2025年信息系统安全专家容器安全技能评估专题试卷及解析.pdfVIP

2025年信息系统安全专家容器安全技能评估专题试卷及解析1

2025年信息系统安全专家容器安全技能评估专题试卷及解

析

2025年信息系统安全专家容器安全技能评估专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器安全中，以下哪项技术是防止容器逃逸最有效的手段？

A、使用最小化基础镜像

B、启用只读根文件系统

C、限制容器的LinuxCapabilities

D、使用gVisor等用户态内核

【答案】D

【解析】正确答案是D。gVisor通过用户态内核隔离容器，能有效防止内核级漏洞

导致的容器逃逸。A选项减少攻击面但无法完全阻止逃逸，B选项防止文件篡改但不涉

及内核隔离，C选项限制特权操作但仍有逃逸风险。知识点：容器隔离技术。易错点：

误认为基础镜像优化能解决逃逸问题。

2、Docker默认的网络模式中，安全性最高的是？

A、bridge模式

B、host模式

C、none模式

D、overlay模式

【答案】C

【解析】正确答案是C。none模式完全禁用网络，需手动配置，安全性最高。A选

项有默认桥接风险，B选项直接共享主机网络最危险，D选项适用于集群但需额外安全

配置。知识点：容器网络模型。易错点：混淆overlay模式的安全性与适用场景。

3、以下哪个工具最适合检测容器镜像中的已知漏洞？

A、Falco

B、Trivy

C、Sysdig

D、KubernetesRBAC

【答案】B

【解析】正确答案是B。Trivy专门用于镜像漏洞扫描。A选项是运行时安全监控，

C选项是系统诊断工具，D选项是权限管理机制。知识点：容器安全工具链。易错点：

将运行时安全工具与静态扫描工具混淆。

4、在Kubernetes中，PodSecurityPolicy（PSP）的主要作用是？

A、管理网络访问控制

2025年信息系统安全专家容器安全技能评估专题试卷及解析2

B、限制Pod的运行时行为

C、实现服务发现

D、存储卷加密

【答案】B

【解析】正确答案是B。PSP用于控制Pod的安全上下文。A选项由NetworkPolicy

实现，C选项属于Service功能，D选项需CSI驱动支持。知识点：K8s安全策略。易

错点：将PSP与NetworkPolicy功能混淆。

5、容器运行时runc的典型安全风险是？

A、镜像层过多

B、配置文件泄露

C、符号链接攻击

D、CPU资源耗尽

【答案】C

【解析】正确答案是C。runc曾爆出CV符号链接漏洞。A选项影响效

率非安全，B选项属应用层问题，D选项是资源管理问题。知识点：容器运行时漏洞。

易错点：忽视底层运行时的特定漏洞类型。

6、以下哪项措施不能有效防止供应链攻击？

A、镜像签名验证

B、使用官方基础镜像

C、禁用latest标签

D、增加容器副本数

【答案】D

【解析】正确答案是D。副本数只影响可用性。A选项确保镜像完整性，B选项减

少恶意镜像风险，C选项避免版本不确定性。知识点：容器供应链安全。易错点：将高

可用措施误认为安全措施。

7、在容器环境中，seccomp的作用是？

A、限制系统调用

B、管理文件权限

C、控制网络流量

D、加密数据传输

【答案】A

【解析】正确答案是A。seccomp用于过滤系统调用。B选项由chmod实现，C选项

由iptables处理，D选项需TLS配置。知识点：Linux安全机制。易错点：混淆seccomp

与AppArmor的功能差异。

8、以下哪个是容器镜像扫描的最佳实践？

2025年信息系统安全专家容器安全技能评估专题试卷及解析