2025年信息系统安全专家云存储服务安全基线配置专题试卷及解析.pdfVIP

2025年信息系统安全专家云存储服务安全基线配置专题试卷及解析1

2025年信息系统安全专家云存储服务安全基线配置专题试

卷及解析

2025年信息系统安全专家云存储服务安全基线配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在配置云存储服务的访问控制时，为了遵循最小权限原则，应优先采用哪种策

略？

A、为所有用户分配管理员权限，以简化管理

B、根据用户角色和工作职责，仅授予其完成任务所必需的最小权限

C、默认拒绝所有访问，仅在需要时为特定用户开启权限

D、为所有用户分配只读权限，以防止数据被意外修改

【答案】B

【解析】正确答案是B。最小权限原则（PrincipleofLeastPrivilege,PoLP）是信息

安全的核心原则之一，要求只授予主体完成其授权任务所必需的最小权限。选项B精

确地描述了这一原则的实施方法。选项A违反了最小权限原则，会造成权限滥用风险。

选项C描述的是“默认拒绝”策略，虽然是一种好的安全实践，但它是一个网络层面的

通用原则，并非最小权限原则在访问控制中的具体应用策略。选项D虽然限制了写入

权限，但对于需要写入权限的用户来说，这也是过度限制，不符合“完成任务所必需”的

要求。

知识点：访问控制、最小权限原则。

易错点：易将“默认拒绝”策略与“最小权限”原则混淆。前者是防火墙或网络ACL的

通用配置思路，后者是针对用户或服务进行精细化权限分配的具体原则。

2、云存储服务中，用于验证数据在传输和存储过程中未被篡改的核心机制是？

A、数据加密

B、访问控制列表（ACL）

C、数据完整性校验

D、数据备份

【答案】C

【解析】正确答案是C。数据完整性校验，通常通过哈希算法（如SHA256）生成数

据的“指纹”，在数据传输前后或存储读取时进行比对，可以确保数据未被篡改。选项A，

数据加密主要用于保障数据的机密性，防止未经授权的读取，但不能直接证明数据未被

篡改（加密数据被篡改后解密会失败，但这不是其主要目的）。选项B，访问控制列表

用于管理谁可以访问数据，是权限管理机制，而非数据完整性验证机制。选项D，数据

备份用于数据恢复和容灾，与数据是否被篡改无关。

知识点：数据安全三大属性（CIA三元组）：机密性、完整性、可用性。

2025年信息系统安全专家云存储服务安全基线配置专题试卷及解析2

易错点：容易混淆加密和完整性校验的功能。加密保护“内容不被看”，完整性校验

保护“内容不被改”。

3、在配置云存储桶（Bucket）的安全策略时，以下哪项配置最能有效防止公共访

问导致的数据泄露？

A、启用服务器端加密（SSE）

B、设置存储桶策略，明确拒绝所有“Principal”:“”的访问

C、启用对象版本控制

D、配置生命周期策略，自动删除旧数据

【答案】B

【解析】正确答案是B。防止公共访问的核心是控制访问源。在存储桶策略中，明

确拒绝所有匿名用户（Principal为”“）的访问，是从根本上阻止了任何未经身份验证

的访问请求，是防止公共泄露最直接、最有效的手段。选项A，服务器端加密保护的是

数据机密性，即使数据被非法获取，也无法读取内容，但它并不能阻止数据被非法访问

和下载。选项C，对象版本控制主要用于数据保护和误删恢复，与防止公共访问无关。

选项D，生命周期策略用于成本管理和数据归档，与安全访问控制无关。

知识点：云存储访问控制、存储桶策略。

易错点：容易将数据保护措施（如加密、版本控制）与访问控制措施混淆。前者是

保护数据本身，后者是控制谁能接触到数据。

4、关于云存储服务中的服务器端加密（SSE），以下说法错误的是？

A、SSES3表示由云服务提供商使用其管理的密钥进行加密，用户无需管理密钥。

B、SSEKMS允许用户使用密钥管理服务（KMS）来控制加密密钥，可以创建和管

理客户主密钥（CMK）。

C、SSEC允许用户提供自己的加密密钥，云存储服务使用该密钥加解密数据，但

密钥不存储在云端。

D