2025年網(wǎng)絡(luò)安全培訓(xùn)考試題庫及答案(網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別與評(píng)估)一、單項(xiàng)選擇題（每題2分，共40分）1.以下哪項(xiàng)不屬于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的核心要素？A.資產(chǎn)價(jià)值B.威脅發(fā)生概率C.系統(tǒng)響應(yīng)時(shí)間D.脆弱性嚴(yán)重程度答案：C2.某企業(yè)財(cái)務(wù)系統(tǒng)存儲(chǔ)了客戶銀行卡信息（資產(chǎn)價(jià)值為“高”），近期檢測(cè)到該系統(tǒng)存在SQL注入漏洞（脆弱性等級(jí)“高?！保?，且外部掃描日志顯示每天有5次針對(duì)該漏洞的攻擊嘗試（威脅頻率“中”）。根據(jù)風(fēng)險(xiǎn)計(jì)算公式（風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅概率×脆弱性等級(jí)，其中高=3，中=2，低=1），該風(fēng)險(xiǎn)的量化值為？A.3×2×3=18B.3×5×3=45C.2×2×3=12D.3×2×2=12答案：A（注：威脅概率需按等級(jí)賦值，“每天5次”通常對(duì)應(yīng)“中”=2）3.以下哪種工具主要用于識(shí)別網(wǎng)絡(luò)設(shè)備的配置脆弱性？A.WiresharkB.NessusC.OpenVASD.Configuresoft（注：虛構(gòu)工具，用于干擾）答案：B（Nessus側(cè)重漏洞掃描，包括配置合規(guī)性檢測(cè)）4.在風(fēng)險(xiǎn)評(píng)估中，“社會(huì)工程學(xué)攻擊”屬于以下哪類威脅源？A.自然威脅B.人為過失C.惡意人為威脅D.系統(tǒng)故障答案：C5.根據(jù)ISO27005標(biāo)準(zhǔn)，風(fēng)險(xiǎn)評(píng)估流程的正確順序是？①風(fēng)險(xiǎn)處理②風(fēng)險(xiǎn)分析③風(fēng)險(xiǎn)識(shí)別④風(fēng)險(xiǎn)評(píng)估準(zhǔn)備A.④→③→②→①B.③→④→②→①C.④→②→③→①D.③→②→④→①答案：A6.某企業(yè)辦公網(wǎng)中，員工通過弱口令（如“123456”）登錄內(nèi)部OA系統(tǒng)。此處的“弱口令”屬于？A.資產(chǎn)B.威脅C.脆弱性D.影響答案：C7.CVSS3.1版本中，“攻擊復(fù)雜度（AttackComplexity）”屬于以下哪個(gè)指標(biāo)組？A.基該指標(biāo)（BaseMetrics）B.時(shí)間指標(biāo)（TemporalMetrics）C.環(huán)境指標(biāo)（EnvironmentalMetrics）D.修正指標(biāo)（ModifiedMetrics）答案：A8.以下哪項(xiàng)屬于定性風(fēng)險(xiǎn)評(píng)估的典型方法？A.故障樹分析（FTA）B.德爾菲法（Delphi）C.馬爾可夫模型D.蒙特卡洛模擬答案：B（德爾菲法通過專家主觀評(píng)估，屬于定性方法）9.某醫(yī)院HIS系統(tǒng)存儲(chǔ)患者診療記錄（資產(chǎn)價(jià)值“極高”），但未啟用數(shù)據(jù)加密（脆弱性“高”），且近半年發(fā)生2次外部IP嘗試暴力破解登錄（威脅“中”）。若采用5級(jí)評(píng)分（15分，5為最高），該風(fēng)險(xiǎn)的綜合等級(jí)最可能為？A.低（12分）B.中（3分）C.高（4分）D.極高（5分）答案：D（資產(chǎn)價(jià)值極高×威脅中×脆弱性高，通常對(duì)應(yīng)極高風(fēng)險(xiǎn)）10.以下哪種漏洞屬于“配置類脆弱性”？A.緩沖區(qū)溢出B.未關(guān)閉的默認(rèn)賬戶C.SQL注入D.跨站腳本（XSS）答案：B11.在風(fēng)險(xiǎn)識(shí)別階段，“資產(chǎn)清單”的核心作用是？A.確定威脅來源B.明確需要保護(hù)的對(duì)象C.計(jì)算風(fēng)險(xiǎn)值D.制定應(yīng)急預(yù)案答案：B12.