2025年信息系统安全专家容器化环境下的权限隔离与管理专题试卷及解析.pdfVIP

2025年信息系统安全专家容器化环境下的权限隔离与管理专题试卷及解析1

2025年信息系统安全专家容器化环境下的权限隔离与管理

专题试卷及解析

2025年信息系统安全专家容器化环境下的权限隔离与管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器化环境中，以下哪种技术是实现权限隔离最核心的机制？

A、虚拟化技术

B、命名空间（Namespaces）

C、容器编排

D、镜像仓库

【答案】B

【解析】正确答案是B。命名空间是Linux内核提供的资源隔离机制，通过将进程

资源（如PID、网络、挂载点等）划分到独立空间，实现容器间权限隔离。A选项虚拟

化技术虽然也能隔离，但容器化更轻量级；C选项容器编排负责集群管理；D选项镜像

仓库仅存储镜像。知识点：Linux命名空间原理。易错点：混淆虚拟化与容器化隔离机

制。

2、当容器需要访问宿主机设备时，最安全的做法是？

A、使用privileged参数

B、挂载特定设备文件

C、共享宿主机根目录

D、禁用SELinux

【答案】B

【解析】正确答案是B。通过device参数精确挂载所需设备，避免权限过度暴露。A

选项privileged会赋予容器所有宿主机权限，极不安全；C选项共享根目录完全破坏隔

离；D选项禁用SELinux会降低安全防护。知识点：容器设备访问控制。易错点：误认

为privileged是便捷方案。

3、Kubernetes中限制容器资源使用的对象是？

A、Pod

B、Service

C、LimitRange

D、Ingress

【答案】C

【解析】正确答案是C。LimitRange用于设置命名空间内Pod/容器的默认资源限

制。A选项Pod是容器集合；B选项Service负责网络暴露；D选项Ingress管理外部

访问。知识点：K8s资源管理机制。易错点：混淆Pod与LimitRange功能。

2025年信息系统安全专家容器化环境下的权限隔离与管理专题试卷及解析2

4、以下哪种情况会导致容器逃逸？

A、使用非root用户运行容器

B、挂载宿主机/var/run/docker.sock

C、启用只读根文件系统

D、限制容器进程数

【答案】B

【解析】正确答案是B。挂载docker.sock允许容器控制宿主机Docker守护进程，是

典型逃逸途径。A/C/D选项均为安全加固措施。知识点：容器逃逸向量。易错点：忽

视socket挂载的风险。

5、DockerContentTrust（DCT）主要解决什么问题？

A、容器镜像扫描

B、镜像签名验证

C、网络访问控制

D、日志审计

【答案】B

【解析】正确答案是B。DCT通过数字签名确保镜像来源可信。A选项需第三方工

具；C/D选项属于其他安全领域。知识点：镜像供应链安全。易错点：混淆扫描与签名

验证。

6、在KubernetesRBAC中，哪个对象定义”能做什么”？

A、Role

B、RoleBinding

C、ServiceAccount

D、Token

【答案】A

【解析】正确答案是A。Role定义权限规则（如可访问的API资源）。B选项绑定

用户与角色；C选项是Pod身份标识；D选项用于认证。知识点：RBAC模型。易错

点：混淆Role与RoleBinding。

7、容器运行时runc的默认隔离级别是？

A、完全虚拟化

B、共享内核命名空间隔离

C、硬件级隔离

D、无隔离

【答案】B

【解析】正确答案是B。runc通过Linux命名空间实现共享内核的轻量级隔离。A/C

选项属于虚拟化技术；D选项错误。知识点：容器运行时原理。易错点：误认为容器有

2025年信息系统安全专家容器化环境下的权限隔离与管理专题试