2025年信息系统安全专家供应链安全事件案例分析专题试卷及解析.pdfVIP

2025年信息系统安全专家供应链安全事件案例分析专题试卷及解析1

2025年信息系统安全专家供应链安全事件案例分析专题试

卷及解析

2025年信息系统安全专家供应链安全事件案例分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、2020年SolarWinds供应链攻击事件中，攻击者主要利用了哪种技术手段将恶

意代码植入到Orion平台更新包中？

A、零日漏洞利用

B、供应链污染

C、社会工程学攻击

D、物理接触篡改

【答案】B

【解析】正确答案是B。SolarWinds事件是典型的供应链污染案例，攻击者通过入

侵SolarWinds构建系统，在Orion平台软件更新包中植入恶意代码。A选项零日漏洞

利用不是主要手段；C选项社会工程学攻击在后续阶段使用但不是初始攻击方式；D选

项物理接触篡改不符合该事件的攻击模式。知识点：供应链攻击类型。易错点：容易混

淆供应链污染与零日漏洞利用的区别。

2、在Log4j漏洞事件中，该漏洞属于哪种类型的供应链安全风险？

A、硬件供应链风险

B、开源组件依赖风险

C、云服务供应链风险

D、物流供应链风险

【答案】B

【解析】正确答案是B。Log4j漏洞是ApacheLog4j开源日志组件中的严重漏洞，

属于典型的开源组件依赖风险。A选项硬件供应链风险不涉及软件漏洞；C选项云服务

供应链风险指云服务商层面的风险；D选项物流供应链风险与软件安全无关。知识点：

开源组件安全。易错点：容易忽视开源组件在现代软件供应链中的关键地位。

3、2021年KaseyaVSA供应链攻击事件中，攻击者主要针对的目标是？

A、个人用户

B、政府机构

C、通过MSP服务的中小企业

D、大型企业数据中心

【答案】C

【解析】正确答案是C。KaseyaVSA攻击事件中，攻击者通过入侵管理服务提供商

(MSP)的VSA软件，最终攻击了大量通过MSP获得IT服务的中小企业。A选项个

2025年信息系统安全专家供应链安全事件案例分析专题试卷及解析2

人用户不是主要目标；B选项政府机构虽然受影响但不是主要目标；D选项大型企业数

据中心不是该事件的重点。知识点：供应链攻击的传播路径。易错点：容易忽视MSP

在供应链中的放大效应。

4、在软件供应链安全中，“SBOM”指的是什么？

A、软件物料清单

B、安全基线操作手册

C、系统备份操作手册

D、安全构建操作模型

【答案】A

【解析】正确答案是A。SBOM(SoftwareBillofMaterials)即软件物料清单，是记

录软件组件及其关系的清单。B、C、D选项都是其他安全概念的缩写，与SBOM无关。

知识点：软件供应链透明度。易错点：容易混淆各种安全缩写术语。

5、2022年3CX供应链攻击事件中，攻击者利用了哪个被入侵的组件作为跳板？

A、Windows操作系统

B、Cisco防火墙

C、被污染的XLib库

D、Oracle数据库

【答案】C

【解析】正确答案是C。3CX攻击事件中，攻击者通过污染的XLib库（一个音频

处理库）入侵了3CX桌面应用的构建环境。A、B、D选项虽然都是常见软件组件，但

不是该事件中的攻击路径。知识点：第三方库安全风险。易错点：容易忽视看似无害的

库文件可能成为攻击入口。

6、在供应链安全中，“零信任”架构的核心原则是？

A、默认信任内部网络

B、从不信任，始终验证

C、优先信任知名供应商

D、一次性验证永久信任

【答案】B

【解析】正确答案是B。零信任架构的核心原则是”从不信任，始终验证”，对任何访

问请求都进行严格验证。A选项默认信任内部网络是传统安全模型；C选项优先信任知

名供应商违背零信任原则；D选项一次性验证永久信任不符合持续验证要求。知识点：

零信任安全模型。易错点：容易将零信任简