2025年信息系统安全专家容器安全攻防实验设计专题试卷及解析.pdfVIP

2025年信息系统安全专家容器安全攻防实验设计专题试卷及解析1

2025年信息系统安全专家容器安全攻防实验设计专题试卷

及解析

2025年信息系统安全专家容器安全攻防实验设计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器安全中，以下哪项技术是防止容器逃逸最直接有效的手段？

A、使用最小化基础镜像

B、启用只读根文件系统

C、配置AppArmor或SELinux安全策略

D、定期更新容器镜像

【答案】C

【解析】正确答案是C。AppArmor和SELinux是强制访问控制（MAC）系统，通

过限制容器进程的系统调用和资源访问，能有效阻止容器逃逸。A选项减少攻击面但不

能直接防止逃逸；B选项防止恶意修改但无法限制系统调用；D选项属于漏洞管理范

畴。知识点：容器安全加固技术。易错点：混淆基础安全措施与逃逸防护的层级关系。

2、DockerSwarm集群中，以下哪个配置会显著增加中间人攻击风险？

A、启用TLS加密通信

B、使用默认自签名证书

C、配置网络隔离策略

D、禁用调试模式

【答案】B

【解析】正确答案是B。默认自签名证书未经过CA验证，容易被伪造用于中间人

攻击。A和C是安全最佳实践；D选项减少信息泄露风险。知识点：容器集群通信安

全。易错点：忽视证书验证机制的重要性。

3、Kubernetes的PodSecurityPolicy（PSP）被弃用后，推荐使用哪个替代方案？

A、RBAC

B、PodSecurityStandards

C、NetworkPolicy

D、OPAGatekeeper

【答案】B

【解析】正确答案是B。PodSecurityStandards是Kubernetes1.25+官方推荐的替

代方案，提供三级安全策略。A是权限控制；C是网络策略；D是第三方策略引擎。知

识点：Kubernetes安全策略演进。易错点：混淆不同安全组件的功能定位。

4、容器运行时漏洞扫描最关键的检测对象是？

A、应用代码

2025年信息系统安全专家容器安全攻防实验设计专题试卷及解析2

B、基础操作系统

C、容器镜像层

D、配置文件

【答案】C

【解析】正确答案是C。镜像层包含依赖库和系统组件，是漏洞的主要载体。A需

要SAST工具；B属于宿主机安全；D需配置审计工具。知识点：容器漏洞扫描原理。

易错点：忽视镜像分层结构的特殊性。

5、以下哪种容器逃逸利用需要内核版本匹配？

A、脏牛漏洞（DirtyCow）

B、runc符号链接漏洞（CV

C、DockerCP漏洞（CVE201914271）

D、CV（DirtyPipe）

【答案】B

【解析】正确答案是B。该漏洞需特定runc版本配合，其他选项主要依赖内核特性。

知识点：容器逃逸漏洞利用条件。易错点：混淆漏洞依赖的组件层级。

6、在容器镜像安全扫描中，CycloneDX标准主要用于？

A、漏洞数据库格式

B、软件物料清单（SBOM）

C、安全策略描述

D、审计日志格式

【答案】B

【解析】正确答案是B。CycloneDX是SBOM的开放标准，用于描述组件依赖关

系。A是CVE等格式；C是OPA等策略；D是Syslog等格式。知识点：容器安全元

数据标准。易错点：混淆不同安全数据格式。

7、Kubernetes中，以下哪个操作会绕过NetworkPolicy限制？

A、使用hostNetwork模式

B、配置Service外部访问

C、启用Pod间通信

D、设置DNS策略

【答案】A

【解析】正确答案是A。hostNetwork使Pod共享宿主机网络栈，不受NetworkPolicy