2025年网络安全风险评估专项试题及答案

2025年网络安全风险评估专项试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在NISTSP80030中，风险评估的首要步骤是（）A.威胁识别  B.资产识别  C.影响评估  D.风险建模答案：B2.某电商系统采用STRIDE模型进行威胁建模，以下属于“篡改”威胁的是（）A.攻击者伪造订单支付请求  B.攻击者修改商品库存数量C.攻击者暴力破解管理员口令  D.攻击者发起DDoS导致服务不可用答案：B3.若某漏洞的CVSSv3.1基础分值为7.8，其风险等级为（）A.低  B.中  C.高  D.严重答案：C4.在FAIR框架中，“损失事件频率”与“损失幅度”的数学关系为（）A.风险=LEF×LM  B.风险=LM/LEF  C.风险=LM+LEF  D.风险=√(LEF×LM)答案：A5.某单位对5类资产进行定性风险评估，采用5×5矩阵，其中“可能性=3，影响=4”对应的风险等级为（）A.低  B.中  C.高  D.极高答案：C6.以下哪项最能降低“内部人员滥用特权”风险的控制措施（）A.网络微分段  B.多因素认证  C.职责分离与最小权限  D.全流量镜像答案：C7.在ISO/IEC27005:2018中，风险处置的“转移”选项通常通过（）A.购买保险  B.打补丁  C.加固防火墙  D.重新设计架构答案：A8.某云租户使用共享责任模型，以下哪项由云服务商负责的风险评估活动（）A.客户侧数据分级  B.物理机房环境威胁识别C.虚拟机GuestOS漏洞扫描  D.客户应用业务逻辑测试答案：B9.关于定量风险分析，下列说法正确的是（）A.必须使用蒙特卡洛模拟  B.结果以货币单位表示C.无法处理不确定性  D.不需要历史数据答案：B10.某组织采用NISTCSF进行风险治理，其中“ID.RA”子类聚焦（）A.资产管理  B.风险评估  C.访问控制  D.恢复计划答案：B11.在OWASPTop102021中，与“加密失败”直接相关的风险类别是（）A.A01  B.A02  C.A03  D.A04答案：B12.某工控系统使用ModbusTCP，以下哪种威胁最可能导致可用性风险（）A.会话固定  B.功能码滥用  C.XML外部实体  D.反射型XSS答案：B13.关于风险登记册（RiskRegister），下列描述错误的是（）A.需记录风险负责人  B.需动态更新C.只需在评估阶段使用  D.需记录风险状态答案：C14.某企业采用零信任架构，其风险评估核心关注（）A.网络边界防火墙规则  B.每次访问请求的上下文C.内网流量免监控  D.静态信任模型答案：B15.在PCIDSSv4.0中，对存储的持卡人数据必须进行（）A.对称加密  B.强单向哈希  C.令牌化或加密  D.仅逻辑隔离答案：C16.红队演练后，风险分析最重要的输入是（）A.演练合同金额  B.实际攻击路径与影响证据C.红队成员简历  D.防火墙品牌答案：B17.某漏洞扫描报告显示“CVE20231234，CVSS=9.6，但所在资产无外部接口”，此例说明（）A.基础分无法调整  B.需结合环境因素修正C.无需处置  D.可直接忽略答案：B18.在风险评估沟通中，最能有效获得高管支持的指标是（）A.漏洞数量  B.风险货币化损失期望C.扫描耗时  D.端口开放数答案：B19.关于隐私风险评估，GDPR第35条强调的“DPIA”适用于（）A.任何处理活动  B.高风险处理活动C.员工数据管理  D.公开数据抓取答案：B20.某系统RTO=2小时，RPO=15分钟，发生勒索软件事件后实际恢复时间3小时，则（）A.仅RTO超标  B.仅RPO超标  C.均超标  D.均未超标答案：A21.在供应链风险评估中，SBOM的主要作用是（）A.记录软件组件清单及版本  B.统计代码行数C.评估编译器性能  D.生成许可证费用答案：A22.以下哪项最能降低AI模型被“投毒”的风险（）A.增加训练轮次  B.训练数据完整性校验与多源验证C.使用更大模型  D.降低学习率答案：B23.某单位采用定性方法，将“风险=高”改为“风险=极高”的合理场景是（）A.威胁源能力增强  B.控制措施已部署C.资产折旧  D.年度预算增加答案：A24.关于风险审计，下列说法正确的是（）A.只需在发生事件后进行  B.可验证风险评估流程有效性C.