2025年信息系统安全专家安全架构态势感知专题试卷及解析.pdfVIP

2025年信息系统安全专家安全架构态势感知专题试卷及解析1

2025年信息系统安全专家安全架构态势感知专题试卷及解

析

2025年信息系统安全专家安全架构态势感知专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全态势感知系统中，数据采集层的主要职责是什么？

A、对采集到的原始数据进行关联分析

B、从网络设备、服务器、终端等来源收集原始日志和流量数据

C、基于分析结果生成可视化告警

D、执行自动化的响应处置措施

【答案】B

【解析】正确答案是B。数据采集层是态势感知系统的最底层，其核心任务是从各

种异构数据源（如防火墙、IDS/IPS、服务器、终端、网络流量等）收集原始安全数据，

为后续的处理和分析提供基础。A选项是分析层的功能；C选项是展示层的功能；D选

项是响应层的功能。知识点：态势感知系统分层架构。易错点：容易将各层功能混淆，

特别是数据采集层与数据处理/分析层的职责。

2、以下哪项技术最常用于实现网络流量中的异常行为检测？

A、防火墙的静态包过滤

B、基于签名的入侵检测系统（IDS）

C、用户与实体行为分析（UEBA）

D、安全信息和事件管理（SIEM）的日志归档

【答案】C

【解析】正确答案是C。UEBA通过建立用户和实体的正常行为基线，利用机器学

习等算法检测偏离基线的异常活动，非常适合发现未知威胁和内部威胁。A选项是基础

的访问控制技术，不进行行为分析；B选项依赖已知攻击特征，无法检测未知异常；D

选项主要是日志的集中管理和存储，其核心价值在于关联分析，但UEBA是专门针对

行为异常的。知识点：异常检测技术。易错点：可能误选SIEM，但需明确UEBA是

SIEM中实现高级异常检测的关键技术模块。

3、在构建安全态势感知平台时，为了实现跨异构安全设备的统一策略管理和响应，

应优先考虑采用以下哪种标准或协议？

A、Syslog

B、STIX/TAXII

C、SNMP

D、NetFlow

【答案】B

2025年信息系统安全专家安全架构态势感知专题试卷及解析2

【解析】正确答案是B。STIX（结构化威胁信息表达式）和TAXII（可信自动化情

报交换）是用于标准化威胁情报共享和自动化交换的协议，能够促进不同厂商安全设备

间的协同响应。A选项主要用于日志传输，格式不统一；C选项主要用于网络设备管理；

D选项主要用于网络流量统计。知识点：威胁情报共享与自动化响应标准。易错点：对

各种协议的应用场景不熟悉，容易混淆Syslog和STIX/TAXII。

4、在安全态势感知的“理解”（Comprehension）阶段，分析师最核心的工作是什么？

A、配置数据采集代理

B、评估安全事件的影响范围和潜在风险

C、修复被攻击的系统漏洞

D、编写详细的应急响应报告

【答案】B

【解析】正确答案是B。态势感知模型通常包括感知、理解、预测三个阶段。“理解”

阶段的核心是对感知到的数据进行关联分析，评估当前安全态势的含义，包括事件的影

响、攻击者的意图和潜在风险。A选项属于感知阶段；C和D选项属于响应阶段。知

识点：态势感知模型（如JDL模型）。易错点：容易将“理解”与“感知”或“响应”阶段的

工作内容混淆。

5、当态势感知系统检测到某内部主机频繁向外部C2服务器地址发起连接时，最

应采取的初步响应措施是？

A、立即断开该主机的网络连接

B、增加对该主机的监控日志级别

C、在边界防火墙上封禁该外部C2地址

D、通知主机用户进行病毒查杀

【答案】C

【解析】正确答案是C。封禁外部C2地址是快速有效的遏制措施，可以切断攻击

者与失陷主机的通信，防止数据泄露和进一步的控制，同时避免影响该主机可能承担的

其他业务。A选项过于激进，可能导致业务中断；B选项是被动措施，无法立即阻止威

胁；D选项依赖于用户配合，且可能无法清除高级恶意软件。知