2025年信息系统安全专家容器编排平台安全加固专题试卷及解析.pdfVIP

2025年信息系统安全专家容器编排平台安全加固专题试卷及解析1

2025年信息系统安全专家容器编排平台安全加固专题试卷

及解析

2025年信息系统安全专家容器编排平台安全加固专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Kubernetes集群中，为了防止容器逃逸导致宿主机被入侵，最有效的安全加

固措施是什么？

A、启用RBAC权限控制

B、使用只读根文件系统

C、禁用特权容器

D、配置网络策略

【答案】C

【解析】正确答案是C。禁用特权容器是防止容器逃逸最直接有效的措施，因为特

权容器拥有宿主机的几乎所有权限。A选项RBAC主要控制API访问权限，B选项只

读文件系统限制容器内修改但无法阻止逃逸，D选项网络策略仅限制网络通信。知识

点：容器运行时安全。易错点：容易混淆RBAC和特权容器的防护范围。

2、DockerSwarm模式下，默认的集群管理通信端口是哪个？

A、2375

B、2376

C、2377

D、2379

【答案】C

【解析】正确答案是C。2377是DockerSwarm集群管理通信的默认端口，2375是

未加密的DockerAPI端口，2376是加密的DockerAPI端口，2379是etcd的默认端

口。知识点：容器编排平台网络配置。易错点：容易混淆DockerAPI端口和Swarm管

理端口。

3、Kubernetes中，哪个资源对象用于实现服务网格的流量管理？

A、Deployment

B、Service

C、Ingress

D、VirtualService

【答案】D

【解析】正确答案是D。VirtualService是Istio服务网格中定义流量路由规则的核

心资源。A选项Deployment管理Pod副本，B选项Service实现服务发现，C选项

2025年信息系统安全专家容器编排平台安全加固专题试卷及解析2

Ingress管理集群外部访问。知识点：服务网格架构。易错点：容易将传统Kubernetes

资源与服务网格资源混淆。

4、容器镜像扫描工具Trivy的主要功能是什么？

A、运行时安全监控

B、镜像漏洞扫描

C、网络流量分析

D、日志审计

【答案】B

【解析】正确答案是B。Trivy是专门用于扫描容器镜像漏洞的工具。A选项运行

时监控通常使用Falco等工具，C选项网络分析使用Cilium等，D选项日志审计使用

Fluentd等。知识点：容器安全工具链。易错点：容易混淆不同安全工具的功能定位。

5、Kubernetes中，Pod安全策略(PSP)被弃用后，推荐使用什么替代方案？

A、OPAGatekeeper

B、PodSecurityAdmission

C、NetworkPolicy

D、RBAC

【答案】B

【解析】正确答案是B。PodSecurityAdmission是Kubernetes1.25+官方推荐的

PSP替代方案。A选项Gatekeeper是第三方解决方案，C选项网络策略功能不同，D

选项RBAC控制权限而非Pod安全。知识点：Kubernetes安全策略演进。易错点：容

易忽略官方推荐的替代方案。

6、容器运行时安全工具Falco主要基于什么技术实现？

A、静态分析

B、eBPF

C、系统调用监控

D、网络流量捕获

【答案】C

【解析】正确答案是C。Falco通过监控系统调用检测异常行为。A选项静态分析用

于镜像扫描，B选项eBPF是新兴技术但Falco主要基于syscalls，D选项网络监控使

用其他工具。知识点：容器运行时安全检测技术。易错点：容易混淆不同安全工具的底

层技术。

7、Kubernetes中，哪个组件负责证书的自动轮