2025年信息系统安全专家安全事件响应工具与平台应用专题试卷及解析.pdfVIP

2025年信息系统安全专家安全事件响应工具与平台应用专题试卷及解析1

2025年信息系统安全专家安全事件响应工具与平台应用专

题试卷及解析

2025年信息系统安全专家安全事件响应工具与平台应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全事件响应的检测阶段，以下哪种工具最适合用于实时监控网络流量并识

别异常行为？

A、Wireshark

B、Snort

C、Nmap

D、Metasploit

【答案】B

【解析】正确答案是B。Snort是一款开源的网络入侵检测系统（NIDS），能够实时

监控网络流量并根据规则库识别可疑或恶意行为，非常适合事件响应的检测阶段。A选

项Wireshark是网络协议分析工具，主要用于抓包和离线分析，实时监控能力较弱；C

选项Nmap是网络扫描工具，用于发现主机和开放端口，不适用于实时流量监控；D选

项Metasploit是渗透测试框架，用于漏洞利用，与检测阶段无关。知识点：入侵检测系

统（IDS）的应用场景。易错点：容易混淆Wireshark和Snort的功能，前者是分析工

具，后者是检测工具。

2、当安全团队需要快速分析一个可疑的恶意软件样本时，以下哪种平台或工具最

为合适？

A、Splunk

B、VirusTotal

C、OSSEC

D、Nessus

【答案】B

【解析】正确答案是B。VirusTotal是一个多引擎的在线恶意软件扫描服务，可以

快速上传并分析可疑文件，提供来自数十个杀毒引擎的检测结果和详细报告，非常适合

快速初步分析。A选项Splunk是日志管理和SIEM平台，主要用于日志关联分析，而

非直接分析文件样本；C选项OSSEC是主机入侵检测系统，专注于监控主机活动；D

选项Nessus是漏洞扫描器，用于发现系统和应用漏洞，不适用于恶意软件分析。知识

点：恶意软件分析工具的选择。易错点：可能会误选Splunk，因为它功能强大，但其核

心是日志分析，而非文件样本分析。

3、在事件响应的遏制阶段，为了快速隔离受感染的主机以防止威胁横向扩散，最

直接有效的方法是？

2025年信息系统安全专家安全事件响应工具与平台应用专题试卷及解析2

A、修改主机防火墙规则

B、在交换机上禁用该主机的端口

C、要求用户立即断开网络连接

D、更新主机的杀毒软件病毒库

【答案】B

【解析】正确答案是B。在网络交换机上禁用受感染主机的端口（PortShutdown）

是一种网络层面的快速隔离措施，能立即切断其与网络的所有连接，有效遏制威胁扩

散。A选项修改防火墙规则虽然可行，但配置相对复杂且可能存在延迟；C选项依赖用

户操作，不可靠且响应慢；D选项更新病毒库是预防措施，对已发生的感染事件遏制效

果有限。知识点：事件响应中的遏制策略。易错点：容易选择A或C，但B是网络管

理员可以执行的、最直接且不受主机状态影响的操作。

4、一个SIEM平台的核心价值在于其能够？

A、单独检测所有类型的攻击

B、加密存储所有日志数据

C、关联分析来自不同源的日志以发现潜在威胁

D、自动修复所有发现的漏洞

【答案】C

【解析】正确答案是C。安全信息和事件管理（SIEM）平台的核心功能是收集来自

网络设备、服务器、应用等不同来源的日志和事件数据，通过关联分析规则和机器学习

模型，发现单一数据源难以识别的复杂攻击链和潜在威胁。A选项错误，SIEM依赖于

日志，无法检测不产生日志的攻击；B选项是存储功能，不是核心价值；D选项是安全

编排、自动化与响应（SOAR）的功能，而非SIEM的核心。知识点：SIEM平台的核

心功能。易错点：将SIEM的功能与SOAR或IDS的功能混淆。

5、在进行数字取证时，为了确保证据的完整性和法庭可采纳性，首先应该对原始

存储介质进行什么操作？

A、格式化

B、进行哈希计算

C、创建一个法证镜像（ForensicImage）

D、安装取证分析软件

【答案