2025年信息系统安全专家威胁建模行业最佳实践案例专题试卷及解析.pdf

2025年信息系统安全专家威胁建模行业最佳实践案例专题试卷及解析1

2025年信息系统安全专家威胁建模行业最佳实践案例专题

试卷及解析

2025年信息系统安全专家威胁建模行业最佳实践案例专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁建模过程中，以下哪项是STRIDE模型中”欺骗”（Spoofing）威胁的典型

示例？

A、攻击者通过SQL注入获取数据库数据

B、攻击者伪造管理员身份登录系统

C、攻击者利用拒绝服务攻击使系统瘫痪

D、攻击者篡改传输中的敏感数据

【答案】B

【解析】正确答案是B。STRIDE模型中的欺骗威胁指攻击者冒充合法用户或系统

组件。B选项描述的伪造管理员身份是典型的欺骗攻击。A选项属于信息泄露，C选项

属于拒绝服务，D选项属于篡改。知识点：STRIDE威胁分类。易错点：容易将欺骗与

篡改混淆，前者关注身份伪造，后者关注数据完整性破坏。

2、在进行威胁建模时，以下哪个阶段最适合使用数据流图（DFD）？

A、威胁缓解措施评估阶段

B、系统架构设计阶段

C、威胁识别阶段

D、安全测试阶段

【答案】C

【解析】正确答案是C。数据流图是威胁识别阶段的核心工具，用于可视化系统组

件间的数据交互，帮助发现潜在威胁点。A、B、D阶段虽然可能涉及DFD，但不是其

主要应用场景。知识点：威胁建模流程。易错点：容易误认为DFD只在设计阶段使用，

实际上它在威胁识别阶段更为关键。

3、以下哪项是威胁建模中”攻击面分析”的主要目的？

A、评估系统性能瓶颈

B、识别所有可能的攻击入口点

C、优化数据库查询效率

D、设计用户界面交互流程

【答案】B

【解析】正确答案是B。攻击面分析专注于识别系统中可能被攻击者利用的入口点，

如API、网络接口等。A、C、D选项分别涉及性能优化、数据库优化和UI设计，与攻

2025年信息系统安全专家威胁建模行业最佳实践案例专题试卷及解析2

击面分析无关。知识点：攻击面分析。易错点：容易将攻击面分析与漏洞扫描混淆，前

者关注潜在入口点，后者关注已知漏洞。

4、在威胁建模中，以下哪项属于”拒绝服务”（DenialofService）威胁的缓解措施？

A、实施输入验证

B、使用HTTPS加密传输

C、部署速率限制机制

D、启用多因素认证

【答案】C

【解析】正确答案是C。速率限制是缓解拒绝服务攻击的有效措施，通过限制请求

频率防止资源耗尽。A选项缓解注入攻击，B选项缓解窃听，D选项缓解身份伪造。知

识点：威胁缓解措施。易错点：容易误认为加密可以缓解拒绝服务攻击，实际上加密主

要解决机密性问题。

5、以下哪项是威胁建模中”信任边界”（TrustBoundary）的核心特征？

A、系统性能指标

B、不同信任级别的区域分界

C、用户权限级别

D、网络拓扑结构

【答案】B

【解析】正确答案是B。信任边界是系统中不同信任级别区域的分界线，跨边界的

数据流需要特别关注。A、C、D选项虽然与系统安全相关，但不是信任边界的核心特

征。知识点：信任边界。易错点：容易将信任边界与权限管理混淆，前者关注区域划分，

后者关注访问控制。

6、在威胁建模中，以下哪项是”信息泄露”（InformationDisclosure）威胁的典型示

例？

A、攻击者删除关键日志文件

B、攻击者通过错误消息获取系统信息

C、攻击者修改用户权限

D、攻击者植入恶意软件

【答案】B

【解析】正确答案是B。信息泄露指敏感信息被非授权访问，错误消息泄露系统信

息是典型示例。A选项属于篡改，C选项属于权限提升，D选项属于恶意代码注入。知

识点：信息泄露威胁。易错点：容易将信息泄露与篡改混淆，前者关注机密性，后者关

注完整性。

7、以下哪项是威胁建模中”威胁优先级排序”的主要依据？

A、威胁发生的可能性

2025年信息系统安全专家威胁建模行