2026上半年5月23日的軟考高項(xiàng)第一批次案例分析考試真題通過網(wǎng)友回憶已整理完成，本文是網(wǎng)友回憶的2026上半年5月23日軟考高項(xiàng)第一批次案例分析考試真題及答案（一）的內(nèi)容，真題PDF版本可在本文文首或文末本文資料處下載。

案例一：

【考生回憶版】

問題：

01（7分）

風(fēng)險(xiǎn)管理角度提出方案。

02（6分）

設(shè)計(jì)2個(gè)安全類度量的指標(biāo)，指標(biāo)定義、計(jì)算方式及用途。

03（4分）

應(yīng)對(duì)AI系統(tǒng)帶來的情景問題。

04（8分）

風(fēng)險(xiǎn)1：概率50%，成本40萬元：

風(fēng)險(xiǎn)2概率30%，成本60萬元;

風(fēng)險(xiǎn)3：概率20%，成本20萬元。

項(xiàng)目制定兩套應(yīng)對(duì)方案：

方案A：成本15萬元，將所有風(fēng)險(xiǎn)影響成本降低50%，概率不變：

方案B：成本0萬元，需額外支付20萬元應(yīng)急費(fèi)，發(fā)生概率為15%。

請(qǐng)計(jì)算：

（1）不采取任何應(yīng)對(duì)方案時(shí)，項(xiàng)目面臨的3個(gè)安全風(fēng)險(xiǎn)的總期望成本;

（2）方案A、方案B的EMV;

（3）判斷應(yīng)優(yōu)選哪套方案。

試題答案：

【問題1】結(jié)合案例中暴露的問題（風(fēng)險(xiǎn)識(shí)別不足、風(fēng)險(xiǎn)分析缺失、應(yīng)對(duì)策略被動(dòng)、監(jiān)控缺失），應(yīng)從以下方面改進(jìn)：

1.加強(qiáng)風(fēng)險(xiǎn)識(shí)別與全生命周期管理：項(xiàng)目經(jīng)理應(yīng)將風(fēng)險(xiǎn)管理視為持續(xù)過程，而非一次性活動(dòng)。應(yīng)在項(xiàng)目啟動(dòng)階段就組織專家、團(tuán)隊(duì)成員和干系人，系統(tǒng)識(shí)別與項(xiàng)目目標(biāo)相關(guān)的所有風(fēng)險(xiǎn)，而非僅在例會(huì)上口頭討論。案例中“數(shù)據(jù)脫敏不徹底”、“模型被攻擊”、“接口不穩(wěn)定”等風(fēng)險(xiǎn)應(yīng)在早期被識(shí)別并記錄到《風(fēng)險(xiǎn)登記冊(cè)》中。

2.實(shí)施定性與定量風(fēng)險(xiǎn)分析：對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行定性分析（評(píng)估概率和影響，如案例中的數(shù)據(jù)泄露、模型攻擊），確定優(yōu)先級(jí)。同時(shí)，應(yīng)對(duì)關(guān)鍵風(fēng)險(xiǎn)進(jìn)行定量分析（如決策樹分析、敏感性分析），量化風(fēng)險(xiǎn)對(duì)成本、進(jìn)度的影響，為制定應(yīng)對(duì)措施提供依據(jù)。案例中項(xiàng)目經(jīng)理將問題直接交給開發(fā)人員，沒有進(jìn)行優(yōu)先級(jí)排序和量化評(píng)估，導(dǎo)致低概率高風(fēng)險(xiǎn)事件被忽視。

3.制定并執(zhí)行主動(dòng)的風(fēng)險(xiǎn)應(yīng)對(duì)策略：不應(yīng)僅采取“事后補(bǔ)救”的被動(dòng)接受策略。應(yīng)針對(duì)高優(yōu)先級(jí)威脅制定主動(dòng)的、具體的應(yīng)對(duì)計(jì)劃，例如：

●數(shù)據(jù)泄露（應(yīng)對(duì)）： 采用減輕策略，在開發(fā)過程中引入自動(dòng)化數(shù)據(jù)脫敏工具、實(shí)施代碼安全審查、開展數(shù)據(jù)安全專項(xiàng)培訓(xùn)。

