2025年信息系统安全专家容器安全课程设计专题试卷及解析.pdfVIP

2025年信息系统安全专家容器安全课程设计专题试卷及解析1

2025年信息系统安全专家容器安全课程设计专题试卷及解

析

2025年信息系统安全专家容器安全课程设计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器安全中，以下哪项技术是防止容器逃逸最有效的手段？

A、使用最小化基础镜像

B、启用只读根文件系统

C、配置容器运行时安全策略（如seccomp、AppArmor）

D、定期更新容器镜像

【答案】C

【解析】正确答案是C。容器运行时安全策略（如seccomp、AppArmor）通过限制

容器进程的系统调用和权限，直接降低了容器逃逸的风险。A选项虽然能减少攻击面，

但不能直接防止逃逸；B选项可以防止恶意修改文件系统，但不是最主要的逃逸防护手

段；D选项是基础安全措施，但与逃逸防护无直接关系。知识点：容器运行时安全。易

错点：容易混淆基础镜像优化与运行时安全的作用。

2、DockerSwarm与Kubernetes在容器编排安全方面的主要区别是什么？

A、DockerSwarm默认启用RBAC

B、Kubernetes提供更细粒度的网络策略

C、DockerSwarm支持镜像签名验证

D、Kubernetes不支持密钥管理

【答案】B

【解析】正确答案是B。Kubernetes的网络策略（NetworkPolicy）可以实现Pod级

别的流量控制，而DockerSwarm的网络策略较为粗粒度。A选项错误，DockerSwarm

的RBAC功能较弱；C选项错误，两者都支持镜像签名；D选项错误，Kubernetes有

完善的Secret管理机制。知识点：容器编排安全对比。易错点：容易忽略网络策略的粒

度差异。

3、容器镜像扫描的主要目的是什么？

A、优化镜像大小

B、检测已知漏洞

C、加速镜像构建

D、验证镜像签名

【答案】B

【解析】正确答案是B。容器镜像扫描的核心功能是识别镜像中包含的已知漏洞

（CVE）。A、C属于镜像优化范畴；D是镜像完整性验证，与扫描无关。知识点：镜像

2025年信息系统安全专家容器安全课程设计专题试卷及解析2

安全扫描。易错点：容易将镜像扫描与镜像优化混淆。

4、以下哪项不是容器安全中的”零信任”原则？

A、默认拒绝所有网络流量

B、所有镜像必须经过签名验证

C、容器默认以root权限运行

D、强制执行最小权限原则

【答案】C

【解析】正确答案是C。零信任原则要求最小权限，而root权限是最大权限，违反

该原则。A、B、D都是零信任的典型实践。知识点：零信任安全模型。易错点：容易

忽略权限管理在零信任中的重要性。

5、Kubernetes中的PodSecurityPolicy（PSP）主要用于什么？

A、限制Pod的资源使用

B、定义Pod的安全约束

C、管理Pod的网络访问

D、监控Pod的运行状态

【答案】B

【解析】正确答案是B。PSP用于定义Pod的安全约束（如运行用户、权限等）。A

是资源配额功能；C是网络策略功能；D是监控功能。知识点：Kubernetes安全策略。

易错点：容易混淆PSP与资源配额的作用。

6、容器运行时（如containerd）与容器引擎（如Docker）的关系是？

A、两者功能完全相同

B、运行时是引擎的底层组件

C、引擎是运行时的上层封装

D、两者相互独立

【答案】B

【解析】正确答案是B。容器运行时（如containerd）负责实际运行容器，而容器引

擎（如Docker）在其之上提供用户友好的接口。A、D明显错误；C描述反了。知识点：

容器架构。易错点：容易混淆运行时与引擎的层级关系。

7、以下哪项措施不能有效防止容器供应链攻击？

A、使用镜像仓库访问控制

B、实施镜像签名验证