2025年信息系统安全专家威胁建模与漏洞评估专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁建模与漏洞评估专题试卷及解析1

2025年信息系统安全专家威胁建模与漏洞评估专题试卷及

解析

2025年信息系统安全专家威胁建模与漏洞评估专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁建模过程中，STRIDE模型中的”T”代表哪种威胁类型？

A、欺骗

B、篡改

C、信息泄露

D、拒绝服务

【答案】B

【解析】正确答案是B。STRIDE模型中T代表Tampering（篡改），指对数据进行

未经授权的修改。A选项Spoofing（欺骗）是S，C选项InformationDisclosure（信息

泄露）是I，D选项DenialofService（拒绝服务）是D。知识点：STRIDE威胁分类

法。易错点：容易混淆T和I的字母对应关系。

2、以下哪种漏洞评估方法属于黑盒测试？

A、静态代码分析

B、动态应用安全测试

C、数据流分析

D、控制流图分析

【答案】B

【解析】正确答案是B。DAST（动态应用安全测试）通过模拟外部攻击来检测运行

时漏洞，属于黑盒测试。A、C、D选项都需要了解内部代码结构，属于白盒测试方法。

知识点：漏洞评估技术分类。易错点：容易混淆静态分析和动态分析的区别。

3、CVSSv3.1评分系统中，哪个指标衡量漏洞利用的复杂程度？

A、AttackVector

B、AttackComplexity

C、PrivilegesRequired

D、UserInteraction

【答案】B

【解析】正确答案是B。AttackComplexity（攻击复杂度）专门评估成功利用漏洞

所需的条件或步骤。A评估攻击路径，C评估所需权限，D评估用户交互需求。知识点：

CVSS评分体系。易错点：容易混淆AttackVector和AttackComplex的区别。

4、威胁建模时，“数据流图（DFD）”的主要作用是？

A、识别系统边界

2025年信息系统安全专家威胁建模与漏洞评估专题试卷及解析2

B、分析代码路径

C、可视化数据交互

D、评估加密强度

【答案】C

【解析】正确答案是C。DFD通过图形化方式展示数据在系统组件间的流动，帮助

识别潜在威胁点。A是系统架构图的作用，B是代码分析的作用，D是密码学分析的作

用。知识点：威胁建模工具。易错点：容易将DFD与架构图混淆。

5、以下哪种情况最符合”零日漏洞”的定义？

A、已公开但未修复的漏洞

B、厂商已发布补丁的漏洞

C、攻击者已知但厂商未知的漏洞

D、存在于测试环境的漏洞

【答案】C

【解析】正确答案是C。零日漏洞特指被攻击者发现利用但厂商尚未知晓的漏洞。A

是已知漏洞，B是已修复漏洞，D是测试漏洞。知识点：漏洞生命周期。易错点：容易

混淆”零日”与”已公开”的概念。

6、在PASTA威胁建模中，哪个阶段专注于识别技术威胁？

A、阶段1：定义业务目标

B、阶段3：分解应用

C、阶段5：漏洞及弱点分析

D、阶段7：威胁建模

【答案】D

【解析】正确答案是D。阶段7专门进行技术威胁识别和建模。A是业务分析，B

是架构分析，C是漏洞分析。知识点：PASTA方法论。易错点：容易混淆阶段5和阶

段7的区别。

7、以下哪种扫描技术可以检测服务版本信息？

A、SYN扫描

B、UDP扫描

C、版本扫描

D、ACK扫描

【答案】C

【解析】正确答案是C。版本扫描通过探测服务响应来识别具体版本信息。A、B、D

都是端口扫描技术。知识点：漏洞扫描技术。易错点：容易将版本扫描与端口扫描混淆。

8、威胁建模时，“信任边界”是指？

A、网络防火墙位置

2025年信息系统安