2025年云安全工程师考试题库（附答案和详细解析）（1213）.docxVIP

云安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

云安全的核心目标是：

A.仅保护用户数据不被泄露

B.确保云服务商的服务器物理安全

C.保护云资源的机密性、完整性、可用性

D.防止所有外部网络攻击

答案：C

解析：云安全的核心目标是保障云环境中资源（包括数据、应用、服务等）的CIA三性（机密性、完整性、可用性）。选项A错误，因云安全不仅保护数据；选项B错误，物理安全是云服务商基础责任，但非核心目标；选项D错误，无法防止“所有”攻击，安全是动态过程。

以下哪项属于IaaS层用户的安全责任？

A.数据中心电力供应

B.虚拟机操作系统补丁

C.底层网络设备维护

D.物理服务器硬件检测

答案：B

解析：根据云安全责任共担模型，IaaS层用户需负责操作系统、应用、数据等上层资源的安全（如打补丁）。选项A、C、D均为云服务商的物理基础设施责任。

云环境中，用于限制虚拟实例网络访问的主要工具是：

A.负载均衡器（LB）

B.安全组（SecurityGroup）

C.对象存储（OSS）

D.弹性公网IP（EIP）

答案：B

解析：安全组是云环境中基于主机的虚拟防火墙，用于控制实例的入站/出站流量。选项A用于流量分发，非安全控制；C是存储服务；D是公网地址分配工具。

以下哪种加密方式属于“存储加密”？

A.HTTPS传输过程中的TLS加密

B.数据库字段级加密（如用户密码）

C.云服务器内存中的数据加密

D.跨VPC通信的IPSecVPN加密

答案：B

解析：存储加密指数据在静态存储时的加密（如数据库、文件系统）。选项A、D是传输加密；C是使用中加密（数据在内存/计算时）。

云原生安全中，针对容器镜像的主要安全风险是：

A.镜像中包含未修复的漏洞

B.容器网络带宽不足

C.容器CPU资源分配不均

D.容器与宿主机内核版本不兼容

答案：A

解析：容器镜像若包含恶意软件或未修复漏洞（如CVE漏洞），会导致容器实例启动即带毒。选项B、C是资源管理问题，非安全风险；D是兼容性问题，非直接安全威胁。

云访问安全代理（CASB）的核心功能是：

A.加速云服务访问速度

B.监控和控制跨云服务的访问行为

C.替代云服务商的原生安全工具

D.优化云资源的成本开销

答案：B

解析：CASB通过API或代理方式，对SaaS/PaaS服务的访问行为进行审计、合规检查和风险控制（如数据泄露防护）。选项A是CDN功能；C错误，CASB是补充而非替代；D是成本管理工具功能。

以下哪项不属于云安全合规框架？

A.GDPR（通用数据保护条例）

B.ISO27001（信息安全管理体系）

C.等保2.0（网络安全等级保护）

D.CAPEX（资本性支出）

答案：D

解析：CAPEX是财务术语（资本性支出），与安全合规无关。其他选项均为云安全常见合规标准。

云环境中，“横向移动攻击”主要针对：

A.不同云服务商之间的跨云攻击

B.同一租户内不同云资源的渗透

C.外部攻击者对云边界的突破

D.云服务商内部员工的越权操作

答案：B

解析：横向移动指攻击者在突破某个云资源（如虚拟机）后，利用内部网络访问同一租户内其他资源（如数据库、存储）。选项A是跨云攻击，C是边界突破，D是内部威胁，均非横向移动。

云日志审计的关键目的是：

A.统计云资源使用量

B.满足合规要求并追溯安全事件

C.优化云资源配置

D.监控云服务的性能指标

答案：B

解析：日志审计用于记录用户操作、资源变更、异常访问等行为，是安全事件溯源和合规检查的关键依据。选项A是计费需求，C是资源管理，D是性能监控。

以下哪种场景最可能触发云WAF（Web应用防火墙）的拦截？

A.用户尝试通过SSH登录云服务器

B.网站请求中包含SQL注入payload

C.云数据库主从节点同步延迟

D.云存储Bucket未设置访问权限

答案：B

解析：云WAF主要防护Web应用层攻击（如SQL注入、XSS）。选项A是远程登录，由安全组或堡垒机控制；C是数据库性能问题；D是存储权限配置问题。

二、多项选择题（共10题，每题2分，共20分）

云安全责任共担模型中，SaaS层用户需要负责的安全内容包括：（）

A.应用程序的业务逻辑安全

B.用户账户的访问控制（如多因素认证）

C.底层服务器的硬件维护

D.存储数据的加密策略

答案：ABD

解析：SaaS层用户负责自身数据、账户和应用配置的安全（如数据加密、用户权限）；服务商负责平台基础设施、应用框架和底层硬件（C错误）。

云环境中数据泄露的常见原因包括：（）

A.存储桶（Bucket）公共读权限误配置

B.数据库未启用访问审计日志

C.用户凭证（如APIKey）泄露

D.云服务器