2025年信息系统安全专家容器安全策略实施与合规性检查专题试卷及解析.pdfVIP

2025年信息系统安全专家容器安全策略实施与合规性检查专题试卷及解析1

2025年信息系统安全专家容器安全策略实施与合规性检查

专题试卷及解析

2025年信息系统安全专家容器安全策略实施与合规性检查专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器安全策略实施中，以下哪项是容器镜像扫描的主要目的？

A、提高容器启动速度

B、检测镜像中的已知漏洞和恶意软件

C、优化容器资源分配

D、简化容器编排流程

【答案】B

【解析】正确答案是B。容器镜像扫描的核心目的是识别镜像中存在的已知漏洞

（CVE）、恶意软件和不当配置，从而降低安全风险。A选项与性能优化相关，C选项涉

及资源管理，D选项属于编排范畴，均非镜像扫描的主要目标。知识点：容器安全基础。

易错点：可能误选C，将安全与资源管理混淆。

2、根据CISDockerBenchmark，以下哪项配置最符合容器运行时安全最佳实践？

A、以root用户运行容器

B、禁用容器的特权模式

C、允许容器挂载宿主机敏感目录

D、关闭容器日志记录

【答案】B

【解析】正确答案是B。CIS基准明确建议禁用特权模式以防止容器获得宿主机权

限。A选项违反最小权限原则，C选项可能导致宿主机被入侵，D选项会削弱安全审计

能力。知识点：合规性标准。易错点：可能忽略特权模式的风险性。

3、在Kubernetes环境中，以下哪种资源最适合实现网络隔离策略？

A、Deployment

B、Service

C、NetworkPolicy

D、ConfigMap

【答案】C

【解析】正确答案是C。NetworkPolicy是Kubernetes原生提供的网络隔离机制，可

控制Pod间通信。A选项用于应用部署，B选项负责服务发现，D选项管理配置数据，

均不涉及网络策略。知识点：容器网络安全。易错点：可能误选B，混淆服务发现与安

全策略。

4、容器安全扫描工具Trivy的主要优势是？

2025年信息系统安全专家容器安全策略实施与合规性检查专题试卷及解析2

A、实时监控容器运行时行为

B、支持多种镜像格式和漏洞数据库

C、自动修复容器配置错误

D、提供容器性能分析

【答案】B

【解析】正确答案是B。Trivy以广泛支持镜像格式（如Docker、OCI）和集成多个

漏洞数据库（如NVD、GitHubAdvisories）著称。A选项属于运行时防护工具功能，C

选项需配合其他工具实现，D选项与性能监控相关。知识点：安全工具特性。易错点：

可能误选A，混淆扫描与监控功能。

5、以下哪项是容器签名验证的核心作用？

A、确保镜像来源可信

B、加速镜像拉取速度

C、减少镜像存储空间

D、简化镜像构建流程

【答案】A

【解析】正确答案是A。容器签名验证通过加密手段确认镜像未被篡改且来源可信。

B、C、D选项分别涉及性能、存储和构建效率，与安全无关。知识点：供应链安全。易

错点：可能忽略签名验证在供应链中的关键作用。

6、在容器合规性检查中，PCIDSS标准对容器环境的主要要求是？

A、禁止使用开源容器运行时

B、限制容器对支付卡数据的访问

C、强制使用特定云服务商

D、要求容器镜像大小不超过100MB

【答案】B

【解析】正确答案是B。PCIDSS核心是保护支付卡数据，因此需严格控制容器对

敏感数据的访问。A、C、D选项均非该标准要求。知识点：行业合规标准。易错点：可

能误选D，将安全要求与镜像大小混淆。

7、以下哪种技术最适合实现容器运行时威胁检测？

A、静态应用安全测试（SAST）

B、动态应用安全测试（DAST）

C、运行时安全监控（如Falco）

D、容器镜像签名

【答案】C

【解析】正确答案是C。运行时监控工具（如Falco）可实时检测异常行为。A、B

选项分别针对代码