2025年通信工程师零信任网络架构在云环境中的应用专题试卷及解析.pdfVIP

2025年通信工程师零信任网络架构在云环境中的应用专题试卷及解析1

2025年通信工程师零信任网络架构在云环境中的应用专题

试卷及解析

2025年通信工程师零信任网络架构在云环境中的应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在零信任安全模型中，以下哪项是其最核心的原则？

A、默认信任内部网络流量

B、始终验证，永不信任

C、优先依赖网络边界防护

D、一次性授权，长期有效

【答案】B

【解析】正确答案是B。零信任架构的基石是“从不信任，始终验证”（NeverTrust,

AlwaysVerify），它摒弃了传统网络安全中“内网可信，外网不可信”的假设，对任何试图

访问系统资源的请求都进行严格的身份验证和授权。选项A是传统边界安全模型的观

念，与零信任背道而驰。选项C描述的是防火墙等传统安全设备的核心思想，零信任

则认为边界已经模糊或消失。选项D违反了零信任的动态授权和最小权限原则，访问

权限应是临时的、基于会话的。知识点：零信任核心原则。易错点：容易将零信任与传

统的“内外网”划分思想混淆，未能理解其“永不信任”的普适性。

2、在云环境中实施零信任，以下哪个组件或技术主要用于实现“身份即新的边界”

这一理念？

A、下一代防火墙（NGFW）

B、身份与访问管理（IAM）

C、虚拟专用网络（VPN）

D、入侵检测系统（IDS）

【答案】B

【解析】正确答案是B。零信任将安全重心从网络边界转移到身份上，通过强大的

身份与访问管理（IAM）系统，对每一个用户和设备进行身份认证、授权和管理，从而

构建起以身份为核心的动态安全边界。选项A（NGFW）仍然是基于网络位置和端口

进行访问控制，属于传统边界防护手段。选项C（VPN）旨在建立安全的网络通道，但

其一旦接入，内部网络往往被视为可信区域，这与零信任原则相悖。选项D（IDS）主

要用于检测已发生的恶意行为，是被动防御手段，而非构建主动验证边界的核心。知识

点：零信任中的身份管理。易错点：可能会误选NGFW或VPN，因为这些是传统云安

全中的常见技术，但未能理解零信任对“边界”的重新定义。

3、在零信任架构中，为了实现“最小权限原则”，通常会采用哪种授权机制？

A、基于角色的访问控制（RBAC）

2025年通信工程师零信任网络架构在云环境中的应用专题试卷及解析2

B、自主访问控制（DAC）

C、强制访问控制（MAC）

D、一次性授予所有权限

【答案】A

【解析】正确答案是A。基于角色的访问控制（RBAC）根据用户在组织中的职能角

色来分配权限，能够有效地将权限限制在完成工作所必需的最小范围内，是实现零信任

最小权限原则的常用且高效的方法。选项B（DAC）允许资源所有者自主决定谁可以访

问，权限管理过于灵活，难以实现统一的最小权限策略。选项C（MAC）主要用于军事

等高安全级别场景，由系统管理员根据安全标签强制控制，虽然严格，但在动态的云环

境中配置和管理复杂度极高。选项D直接违反了最小权限原则。知识点：零信任授权

模型。易错点：可能混淆RBAC和DAC，前者基于“角色”，后者基于“所有者意愿”，在

实现组织级统一权限策略时，RBAC更符合零信任要求。

4、在零信任网络访问（ZTNA）中，设备状态评估是一个重要环节。以下哪项不属

于设备状态评估的范畴？

A、操作系统是否为最新版本

B、设备是否安装了指定的安全软件

C、设备的物理地理位置

D、设备是否已被越狱或Root

【答案】C

【解析】正确答案是C。设备状态评估主要关注设备本身的安全健康状况，包括操

作系统补丁、安全软件合规性、是否存在系统漏洞（如越狱/Root）等，以确保接入设备

是可信的。设备的物理地理位置虽然可以作为访问策略的一个考量因素（例如，通过地

理围栏技术），但它不属于设备“状态”评估的范畴，而是上下文信息的一部分。知识点：

零信任