2025年网络安全风险评估与控制培训试卷及答案

2025年网络安全风险评估与控制培训试卷及答案1.单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.1在GB/T209842022《信息安全风险评估规范》中，风险值R的计算公式为（）。A.R＝L×V×A  B.R＝L＋V－A  C.R＝L×V  D.R＝(L＋V)/A答案：C1.2下列关于“威胁”与“脆弱性”关系的描述，正确的是（）。A.威胁利用脆弱性导致风险  B.脆弱性利用威胁导致风险C.威胁与脆弱性无必然联系  D.脆弱性只能被内部威胁利用答案：A1.3某单位采用FAIR模型量化风险，若损失事件频率（LEF）为0.05次/年，单次损失期望（SLE）为80万元，则年度化损失期望（ALE）为（）。A.40万元  B.4万元  C.160万元  D.0.4万元答案：B1.4在NISTSP80030Rev.1中，将“影响”划分为高、中、低三级的首要维度是（）。A.财务  B.声誉  C.安全目标  D.合规答案：C1.5关于“零信任”架构对风险评估的影响，下列说法错误的是（）。A.缩小隐式信任区  B.降低横向移动风险C.取消所有内部脆弱性评估  D.强化身份与访问管理答案：C1.6采用CVSSv3.1评分时，若攻击向量（AV）为Network，攻击复杂度（AC）为Low，所需权限（PR）为None，用户交互（UI）为None，则“可利用性指标”子评分为（）。A.8.2  B.7.5  C.7.8  D.8.6答案：C1.7某云平台签订SLA约定全年不可用时间不超过52分钟，其对应年度可用性指标约为（）。A.99.9%  B.99.99%  C.99.95%  D.99.999%答案：B1.8在数据安全风险评估中，对个人信息泄露场景进行“影响程度”分级时，首要参考的国家标准是（）。A.GB/T35273  B.GB/T25070  C.GB/T22239  D.GB/T28448答案：A1.9某工控系统采用IEC6244333安全等级，若要求“抵御有组织的黑客团体使用复杂攻击手段”，应达到的安全等级为（）。A.SL1  B.SL2  C.SL3  D.SL4答案：C1.10下列关于“残余风险”的描述，正确的是（）。A.残余风险＝固有风险－控制措施成本B.残余风险必须降为零方可上线C.残余风险是可接受风险的一部分D.残余风险与“可接受风险”无关答案：C1.11在渗透测试报告中，风险评级为“Critical”的漏洞，CVSSv3.1基础分应满足（）。A.9.0–10.0  B.8.0–8.9  C.7.0–7.9  D.6.0–6.9答案：A1.12某企业采用定性矩阵法评估风险，若威胁发生可能性为“中”，影响为“高”，则风险等级为（）。A.高  B.中  C.低  D.可忽略答案：A1.13在云计算责任共担模型中，下列哪一项安全责任始终由云租户承担（）。A.物理机房环境  B.虚拟化层漏洞修补C.客户操作系统配置  D.底层存储介质销毁答案：C1.14关于“业务影响分析”（BIA）与“风险评估”关系的描述，正确的是（）。A.BIA可替代风险评估  B.BIA输出是风险评估输入C.风险评估输出是BIA输入  D.二者无交集答案：B1.15下列哪项不是ISO/IEC27005:2022中定义的风险处置选项（）。A.规避  B.转移  C.接受  D.忽略答案：D1.16若采用FMEA方法，风险优先级数RPN的计算公式为（）。A.RPN＝S×O×D  B.RPN＝S＋O＋DC.RPN＝(S＋O)/D  D.RPN＝S－O＋D答案：A1.17在关基保护要求中，对“三级系统”进行风险评估的最低周期为（）。A.每季度  B.每半年  C.每年  D.每两年答案：C1.18下列关于“红队测试”与“风险评估”区别的描述，正确的是（）。A.红队测试不关注漏洞利用链  B.红队测试可验证已有控制有效性C.风险评估可替代红队测试  D.红队测试不产出风险报告答案：B1.19某单位采用定量树状模型计算风险，若单分支年度频率为0.2，损失分布服从对数正态分布LN(μ=12.5,σ=1.2)，则蒙特卡洛模拟1万次后的平均年度损失约为（）。A.180万元  B.220万元  C.270万元  D.320万元答案：C1.20在数据出境安全评估中，评估重点不包括（）。