2025年信息系统安全专家容器安全综合防护体系构建专题试卷及解析.pdf

2025年信息系统安全专家容器安全综合防护体系构建专题试卷及解析1

2025年信息系统安全专家容器安全综合防护体系构建专题

试卷及解析

2025年信息系统安全专家容器安全综合防护体系构建专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器安全防护体系中，以下哪项技术是专门用于检测容器运行时异常行为的

核心手段？

A、镜像签名验证

B、运行时安全监控

C、网络隔离策略

D、资源配额限制

【答案】B

【解析】正确答案是B。运行时安全监控通过实时分析容器进程、文件访问和网络

行为，能够及时发现恶意活动。A选项镜像签名验证是部署前的静态安全措施；C选项

网络隔离属于基础防护；D选项资源配额主要防止资源滥用而非攻击检测。知识点：容

器运行时防护技术。易错点：容易将静态安全措施与动态监控混淆。

2、关于容器镜像安全扫描的最佳实践，以下说法正确的是？

A、只需在首次构建时扫描一次

B、应在CI/CD流水线的多个阶段集成扫描

C、仅扫描基础镜像即可

D、扫描后无需修复高危漏洞

【答案】B

【解析】正确答案是B。持续集成流水线中的多阶段扫描能确保全生命周期安全。A

选项错误，因为新漏洞会持续被发现；C选项不完整，应用层漏洞同样重要；D选项违

背漏洞管理原则。知识点：DevSecOps安全左移。易错点：忽视扫描的持续性。

3、容器逃逸攻击最可能利用的漏洞类型是？

A、SQL注入

B、内核漏洞

C、XSS攻击

D、CSRF攻击

【答案】B

【解析】正确答案是B。容器共享宿主机内核，内核漏洞可能导致权限提升和逃逸。

其他选项均为应用层攻击，与容器隔离机制无关。知识点：容器隔离原理。易错点：混

淆应用层攻击与虚拟化层攻击。

4、以下哪个工具最适合实现容器微隔离？

2025年信息系统安全专家容器安全综合防护体系构建专题试卷及解析2

A、DockerSwarm

B、KubernetesNetworkPolicy

C、DockerCompose

D、Harbor

【答案】B

【解析】正确答案是B。KubernetesNetworkPolicy可实现精细化的Pod间流量控

制。A选项是编排工具；C选项用于本地开发；D选项是镜像仓库。知识点：容器网络

策略。易错点：混淆编排工具与安全组件。

5、容器安全中”最小权限原则”的最佳实践是？

A、使用root用户运行容器

B、挂载宿主机根目录

C、以非root用户运行并限制capabilities

D、禁用所有安全模块

【答案】C

【解析】正确答案是B。非root用户运行配合capabilities限制符合最小权限原则。

A和D选项扩大攻击面；B选项完全破坏隔离性。知识点：Linuxcapabilities机制。易

错点：忽视capabilities的精细化控制。

6、以下哪项是容器环境特有的安全风险？

A、DDoS攻击

B、镜像供应链攻击

C、钓鱼邮件

D、社会工程学

【答案】B

【解析】正确答案是B。镜像供应链攻击是容器化应用特有的风险。其他选项为通

用网络安全威胁。知识点：容器供应链安全。易错点：忽视容器生态系统的特殊性。

7、在Kubernetes中，PodSecurityPolicy(PSP)的主要作用是？

A、自动扩缩容

B、服务发现

C、控制Pod安全上下文

D、日志收集

【答案】C

【解析】正确答案是C。PSP用于限制Pod的安全配置。A选项属于HPA功能；B

选项是Service机制；D选项由日志系统处理。知识点：Kubernetes安全策略。易错点：

混淆安全策略与集群管理功能。

8、容器运行时安全监控应重点关注？

2025年信息系统安全专家容器安全综合防护体系构建专题试卷及解析