2025年信息系统安全专家容器安全综合攻防演练专题试卷及解析.pdfVIP

2025年信息系统安全专家容器安全综合攻防演练专题试卷及解析1

2025年信息系统安全专家容器安全综合攻防演练专题试卷

及解析

2025年信息系统安全专家容器安全综合攻防演练专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器运行时安全防护中，以下哪种技术最有效防止容器逃逸攻击？

A、限制容器CPU使用率

B、使用只读根文件系统

C、启用用户命名空间隔离

D、定期更新基础镜像

【答案】C

【解析】正确答案是C。用户命名空间隔离通过将容器内的root用户映射为宿主机

上的普通用户，能有效防止容器逃逸。A选项仅影响性能，B选项可防止恶意修改但无

法阻止逃逸，D选项属于预防措施而非运行时防护。知识点：Linux命名空间机制。易

错点：混淆运行时防护与镜像安全措施。

2、DockerSwarm集群中，以下哪个操作会暴露管理节点端口？

A、dockerservicecreate

B、dockerswarminit

C、dockernodels

D、dockerstackdeploy

【答案】B

【解析】正确答案是B。dockerswarminit默认会开放2377端口用于集群管理。

A/C/D操作不会新增端口暴露。知识点：DockerSwarm端口管理。易错点：忽略初始

化时的默认端口配置。

3、Kubernetes中，以下哪种资源对象最适合实现容器镜像扫描策略？

A、PodSecurityPolicy

B、ValidatingWebhookConfiguration

C、NetworkPolicy

D、ResourceQuota

【答案】B

【解析】正确答案是B。ValidatingWebhook可在Pod创建时拦截并验证镜像扫描

结果。A已废弃，C用于网络控制，D用于资源限制。知识点：Kubernetes准入控制。

易错点：混淆不同准入控制器的功能。

4、容器运行时runc的主要安全风险是？

A、镜像层过多

2025年信息系统安全专家容器安全综合攻防演练专题试卷及解析2

B、Cgroup配置错误

C、内核漏洞利用

D、环境变量泄露

【答案】C

【解析】正确答案是C。runc直接与内核交互，内核漏洞可能导致容器逃逸。A影

响效率，B/D属于配置问题。知识点：容器运行时安全。易错点：忽视共享内核的固有

风险。

5、以下哪种工具最适合检测容器内的恶意进程？

A、Trivy

B、Falco

C、Clair

D、Notary

【答案】B

【解析】正确答案是B。Falco专门用于运行时异常行为检测。A/C用于镜像扫描，

D用于镜像签名验证。知识点：容器运行时监控。易错点：混淆静态扫描与动态检测工

具。

6、KubernetesRBAC中，以下哪个角色具有最高权限？

A、clusteradmin

B、admin

C、edit

D、view

【答案】A

【解析】正确答案是A。clusteradmin拥有集群级别的完全控制权。B仅限命名空

间，C/D权限递减。知识点：RBAC权限模型。易错点：忽略集群级别与命名空间级别

的区别。

7、容器镜像构建时，以下哪种做法最不安全？

A、使用多阶段构建

B、固定基础镜像版本

C、在Dockerfile中存储密钥

D、最小化镜像层数

【答案】C

【解析】正确答案是C。Dockerfile中的密钥会永久保留在镜像历史中。A/B/D都

是安全最佳实践。知识点：镜像安全构建。易错点：低估镜像层的持久性。

8、Kubernetes网络策略默认行为是？

A、允许所有流量

2025年信息系统安全专家容器安全综合攻防演练专题试卷及解析