2025年云安全工程师考试题库（附答案和详细解析）（0921）.docxVIP

云安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪种云服务模型中，用户主要负责应用程序和数据的安全？

A.IaaS（基础设施即服务）

B.PaaS（平台即服务）

C.SaaS（软件即服务）

D.DaaS（桌面即服务）

答案：C

解析：SaaS模型中，云服务商提供完整的软件应用（如Office365），用户仅需管理自身数据和账户安全；IaaS用户需负责操作系统、网络和应用安全；PaaS用户需负责应用和数据安全，但平台层由服务商管理；DaaS属于桌面虚拟化服务，用户主要管理终端访问安全。因此正确答案为C。

云环境中，“横向渗透”主要指攻击者通过以下哪种方式扩大攻击范围？

A.从外部网络直接攻击云服务器

B.利用已攻陷的虚拟机攻击同一租户的其他虚拟机

C.通过钓鱼邮件获取管理员凭证

D.篡改云服务商的DNS记录

答案：B

解析：横向渗透是指攻击者在控制某一云资源（如虚拟机）后，利用同一租户网络内的信任关系（如内部IP通信）攻击其他资源；A是纵向攻击，C是社会工程攻击，D是DNS劫持，均不符合横向渗透定义。因此正确答案为B。

以下哪项不属于云安全中的“零信任”原则核心要求？

A.持续验证访问请求的合法性

B.默认拒绝所有未经验证的连接

C.仅基于IP地址授予访问权限

D.最小化资源访问权限

答案：C

解析：零信任原则强调“从不信任，始终验证”，核心包括持续验证、默认拒绝、最小权限等；仅基于IP地址授权是传统边界安全的做法，不符合零信任动态评估的要求。因此正确答案为C。

云数据库加密的“数据静态加密”通常在哪个环节实施？

A.数据在网络传输过程中

B.数据存储在磁盘或数据库时

C.数据被用户查询返回时

D.数据备份到磁带时

答案：B

解析：数据静态加密（AtRestEncryption）针对存储状态的数据（如数据库文件、磁盘文件）；传输加密（AtTransit）针对网络传输中的数据；查询返回属于数据使用阶段，可能涉及应用层加密。因此正确答案为B。

云安全合规中，“等保2.0”要求的“云计算安全扩展要求”不包括以下哪项？

A.云服务商的安全责任划分

B.云租户的隔离性要求

C.虚拟机镜像的安全检测

D.用户数据的跨境流动限制

答案：D

解析：等保2.0的云计算扩展要求包括责任划分、租户隔离、镜像安全等；数据跨境流动属于《数据安全法》《个人信息保护法》的规范范畴，不属于等保2.0的核心扩展要求。因此正确答案为D。

云环境下，“服务网格（ServiceMesh）”的主要安全功能是？

A.实现虚拟机的弹性扩缩容

B.管理微服务间的网络流量和认证

C.检测云服务器的漏洞

D.加密用户与云服务的通信链路

答案：B

解析：ServiceMesh通过独立的代理（Sidecar）管理微服务间的流量路由、身份认证（如mTLS）、访问控制和监控，是云原生架构（如K8s）的核心安全组件；A是自动扩展功能，C是漏洞扫描工具，D是TLS协议的作用。因此正确答案为B。

以下哪种云安全威胁属于“API滥用”？

A.攻击者通过暴力破解获取API密钥

B.合法用户超出权限调用API读取敏感数据

C.云服务商的API接口存在SQL注入漏洞

D.DDoS攻击导致API服务不可用

答案：B

解析：API滥用指合法用户或被劫持的凭证超出授权范围使用API（如越权查询）；A是身份窃取，C是API漏洞，D是可用性攻击，均不属于滥用范畴。因此正确答案为B。

云存储服务中，“多租户隔离”的核心技术不包括？

A.虚拟网络隔离（VPC）

B.存储桶（Bucket）权限控制

C.物理服务器独占

D.数据加密与密钥隔离

答案：C

解析：云存储通过逻辑隔离（VPC、Bucket权限）和加密（密钥隔离）实现多租户安全，物理服务器独占属于专有云或托管云模式，并非公有云多租户隔离的核心技术。因此正确答案为C。

云安全审计的“不可抵赖性”主要通过以下哪种技术实现？

A.日志完整性校验（如哈希链）

B.日志实时监控告警

C.日志分级存储

D.日志脱敏处理

答案：A

解析：不可抵赖性要求确保日志未被篡改且可追溯操作主体，哈希链（每一条日志包含前一条的哈希值）可验证日志完整性；B是实时响应，C是存储策略，D是隐私保护，均不直接实现不可抵赖。因此正确答案为A。

以下哪项是云环境下“数据残留”的典型场景？

A.云硬盘删除后，通过数据恢复工具仍可读取原数据

B.数据库备份文件被误下载到本地

C.用户删除云存储对象后，CDN节点仍缓存该文件

D.云服务器重启后内存中残留敏感数据

答案：A

解析：数据残留指存储介质（如硬盘）在删除或格式化后，数据未被彻底清除，仍可通过技术手段恢复；B是备份泄露，C是缓存未