2025年信息系统安全专家勒索软件攻击的监控预警与响应专题试卷及解析.pdfVIP

2025年信息系统安全专家勒索软件攻击的监控预警与响应专题试卷及解析1

2025年信息系统安全专家勒索软件攻击的监控预警与响应

专题试卷及解析

2025年信息系统安全专家勒索软件攻击的监控预警与响应专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在勒索软件攻击的监控预警阶段，以下哪种技术手段最能有效识别异常的文件

加密行为？

A、防火墙规则配置

B、数据防泄漏（DLP）系统

C、用户行为分析（UBA）

D、入侵防御系统（IPS）

【答案】C

【解析】正确答案是C。用户行为分析（UBA）通过建立正常用户行为基线，能够

有效识别异常的文件操作模式，如短时间内大量文件被修改或加密，这是勒索软件执行

加密阶段的典型特征。A选项防火墙主要关注网络层面的访问控制，对文件操作行为不

敏感；B选项DLP侧重于敏感数据的外泄检测，而非文件加密行为；D选项IPS主要

检测已知的攻击特征和漏洞利用，对勒索软件的加密行为检测能力有限。知识点：勒索

软件行为监控、异常检测技术。易错点：容易混淆DLP和UBA的功能，DLP关注数

据内容，UBA关注行为模式。

2、当检测到勒索软件攻击时，以下哪项是响应团队最应优先采取的行动？

A、立即支付赎金以恢复数据

B、隔离受感染的主机以防止横向移动

C、格式化所有服务器以彻底清除病毒

D、公开披露攻击事件

【答案】B

【解析】正确答案是B。隔离受感染主机是应急响应中的首要步骤，目的是切断攻

击者与网络的连接，阻止勒索软件进一步扩散到其他系统，控制损失范围。A选项支付

赎金不仅不鼓励犯罪行为，而且不能保证数据能被恢复，且可能成为未来攻击的目标；

C选项格式化服务器是极端措施，应在数据备份和取证分析后考虑，会丢失关键证据；

D选项公开披露是必要的，但不是立即响应的首要技术行动。知识点：勒索软件应急响

应流程、遏制策略。易错点：在恐慌下可能倾向于支付赎金，但这并非专业且有效的响

应策略。

3、以下哪种勒索软件变种以其“双重勒索”模式而闻名，即在加密数据前先窃取敏

感数据？

A、WannaCry

2025年信息系统安全专家勒索软件攻击的监控预警与响应专题试卷及解析2

B、Petya

C、Conti

D、CryptoLocker

【答案】C

【解析】正确答案是C。Conti勒索软件团伙是“双重勒索”模式的典型代表，他们在加

密受害者数据之前，会先窃取大量敏感数据，然后威胁如果不支付赎金，不仅不提供解

密密钥，还会公开这些窃取的数据。A选项WannaCry利用“永恒之蓝”漏洞传播，主要

依赖加密勒索；B选项Petya以加密硬盘主引导表（MBR）著称；D选项CryptoLocker

是早期广泛传播的勒索软件，但主要功能是加密文件。知识点：勒索软件变种、攻击模

式演变。易错点：对各种勒索软件家族的特点和攻击手法记忆不清，容易混淆。

4、在构建勒索软件监控预警体系时，部署在网络边界的以下哪种设备对于检测勒

索软件与C2服务器的通信至关重要？

A、负载均衡器

B、代理服务器

C、网络流量分析（NTA）系统

D、VPN网关

【答案】C

【解析】正确答案是C。网络流量分析（NTA）系统通过深度包检测和流量行为建

模，能够识别出与已知恶意C2服务器IP地址或域名的通信，以及异常的出站连接模

式，这是勒索软件回传信息和接收指令的关键环节。A选项负载均衡器用于分发流量，

不进行安全检测；B选项代理服务器主要控制用户上网行为，对恶意C2流量的检测

能力有限；D选项VPN网关用于建立安全远程连接，不直接分析内部流量内容。知识

点：网络流量监控、C2通信检测。易错点：可能认为防火墙或IPS就能完成此任务，但

NTA在行为异常检测方面更具优势。

5、为了有效防范勒索软件攻击，以下哪种数据备份策略被认为是最安全的？

A、仅使用本地磁盘备份

B、仅使用网络附加存储（NAS）备份

C、采用321备份规则（3份副本，2种不同介质，1份离线