第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁奇安信上網(wǎng)行為安全題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.在奇安信上網(wǎng)行為管理系統(tǒng)中，用于記錄用戶訪問特定網(wǎng)站的行為日志屬于哪種類型的數(shù)據(jù)？

（）A.命令日志

（）B.會(huì)話日志

（）C.應(yīng)用日志

（）D.系統(tǒng)日志

2.當(dāng)用戶嘗試訪問被策略禁止的P2P下載網(wǎng)站時(shí)，奇安信上網(wǎng)行為管理系統(tǒng)通常會(huì)采取哪種處理方式？

（）A.直接放行，但記錄日志

（）B.攔截訪問并彈出警告窗口

（）C.自動(dòng)下載攔截工具，阻止后續(xù)訪問

（）D.臨時(shí)允許訪問，30分鐘后自動(dòng)禁止

3.根據(jù)奇安信產(chǎn)品文檔，以下哪項(xiàng)功能不屬于上網(wǎng)行為管理系統(tǒng)的核心功能范疇？

（）A.URL內(nèi)容過濾

（）B.網(wǎng)絡(luò)流量分析

（）C.惡意軟件防護(hù)

（）D.用戶行為審計(jì)

4.在配置奇安信上網(wǎng)行為管理策略時(shí)，優(yōu)先級最高的規(guī)則通常應(yīng)用于以下哪個(gè)階段？

（）A.用戶認(rèn)證之前

（）B.用戶認(rèn)證之后

（）C.網(wǎng)絡(luò)出口之前

（）D.網(wǎng)絡(luò)出口之后

5.奇安信上網(wǎng)行為管理系統(tǒng)中的“帶寬管理”功能，主要用于解決哪種網(wǎng)絡(luò)問題？

（）A.網(wǎng)絡(luò)延遲過高

（）B.非法外聯(lián)風(fēng)險(xiǎn)

（）C.帶寬濫用導(dǎo)致的網(wǎng)絡(luò)擁堵

（）D.設(shè)備硬件故障

6.當(dāng)管理員需要統(tǒng)計(jì)某部門員工在特定時(shí)間段內(nèi)訪問P2P類應(yīng)用的時(shí)長時(shí)，應(yīng)使用系統(tǒng)的哪種報(bào)表功能？

（）A.流量統(tǒng)計(jì)報(bào)表

（）B.應(yīng)用行為報(bào)表

（）C.用戶審計(jì)報(bào)表

（）D.網(wǎng)絡(luò)拓?fù)鋱?bào)表

7.根據(jù)網(wǎng)絡(luò)安全等級保護(hù)要求（等保2.0），上網(wǎng)行為管理系統(tǒng)在記錄用戶行為日志時(shí)，應(yīng)確保日志的哪些特性？

（）A.完整性、保密性

（）B.可用性、保密性

（）C.完整性、可用性

（）D.完整性、不可否認(rèn)性

8.在奇安信上網(wǎng)行為管理系統(tǒng)中，用于檢測用戶是否通過代理服務(wù)器繞過監(jiān)管的機(jī)制屬于哪種技術(shù)？

（）A.IP地址識別

（）B.DNS查詢分析

（）C.代理檢測技術(shù)

（）D.深度包檢測（DPI）

9.管理員發(fā)現(xiàn)某員工頻繁使用QQ離線文件傳輸功能下載大文件，此時(shí)應(yīng)優(yōu)先考慮以下哪種策略？

（）A.禁止該員工的網(wǎng)絡(luò)訪問

（）B.限制QQ應(yīng)用的帶寬使用

（）C.攔截所有P2P類應(yīng)用

（）D.安裝終端安全軟件

10.奇安信上網(wǎng)行為管理系統(tǒng)的策略下發(fā)方式通常包括哪些類型？

（）A.手動(dòng)下發(fā)、自動(dòng)下發(fā)

（）B.本地下發(fā)、云端下發(fā)

（）C.即時(shí)下發(fā)、延時(shí)下發(fā)

（）D.強(qiáng)制下發(fā)、協(xié)商下發(fā)

11.在配置URL過濾策略時(shí)，以下哪種規(guī)則類型更適用于精確控制用戶訪問權(quán)限？

（）A.白名單規(guī)則

（）B.黑名單規(guī)則

（）C.關(guān)鍵詞過濾規(guī)則

（）D.分類規(guī)則

12.根據(jù)奇安信官方文檔，以下哪項(xiàng)指標(biāo)是評估上網(wǎng)行為管理系統(tǒng)性能的關(guān)鍵參數(shù)？

（）A.CPU占用率

（）B.內(nèi)存占用率

（）C.并發(fā)用戶數(shù)