A.数据规模  B.数据敏感程度  C.境外接收方所在国法律环境  D.数据备份介质品牌答案：D2.多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）2.1下列属于GB/T31722《信息安全风险管理指南》中定义的“风险要素”的有（）。A.资产  B.威胁  C.脆弱性  D.影响  E.控制措施答案：ABCD2.2在关基保护安全检测中，对“电力监控系统”必须检测的脆弱性包括（）。A.默认口令  B.无线通信明文  C.固件完整性缺失  D.日志留存不足6个月  E.USB口未封答案：ABCD2.3下列哪些场景适合采用定性风险评估方法（）。A.数据量不足  B.高阶管理层汇报  C.需要货币化精确值  D.时间紧迫  E.合规强制量化答案：ABD2.4关于“风险接受”流程，下列做法符合ISO27001:2022要求的有（）。A.由信息安全委员会书面批准  B.记录残余风险C.设定再评估日期  D.无需高层参与  E.与业务目标对齐答案：ABCE2.5在云计算环境下，增加“共享责任”模糊性的因素包括（）。A.多租户隔离失效  B.云服务商API文档不全C.虚拟机逃逸  D.数据加密密钥托管  E.物理机房消防答案：ABCD2.6下列属于“供应链风险”评估需关注的内容有（）。A.第三方组件漏洞  B.厂商后门C.物流运输完整性  D.开源许可证合规  E.机房UPS电池品牌答案：ABCD2.7采用CVSSv3.1进行漏洞评分时，影响度量组包括（）。A.机密性  B.完整性  C.可用性  D.攻击向量  E.所需权限答案：ABC2.8下列关于“业务连续性”与“风险评估”集成的描述，正确的有（）。A.BIA结果可修正资产价值  B.风险评估可指导RTO设定C.单点故障分析属于脆弱性识别  D.演练失败需重新评估风险E.业务连续性计划可替代风险评估答案：ABCD2.9在数据分类分级制度中，可作为“核心数据”评估依据的有（）。A.国家安全  B.国民经济命脉  C.重大公共利益  D.企业商业秘密  E.个人敏感信息答案：ABC2.10下列关于“风险沟通”原则的描述，符合ISO31000:2018的有（）。A.及时性  B.透明性  C.准确性  D.保密性  E.双向性答案：ABCE3.填空题（每空1分，共20分）3.1在GB/T209842022中，风险值R＝________×________。答案：可能性（L）；后果（V）3.2关基保护条例要求运营者采购网络产品或服务可能影响国家安全的，应通过________审查。答案：网络安全3.3CVSSv3.1基础评分最大值为________。答案：10.03.4若某系统RPO目标为15分钟，则灾难发生后最多允许丢失________分钟的数据。答案：153.5在FAIR模型中，________表示对损失幅度的货币化估计。答案：LEF（LossEventFrequency）与SLE（SingleLossExpectancy）结合后得到ALE3.6采用德尔菲法进行专家打分，需经过至少________轮匿名反馈以收敛意见。答案：33.7根据《个人信息保护法》，处理敏感个人信息须取得个人的________同意。答案：单独3.8在工控系统风险评估中，SLT代表________目标等级。答案：SecurityLevelTarget3.9若某资产暴露面为互联网，威胁发生频率为0.8，则该资产在GB/T209842022的“暴露因子”应取________。答案：13.10风险处置后仍剩余的风险称为________风险。答案：残余3.11在NISTCSF中，“识别”职能的核心类别“资产管理”要求建立包含________清单。答案：资产3.12当采用定量分析时，损失分布常用________分布描述极端损失。答案：帕累托或对数正态（答任一即给分）3.13关基运营者应在风险整改完成后________个工作日内向主管部门报告。答案：153.14根据ISO/IEC27035，信息安全事件分为________级。答案：63.15在渗透测试中，获取域管权限通常意味着实现了________攻击路径。答案：横向移动或权限提升（答任一即给分）3.16若某云数据库开启公网访问且未设IP白名单，该配置属于________脆弱性。