2025年网络安全风险评估与管理培训试卷及答案.docxVIP

2025年网络安全风险评估与管理培训试卷及答案

一、单项选择题（每题2分，共20题，合计40分）

1.以下哪项是网络安全风险评估的核心目标？

A.完全消除所有安全风险

B.识别、分析并优先处理关键风险

C.满足合规性要求

D.提升网络访问速度

2.根据ISO27005标准，风险评估流程的正确顺序是？

A.风险识别→风险分析→风险评价→风险处置

B.风险分析→风险识别→风险评价→风险处置

C.风险评价→风险识别→风险分析→风险处置

D.风险识别→风险评价→风险分析→风险处置

3.以下哪类资产在医疗行业网络安全风险评估中通常被定义为“最高价值资产”？

A.医院办公电脑硬件

B.患者电子健康记录（EHR）

C.医院内部WiFi网络

D.医疗设备操作手册

4.某企业发现其生产管理系统存在SQL注入漏洞，且该系统处理企业核心订单数据。此时威胁源主要是？

A.系统设计缺陷（脆弱性）

B.外部黑客利用漏洞攻击（威胁事件）

C.未及时打补丁（管理缺失）

D.员工误操作（人为因素）

5.定量风险评估中，年度预期损失（ALE）的计算公式是？

A.单一损失期望（SLE）×年发生概率（ARO）

B.威胁发生频率（TFR）×脆弱性利用难度（E）

C.资产价值（AV）×暴露因子（EF）

D.控制措施有效性（CE）×残余风险（RR）

6.以下哪项工具主要用于脆弱性扫描？

A.Wireshark（抓包分析）

B.Nessus（漏洞检测）

C.Metasploit（渗透测试）

D.Splunk（日志分析）

7.在风险处置策略中，“购买网络安全保险”属于？

A.风险规避

B.风险转移

C.风险降低

D.风险接受

8.某工业控制系统（ICS）连接互联网后，面临的新增威胁主要是？

A.内部员工误删配置文件

B.外部APT组织针对关键设备的攻击

C.服务器硬件自然老化

D.操作系统版本过旧

9.根据NISTSP80030，风险评估的“上下文建立”阶段不包括？

A.确定评估范围和目标

B.定义风险接受准则

C.识别关键资产清单

D.选择评估方法和工具

10.以下哪项是物联网（IoT）设备特有的风险点？

A.固件更新不及时导致的漏洞长期存在

B.员工账号密码复用

C.数据库备份策略缺失

D.网络带宽不足

11.某金融机构在风险评估中发现，其网上银行系统的用户登录接口存在暴力破解漏洞，但由于该接口已部署验证码和IP锁定机制，实际攻击成功概率极低。此时应判定为？

A.高风险（资产价值高）

B.中风险（脆弱性存在但控制有效）

C.低风险（威胁发生概率低）

D.可接受风险（残余风险在容忍范围内）

12.以下哪项不属于风险评估中的“威胁源”分类？

A.自然威胁（如地震、火灾）

B.人为威胁（如内部员工、外部黑客）

C.系统威胁（如软件缺陷、硬件故障）

D.合规威胁（如GDPR处罚）

13.资产识别时，“数据资产”的关键属性不包括？

A.数据类型（如个人信息、商业秘密）

B.数据存储位置（本地/云端）

C.数据所有者（部门或责任人）

D.数据传输速度（Mbps）

14.渗透测试与脆弱性扫描的主要区别是？

A.渗透测试是自动化工具检测，脆弱性扫描是人工模拟攻击

B.渗透测试尝试实际利用漏洞，脆弱性扫描仅发现漏洞

C.渗透测试针对网络层，脆弱性扫描针对应用层

D.渗透测试成本更低，脆弱性扫描更耗时

15.以下哪项符合“残余风险”的定义？

A.实施控制措施前的原始风险

B.控制措施无法完全消除的剩余风险

C.由新威胁或漏洞引发的新增风险

D.因人员变动导致的管理风险

16.在云计算环境中，“数据驻留地”风险主要指？

A.数据存储在多个地理区域可能导致的法律合规问题

B.云服务器硬件故障导致数据丢失

C.云服务商员工访问数据的权限管理漏洞

D.数据加密算法强度不足

17.某企业通过日志分析发现，过去一年中某漏洞被利用的次数为2次，该漏洞影响的资产价值为50万元，单次损失为20万元。则该风险的ALE为？

A.10万元

B.20万元

C.40万元

D.100万元

18.以下哪项是AI驱动的新型网络威胁特点？

A.攻击手法固定，依赖已知漏洞库

B.可自动生成钓鱼邮件