2025年網(wǎng)絡(luò)安全風(fēng)險評估專項試題及答案一、單項選擇題（每題1分，共30分。每題只有一個正確答案，請將正確選項字母填入括號內(nèi)）1.在NISTSP80030中，風(fēng)險評估的首要步驟是（）A.威脅識別??B.資產(chǎn)識別??C.影響評估??D.風(fēng)險建模答案：B2.某電商系統(tǒng)采用STRIDE模型進行威脅建模，以下屬于“篡改”威脅的是（）A.攻擊者偽造訂單支付請求??B.攻擊者修改商品庫存數(shù)量C.攻擊者暴力破解管理員口令??D.攻擊者發(fā)起DDoS導(dǎo)致服務(wù)不可用答案：B3.若某漏洞的CVSSv3.1基礎(chǔ)分值為7.8，其風(fēng)險等級為（）A.低??B.中??C.高??D.嚴(yán)重答案：C4.在FAIR框架中，“損失事件頻率”與“損失幅度”的數(shù)學(xué)關(guān)系為（）A.風(fēng)險=LEF×LM??B.風(fēng)險=LM/LEF??C.風(fēng)險=LM+LEF??D.風(fēng)險=√(LEF×LM)答案：A5.某單位對5類資產(chǎn)進行定性風(fēng)險評估，采用5×5矩陣，其中“可能性=3，影響=4”對應(yīng)的風(fēng)險等級為（）A.低??B.中??C.高??D.極高答案：C6.以下哪項最能降低“內(nèi)部人員濫用特權(quán)”風(fēng)險的控制措施（）A.網(wǎng)絡(luò)微分段??B.多因素認(rèn)證??C.職責(zé)分離與最小權(quán)限??D.全流量鏡像答案：C7.在ISO/IEC27005:2018中，風(fēng)險處置的“轉(zhuǎn)移”選項通常通過（）A.購買保險??B.打補丁??C.加固防火墻??D.重新設(shè)計架構(gòu)答案：A8.某云租戶使用共享責(zé)任模型，以下哪項由云服務(wù)商負(fù)責(zé)的風(fēng)險評估活動（）A.客戶側(cè)數(shù)據(jù)分級??B.物理機房環(huán)境威脅識別C.虛擬機GuestOS漏洞掃描??D.客戶應(yīng)用業(yè)務(wù)邏輯測試答案：B9.關(guān)于定量風(fēng)險分析，下列說法正確的是（）A.必須使用蒙特卡洛模擬??B.結(jié)果以貨幣單位表示C.無法處理不確定性??D.不需要歷史數(shù)據(jù)答案：B10.某組織采用NISTCSF進行風(fēng)險治理，其中“ID.RA”子類聚焦（）A.資產(chǎn)管理??B.風(fēng)險評估??C.訪問控制??D.恢復(fù)計劃答案：B11.在OWASPTop102021中，與“加密失敗”直接相關(guān)的風(fēng)險類別是（）A.A01??B.A02??C.A03??D.A04答案：B12.某工控系統(tǒng)使用ModbusTCP，以下哪種威脅最可能導(dǎo)致可用性風(fēng)險（）A.會話固定??B.功能碼濫用??C.XML外部實體??D.反射型XSS答案：B13.關(guān)于風(fēng)險登記冊（RiskRegister），下列描述錯誤的是（）A.需記錄風(fēng)險負(fù)責(zé)人??B.需動態(tài)更新C.只需在評估階段使用??D.需記錄風(fēng)險狀態(tài)答案：C14.某企業(yè)采用零信任架構(gòu)，其風(fēng)險評估核心關(guān)注（）A.網(wǎng)絡(luò)邊界防火墻規(guī)則??B.每次訪問請求的上下文C.內(nèi)網(wǎng)流量免監(jiān)控??D.靜態(tài)信任模型答案：B15.在PCIDSSv4.0中，對存儲的持卡人數(shù)據(jù)必須進行（）A.對稱加密??B.強單向哈希??C.令牌化或加密??D.僅邏輯隔離答案：C16.紅隊演練后，風(fēng)險分析最重要的輸入是（）A.演練合同金額??B.實際攻擊路徑與影響證據(jù)C.紅隊成員簡歷??D.防火墻品牌答案：B17.某漏洞掃描報告顯示“CVE20231234，CVSS=9.6，但所在資產(chǎn)無外部接口”，此例說明（）A.基礎(chǔ)分無法調(diào)整??B.需結(jié)合環(huán)境因素修正C.無需處置??D.可直接忽略答案：B18.在風(fēng)險評估溝通中，最能有效獲得高管支持的指標(biāo)是（）A.