2025年零信任安全架构师考试题库（附答案和详细解析）（1223）.docxVIP

零信任安全架构师考试试卷

一、单项选择题（共10题，每题1分，共10分）

零信任安全架构的核心假设是（）

A.信任内部网络中的所有设备

B.默认不信任任何内外实体，需持续验证

C.依赖传统防火墙构建安全边界

D.仅验证用户身份即可授权访问

答案：B

解析：零信任的核心原则是“永远不信任，始终验证”（NISTSP800-207定义），默认假设所有实体（包括内部和外部）不可信，需通过持续验证确认其安全状态。A错误，因零信任不默认信任内部；C错误，传统边界防护是零信任要替代的模式；D错误，验证范围需包括身份、设备、环境等多维度。

零信任架构中“最小权限原则”的本质是（）

A.限制用户只能访问单个系统

B.根据当前任务动态分配所需最小权限

C.所有用户仅拥有只读权限

D.管理员拥有最高权限且无需验证

答案：B

解析：最小权限原则要求用户/设备仅获得完成当前任务所需的最小权限，且权限需随场景动态调整（如NIST定义的“动态授权”）。A错误，权限限制与“单个系统”无必然关联；C错误，权限类型需根据任务需求确定（可能读写）；D错误，管理员权限也需遵循最小化和验证要求。

以下哪项不属于零信任架构的“持续验证”要素？（）

A.用户身份真实性

B.设备健康状态（如补丁、杀毒软件）

C.网络带宽占用率

D.访问请求的上下文环境（如IP、时间）

答案：C

解析：持续验证需评估身份（A）、设备状态（B）、环境上下文（D）等风险因素（CSA零信任指南）。网络带宽属于性能指标，与安全验证无关，故C错误。

零信任架构中“微隔离”技术的主要作用是（）

A.提升网络传输速度

B.在逻辑上分割资源，限制横向攻击

C.替代传统antivirus软件

D.实现全局统一身份认证

答案：B

解析：微隔离通过细粒度的策略（如IP+端口+应用标签）将网络划分为更小的安全区域，防止攻击在区域间横向扩散（Gartner定义）。A错误，微隔离可能增加延迟；C错误，微隔离是网络控制技术，不替代终端防护；D错误，身份认证由IAM系统实现。

以下哪项是零信任架构的典型实施框架？（）

A.NISTSP800-207

B.ISO27001

C.PCIDSS

D.GDPR

答案：A

解析：NISTSP800-207《ZeroTrustArchitecture》是零信任领域最权威的实施框架。B是信息安全管理体系标准；C是支付卡行业安全标准；D是欧盟隐私保护法规，均与零信任架构无直接关联。

零信任架构中“身份治理（IAM）”的核心目标是（）

A.记录用户登录日志

B.确保每个实体（用户/设备）有唯一、可验证的身份

C.限制用户访问时长

D.存储用户密码明文

答案：B

解析：IAM的核心是建立可信的身份源，通过多因素认证（MFA）、身份生命周期管理等确保实体身份的真实性（GartnerIAM定义）。A是日志审计的功能；C属于访问控制；D违反安全原则（密码需加密存储）。

以下哪类场景最适合零信任架构？（）

A.物理隔离的局域网内部

B.远程办公人员访问企业资源

C.固定IP的服务器集群

D.离线运行的工业控制系统

答案：B

解析：零信任适用于动态、分布式的访问场景（如远程办公），因传统边界无法覆盖（NIST应用场景指南）。A/C/D场景依赖静态边界，零信任收益较低。

零信任架构中“动态授权”的决策依据不包括（）

A.用户历史行为风险

B.设备是否安装合规软件

C.访问请求的目的（如查询/修改）

D.网络运营商品牌

答案：D

解析：动态授权需结合身份、设备、环境、行为等风险因素（CSA指南）。网络运营商品牌与安全风险无直接关联，故D错误。

以下哪项是零信任架构与传统边界安全的根本区别？（）

A.使用更复杂的防火墙规则

B.从“信任边界内”转向“验证每个访问”

C.增加网络出口的安全设备数量

D.仅验证用户身份而不验证设备

答案：B

解析：传统边界安全假设“边界内可信”，零信任则假设“所有访问不可信，需验证”（NIST对比分析）。A/C是传统安全的优化；D是传统验证的缺陷，零信任需多维度验证。

零信任架构中“持续风险评估”的频率应（）

A.仅在首次访问时评估

B.按固定时间间隔（如每天）评估

C.根据访问场景动态调整（如高风险操作实时评估）

D.仅在设备重启时评估

答案：C

解析：风险评估需根据场景动态调整（如敏感数据访问需实时评估，常规文档访问可低频）（NIST最佳实践）。A/D仅单次评估，无法应对动态风险；B固定频率可能导致高风险场景评估不足或低风险场景冗余。

二、多项选择题（共10题，每题2分，共20分）（每题至少2个正确选项）

零信任架构的核心原则包括（）

A.持续验证