2025年网络安全风险评估操作题.docxVIP

2025年网络安全风险评估操作题

考试时间：______分钟总分：______分姓名：______

一、场景描述与资产识别

假设你正在为一个中小型制造企业进行网络安全风险评估。该公司拥有约200名员工，主要业务系统包括：生产管理系统（运行在内部服务器上，存储生产计划和关键参数）、员工工资系统（由外部供应商维护，员工通过公司内网访问）、公司网站（部署在云服务器上，提供产品信息和在线客服）、内部通信系统（使用第三方提供的即时通讯工具）。网络架构相对简单，主要由一台核心交换机连接各部门电脑，服务器直连核心交换机，外网通过单一防火墙接入互联网。员工使用Windows操作系统，部分笔记本电脑允许带回家办公。公司没有专门的信息安全部门，安全意识较为薄弱，仅要求设置复杂密码。

请根据以上场景，完成以下任务：

1.列出该企业信息系统的关键资产，并简要说明其重要性（至少列出5项）。

2.识别该场景中存在的至少5个潜在的安全威胁。

3.识别该场景中存在的至少5个潜在的安全脆弱性。

二、风险分析与评估

针对上一题中识别出的一个关键资产（例如：生产管理系统）及其面临的一个主要威胁（例如：恶意软件攻击），以及一个主要脆弱性（例如：系统未及时更新补丁），请进行风险分析：

1.详细描述该威胁利用该脆弱性攻击该资产的可能途径。

2.从可能性和影响两个维度，对该风险进行定性评