2025年信息系统安全专家云访问安全代理部署与策略专题试卷及解析.pdfVIP

2025年信息系统安全专家云访问安全代理部署与策略专题试卷及解析1

2025年信息系统安全专家云访问安全代理部署与策略专题

试卷及解析

2025年信息系统安全专家云访问安全代理部署与策略专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在云访问安全代理（CASB）的部署模式中，哪种模式适用于企业希望快速实现

SaaS应用安全防护，且对现有网络架构改动最小的场景？

A、正向代理模式

B、反向代理模式

C、API模式

D、日志收集模式

【答案】C

【解析】正确答案是C。API模式通过SaaS应用提供的API接口直接获取数据和

控制权限，无需改变网络架构，部署最快。A选项正向代理需要客户端配置，B选项反

向代理需要改变DNS指向，D选项日志模式仅能实现事后审计。知识点：CASB部署

模式对比。易错点：混淆API模式与日志模式的实时性差异。

2、CASB策略引擎中，DLP（数据防泄漏）策略的核心检测技术不包括以下哪项？

A、关键字匹配

B、正则表达式

C、机器学习分类

D、端口扫描

【答案】D

【解析】正确答案是D。端口扫描属于网络探测技术，与DLP内容检测无关。A、

B、C都是DLP常用的内容识别技术。知识点：DLP技术原理。易错点：将网络层安

全技术与应用层DLP技术混淆。

3、在CASB与身份提供商（IdP）集成时，以下哪种协议最常用于实现单点登录

（SSO）？

A、SMTP

B、SAML

C、FTP

D、SNMP

【答案】B

【解析】正确答案是B。SAML是业界标准的SSO协议，CASB通过SAML与IdP

集成实现身份认证。其他选项均为非认证协议。知识点：身份认证协议。易错点：混淆

不同协议的应用场景。

2025年信息系统安全专家云访问安全代理部署与策略专题试卷及解析2

4、CASB的”影子IT”检测功能主要依赖以下哪种数据源？

A、防火墙日志

B、DNS查询记录

C、操作系统事件

D、物理门禁记录

【答案】B

【解析】正确答案是B。DNS查询记录能反映用户访问的SaaS应用域名，是检测

影子IT的主要依据。其他选项无法直接反映云应用使用情况。知识点：影子IT检测

技术。易错点：忽视DNS在云应用访问中的关键作用。

5、在CASB的访问控制策略中，以下哪种条件组合最符合”零信任”原则？

A、仅验证用户密码

B、基于设备状态和地理位置的动态认证

C、允许所有内网访问

D、固定IP白名单

【答案】B

【解析】正确答案是B。零信任强调持续验证，B选项符合动态评估原则。其他选

项都是静态或宽松的认证方式。知识点：零信任架构。易错点：将传统边界安全与零信

任混淆。

6、CASB的加密功能中，哪种加密方式最适合保护存储在云端的敏感数据？

A、MD5哈希

B、字段级加密

C、Base64编码

D、SSL传输加密

【答案】B

【解析】正确答案是B。字段级加密能对特定敏感字段进行细粒度保护。A是哈希

算法，C是编码方式，D仅保护传输过程。知识点：云数据加密技术。易错点：混淆加

密与哈希的区别。

7、在CASB策略执行中，“阻断”动作通常适用于以下哪种风险场景？

A、低风险文件下载

B、恶意软件上传

C、非工作时间访问

D、密码过期提醒

【答案】B

【解析】正确答案是B。恶意软件属于高风险行为，需要立即阻断。其他场景更适

合告警或限制。知识点：CASB响应动作分级。易错点：忽视风险等级与响应动作的匹

2025年信息系统安全专家云访问安全代理部署与策略专题试卷及解析3

配原则。

8、CASB与云服务提供商（CSP）的API集成中，以下哪项