2025年信息系统安全专家自动化PKI管理专题试卷及解析.pdfVIP

2025年信息系统安全专家自动化PKI管理专题试卷及解析1

2025年信息系统安全专家自动化PKI管理专题试卷及解

析

2025年信息系统安全专家自动化PKI管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在自动化PKI管理中，以下哪个协议主要用于证书颁发机构（CA）与注册机

构（RA）之间的通信？

A、SCEP

B、EST

C、CMP

D、OCSP

【答案】C

【解析】正确答案是C。CMP（CertificateManagementProtocol）是专门为CA和

RA之间通信设计的协议，支持完整的证书生命周期管理。A选项SCEP主要用于网络

设备自动注册，B选项EST是SCEP的现代化替代方案，D选项OCSP用于证书状

态查询。知识点：PKI管理协议。易错点：容易混淆SCEP和CMP的应用场景。

2、在自动化证书续期场景中，以下哪种方法最符合零信任架构原则？

A、基于时间窗口的批量续期

B、使用ACME协议的挑战响应机制

C、管理员手动审批续期

D、基于设备指纹的自动续期

【答案】B

【解析】正确答案是B。ACME协议的挑战响应机制实现了不依赖固定信任的动态

验证，符合零信任原则。A选项存在时间窗口风险，C选项违背自动化原则，D选项的

设备指纹可能被伪造。知识点：零信任与PKI结合。易错点：容易忽视零信任对动态

验证的要求。

3、在自动化PKI系统中，证书透明度（CertificateTransparency）日志的主要作

用是？

A、加速证书验证过程

B、防止恶意证书签发

C、减少证书存储空间

D、简化证书吊销流程

【答案】B

【解析】正确答案是B。CT日志通过公开记录所有签发证书，使恶意证书容易被发

现。A选项由OCSPstapling实现，C选项与证书压缩相关，D选项由CRL或OCSP

2025年信息系统安全专家自动化PKI管理专题试卷及解析2

实现。知识点：证书透明度机制。易错点：容易混淆CT与OCSP的功能。

4、在自动化密钥管理中，以下哪种密钥存储方式最符合硬件安全模块（HSM）的

最佳实践？

A、明文存储在数据库

B、使用软件加密后存储

C、密钥永不出HSM

D、定期轮换密钥

【答案】C

【解析】正确答案是C。HSM的核心原则是密钥永远不离开安全边界。A选项完全

不安全，B选项仍存在密钥泄露风险，D选项是密钥管理策略而非存储方式。知识点：

HSM安全原则。易错点：容易忽视”密钥不出HSM”这一核心要求。

5、在自动化PKI部署中，以下哪种证书配置最适合容器化环境？

A、长期有效的根证书

B、短生命周期的服务证书

C、通配符证书

D、自签名证书

【答案】B

【解析】正确答案是B。容器环境需要快速迭代，短生命周期证书（如24小时）符

合这一特性。A选项根证书不应频繁更换，C选项通配符证书存在单点故障风险，D选

项自签名证书缺乏信任链。知识点：容器环境PKI设计。易错点：容易忽视容器环境

对证书生命周期的特殊要求。

6、在自动化证书吊销场景中，以下哪种机制最适合大规模IoT设备？

A、CRL（证书吊销列表）

B、OCSP（在线证书状态协议）

C、短证书有效期

D、OCSPStapling

【答案】C

【解析】正确答案是C。IoT设备数量庞大，短证书有效期（如几天）可自然淘汰

失效设备，避免吊销机制的性能问题。A选项CRL更新慢，B选项OCSP服务器压力

大，D选项OCSPStapling仍依赖OCSP服务器。知识点：大规模设备证书管理。易

错点：容易忽视吊销机制在大规模场景下的性能瓶颈。

7、在自动化PKI监控中，以下哪个指标最能反映证书管理系统的健康状态？