漏洞數(shù)量??B.風(fēng)險貨幣化損失期望C.掃描耗時??D.端口開放數(shù)答案：B19.關(guān)于隱私風(fēng)險評估，GDPR第35條強調(diào)的“DPIA”適用于（）A.任何處理活動??B.高風(fēng)險處理活動C.員工數(shù)據(jù)管理??D.公開數(shù)據(jù)抓取答案：B20.某系統(tǒng)RTO=2小時，RPO=15分鐘，發(fā)生勒索軟件事件后實際恢復(fù)時間3小時，則（）A.僅RTO超標(biāo)??B.僅RPO超標(biāo)??C.均超標(biāo)??D.均未超標(biāo)答案：A21.在供應(yīng)鏈風(fēng)險評估中，SBOM的主要作用是（）A.記錄軟件組件清單及版本??B.統(tǒng)計代碼行數(shù)C.評估編譯器性能??D.生成許可證費用答案：A22.以下哪項最能降低AI模型被“投毒”的風(fēng)險（）A.增加訓(xùn)練輪次??B.訓(xùn)練數(shù)據(jù)完整性校驗與多源驗證C.使用更大模型??D.降低學(xué)習(xí)率答案：B23.某單位采用定性方法，將“風(fēng)險=高”改為“風(fēng)險=極高”的合理場景是（）A.威脅源能力增強??B.控制措施已部署C.資產(chǎn)折舊??D.年度預(yù)算增加答案：A24.關(guān)于風(fēng)險審計，下列說法正確的是（）A.只需在發(fā)生事件后進行??B.可驗證風(fēng)險評估流程有效性C.必須由外部機構(gòu)完成??D.不需要留存記錄答案：B25.在容器云環(huán)境中，以下哪項最能降低“鏡像漏洞”風(fēng)險（）A.使用最新標(biāo)簽latest??B.部署鏡像簽名與漏洞掃描準(zhǔn)入C.關(guān)閉宿主機防火墻??D.使用host網(wǎng)絡(luò)模式答案：B26.某企業(yè)采用KRI監(jiān)控，當(dāng)“連續(xù)30天，每日失敗登錄>1000次”時觸發(fā)預(yù)警，該KRI屬于（）A.領(lǐng)先指標(biāo)??B.滯后指標(biāo)??C.基線指標(biāo)??D.戰(zhàn)略指標(biāo)答案：A27.關(guān)于業(yè)務(wù)影響分析（BIA），下列輸出物最直接用于風(fēng)險評估的是（）A.組織愿景??B.關(guān)鍵業(yè)務(wù)流程最大可容忍中斷時間C.年度利潤??D.員工滿意度答案：B28.在DevSecOps中，“安全左移”對風(fēng)險評估的主要價值是（）A.降低修復(fù)成本??B.增加代碼行數(shù)C.推遲測試??D.減少版本發(fā)布答案：A29.某IoT設(shè)備默認(rèn)口令“123456”，在CWE中對應(yīng)的最貼切缺陷是（）A.CWE20??B.CWE79??C.CWE522??D.CWE918答案：C30.關(guān)于云原生安全，CNCF推薦的供應(yīng)鏈風(fēng)險治理首要步驟是（）A.購買CASB??B.建立SBOM與依賴追蹤C.關(guān)閉API網(wǎng)關(guān)??D.使用私有云答案：B二、多項選擇題（每題2分，共20分。每題有兩個或兩個以上正確答案，多選、少選、錯選均不得分）31.以下哪些屬于NISTSP80030定義的“威脅事件”實例（??）A.網(wǎng)絡(luò)釣魚郵件??B.員工誤刪數(shù)據(jù)庫C.地震導(dǎo)致機房倒塌??D.漏洞掃描答案：ABC32.在CVSSv3.1中，哪些指標(biāo)屬于“臨時分”維度（??）A.攻擊復(fù)雜度??B.修補級別??C.報告置信度??D.可用性影響答案：BC33.以下哪些控制可降低“API接口濫用”風(fēng)險（??）A.速率限制??B.OAuth2.0授權(quán)??C.輸入校驗??D.內(nèi)容安全策略答案：ABC34.關(guān)于FAIR定量分析，下列哪些輸入用于計算“威脅事件頻率”（??）A.威脅社區(qū)規(guī)模??B.威脅能力??C.控制強度??D.資產(chǎn)暴露度答案：ABC35.以下哪些場景需啟動隱私風(fēng)險評估（??）A.大規(guī)模處理生物識別數(shù)據(jù)??B.系統(tǒng)化監(jiān)控公共空間C.合并數(shù)據(jù)庫導(dǎo)致數(shù)據(jù)跨境??D.