2025年信息系统安全专家容器镜像构建与安全策略专题试卷及解析.pdfVIP

2025年信息系统安全专家容器镜像构建与安全策略专题试卷及解析1

2025年信息系统安全专家容器镜像构建与安全策略专题试

卷及解析

2025年信息系统安全专家容器镜像构建与安全策略专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器镜像构建过程中，以下哪种技术可以有效减少镜像层数量？

A、使用多个RUN指令

B、合并RUN指令并使用连接

C、频繁使用COPY指令

D、使用多个FROM指令

【答案】B

【解析】正确答案是B。合并RUN指令可以减少镜像层数量，因为每个RUN指令

都会创建一个新的镜像层。使用连接多个命令可以在一个RUN指令中执行多个操

作，从而减少层数。A选项会增加层数，C选项也会增加层数，D选项是多阶段构建技

术，主要用于优化最终镜像大小而非减少层数。知识点：Dockerfile优化技巧。易错点：

误认为多阶段构建能减少层数。

2、容器运行时安全扫描工具Trivy主要检测以下哪种漏洞？

A、代码逻辑漏洞

B、操作系统和应用程序依赖漏洞

C、网络配置漏洞

D、数据库注入漏洞

【答案】B

【解析】正确答案是B。Trivy是专门用于扫描容器镜像中操作系统和应用程序依赖

漏洞的工具，可以检测已知CVE漏洞。A、C、D选项分别属于代码审计、网络安全和

Web应用安全范畴，不是Trivy的主要功能。知识点：容器安全扫描工具。易错点：混

淆不同安全工具的检测范围。

3、在Kubernetes中，以下哪种资源对象最适合实现容器的网络隔离？

A、Deployment

B、Service

C、NetworkPolicy

D、Ingress

【答案】C

【解析】正确答案是C。NetworkPolicy是Kubernetes中专门用于实现网络隔离的

资源对象，可以定义Pod之间的通信规则。A用于应用部署，B用于服务发现，D用

2025年信息系统安全专家容器镜像构建与安全策略专题试卷及解析2

于外部访问控制。知识点：Kubernetes网络安全。易错点：误认为Service可以实现网

络隔离。

4、容器镜像签名验证主要解决以下哪个安全问题？

A、镜像体积过大

B、镜像来源不可信

C、镜像启动速度慢

D、镜像存储空间不足

【答案】B

【解析】正确答案是B。镜像签名验证通过数字签名技术确保镜像的完整性和来源

可信，防止使用被篡改或伪造的镜像。A、C、D选项属于性能和资源管理问题。知识

点：容器镜像安全。易错点：混淆签名验证与镜像优化。

5、以下哪种措施不能有效防止容器逃逸攻击？

A、使用非root用户运行容器

B、禁用特权模式

C、共享宿主机网络命名空间

D、限制容器系统调用

【答案】C

【解析】正确答案是C。共享宿主机网络命名空间会增加容器逃逸风险，而A、B、

D都是有效的防护措施。知识点：容器逃逸防护。易错点：误认为共享命名空间能提高

安全性。

6、在Dockerfile中，以下哪个指令的执行顺序会影响最终镜像安全性？

A、FROM

B、LABEL

C、COPY

D、ADD

【答案】C

【解析】正确答案是C。COPY指令的顺序会影响镜像构建的安全性，应该将敏感

文件（如密钥）的复制操作放在最后，避免被中间层缓存。A必须是第一条指令，B和

D不影响安全性。知识点：Dockerfile安全最佳实践。易错点：忽视指令顺序对安全的

影响。

7、容器运行时安全监控工具Falco主要基于以下哪种技术实现？

A、静态分析

B、动态行为监控

C、网络流量分析

D、日志审计

2025年信息系统安全专家容器镜像构建与安全策略专题试卷及解析3

【答案】B

【解析】正确答案是B。