某企業(yè)使用“風(fēng)險(xiǎn)矩陣”評(píng)估風(fēng)險(xiǎn)，橫軸為“影響程度”（15分），縱軸為“發(fā)生概率”（15分）。若某風(fēng)險(xiǎn)影響程度4分、概率3分，其在矩陣中的位置屬于？A.可接受區(qū)（低風(fēng)險(xiǎn)）B.監(jiān)控區(qū)（中風(fēng)險(xiǎn)）C.重點(diǎn)管控區(qū)（高風(fēng)險(xiǎn)）D.不可接受區(qū)（極高風(fēng)險(xiǎn)）答案：C（通常4×3=12分，屬于高風(fēng)險(xiǎn)區(qū)間）13.以下哪項(xiàng)不屬于威脅事件的“觸發(fā)條件”？A.攻擊者掌握漏洞利用工具B.目標(biāo)系統(tǒng)開放80端口C.員工點(diǎn)擊釣魚郵件鏈接D.數(shù)據(jù)中心電力中斷答案：D（電力中斷屬于自然/系統(tǒng)威脅，非觸發(fā)條件）14.關(guān)于“脆弱性掃描”與“滲透測(cè)試”的區(qū)別，正確的是？A.脆弱性掃描是自動(dòng)化檢測(cè)，滲透測(cè)試需人工模擬攻擊B.兩者均不涉及實(shí)際數(shù)據(jù)破壞C.脆弱性掃描能發(fā)現(xiàn)所有漏洞，滲透測(cè)試僅驗(yàn)證部分D.滲透測(cè)試屬于定性評(píng)估，掃描屬于定量評(píng)估答案：A15.根據(jù)NISTSP80030標(biāo)準(zhǔn)，“殘余風(fēng)險(xiǎn)”是指？A.未被識(shí)別的風(fēng)險(xiǎn)B.已采取控制措施后仍存在的風(fēng)險(xiǎn)C.歷史遺留的風(fēng)險(xiǎn)D.跨部門共享的風(fēng)險(xiǎn)答案：B16.某工業(yè)控制系統(tǒng)（ICS）的PLC設(shè)備使用專有協(xié)議通信，未部署入侵檢測(cè)系統(tǒng)（IDS）。此處的“未部署IDS”屬于？A.資產(chǎn)B.威脅C.脆弱性D.影響答案：C17.以下哪項(xiàng)屬于“影響分析”的內(nèi)容？A.統(tǒng)計(jì)威脅發(fā)生次數(shù)B.評(píng)估數(shù)據(jù)泄露對(duì)企業(yè)聲譽(yù)的損害C.檢測(cè)系統(tǒng)漏洞等級(jí)D.確定資產(chǎn)的物理位置答案：B18.在風(fēng)險(xiǎn)評(píng)估報(bào)告中，“風(fēng)險(xiǎn)處置建議”應(yīng)優(yōu)先針對(duì)？A.所有識(shí)別出的風(fēng)險(xiǎn)B.高等級(jí)風(fēng)險(xiǎn)C.技術(shù)類風(fēng)險(xiǎn)D.管理類風(fēng)險(xiǎn)答案：B19.以下哪種方法可用于驗(yàn)證脆弱性的可利用性？A.資產(chǎn)清單梳理B.日志分析C.漏洞利用測(cè)試（PoC驗(yàn)證）D.威脅情報(bào)收集答案：C20.某企業(yè)云服務(wù)器（資產(chǎn)價(jià)值“中”）存在未修復(fù)的CVE20241234漏洞（CVSSv3.1評(píng)分8.5，屬于“高?！保以瓢踩行谋O(jiān)測(cè)到每周有1次針對(duì)該漏洞的掃描行為（威脅“低”）。根據(jù)風(fēng)險(xiǎn)矩陣（影響=資產(chǎn)價(jià)值×脆弱性等級(jí)，概率=威脅等級(jí)），該風(fēng)險(xiǎn)的影響維度得分為？（注：資產(chǎn)價(jià)值中=3，脆弱性高危=3）A.3×3=9B.3×8.5=25.5C.3×1=3D.8.5×1=8.5答案：A（影響維度通常基于資產(chǎn)價(jià)值與脆弱性等級(jí)的乘積）二、判斷題（每題1分，共10分）1.風(fēng)險(xiǎn)評(píng)估的目的是消除所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。（）答案：×（風(fēng)險(xiǎn)只能降低，無法完全消除）2.資產(chǎn)價(jià)值評(píng)估只需考慮直接經(jīng)濟(jì)損失，無需考慮聲譽(yù)損失。（）答案：×（需考慮直接與間接影響）3.威脅源“內(nèi)部員工誤操作”屬于惡意人為威脅。（）答案：×（屬于人為過失，非惡意）4.定性風(fēng)險(xiǎn)評(píng)估依賴具體數(shù)值計(jì)算，定量評(píng)估依賴專家經(jīng)驗(yàn)。