2025年信息系统安全专家威胁情报共享与协同防御专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁情报共享与协同防御专题试卷及解析1

2025年信息系统安全专家威胁情报共享与协同防御专题试

卷及解析

2025年信息系统安全专家威胁情报共享与协同防御专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁情报的生命周期中，哪个阶段主要负责将原始数据转化为可操作的情报？

A、收集阶段

B、处理阶段

C、分析阶段

D、分发阶段

【答案】C

【解析】正确答案是C。分析阶段是威胁情报生命周期中核心环节，负责对收集和

处理后的数据进行深度解读，识别威胁模式、攻击意图和潜在影响，从而生成可指导防

御行动的情报。A选项收集阶段仅获取原始数据；B选项处理阶段侧重数据清洗和标准

化；D选项分发阶段是情报的传递环节。知识点：威胁情报生命周期。易错点：容易混

淆处理阶段和分析阶段的功能，前者是数据准备，后者是价值提炼。

2、STIX（StructuredThreatInformationeXpression）主要用于解决威胁情报共享

中的什么问题？

A、数据加密传输

B、情报结构化表示

C、身份认证授权

D、网络流量分析

【答案】B

【解析】正确答案是B。STIX是一种标准化的语言和序列化格式，用于描述和交换

网络威胁情报，解决了不同系统和组织间情报格式不统一的问题。A选项涉及传输安

全，通常由TLS等协议解决；C选项是访问控制范畴；D选项属于网络监控技术。知

识点：威胁情报标准。易错点：可能误选A，但STIX本身不处理加密，而是关注内容

结构。

3、在协同防御体系中，“蜜罐技术”的主要作用是？

A、实时阻断攻击

B、诱捕攻击者并收集行为数据

C、加密敏感通信

D、修复系统漏洞

【答案】B

2025年信息系统安全专家威胁情报共享与协同防御专题试卷及解析2

【解析】正确答案是B。蜜罐通过模拟易受攻击的系统或服务，诱导攻击者进入，从

而捕获其攻击手法、工具和目标，为威胁情报提供高价值数据。A选项是防火墙或IPS

的功能；C选项属于通信安全；D选项是漏洞管理范畴。知识点：主动防御技术。易错

点：需区分蜜罐（被动诱捕）与防火墙（主动阻断）的功能差异。

4、威胁情报共享平台通常采用哪种模型来平衡数据隐私与共享效率？

A、完全开放模型

B、分级共享模型

C、单向广播模型

D、本地存储模型

【答案】B

【解析】正确答案是B。分级共享模型根据情报敏感度、参与方权限等设置不同访

问级别，既保护关键数据隐私，又确保高价值情报在可信范围内高效流通。A选项缺乏

隐私保护；C选项无法实现双向协同；D选项违背共享初衷。知识点：情报共享机制。

易错点：可能忽略隐私与效率的平衡需求，误选A或C。

5、TAXII（TrustedAutomatedeXchangeofIntelligenceInformation）协议的核心

功能是？

A、威胁情报自动化交换

B、恶意代码逆向分析

C、安全事件响应编排

D、用户行为异常检测

【答案】A

【解析】正确答案是A。TAXII是专门为威胁情报自动化交换设计的应用层协议，

支持STIX等格式情报的实时、安全传输。B选项属于恶意软件分析；C选项是SOAR

领域；D选项涉及UEBA技术。知识点：威胁情报传输协议。易错点：需明确TAXII

与STIX的协作关系（前者是传输管道，后者是内容格式）。

6、在威胁情报分类中，“战术情报”通常关注？

A、长期攻击趋势

B、具体攻击工具和技术

C、攻击者的战略意图

D、组织安全政策

【答案】B

【解析】正确答案是B。战术情报聚焦于攻击者的具体手段，如TTPs（战术、技术

和程序），直接指导短期防御措施。A选项属于战略情报；C选项是战略层面；D选项

是内部管理范畴。知识点：威胁情报层级。易错点：易混淆战术与战略情报的时间跨度

和粒度差异