2025年信息系统安全专家供应链安全威胁情报洞察专题试卷及解析.pdfVIP

2025年信息系统安全专家供应链安全威胁情报洞察专题试卷及解析1

2025年信息系统安全专家供应链安全威胁情报洞察专题试

卷及解析

2025年信息系统安全专家供应链安全威胁情报洞察专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在供应链安全威胁情报中，“软件物料清单（SBOM）”的主要作用是什么？

A、记录软件开发人员的资质信息

B、详细列出软件组件及其依赖关系

C、监控软件运行时的性能指标

D、评估软件的市场价值

【答案】B

【解析】正确答案是B。SBOM是软件供应链安全的核心工具，用于记录软件包含

的所有组件、版本和依赖关系，帮助识别潜在漏洞。A选项关注的是人员资质而非组件

信息；C选项属于运行时监控范畴；D选项与安全无关。知识点：软件供应链透明化管

理。易错点：容易将SBOM与软件配置管理（SCM）混淆。

2、以下哪种威胁情报来源最可能提供关于第三方供应商漏洞的早期预警？

A、公开漏洞数据库（如CVE）

B、暗网监控平台

C、供应商安全公告

D、内部渗透测试报告

【答案】B

【解析】正确答案是B。暗网监控能捕获攻击者讨论的未公开漏洞信息，比CVE等

公开渠道更早预警。C选项依赖供应商主动披露，可能延迟；A选项通常在漏洞被利用

后才更新；D选项仅覆盖自身系统。知识点：威胁情报时效性分析。易错点：忽视暗网

情报的预警价值。

3、在供应链攻击中，“依赖混淆”攻击主要利用了什么漏洞？

A、未加密的通信协议

B、弱密码策略

C、内部包名与公共包名冲突

D、过时的加密算法

【答案】C

【解析】正确答案是C。依赖混淆攻击通过上传同名恶意包到公共仓库，欺骗构建

系统下载恶意依赖。A、B、D选项属于其他类型漏洞。知识点：软件包管理安全机制。

易错点：难以区分依赖混淆与依赖劫持攻击。

4、以下哪项是NISTSP800161框架中供应链风险管理的核心原则？

2025年信息系统安全专家供应链安全威胁情报洞察专题试卷及解析2

A、完全依赖供应商安全认证

B、仅关注关键基础设施供应商

C、全生命周期风险管理

D、优先采用国产化替代方案

【答案】C

【解析】正确答案是C。NIST框架强调从采购到废弃的全生命周期风险管理。A选

项过度依赖外部认证；B选项忽略非关键供应商风险；D选项属于地缘政治策略。知识

点：国际供应链安全标准。易错点：将框架原则与国家政策混淆。

5、在威胁情报分析中，“杀伤链”模型最适用于描述哪种供应链攻击？

A、数据泄露事件

B、多阶段供应链渗透

C、内部人员威胁

D、DDoS攻击

【答案】B

【解析】正确答案是B。杀伤链模型适合分析复杂的多阶段攻击路径，如SolarWinds

事件。A选项更适用于钻石模型；C选项需结合内部威胁框架；D选项属于持续性威

胁。知识点：攻击建模方法论。易错点：误用模型分析不匹配的攻击类型。

6、以下哪种技术最能有效防止供应链中的代码篡改？

A、静态代码分析

B、代码签名验证

C、入侵检测系统

D、网络流量分析

【答案】B

【解析】正确答案是B。代码签名通过加密验证代码完整性，防止篡改。A选项只

能发现漏洞而非篡改；C、D选项属于运行时检测。知识点：代码完整性保护机制。易

错点：混淆静态分析与签名验证的作用。

7、在供应链威胁情报共享中，STIX/TAXII标准的主要优势是什么？

A、自动化情报交换

B、加密通信传输

C、降低情报存储成本

D、简化情报分析流程

【答案】A

【解析】正确答案是A。STIX/TAXII实现结构化情报的自动化交换。B选项由TLS

协议保障；C选项取决于存储方案；D选项需要分析工具支持。知识点：威胁情报标准

化协议。易错点：忽视标准对自动化的核心价值。

2025年信息系统安全专家供应链安全威胁情报洞察专题