2025年信息系统安全专家SaaS应用安全模型与租户责任专题试卷及解析.pdfVIP

2025年信息系统安全专家SAAS应用安全模型与租户责任专题试卷及解析1

2025年信息系统安全专家SaaS应用安全模型与租户责任

专题试卷及解析

2025年信息系统安全专家SaaS应用安全模型与租户责任专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SaaS安全模型中，哪项责任通常由云服务提供商（CSP）承担？

A、租户数据的分类和标记

B、应用程序的访问控制策略配置

C、物理基础设施的安全防护

D、租户用户的安全意识培训

【答案】C

【解析】正确答案是C。在SaaS模型中，云服务提供商负责底层基础设施的安全，

包括物理安全、网络基础设施和虚拟化层的安全。A、B、D选项都属于租户的责任范

围。知识点：SaaS共享责任模型。易错点：容易混淆基础设施安全和应用安全责任的

划分。

2、以下哪项是SaaS环境中租户最应该关注的安全配置？

A、数据中心的冗余电源设计

B、多租户数据隔离机制

C、服务器的硬件加密模块

D、网络带宽的QoS设置

【答案】B

【解析】正确答案是B。多租户数据隔离是SaaS租户最核心的安全关注点，直接影

响数据机密性。A、C选项属于基础设施层，由服务商负责；D选项属于性能优化范畴。

知识点：SaaS多租户架构安全。易错点：容易将基础设施安全和应用层安全混淆。

3、在SaaS应用中，哪项措施最能有效防止租户间的数据泄露？

A、实施严格的访问控制列表

B、使用租户专用的数据库实例

C、部署Web应用防火墙

D、启用传输层加密

【答案】B

【解析】正确答案是B。专用数据库实例提供了最强的逻辑隔离，是防止租户间数

据泄露的最有效手段。A选项是必要但不充分的；C选项主要防护外部攻击；D选项只

保护传输过程。知识点：SaaS数据隔离技术。易错点：容易低估逻辑隔离的重要性。

4、SaaS服务商的”责任终止点”通常位于哪里？

A、物理服务器硬件

2025年信息系统安全专家SAAS应用安全模型与租户责任专题试卷及解析2

B、操作系统层

C、应用程序接口层

D、租户数据本身

【答案】C

【解析】正确答案是C。在SaaS模型中，服务商责任通常止于应用程序接口层，之

上的配置、数据管理等由租户负责。A、B属于IaaS/PaaS层；D完全属于租户责任。

知识点：SaaS责任边界划分。易错点：容易混淆不同云服务模型的责任边界。

5、以下哪项属于SaaS租户的合规责任？

A、确保数据中心的SOC2认证

B、实施GDPR要求的数据主体权利响应流程

C、维护PCIDSS认证

D、配置网络入侵检测系统

【答案】B

【解析】正确答案是B。数据主体权利响应是租户的合规责任，涉及业务流程和数

据处理。A、C是服务商的基础认证；D属于基础设施安全。知识点：SaaS合规责任划

分。易错点：容易将合规认证和合规实施混淆。

6、在SaaS环境中，哪项配置错误最可能导致权限提升？

A、过度宽松的API权限设置

B、未启用多因素认证

C、日志记录不完整

D、密码复杂度不足

【答案】A

【解析】正确答案是A。API权限设置错误直接导致越权访问风险，是权限提升的

主要途径。B、D是认证层面的弱项；C属于审计范畴。知识点：SaaS权限管理。易错

点：容易忽视API安全的重要性。

7、SaaS租户应该优先实施哪项措施来保护静态数据？

A、定期备份数据

B、使用客户端加密

C、启用数据脱敏

D、实施数据分类

【答案】B

【解析】正确答案是B。客户端加密确保即使服务商也无法访问明文数据，是最强

的静态数据保护措施。A是可用性措施；C、D是数据管理措施。知识点：SaaS数据加

密策略。易错点：容易混淆数据保护和数据管理措施。

8、以下哪项是SaaS服务商通常不提供的功能？

2025