內(nèi)部員工考勤指紋答案：ABC36.以下哪些屬于云原生供應(yīng)鏈風(fēng)險（??）A.第三方庫植入后門??B.鏡像倉庫被篡改C.CI/CD憑證泄露??D.宿主機CPU溫度過高答案：ABC37.在工控系統(tǒng)風(fēng)險評估中，以下哪些屬于“安全區(qū)”劃分依據(jù)（??）A.物理隔離??B.控制層次??C.安全等級??D.通信協(xié)議答案：ABC38.以下哪些方法可用于評估“人為因素”風(fēng)險（??）A.社會工程演練??B.釣魚仿真測試C.員工背景調(diào)查??D.端口掃描答案：ABC39.關(guān)于勒索軟件風(fēng)險，下列哪些控制屬于“預(yù)防”階段（??）A.應(yīng)用白名單??B.網(wǎng)絡(luò)分段??C.離線備份??D.事件響應(yīng)演練答案：AB40.以下哪些輸出物可直接作為風(fēng)險處置計劃的輸入（??）A.風(fēng)險接受準(zhǔn)則??B.風(fēng)險登記冊C.控制措施成本效益分析??D.供應(yīng)商合同答案：ABC三、填空題（每空1分，共20分）41.在ISO/IEC27005:2018中，風(fēng)險識別通常采用________、________、________三類方法。答案：基于資產(chǎn)、基于威脅、基于業(yè)務(wù)42.CVSSv3.1基礎(chǔ)分計算公式為：________（寫出英文縮寫即可）。答案：roundup(min[(Impact+Exploitability),10])43.某系統(tǒng)資產(chǎn)價值A(chǔ)V=1,000,000元，暴露因子EF=30%，年度發(fā)生率ARO=0.2，則年度損失期望ALE=________元。答案：60,00044.STRIDE模型中，R代表________威脅。答案：Repudiation（抵賴）45.在NISTCSF中，識別（Identify）職能包含________、________、________等六個類別。答案：資產(chǎn)管理、業(yè)務(wù)環(huán)境、治理、風(fēng)險評估、風(fēng)險管理策略、供應(yīng)鏈46.GDPR要求DPIA必須在________處理活動之前完成。答案：高風(fēng)險47.業(yè)務(wù)連續(xù)性計劃中，RPO的中文含義是________。答案：恢復(fù)點目標(biāo)48.在容器鏡像掃描中，常用開放漏洞數(shù)據(jù)庫縮寫為________。答案：NVD49.零信任架構(gòu)中，持續(xù)信任評估依賴________、________、________三類數(shù)據(jù)。答案：身份、上下文、行為50.供應(yīng)鏈安全里，SBOM的完整中文名稱是________。答案：軟件物料清單四、簡答題（每題10分，共30分）51.簡述定性風(fēng)險評估與定量風(fēng)險評估的核心差異，并給出各適用于何種組織場景。答案：1.差異：（1）結(jié)果形式：定性用等級（高/中/低），定量用貨幣或數(shù)值；（2）數(shù)據(jù)需求：定性依賴專家經(jīng)驗，定量需歷史數(shù)據(jù)與統(tǒng)計模型；（3）復(fù)雜度：定性流程短、成本低，定量需建模工具與專業(yè)人員；（4）溝通對象：定性易與高層快速對齊，定量利于財務(wù)決策與保險。2.適用場景：定性：中小組織、數(shù)據(jù)缺乏、快速初評、合規(guī)驅(qū)動；定量：金融、電信、大型云服務(wù)商，需精確預(yù)算、風(fēng)險轉(zhuǎn)移或監(jiān)管披露。52.說明在DevSecOps流水線中引入“風(fēng)險閘門”的具體做法，并列舉三項關(guān)鍵KPI。答案：做法：（1）在代碼提交階段啟用SAST，高危漏洞>閾值則拒絕合并；（2）構(gòu)建階段強制SCA掃描，發(fā)現(xiàn)GPL3.0或CriticalCVE即阻斷；（3）鏡像推送至倉庫前，進行簽名與漏洞掃描，未通過則拒絕部署；（4）生產(chǎn)環(huán)境灰度前，運行DAST與容器運行時掃描，風(fēng)險評級>中即回滾。