2025年信息系统安全专家OWASP威胁建模实践指南专题试卷及解析.pdfVIP

2025年信息系统安全专家OWASP威胁建模实践指南专题试卷及解析1

2025年信息系统安全专家OWASP威胁建模实践指南专

题试卷及解析

2025年信息系统安全专家OWASP威胁建模实践指南专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在OWASP威胁建模过程中，以下哪个阶段的主要目标是识别系统中的潜在威

胁？

A、威胁分析

B、威胁识别

C、威胁缓解

D、威胁评估

【答案】B

【解析】正确答案是B。威胁识别阶段的目标是系统地识别系统可能面临的所有潜

在威胁。A选项威胁分析是对已识别的威胁进行深入分析；C选项威胁缓解是制定对

策；D选项威胁评估是对威胁进行优先级排序。知识点：威胁建模基本流程。易错点：

容易混淆威胁识别和威胁分析的概念。

2、STRIDE模型中，“欺骗”（Spoofing）威胁主要针对以下哪个安全属性？

A、完整性

B、可用性

B、保密性

D、身份认证

【答案】D

【解析】正确答案是D。欺骗威胁直接攻击身份认证机制，通过伪装成合法用户获取

未授权访问。A、B、C选项分别对应篡改、拒绝服务和信息泄露威胁。知识点：STRIDE

威胁分类。易错点：容易将欺骗与信息泄露混淆。

3、在威胁建模中，数据流图（DFD）的哪个元素代表数据存储？

A、圆圈

B、矩形

C、两条平行线

D、箭头

【答案】C

【解析】正确答案是C。在DFD中，两条平行线表示数据存储（如数据库）。A选项

圆圈代表处理过程，B选项矩形代表外部实体，D选项箭头代表数据流。知识点：DFD

基本符号。易错点：容易混淆处理过程和数据存储的符号。

4、以下哪种威胁建模方法最适用于敏捷开发环境？

2025年信息系统安全专家OWASP威胁建模实践指南专题试卷及解析2

A、PASTA

B、Trike

C、VAST

D、OCTAVE

【答案】C

【解析】正确答案是C。VAST（Visual,Agile,andSimpleThreat）建模方法专为敏

捷开发设计，提供可视化、可扩展的威胁建模流程。其他方法更适合传统开发模式。知

识点：威胁建模方法论比较。易错点：容易忽视不同方法对开发模式的适配性。

5、OWASP威胁建模指南中，“攻击面分析”的主要目的是什么？

A、评估系统漏洞

B、识别所有可能的攻击入口点

C、分析攻击者动机

D、制定安全策略

【答案】B

【解析】正确答案是B。攻击面分析专注于识别系统中所有可能被攻击者利用的入

口点。A选项是漏洞扫描，C选项是威胁分析，D选项是缓解措施。知识点：攻击面分

析概念。易错点：容易将攻击面与漏洞混淆。

6、在威胁建模中，“信任边界”通常指什么？

A、网络防火墙

B、不同安全级别区域之间的分界

C、用户权限级别

D、加密算法强度

【答案】B

【解析】正确答案是B。信任边界是系统中不同信任级别区域之间的逻辑或物理分

界，是威胁分析的关键点。其他选项都是具体的安全控制措施。知识点：信任边界概念。

易错点：容易将信任边界与具体安全设备混淆。

7、以下哪个工具最适合用于自动化威胁建模？

A、MicrosoftThreatModelingTool

B、Wireshark

C、Metasploit

D、BurpSuite

【答案】A

【解析】正确答案是A。MicrosoftThreatModelingTool是专门用于自动化威胁建

模的工具。B是网络分析工具，C是渗透测试工具，D是Web应用安全测试工具。知

识点：威胁建模工具。易错点：容易混淆不同安全工具的用途。

2025年信息系统安全专家OWASP威胁建模实践指南专题试卷及解析3

8、在威胁建模中，“威胁代理”通常指什么