2025年信息系统安全专家数据库安全零信任架构实践专题试卷及解析.pdfVIP

2025年信息系统安全专家数据库安全零信任架构实践专题试卷及解析1

2025年信息系统安全专家数据库安全零信任架构实践专题

试卷及解析

2025年信息系统安全专家数据库安全零信任架构实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在零信任架构中，以下哪项原则最核心地体现了其与传统边界安全模型的根本

区别？

A、深度防御

B、最小权限

C、永不信任，始终验证

D、持续监控

【答案】C

【解析】正确答案是C。“永不信任，始终验证”（NeverTrust,AlwaysVerify）是零信

任架构的基石和核心原则，它颠覆了传统网络安全基于内网/外网边界的信任模型。A、

B、D都是零信任架构的重要组成部分或实践原则，但C选项最根本地定义了其理念。

知识点：零信任核心理念。易错点：容易将“最小权限”或“持续监控”误认为是最核心的

原则，因为它们是零信任非常关键的实践，但并非其最根本的哲学思想。

2、在实施数据库零信任访问控制时，以下哪种技术手段最能体现“持续验证”的原

则？

A、静态IP白名单

B、基于角色的访问控制（RBAC）

C、动态访问策略，结合用户行为分析（UEBA）和设备健康状态

D、复杂的密码策略

【答案】C

【解析】正确答案是C。持续验证要求在访问的整个生命周期内，动态地、实时地

评估信任度。C选项通过结合用户行为分析和设备状态，能够实时调整访问权限，完美

体现了这一原则。A选项是静态的，属于传统边界防御；B选项是授权模型，但本身不

包含动态验证；D选项是认证环节的一部分，但不是持续的。知识点：零信任动态访问

控制。易错点：可能会选择B，因为RBAC是权限管理的基础，但它缺乏动态性和实

时性，不符合“持续”的要求。

3、在零信任架构中，微隔离（Microsegmentation）技术对于数据库安全的主要价

值在于？

A、简化网络拓扑

B、将数据库服务器隔离在极小的安全域内，限制横向移动

C、提高数据库服务器的处理性能

2025年信息系统安全专家数据库安全零信任架构实践专题试卷及解析2

D、替代传统的防火墙设备

【答案】B

【解析】正确答案是B。微隔离的核心价值是将网络划分为极小的、独立的安全区

域，即使攻击者攻陷了某一区域（如Web服务器），也无法轻易地横向移动到数据库服

务器所在的区域。A和C不是其主要安全价值；D是错误的，微隔离是一种策略和技

术，通常与防火墙（尤其是下一代防火墙）协同工作，而非完全替代。知识点：零信任

网络隔离技术。易错点：容易将微隔离与传统的VLAN或子网划分混淆，不理解其在

阻止“东西向”流量（横向移动）上的关键作用。

4、数据库审计在零信任架构中的角色发生了怎样的转变？

A、不再被需要，因为所有访问都被严格验证

B、从事后追溯转变为事中预警和响应的关键数据源

C、仅用于合规性检查

D、主要功能是性能监控

【答案】B

【解析】正确答案是B。在零信任模型中，假设任何访问都可能是恶意的，因此需要

持续的监控和响应。数据库审计提供的详细日志和行为数据，成为实时检测异常行为、

触发动态策略调整（如阻断会话）的关键输入，而不仅仅是事后追责的工具。A是错误

的，审计依然重要；C是其传统角色之一，但不是全部；D与安全无关。知识点：零信

任安全监控与响应。易错点：认为零信任的严格准入控制使得审计变得次要，忽视了其

在“持续验证”和“持续监控”闭环中的核心作用。

5、以下哪项不属于零信任身份认证体系中常见的多因素认证（MFA）要素？

A、你知道的（如密码）

B、你拥有的（如手机令牌）

C、你是什么（如指纹）

D、你在哪（如IP地址）

【答案】D

【解析】正确答案是D。多因素认证通常分为三大类：知识因素（你知道的）、持有

因素（你拥有的）和生物特征因素（你是什么）。D选项“你在哪”（位置信息）通常被视

为上下文信息，用于风险评估和动态决策，而不是一个独立的认证要素。知识点：多因

素