（）D.響應(yīng)時(shí)間

13.當(dāng)用戶報(bào)告訪問公司內(nèi)網(wǎng)資源時(shí)遇到速度緩慢問題，管理員首先應(yīng)檢查哪些系統(tǒng)功能？

（）A.應(yīng)用識別準(zhǔn)確率

（）B.帶寬管理策略

（）C.日志記錄狀態(tài)

（）D.網(wǎng)絡(luò)出口帶寬

14.在奇安信上網(wǎng)行為管理系統(tǒng)中，用于識別用戶真實(shí)身份的認(rèn)證方式通常包括哪些類型？

（）A.用戶名密碼認(rèn)證

（）B.證書認(rèn)證

（）C.令牌認(rèn)證

（）D.以上都是

15.根據(jù)等保2.0要求，上網(wǎng)行為管理系統(tǒng)應(yīng)支持對日志進(jìn)行哪些處理操作？

（）A.采集、存儲、審計(jì)

（）B.采集、分析、上報(bào)

（）C.存儲、備份、恢復(fù)

（）D.查詢、導(dǎo)出、統(tǒng)計(jì)

16.當(dāng)管理員發(fā)現(xiàn)某用戶通過FTP協(xié)議傳輸敏感文件到外部服務(wù)器時(shí)，應(yīng)采取哪種措施？

（）A.立即斷開該用戶的網(wǎng)絡(luò)連接

（）B.限制FTP協(xié)議的傳輸大小

（）C.記錄該行為并通知用戶部門負(fù)責(zé)人

（）D.忽略該行為，因FTP是合法協(xié)議

17.奇安信上網(wǎng)行為管理系統(tǒng)中的“內(nèi)容審計(jì)”功能，主要用于解決哪種安全風(fēng)險(xiǎn)？

（）A.網(wǎng)絡(luò)病毒傳播

（）B.內(nèi)部信息泄露

（）C.DNS劫持攻擊

（）D.惡意代碼注入

18.在配置多級域名過濾規(guī)則時(shí)，以下哪種規(guī)則匹配邏輯優(yōu)先級最高？

（）A.包含關(guān)系（如包含）

（）B.不包含關(guān)系

（）C.完全匹配

（）D.正則表達(dá)式匹配

19.根據(jù)奇安信最佳實(shí)踐，以下哪種場景最適合部署上網(wǎng)行為管理系統(tǒng)？

（）A.核心數(shù)據(jù)機(jī)房

（）B.互聯(lián)網(wǎng)出口區(qū)域

（）C.服務(wù)器集群環(huán)境

（）D.移動(dòng)辦公網(wǎng)絡(luò)

20.當(dāng)用戶反饋策略調(diào)整后訪問某些正常業(yè)務(wù)網(wǎng)站被誤攔截時(shí)，管理員應(yīng)如何處理？

（）A.立即恢復(fù)原策略

（）B.聯(lián)系廠商技術(shù)支持

（）C.調(diào)整策略的優(yōu)先級或規(guī)則順序

（）D.禁用該用戶的訪問權(quán)限

二、多選題（共15分，多選、錯(cuò)選均不得分）

21.奇安信上網(wǎng)行為管理系統(tǒng)的核心功能模塊通常包括哪些？

（）A.URL內(nèi)容過濾

（）B.應(yīng)用行為審計(jì)

（）C.帶寬流量管理

（）D.惡意軟件防護(hù)

（）E.用戶行為分析

22.根據(jù)等保2.0要求，上網(wǎng)行為管理系統(tǒng)應(yīng)支持哪些日志審計(jì)功能？

（）A.日志實(shí)時(shí)監(jiān)控

（）B.日志自動(dòng)備份

（）C.關(guān)鍵行為告警

（）D.日志不可篡改

（）E.日志自動(dòng)清除

23.在配置URL過濾策略時(shí)，以下哪些因素會(huì)影響規(guī)則的匹配效果？

（）A.域名前綴匹配

（）B.端口類型

（）C.正則表達(dá)式

（）D.關(guān)鍵詞列表

（）E.用戶分組

24.當(dāng)管理員發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)P2P下載流量異常時(shí)，應(yīng)檢查哪些系統(tǒng)功能？

