原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年信息系统安全专家威胁建模中的数据分类与保护专题试卷及解析
2025年信息系统安全专家威胁建模中的数据分类与保护专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在威胁建模过程中,数据分类的首要目的是什么?
A、提高系统处理速度
B、降低存储成本
C、确定数据保护优先级
D、简化数据访问流程
【答案】C
【解析】正确答案是C。数据分类的核心目的是根据数据的重要性和敏感性确定保护优先级,从而合理分配安全资源。A、B、D选项虽然可能是数据分类的附带效益,但不是主要目的。知识点:数据分类基本原则。易错点:容易将次要效益误认为主要目的。
2、以下哪种数据分类标准最适用于跨国企业的全球合规需求?
A、ISO27001
B、GDPR
C、NISTSP80053
D、PCIDSS
【答案】B
【解析】正确答案是B。GDPR是欧盟的通用数据保护条例,对跨国企业的全球数据保护具有强制约束力。A、C、D虽然也是重要标准,但适用范围更特定。知识点:国际数据保护法规。易错点:容易混淆不同标准的适用范围。
3、在STRIDE威胁建模中,数据篡改属于哪类威胁?
A、欺骗
B、篡改
C、抵赖
D、信息泄露
【答案】B
【解析】正确答案是B。STRIDE模型中,篡改(Tampering)特指对数据的未经授权修改。A、C、D分别代表其他威胁类型。知识点:STRIDE威胁分类。易错点:容易混淆STRIDE各字母代表的威胁类型。
4、以下哪种加密方式最适合保护静态敏感数据?
A、TLS
B、AES256
C、SHA256
D、RSA
【答案】B
【解析】正确答案是B。AES256是对称加密算法,适合静态数据加密。A用于传输层加密,C是哈希算法,D通常用于密钥交换。知识点:加密算法应用场景。易错点:容易混淆不同加密算法的用途。
5、数据脱敏的主要目的是什么?
A、提高数据质量
B、保护敏感信息
C、加快查询速度
D、减少存储空间
【答案】B
【解析】正确答案是B。数据脱敏的核心目的是在不影响数据使用的前提下保护敏感信息。A、C、D不是脱敏的主要目标。知识点:数据脱敏技术。易错点:容易将技术手段误认为主要目的。
6、在威胁建模中,DREAD风险评估模型中的D代表什么?
A、损害潜力
B、可复现性
C、可利用性
D、受影响用户
【答案】A
【解析】正确答案是A。DREAD模型中D代表Damage(损害潜力)。B、C、D分别代表其他评估维度。知识点:DREAD风险评估模型。易错点:容易记混DREAD各字母含义。
7、以下哪种数据分类方法最适用于医疗行业?
A、公开/内部/机密
B、PHI/非PHI
C、PII/非PII
D、静态/动态
【答案】B
【解析】正确答案是B。PHI(受保护健康信息)是医疗行业特有的分类标准。A是通用分类,C更侧重个人身份信息,D是数据状态分类。知识点:行业特定数据分类。易错点:容易忽略行业特殊性。
8、在威胁建模中,攻击面是指什么?
A、系统漏洞总数
B、可能被攻击的入口点
C、已发生的安全事件
D、安全防护措施
【答案】B
【解析】正确答案是B。攻击面指系统中可能被攻击者利用的入口点集合。A、C、D都是相关但不同的概念。知识点:攻击面分析。易错点:容易将攻击面与漏洞数量混淆。
9、以下哪种技术最适合保护传输中的敏感数据?
A、数据库加密
B、文件加密
C、SSL/TLS
D、磁盘加密
【答案】C
【解析】正确答案是C。SSL/TLS专门用于保护传输中的数据。A、B、D都是静态数据保护技术。知识点:传输数据保护。易错点:容易混淆不同状态的数据保护技术。
10、数据分类后,最高级别数据的典型保护措施不包括?
A、强制访问控制
B、定期审计
C、完全公开访问
D、加密存储
【答案】C
【解析】正确答案是C。最高级别数据必须严格限制访问,完全公开访问是严重违规。A、B、D都是必要的保护措施。知识点:高级别数据保护。易错点:容易忽略访问控制的重要性。
第二部分:多项选择题(共10题,每题2分)
1、威胁建模中常用的数据分类维度包括?
A、敏感性级别
B、数据生命周期阶段
C、数据格式
D、数据所有者
E、存储位置
【答案】A、B、D、E
【解析】A、B、D、E都是常见分类维度。数据格式(C)通常不影响安全分类。知识点:数据分类维度。易错点:容易将技术特征误认为安全分类维度。
2、STRIDE威胁模型包含哪些威胁类型?
A、欺骗
B、篡改
C、抵赖
D、信息泄露
E、权限提升
【答案】A、B、C、D
【解析】STRIDE包含欺骗、篡改、抵赖、信息泄露、拒绝服务、权限提升。E不是标准STRIDE组成部分。知识点:STRIDE模型组成。易错点:容易遗漏或添加非标准威胁类型。
3、数据保护技术包括?
A、加密
B、脱敏
C、访问控
您可能关注的文档
- 2025年信息系统安全专家网络分段入侵检测部署专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与AI安全防护专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与SIEM系统集成专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与等保2.0三级要求专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与个人信息保护法专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与金融网络安全专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与渗透测试方法专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与数据安全法实施专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与网络安全法合规专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与应急响应演练专题试卷及解析.docx
- 安徽省合肥市望龙中学2024~2025学年九年级上学期化学期中模拟试题(解析版).pdf
- 安徽省淮北市2024-2025学年七年级上学期期末语文试题(解析版).pdf
- 第三单元 课题1 第2课时 分子可以分为原子.ppt.pptx
- 安徽省淮北市部分学校2024-2025学年九年级上学期1月期末数学试题(解析版).pdf
- 安徽省淮北市部分学校2024-2025学年八年级上学期期末语文试题(解析版).pdf
- 安徽省淮北市部分学校2024-2025学年九年级上学期1月期末物理试题(解析版).pdf
- 安徽省淮北市部分学校2024-2025学年七年级上学期期末生物试题(解析版).pdf
- 安徽省淮北市部分学校2024-2025学年九年级上学期11月期中历史试题(解析版).pdf
- 安徽省淮北市部分学校2024-2025学年九年级上学期期末语文试题(解析版).pdf
- 安徽省淮北市2024-2025学年上学期七年级期中考试数学试题卷(解析版).pdf
文档评论(0)