软考题库
信息安全工程师 · 高频练习

发现疑似安全事件后,第一步应该先做什么?

中级 单选题 第 112 题 中等 信息安全工程师安全事件应急响应证据保全
内容整理:软考题库编辑部 最近更新:
题目

运维人员发现某服务器在凌晨突然向外发送大量异常流量,怀疑可能被入侵。作为安全事件应急响应,较合适的第一步是()。

A 先确认事件现象、影响范围并保留关键证据
B 立即格式化服务器,避免麻烦
C 把日志全部删除,减少磁盘占用
D 公开发布攻击细节,不再内部处置
题目类型:原创高频考点题 用途:用于帮助理解信息安全工程师相关考点和答案解析,不等同于官方真题。
正确答案
A
答案解析

安全事件应急响应强调先确认、再控制、再分析和恢复。发现异常后,不能一上来就破坏现场。应先记录现象、保留日志和网络连接等证据,判断影响范围和严重程度,再决定隔离、阻断、溯源或恢复措施。

选项分析

A

正确。确认现象、影响范围并保留证据,符合应急响应的基本步骤。

B

错误。格式化会破坏证据,也可能导致业务恢复和溯源更加困难。

C

错误。日志正是分析安全事件的重要依据,不能随意删除。

D

错误。公开细节不是第一步,且可能扩大风险。

本题为什么容易错

很多人把应急响应理解成“立刻把机器清干净”。考试里更看重有序处置:先确认和保全,再隔离和恢复。

先看结论

简短答案

发现疑似安全事件后,第一步应该先做什么,正确答案是 A(先确认事件现象、影响范围并保留关键证据)。安全事件应急响应强调先确认、再控制、再分析和恢复。发现异常后,不能一上来就破坏现场。应先记录现象、保留日志和网络连接等证据,判断影响范围和严重程度,再决定隔离、阻断、溯源或恢复措施。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
先确认事件现象、影响范围并保留关键证据 本题正确答案 正确。确认现象、影响范围并保留证据,符合应急响应的基本步骤。 看到题干核心场景时优先联想到它
立即格式化服务器,避免麻烦 本题干扰项 错误。格式化会破坏证据,也可能导致业务恢复和溯源更加困难。 看到该词不要急着选,先判断是否真正解决题干问题
把日志全部删除,减少磁盘占用 本题干扰项 错误。日志正是分析安全事件的重要依据,不能随意删除。 看到该词不要急着选,先判断是否真正解决题干问题
公开发布攻击细节,不再内部处置 本题干扰项 错误。公开细节不是第一步,且可能扩大风险。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • 立即格式化服务器,避免麻烦:错误。格式化会破坏证据,也可能导致业务恢复和溯源更加困难。
  • 把日志全部删除,减少磁盘占用:错误。日志正是分析安全事件的重要依据,不能随意删除。
  • 公开发布攻击细节,不再内部处置:错误。公开细节不是第一步,且可能扩大风险。
复习

知识点详解

证据保全是信息安全工程师考试中需要结合场景理解的考点。围绕“发现疑似安全事件后,第一步应该先做什么”这类题目,复习时要先看题干描述的是概念定义、适用场景、作用效果,还是与其他选项的区别。本题的题干关键词是“运维人员发现某服务器在凌晨突然向外发送大量异常流量,怀疑可能被入侵。作为安全事件应急响应,较合适的第一步是()”,它指向的核心答案是 A(先确认事件现象、影响范围并保留关键证据)。

备考速记

备考速记:题干如果强调“证据保全”中的关键目标,就先联想到 证据保全;如果选项里出现 立即格式化服务器,避免麻烦、把日志全部删除,减少磁盘占用、公开发布攻击细节,不再内部处置,不要只看名称熟悉,要判断它们是否真正对应题干场景。

证据保全在证据保全场景中的作用

证据保全在本题中的核心价值,是解决“运维人员发现某服务器在凌晨突然向外发送大量异常流量,怀疑可能被入侵。作为安全事件应急响应,较合适的第一步是()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出证据保全场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查证据保全的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把证据保全和立即格式化服务器,避免麻烦、把日志全部删除,减少磁盘占用、公开发布攻击细节,不再内部处置放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
证据保全在信息安全工程师软考中的考法

软考选择题通常不会只考概念定义,还会把证据保全放到证据保全场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

题干里只是“怀疑可能被入侵”,还没有完成确认。老师一般会提醒:应急处置要快,但不能乱。先把异常流量、日志、进程、账号变化等证据留住,再判断是误报、配置问题,还是确实发生了安全事件。

考点定位

这类题常考应急响应顺序。第一反应不是“重装系统”,而是确认事件、保护证据、控制影响,后面才是清除、恢复和总结。

易错提醒

  • 不要把重装系统当成安全事件第一步。
  • 日志、网络连接、异常进程和账号变更都是重要证据。
  • 隔离主机通常要在确认影响和保护证据的基础上进行。

备考提示

  • 复习信息安全事件时,按“准备、检测、遏制、根除、恢复、总结”理解,比死背更稳。
  • 题干出现“疑似”“发现异常”,优先选确认与证据保全类选项。

你可能还想了解

  • 发现疑似安全事件后,第一步应该先做什么?
  • 证据保全是什么?
  • 证据保全在信息安全工程师考试中怎么考?
  • 信息安全工程师证据保全题怎么理解?
  • 安全事件应急响应第一步怎么考?
  • 信息安全工程师安全事件怎么考?

本文小结

本题核心考点是证据保全在证据保全场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(先确认事件现象、影响范围并保留关键证据)。