必须由外部机构完成  D.不需要留存记录答案：B25.在容器云环境中，以下哪项最能降低“镜像漏洞”风险（）A.使用最新标签latest  B.部署镜像签名与漏洞扫描准入C.关闭宿主机防火墙  D.使用host网络模式答案：B26.某企业采用KRI监控，当“连续30天，每日失败登录>1000次”时触发预警，该KRI属于（）A.领先指标  B.滞后指标  C.基线指标  D.战略指标答案：A27.关于业务影响分析（BIA），下列输出物最直接用于风险评估的是（）A.组织愿景  B.关键业务流程最大可容忍中断时间C.年度利润  D.员工满意度答案：B28.在DevSecOps中，“安全左移”对风险评估的主要价值是（）A.降低修复成本  B.增加代码行数C.推迟测试  D.减少版本发布答案：A29.某IoT设备默认口令“123456”，在CWE中对应的最贴切缺陷是（）A.CWE20  B.CWE79  C.CWE522  D.CWE918答案：C30.关于云原生安全，CNCF推荐的供应链风险治理首要步骤是（）A.购买CASB  B.建立SBOM与依赖追踪C.关闭API网关  D.使用私有云答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于NISTSP80030定义的“威胁事件”实例（  ）A.网络钓鱼邮件  B.员工误删数据库C.地震导致机房倒塌  D.漏洞扫描答案：ABC32.在CVSSv3.1中，哪些指标属于“临时分”维度（  ）A.攻击复杂度  B.修补级别  C.报告置信度  D.可用性影响答案：BC33.以下哪些控制可降低“API接口滥用”风险（  ）A.速率限制  B.OAuth2.0授权  C.输入校验  D.内容安全策略答案：ABC34.关于FAIR定量分析，下列哪些输入用于计算“威胁事件频率”（  ）A.威胁社区规模  B.威胁能力  C.控制强度  D.资产暴露度答案：ABC35.以下哪些场景需启动隐私风险评估（  ）A.大规模处理生物识别数据  B.系统化监控公共空间C.合并数据库导致数据跨境  D.内部员工考勤指纹答案：ABC36.以下哪些属于云原生供应链风险（  ）A.第三方库植入后门  B.镜像仓库被篡改C.CI/CD凭证泄露  D.宿主机CPU温度过高答案：ABC37.在工控系统风险评估中，以下哪些属于“安全区”划分依据（  ）A.物理隔离  B.控制层次  C.安全等级  D.通信协议答案：ABC38.以下哪些方法可用于评估“人为因素”风险（  ）A.社会工程演练  B.钓鱼仿真测试C.员工背景调查  D.端口扫描答案：ABC39.关于勒索软件风险，下列哪些控制属于“预防”阶段（  ）A.应用白名单  B.网络分段  C.离线备份  D.事件响应演练答案：AB40.以下哪些输出物可直接作为风险处置计划的输入（  ）A.风险接受准则  B.风险登记册C.控制措施成本效益分析  D.供应商合同答案：ABC三、填空题（每空1分，共20分）41.在ISO/IEC27005:2018中，风险识别通常采用________、________、________三类方法。答案：基于资产、基于威胁、基于业务42.CVSSv3.1基础分计算公式为：________（写出英文缩写即可）。答案：roundup(min[(Impact+Exploitability),10])43.某系统资产价值AV=1,000,000元，暴露因子EF=30%，年度发生率ARO=0.2，则年度损失期望ALE=________元。答案：60,00044.STRIDE模型中，R代表________威胁。答案：Repudiation（抵赖）45.在NISTCSF中，识别（Identify）职能包含________、________、________等六个类别。答案：资产管理、业务环境、治理、风险评估、风险管理策略、供应链46.GDPR要求DPIA必须在________处理活动之前完成。答案：高风险47.业务连续性计划中，RPO的中文含义是________。答案：恢复点目标48.在容器镜像扫描中，常用开放漏洞数据库缩写为________。答案：NVD49.零信任架构中，持续信任评估依赖________、________、________三类数据。答案：身份、上下文、行为50.供应链安全里，SBOM的完整中文名称是________。答案：软件物料清单四、简答题（每题10分，共30分）51.