云网安全应知应会认证试卷（有答案）

云网安全应知应会认证试卷（有答案）一、单项选择题（每题2分，共30分）1.以下哪项属于云服务模式中的PaaS（平台即服务）？A.阿里云ECS（弹性计算服务）B.腾讯云数据库TencentDBC.微软AzureAppService（应用服务平台）D.华为云对象存储OBS答案：C2.云环境下，防止DDoS攻击的核心措施是？A.关闭所有对外开放端口B.部署流量清洗与负载均衡C.定期更新操作系统补丁D.对用户数据进行加密存储答案：B3.以下哪种加密算法属于非对称加密？A.AES256B.RSAC.DESD.SHA256答案：B4.云安全责任共担模型中，用户无需负责的是？A.应用程序漏洞修复B.云服务器操作系统安全配置C.数据加密与访问控制D.云数据中心物理安全答案：D5.关于云安全组的描述，正确的是？A.安全组规则默认允许所有流量B.安全组仅支持出站规则配置C.安全组是有状态的，会记住已建立的连接D.安全组只能绑定单台云服务器答案：C6.以下哪项不属于云环境下常见的数据泄露风险？A.未授权的API接口访问B.云存储桶（Bucket）未设置公共读权限C.用户弱口令导致账号被盗D.数据库备份文件未加密存储答案：B7.符合等保2.0要求的云平台，需通过的测评不包括？A.安全物理环境测评B.安全通信网络测评C.安全管理制度测评D.云服务商商业信誉测评答案：D8.零信任架构的核心思想是？A.信任内部网络所有设备B.持续验证访问请求的合法性C.仅允许固定IP地址访问云资源D.关闭所有外部网络接口答案：B9.云环境下，实现最小权限原则的关键是？A.为所有用户分配管理员权限B.基于角色的访问控制（RBAC）C.禁用多因素认证（MFA）D.定期删除所有历史日志答案：B10.以下哪种攻击主要针对云数据库？A.SQL注入B.ARP欺骗C.蓝牙劫持D.键盘记录答案：A11.云服务提供商（CSP）通常通过以下哪项措施保障数据隔离？A.物理服务器共享B.虚拟私有云（VPC）与子网划分C.关闭所有监控日志D.允许用户直接访问底层硬件答案：B12.对云存储中的敏感数据进行脱敏处理时，“将身份证号后四位替换为‘’”属于哪种方法？A.随机化B.泛化C.掩码D.加密答案：C13.以下哪项是云环境下身份与访问管理（IAM）的核心功能？A.监控云服务器CPU使用率B.分配用户角色并管理权限C.自动扩容云数据库容量D.优化云网络带宽答案：B14.云环境中，防止横向移动攻击的关键措施是？A.启用网络分段与微隔离B.增加云服务器内存C.关闭所有防火墙规则D.定期更换云服务器操作系统答案：A15.关于云日志审计的描述，错误的是？A.需记录用户登录、资源操作等关键事件B.日志应存储在本地云服务器中C.日志保留时间需符合合规要求（如6个月）D.需对日志进行完整性校验防止篡改答案：B二、判断题（每题1分，共10分）1.云服务商承诺“100%安全”，因此用户无需采取额外安全措施。（）答案：×2.云服务器默认安全组规则应设置为“拒绝所有入站流量，允许所有出站流量”。（）答案：√3.数据加密后存储在云端，因此无需再对密钥进行安全管理。（）答案：×4.多因素认证（MFA）可以有效降低账号被盗风险。（）答案：√5.云环境下，用户数据的所有权归云服务商所有。（）答案：×6.为提高效率，应将所有云资源（如ECS、数据库）放在同一个VPC中。（）答案：×7.定期对云资源进行漏洞扫描和渗透测试是必要的安全措施。（）答案：√8.云存储桶（Bucket）设置为“公共读”不会导致数据泄露。（）答案：×9.零信任架构要求“永不信任，始终验证”，适用于混合云与多云环境。（）答案：√10.云安全事件发生后，只需通知云服务商处理，用户无需参与。（）答案：×三、填空题（每题2分，共20分）1.云服务的三种基本模式是IaaS（基础设施即服务）、PaaS（平台即服务）和__________（软件即服务）。答案：SaaS2.云环境下，数据泄露的主要途径包括未授权访问、接口漏洞和__________。答案：内部人员误操作3.常见的对称加密算法有AES和__________（列举一种）。答案：DES（或3DES）4.云安全责任共担模型中，用户需负责__________、应用程序和身份与访问控制的安全。答案：数据5.网络访问控制的主要方法包括白名单、黑名单和__________（基于角色/属性的访问控制）。答案：RBAC（或ABAC）6.