2025年安全运维工程师试题及答案.docxVIP

2025年安全运维工程师试题及答案

一、单项选择题（每题2分，共20题，40分）

1.某企业部署零信任架构时，要求所有访问必须经过身份验证、设备安全状态检查和动态权限评估。以下哪项不符合零信任核心原则？

A.默认不信任网络内外部任何设备和用户

B.基于上下文（时间、位置、设备状态）动态调整权限

C.仅对外部用户实施严格验证，内部用户免验证

D.最小化资源访问权限，按需授权

答案：C

2.某Web应用遭受SQL注入攻击后，运维团队计划部署WAF。以下关于WAF的描述，错误的是？

A.基于特征匹配的WAF可能漏报新型变种攻击

B.云WAF相比本地WAF更易应对DDoS攻击

C.WAF应部署在应用服务器与数据库之间

D.机器学习型WAF可通过流量训练提升未知攻击检测能力

答案：C（WAF通常部署在用户与应用服务器之间）

3.某Linux服务器/var/log目录日均产生50GB日志，运维需要快速定位最近24小时内用户admin的异常登录记录。最优操作是？

A.使用`tail-f/var/log/auth.log|grepadmin`实时监控

B.执行`cat/var/log/auth.log|awk{if($4=2025-03-10)print}|grepadmin`

C.利用`grepadmin/var/log/auth.log|grep-EFailed|Invalid`结合`date`命令过滤时间范围

D.先使用`logrotate`压缩旧日志，再搜索当前日志文件

答案：C（需同时过滤用户和时间范围，结合grep多条件筛选更高效）

4.某云平台EC2实例配置了安全组规则：允许TCP80、443入站，拒绝所有其他端口入站。若实例需开放SSH（22端口）供运维访问，正确操作是？

A.在安全组中新增允许TCP22来自/0规则

B.在安全组中新增允许TCP22来自运维IP段规则

C.删除原有拒绝规则，仅保留允许80、443、22的规则

D.修改原有拒绝规则为拒绝TCP22来自/0

答案：B（最小权限原则，限制SSH访问源IP）

5.以下哪项不属于勒索软件应急响应的关键步骤？

A.立即断开感染主机网络连接

B.备份未加密的原始数据

C.使用第三方解密工具尝试恢复数据

D.升级所有主机防病毒软件病毒库

答案：D（升级病毒库属于预防措施，应急响应需优先控制扩散）

6.某企业使用SIEM系统进行日志集中分析，发现某数据库服务器每日23:00有异常SQL查询（SELECTFROMuser_info），源IP为内部开发机。可能的原因是？

A.数据库慢查询日志未开启

B.开发机存在定时任务违规拉取数据

C.数据库防火墙（DBFW）策略未启用

D.日志采集器时间同步异常

答案：B（定时异常查询符合违规数据拉取特征）

7.关于容器安全，以下说法错误的是？

A.容器镜像需定期扫描CVE漏洞

B.Dockerdaemon默认以root权限运行存在安全风险

C.容器网络应与宿主机网络完全隔离（需通过NAT）

D.使用KubernetesNetworkPolicy可限制容器间流量

答案：C（容器与宿主机共享网络命名空间时可能直接通信）

8.某企业开展等保2.0三级测评，发现未对重要信息系统进行灾难备份。根据测评要求，应满足以下哪项指标？

A.灾难恢复时间目标（RTO）≤2小时

B.灾难恢复点目标（RPO）≤15分钟

C.至少每季度进行一次灾难恢复演练

D.备份数据应存储在本地离线介质

答案：C（等保2.0三级要求至少每季度演练，RTO/RPO根据系统重要性确定）

9.以下哪项是EDR（端点检测与响应）区别于传统杀毒软件的核心能力？

A.基于特征库的病毒查杀

B.进程行为全生命周期监控

C.定期病毒库更新

D.恶意文件哈希值匹配

答案：B（EDR侧重行为分析和威胁溯源）

10.某企业部署IPv6网络后，运维发现部分终端无法访问IPv6资源。可能的故障点不包括？

A.路由器未配置IPv6路由转发

B.终端IPv6地址自动配置（SLAAC）失败

C.防火墙未放行IPv6ICMPv6协议

D.DNS服务器仅支持A记录（IPv4）

答案：D（DNS需支持AAAA记录解析IPv6地址，仅A记录会导致IPv6资源无法解析）

11.关于微服务架构安全，以下最佳实践是？

A.所有微