2025年信息系统安全专家容器与微服务安全专题试卷及解析.pdfVIP

2025年信息系统安全专家容器与微服务安全专题试卷及解析1

2025年信息系统安全专家容器与微服务安全专题试卷及解

析

2025年信息系统安全专家容器与微服务安全专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器安全中，以下哪项技术最能有效防止容器逃逸攻击？

A、使用只读根文件系统

B、启用用户命名空间隔离

C、限制容器CPU使用率

D、定期更新基础镜像

【答案】B

【解析】正确答案是B。用户命名空间隔离通过将容器内的root用户映射为宿主机

上的普通用户，即使攻击者获得容器root权限也无法直接控制宿主机，这是防止容器

逃逸的核心机制。A选项只能防止文件篡改，C选项仅影响资源分配，D选项属于漏洞

预防而非逃逸防护。知识点：容器隔离机制。易错点：容易混淆资源限制与权限隔离的

区别。

2、Kubernetes中，以下哪种网络策略配置最符合最小权限原则？

A、允许所有Pod间通信

B、仅允许同命名空间Pod通信

C、仅允许指定标签的Pod访问特定端口

D、禁止所有网络通信

【答案】C

【解析】正确答案是C。最小权限原则要求仅授予完成任务所需的最小权限，C选

项通过标签选择器和端口限制实现了精细化控制。A选项过于宽松，B选项范围过大，

D选项完全阻断业务通信。知识点：Kubernetes网络策略。易错点：容易忽略端口级别

的访问控制。

3、在微服务架构中，以下哪种认证方式最适合服务间调用？

A、OAuth2.0

B、JWT令牌

C、用户名密码

D、CAPTCHA验证

【答案】B

【解析】正确答案是B。JWT令牌包含签名信息，可验证服务身份且无状态，适合

分布式系统。OAuth2.0用于用户授权，C选项不安全，D选项用于人机交互。知识点：

微服务认证机制。易错点：容易混淆OAuth与JWT的适用场景。

2025年信息系统安全专家容器与微服务安全专题试卷及解析2

4、Docker镜像扫描工具主要检测以下哪类漏洞？

A、运行时配置错误

B、操作系统层漏洞

C、网络协议漏洞

D、业务逻辑漏洞

【答案】B

【解析】正确答案是B。镜像扫描主要分析镜像包含的操作系统和软件包漏洞。A

选项需运行时工具检测，C选项属于网络层问题，D选项需代码审计。知识点：容器镜

像安全。易错点：容易忽略镜像扫描的静态特性。

5、在服务网格中，mTLS主要用于解决什么安全问题？

A、数据加密传输

B、身份认证

C、访问控制

D、审计日志

【答案】B

【解析】正确答案是B。mTLS通过双向证书认证确保服务间身份可信，虽然也提

供加密(A)，但核心价值在认证。C/D属于其他安全机制。知识点：服务网格安全。易

错点：容易混淆加密与认证的主次关系。

6、以下哪种容器运行时安全机制能检测异常进程？

A、seccomp

B、AppArmor

C、Falco

D、SELinux

【答案】C

【解析】正确答案是C。Falco是运行时异常检测工具，其他三项是访问控制机制。

知识点：容器运行时安全。易错点：容易混淆访问控制与异常检测的区别。

7、KubernetesRBAC中，哪个角色最符合审计员需求？

A、clusteradmin

B、view

C、edit

D、自定义只读角色

【答案】D

【解析】正确答案是D。审计员需要特定资源的只读权限，自定义角色可精确控制。

B选项权限过广，A/C选项包含写权限。知识点：RBAC权限设计。易错点：容易忽视

最小权限原则。

2025年信息系统安全专家容器与微服务安全专题试卷及解析3

8、在微服务安全中，API网关最核心的安全功