2025年信息系统安全专家业务连续性零信任架构下的恢复专题试卷及解析.pdfVIP

2025年信息系统安全专家业务连续性零信任架构下的恢复专题试卷及解析1

2025年信息系统安全专家业务连续性零信任架构下的恢复

专题试卷及解析

2025年信息系统安全专家业务连续性零信任架构下的恢复专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在零信任架构下，业务连续性恢复的首要原则是什么？

A、以网络边界为中心进行恢复

B、基于身份和上下文动态授权访问恢复资源

C、优先恢复物理基础设施

D、采用预设的静态恢复策略

【答案】B

【解析】正确答案是B。零信任架构的核心思想是“从不信任，始终验证”，因此在业

务连续性恢复中，首要原则是基于身份和设备状态、访问位置等上下文信息进行动态、

细粒度的授权，而不是依赖传统的网络边界。选项A是传统边界安全模型的理念，与

零信任相悖。选项C是传统灾备的思路，虽然重要，但不是零信任架构下的首要原则。

选项D的静态策略无法适应动态变化的威胁环境和业务需求，不符合零信任的动态性

要求。知识点：零信任核心原则。易错点：容易将传统灾备的物理恢复优先或网络边界

恢复与零信任的动态身份验证混淆。

2、在零信任模型中，实现业务系统快速恢复的关键技术支撑是什么？

A、大规模冗余的硬件设备

B、微分段与软件定义边界（SDP）

C、固定的IP地址分配

D、基于地理位置的访问控制

【答案】B

【解析】正确答案是B。微分段可以将网络划分为极小的、独立的区域，限制攻击者

在网络内部的横向移动，即使部分系统受损，也能快速隔离并恢复其他未受影响的微分

段。软件定义边界（SDP）则可以根据需要动态创建安全的、临时的访问通道，使授权

用户和系统能够安全地连接到恢复后的应用，两者结合是实现快速、安全恢复的关键。

选项A虽然能提供高可用性，但成本高昂且不够灵活，不是零信任的核心技术。选项

C固定的IP地址在动态恢复环境中难以管理，且容易成为攻击目标。选项D地理位置

只是零信任中众多上下文因素之一，不是实现快速恢复的关键技术。知识点：零信任关

键技术。易错点：可能误认为硬件冗余是恢复的唯一保障，而忽略了网络架构层面的动

态隔离与访问控制技术。

3、零信任架构下的恢复演练，与传统灾备演练最大的不同点在于？

A、演练频率更高

2025年信息系统安全专家业务连续性零信任架构下的恢复专题试卷及解析2

B、更侧重于验证动态访问策略的有效性

C、必须包含完整的业务流程测试

D、演练报告需要提交给监管机构

【答案】B

【解析】正确答案是B。传统灾备演练主要关注系统在预定时间内的恢复能力和数

据完整性。而零信任架构下的恢复演练，除了验证系统恢复能力外，更核心的是验证在

恢复场景下，动态的、基于上下文的访问控制策略是否依然有效，能否正确识别和授权

用户、设备，阻止未授权访问。选项A、C、D虽然也可能是演练的一部分，但并非体

现零信任特性的“最大”不同点。知识点：零信任恢复演练与传统灾备演练的区别。易错

点：容易只关注演练的通用要求（如频率、流程），而忽略了零信任模式下对“访问策略”

这一核心要素的验证。

4、当组织采用零信任架构时，其业务连续性计划（BCP）中的恢复时间目标（RTO）

和恢复点目标（RPO）设定，应如何调整？

A、RTO和RPO都应显著放宽，因为零信任更安全

B、RTO和RPO都应显著收紧，因为零信任能实现更快恢复

C、RTO可能收紧，但RPO的设定与数据备份策略强相关，不受零信任直接影响

D、RTO和RPO的设定与零信任架构无关

【答案】C

【解析】正确答案是C。零信任架构通过微分段和快速隔离，可以有效遏制故障或

攻击的扩散，从而可能缩短系统的恢复时间，即RTO可以设定得更严格。然而，RPO

（能容忍的最大数据丢失量）主要取决于数据备份的频率和技术，零信任架构本身并不

直接改变数据备份和恢复的能力，因此RPO的设定主要还是依赖于备份策略。选项A

和B的说法过于绝对。选项D是错误的，零信任架构确实会影响恢复过程的效率和安

全性，从而间接影响RTO的设定。知识点：RTO/RPO与