安全评估在线测试卷.docxVIP

安全评估在线测试卷

考试时间：______分钟总分：______分姓名：______

1.下列哪项不属于CIA三要素中的“机密性”（Confidentiality）的核心目标？

A.防止未授权访问信息

B.确保信息不被泄露给非授权实体

C.保证信息在需要时可被访问

D.限制信息仅对特定人员可见

2.在风险评估中，“威胁”指的是？

A.系统或组件中存在的弱点

B.可能导致资产损失的潜在事件或行为

C.资产本身的价值

D.风险发生的频率

3.根据《GB/T22239-2019》，网络安全等级保护三级要求中，以下哪项属于“安全计算环境”的控制措施？

A.网络设备防护

B.身份鉴别

C.安全审计

D.通信完整性

4.下列哪种漏洞类型属于管理性漏洞？

A.SQL注入漏洞

B.操作系统权限配置错误

C.缺乏安全策略文档

D.网络端口未关闭

5.风险计算公式R=A×V×T中，V代表？

A.资产价值

B.脆弱性

C.威胁

D.风险值

6.在定性风险评估中，风险矩阵通常基于什么维度进行风险分级？

A.资产价值和漏洞数量

B.可能性和影响程度

C.威胁类型和脆弱性等级

D.成本和收益

7.ISO27001标准中的“信息访问控制”属于哪个控制类？

A.信息安全组织

B.人力资源安全

C.资产管理

D.访问控制

8.下列哪项技术措施主要用于保障信息的“可用性”（Availability）？

A.数据加密

B.负载均衡

C.身份认证

D.防火墙

9.GDPR（通用数据保护条例）要求，处理个人数据时必须遵循哪项原则？

A.数据最小化

B.数据无限期存储

C.公开所有数据

D.允许未经同意的共享

10.漏洞扫描工具的主要局限性是？

A.无法检测已知漏洞

B.依赖漏洞库，无法发现0day漏洞

C.只能扫描网络设备

D.必须手动配置扫描参数

11.在应急响应流程中，“遏制”阶段的目的是？

A.修复漏洞并恢复系统

B.限制损害范围，防止进一步扩散

C.识别威胁来源

D.评估损失并总结经验

12.下列哪项属于管理性安全控制措施？

A.部署入侵检测系统（IDS）

B.实施安全意识培训

C.使用SSL/TLS加密

D.配置防火墙规则

13.风险评估中的“风险评价”是指？

A.识别所有可能的威胁

B.分析风险的可能性和影响

C.将风险与风险准则比较，确定风险等级

D.制定风险处置计划

14.下列哪种攻击方式主要利用“完整性”漏洞？

A.拒绝服务攻击（DoS）

B.中间人攻击

C.数据篡改攻击

D.社会工程学攻击

15.根据《GB/T20984-2022》，风险评估的输入不包括？

A.资产清单

B.威胁清单

C.风险处置报告

D.脆弱性清单

16.在定量风险评估中，ALE（年度损失预期）的计算公式是？

A.ALE=SLE×ARO

B.ALE=ARO×RPO

C.ALE=SLE×RTO

D.ALE=RPO×RTO

17.下列哪项是ISO27001中的“物理与环境安全”控制措施？

A.访问控制

B.设备维护

C.人员背景调查

D.网络隔离

18.安全审计的主要目的是？

A.提高系统性能

B.检测违规行为和评估控制措施有效性

C.加密敏感数据

D.备份关键系统

19.在风险处置中，“风险规避”策略是指？

A.降低风险可能性或影响

B.转移风险给第三方

C.完全停止可能导致风险的活动

D.接受风险并监控

20.下列哪项不属于技术性漏洞？

A.缺乏输入验证

B.未及时更新软件补丁

C.安全配置错误

D.员工密码管理不善

21.根据《GB/T20984-2022》，信息安全风险评估的基本流程包括哪些阶段？

A.风险识别

B.风险分析

C.风险评价

D.风险处置

22.以下哪些属于ISO27001中的“信息安全组织”控