2025年网络安全风险评估与防范技能考试试题及答案.docxVIP

2025年网络安全风险评估与防范技能考试试题及答案

一、单项选择题（每题2分，共20题，40分）

1.以下哪项不属于网络安全风险评估的三要素？

A.资产价值

B.威胁发生概率

C.脆弱性严重程度

D.安全策略完善性

答案：D

解析：风险评估三要素为资产（Asset）、威胁（Threat）、脆弱性（Vulnerability），安全策略属于管理控制措施，非核心三要素。

2.某企业数据库存储用户身份证号、银行卡信息，其资产价值评估应优先考虑？

A.数据恢复成本

B.法律合规风险

C.硬件采购成本

D.系统停机损失

答案：B

解析：涉及个人敏感信息（PII）和金融数据，泄露将直接违反《个人信息保护法》《数据安全法》，法律风险是核心评估维度。

3.以下哪种威胁属于“高级持续性威胁（APT）”？

A.随机扫描的勒索软件

B.针对某能源企业持续6个月的定向攻击

C.利用已知漏洞的僵尸网络

D.钓鱼邮件中的普通木马

答案：B

解析：APT特征为长期、定向、高隐蔽性，选项B符合“持续6个月+定向目标”的特点。

4.采用FAIR（FactorAnalysisofInformationRisk）模型进行量化评估时，核心计算指标是？

A.风险值=威胁×脆弱性

B.风险值=（资产价值×暴露因子）×威胁发生频率

C.风险值=（可能性×影响）×控制有效性

D.风险值=（威胁能力防护能力）×资产价值

答案：B

解析：FAIR模型通过“损失事件频率（LEF）”和“损失幅度（LM）”量化风险，核心公式为风险=（资产价值×暴露因子）×威胁发生频率。

5.某系统存在SQL注入漏洞（CVSS评分7.5），但前端已部署WAF且规则覆盖该漏洞，此时漏洞的实际风险等级应？

A.高风险（未处理）

B.中风险（部分缓解）

C.低风险（有效控制）

D.可接受风险（无需处理）

答案：C

解析：CVSS为固有风险，实际风险需考虑现有控制措施（WAF有效拦截），因此实际风险降低为低风险。

6.以下哪项是漏洞扫描工具的核心功能？

A.模拟攻击者渗透测试

B.检测系统配置合规性

C.监控网络流量异常

D.分析日志中的攻击痕迹

答案：B

解析：漏洞扫描工具（如Nessus）主要用于识别系统、应用的已知漏洞及配置缺陷，渗透测试属于主动攻击模拟，流量监控和日志分析属于监测类工具。

7.依据《网络安全等级保护基本要求（2.0）》，第三级信息系统的“安全通信网络”要求中，必须实现？

A.网络链路冗余备份

B.流量行为分析

C.边界访问控制

D.恶意代码检测

答案：C

解析：等保2.0第三级要求“应在网络边界部署访问控制设备，启用访问控制功能”，为强制要求；冗余备份、流量分析为可选增强要求。

8.勒索软件攻击的关键防范措施中，最优先的是？

A.部署下一代防火墙

B.定期离线备份数据

C.安装最新杀毒软件

D.对员工进行安全培训

答案：B

解析：勒索软件核心威胁是数据加密，离线备份（如空气隔离的磁带）可确保数据可恢复，是最直接的防范手段。

9.零信任架构（ZeroTrust）的核心原则是？

A.最小权限访问

B.网络分段隔离

C.持续验证身份与环境

D.默认拒绝所有连接

答案：C

解析：零信任的核心是“永不信任，始终验证”，即每次访问请求都需验证身份、设备状态、访问环境等多因素，而非仅依赖网络位置。

10.某物联网设备（如智能摄像头）的风险评估中，最需关注的脆弱性是？

A.设备固件未及时更新

B.管理员默认密码未修改

C.传输数据未加密

D.设备计算资源有限

答案：B

解析：物联网设备常见漏洞为默认弱密码（如“admin/admin”），攻击者可直接接管设备，风险高于其他选项（如未加密可能通过中间人攻击，但需先突破网络边界）。

11.风险处理策略中，“购买网络安全保险”属于？

A.风险规避

B.风险转移

C.风险降低

D.风险接受

答案：B

解析：通过保险将风险损失转移给第三方，属于风险转移策略。

12.以下哪项属于“管理类安全控制措施”？

A.部署入侵检测系统（IDS）

B.制定《数据访问审批流程》

C.服务器机房安装门禁系统

D.对数据库进行加密存储

答案：B

解析：管理控制措施指制度、流程类（如审批流程），技术控制（IDS、加密）和物理控