2025年网络安全风险评估考试试题及答案.docxVIP

2025年网络安全风险评估考试试题及答案

一、单项选择题（共20题，每题1分，共20分）

1.以下哪项不属于网络安全风险评估的三要素？

A.资产价值

B.威胁发生概率

C.脆弱性严重程度

D.安全管理制度

答案：D

解析：风险三要素为资产（价值）、威胁（发生概率）、脆弱性（严重程度），安全管理制度属于控制措施范畴。

2.在风险评估中，使用德尔菲法（DelphiMethod）主要用于：

A.定量计算风险值

B.收集专家对威胁概率的主观判断

C.自动化扫描系统漏洞

D.验证安全策略合规性

答案：B

解析：德尔菲法通过多轮匿名专家咨询，收敛对不确定性事件（如威胁概率）的主观评估，属于定性评估方法。

3.某系统的资产价值为100万元，威胁发生概率为0.2次/年，脆弱性被利用后导致的损失系数为0.6，则年预期损失（ALE）为：

A.12万元

B.20万元

C.60万元

D.100万元

答案：A

解析：ALE=资产价值×威胁概率×损失系数=100×0.2×0.6=12万元。

4.以下哪项是通用漏洞评分系统（CVSS）的核心指标？

A.资产暴露面

B.漏洞可利用性

C.安全策略完善度

D.员工安全意识

答案：B

解析：CVSS3.1的核心指标包括攻击路径（AttackVector）、攻击复杂度（AttackComplexity）、权限要求（PrivilegesRequired）等，均与漏洞可利用性直接相关。

5.在威胁建模中，STRIDE方法中的“S”代表：

A.Spoofing（伪装）

B.Tampering（篡改）

C.Repudiation（抵赖）

D.InformationDisclosure（信息泄露）

答案：A

解析：STRIDE是威胁分类模型，S=Spoofing（伪装），T=Tampering（篡改），R=Repudiation（抵赖），I=InformationDisclosure（信息泄露），D=DenialofService（拒绝服务），E=ElevationofPrivilege（权限提升）。

6.以下哪种工具主要用于漏洞扫描？

A.Wireshark

B.Nessus

C.BurpSuite

D.Splunk

答案：B

解析：Nessus是专业漏洞扫描工具；Wireshark用于抓包分析，BurpSuite用于Web渗透测试，Splunk用于日志分析。

7.根据《网络安全法》和《数据安全法》，关键信息基础设施运营者的风险评估周期应为：

A.每半年一次

B.每年一次

C.每两年一次

D.每三年一次

答案：B

解析：《关键信息基础设施安全保护条例》第二十二条明确要求运营者每年至少进行一次网络安全检测和风险评估。

8.云环境下，“共享责任模型”中，Iaas层的操作系统补丁管理通常由：

A.云服务商负责

B.用户负责

C.双方共同负责

D.第三方安全公司负责

答案：B

解析：Iaas（基础设施即服务）层中，云服务商负责物理设备、网络、虚拟化层安全，用户负责操作系统、应用、数据的安全（包括补丁管理）。

9.以下哪项属于定量风险评估的特点？

A.依赖专家经验

B.输出结果为风险等级（高/中/低）

C.可计算具体损失数值

D.适用于数据缺乏的场景

答案：C

解析：定量评估通过数值化计算（如ALE）得出具体损失值，而定性评估依赖主观等级划分。

10.在风险缓解措施中，“购买网络安全保险”属于：

A.风险规避

B.风险转移

C.风险降低

D.风险接受

答案：B

解析：保险是将风险造成的财务损失转移给第三方，属于风险转移策略。

11.某企业核心数据库的访问日志缺失关键操作记录，这主要影响了信息安全的：

A.机密性

B.完整性

C.可用性

D.可追溯性

答案：D

解析：日志缺失导致无法追踪操作行为，破坏了可追溯性（属于安全属性扩展要求）。

12.以下哪项不属于威胁源分类中的“环境因素”？

A.地震导致机房断电

B.网络设备老化引发故障

C.黑客组织发起DDoS攻击

D.温度过高导致服务器宕机

答案：C

解析：威胁源分为人为（如黑客攻击）、环境（自然灾害、设备故障）、系统（软件缺陷）三类，C属于人为威胁源。

13.在风险评估准备阶段，“资产清单”的核心要素不