（）答案：×（定性依賴經(jīng)驗(yàn)，定量依賴數(shù)值）5.CVSS評(píng)分中的“范圍（Scope）”指標(biāo)用于判斷漏洞影響是否跨越組件。（）答案：√6.脆弱性掃描報(bào)告中的“高危漏洞”必須立即修復(fù)，無需考慮業(yè)務(wù)影響。（）答案：×（需評(píng)估修復(fù)對(duì)業(yè)務(wù)的影響，可能采取臨時(shí)控制措施）7.風(fēng)險(xiǎn)識(shí)別階段只需關(guān)注技術(shù)層面的資產(chǎn)，如服務(wù)器、數(shù)據(jù)庫，無需考慮人員、流程。（）答案：×（資產(chǎn)包括人員、流程、數(shù)據(jù)等）8.威脅發(fā)生概率評(píng)估應(yīng)基于歷史事件統(tǒng)計(jì)與威脅情報(bào)分析。（）答案：√9.殘余風(fēng)險(xiǎn)無需記錄，因?yàn)橐巡扇】刂拼胧?。（）答案：×（需記錄并持續(xù)監(jiān)控）10.滲透測(cè)試可以完全替代脆弱性掃描。（）答案：×（兩者互補(bǔ)，掃描是自動(dòng)化檢測(cè)，滲透測(cè)試是模擬攻擊驗(yàn)證）三、簡答題（每題6分，共30分）1.簡述網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中“資產(chǎn)識(shí)別”的主要步驟及關(guān)鍵輸出。答案：步驟：①確定資產(chǎn)范圍（如硬件、軟件、數(shù)據(jù)、人員、流程）；②分類（按業(yè)務(wù)屬性或安全屬性，如關(guān)鍵業(yè)務(wù)系統(tǒng)、敏感數(shù)據(jù)）；③賦值（評(píng)估資產(chǎn)的保密性、完整性、可用性要求，確定價(jià)值等級(jí)）。關(guān)鍵輸出：完整的資產(chǎn)清單（含資產(chǎn)名稱、類型、位置、責(zé)任人、價(jià)值等級(jí)）。2.說明CVSS3.1基該指標(biāo)中“攻擊向量（AttackVector）”的4個(gè)取值及含義。答案：①本地（L）：攻擊者需物理接觸或本地登錄設(shè)備；②相鄰網(wǎng)絡(luò)（A）：攻擊者需接入同一局域網(wǎng)；③網(wǎng)絡(luò)（N）：攻擊者可通過公網(wǎng)遠(yuǎn)程利用；④物理（P）：需物理訪問設(shè)備（僅適用于部分場(chǎng)景）。取值越寬松（如N），漏洞可利用性越高，評(píng)分越高。3.對(duì)比定性風(fēng)險(xiǎn)評(píng)估與定量風(fēng)險(xiǎn)評(píng)估的優(yōu)缺點(diǎn)。答案：定性評(píng)估：優(yōu)點(diǎn)是快速、成本低，適合資源有限的場(chǎng)景；缺點(diǎn)是主觀性強(qiáng)，結(jié)果精度低。定量評(píng)估：優(yōu)點(diǎn)是數(shù)據(jù)驅(qū)動(dòng)、結(jié)果可比較，適合關(guān)鍵系統(tǒng)評(píng)估；缺點(diǎn)是需要大量數(shù)據(jù)支撐，計(jì)算復(fù)雜，耗時(shí)耗力。4.列舉風(fēng)險(xiǎn)評(píng)估中“威脅識(shí)別”的3種主要方法，并簡要說明。答案：①威脅情報(bào)分析：通過開源情報(bào)（OSINT）、商業(yè)情報(bào)平臺(tái)獲取當(dāng)前流行的威脅類型（如勒索軟件、APT攻擊）；②日志審計(jì)：分析網(wǎng)絡(luò)、系統(tǒng)日志，統(tǒng)計(jì)攻擊嘗試次數(shù)、來源；③場(chǎng)景模擬：通過頭腦風(fēng)暴或?qū)＜以L談，模擬可能的威脅場(chǎng)景（如內(nèi)部人員泄密、外部滲透）。5.某企業(yè)計(jì)劃對(duì)生產(chǎn)控制系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，簡述需重點(diǎn)關(guān)注的資產(chǎn)類型及原因。答案：重點(diǎn)資產(chǎn)類型：①工業(yè)控制設(shè)備（如PLC、SCADA）：直接影響生產(chǎn)流程，一旦受損可能導(dǎo)致停產(chǎn)；②生產(chǎn)數(shù)據(jù)（如工藝參數(shù)、訂單信息）：泄露或篡改會(huì)導(dǎo)致生產(chǎn)事故或商業(yè)損失；③控制網(wǎng)絡(luò)（如工業(yè)專用協(xié)議網(wǎng)絡(luò)）：網(wǎng)絡(luò)中斷可能導(dǎo)致設(shè)備失控；④操作權(quán)限（如工程師賬號(hào)）：越權(quán)操作可能引發(fā)設(shè)備誤動(dòng)作。