●模型攻擊（應(yīng)對(duì)）： 采用減輕策略，引入對(duì)抗性訓(xùn)練、模型魯棒性測(cè)試、模型加密與訪問控制等措施。

●接口不穩(wěn)定（應(yīng)對(duì)）： 采用轉(zhuǎn)移或減輕策略，與第三方簽訂服務(wù)水平協(xié)議（SLA） 并明確責(zé)任；或開發(fā)備用接口和熔斷機(jī)制。

4.建立持續(xù)的風(fēng)險(xiǎn)監(jiān)控與預(yù)警機(jī)制：應(yīng)在項(xiàng)目管理計(jì)劃中明確，將安全相關(guān)的風(fēng)險(xiǎn)納入日常監(jiān)控范圍。建立“周監(jiān)控+里程碑審查”的機(jī)制，跟蹤已識(shí)別風(fēng)險(xiǎn)的應(yīng)對(duì)措施執(zhí)行情況，并動(dòng)態(tài)識(shí)別新風(fēng)險(xiǎn)。案例中“未監(jiān)控與安全相關(guān)的度量指標(biāo)”是重大失誤，應(yīng)設(shè)置諸如“未脫敏數(shù)據(jù)被發(fā)現(xiàn)次數(shù)”、“模型安全測(cè)試通過率”等關(guān)鍵績(jī)效指標(biāo)（KPI） 進(jìn)行量化跟蹤。

評(píng)分要點(diǎn)（共7分）：

●答出“加強(qiáng)風(fēng)險(xiǎn)識(shí)別”（如從啟動(dòng)階段開始、使用識(shí)別工具、全員參與）等要點(diǎn)，得2分。

●答出“實(shí)施風(fēng)險(xiǎn)分析”（如定性/定量分析、確定優(yōu)先級(jí)、評(píng)估影響）等要點(diǎn)，得2分。

●答出“制定主動(dòng)應(yīng)對(duì)策略”（如針對(duì)各風(fēng)險(xiǎn)的減輕、轉(zhuǎn)移等具體措施）等要點(diǎn)，得2分。

●答出“建立監(jiān)控與預(yù)警機(jī)制”（如設(shè)置安全度量指標(biāo)、定期跟蹤）等要點(diǎn)，得1分。

【問題2】

指標(biāo)1：數(shù)據(jù)脫敏覆蓋率

●指標(biāo)定義：衡量項(xiàng)目中已進(jìn)行脫敏處理的數(shù)據(jù)字段占總需要脫敏字段的比例。

●計(jì)算方式：數(shù)據(jù)脫敏覆蓋率 = （已通過安全審查且脫敏合格的數(shù)據(jù)字段數(shù)量） / （項(xiàng)目識(shí)別出的所有需要脫敏的敏感數(shù)據(jù)字段總數(shù)） × 100%

●指標(biāo)用途：這是一個(gè)提前指標(biāo)，用于監(jiān)控?cái)?shù)據(jù)安全措施的執(zhí)行情況。如果覆蓋率穩(wěn)步提高至100%，則數(shù)據(jù)泄露風(fēng)險(xiǎn)顯著降低。若覆蓋率停滯或下降，則表示存在安全隱患，需要立即進(jìn)行審查。

指標(biāo) 2：AI模型抗攻擊脆弱性（或漏洞修復(fù)率）

●指標(biāo)定義： 在已知模型攻擊手段（如對(duì)抗樣本攻擊）測(cè)試下，模型表現(xiàn)出脆弱性或被攻擊成功的漏洞數(shù)量。

●計(jì)算方式： 可采用安全漏洞修復(fù)率來度量管理效果：

安全漏洞修復(fù)率 = 當(dāng)前迭代已修復(fù)的安全漏洞數(shù)量/當(dāng)前迭代發(fā)現(xiàn)的安全漏洞總數(shù) × 100%

●指標(biāo)用途： 評(píng)估AI模型自身的安全防御能力和研發(fā)團(tuán)隊(duì)對(duì)安全漏洞的響應(yīng)速度，確保AI系統(tǒng)在交付前具備足夠的魯棒性（健壯性）。

【問題3】

情景模糊性是指當(dāng)可能出現(xiàn)多個(gè)結(jié)果時(shí)出現(xiàn)的不確定性。針對(duì)AI系統(tǒng)帶來的情景模糊性（如AI模型在不同場(chǎng)景下的行為不可預(yù)測(cè)、攻擊手段變化多端），可以采取以下應(yīng)對(duì)方法：