简述定性风险评估与定量风险评估的核心差异，并给出各适用于何种组织场景。答案：1.差异：（1）结果形式：定性用等级（高/中/低），定量用货币或数值；（2）数据需求：定性依赖专家经验，定量需历史数据与统计模型；（3）复杂度：定性流程短、成本低，定量需建模工具与专业人员；（4）沟通对象：定性易与高层快速对齐，定量利于财务决策与保险。2.适用场景：定性：中小组织、数据缺乏、快速初评、合规驱动；定量：金融、电信、大型云服务商，需精确预算、风险转移或监管披露。52.说明在DevSecOps流水线中引入“风险闸门”的具体做法，并列举三项关键KPI。答案：做法：（1）在代码提交阶段启用SAST，高危漏洞>阈值则拒绝合并；（2）构建阶段强制SCA扫描，发现GPL3.0或CriticalCVE即阻断；（3）镜像推送至仓库前，进行签名与漏洞扫描，未通过则拒绝部署；（4）生产环境灰度前，运行DAST与容器运行时扫描，风险评级>中即回滚。KPI：①阻塞发布的高危漏洞平均修复时间（MTTR）；②每月因风险闸门导致的发布延迟次数；③生产环境新发现高危漏洞密度（个/千行代码）。53.概述工控系统与传统IT系统在风险评估方法论上的三点不同，并给出对应缓解措施。答案：不同点：（1）可用性优先级：工控强调AIC的A首位，传统IT侧重C与I；（2）生命周期：工控设备>15年，补丁窗口少，传统IT迭代快；（3）协议：工控使用Modbus、DNP3等无内置安全，传统IT已普及TLS。缓解：①采用白名单+深度包检测工控防火墙保障可用性；②建立“补丁例外”与补偿控制（隔离、VPN）延长生命周期；③部署工控协议安全代理实现认证与加密，无需改终端。五、综合应用题（共50分）54.案例：某金融科技公司计划上线“数字钱包”系统，采用微服务+容器云架构，涉及用户资金交易。请完成以下任务：（1）识别并分类列出至少8项关键资产（4分）；（2）基于STRIDE模型，对应每项资产给出2个具体威胁（8分）；（3）对“用户账户余额”资产，选取一个机密性威胁，使用FAIR方法进行定量计算，给出假设数据与完整计算过程，最终得出年度损失期望（18分）；（4）针对该威胁设计一套包含技术、管理、监控三层的风险处置方案，并说明如何度量残余风险（12分）；（5）若公司采用PCIDSSv4.0与GDPR双合规，列出必须追加的评估活动与输出物（8分）。答案：（1）资产清单：①用户账户余额数据库（数据）②支付微服务Pod（系统）③容器镜像仓库（系统）④私钥管理系统HSM（系统）⑤移动端App（软件）⑥支付API网关（系统）⑦运维笔记本（设备）⑧员工账号凭证（数据）（2）STRIDE威胁示例：资产①：Spoofing攻击者伪造余额查询请求；Tampering内部DBA修改余额字段资产②：Repudiation服务否认扣款操作；InformationDisclosure调试接口泄露日志资产③：Tampering镜像被植入后门；DenialofService仓库被删除资产④：InformationDisclosureHSM配置泄露；Spoofing伪造HSM身份资产⑤：TamperingApp被重打包；ElevationofPrivilege越狱绕过沙箱资产⑥：DenialofServiceAPI网关DDoS；Repudiation缺少交易日志资产⑦：InformationDisclosure笔记本失窃；ElevationofPrivilege本地提权资产⑧：Spoofing凭证被钓鱼；Tampering权限被滥用（3）FAIR计算示例：威胁场景：外部攻击者利用SQL注入窃取“用户账户余额”数据并出售。步骤：a.资产价值AV=50,000,000元（余额总量）；b.暴露度EF=10%（预计10%用户受影响）；c.威胁社区规模TCS=1,000人（活跃黑客群体）；d.威胁能力TCap=中等（需中级技术）；e.控制强度CS=低（当前WAF规则不完整）；f.接触概率CoP=0.3；g.动作概率PoA=0.8；h.威胁事件频率TEF=TCS×PoA×CoP/1,000=0.24次/年；i.损失事件频率LEF=TEF×0.9（控制失效概率）=0.216次/年；j.初级损失幅度PLM=AV×EF=5,000,000元；k.次级损失幅度SLM=1,000,000元（监管罚款+声誉）；l.总损失幅度LM=6,000,000元；m.年度损失期望ALE=LEF×LM=0.216×6,000,000≈1,29