2025年云安全工程师考试题库（附答案和详细解析）（1210）.docxVIP

云安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

云安全责任共担模型中，SaaS服务模式下用户的主要安全责任是？

A.管理物理服务器

B.保护应用数据

C.维护操作系统

D.配置网络防火墙

答案：B

解析：云安全责任共担模型中，IaaS用户需管理操作系统和网络（C、D错误），PaaS用户需管理应用代码，SaaS用户仅需保护自身数据（A为云服务商责任）。因此正确答案为B。

以下哪种攻击是云环境特有的安全威胁？

A.DDoS攻击

B.跨租户隔离失效

C.SQL注入

D.恶意软件感染

答案：B

解析：DDoS、SQL注入、恶意软件在传统IT环境也存在（A、C、D错误），跨租户隔离失效是云多租户架构特有的风险（如利用虚拟化漏洞访问其他租户资源），因此选B。

云环境中，用于实现“最小权限原则”的核心技术是？

A.数据加密

B.访问控制列表（ACL）

C.入侵检测系统（IDS）

D.日志审计

答案：B

解析：最小权限原则要求仅授予必要权限，ACL通过细粒度权限配置实现这一目标（B正确）。数据加密保护数据机密性（A错误），IDS用于检测攻击（C错误），日志审计用于事后追溯（D错误）。

以下哪项属于云安全合规框架？

A.ISO27001

B.TCP/IP

C.RESTAPI

D.Kubernetes

答案：A

解析：ISO27001是信息安全管理体系标准，属于合规框架（A正确）。TCP/IP是网络协议（B错误），RESTAPI是接口规范（C错误），Kubernetes是容器编排工具（D错误）。

云存储中“静态数据加密”的主要目的是？

A.防止传输过程中被截获

B.保护存储介质丢失时的数据安全

C.抵御DDoS攻击

D.验证用户身份

答案：B

解析：静态数据加密保护存储状态的数据，即使存储介质丢失或被盗，数据仍无法被解密（B正确）。传输加密防止传输截获（A错误），DDoS防护依赖流量清洗（C错误），身份验证依赖IAM（D错误）。

云环境下，“零信任架构”的核心原则是？

A.网络分段

B.持续验证

C.最小权限

D.数据脱敏

答案：B

解析：零信任的核心是“永不信任，持续验证”，要求对每次访问请求进行身份、设备、环境等多因素验证（B正确）。网络分段和最小权限是辅助措施（A、C错误），数据脱敏是数据保护手段（D错误）。

以下哪种云服务模型需要用户管理数据库？

A.IaaS

B.PaaS

C.SaaS

D.DaaS

答案：B

解析：PaaS（平台即服务）提供数据库等中间件，用户需管理数据库配置（B正确）。IaaS用户管理操作系统（A错误），SaaS用户仅使用应用（C错误），DaaS是桌面即服务（D错误）。

云安全中，“横向移动”攻击主要针对？

A.不同云服务商之间的接口

B.同一租户内的不同资源

C.租户与云服务商的管理接口

D.公网与私有云的边界

答案：B

解析：横向移动是攻击者在入侵某资源后，利用权限扩展攻击同一租户内其他资源（如从Web服务器到数据库），因此选B（A、C、D错误）。

以下哪项是云访问安全代理（CASB）的核心功能？

A.物理服务器监控

B.跨云平台流量审计

C.虚拟机漏洞扫描

D.数据库性能优化

答案：B

解析：CASB作为云与用户间的中间层，主要功能是监控跨云平台的流量，实现数据丢失防护、合规检查等（B正确）。物理服务器监控属IaaS管理（A错误），漏洞扫描是安全工具功能（C错误），数据库优化与安全无关（D错误）。

云环境下，“基础设施即代码（IaC）”的安全风险主要体现在？

A.代码泄露导致配置被恶意修改

B.物理服务器硬件故障

C.云服务商网络中断

D.用户密码强度不足

答案：A

解析：IaC通过代码定义资源配置，若代码泄露或被篡改，可能导致资源配置错误（如开放不必要端口），引发安全风险（A正确）。硬件故障、网络中断属云服务商责任（B、C错误），密码强度是IAM问题（D错误）。

二、多项选择题（共10题，每题2分，共20分）

云安全中的“数据生命周期管理”包括以下哪些阶段？（）

A.数据创建

B.数据传输

C.数据存储

D.数据销毁

答案：ABCD

解析：数据生命周期覆盖从创建、传输、存储到最终销毁的全流程，每个阶段都需安全控制（如创建时分类、传输时加密、存储时访问控制、销毁时彻底擦除），因此全选。

以下属于云原生安全技术的有？（）

A.KubernetesPod安全策略

B.容器镜像漏洞扫描

C.传统防火墙规则配置

D.服务器硬件冗余

答案：AB

解析：云原生安全聚焦容器、微服务等云原生架构，包括K8sPod策略（限制容器权限）和容器镜像扫描（检测镜像中的漏洞）（A、B正确）。传统防火墙（C