2025年信息系统安全专家安全审计风险模型与风险评估专题试卷及解析.pdfVIP

2025年信息系统安全专家安全审计风险模型与风险评估专题试卷及解析1

2025年信息系统安全专家安全审计风险模型与风险评估专

题试卷及解析

2025年信息系统安全专家安全审计风险模型与风险评估专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全审计中，以下哪项风险模型主要用于评估因系统漏洞被利用而导致业务

中断的可能性？

A、STRIDE模型

B、DREAD模型

C、CVSS评分系统

D、OCTAVE方法

【答案】C

【解析】正确答案是C。CVSS（通用漏洞评分系统）是专门用于评估漏洞严重性的

标准化框架，其评分直接反映漏洞被利用后对系统机密性、完整性、可用性的影响程度，

与业务中断风险直接相关。STRIDE（A选项）侧重威胁分类，DREAD（B选项）是定

性风险评估工具，OCTAVE（D选项）是组织级风险评估方法论，均不直接针对漏洞利

用的业务中断评估。知识点：漏洞评估模型。易错点：混淆CVSS与DREAD的应用

场景。

2、在风险评估中，当发现某系统存在“未及时修补的高危漏洞”时，最应优先采取

的措施是？

A、增加日志监控频率

B、部署额外的防火墙规则

C、立即应用安全补丁

D、通知用户修改密码

【答案】C

【解析】正确答案是C。高危漏洞的直接风险是可被远程利用，最有效的风险处置

是消除漏洞根源（打补丁）。A选项是被动监测，B选项仅能缓解部分攻击路径，D选

项与漏洞修复无直接关联。知识点：风险处置优先级。易错点：过度依赖监控而非根除

风险。

3、以下哪项不属于安全审计中的“固有风险”？

A、系统使用默认密码

B、业务逻辑存在设计缺陷

C、未实施访问控制策略

D、加密算法强度不足

【答案】C

2025年信息系统安全专家安全审计风险模型与风险评估专题试卷及解析2

【解析】正确答案是C。固有风险指无任何控制措施时的原始风险，A、B、D均属

于系统或设计本身的脆弱性。C选项“未实施访问控制”属于控制缺失，属于“控制风险”

范畴。知识点：风险分类。易错点：混淆固有风险与控制风险的定义。

4、在审计风险模型中，“检查风险”是指？

A、审计师未能发现重大错报的风险

B、系统内部控制失效的风险

C、外部攻击导致数据泄露的风险

D、审计范围不完整的风险

【答案】A

【解析】正确答案是A。检查风险是审计专业术语，特指审计程序未能发现已存在

重大问题的风险。B选项是控制风险，C选项是业务风险，D选项是审计计划风险。知

识点：审计风险三要素。易错点：将检查风险与控制风险混淆。

5、以下哪项属于定量风险评估的典型方法？

A、德尔菲法

B、故障树分析（FTA）

C、风险矩阵评估

D、情景分析

【答案】B

【解析】正确答案是B。FTA通过计算事件发生概率进行量化分析，属于定量方法。

A、C、D均为定性或半定性方法。知识点：风险评估方法分类。易错点：误认为FTA

是定性工具。

6、在安全审计中，对“权限滥用”风险的评估应重点关注？

A、系统日志完整性

B、最小权限原则实施情况

C、网络流量异常检测

D、密码复杂度策略

【答案】B

【解析】正确答案是B。权限滥用风险的核心是权限分配过大，最小权限原则是直

接控制措施。A选项是事后审计手段，C选项侧重网络层，D选项与权限管理无关。知

识点：权限审计要点。易错点：忽略最小权限原则的基础性作用。

7、以下哪项风险缓解措施属于“风险转移”？

A、购买网络安全保险

B、部署入侵检测系统

C、实施数据加密

D、定期漏洞扫描

2025年信息系统安全专家安全审计风险模型与风险评估专题试卷及解析3

【答案】A

【解析】正确答案是A。风险转移指将风险后果转嫁给第三方，保险