2025年信息系统安全专家威胁狩猎审计与合规报告专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎审计与合规报告专题试卷及解析1

2025年信息系统安全专家威胁狩猎审计与合规报告专题试

卷及解析

2025年信息系统安全专家威胁狩猎审计与合规报告专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎活动中，假设驱动的狩猎方法与数据驱动的狩猎方法相比，其主要

优势在于？

A、能够更快速地发现未知威胁

B、基于攻击者行为模式，更具针对性

C、完全依赖自动化工具，减少人力成本

D、可以处理海量的非结构化数据

【答案】B

【解析】正确答案是B。假设驱动的威胁狩猎是基于对攻击者战术、技术和程序

（TTPs）的理解，提出假设并验证，因此更具针对性。A选项是数据驱动狩猎的优势，

因为它通过分析异常数据可能发现未知威胁。C选项错误，假设驱动同样需要大量人工

分析。D选项是大数据分析的特点，与假设驱动的核心优势无关。知识点：威胁狩猎方

法论。易错点：容易混淆两种方法的核心优势，误认为假设驱动更擅长发现未知威胁。

2、在进行安全审计时，为了验证访问控制策略的有效性，审计人员最应该关注的

是？

A、防火墙日志的完整性

B、用户权限分配的最小化原则

C、入侵检测系统的报警数量

D、安全补丁的安装率

【答案】B

【解析】正确答案是B。访问控制策略的核心是确保用户只能访问其工作所需的资

源，最小化原则是其设计和评估的基石。A选项关注网络边界，C选项关注入侵行为，

D选项关注系统漏洞，虽然都与安全相关，但都不是直接验证访问控制策略有效性的核

心。知识点：访问控制审计。易错点：容易将其他安全审计内容（如防火墙审计）与访

问控制审计的重点混淆。

3、根据GDPR（通用数据保护条例），当发生个人数据泄露事件时，控制者必须在

多长时间内通知监管机构？

A、24小时

B、48小时

C、72小时

D、7个工作日

2025年信息系统安全专家威胁狩猎审计与合规报告专题试卷及解析2

【答案】C

【解析】正确答案是C。GDPR第33条明确规定，数据控制者在知悉个人数据泄露

后，应在72小时内通知监管机构，除非泄露不太可能对个人权利和自由造成风险。A、

B、D均为错误的时间节点。知识点：合规性框架GDPR。易错点：不同法规（如中国

的《网络安全法》或美国的州级法律）的通知时限不同，容易记混。

4、在威胁狩猎中，MITREATTCK框架的主要作用是？

A、提供加密算法标准

B、描述和分类攻击者的行为

C、定义安全事件的响应流程

D、评估软件的漏洞严重性

【答案】B

【解析】正确答案是B。MITREATTCK是一个全球性的、基于真实世界观察的

对手战术、技术和程序知识库，其主要作用是提供一个通用语言来描述和分类攻击者的

行为，用于威胁建模、情报分析和威胁狩猎。A是密码学标准，C是事件响应框架（如

NISTSP80061），D是漏洞评估框架（如CVSS）。知识点：威胁狩猎工具与框架。易

错点：容易将ATTCK与其他安全框架的功能混淆。

5、一份有效的合规报告，其核心要素不包括以下哪项？

A、对控制措施的客观证据

B、针对发现问题的整改计划

C、详细的攻击代码分析

D、与特定标准或法规的符合性声明

【答案】C

【解析】正确答案是C。合规报告旨在证明组织是否满足特定法规或标准的要求，其

核心是证据、符合性声明和改进计划。详细的攻击代码分析属于事件响应或深度技术分

析的范畴，通常不是合规报告的必要内容。A、B、D都是合规报告的关键组成部分。知

识点：合规报告编写。易错点：可能误认为技术细节越深入报告越专业，而忽略了合规

报告的目的是“证明符合性”。

6、在进行日志审计以发现横向移动活动时，以下哪项日志记录最为关键？

A、Web服务器访问日志

B、DNS查询日志

C、操作系统启动日志

D、应用程序崩溃日志

【答案】B

【解析】正确答案是B