2025年信息系统安全专家安全事件分类与响应生命周期专题试卷及解析.pdfVIP

2025年信息系统安全专家安全事件分类与响应生命周期专题试卷及解析1

2025年信息系统安全专家安全事件分类与响应生命周期专

题试卷及解析

2025年信息系统安全专家安全事件分类与响应生命周期专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在NISTSP80061定义的安全事件响应生命周期中，哪个阶段的主要目标是彻

底清除攻击者并恢复系统正常运行？

A、检测与分析

B、遏制、根除与恢复

C、事后处理

D、准备

【答案】B

【解析】正确答案是B。遏制、根除与恢复阶段的核心任务是阻止事件影响扩大（遏

制）、消除攻击根源（根除）并重建受影响系统（恢复）。A选项侧重事件识别和原因分

析；C选项是总结经验教训；D选项是预防性措施。知识点：NIST事件响应生命周期

四阶段。易错点：易将“遏制”与“检测”混淆，前者是控制影响，后者是发现问题。

2、根据ISO/IEC27035标准，以下哪项属于“安全事件”的典型特征？

A、未经授权的物理访问尝试

B、定期系统补丁更新

C、员工安全培训记录

D、防火墙规则配置文档

【答案】A

【解析】正确答案是A。安全事件指违反安全策略的已发生或即将发生的活动，如

未授权访问。B、C、D均为常规安全管理活动。知识点：ISO/IEC27035事件定义。易

错点：需区分“事件”（违反策略）与“活动”（常规操作）。

3、在事件分类中，“DDoS攻击”通常被归类为哪类威胁？

A、内部威胁

B、恶意代码

C、拒绝服务

D、数据泄露

【答案】C

【解析】正确答案是C。DDoS（分布式拒绝服务）攻击直接目的是破坏服务可用性，

属于拒绝服务类。A选项指内部人员发起的威胁；B选项如病毒、勒索软件；D选项侧

重数据窃取。知识点：事件分类维度。易错点：DDoS虽可能由恶意代码触发，但核心

特征是服务中断。

2025年信息系统安全专家安全事件分类与响应生命周期专题试卷及解析2

4、事件响应团队（CSIRT）在“遏制”阶段最优先的行动是？

A、立即隔离受感染主机

B、通知执法部门

C、撰写事件报告

D、升级防火墙规则

【答案】A

【解析】正确答案是A。遏制阶段需快速控制影响范围，隔离主机是最直接手段。B

选项通常在根除后进行；C选项属于事后处理；D选项可能有效但非最优先。知识点：

遏制阶段行动优先级。易错点：易混淆“遏制”与“根除”的先后顺序。

5、以下哪项属于“事件响应计划”的必要组成部分？

A、供应商联系方式列表

B、年度安全预算

C、员工绩效考核标准

D、市场营销策略

【答案】A

【解析】正确答案是A。事件响应计划需包含关键联系人（如供应商、执法部门）。

B、C、D均与事件响应无直接关联。知识点：事件响应计划要素。易错点：忽略“联系

人列表”这一实操性要素。

6、在“检测与分析”阶段，哪种技术最适用于识别未知威胁？

A、基于签名的检测

B、异常行为分析

C、静态代码审计

D、端口扫描

【答案】B

【解析】正确答案是B。异常行为分析通过基线对比发现偏离正常的行为，适合未

知威胁。A选项依赖已知特征；C选项用于代码漏洞检测；D选项用于网络发现。知识

点：威胁检测技术分类。易错点：误认为签名检测可覆盖所有威胁。

7、根据SANS事件分类模型，“钓鱼邮件攻击”属于哪类？

A、网络攻击

B、恶意代码

C、社会工程

D、数据篡改

【答案】C

【解析】正确答案是C。钓鱼邮件通过欺骗手段获取敏感信息，属于社会工程。A选

项如DDoS；B选项如勒索软件；D选项指数据被非法修改。知识点：SANS事件分类

2025年信息系统安全专家安全事件分类与响应生命周期专题试卷及解析3

体系。易错点：钓鱼邮件可能携带