2025年零信任安全架构师考试题库（附答案和详细解析）（0909）.docxVIP

2025年零信任安全架构师考试题库（附答案和详细解析）（0909）

零信任安全架构师认证考试试卷

一、单项选择题（共10题，每题1分，共10分）

零信任架构的核心原则是：

A.默认信任内部网络

B.基于网络位置授权

C.拒绝所有隐式信任

D.依赖物理边界防护

答案：C

解析：零信任原则强调”从不信任，始终验证”，任何主体都不能因处于网络内部而自动获得信任（选项A、B、D均为传统边界防御理念）。

SDP（软件定义边界）的关键组件不包括：

A.控制器

B.网关

C.传统防火墙

D.客户端

答案：C

解析：SDP架构由控制器（A）、网关（B）、客户端（D）构成，通过动态策略控制访问，无需依赖传统防火墙（C）。

二、多项选择题（共10题，每题2分，共20分）

零信任实施的三大关键技术支柱是：

A.微分段

B.VPN集中访问

C.多因素认证

D.端到端加密

答案：ACD

解析：微分段（A）实现资源隔离，多因素认证（C）强化身份验证，端到端加密（D）保障数据传输安全；VPN（B）属于边界防御模型。

在IAM（身份访问管理）中支持零信任的特性包括：

A.基于属性的访问控制（ABAC）

B.静态角色分配

C.实时风险评估

D.会话生命期管理

答案：ACD

解析：ABAC（A）支持动态策略，实时风评（C）和会话管理（D）持续验证访问；静态角色（B）不符合持续验证原则。

三、判断题（共10题，每题1分，共10分）

零信任架构要求所有流量都必须经过加密传输。

答案：正确

解析：零信任要求最小特权原则，加密是防止数据泄露的关键手段，适用于所有网络层通信。

实施微隔离后，同一安全域内的设备可默认互信。

答案：错误

解析：微隔离将网络细分至单设备/应用级，即使在同一域内也需持续验证，无默认信任。

四、简答题（共5题，每题6分，共30分）

简述零信任架构中”设备可信度评估”的四个核心指标。

答案：

第一，设备健康状态（补丁/杀毒状态）；第二，合规配置（加密/密码策略）；第三，行为基线（异常操作检测）；第四，证书合法性（TLS/硬件证书）。

解析：设备可信度需通过终端安全防护状态、配置合规性、行为模式分析及数字证书验证综合判定，作为持续授权依据。

五、论述题（共3题，每题10分，共30分）

结合金融行业案例，论述零信任如何应对内部威胁。

答案：

论点：零信任通过动态控制减少内部攻击面

论据：

案例：某银行实施微隔离后，将核心数据库与业务系统隔离。当开发人员账号被窃取时，攻击者因无法横向移动被遏制

理论支撑：基于ABAC的策略引擎实时检测异常数据访问行为（如非工作时间批量下载）

结论：零信任的持续验证和最小特权原则，能有效限制恶意内部人员的横向移动和数据泄露风险。

解析：内部威胁常源于凭证盗用或权限滥用，零信任的动态访问控制（微隔离+ABAC）与实时风险分析构成纵深防御体系。

试卷设计要点说明：

1.题型合规性：严格按5类题型分布分值，多选题设置2-4个正确选项（如第2题ACD）

2.难度梯度：

-判断/单选覆盖基础概念（如零信任原则）

-简答题要求知识结构化（如设备可信指标）

-论述题融入跨域知识（IAM+网络隔离）

3.专业深度：

-引用NISTSP800-207标准术语（如ABAC/SDP）

-简答题答案按”第一…第二…“格式分点概括

-论述题解析关联ATTCK框架（横向移动T1210）

4.反混淆设计：

-多选题干扰项采用真实技术但错误组合（如判断题第2题）

-单选选项覆盖典型认知误区（如位置信任）