2025年信息系统安全专家PASTA等七步威胁建模流程专题试卷及解析.pdf

2025年信息系统安全专家PASTA等七步威胁建模流程专题试卷及解析1

2025年信息系统安全专家PASTA等七步威胁建模流程专

题试卷及解析

2025年信息系统安全专家PASTA等七步威胁建模流程专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、PASTA威胁建模流程的第一步是什么？

A、定义业务目标

B、识别技术范围

C、分解应用

D、分析威胁

【答案】A

【解析】正确答案是A。PASTA（ProcessforAttackSimulationandThreatAnalysis）

的第一步是定义业务目标和上下文，这是整个威胁建模的基础。B选项识别技术范围是

第二步，C选项分解应用是第三步，D选项分析威胁是第四步。知识点：PASTA七步

流程顺序。易错点：容易将第一步与第二步混淆，需要明确业务目标优先于技术范围。

2、在PASTA威胁建模中，“威胁分析”属于第几步？

A、第二步

B、第三步

C、第四步

D、第五步

【答案】C

【解析】正确答案是C。PASTA的第四步是威胁分析，包括识别威胁代理和攻击模

式。A选项第二步是定义技术范围，B选项第三步是分解应用，D选项第五步是漏洞和

弱点分析。知识点：PASTA各步骤的具体内容。易错点：威胁分析与漏洞分析容易混

淆，威胁分析在前，漏洞分析在后。

3、PASTA威胁建模流程中，“攻击向量分析”属于哪个阶段？

A、威胁分析

B、漏洞分析

C、攻击建模

D、风险分析

【答案】C

【解析】正确答案是C。攻击向量分析是PASTA第六步攻击建模的核心内容，用

于模拟攻击路径。A选项威胁分析是第四步，B选项漏洞分析是第五步，D选项风险分

析是第七步。知识点：PASTA各阶段的具体任务。易错点：攻击向量分析与威胁分析

容易混淆，前者更侧重具体攻击路径。

2025年信息系统安全专家PASTA等七步威胁建模流程专题试卷及解析2

4、PASTA威胁建模中，“风险分析”是第几步？

A、第五步

B、第六步

C、第七步

D、第八步

【答案】C

【解析】正确答案是C。PASTA的第七步是风险分析与管理，这是最后一步。A选

项第五步是漏洞分析，B选项第六步是攻击建模，D选项PASTA只有七步。知识点：

PASTA流程的完整性。易错点：容易忽略PASTA只有七步，误以为有第八步。

5、在PASTA威胁建模中，“技术范围定义”的主要目的是什么？

A、识别业务目标

B、确定系统边界和组件

C、分析威胁代理

D、评估风险

【答案】B

【解析】正确答案是B。技术范围定义旨在明确系统的边界、组件和技术栈。A选

项识别业务目标是第一步，C选项分析威胁代理是第四步，D选项评估风险是第七步。

知识点：PASTA第二步的具体目标。易错点：技术范围与业务目标容易混淆，技术范

围更偏向技术实现。

6、PASTA威胁建模中，“应用分解”通常使用什么方法？

A、STRIDE

B、DREAD

C、数据流图（DFD）

D、攻击树

【答案】C

【解析】正确答案是C。应用分解通常使用数据流图（DFD）来可视化系统组件和

数据流。A选项STRIDE是威胁分类方法，B选项DREAD是风险评估方法，D选项

攻击树用于攻击建模。知识点：PASTA第三步的工具。易错点：容易将应用分解与威

胁分析混淆，前者侧重系统结构。

7、PASTA威胁建模中，“漏洞分析”的主要依据是什么？

A、业务目标

B、威胁情报

C、已知漏洞数据库

D、攻击向量

【答案】C

2025年信息系统安全专家PASTA等七步威胁建模流程专题试卷及解析3

【解析】正确答案是C。漏洞分析主要依据已知漏洞数据库（如CV