2025年信息系统安全专家供应链安全风险管理策略专题试卷及解析.pdfVIP

2025年信息系统安全专家供应链安全风险管理策略专题试卷及解析1

2025年信息系统安全专家供应链安全风险管理策略专题试

卷及解析

2025年信息系统安全专家供应链安全风险管理策略专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在供应链安全风险管理中，以下哪项措施最能有效防范供应商提供的软件组件

中存在恶意后门？

A、要求供应商提供详细的代码注释

B、实施软件成分分析（SCA）工具扫描

C、仅选择价格最低的供应商

D、定期更换供应商

【答案】B

【解析】正确答案是B。软件成分分析（SCA）工具能够自动识别第三方组件中的

已知漏洞和恶意代码，是防范恶意后门的关键技术手段。A选项代码注释无法保证代码

安全性；C选项价格最低与安全无直接关联；D选项频繁更换供应商反而可能增加风险

暴露面。知识点：第三方组件安全检测技术。易错点：混淆代码审查与自动化扫描的作

用范围。

2、根据NISTSP800161标准，供应链安全风险评估应优先考虑哪个维度的信息？

A、供应商的市场占有率

B、组件的交付周期

C、关键资产的依赖关系

D、供应商的员工福利政策

【答案】C

【解析】正确答案是C。NIST标准强调基于关键资产依赖关系进行风险评估，这是

供应链安全的核心逻辑。A、B选项属于商业因素，D选项与安全无直接关联。知识点：

NIST供应链安全框架。易错点：容易将商业指标与安全指标混为一谈。

3、在硬件供应链安全中，以下哪种攻击形式最难以通过常规检测发现？

A、固件篡改

B、包装破损

C、运输延迟

D、发票错误

【答案】A

【解析】正确答案是A。固件篡改属于深层次硬件攻击，需要专门的硬件安全模块

（HSM）或可信启动技术才能检测。B、C、D选项属于物理或管理问题，较易发现。知

识点：硬件供应链攻击类型。易错点：忽视固件层攻击的隐蔽性。

2025年信息系统安全专家供应链安全风险管理策略专题试卷及解析2

4、当发现供应商发生重大安全事件时，企业应首先采取的行动是？

A、立即终止合同

B、启动应急响应预案

C、要求供应商赔偿

D、公开披露事件

【答案】B

【解析】正确答案是B。应急响应预案是标准化处置流程，能最大限度控制损失。A

选项过于激进，C选项属于事后处理，D选项需在评估后进行。知识点：供应链安全事

件响应流程。易错点：混淆处置优先级。

5、软件物料清单（SBOM）在供应链安全中的主要作用是？

A、降低软件采购成本

B、提高开发效率

C、实现组件透明化管理

D、简化部署流程

【答案】C

【解析】正确答案是C。SBOM通过记录所有组件信息实现透明化，是供应链安全

的基础。A、B、D选项属于商业或效率范畴。知识点：SBOM标准与应用。易错点：将

安全价值与商业价值混淆。

6、在云服务供应链安全中，以下哪项属于共享责任模型中客户的责任？

A、物理服务器安全

B、虚拟化层安全

C、数据分类与加密

D、网络带宽保障

【答案】C

【解析】正确答案是C。根据云安全共享责任模型，客户负责数据安全。A、B、D

选项属于云服务商责任。知识点：云安全责任划分。易错点：混淆云服务商与客户的责

任边界。

7、供应链安全审计的最佳频率是？

A、仅在项目启动时

B、每年固定一次

C、基于风险动态调整

D、仅在发生事件后

【答案】C

【解析】正确答案是C。基于风险动态调整符合现代安全理念，能适应变化的环境。

A、B选项过于机械，D选项属于被动响应。知识点：持续审计方法论。易错点：忽视

2025年信息系统安全专家供应链安全风险管理策略专题试卷及解析3

风险的动态性。

8、以下哪项技术对防范供应链中的中间人攻击最有效？

A、数