2025年信息系统安全专家物联网供应链攻击防御专题试卷及解析.pdfVIP

2025年信息系统安全专家物联网供应链攻击防御专题试卷及解析1

2025年信息系统安全专家物联网供应链攻击防御专题试卷

及解析

2025年信息系统安全专家物联网供应链攻击防御专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在物联网供应链攻击中，攻击者最常利用的薄弱环节是什么？

A、最终用户的操作失误

B、物联网设备的固件更新机制

C、网络传输协议的加密强度

D、云服务提供商的物理安全

【答案】B

【解析】正确答案是B。物联网设备的固件更新机制是供应链攻击的关键目标，因

为攻击者可以通过篡改固件植入恶意代码。A选项虽然也是安全问题，但属于终端用户

层面；C选项涉及传输安全，但供应链攻击更侧重于源头污染；D选项云服务商的物理

安全通常有较高保障。知识点：供应链攻击的核心是利用产品交付过程中的漏洞。易错

点：容易将所有安全问题都归为供应链攻击。

2、以下哪项措施最能有效防止物联网设备在制造过程中被植入后门？

A、加强设备出厂前的安全测试

B、使用可信计算模块（TPM）

C、实施供应链透明化审计

D、定期更换设备密码

【答案】C

【解析】正确答案是C。供应链透明化审计可以追踪设备从原材料到成品的整个生

命周期，及时发现异常。A选项只能检测已知漏洞，无法防止新型后门；B选项提供硬

件级保护，但无法阻止制造阶段的篡改；D选项属于运维措施，与制造阶段无关。知识

点：供应链安全的核心是可见性和可追溯性。易错点：过度依赖技术手段而忽视管理流

程。

3、物联网供应链攻击中，“硬件木马”的主要特征是什么？

A、通过网络传播的恶意软件

B、隐藏在硬件电路中的恶意功能

C、利用系统漏洞的攻击程序

D、窃取用户数据的间谍软件

【答案】B

【解析】正确答案是B。硬件木马是物理植入或设计阶段加入的恶意电路，可在特

定条件下触发。A选项描述的是传统恶意软件；C选项是漏洞利用工具；D选项是数据

2025年信息系统安全专家物联网供应链攻击防御专题试卷及解析2

窃取程序。知识点：硬件木马具有隐蔽性和持久性。易错点：容易将硬件木马与软件病

毒混淆。

4、在物联网设备供应链中，“零信任”架构的核心原则是？

A、默认信任内部网络

B、持续验证所有访问请求

C、仅验证外部连接

D、依赖单一认证机制

【答案】B

【解析】正确答案是B。零信任架构要求对任何访问请求都进行验证，无论来源。A

选项是传统安全模型的缺陷；C选项违背零信任原则；D选项零信任强调多因素认证。

知识点：零信任的本质是”从不信任，始终验证”。易错点：误以为零信任完全取代了传

统安全措施。

5、以下哪项技术最适合用于物联网设备的固件完整性验证？

A、数字签名

B、数据加密

C、访问控制列表

D、防火墙规则

【答案】A

【解析】正确答案是A。数字签名可以确保固件未被篡改且来源可信。B选项保护

数据机密性，而非完整性；C选项控制访问权限；D选项过滤网络流量。知识点：完整

性验证是供应链安全的关键环节。易错点：混淆加密与签名的用途。

6、物联网供应链攻击中，“侧信道攻击”主要针对什么？

A、网络协议漏洞

B、设备物理特性

C、用户操作习惯

D、软件代码缺陷

【答案】B

【解析】正确答案是B。侧信道攻击通过分析设备的功耗、电磁辐射等物理特性获

取信息。A选项是协议层攻击；C选项是社会工程学范畴；D选项是代码审计重点。知

识点：侧信道攻击绕过传统防护机制。易错点：忽视物理层面的安全威胁。

7、在物联网供应链中，“SBOM”（软件物料清单）的主要作用是？

A、记录硬件组件信息

B、追踪软件依赖关系

C、管理设备库存

D、监控网络流量

2025年信息系统安全专家物联网供应链攻击防御专题试卷及解析