（）A.應(yīng)用識別規(guī)則

（）B.帶寬管理策略

（）C.用戶行為統(tǒng)計(jì)

（）D.網(wǎng)絡(luò)出口設(shè)備

（）E.終端安全狀態(tài)

25.根據(jù)奇安信最佳實(shí)踐，以下哪些場景需要重點(diǎn)配置上網(wǎng)行為管理策略？

（）A.辦公區(qū)域網(wǎng)絡(luò)

（）B.營業(yè)廳網(wǎng)絡(luò)

（）C.服務(wù)器機(jī)房

（）D.生產(chǎn)基地網(wǎng)絡(luò)

（）E.移動(dòng)辦公網(wǎng)絡(luò)

三、判斷題（共10分，每題0.5分）

26.奇安信上網(wǎng)行為管理系統(tǒng)可以支持802.1x認(rèn)證方式。（）

27.上網(wǎng)行為管理系統(tǒng)的日志可以用于安全事件的溯源分析。（）

28.在默認(rèn)配置下，奇安信上網(wǎng)行為管理系統(tǒng)會(huì)允許所有用戶訪問所有網(wǎng)站。（）

29.上網(wǎng)行為管理系統(tǒng)的帶寬管理功能可以按用戶或應(yīng)用進(jìn)行流量限制。（）

30.URL內(nèi)容過濾通常使用關(guān)鍵詞列表來識別不良網(wǎng)站。（）

31.上網(wǎng)行為管理系統(tǒng)可以檢測用戶是否使用VPN繞過監(jiān)管。（）

32.根據(jù)等保2.0要求，上網(wǎng)行為管理系統(tǒng)必須支持日志7天內(nèi)可查。（）

33.上網(wǎng)行為管理系統(tǒng)的應(yīng)用識別功能可以區(qū)分HTTP和HTTPS流量。（）

34.當(dāng)用戶使用代理服務(wù)器訪問網(wǎng)站時(shí)，系統(tǒng)無法記錄其真實(shí)行為。（）

35.上網(wǎng)行為管理系統(tǒng)的策略可以按時(shí)間段生效。（）

四、填空題（共10空，每空1分，共10分）

請將答案填寫在橫線上：

36.奇安信上網(wǎng)行為管理系統(tǒng)通常采用______和______相結(jié)合的方式來實(shí)現(xiàn)URL內(nèi)容過濾。

37.根據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施，監(jiān)測、記錄網(wǎng)絡(luò)______和______等網(wǎng)絡(luò)安全事件。

38.在配置應(yīng)用行為審計(jì)策略時(shí)，管理員需要關(guān)注用戶的______行為、______行為以及______行為。

39.奇安信上網(wǎng)行為管理系統(tǒng)中，用于檢測用戶是否通過______協(xié)議傳輸敏感文件的功能屬于高級檢測功能。

40.根據(jù)等保2.0要求，上網(wǎng)行為管理系統(tǒng)的日志應(yīng)至少保存______年。

五、簡答題（共30分）

41.簡述奇安信上網(wǎng)行為管理系統(tǒng)中URL內(nèi)容過濾的工作原理。（10分）

42.結(jié)合實(shí)際場景，說明在配置上網(wǎng)行為管理策略時(shí)應(yīng)遵循哪些原則？（10分）

43.根據(jù)等保2.0要求，上網(wǎng)行為管理系統(tǒng)應(yīng)具備哪些關(guān)鍵功能？（10分）

六、案例分析題（共25分）

某公司部署了奇安信上網(wǎng)行為管理系統(tǒng)，但近期發(fā)現(xiàn)以下問題：

-部分員工通過P2P下載工具下載電影，導(dǎo)致網(wǎng)絡(luò)擁堵；

-有用戶使用個(gè)人郵箱發(fā)送大量工作文檔到外部郵箱；

-系統(tǒng)日志中頻繁出現(xiàn)用戶嘗試訪問被禁止的賭博網(wǎng)站。

問題：

（1）針對網(wǎng)絡(luò)擁堵問題，管理員可以采取哪些措施？（8分）

（2）如何檢測并阻止用戶發(fā)送敏感文檔到外部郵箱？（8分）

（3）分析用戶訪問賭博網(wǎng)站的原因，并提出相應(yīng)的管理建議。（9分）

參考答案及解析

一、單選題

1.B

解析：會(huì)話日志記錄用戶訪問特定網(wǎng)站的完整行為，包括訪問時(shí)間、持續(xù)時(shí)間、URL等信息。命令日志記錄用戶輸入的指令，應(yīng)用日志記錄應(yīng)用層面的行為，系統(tǒng)日志記錄設(shè)備本身的運(yùn)行狀態(tài)。

