2026年云安全工程师考试题库（附答案和详细解析）（0518）.docxVIP

云安全工程师

一、单项选择题（共10题，每题1分，共10分）

在云环境中，IAM（身份与访问管理）的核心功能是确保只有经过授权的用户和进程才能访问云资源。以下哪项技术不属于IAM的范畴？A.多因素认证（MFA）B.访问控制列表（ACL）C.加密文件系统（EFS）D.基于角色的访问控制（RBAC）

答案：C解析：加密文件系统（EFS）属于数据安全技术，用于保护静态数据；IAM主要关注的是身份认证（MFA）和访问权限管理（ACL、RBAC）。

针对云服务提供商（CSP）的DDoS攻击，以下哪种防御策略最有效且成本效益比最高？A.升级服务器硬件配置B.在源站前端部署Web应用防火墙（WAF）C.配置流量清洗服务和分布式拒绝服务攻击防护D.关闭所有非必要的外部端口

答案：C解析：面对大规模DDoS攻击，单纯升级硬件或关闭端口无法应对流量洪峰。流量清洗服务和分布式防护是行业标准做法，能将恶意流量与正常流量分离。

在容器安全中，镜像扫描用于检测漏洞。以下哪个阶段是镜像扫描的最佳实践时机？A.镜像构建完成，推送到镜像仓库之前B.镜像构建完成，推送到镜像仓库之后C.容器启动并运行时D.容器销毁时

答案：B解析：镜像扫描应在镜像构建并推送到镜像仓库后进行。如果在构建时扫描，通常需要集成CI/CD流水线，但推送到仓库后进行离线扫描是更标准的安