2025年信息系统安全专家NIST框架在容器与Kubernetes安全中的应用专题试卷及解析.pdfVIP

2025年信息系统安全专家NIST框架在容器与KUBERNETES安全中的应用专题试卷及解析1

2025年信息系统安全专家NIST框架在容器与

Kubernetes安全中的应用专题试卷及解析

2025年信息系统安全专家NIST框架在容器与Kubernetes安全中的应用专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、在NIST网络安全框架（CSF）中，哪个功能类别最直接对应Kubernetes集群

中的网络策略配置？

A、识别（Identify）

B、保护（Protect）

C、检测（Detect）

D、恢复（Recover）

【答案】B

【解析】正确答案是B。NISTCSF的”保护”功能包括访问控制、数据安全和网络安

全等子类别，Kubernetes网络策略（NetworkPolicy）正是实现微服务间访问控制的关

键保护措施。A选项”识别”侧重于资产和风险评估，C选项”检测”关注威胁发现，D选

项”恢复”涉及应急响应，均与网络策略的主动防护特性不符。知识点：NISTCSF五大

功能与Kubernetes安全控制的映射关系。易错点：容易将网络策略误判为”检测”功能，

需注意策略是预防性而非响应性控制。

2、当使用NISTSP800190《容器安全指南》时，以下哪项是容器镜像扫描的核心

目标？

A、优化镜像大小

B、发现已知漏洞

C、加速镜像构建

D、简化镜像分发

【答案】B

【解析】正确答案是B。NISTSP800190明确要求将漏洞扫描作为容器生命周期管

理的关键环节，主要目的是识别镜像中的CVE漏洞。A、C、D选项属于镜像优化范畴，

虽然重要但非安全扫描的核心目标。知识点：容器镜像安全扫描的NIST标准要求。易

错点：容易混淆安全扫描与性能优化目标，需注意NIST指南的安全优先原则。

3、在Kubernetes中实现NISTCSF”检测”功能时，最合适的工具是？

A、Pod安全策略（PSP）

B、RBAC权限控制

C、Falco运行时监控

D、镜像签名验证

2025年信息系统安全专家NIST框架在容器与KUBERNETES安全中的应用专题试卷及解析2

【答案】C

【解析】正确答案是C。Falco作为Kubernetes原生运行时安全工具，通过监控系

统调用实现异常行为检测，完全符合NISTCSF”检测”功能要求。A、B、D选项均属于”

保护”功能范畴。知识点：NISTCSF功能与Kubernetes安全工具的对应关系。易错点：

容易将所有安全控制都归类为”保护”功能，需区分预防性控制和检测性控制。

4、根据NIST框架，容器环境中最关键的”识别”活动是？

A、定期更新基础镜像

B、建立容器资产清单

C、实施最小权限原则

D、配置日志聚合系统

【答案】B

【解析】正确答案是B。NISTCSF的”识别”功能首要任务是建立资产管理，在容器

环境中体现为维护完整的镜像、容器和Pod清单。A、C选项属于”保护”功能，D选项

属于”检测”功能。知识点：NISTCSF五大功能的定义与实施重点。易错点：容易忽视

资产识别在容器动态环境中的重要性。

5、NISTSP800204《安全容器编排应用部署策略》建议采用哪种方式实现供应链

安全？

A、禁用第三方镜像

B、实施镜像签名验证

C、仅使用官方基础镜像

D、定期重建镜像

【答案】B

【解析】正确答案是B。NISTSP800204明确推荐使用镜像签名（如Notary）来验

证镜像完整性，这是供应链安全的核心机制。A选项过于极端，C选项不能完全保证安

全，D选项属于缓解措施而非根本解决方案。知识点：容器供应链安全的NIST标准要

求。易错点：容易混淆安全策略与操作实践，需注意NIST推荐的技术控制措施。

6、在Kubernetes中实现NIST”响应”功能时，以下哪项最符合要求？

A、配置资源限制

B、设置镜像扫描策略

C、使用OPAGatekeeper策略

D、自动隔离异常Pod

【答案】D

【解析】正确答案