2025年网络安全风险评估与控制培训模拟试卷及答案.docxVIP

2025年网络安全风险评估与控制培训模拟试卷及答案

一、单项选择题（共20题，每题1分，共20分）

1.以下哪项不属于网络安全风险的三要素？（）

A.资产价值B.威胁C.脆弱性D.响应时间

2.在风险评估中，“某医院HIS系统存在SQL注入漏洞，可能导致患者隐私数据泄露”属于（）的描述。

A.威胁B.脆弱性C.资产D.风险

3.根据FAIR（FactorAnalysisofInformationRisk）模型，“攻击者利用未修复的Windows漏洞植入勒索软件”属于（）的交互结果。

A.威胁主体能力与脆弱性B.资产价值与控制措施C.业务影响与恢复成本D.威胁事件频率与损失幅度

4.以下哪种漏洞扫描工具属于开源社区主导开发？（）

A.NessusB.OpenVASC.QualysD.Rapid7

5.某企业网络中，员工终端未开启自动更新，且未部署终端检测与响应（EDR）系统。这一情况主要暴露了（）。

A.管理脆弱性B.技术脆弱性C.物理脆弱性D.人员脆弱性

6.在风险矩阵中，横坐标通常表示（），纵坐标表示（）。

A.风险可能性；风险影响B.风险影响；风险可能性C.资产价值；威胁等级D.脆弱性等级；控制措施有效性

7.以下哪项属于网络安全风险控制中的“转移”策略？（）

A.部署防火墙阻断恶意流量B.购买网络安全保险C.定期进行漏洞修复D.对员工开展安全培训

8.零信任架构的核心原则是（）。

A.最小权限访问B.边界防御C.静态身份认证D.完全信任内部网络

9.2025年新兴的“AI生成对抗性漏洞”主要威胁（）。

A.传统防火墙规则B.机器学习模型C.物理服务器硬件D.员工社会工程防范意识

10.某物联网企业评估智能水表的安全风险时，重点关注的资产不包括（）。

A.用户用水数据B.水表通信协议C.水表硬件芯片D.企业年度财务报表

11.在NISTSP80030风险评估框架中，“确定评估范围与目标”属于（）阶段。

A.准备B.评估C.缓解D.监控

12.以下哪种威胁属于“内部威胁”？（）

A.APT组织针对企业的定向攻击B.员工误点钓鱼邮件导致数据泄露C.供应商系统漏洞引发的横向渗透D.云服务商遭受DDoS攻击

13.风险评估报告中，“残余风险”指的是（）。

A.已通过控制措施完全消除的风险B.未被识别的潜在风险C.采取控制措施后仍存在的风险D.历史已发生过的风险

14.以下哪项是定量风险评估的典型方法？（）

A.德尔菲法B.风险矩阵C.故障树分析（FTA）D.专家访谈

15.2025年《网络安全法》修订中，新增的“数据跨境流动风险评估”要求企业重点分析（）。

A.数据存储介质的物理安全性B.接收国的网络安全监管环境C.员工数据操作日志的完整性D.数据加密算法的理论强度

16.某企业使用“攻击路径分析（AttackPathAnalysis）”工具模拟攻击者从外部网络渗透到核心数据库的过程，这属于（）。

A.威胁建模B.资产识别C.脆弱性检测D.控制措施验证

17.以下哪种访问控制模型最适用于组织结构稳定、角色职责明确的企业？（）

A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）

18.勒索软件攻击的风险评估中，“数据恢复时间（RTO）”和“数据丢失量”直接影响（）。

A.威胁发生可能性B.风险影响程度C.脆弱性可利用性D.控制措施成本

19.物联网设备风险评估的特殊性在于（）。

A.需考虑设备续航与计算资源限制B.仅关注网络层安全C.无需评估物理篡改风险D.漏洞修复可通过远程一键完成

20.以下哪项不属于风险评估报告的必要内容？（）

A.风险等级分布图表B.具体漏洞的CVE编号C.控制措施实施时间表D.评估团队成员个人简历

二、填空题（共10题，每题1分，共10分）

1.网络安全风险的计算公式为：风险=（）×（）×资产价值。

2.国际标准化组织（ISO）发布的风险评估标准是（）。

3.漏洞生命周期中，“未被公开披露的漏洞”称为（）漏洞。

4.威胁源可分为自然威胁源和（）威胁源两类。

5.最小