2025年网络安全培训考试题库及答案(网络安全风险识别与评估).docxVIP

2025年网络安全培训考试题库及答案(网络安全风险识别与评估)

一、单项选择题（每题2分，共40分）

1.以下哪项不属于网络安全风险评估的核心要素？

A.资产价值

B.威胁发生概率

C.系统响应时间

D.脆弱性严重程度

答案：C

2.某企业财务系统存储了客户银行卡信息（资产价值为“高”），近期检测到该系统存在SQL注入漏洞（脆弱性等级“高危”），且外部扫描日志显示每天有5次针对该漏洞的攻击尝试（威胁频率“中”）。根据风险计算公式（风险值=资产价值×威胁概率×脆弱性等级，其中高=3，中=2，低=1），该风险的量化值为？

A.3×2×3=18

B.3×5×3=45

C.2×2×3=12

D.3×2×2=12

答案：A（注：威胁概率需按等级赋值，“每天5次”通常对应“中”=2）

3.以下哪种工具主要用于识别网络设备的配置脆弱性？

A.Wireshark

B.Nessus

C.OpenVAS

D.Configuresoft（注：虚构工具，用于干扰）

答案：B（Nessus侧重漏洞扫描，包括配置合规性检测）

4.在风险评估中，“社会工程学攻击”属于以下哪类威胁源？

A.自然威胁

B.人为过失

C.恶意人为威胁

D.系统故障

答案：C

5.根据ISO27005标准，风险评估流程的正确顺序是？

①风险处理②风险分析③风险识别④风险评估准备

A.④→③→②→①

B.③→④→②→①

C.④→②→③→①

D.③→②→④→①

答案：A

6.某企业办公网中，员工通过弱口令（如“123456”）登录内部OA系统。此处的“弱口令”属于？

A.资产

B.威胁

C.脆弱性

D.影响

答案：C

7.CVSS3.1版本中，“攻击复杂度（AttackComplexity）”属于以下哪个指标组？

A.基该指标（BaseMetrics）

B.时间指标（TemporalMetrics）

C.环境指标（EnvironmentalMetrics）

D.修正指标（ModifiedMetrics）

答案：A

8.以下哪项属于定性风险评估的典型方法？

A.故障树分析（FTA）

B.德尔菲法（Delphi）

C.马尔可夫模型

D.蒙特卡洛模拟

答案：B（德尔菲法通过专家主观评估，属于定性方法）

9.某医院HIS系统存储患者诊疗记录（资产价值“极高”），但未启用数据加密（脆弱性“高”），且近半年发生2次外部IP尝试暴力破解登录（威胁“中”）。若采用5级评分（15分，5为最高），该风险的综合等级最可能为？

A.低（12分）

B.中（3分）

C.高（4分）

D.极高（5分）

答案：D（资产价值极高×威胁中×脆弱性高，通常对应极高风险）

10.以下哪种漏洞属于“配置类脆弱性”？

A.缓冲区溢出

B.未关闭的默认账户

C.SQL注入

D.跨站脚本（XSS）

答案：B

11.在风险识别阶段，“资产清单”的核心作用是？

A.确定威胁来源

B.明确需要保护的对象

C.计算风险值

D.制定应急预案

答案：B

12.某企业使用“风险矩阵”评估风险，横轴为“影响程度”（15分），纵轴为“发生概率”（15分）。若某风险影响程度4分、概率3分，其在矩阵中的位置属于？

A.可接受区（低风险）

B.监控区（中风险）

C.重点管控区（高风险）

D.不可接受区（极高风险）

答案：C（通常4×3=12分，属于高风险区间）

13.以下哪项不属于威胁事件的“触发条件”？

A.攻击者掌握漏洞利用工具

B.目标系统开放80端口

C.员工点击钓鱼邮件链接

D.数据中心电力中断

答案：D（电力中断属于自然/系统威胁，非触发条件）

14.关于“脆弱性扫描”与“渗透测试”的区别，正确的是？

A.脆弱性扫描是自动化检测，渗透测试需人工模拟攻击

B.两者均不涉及实际数据破坏

C.脆弱性扫描能发现所有漏洞，渗透测试仅验证部分

D.渗透测试属于定性评估，扫描属于定量评估

答案：A

15.根据NISTSP80030标准，“残余风险”是指？

A.未被识别的风险

B.已采取控制措施后仍存在的风险

C.历史遗留的风险

D.跨部门共享的风险

答案：B

16.某工业控制系统（ICS）的PLC设备使用专有协议通