2025年信息系统安全专家云安全架构综合能力测评专题试卷及解析.pdfVIP

2025年信息系统安全专家云安全架构综合能力测评专题试卷及解析1

2025年信息系统安全专家云安全架构综合能力测评专题试

卷及解析

2025年信息系统安全专家云安全架构综合能力测评专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在云安全架构中，以下哪项是责任共担模型下云服务商（CSP）最核心的责任？

A、客户数据的加密

B、应用程序的安全配置

C、底层物理基础设施的安全

D、身份和访问管理（IAM）策略的制定

【答案】C

【解析】正确答案是C。在责任共担模型中，云服务商负责“云自身”的安全，包括物

理服务器、网络、存储等底层基础设施的安全。客户负责“云中”的安全，包括数据、应

用、操作系统、网络和防火墙配置等。A、B、D均为客户的责任。知识点：责任共担

模型。易错点：容易将所有安全责任都归咎于云服务商或客户，未能清晰划分边界。

2、在AWS云环境中，用于实现网络隔离和安全控制的核心服务是？

A、IAM（IdentityandAccessManagement）

B、VPC（VirtualPrivateCloud）

C、S3（SimpleStorageService）

D、EC2（ElasticComputeCloud）

【答案】B

【解析】正确答案是B。VPC是AWS提供的虚拟私有云，允许用户在逻辑上隔离

的AWS云资源中启动它们。用户可以完全控制自己的虚拟网络环境，包括选择IP地

址范围、创建子网、配置路由表和网络网关。IAM负责身份和权限管理，S3是对象存

储服务，EC2是计算服务，它们都不直接提供网络隔离功能。知识点：云网络基础。易

错点：容易混淆IAM和VPC的功能，IAM关注“谁能做什么”，VPC关注“网络层面的

隔离与通信”。

3、当企业需要构建一个零信任（ZeroTrust）安全架构时，以下哪项原则是其核心

思想？

A、信任但验证

B、默认信任内部网络

C、从不信任，总是验证

D、仅关注边界防御

【答案】C

2025年信息系统安全专家云安全架构综合能力测评专题试卷及解析2

【解析】正确答案是C。零信任安全模型的核心原则是“从不信任，总是验证”（Never

Trust,AlwaysVerify）。它摒弃了传统的“信任内网，不信任外网”的边界安全模型，认为

无论请求来自何处，都应经过严格的身份验证和授权。A是传统模型，B和D是零信

任模型摒弃的旧观念。知识点：零信任架构。易错点：容易将“信任但验证”与零信任混

淆，前者是传统边界安全模型的升级版，而后者是彻底的范式转变。

4、在容器安全领域，以下哪项技术主要用于确保容器镜像的完整性和来源可信？

A、容器运行时安全

B、镜像签名（ImageSigning）

C、网络策略（NetworkPolicies）

D、资源限制（ResourceLimits）

【答案】B

【解析】正确答案是B。镜像签名（如使用DockerContentTrust）通过对镜像进行

数字签名，确保镜像在传输和存储过程中未被篡改，并且可以验证其来源的可信性。A

关注容器运行时的行为监控和保护，C关注容器间的网络通信控制，D关注防止容器耗

尽主机资源。知识点：容器安全镜像安全。易错点：容易将镜像安全与运行时安全混淆，

前者关注“静态”的镜像，后者关注“动态”的运行实例。

5、云环境下的数据加密通常涉及多个层面，以下哪项主要负责保护数据在云服务

商内部网络中传输时的安全？

A、静态数据加密（EncryptionatRest）

B、传输中数据加密（EncryptioninTransit）

C、使用中数据加密（EncryptioninUse）

D、密钥管理服务（KMS）

【答案】B

【解析】正确答案是B。传输中数据加密（如使用TLS/SSL）旨在保护数据在网络

中移动时的机密性和完整性，防止被窃听或篡改。A保护存储在磁