2025年信息系统安全专家容器安全应急响应模拟专题试卷及解析.pdfVIP

2025年信息系统安全专家容器安全应急响应模拟专题试卷及解析1

2025年信息系统安全专家容器安全应急响应模拟专题试卷

及解析

2025年信息系统安全专家容器安全应急响应模拟专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器安全应急响应中，当发现一个容器正在执行异常的加密货币挖矿程序时，

首要的应急响应步骤是什么？

A、立即删除该容器

B、隔离受感染的容器

C、重启宿主机

D、更新容器镜像

【答案】B

【解析】正确答案是B。在容器安全应急响应中，首要步骤是隔离受感染的容器，以

防止威胁扩散到其他容器或宿主机。立即删除容器（A）可能导致证据丢失，不利于后

续分析。重启宿主机（C）过于激进，会影响其他正常服务。更新容器镜像（D）是预防

措施，而非应急响应。知识点：容器安全应急响应流程。易错点：考生可能倾向于立即

删除容器以“清除”威胁，但忽略了证据保全和威胁控制的重要性。

2、以下哪项技术最有效防止容器逃逸攻击？

A、使用最小权限原则运行容器

B、定期更新容器镜像

C、启用容器镜像签名验证

D、使用只读根文件系统

【答案】A

【解析】正确答案是A。最小权限原则（如非root用户运行容器）能有效限制容器

进程权限，降低逃逸风险。更新镜像（B）和签名验证（C）主要针对供应链安全，只读

文件系统（D）能防止恶意修改但无法直接阻止逃逸。知识点：容器逃逸防护。易错点：

考生可能误选D，但只读文件系统无法解决权限提升类逃逸攻击。

3、在Kubernetes环境中，检测到某Pod异常访问APIServer，最可能的攻击类

型是？

A、容器镜像投毒

B、横向移动

C、权限提升

D、供应链攻击

【答案】C

2025年信息系统安全专家容器安全应急响应模拟专题试卷及解析2

【解析】正确答案是C。异常访问APIServer通常表明攻击者通过权限提升获取了

高于预期的Kubernetes权限。镜像投毒（A）发生在镜像构建阶段，横向移动（B）表

现为容器间通信，供应链攻击（D）涉及第三方组件篡改。知识点：Kubernetes安全监

控。易错点：考生可能混淆横向移动和权限提升，需注意APIServer访问是权限特征

而非通信特征。

4、容器运行时安全工具（如Falco）主要检测哪类威胁？

A、镜像漏洞

B、运行时异常行为

C、配置错误

D、网络流量异常

【答案】B

【解析】正确答案是B。Falco等运行时安全工具通过系统调用监控检测容器内的异

常行为（如非法文件访问）。镜像漏洞（A）需静态扫描工具，配置错误（C）需配置审

计工具，网络流量（D）需网络监控工具。知识点：容器安全工具分类。易错点：考生

可能误选D，但Falco不直接分析网络层流量。

5、在容器应急响应中，以下哪项证据最有助于溯源攻击路径？

A、容器日志

B、容器镜像ID

C、容器资源使用记录

D、容器网络配置

【答案】A

【解析】正确答案是A。容器日志记录了进程执行、文件操作等关键行为，是溯源

的核心证据。镜像ID（B）仅标识镜像版本，资源记录（C）反映性能异常，网络配置

（D）用于通信分析。知识点：数字取证。易错点：考生可能忽视日志的时序价值，而更

关注静态信息如镜像ID。

6、以下哪项措施最能有效防止容器内的恶意软件持久化？

A、使用临时存储

B、禁用容器特权模式

C、限制容器挂载卷

D、启用AppArmor

【答案】A

【解析】正确答案是A。临时存储（如emptyDir）确保容器重启后数据丢失，破坏

持久化基础。禁用特权（B）和AppArmor（D）限制权限，挂载卷限制（C）防止主机

访问，但均无法直接阻止容器内持久化。知识点：恶意软件持久化防护。易错点：考生

可能误选C，但攻击者仍可在容器内写入文件实现持久化。

20