2025年云安全工程师考试题库（附答案和详细解析）（1108）.docxVIP

云安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪种云服务模型中，用户需要自行管理操作系统和应用程序？

A.IaaS（基础设施即服务）

B.PaaS（平台即服务）

C.SaaS（软件即服务）

D.DaaS（桌面即服务）

答案：A

解析：IaaS模型中，云服务商提供虚拟化的计算、存储和网络资源（如虚拟机、存储卷），用户需自行管理操作系统、中间件和应用程序。PaaS提供开发平台（如数据库、中间件），用户聚焦应用开发；SaaS提供完整软件（如邮箱、CRM），用户无需管理底层；DaaS是虚拟桌面服务，属于SaaS的细分。因此正确答案为A。

云环境中，防止DDoS攻击的核心技术是？

A.数据加密

B.流量清洗

C.访问控制

D.漏洞扫描

答案：B

解析：DDoS攻击通过海量流量淹没目标，流量清洗（如通过专用设备识别并过滤异常流量）是主要防护手段。数据加密保护数据机密性，访问控制管理权限，漏洞扫描发现系统弱点，均不直接针对DDoS。因此正确答案为B。

以下哪项不属于云安全合规的常见标准？

A.GDPR（通用数据保护条例）

B.ISO27001（信息安全管理体系）

C.PCIDSS（支付卡行业数据安全标准）

D.CAPEX（资本性支出）

答案：D

解析：GDPR（欧盟）、ISO27001（国际）、PCIDSS（支付行业）均为云安全合规标准；CAPEX是企业财务术语（资本性支出），与合规无关。因此正确答案为D。

云环境中“数据主权”问题主要涉及？

A.数据存储位置的法律约束

B.数据加密算法的强度

C.数据备份的频率

D.数据删除的彻底性

答案：A

解析：数据主权指数据需受所在国法律管辖（如中国《数据安全法》要求重要数据本地化存储），核心是存储位置的法律约束。其他选项涉及数据安全技术，与主权无直接关联。因此正确答案为A。

云原生场景下，容器安全的关键防护对象是？

A.虚拟机镜像

B.容器镜像仓库

C.物理服务器

D.数据库实例

答案：B

解析：容器安全需防护镜像仓库（防止恶意镜像注入）、容器运行时（如资源隔离）、Kubernetes集群（如RBAC权限）。虚拟机镜像属于IaaS层，物理服务器是云服务商责任，数据库实例是应用层对象。因此正确答案为B。

以下哪种身份认证方式符合“最小权限原则”？

A.为管理员分配所有云资源的完全控制权限

B.为测试人员分配仅访问测试环境的临时权限

C.为所有用户默认开启跨账户资源访问

D.为开发人员分配生产环境数据库的写权限

答案：B

解析：最小权限原则要求仅授予完成任务所需的最小权限。测试人员仅需测试环境权限（临时且有限）符合该原则；其他选项均存在权限过度分配问题。因此正确答案为B。

云审计的核心目的是？

A.提升云资源利用率

B.验证安全控制措施的有效性

C.优化云服务成本

D.加速应用部署速度

答案：B

解析：云审计通过记录和分析操作日志（如API调用、权限变更），验证安全策略是否被遵守（如是否存在越权访问），属于合规性和安全性验证。其他选项是运维或成本管理目标。因此正确答案为B。

以下哪项是云环境中“横向移动”攻击的典型场景？

A.攻击者通过弱密码登录用户A的云服务器，再利用该服务器访问用户B的数据库

B.攻击者通过DDoS攻击导致云平台宕机

C.攻击者伪造CA证书窃取用户HTTPS流量

D.攻击者通过SQL注入获取单个数据库记录

答案：A

解析：横向移动指攻击者在突破一个资源后，利用已控资源访问其他关联资源（如从服务器到数据库）。DDoS是拒绝服务，伪造证书是中间人攻击，SQL注入是单点攻击，均不属于横向移动。因此正确答案为A。

云数据脱敏技术中，“将真实姓名替换为‘用户XXX’”属于？

A.匿名化

B.随机化

C.掩码

D.泛化

答案：C

解析：掩码技术通过替换部分字符隐藏敏感信息（如姓名“张三”→“用户001”）；匿名化是彻底去除身份标识（如删除身份证号），随机化是替换为随机值（如→），泛化是抽象化（如“25岁”→“20-30岁”）。因此正确答案为C。

以下哪项属于云安全“左移”实践？

A.在应用上线后进行安全漏洞扫描

B.在开发阶段集成代码安全检测工具

C.在用户投诉数据泄露后启动事件响应

D.在云服务器被入侵后部署防火墙

答案：B

解析：安全左移指将安全措施提前到开发阶段（如代码审计、威胁建模），而非上线后补救。其他选项均为事后处理，不符合左移理念。因此正确答案为B。

二、多项选择题（共10题，每题2分，共20分）

云安全责任共担模型中，云服务商（CSP）通常负责的安全层面包括？

A.物理服务器的物理安全

B.客户数据的加密存储