2025年信息系统安全专家威胁建模与多因素认证结合专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁建模与多因素认证结合专题试卷及解析1

2025年信息系统安全专家威胁建模与多因素认证结合专题

试卷及解析

2025年信息系统安全专家威胁建模与多因素认证结合专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁建模过程中，以下哪项是STRIDE模型中“欺骗（Spoofing）”威胁的主要

目标？

A、数据的机密性

B、用户身份的合法性

C、系统的可用性

D、数据的完整性

【答案】B

【解析】正确答案是B。STRIDE模型中的欺骗（Spoofing）威胁主要针对身份验证

机制，攻击者通过伪造身份来冒充合法用户。A选项机密性属于信息泄露威胁，C选项

可用性属于拒绝服务威胁，D选项完整性属于篡改威胁。知识点：STRIDE威胁分类。

易错点：容易将欺骗与篡改混淆，前者关注身份伪造，后者关注数据修改。

2、在多因素认证（MFA）中，以下哪项属于“你所知”的认证因素？

A、指纹识别

B、USB安全密钥

C、密码

D、面部识别

【答案】C

【解析】正确答案是C。多因素认证的三类因素包括：所知（如密码）、所有（如USB

密钥）和所是（如生物特征）。A和D属于生物特征（所是），B属于物理令牌（所有）。

知识点：MFA认证因素分类。易错点：容易混淆生物特征和物理令牌的类别。

3、在威胁建模的DREAD模型中，以下哪项评估的是攻击的潜在损失？

A、DamagePotential

B、Reproducibility

C、Exploitability

D、AffectedUsers

【答案】A

【解析】正确答案是A。DREAD模型中，DamagePotential（潜在损失）评估攻

击成功后可能造成的损害程度。B选项Reproducibility评估攻击的可复现性，C选项

Exploitability评估攻击的难易程度，D选项AffectedUsers评估受影响用户数量。知识

2025年信息系统安全专家威胁建模与多因素认证结合专题试卷及解析2

点：DREAD风险评估模型。易错点：容易混淆DamagePotential和AffectedUsers的

概念。

4、以下哪项是实施多因素认证时最常见的部署障碍？

A、硬件成本过高

B、用户体验下降

C、法律合规要求

D、技术兼容性问题

【答案】B

【解析】正确答案是B。虽然A、C、D都是潜在障碍，但用户体验下降（如额外的

认证步骤）是最常见的部署阻力。知识点：MFA实施挑战。易错点：容易忽视用户体

验对安全部署的影响。

5、在威胁建模中，以下哪项属于“拒绝服务（DenialofService）”威胁的典型表现？

A、数据被篡改

B、系统资源耗尽

C、未授权访问

D、身份伪造

【答案】B

【解析】正确答案是B。拒绝服务威胁通过消耗系统资源（如CPU、内存）导致服务

不可用。A属于篡改威胁，C属于权限提升威胁，D属于欺骗威胁。知识点：STRIDE

威胁分类。易错点：容易将拒绝服务与权限提升混淆。

6、以下哪项多因素认证方式对钓鱼攻击的防护能力最强？

A、短信验证码

B、基于时间的一次性密码（TOTP）

C、硬件安全密钥（如YubiKey）

D、电子邮件验证码

【答案】C

【解析】正确答案是C。硬件安全密钥基于公钥加密且无法被网络钓鱼拦截，防护

能力最强。A、B、D都可能被中间人攻击或钓鱼攻击绕过。知识点：MFA抗钓鱼能力

比较。易错点：容易高估短信验证码的安全性。

7、在威胁建模的PASTA模型中，以下哪阶段专注于定义业务目标？

A、Stage1:DefineBusinessObjectives

B、Stage2:DefineTechnicalScope

C、Stage3:D