2025年信息系统安全专家NIST框架与零信任架构的融合专题试卷及解析.pdfVIP

2025年信息系统安全专家NIST框架与零信任架构的融合专题试卷及解析1

2025年信息系统安全专家NIST框架与零信任架构的融合

专题试卷及解析

2025年信息系统安全专家NIST框架与零信任架构的融合专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在NIST网络安全框架（CSF）中，哪个核心功能与零信任架构的“持续验证”原

则最为契合？

A、识别（Identify）

B、保护（Protect）

C、检测（Detect）

D、响应（Respond）

【答案】C

【解析】正确答案是C。NISTCSF的“检测”功能强调持续监控和及时发现网络安全

事件，这与零信任架构中“永不信任，始终验证”的持续验证原则高度一致。选项A“识

别”侧重于资产管理，B“保护”侧重于防护措施实施，D“响应”侧重于事件处理，均不如

C选项直接体现持续验证的核心思想。知识点：NISTCSF核心功能与零信任原则的对

应关系。易错点：容易混淆“保护”与“检测”功能，误认为防护措施等同于持续验证。

2、零信任架构中，以下哪项技术是实现“最小权限”原则的关键支撑？

A、防火墙

B、身份与访问管理（IAM）

C、入侵检测系统（IDS）

D、数据加密

【答案】B

【解析】正确答案是B。IAM系统通过细粒度的权限控制和动态授权策略，确保用

户只能访问其工作所需的最少资源，完美契合零信任的最小权限原则。防火墙和IDS

属于边界防护技术，数据加密侧重于数据本身安全，均无法实现动态的权限管理。知识

点：零信任关键技术组件。易错点：可能误选防火墙，因其传统上与访问控制相关，但

零信任强调的是基于身份的动态控制而非静态边界。

3、NISTSP800207《零信任架构》标准中，定义的零信任核心概念不包括以下哪

项？

A、身份作为新的安全边界

B、持续监控与评估

C、网络分段

D、默认信任内网流量

【答案】D

2025年信息系统安全专家NIST框架与零信任架构的融合专题试卷及解析2

【解析】正确答案是D。零信任架构的核心原则是“永不信任，始终验证”，明确反对

默认信任任何网络流量（包括内网）。选项A、B、C均是零信任的核心概念。知识点：

零信任架构的基本原则。易错点：可能误认为网络分段是零信任的衍生技术而非核心概

念，但SP800207明确将其列为关键要素。

4、在融合NIST框架与零信任时，哪个CSF子类别最能体现零信任的“设备信任”

要求？

A、PR.AC1（身份和凭证管理）

B、PR.DS1（数据atrest安全）

C、PR.PT4（可信通信）

D、DE.CM8（漏洞扫描）

【答案】A

【解析】正确答案是A。PR.AC1涉及身份验证和凭证管理，是设备信任的基础。虽

然PR.PT4涉及通信安全，但设备信任更侧重于端点身份验证。知识点：NISTCSF子

类别与零信任组件的映射关系。易错点：容易混淆设备信任与通信信任的区别。

5、零信任架构中，以下哪种认证方式最符合NIST多因素认证（MFA）指南？

A、密码+安全问题

B、指纹+动态令牌

C、密码+密码

D、单一生物特征识别

【答案】B

【解析】正确答案是B。NISTSP80063B要求MFA使用不同类型的认证因子（如

生物特征+动态令牌），B选项符合要求。A选项的安全问题属于知识因子，与密码同

类型；C选项是重复知识因子；D选项是单因素认证。知识点：NISTMFA实施指南。

易错点：可能误认为任何两种认证方式组合都符合MFA要求。

6、在NISTCSF“响应”功能中，哪个子类别与零信任的“实时隔离”能力最相关？

A、RS.RP1（响应计划执行）

B、RS.AN1（事件通知）

C、RS.CO1（协调）

D、RS.MA1（缓解）

【答案】D

【解析】正确答案是