云环境下，防止DDoS攻击的技术手段包括流量清洗、__________和速率限制。答案：负载均衡7.等保2.0要求云平台需满足“一个中心，三重防护”，其中“一个中心”指__________。答案：安全管理中心8.云日志审计需满足的三个关键要求是完整性、__________和可追溯性。答案：准确性9.云数据库的安全措施包括加密存储、__________和备份恢复策略。答案：访问控制（或权限管理）10.零信任架构的核心原则包括持续验证、最小权限和__________。答案：动态访问控制四、简答题（每题6分，共30分）1.简述云安全责任共担模型的核心内容。答案：云安全责任共担模型指云服务商（CSP）与用户共同承担安全责任。CSP负责云基础设施（如物理服务器、网络、存储硬件）、虚拟化层和基础服务（如防火墙、负载均衡）的安全；用户负责自身数据、应用程序、身份与访问控制（IAM）、操作系统和中间件的安全配置。责任划分因云服务模式（IaaS/PaaS/SaaS）不同而变化，SaaS模式下用户责任最轻，IaaS模式下用户责任最重。2.列举云环境下数据脱敏的三种常用方法，并简要说明。答案：（1）掩码：将敏感信息部分隐藏（如身份证号变为“4401011234”）；（2）泛化：将精确数据替换为更宽泛的值（如年龄“28”泛化为“2030岁”）；（3）随机化：用随机值替换敏感数据（如手机号随机变为）；（4）加密：通过算法将数据转换为密文（如AES加密），需密钥解密。3.说明IAM（身份与访问管理）在云安全中的主要功能。答案：IAM的核心功能包括：（1）身份管理：创建、删除用户/角色，管理账号生命周期；（2）权限分配：基于角色（RBAC）或属性（ABAC）为用户/角色分配云资源（如ECS、数据库）的操作权限（读、写、删除）；（3）认证与授权：验证用户身份（如密码、MFA），确认其是否有权执行请求操作；（4）审计与监控：记录用户登录、权限变更、资源操作等日志，用于合规检查和安全事件追溯。4.云环境下，如何防范API接口被恶意调用？答案：（1）身份验证：使用OAuth2.0、API密钥等方式验证调用方身份；（2）权限控制：为API接口设置最小权限（如仅允许“读”操作），避免越权访问；（3）速率限制：通过限流（如每分钟最多100次调用）防止暴力破解或DDoS攻击；（4）输入校验：对API请求参数进行合法性检查，防止SQL注入、XSS等攻击；（5）加密传输：使用HTTPS协议加密API请求与响应数据；（6）监控与日志：记录API调用日志，及时发现异常调用行为（如短时间内大量请求）。5.简述云服务器安全配置的基本要求。答案：（1）操作系统：安装最新安全补丁，关闭不必要的服务和端口（如Telnet）；（2）访问控制：启用强口令策略（长度≥8位，包含字母、数字、符号），强制使用SSH密钥登录（禁用密码登录）；（3）安全组：配置最小化安全组规则（仅允许必要端口和IP访问），区分入站/出站流量；（4）防病毒/入侵检测：安装云厂商提供的安全插件（如阿里云安骑士），实时监控恶意进程和异常行为；（5）数据加密：对系统盘、数据盘启用加密（如AWSEBS加密），保护静态数据安全；（6）日志与备份：开启系统日志（如Linux的/var/log），定期备份服务器数据至独立存储（如对象存储）。五、案例分析题（每题10分，共10分）某企业将电商平台迁移至阿里云，使用ECS（云服务器）部署前端应用，RDS（关系型数据库）存储用户订单数据。近期发生用户信息泄露事件，部分用户手机号、收货地址被公开。经初步排查，发现以下线索：RDS数据库的安全组规则开放了3306端口（MySQL默认端口）的公网访问；数据库账号使用弱口令（如“123456”）；前端应用API接口未启用速率限制，存在大量异常调用日志；云服务器未开启操作日志记录。问题：分析可能导致数据泄露的原因，并提出至少5项整改措施。答案：可能原因：（1）数据库公网端口开放，攻击者可直接连接数据库；（2）数据库弱口令被暴力破解，获取管理员权限；（3）前端API接口未限流，攻击者通过恶意调用遍历用户数据；（4）服务器未记录操作日志，无法及时发现异常行为；（5）数据传输未加密（如使用HTTP而非HTTPS），可能被中间人截获。整改措施：（1）关闭数据库3306端口的公网访问，仅允许内网（VPC内）ECS服务器访问；（2）修改数据库账号口令为强口令（≥12位，包含大小写字母、数字、符号），启用多因素认证（MFA）；（3）为前端API接口