答案：访问控制3.17采用树状故障模型时，最小割集用于识别导致顶事件的________组合。答案：最小3.18在业务影响分析中，MTD表示________。答案：最大可容忍中断时间3.19根据《网络安全审查办法》，掌握________万用户个人信息的平台运营者赴国外上市须申报审查。答案：1003.20风险评估报告最终应由________签字确认。答案：最高管理者或授权代表（答任一即给分）4.判断题（每题1分，共10分。正确打“√”，错误打“×”）4.1定性风险评估结果不能用于合规审计。 ×4.2风险接受意味着组织不再对该风险进行任何监控。 ×4.3同一资产在不同业务场景下可具有不同价值。 √4.4采用ISO27005时，风险评估与风险管理可同步进行。 √4.5关基系统完成等级保护测评后即可免除风险评估。 ×4.6风险转移可以完全消除组织的残余风险。 ×4.7在CVSS评分中，基础分不受时间维度影响。 √4.8云服务商获得CSASTAR金牌即可证明其服务无风险。 ×4.9红队测试发现的风险必须全部立即修复。 ×4.10定量风险评估的输出可作为网络安全保险投保依据。 √5.简答题（共30分）5.1（封闭型，6分）简述GB/T209842022中“风险评估基本流程”五个阶段。答案：1.风险评估准备；2.资产识别与赋值；3.威胁识别与赋值；4.脆弱性识别与赋值；5.风险分析与评价。5.2（开放型，8分）某电商平台“618”大促前进行风险评估，请列举至少四项需重点关注的独特威胁，并说明理由。答案：1.流量激增导致DDoS攻击放大，可用性影响高；2.促销接口暴露新增API，可被爬虫刷券，造成财务损失；3.第三方支付通道链路劫持，导致用户资金风险；4.直播带货引入第三方推流，可能被植入钓鱼链接，损害声誉；5.临时外包客服权限放大，增加内部数据泄露风险。5.3（封闭型，6分）说明采用FAIR模型进行定量分析时，如何估算“接触频率”（ContactFrequency）。答案：通过历史事件统计、日志分析、专家估计等方式，计算威胁代理与资产接触的年度次数，并考虑威胁能力、动机、资产暴露面等因素调整。5.4（开放型，10分）某市智慧交通系统拟上线V2X车路协同功能，请从供应链、数据、网络、物理四个维度各提出两条风险控制措施。答案：供应链：1.关键RSU设备采用双厂商冗余；2.签署源代码托管协议。数据：1.路侧摄像头采集车牌脱敏后传输；2.V2X消息采用国密SM9加密。网络：1.车云通信启用双向mTLS；2.路侧边缘节点部署IPS。物理：1.RSU机箱安装防拆开关；2.关键节点机房采用双人双锁。6.应用题（共50分）6.1计算题（10分）已知某数据库资产价值V＝500万元，威胁发生频率L＝0.3次/年，现有控制措施可将脆弱性利用概率降低60%，控制有效性为80%，单事件损失程度为45%。求：（1）固有风险值R1；（2）控制后残余风险值R2。答案：（1）R1＝L×V×45%＝0.3×500×0.45＝67.5万元（2）残余损失程度＝45%×(1－60%)＝18%，残余频率＝0.3×(1－80%)＝0.06次/年R2＝0.06×500×18%＝5.4万元6.2分析题（15分）某金融公司核心系统上云，采用两地三中心架构。云服务商提供同城双活、异地冷备，RPO≤10分钟，RTO≤30分钟。最近一次演练发现异地中心数据同步延迟达45分钟，且冷备节点启动耗时2小时。请：（1）指出该场景下最大风险点；（2）用NISTSP80030表格形式给出威胁、脆弱性、影响、可能性、风险等级；（3）提出三条改进建议并估算成本。答案：（1）最大风险点：异地冷备失效导致重大灾难时无法恢复，数据丢失超RPO，业务中断超RTO。（2）表格示例：威胁：地震导致同城双活瘫痪脆弱性：异地冷备同步延迟45分钟、启动耗时2小时影响：高（财务损失≥5000万/天，监管处罚）可能性：中（历史地震概率0.05/年）风险等级：高（3）建议：1.升级异地为温备，增加带宽1000M，年成本80万；2.引入异步复制＋日志补录，软件许可50万；3.每季度演练切换，人力成本10万/次。6.3综合题（25分）某省级政务云平台承载120个厅局业务，统一出口带宽200G，近期HW行动发现：a.12个厅局子站存在Struts2远程代码执行漏洞（CVSS9.8）；b.云平台堡垒机日志被删除，无法追溯；c.某厅局API接口