2025年信息系统安全专家容器主机安全基线配置专题试卷及解析.pdfVIP

2025年信息系统安全专家容器主机安全基线配置专题试卷及解析1

2025年信息系统安全专家容器主机安全基线配置专题试卷

及解析

2025年信息系统安全专家容器主机安全基线配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器主机安全基线配置中，以下哪项措施最能有效防止容器逃逸攻击？

A、限制容器的CPU使用率

B、使用只读根文件系统运行容器

C、禁用容器的网络访问

D、定期更新容器镜像

【答案】B

【解析】正确答案是B。只读根文件系统可以防止攻击者通过修改文件系统内容实

现容器逃逸。A选项CPU限制主要影响性能而非安全；C选项网络限制无法防止本地

逃逸；D选项镜像更新属于常规维护但非最直接防护措施。知识点：容器安全加固的核

心原则。易错点：容易混淆性能限制与安全防护的区别。

2、Dockerdaemon的默认配置中，以下哪个选项存在最高安全风险？

A、使用TLS加密通信

B、允许非root用户运行容器

C、开启DockerRemoteAPI的2375端口

D、启用用户命名空间隔离

【答案】C

【解析】正确答案是C。2375端口未加密的RemoteAPI可能导致远程代码执行。A

选项TLS是安全最佳实践；B选项非root运行可降低权限；D选项用户命名空间增强

隔离性。知识点：Dockerdaemon安全配置要点。易错点：常忽视未加密API的严重

性。

3、容器运行时安全检查中，以下哪项不属于CISBenchmarks要求？

A、禁用容器间默认网络通信

B、限制容器对宿主机设备文件的访问

C、允许容器使用特权模式

D、设置容器日志大小限制

【答案】C

【解析】正确答案是C。特权模式会绕过安全限制，CIS明确要求禁用。A、B、D

均为CIS推荐的安全配置。知识点：CISDocker基准标准核心要求。易错点：特权模

式与普通容器的安全差异理解不足。

4、在Kubernetes环境中，以下哪种Pod安全策略（PSP）配置最严格？

2025年信息系统安全专家容器主机安全基线配置专题试卷及解析2

A、允许hostPID=true

B、禁止挂载宿主机目录

C、允许使用hostNetwork

D、不限制运行用户

【答案】B

【解析】正确答案是B。禁止宿主机目录挂载可防止敏感文件泄露。A、C选项会破

坏隔离性；D选项不限制用户可能导致提权。知识点：KubernetesPod安全策略分级。

易错点：混淆不同PSP选项的安全影响。

5、容器镜像扫描工具中，以下哪项功能不属于静态安全分析范畴？

A、检测已知CVE漏洞

B、分析运行时进程行为

C、识别不安全的配置项

D、检查恶意软件签名

【答案】B

【解析】正确答案是B。运行时行为分析属于动态安全范畴。A、C、D均为静态扫

描典型功能。知识点：容器安全检测技术分类。易错点：静态与动态安全分析的概念区

分。

6、Linux内核安全模块中，以下哪项对容器隔离最关键？

A、SELinux

B、AppArmor

C、Seccomp

D、UserNamespaces

【答案】D

【解析】正确答案是D。用户命名空间实现UID/GID映射，是容器隔离的核心。A、

B为强制访问控制；C为系统调用过滤。知识点：Linux容器隔离技术原理。易错点：

忽视命名空间的基础隔离作用。

7、容器主机审计日志中，以下哪项事件最需要关注？

A、容器正常启动

B、频繁的镜像拉取失败

C、mount系统调用异常

D、容器资源使用波动

【答案】C

【解析】正确答案是C。异常mount可能表示容器逃逸尝试。A为正常操作；B可

能是网络问题；D属于常规资源变化。知识点：容器安全审计关键指标。易错点：难以

区分正常与