1.漸進(jìn)明細(xì)：不追求一次性完美定義AI系統(tǒng)的所有行為邊界。采用迭代化開發(fā)方式，通過“構(gòu)建-測(cè)量-學(xué)習(xí)”的循環(huán)，逐步明確AI模型在特定數(shù)據(jù)分布、攻擊手法下的表現(xiàn)。每次迭代都基于前一次的反饋，細(xì)化需求和安全邊界。

2.實(shí)驗(yàn)：精心設(shè)計(jì)一系列對(duì)抗性測(cè)試和安全攻擊模擬實(shí)驗(yàn)。例如，系統(tǒng)地嘗試不同類型的投毒、逃逸攻擊，觀察模型的反應(yīng)。通過實(shí)驗(yàn)識(shí)別出因果關(guān)系（哪種攻擊手法會(huì)導(dǎo)致模型失效），從而減少對(duì)攻擊后果的不確定性。

3.原型法：在正式開發(fā)前，構(gòu)建最小可行產(chǎn)品（MVP）原型或安全沙箱，模擬真實(shí)攻擊場(chǎng)景。在原型中測(cè)試不同的安全防御策略（如輸入過濾、模型蒸餾），快速驗(yàn)證不同方案的效果，從而在投入大量資源開發(fā)前，選擇最能應(yīng)對(duì)情景模糊性的方案。

評(píng)分要點(diǎn)（共4分）：

●答出或解釋“漸進(jìn)明細(xì)”方法并能結(jié)合案例，得1.5分。

●答出或解釋“實(shí)驗(yàn)”方法并能結(jié)合案例，得1.5分。

●答出或解釋“原型法”方法并能結(jié)合案例，得1分。

【問題4】

（1） 不采取任何應(yīng)對(duì)方案時(shí)，項(xiàng)目面臨的3個(gè)安全風(fēng)險(xiǎn)的總期望成本：

單個(gè)風(fēng)險(xiǎn)的期望成本 = 風(fēng)險(xiǎn)概率 × 風(fēng)險(xiǎn)影響成本

●風(fēng)險(xiǎn)1（數(shù)據(jù)泄露）：50% × 40萬元 = 20萬元

●風(fēng)險(xiǎn)2（模型攻擊）：30% × 60萬元 = 18萬元

●風(fēng)險(xiǎn)3（接口中斷）：20% × 20萬元 = 4萬元

總期望成本 = 20 + 18 + 4 = 42萬元

（2） 方案A、方案B的EMV（預(yù)期貨幣價(jià)值）：

方案A（主動(dòng)減輕）：

●實(shí)施成本：15萬元

●風(fēng)險(xiǎn)影響降低50%后，各風(fēng)險(xiǎn)的期望成本變?yōu)樵瓉淼?0%： 

○風(fēng)險(xiǎn)1：20萬元 × 50% = 10萬元

○風(fēng)險(xiǎn)2：18萬元 × 50% = 9萬元

○風(fēng)險(xiǎn)3：4萬元 × 50% = 2萬元

●總風(fēng)險(xiǎn)期望成本：10 + 9 + 2 = 21萬元

●方案A的EMV = 實(shí)施成本 + 總風(fēng)險(xiǎn)期望成本 = 15 + 21 = 36萬元

方案B（被動(dòng)接受）：

●實(shí)施成本：0萬元

●三個(gè)風(fēng)險(xiǎn)單獨(dú)發(fā)生時(shí)的總期望成本：42萬元

●三個(gè)風(fēng)險(xiǎn)集中爆發(fā)的額外應(yīng)急費(fèi)期望 = 20萬元 × 15% = 3萬元

●方案B的EMV = 實(shí)施成本 + 基礎(chǔ)風(fēng)險(xiǎn)期望成本 + 集中爆發(fā)應(yīng)急費(fèi)期望 = 0 + 42 + 3 = 45萬元

（3） 應(yīng)優(yōu)選哪套方案：

●方案A的EMV為36萬元

●方案B的EMV為45萬元

●方案A的預(yù)期貨幣價(jià)值（成本更低）小于方案B。

結(jié)論：應(yīng)優(yōu)選方案A（主動(dòng)減輕）。