2025年云安全工程师考试题库（附答案和详细解析）（1217）.docxVIP

云安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

云安全的核心目标是（）。

A.提升云服务的访问速度

B.保护云环境中数据、应用和基础设施的安全

C.降低云服务的使用成本

D.优化云资源的分配效率

答案：B

解析：云安全的核心是保障云环境中数据（存储、传输、处理）、应用（如Web应用）和基础设施（服务器、网络）的安全性。选项A（速度）和D（资源分配）属于云性能优化范畴；C（成本）是云管理目标，均非安全核心目标。

以下哪项属于云服务提供商（CSP）在IaaS层的典型安全责任？（）

A.操作系统漏洞修复

B.虚拟机（VM）内应用的访问控制

C.物理服务器的防火设施

D.用户数据的加密存储

答案：C

解析：根据云安全共享责任模型，IaaS层CSP负责基础设施（如物理服务器、网络设备）的物理安全和基础架构安全（如防火墙）；用户负责VM操作系统、应用及数据安全。A（OS漏洞）、B（应用权限）、D（数据加密）均由用户负责。

云环境中，用于防止SQL注入攻击的主要安全措施是（）。

A.网络访问控制列表（NACL）

B.Web应用防火墙（WAF）

C.入侵检测系统（IDS）

D.安全组（SecurityGroup）

答案：B

解析：WAF可识别并阻断针对Web应用的常见攻击（如SQL注入、XSS）；NACL和安全组是网络层访问控制工具；IDS用于监测攻击但不直接阻断。

以下哪种加密技术通常用于云存储数据的静态加密？（）

A.TLS1.3

B.AES-256

C.RSA

D.SHA-256

答案：B

解析：静态数据加密（数据存储时）常用对称加密算法（如AES-256）；TLS用于传输加密（动态数据），RSA是非对称加密（用于密钥交换），SHA-256是哈希算法（用于完整性验证）。

云环境中“横向移动”攻击的主要目标是（）。

A.破坏云服务商的物理基础设施

B.通过已攻陷的虚拟机渗透同一网络内的其他资源

C.劫持用户的云服务账户

D.对云数据库进行DDoS攻击

答案：B

解析：横向移动是攻击者利用已控制的云资源（如VM），通过内网渗透攻击同一虚拟网络内的其他资源（如数据库、其他VM）；A（物理设施）由CSP保护，C（账户劫持）是身份攻击，D（DDoS）是网络层攻击。

以下哪项不属于云原生安全的核心技术？（）

A.容器镜像安全扫描

B.Kubernetes（K8s）集群权限管理

C.虚拟机（VM）快照备份

D.服务网格（ServiceMesh）的mTLS认证

答案：C

解析：云原生安全聚焦容器、微服务、K8s等技术栈的安全；VM快照备份是传统虚拟化安全措施，不属于云原生（云原生通常基于容器而非VM）。

云安全合规中，“等保2.0”要求的“安全通信网络”层面不包括（）。

A.网络边界防护

B.通信过程加密

C.访问控制策略配置

D.数据脱敏处理

答案：D

解析：等保2.0“安全通信网络”关注网络层面的防护（边界、加密、访问控制）；数据脱敏属于“安全数据”层面的要求。

零信任架构（ZeroTrust）的核心原则是（）。

A.默认允许所有访问，仅阻断已知威胁

B.基于用户位置自动信任内部网络

C.永不信任，持续验证

D.仅信任通过VPN接入的用户

答案：C

解析：零信任的核心是“永不信任，持续验证”（NeverTrust,AlwaysVerify），要求对所有访问请求（无论内外网）进行身份、设备、环境等多维度验证；A（默认允许）是传统“边界安全”思路，B（位置信任）和D（VPN信任）不符合零信任原则。

云环境中，API安全的关键风险不包括（）。

A.API过度授权

B.API输入验证缺失

C.API流量监控不足

D.物理服务器断电

答案：D

解析：API安全风险主要涉及权限（A）、输入验证（B）、监控（C）等应用层问题；物理服务器断电是基础设施层风险，由CSP保障。

以下哪种场景最适合使用云访问安全代理（CASB）？（）

A.检测云服务器的硬件故障

B.监控和控制SaaS应用（如Office365）的用户访问行为

C.优化云数据库的查询性能

D.防御云网络的DDoS攻击

答案：B

解析：CASB是用于SaaS/PaaS应用的安全中间件，可实现访问控制、数据丢失防护（DLP）、合规审计等；A（硬件故障）是监控工具功能，C（性能优化）是数据库调优，D（DDoS防御）是网络安全设备功能。

二、多项选择题（共10题，每题2分，共20分）

云安全的主要威胁包括（）。

A.数据泄露

B.DDoS攻击

C.配置错误（如S3存储桶未加密且公开可访问）

D.API滥用

答案：ABCD

解析：云环境中数据泄露（敏感数据未加密）、D