原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年信息系统安全专家威胁建模框架选择与评估专题试卷及解析
2025年信息系统安全专家威胁建模框架选择与评估专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在威胁建模过程中,以下哪个框架最适合用于识别和分类软件系统中的潜在威胁?
A、STRIDE
B、DREAD
C、PASTA
D、OCTAVE
【答案】A
【解析】正确答案是A。STRIDE(Spoofing、Tampering、Repudiation、InformationDisclosure、DenialofService、ElevationofPrivilege)是微软提出的威胁分类框架,专门用于系统化识别软件系统中的威胁类型。B选项DREAD是风险评估模型,C选项PASTA是流程化威胁建模方法论,D选项OCTAVE侧重组织级风险评估。知识点:威胁分类框架。易错点:混淆威胁分类与风险评估模型。
2、以下哪种威胁建模方法采用攻击者视角进行分析?
A、CVSS
B、AttackTrees
C、Trike
D、VAST
【答案】B
【解析】正确答案是B。AttackTrees(攻击树)以攻击者目标为根节点,层层分解攻击路径,完全采用攻击者视角。A选项CVSS是漏洞评分系统,C选项Trike侧重需求分析,D选项VAST是可视化建模方法。知识点:威胁建模视角。易错点:将攻击树与漏洞评分系统混淆。
3、在敏捷开发环境中,最推荐的威胁建模方法是?
A、PASTA
B、MicrosoftSDL
C、AgileThreatModeling
D、OCTAVEAllegro
【答案】C
【解析】正确答案是C。敏捷威胁建模(AgileThreatModeling)专为迭代开发设计,支持轻量级、持续建模。A选项PASTA流程较重,B选项SDL是完整安全开发生命周期,D选项OCTAVEAllegro适合组织级评估。知识点:开发环境适配性。易错点:忽视敏捷开发的快速迭代特性。
4、以下哪个框架特别适合物联网(IoT)系统的威胁建模?
A、STRIDE
B、LINDDUN
C、PASTA
D、DREAD
【答案】B
【解析】正确答案是B。LINDDUN(Linkability、Identifiability、Nonrepudiation等)专为隐私和分布式系统设计,特别适合IoT场景。A选项STRIDE通用性强但缺乏隐私维度,C选项PASTA流程复杂,D选项DREAD是风险评估工具。知识点:领域特定框架。易错点:忽略IoT系统的隐私和分布式特性。
5、威胁建模中数据流图(DFD)的主要作用是?
A、量化风险
B、可视化系统交互
C、生成攻击代码
D、评估漏洞严重性
【答案】B
【解析】正确答案是B。DFD通过图形化方式展示数据流、处理过程和信任边界,是威胁建模的基础分析工具。A选项量化风险是DREAD的功能,C选项生成攻击代码属于渗透测试,D选项评估漏洞严重性是CVSS的功能。知识点:威胁建模工具。易错点:混淆DFD与风险评估工具。
6、以下哪个威胁建模框架强调以资产为中心的分析方法?
A、STRIDE
B、PASTA
C、Trike
D、VAST
【答案】C
【解析】正确答案是C。Trike框架采用以资产为中心的方法,先识别关键资产再分析威胁。A选项STRIDE以威胁类型为中心,B选项PASTA是流程化方法,D选项VAST强调可视化。知识点:建模方法论差异。易错点:混淆不同框架的分析起点。
7、在威胁建模评估阶段,最常用的风险量化模型是?
A、STRIDE
B、DREAD
C、AttackTrees
D、LINDDUN
【答案】B
【解析】正确答案是B。DREAD(Damage、Reproducibility等)通过五个维度量化风险,是经典的评估模型。A选项STRIDE是威胁分类,C选项AttackTrees是攻击路径分析,D选项LINDDUN是隐私威胁框架。知识点:风险量化方法。易错点:将威胁分类与风险评估混淆。
8、以下哪种情况最适合使用威胁建模即服务(TMaaS)?
A、小型初创公司
B、大型金融机构
C、开源项目
D、个人开发者
【答案】B
【解析】正确答案是B。TMaaS适合需要持续、专业威胁建模的大型组织。A选项初创公司预算有限,C选项开源项目依赖社区,D选项个人开发者通常使用轻量级工具。知识点:服务模式选择。易错点:忽视组织规模和需求匹配度。
9、在威胁建模中信任边界的定义是?
A、网络防火墙位置
B、不同安全域的交界处
C、用户权限等级
D、加密算法强度
【答案】B
【解析】正确答案是B。信任边界是系统组件间权限或控制权发生变化的交界处,是威胁分析的关键点。A选项防火墙是具体实现,C选项权限等级是边界内容,D选项加密强度是安全措施。
您可能关注的文档
- 2025年信息系统安全专家统一身份认证系统安全基线配置专题试卷及解析.docx
- 2025年信息系统安全专家椭圆曲线密码学应用专题试卷及解析.docx
- 2025年信息系统安全专家网络安全保险对钓鱼攻击的覆盖范围与条款解读专题试卷及解析.docx
- 2025年信息系统安全专家网络安全编程规范专题试卷及解析.docx
- 2025年信息系统安全专家网络安全等级保护(等保2.0)三级要求详解专题试卷及解析.docx
- 2025年信息系统安全专家网络安全法行业自律机制专题试卷及解析.docx
- 2025年信息系统安全专家网络安全法修订动态与趋势专题试卷及解析.docx
- 2025年信息系统安全专家网络安全法与数据安全法在取证中的应用专题试卷及解析.docx
- 2025年信息系统安全专家网络安全合规趋势与前沿技术专题试卷及解析.docx
- 2025年信息系统安全专家网络安全架构设计专题试卷及解析.docx
最近下载
- 化学检验员专业知识考试题(附答案).doc VIP
- 《稻草人》PPT优秀课件.pptx VIP
- 中南大学2023-2024学年《马克思主义基本原理概论》期末考试试卷(A卷)含参考答案.docx
- 2025年Q2医疗美容行业薪酬报告.pdf VIP
- 情绪觉察与表达课件.pptx VIP
- GDBD-2025-12 输变电工程环保水保监测与验收费用计列指导意见.pdf VIP
- 2026年日历表(每月一页、可编辑、可备注).docx VIP
- 专题24 期中复习之选词填空15篇(成都期中真题)(解析版)-2024-2025学年八年级英语上学期.docx VIP
- 化学检验员(四级)理论考试题及答案.doc VIP
- 梁祝-钢琴双手简谱.pdf VIP
文档评论(0)