2025年信息系统安全专家安全事件威胁情报应用专题试卷及解析.pdfVIP

2025年信息系统安全专家安全事件威胁情报应用专题试卷及解析1

2025年信息系统安全专家安全事件威胁情报应用专题试卷

及解析

2025年信息系统安全专家安全事件威胁情报应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁情报的生命周期中，哪个阶段主要负责将原始数据转化为可操作的情报？

A、收集阶段

B、处理阶段

C、分析阶段

D、分发阶段

【答案】C

【解析】正确答案是C。分析阶段是威胁情报生命周期中核心环节，负责将收集和

处理后的原始数据通过关联、验证和解读，转化为具有决策价值的情报。A选项收集阶

段仅获取原始数据；B选项处理阶段进行数据清洗和标准化；D选项分发阶段负责情报

传递。知识点：威胁情报生命周期。易错点：容易混淆处理阶段和分析阶段的区别。

2、以下哪种指标类型最适合用于描述攻击者的战术、技术和程序？

A、IOC（失陷指标）

B、TTP（战术、技术和程序）

C、资产指标

D、漏洞指标

【答案】B

【解析】正确答案是B。TTP专门用于描述攻击者的行为模式、攻击方法和操作流

程，是威胁情报中描述攻击者特征的核心指标。A选项IOC主要指具体的失陷证据；C

选项资产指标关注保护对象；D选项漏洞指标聚焦系统弱点。知识点：威胁情报指标分

类。易错点：容易将IOC和TTP的作用范围混淆。

3、在威胁情报共享中，STIX（结构化威胁信息表达）标准主要用于解决什么问题？

A、数据加密传输

B、情报格式标准化

C、身份认证

D、实时告警

【答案】B

【解析】正确答案是B。STIX是OASIS制定的威胁情报标准化格式，旨在实现不

同系统间的情报互操作性。A选项涉及TLS等协议；C选项属于身份管理范畴；D选

项是告警系统的功能。知识点：威胁情报标准。易错点：容易将STIX与TAXII（传输

协议）混淆。

2025年信息系统安全专家安全事件威胁情报应用专题试卷及解析2

4、当安全团队发现疑似APT攻击时，威胁情报分析的首要步骤应该是？

A、立即阻断攻击

B、收集上下文信息

C、通知管理层

D、更新防火墙规则

【答案】B

【解析】正确答案是B。收集上下文信息是威胁情报分析的基础，包括攻击源、攻

击手法、目标资产等，为后续响应提供依据。A、C、D都是后续行动，缺乏情报支持

可能导致误判。知识点：威胁情报分析流程。易错点：容易急于响应而忽视情报收集。

5、以下哪种威胁情报来源通常具有最高的可信度？

A、暗网论坛

B、商业威胁情报平台

C、开源情报（OSINT）

D、内部日志分析

【答案】D

【解析】正确答案是D。内部日志基于自身环境产生，具有最高的相关性和可信度。

B选项商业平台次之；C选项OSINT需要验证；A选项暗网信息可信度最低。知识点：

威胁情报来源评估。易错点：容易忽视内部情报的价值。

6、在威胁情报分析中，“钻石模型”主要用于？

A、评估情报可信度

B、描述攻击事件关系

C、量化风险

D、分类恶意软件

【答案】B

【解析】正确答案是B。钻石模型通过对手、能力、基础设施和受害者四个要素描

述攻击事件的关系。A选项使用可信度评分；C选项属于风险评估；D选项使用恶意软

件分类学。知识点：威胁情报分析模型。易错点：容易与KillChain模型混淆。

7、威胁情报中的”零日漏洞”情报通常具有什么特点？

A、公开补丁可用

B、攻击利用广泛

C、防御措施有限

D、影响范围小

【答案】C

【解析】正确答案是C。零日漏洞指厂商未发布补丁的漏洞，防御措施极为有限。A

选项与定义矛盾；B选项可能但非必然；D选项通常影响广泛。知识点：漏洞威胁情报。

2025年信息系统安全专家安全事件威胁情报应用专题试卷及解析