2.B

解析：根據(jù)奇安信產(chǎn)品文檔，默認(rèn)策略通常禁止P2P等高風(fēng)險(xiǎn)應(yīng)用，攔截訪問時(shí)會(huì)彈出警告窗口。A選項(xiàng)錯(cuò)誤，因?yàn)榻沟膽?yīng)用不會(huì)放行。C選項(xiàng)錯(cuò)誤，系統(tǒng)不主動(dòng)下載工具。D選項(xiàng)錯(cuò)誤，禁止通常是永久性的。

3.C

解析：惡意軟件防護(hù)屬于終端安全或入侵防御系統(tǒng)的功能范疇。上網(wǎng)行為管理系統(tǒng)主要關(guān)注用戶訪問行為，而非終端病毒防護(hù)。

4.A

解析：奇安信策略配置遵循“先匹配最高優(yōu)先級規(guī)則”的原則，因此最高優(yōu)先級規(guī)則在用戶認(rèn)證之前生效。

5.C

解析：帶寬管理功能用于限制或優(yōu)先保障特定應(yīng)用或用戶的網(wǎng)絡(luò)流量，解決因帶寬濫用導(dǎo)致的網(wǎng)絡(luò)擁堵問題。

6.B

解析：應(yīng)用行為報(bào)表專門統(tǒng)計(jì)各類應(yīng)用的訪問時(shí)長、頻率等數(shù)據(jù)，符合統(tǒng)計(jì)P2P時(shí)長的需求。

7.D

解析：等保2.0要求日志具備完整性（不可篡改）、不可否認(rèn)性（可追溯）。

8.C

解析：代理檢測技術(shù)用于識別用戶是否通過代理服務(wù)器訪問網(wǎng)絡(luò)，防止監(jiān)管繞過。

9.B

解析：限制QQ帶寬可以緩解網(wǎng)絡(luò)擁堵，且不影響正常辦公需求。A選項(xiàng)過于嚴(yán)厲，C選項(xiàng)過于寬泛，D選項(xiàng)無法解決根本問題。

10.A

解析：奇安信支持手動(dòng)點(diǎn)策略下發(fā)或通過策略模板自動(dòng)下發(fā)。B選項(xiàng)錯(cuò)誤，本地下發(fā)與云端下發(fā)是部署方式，非下發(fā)類型。

11.A

解析：白名單規(guī)則優(yōu)先級更高，更適用于精確控制，因?yàn)橹挥邪酌麊蝺?nèi)的網(wǎng)站被允許訪問。

12.C

解析：并發(fā)用戶數(shù)直接影響系統(tǒng)性能，是評估關(guān)鍵指標(biāo)。A、B是硬件參數(shù)，D是響應(yīng)時(shí)間指標(biāo)。

13.B

解析：訪問內(nèi)網(wǎng)速度慢通常與帶寬管理或策略沖突有關(guān)，應(yīng)優(yōu)先檢查帶寬策略。

14.D

解析：奇安信支持多種認(rèn)證方式，實(shí)際部署時(shí)可根據(jù)需求選擇組合。

15.A

解析：等保2.0要求日志具備采集、存儲、審計(jì)能力。B選項(xiàng)錯(cuò)誤，分析功能非強(qiáng)制要求。

16.C

解析：記錄行為并通知部門負(fù)責(zé)人符合合規(guī)要求，且避免直接處罰。

17.B

解析：內(nèi)容審計(jì)主要檢測用戶上傳下載、郵件發(fā)送等行為中的敏感信息。

18.C

解析：完全匹配規(guī)則優(yōu)先級最高，系統(tǒng)會(huì)首先匹配完全匹配的規(guī)則。

19.B

解析：互聯(lián)網(wǎng)出口是上網(wǎng)行為管理的典型部署場景，可以全面監(jiān)管外網(wǎng)訪問。

20.C

解析：調(diào)整策略優(yōu)先級或規(guī)則順序可以解決誤攔截問題，避免全盤否定。

二、多選題

21.ABCDE

解析：奇安信系統(tǒng)包含URL過濾、應(yīng)用審計(jì)、帶寬管理、惡意軟件防護(hù)、用戶分析等模塊。

22.ABCD

解析：等保要求日志具備實(shí)時(shí)監(jiān)控、自動(dòng)備份、不可篡改、審計(jì)查詢功能。E選項(xiàng)錯(cuò)誤，日志需長期保存。