KPI：①阻塞發(fā)布的高危漏洞平均修復(fù)時間（MTTR）；②每月因風(fēng)險閘門導(dǎo)致的發(fā)布延遲次數(shù)；③生產(chǎn)環(huán)境新發(fā)現(xiàn)高危漏洞密度（個/千行代碼）。53.概述工控系統(tǒng)與傳統(tǒng)IT系統(tǒng)在風(fēng)險評估方法論上的三點不同，并給出對應(yīng)緩解措施。答案：不同點：（1）可用性優(yōu)先級：工控強調(diào)AIC的A首位，傳統(tǒng)IT側(cè)重C與I；（2）生命周期：工控設(shè)備>15年，補丁窗口少，傳統(tǒng)IT迭代快；（3）協(xié)議：工控使用Modbus、DNP3等無內(nèi)置安全，傳統(tǒng)IT已普及TLS。緩解：①采用白名單+深度包檢測工控防火墻保障可用性；②建立“補丁例外”與補償控制（隔離、VPN）延長生命周期；③部署工控協(xié)議安全代理實現(xiàn)認(rèn)證與加密，無需改終端。五、綜合應(yīng)用題（共50分）54.案例：某金融科技公司計劃上線“數(shù)字錢包”系統(tǒng)，采用微服務(wù)+容器云架構(gòu)，涉及用戶資金交易。請完成以下任務(wù)：（1）識別并分類列出至少8項關(guān)鍵資產(chǎn)（4分）；（2）基于STRIDE模型，對應(yīng)每項資產(chǎn)給出2個具體威脅（8分）；（3）對“用戶賬戶余額”資產(chǎn)，選取一個機密性威脅，使用FAIR方法進行定量計算，給出假設(shè)數(shù)據(jù)與完整計算過程，最終得出年度損失期望（18分）；（4）針對該威脅設(shè)計一套包含技術(shù)、管理、監(jiān)控三層的風(fēng)險處置方案，并說明如何度量殘余風(fēng)險（12分）；（5）若公司采用PCIDSSv4.0與GDPR雙合規(guī)，列出必須追加的評估活動與輸出物（8分）。答案：（1）資產(chǎn)清單：①用戶賬戶余額數(shù)據(jù)庫（數(shù)據(jù)）②支付微服務(wù)Pod（系統(tǒng)）③容器鏡像倉庫（系統(tǒng)）④私鑰管理系統(tǒng)HSM（系統(tǒng)）⑤移動端App（軟件）⑥支付API網(wǎng)關(guān)（系統(tǒng)）⑦運維筆記本（設(shè)備）⑧員工賬號憑證（數(shù)據(jù)）（2）STRIDE威脅示例：資產(chǎn)①：Spoofing攻擊者偽造余額查詢請求；Tampering內(nèi)部DBA修改余額字段資產(chǎn)②：Repudiation服務(wù)否認(rèn)扣款操作；InformationDisclosure調(diào)試接口泄露日志資產(chǎn)③：Tampering鏡像被植入后門；DenialofService倉庫被刪除資產(chǎn)④：InformationDisclosureHSM配置泄露；Spoofing偽造HSM身份資產(chǎn)⑤：TamperingApp被重打包；ElevationofPrivilege越獄繞過沙箱資產(chǎn)⑥：DenialofServiceAPI網(wǎng)關(guān)DDoS；Repudiation缺少交易日志資產(chǎn)⑦：InformationDisclosure筆記本失竊；ElevationofPrivilege本地提權(quán)資產(chǎn)⑧：Spoofing憑證被釣魚；Tampering權(quán)限被濫用（3）FAIR計算示例：威脅場景：外部攻擊者利用SQL注入竊取“用戶賬戶余額”數(shù)據(jù)并出售。步驟：a.資產(chǎn)價值A(chǔ)V=50,000,000元（余額總量）；b.暴露度EF=10%（預(yù)計10%用戶受影響）；c.威脅社區(qū)規(guī)模TCS=1,000人（活躍黑客群體）；d.威脅能力TCap=中等（需中級技術(shù)）；e.控制強度CS=低（當(dāng)前WAF規(guī)則不完整）；f.接觸概率CoP=0.3；g.動作概率PoA=0.8；h.威脅事件頻率TEF=TCS×PoA×CoP/1,000=0.24次/年；i.損失事件頻率LEF=TEF×0.9（控制失效概率）=0.216次/年；j.初級損失幅度PLM=AV×EF=5,000,000元；k.次級損失幅度SLM=1,000,000元（監(jiān)管罰款+聲譽）；l.總損失幅度LM=6,000,000元；m.年度損失期望ALE=LEF×LM=0.216×6,000,000≈1,29