四、案例分析題（每題10分，共20分）案例1：某電商平臺(tái)風(fēng)險(xiǎn)評(píng)估某電商平臺(tái)核心系統(tǒng)包括用戶信息數(shù)據(jù)庫（存儲(chǔ)姓名、手機(jī)號(hào)、支付信息）、訂單處理系統(tǒng)（日處理訂單10萬+）、CDN加速服務(wù)（覆蓋全國用戶）。近期安全團(tuán)隊(duì)發(fā)現(xiàn)：數(shù)據(jù)庫使用默認(rèn)的MySQL賬戶（用戶名“root”，密碼“123456”）；訂單系統(tǒng)存在未修復(fù)的CVE20245678漏洞（CVSSv3.1評(píng)分7.8，需用戶登錄后觸發(fā)）；CDN日志顯示每周有100次來自境外IP的異常請(qǐng)求（嘗試訪問未公開的API接口）。問題：1.識(shí)別案例中的資產(chǎn)、威脅、脆弱性；2.計(jì)算數(shù)據(jù)庫默認(rèn)賬戶風(fēng)險(xiǎn)的量化值（假設(shè)資產(chǎn)價(jià)值“極高”=5，威脅概率“中”=3，脆弱性“高”=4）；3.提出針對(duì)訂單系統(tǒng)漏洞的風(fēng)險(xiǎn)處置建議。答案：1.資產(chǎn)：用戶信息數(shù)據(jù)庫、訂單處理系統(tǒng)、CDN加速服務(wù)；威脅：境外IP異常請(qǐng)求（外部攻擊嘗試）、利用CVE20245678漏洞的攻擊；脆弱性：數(shù)據(jù)庫默認(rèn)賬戶弱口令、訂單系統(tǒng)未修復(fù)高危漏洞。2.風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅概率×脆弱性等級(jí)=5×3×4=60（注：具體賦值規(guī)則需結(jié)合企業(yè)標(biāo)準(zhǔn)，此處為示例）。3.處置建議：①立即修復(fù)CVE20245678漏洞（通過補(bǔ)丁升級(jí)或代碼修復(fù)）；②在修復(fù)前啟用WAF（Web應(yīng)用防火墻）對(duì)相關(guān)API接口進(jìn)行訪問控制，過濾異常請(qǐng)求；③對(duì)訂單系統(tǒng)進(jìn)行滲透測(cè)試，驗(yàn)證漏洞修復(fù)效果；④加強(qiáng)用戶登錄身份驗(yàn)證（如啟用MFA），降低漏洞觸發(fā)概率。案例2：某制造企業(yè)工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估某制造企業(yè)工業(yè)網(wǎng)絡(luò)包含50臺(tái)PLC設(shè)備（用于控制生產(chǎn)線）、10臺(tái)HMI（人機(jī)界面）、1個(gè)SCADA服務(wù)器（匯總生產(chǎn)數(shù)據(jù)）。安全團(tuán)隊(duì)通過掃描發(fā)現(xiàn)：PLC設(shè)備使用Modbus協(xié)議，未啟用加密，且默認(rèn)允許所有IP訪問；HMI系統(tǒng)安裝了非必要的辦公軟件（如Word、瀏覽器），存在惡意軟件感染風(fēng)險(xiǎn)；SCADA服務(wù)器日志顯示，過去1個(gè)月有3次來自辦公網(wǎng)的未授權(quán)訪問嘗試。問題：1.分析工業(yè)網(wǎng)絡(luò)與傳統(tǒng)IT網(wǎng)絡(luò)在風(fēng)險(xiǎn)評(píng)估中的主要差異；2.針對(duì)PLC設(shè)備的脆弱性，提出3項(xiàng)具體整改措施；3.說明HMI安裝非必要軟件可能引發(fā)的風(fēng)險(xiǎn)鏈（示例：惡意軟件感染→HMI失控→PLC指令被篡改→生產(chǎn)線停擺）。答案：1.主要差異：①資產(chǎn)特性：工業(yè)設(shè)備（PLC、HMI）通常使用專用協(xié)議，生命周期長，補(bǔ)丁更新困難；②可用性要求：工業(yè)網(wǎng)絡(luò)中斷可能導(dǎo)致物理設(shè)備損壞或生產(chǎn)事故，對(duì)停機(jī)時(shí)間更敏感；③威脅影響：IT網(wǎng)絡(luò)風(fēng)險(xiǎn)多為數(shù)據(jù)泄露，工業(yè)網(wǎng)絡(luò)