原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
零信任安全架构师考试试卷
一、单项选择题(共10题,每题1分,共10分)
零信任安全架构的核心假设是以下哪项?
A.内部网络是绝对安全的信任区域
B.默认不信任任何内外部实体
C.外部网络是唯一的安全威胁来源
D.静态身份认证可长期有效
答案:B
解析:零信任的核心思想是“永不信任,始终验证”,默认假设所有访问请求(无论来自内部还是外部)都不可信,需通过持续验证确认安全状态(参考NISTSP800-207)。选项A是传统边界安全的假设;C错误,因内部威胁同样被重视;D错误,零信任强调动态验证而非静态身份。
零信任架构中“最小权限原则”的具体含义是?
A.禁止所有用户访问关键资源
B.仅授予完成任务所需的最低权限
C.为管理员分配最高级别的权限
D.根据用户入职时间动态调整权限
答案:B
解析:最小权限原则要求用户/设备仅获得完成当前任务所需的最小权限,以减少潜在攻击面(如访问数据库仅需查询权限而非写入)。A错误,因完全禁止不符合业务需求;C是传统权限模型;D未体现“最小”核心。
以下哪项不属于零信任架构的“持续验证”范围?
A.用户身份真实性
B.终端设备健康状态(如补丁安装情况)
C.网络带宽使用量
D.访问请求的上下文环境(如地理位置、时间)
答案:C
解析:持续验证需评估身份、设备状态、环境风险等动态因素(如NIST定义的“信任评估引擎”输入)。网络带宽属于性能指标,与安全信任无关,故C错误。
零信任架构中“微隔离”的主要目标是?
A.提升网络传输速度
B.将风险限制在最小化的资源范围内
C.替代传统防火墙
D.简化身份认证流程
答案:B
解析:微隔离通过细粒度的访问控制策略,将网络划分为更小的安全区域,防止横向攻击扩散(如数据中心内不同业务模块间的隔离)。A是性能优化目标;C错误,微隔离是补充而非替代;D与身份认证无关。
零信任架构中“统一身份管理(IAM)”的核心作用是?
A.存储所有用户密码
B.为每个资源分配唯一IP地址
C.提供跨系统的身份认证与授权一致性
D.监控网络流量日志
答案:C
解析:IAM通过集中管理用户身份、角色和权限,确保不同系统间身份认证的一致性(如OAuth2.0的统一认证)。A是密码管理系统功能;B是网络编址;D是日志系统功能。
以下哪项是零信任架构区别于传统边界安全的关键特征?
A.依赖防火墙构建物理边界
B.基于“内外部”划分信任等级
C.动态评估访问请求的风险
D.仅验证用户身份不验证设备
答案:C
解析:零信任通过实时收集上下文信息(如设备状态、位置、行为)动态评估风险,调整访问策略;传统安全依赖静态边界(A、B错误),且验证维度单一(D错误)。
零信任架构中“信任评估引擎”的输入不包括?
A.用户历史行为模式
B.终端设备的操作系统版本
C.网络流量的目的端口
D.应用系统的负载情况
答案:D
解析:信任评估需结合身份、设备、环境、行为等安全相关因素(如NISTSP800-207中的“属性收集”)。应用负载属于性能指标,与信任无关(D错误)。
以下哪种场景最符合零信任的“最小权限”实践?
A.财务人员默认获得所有数据库读写权限
B.开发人员仅在测试期间获得测试环境访问权
C.所有员工可访问公司内部所有文档
D.实习生获得与正式员工相同的系统权限
答案:B
解析:开发人员仅在必要时间(测试期间)获得必要资源(测试环境)的访问权,符合最小权限。A、C、D均授予了超出任务需求的权限。
零信任架构中“动态访问控制”的触发条件是?
A.用户提交访问请求时
B.每月固定时间自动调整
C.仅当用户密码修改时
D.仅当网络攻击发生后
答案:A
解析:动态访问控制在每次访问请求时触发,根据实时风险评估结果调整权限(如用户异地登录时限制敏感操作)。B、C、D均为静态或滞后调整,不符合“动态”要求。
以下哪项是零信任架构在云环境中的典型应用?
A.为云服务器分配固定公网IP
B.使用云厂商提供的虚拟私有云(VPC)隔离
C.对云服务间的东西向流量进行细粒度验证
D.仅通过VPN访问云资源
答案:C
解析:云环境中东西向流量(服务间通信)是主要攻击面,零信任通过微服务身份认证、服务网格(如Istio)对其进行细粒度验证。A、B、D均为传统边界安全手段。
二、多项选择题(共10题,每题2分,共20分)(每题至少2个正确选项)
零信任架构的核心原则包括以下哪些?
A.持续验证所有访问请求
B.基于静态角色分配固定权限
C.最小化资源访问权限
D.仅信任经过严格筛选的内部用户
答案:AC
解析:零信任三大核心原则为“持续验证”“最小权限”“动态访问控制”(NISTSP800-207)。B错误,因权限需动态调整
文档评论(0)