2025年信息系统安全专家零信任环境中的技能培养与认证专题试卷及解析.pdfVIP

2025年信息系统安全专家零信任环境中的技能培养与认证专题试卷及解析1

2025年信息系统安全专家零信任环境中的技能培养与认证

专题试卷及解析

2025年信息系统安全专家零信任环境中的技能培养与认证专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在零信任安全模型中，以下哪项是其核心原则？

A、信任但验证

B、从不信任，始终验证

C、仅验证外部访问

D、仅验证内部访问

【答案】B

【解析】正确答案是B。零信任的核心原则是“从不信任，始终验证”，即不区分内外

网，对所有访问请求都进行严格的身份验证和授权。选项A“信任但验证”是传统边界安

全模型的思路，与零信任理念相悖。选项C和D都违背了零信任不区分内外网的核心

理念。知识点：零信任基本原则。易错点：容易将“从不信任，始终验证”与“信任但验证”

混淆，后者仍保留了初始信任的前提。

2、在零信任架构中，以下哪个组件主要负责持续监控和评估用户及设备的风险状

态？

A、策略引擎（PE）

B、策略执行点（PEP）

C、策略管理员（PA）

D、数据访问控制（DAC）

【答案】A

【解析】正确答案是A。策略引擎（PE）是零信任架构的“大脑”，负责接收来自各种

数据源（如用户行为分析、设备健康状态、威胁情报等）的信号，持续评估访问请求的

风险，并据此做出允许或拒绝的决策。选项B策略执行点（PEP）是执行策略引擎决

策的组件，如网关或代理。选项C策略管理员（PA）负责配置和管理策略。选项D数

据访问控制是一种访问控制模型，而非零信任架构中的特定组件。知识点：零信任核心

组件功能。易错点：容易混淆策略引擎（决策者）和策略执行点（执行者）的角色。

3、以下哪项认证最能体现信息系统安全专家在零信任环境下的专业能力？

A、CISSP（注册信息系统安全专家）

B、CISA（注册信息系统审计师）

C、CZTP（认证零信任专业人员）

D、CEH（道德黑客认证）

【答案】C

2025年信息系统安全专家零信任环境中的技能培养与认证专题试卷及解析2

【解析】正确答案是C。CZTP（CertifiedZeroTrustProfessional）是专门针对零信

任理念、架构、技术和实施的专业认证，直接对标零信任环境下的技能需求。选项A

CISSP是广谱的、全面的信息安全管理认证，虽然包含零信任内容，但非专精。选项B

CISA侧重于信息系统审计、控制和安全。选项DCEH侧重于渗透测试和攻防技术。知

识点：零信任相关认证。易错点：可能会误选CISSP，因为它知名度高且覆盖面广，但

题目要求的是“最能体现”零信任环境下的专业能力。

4、在实施零信任时，对设备进行“健康度”检查，通常不包括以下哪项内容？

A、操作系统版本和补丁级别

B、磁盘剩余空间大小

C、是否安装并运行了指定的安全软件（如EDR）

D、设备是否已被越狱或Root

【答案】B

【解析】正确答案是B。设备健康度检查主要关注与安全相关的属性，如操作系统

补丁、安全软件状态、设备完整性（是否被破解）等，以评估设备作为访问主体的可信

度。磁盘剩余空间大小属于设备性能指标，与安全风险无直接关联，通常不作为健康度

检查项。选项A、C、D都是评估设备安全风险的关键指标。知识点：设备信任评估。易

错点：可能会将所有设备状态信息都归为健康度检查，需要区分安全相关和性能相关的

指标。

5、零信任模型强调以身份为中心，这里的“身份”不包括以下哪项？

A、用户身份

B、设备身份

C、应用程序身份（API调用）

D、网络IP地址身份

【答案】D

【解析】正确答案是D。零信任中的身份泛指所有需要访问资源的主体，包括用户、

设备、应用程序、服务、工作负载等。IP地址在传统网络安全中是重要的身份标识，但

在零信任模型中，IP地址被视为不可信的、动态变化的，不能作为可靠的身份依据。身

份验证应基于更稳固的凭证，如多因素认证、证书等。知识点：零信任身份