2025年信息系统安全专家系统开发生命周期安全审计专题试卷及解析.pdfVIP

2025年信息系统安全专家系统开发生命周期安全审计专题试卷及解析1

2025年信息系统安全专家系统开发生命周期安全审计专题

试卷及解析

2025年信息系统安全专家系统开发生命周期安全审计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在系统开发生命周期（SDLC）的哪个阶段，安全审计应重点关注安全需求的完

整性和可验证性？

A、需求分析阶段

B、设计阶段

C、实现阶段

D、维护阶段

【答案】A

【解析】正确答案是A。需求分析阶段是确定系统安全需求的起点，审计需确保所

有安全需求被明确、完整地定义且可验证。B选项设计阶段关注安全架构设计，C选项

实现阶段关注编码安全，D选项维护阶段关注运行安全，均不是需求完整性的核心阶

段。知识点：SDLC各阶段的安全审计重点。易错点：混淆需求分析与设计阶段的审计

目标。

2、在安全审计中，威胁建模通常在SDLC的哪个阶段进行？

A、编码阶段

B、测试阶段

C、设计阶段

D、部署阶段

【答案】C

【解析】正确答案是C。威胁建模是在设计阶段进行的，目的是识别潜在威胁并设

计相应的安全控制措施。A、B、D阶段分别关注编码、测试和部署，威胁建模应早于

这些阶段。知识点：威胁建模的时机。易错点：误认为威胁建模可在测试阶段进行。

3、以下哪项是安全审计中“静态应用安全测试（SAST）”的主要特点？

A、在运行时检测漏洞

B、分析源代码或字节码

C、模拟外部攻击

D、依赖网络流量分析

【答案】B

【解析】正确答案是B。SAST通过分析源代码或字节码检测漏洞，无需运行程序。

A是动态测试（DAST）的特点，C是渗透测试，D是网络审计。知识点：SAST与DAST

的区别。易错点：混淆SAST与DAST的检测方式。

2025年信息系统安全专家系统开发生命周期安全审计专题试卷及解析2

4、在安全审计中，“最小权限原则”主要应用于哪个阶段？

A、需求分析

B、系统设计

C、系统实现

D、系统部署

【答案】B

【解析】正确答案是B。最小权限原则是系统设计阶段的核心原则，用于定义用户

和组件的权限范围。A阶段定义需求，C阶段编码，D阶段运行，均不是原则应用的核

心阶段。知识点：安全设计原则的应用场景。易错点：误认为原则仅在部署阶段应用。

5、以下哪项是安全审计中“安全代码审查”的主要目标？

A、验证功能需求

B、检测性能瓶颈

C、识别编码漏洞

D、评估用户体验

【答案】C

【解析】正确答案是C。安全代码审查的核心目标是识别编码中的安全漏洞。A是

功能测试，B是性能测试，D是用户体验测试。知识点：代码审查的目标。易错点：混

淆安全审查与功能审查。

6、在安全审计中，“渗透测试”通常在SDLC的哪个阶段进行？

A、需求分析

B、设计

C、实现

D、测试

【答案】D

【解析】正确答案是D。渗透测试在测试阶段进行，模拟攻击验证系统安全性。A、

B、C阶段均不适用。知识点：渗透测试的时机。易错点：误认为渗透测试可在实现阶

段进行。

7、以下哪项是安全审计中“安全配置审查”的重点？

A、代码逻辑

B、系统配置文件

C、用户界面

D、数据库索引

【答案】B

【解析】正确答案是B。安全配置审查关注系统配置文件的安全性，如默认密码、权

限设置等。A是代码审查，C是UI测试，D是数据库优化。知识点：配置审查的范围。

2025年信息系统安全专家系统开发生命周期安全审计专题试卷及解析3

易错点：混淆配置审查与代码审查。

8、在安全审计中，“日志审计”的主要目的是？

A、优化系统性能

B、检测异常行为

C、提升用户体验

D、简化部署流程

【