2025年信息系统安全专家零信任架构访问控制基线配置专题试卷及解析.pdfVIP

2025年信息系统安全专家零信任架构访问控制基线配置专题试卷及解析1

2025年信息系统安全专家零信任架构访问控制基线配置专

题试卷及解析

2025年信息系统安全专家零信任架构访问控制基线配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在零信任架构中，以下哪项是访问控制决策的核心原则？

A、基于网络位置的信任

B、持续验证和最小权限

C、默认允许所有内部流量

D、一次性认证后永久授权

【答案】B

【解析】正确答案是B。零信任架构的核心原则是”从不信任，始终验证”，强调持续

验证和最小权限原则。A选项是传统边界安全模型的特点，C选项违背了零信任的基本

理念，D选项与零信任的动态授权机制相悖。知识点：零信任基本原则。易错点：容易

将传统边界安全模型与零信任混淆。

2、在零信任访问控制中，以下哪个组件负责实时评估访问请求的风险？

A、身份提供者(IdP)

B、策略引擎(PolicyEngine)

C、安全信息事件管理(SIEM)

D、防火墙

【答案】B

【解析】正确答案是B。策略引擎是零信任架构中的核心组件，负责根据实时上下

文信息评估访问请求风险并做出决策。A选项主要负责身份认证，C选项主要用于日志

分析，D选项是传统网络安全设备。知识点：零信任架构组件。易错点：容易混淆策略

引擎与身份提供者的功能。

3、以下哪项不属于零信任访问控制基线配置的必要要素？

A、多因素认证(MFA)

B、设备健康检查

C、网络分段

D、基于时间的访问控制

【答案】C

【解析】正确答案是C。网络分段虽然重要，但不是零信任访问控制基线配置的必

要要素，它是可选的增强措施。A、B、D都是零信任基线配置的核心要素。知识点：零

信任基线配置要素。易错点：容易将所有安全措施都视为必要要素。

4、在零信任架构中，以下哪种身份验证方式最安全？

2025年信息系统安全专家零信任架构访问控制基线配置专题试卷及解析2

A、用户名密码

B、单因素短信验证

C、硬件令牌+生物识别

D、基于证书的认证

【答案】C

【解析】正确答案是C。硬件令牌+生物识别提供了最强的多因素认证，结合了”你

拥有的”和”你是谁”两个因素。A选项最弱，B选项存在短信劫持风险，D选项虽然安

全但不如C选项全面。知识点：身份认证方式安全性。易错点：容易忽视多因素认证

的组合安全性。

5、零信任架构中，以下哪项不是设备信任评估的关键指标？

A、操作系统版本

B、磁盘空间大小

C、安全补丁级别

D、防病毒软件状态

【答案】B

【解析】正确答案是B。磁盘空间大小与设备安全无关，不是信任评估指标。A、C、

D都是评估设备安全状态的重要指标。知识点：设备信任评估指标。易错点：容易将所

有设备属性都视为安全相关指标。

6、在零信任访问控制中，以下哪种策略最适合处理高风险访问请求？

A、自动允许

B、要求额外验证

C、完全拒绝

D、记录日志但允许

【答案】B

【解析】正确答案是B。对于高风险请求，零信任架构通常采用自适应认证，要求额

外验证。A选项违背安全原则，C选项过于严格，D选项缺乏风险应对措施。知识点：

风险响应策略。易错点：容易忽视风险分级处理的重要性。

7、以下哪项不是零信任架构中策略执行点(PEP)的功能？

A、执行访问控制决策

B、收集上下文信息

C、记录访问日志

D、生成访问策略

【答案】D

【解析】正确答案是D。策略执行点负责执行策略而非生成策略，策略生成是策略

引擎的功能。A、B、C都是PEP的典型功能。知识点：零信任组件功能划分。易错点：

2025年信息系统安全专家零信任架构访问控制基线配置专题试卷及解析3

容易混淆策略执行点与策略引擎的职责。

8、在