2025年信息系统安全专家威胁建模行业最佳实践案例专题试卷及解析1
2025年信息系统安全专家威胁建模行业最佳实践案例专题
试卷及解析
2025年信息系统安全专家威胁建模行业最佳实践案例专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在威胁建模过程中,以下哪项是STRIDE模型中”欺骗”(Spoofing)威胁的典型
示例?
A、攻击者通过SQL注入获取数据库数据
B、攻击者伪造管理员身份登录系统
C、攻击者利用拒绝服务攻击使系统瘫痪
D、攻击者篡改传输中的敏感数据
【答案】B
【解析】正确答案是B。STRIDE模型中的欺骗威胁指攻击者冒充合法用户或系统
组件。B选项描述的伪造管理员身份是典型的欺骗攻击。A选项属于信息泄露,C选项
属于拒绝服务,D选项属于篡改。知识点:STRIDE威胁分类。易错点:容易将欺骗与
篡改混淆,前者关注身份伪造,后者关注数据完整性破坏。
2、在进行威胁建模时,以下哪个阶段最适合使用数据流图(DFD)?
A、威胁缓解措施评估阶段
B、系统架构设计阶段
C、威胁识别阶段
D、安全测试阶段
【答案】C
【解析】正确答案是C。数据流图是威胁识别阶段的核心工具,用于可视化系统组
件间的数据交互,帮助发现潜在威胁点。A、B、D阶段虽然可能涉及DFD,但不是其
主要应用场景。知识点:威胁建模流程。易错点:容易误认为DFD只在设计阶段使用,
实际上它在威胁识别阶段更为关键。
3、以下哪项是威胁建模中”攻击面分析”的主要目的?
A、评估系统性能瓶颈
B、识别所有可能的攻击入口点
C、优化数据库查询效率
D、设计用户界面交互流程
【答案】B
【解析】正确答案是B。攻击面分析专注于识别系统中可能被攻击者利用的入口点,
如API、网络接口等。A、C、D选项分别涉及性能优化、数据库优化和UI设计,与攻
2025年信息系统安全专家威胁建模行业最佳实践案例专题试卷及解析2
击面分析无关。知识点:攻击面分析。易错点:容易将攻击面分析与漏洞扫描混淆,前
者关注潜在入口点,后者关注已知漏洞。
4、在威胁建模中,以下哪项属于”拒绝服务”(DenialofService)威胁的缓解措施?
A、实施输入验证
B、使用HTTPS加密传输
C、部署速率限制机制
D、启用多因素认证
【答案】C
【解析】正确答案是C。速率限制是缓解拒绝服务攻击的有效措施,通过限制请求
频率防止资源耗尽。A选项缓解注入攻击,B选项缓解窃听,D选项缓解身份伪造。知
识点:威胁缓解措施。易错点:容易误认为加密可以缓解拒绝服务攻击,实际上加密主
要解决机密性问题。
5、以下哪项是威胁建模中”信任边界”(TrustBoundary)的核心特征?
A、系统性能指标
B、不同信任级别的区域分界
C、用户权限级别
D、网络拓扑结构
【答案】B
【解析】正确答案是B。信任边界是系统中不同信任级别区域的分界线,跨边界的
数据流需要特别关注。A、C、D选项虽然与系统安全相关,但不是信任边界的核心特
征。知识点:信任边界。易错点:容易将信任边界与权限管理混淆,前者关注区域划分,
后者关注访问控制。
6、在威胁建模中,以下哪项是”信息泄露”(InformationDisclosure)威胁的典型示
例?
A、攻击者删除关键日志文件
B、攻击者通过错误消息获取系统信息
C、攻击者修改用户权限
D、攻击者植入恶意软件
【答案】B
【解析】正确答案是B。信息泄露指敏感信息被非授权访问,错误消息泄露系统信
息是典型示例。A选项属于篡改,C选项属于权限提升,D选项属于恶意代码注入。知
识点:信息泄露威胁。易错点:容易将信息泄露与篡改混淆,前者关注机密性,后者关
注完整性。
7、以下哪项是威胁建模中”威胁优先级排序”的主要依据?
A、威胁发生的可能性
2025年信息系统安全专家威胁建模行