审计的频率要求通常是？

A、每月一次

B、每季度一次

C、每半年至少一次

D、每年至少一次

【答案】D

【解析】正确答案是D。ISO27001要求每年至少进行一次完整内部审计。A、B、C

频率过高不符合实际。知识点：合规审计周期。易错点：易将内部审计与外部认证审计

混淆。

6、在内存取证中，识别恶意进程最可靠的指标是？

A、进程名称

B、进程PID

C、进程内存中的恶意代码特征

D、进程创建时间

【答案】C

【解析】正确答案是C。内存中的代码特征是识别恶意进程的根本依据。A、B、D

都可能被伪造。知识点：内存取证技术。易错点：过度依赖表面信息而忽视深度分析。

7、根据《网络安全法》，关键信息基础设施运营者应至少多久进行一次安全检测评

估？

A、每月

B、每季度

C、每半年

D、每年

【答案】C

【解析】正确答案是C。《网络安全法》规定每半年至少一次安全检测。A、B频率

过高；D间隔过长。知识点：中国网络安全法规。易错点：记不清具体时间要求。

8、在电子邮件取证中，验证邮件真实性的关键技术是？

2025年信息系统安全专家企业内部网络取证调查与合规审计专题试卷及解析3

A