2025年信息系统安全专家阿里云平台安全基线配置与最佳实践专题试卷及解析.pdfVIP

2025年信息系统安全专家阿里云平台安全基线配置与最佳实践专题试卷及解析1

2025年信息系统安全专家阿里云平台安全基线配置与最佳

实践专题试卷及解析

2025年信息系统安全专家阿里云平台安全基线配置与最佳实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在阿里云平台上，为了确保ECS实例的访问控制符合安全基线要求，以下哪种

安全组规则配置是最安全的做法？

A、允许所有IP地址访问所有端口

B、仅允许特定IP地址访问必要的端口

C、允许所有IP地址访问特定端口

D、仅允许特定IP地址访问所有端口

【答案】B

【解析】正确答案是B。安全组是阿里云提供的虚拟防火墙，用于控制ECS实例的

出入流量。最小权限原则要求仅开放必要的端口给可信的IP地址。A选项完全开放，

存在极大安全风险；C选项虽然限制了端口，但未限制IP源，仍可能被恶意扫描；D

选项虽然限制了IP，但开放所有端口，违背了最小权限原则。知识点：安全组配置、最

小权限原则。易错点：容易混淆端口限制和IP限制的优先级，实际应两者结合。

2、阿里云的RAM（资源访问管理）中，以下哪种权限管理方式最符合安全基线中

的职责分离原则？

A、为单个用户分配所有权限

B、使用RAM角色而非用户进行跨服务访问

C、将管理员权限直接分配给开发人员

D、通过RAM用户组批量分配相同权限

【答案】B

【解析】正确答案是B。RAM角色适用于临时访问和跨服务授权，符合职责分离原

则。A选项违反最小权限原则；C选项将管理员权限分配给开发人员可能导致权限滥

用；D选项虽然简化了管理，但未体现职责分离。知识点：RAM权限模型、职责分离。

易错点：容易忽略角色与用户的区别，角色更适合临时和跨服务场景。

3、在阿里云OSS（对象存储服务）中，以下哪种存储桶权限配置最符合安全基线

要求？

A、设置为公共读写

B、设置为公共读，但通过防盗链保护

C、设置为私有，并通过RAM策略授权访问

D、设置为私有，但允许匿名用户上传

【答案】C

2025年信息系统安全专家阿里云平台安全基线配置与最佳实践专题试卷及解析2

【解析】正确答案是C。私有存储桶并通过RAM策略授权是最佳实践，确保数据

仅被授权用户访问。A选项完全公开，风险极高；B选项虽然限制了盗链，但仍允许公

共读取；D选项允许匿名上传，可能导致恶意文件上传。知识点：OSS权限模型、RAM

策略。易错点：容易低估公共读的风险，即使是公共读也可能导致数据泄露。

4、阿里云WAF（Web应用防火墙）的以下哪种防护策略最能有效防止SQL注入

攻击？

A、仅启用CC防护

B、启用Web应用防火墙并配置SQL注入规则

C、仅启用IP黑名单

D、禁用所有防护规则

【答案】B

【解析】正确答案是B。WAF的SQL注入规则专门用于检测和拦截SQL注入攻

击。A选项仅针对流量攻击；C选项依赖已知恶意IP，无法覆盖未知威胁；D选项完

全关闭防护，违背安全基线。知识点：WAF防护规则、SQL注入防护。易错点：容易

混淆CC防护和Web攻击防护的区别。

5、在阿里云RDS（关系型数据库服务）中，以下哪种网络配置最符合安全基线要

求？

A、使用公网IP直接访问

B、通过VPC内网访问，并设置白名单

C、通过公网IP访问，但设置强密码

D、通过VPC内网访问，但不设置白名单

【答案】B

【解析】正确答案是B。VPC内网访问和白名单结合是最佳实践，确保数据库仅被

可信网络和IP访问。A选项直接暴露公网，风险极高；C选项虽然设置了强密码，但仍

可能被暴力破解；D选项未设置白名单，可能被内网其他实例恶意访问。知识点：RDS

网络配置、白名单机制。易错点：容易忽略白名单的重要性，认为内网访问绝对安全。

6、阿里云云盾中心的以下哪种功能最适合用于实时监控安全事件？