23.ABCDE

解析：域名前綴、端口、正則、關(guān)鍵詞、用戶分組都會(huì)影響規(guī)則匹配效果。

24.ABCD

解析：異常流量排查需檢查應(yīng)用識別、帶寬策略、用戶行為、網(wǎng)絡(luò)設(shè)備狀態(tài)。E選項(xiàng)錯(cuò)誤，終端安全與P2P流量關(guān)聯(lián)性弱。

25.ABDE

解析：辦公、營業(yè)廳、移動(dòng)辦公場景需要嚴(yán)格監(jiān)管；服務(wù)器機(jī)房通常不部署上網(wǎng)行為系統(tǒng)；生產(chǎn)基地網(wǎng)絡(luò)關(guān)注生產(chǎn)安全而非外網(wǎng)訪問。

三、判斷題

26.√

解析：奇安信支持802.1x認(rèn)證，可實(shí)現(xiàn)基于用戶身份的差異化策略。

27.√

解析：日志是安全事件溯源的關(guān)鍵證據(jù)。

28.×

解析：默認(rèn)策略通常是禁止所有外網(wǎng)訪問，需手動(dòng)配置允許列表。

29.√

解析：帶寬管理支持按用戶或應(yīng)用進(jìn)行限速或保障。

30.√

解析：URL過濾主要依賴關(guān)鍵詞列表識別不良網(wǎng)站。

31.√

解析：奇安信支持VPN檢測功能。

32.×

解析：等保要求日志至少保存6個(gè)月，而非7天。

33.√

解析：奇安信通過深度包檢測識別應(yīng)用，可區(qū)分HTTP/HTTPS流量。

34.×

解析：即使用戶使用代理，系統(tǒng)也可以通過代理檢測技術(shù)記錄其行為。

35.√

解析：策略支持按時(shí)間段生效，如工作日、節(jié)假日設(shè)置不同規(guī)則。

四、填空題

36.DNS查詢分析；關(guān)鍵詞過濾

解析：奇安信URL過濾結(jié)合DNS查詢和關(guān)鍵詞匹配兩種技術(shù)。

37.用戶行為；網(wǎng)絡(luò)流量

解析：根據(jù)《網(wǎng)絡(luò)安全法》第42條，網(wǎng)絡(luò)運(yùn)營者需記錄用戶行為和網(wǎng)絡(luò)流量。

38.訪問；下載；上傳

解析：審計(jì)重點(diǎn)關(guān)注用戶訪問網(wǎng)站、下載文件、上傳文件等行為。

39.FTP

解析：FTP是常見的敏感文件傳輸協(xié)議，系統(tǒng)支持檢測其傳輸內(nèi)容。

40.6

解析：根據(jù)等保2.0要求，日志至少保存6個(gè)月。

五、簡答題

41.URL內(nèi)容過濾工作原理：

首先，系統(tǒng)通過DNS查詢分析技術(shù)解析用戶訪問的域名，判斷其是否屬于已分類的不良網(wǎng)站（如賭博、色情等）。其次，對于無法通過DNS識別的網(wǎng)站，系統(tǒng)會(huì)采用關(guān)鍵詞過濾技術(shù)，分析URL中是否包含敏感詞匯。最后，結(jié)合黑白名單機(jī)制，系統(tǒng)最終決定是否允許用戶訪問該網(wǎng)站。整個(gè)過程基于策略模板自動(dòng)執(zhí)行，并記錄用戶訪問行為。（10分）

42.配置策略原則：

（1）最小權(quán)限原則：僅允許用戶完成工作所需的訪問權(quán)限；

（2）分類分級原則：按部門、崗位劃分權(quán)限，重要崗位配置更嚴(yán)格策略；

（3）優(yōu)先級原則：高風(fēng)險(xiǎn)行為（如P2P）優(yōu)先禁止，正常業(yè)務(wù)優(yōu)先保障；

（4）動(dòng)態(tài)調(diào)整原則：根據(jù)業(yè)務(wù)變化定期審查和更新策略；

（5）合規(guī)性原則：確保策略符合等保等法規(guī)要求。（10分）

43.等保要求的關(guān)鍵功能：

（1）用戶身份認(rèn)證：支持多種認(rèn)證方式（如AD、本地賬號）；

（2）行