2025年云安全工程师考试题库（附答案和详细解析）（1105）.docxVIP

云安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

云安全的核心目标是保障云环境中数据与服务的（）。

A.机密性与完整性

B.可用性与合规性

C.机密性、完整性、可用性及合规性

D.仅数据加密

答案：C

解析：云安全需同时满足CIA三元组（机密性、完整性、可用性）及合规性要求。A、B选项仅覆盖部分目标，D选项“仅数据加密”过于片面，因此正确答案为C。

云环境中，IAM（身份与访问管理）的主要功能是（）。

A.网络流量监控

B.身份认证、权限管理与审计跟踪

C.漏洞扫描与修复

D.数据备份与恢复

答案：B

解析：IAM的核心是管理用户身份（认证）、分配权限（授权）及记录操作（审计）。A属于网络安全范畴，C属于漏洞管理，D属于数据保护，均非IAM功能，故B正确。

云存储服务中，SSE-S3（服务器端加密）的密钥管理方是（）。

A.用户自己

B.云服务商

C.第三方加密服务商

D.无需密钥

答案：B

解析：SSE-S3由云服务商（如AWS）自动管理加密密钥，用户无需干预；SSE-C则由用户自己管理密钥。因此正确答案为B。

云环境中，防御DDoS攻击的最佳实践是（）。

A.仅依赖本地防火墙

B.使用云服务商提供的DDoS防护服务（如AWSShield）

C.关闭所有外部访问接口

D.增加服务器数量

答案：B

解析：云服务商的DDoS防护服务（如AWSShield、阿里云DDoS高防）具备分布式清洗能力，比本地防火墙更高效。A片面，C影响业务可用性，D无法直接防御流量型攻击，故B正确。

云原生安全的关键技术不包括（）。

A.微隔离

B.服务网格

C.传统硬件防火墙

D.容器镜像安全扫描

答案：C

解析：云原生安全依赖软件定义的微隔离、服务网格（如Istio）和容器安全技术，传统硬件防火墙无法适配动态云环境。因此C为错误选项。

以下不属于云安全合规框架的是（）。

A.GDPR

B.ISO27017

C.PCIDSS

D.ITIL

答案：D

解析：ITIL是IT服务管理框架，非安全合规标准；GDPR（数据隐私）、ISO27017（云安全）、PCIDSS（支付安全）均为云安全合规框架，故D正确。

容器安全的主要风险不包括（）。

A.镜像漏洞

B.容器逃逸

C.物理服务器故障

D.资源竞争

答案：C

解析：容器安全风险集中在镜像（漏洞）、运行时（逃逸）、资源（竞争），物理服务器故障属于基础设施层问题，非容器特有风险，故C正确。

云监控的核心指标不包括（）。

A.CPU利用率

B.日志异常率

C.物理机温度

D.网络流量

答案：C

解析：云监控关注云资源（CPU、网络）和业务（日志）指标，物理机温度由云服务商维护，用户无需监控，故C正确。

零信任模型的核心原则是（）。

A.默认信任内部网络

B.持续验证访问请求

C.仅验证身份不验证设备

D.开放所有端口

答案：B

解析：零信任要求“永不信任，始终验证”，对每次访问请求进行身份、设备、环境等多维度验证。A、C、D均违背零信任原则，故B正确。

云审计的主要目的是（）。

A.提高服务器性能

B.记录操作行为以满足合规和溯源需求

C.替代入侵检测系统

D.减少数据存储成本

答案：B

解析：云审计（如AWSCloudTrail）通过记录API调用等操作日志，用于合规检查和安全事件溯源。A、C、D均非审计目的，故B正确。

二、多项选择题（共10题，每题2分，共20分）

以下属于云安全威胁的有（）。

A.数据泄露

B.DDoS攻击

C.供应链攻击

D.物理服务器被盗

答案：ABC

解析：云安全威胁包括数据泄露（如API配置错误）、DDoS（流量攻击）、供应链（如第三方镜像漏洞）。物理服务器安全由云服务商负责，属于传统IT威胁，故D错误。

云数据脱敏的常用方法包括（）。

A.静态脱敏（数据导出时变形）

B.动态脱敏（查询时实时变形）

C.格式保留脱敏（保持数据格式不变）

D.对称加密（可逆还原）

答案：ABC

解析：脱敏是不可逆的数据变形（如将变为“138****5678”），加密（D）是可逆的，不属于脱敏，故ABC正确。

云环境中，IAM的组成部分通常包括（）。

A.用户（User）

B.角色（Role）

C.策略（Policy）

D.交换机（Switch）

答案：ABC

解析：IAM通过用户、角色（临时权限）、策略（权限规则）实现访问控制。交换机属于网络设备，与IAM无关，故D错误。

云防火墙（CloudFirewall）的核心功能包括（）。

A.南北向流量过滤（公网与云资源间）

B.东西向流量过滤（云资源内部）