2025年云安全工程师考试题库（附答案和详细解析）（1111）.docxVIP

云安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪种云服务模型（CloudServiceModel）中，用户需要自行管理操作系统和网络配置？

A.SaaS（软件即服务）

B.PaaS（平台即服务）

C.IaaS（基础设施即服务）

D.DaaS（桌面即服务）

答案：C

解析：IaaS模式下，云服务商提供虚拟化的计算、存储和网络资源（如服务器、虚拟机、存储块），用户需自行管理操作系统、中间件、应用程序和网络配置；SaaS用户仅需管理数据和账户；PaaS用户需管理应用程序和数据；DaaS属于SaaS的细分，用户主要使用虚拟桌面。

云环境中，防止DDoS攻击的核心技术是？

A.数据加密

B.流量清洗与黑洞路由

C.访问控制列表（ACL）

D.漏洞扫描

答案：B

解析：DDoS攻击通过海量流量淹没目标，核心防御技术是流量清洗（识别并过滤恶意流量）和黑洞路由（将攻击流量引向无效地址）；数据加密主要保护数据隐私，ACL控制访问权限，漏洞扫描用于发现系统弱点，均非DDoS核心防御。

以下哪项不属于云安全“责任共担模型”中用户的责任？

A.虚拟机操作系统补丁更新

B.云数据库中的数据加密

C.数据中心物理安保

D.应用程序的漏洞修复

答案：C

解析：责任共担模型中，云服务商负责基础设施（如数据中心物理安保、网络设备），用户负责自身资源（如虚拟机OS、数据加密、应用程序）。因此数据中心物理安保属于服务商责任。

云环境下，“零信任架构”的核心原则是？

A.默认信任内部网络所有设备

B.持续验证访问请求的身份与环境

C.仅允许白名单IP访问关键资源

D.依赖传统边界防火墙防御

答案：B

解析：零信任架构的核心是“永不信任，始终验证”，要求对所有访问请求（无论来自内部或外部）持续验证身份、设备状态、网络环境等；默认信任内部网络、依赖边界防火墙是传统架构的特点；白名单IP是静态访问控制，不符合零信任动态验证的要求。

以下哪种加密技术通常用于云存储数据的静态加密？

A.TLS（传输层安全协议）

B.AES-256（高级加密标准）

C.SSH（安全外壳协议）

D.IPsec（互联网安全协议）

答案：B

解析：静态数据加密（存储时加密）常用对称加密算法如AES-256；TLS、SSH、IPsec均用于传输过程中的加密（动态数据加密）。

云原生安全中，容器镜像的主要安全风险是？

A.镜像中包含未修复的漏洞

B.容器资源配额过高

C.容器网络带宽不足

D.容器与宿主机CPU架构不兼容

答案：A

解析：容器镜像若未经过安全扫描，可能携带恶意软件或已知漏洞（如CVE漏洞），是容器安全的核心风险；资源配额、带宽、架构兼容性属于性能或配置问题，非主要安全风险。

云服务提供商（CSP）的“服务级别协议（SLA）”中，通常不包含以下哪项内容？

A.数据备份频率

B.故障恢复时间目标（RTO）

C.用户数据所有权声明

D.服务器硬件型号

答案：D

解析：SLA主要约定服务可用性、数据保护、故障响应等责任，服务器硬件型号属于服务商内部技术细节，通常不在SLA中明确；用户数据所有权、备份频率、RTO是SLA的核心条款。

以下哪项是云访问安全代理（CASB）的主要功能？

A.管理云服务器的CPU资源

B.监控并控制云服务的用户访问行为

C.优化云数据库的查询性能

D.提供云存储的多区域容灾

答案：B

解析：CASB是部署在用户与云服务之间的安全网关，核心功能是监控、审计和控制用户对云服务的访问（如数据上传/下载、权限变更）；CPU资源管理属于IaaS层功能，数据库性能优化是PaaS能力，多区域容灾是存储服务特性。

依据《信息安全技术云计算服务安全能力要求》（GB/T31167-2014），云服务商需提供的“数据可迁移性”要求是指？

A.用户数据可在不同云服务商之间无损迁移

B.云服务商内部数据中心间自动迁移

C.用户数据备份至本地存储

D.数据迁移过程中加密传输

答案：A

解析：GB/T31167要求云服务商确保用户数据可便捷、完整地迁移至其他服务商或本地环境（即“数据可携带权”），强调用户主导的跨服务商迁移；内部数据中心迁移、本地备份、传输加密是支撑措施，非核心要求。

云环境中，“横向移动攻击”的主要目标是？

A.破坏云服务商的核心网络设备

B.从已渗透的虚拟机攻击同一租户的其他资源

C.窃取用户登录云平台的API密钥

D.绕过云防火墙的入站规则

答案：B

解析：横向移动是攻击者在控制某一资源（如虚拟机）后，利用云环境的网络连通性攻击同一租户内的其他资源（如数据库、存储桶）；破坏服务商设备属于外部攻击，窃取API密钥是初始渗透手段，绕过防火墙是攻击路径，均非横向移动的