云计算安全工程师岗位招聘考试试卷及答案

云计算安全工程师岗位招聘考试试卷及答案一、填空题（共10题，每题1分）1.云计算服务模式中，________提供基础设施即服务。2.云安全责任共担模型里，用户对________模式仅负责数据和应用安全。3.当前推荐的传输加密协议是________。4.开源容器镜像扫描工具是________。5.可直接恢复生产的备份类型是________备份。6.针对支付卡数据的合规框架是________。7.零信任核心假设是“________”。8.CASB（云访问安全代理）的核心作用是________。9.AWS中DDoS防护核心服务是________。10.Kubernetes的权限控制组件是________。答案1.IaaS2.SaaS3.TLS1.24.Trivy5.全量6.PCIDSS7.从不信任，永远验证8.管控云应用访问与数据安全9.Shield10.RBAC二、单项选择题（共10题，每题2分）1.云安全责任共担中，用户对IaaS不负责以下哪项？A.数据安全B.应用安全C.网络安全D.物理服务器安全2.属于“客户管理密钥”的加密方式是？A.SSE-S3B.SSE-KMSC.客户端加密D.以上都不是3.容器安全核心挑战不包括？A.镜像漏洞B.容器逃逸C.数据持久化安全D.物理机资源分配4.零信任最小权限原则指？A.只给必要权限B.一次访问C.禁止外部访问D.定期轮换权限5.云环境中“配置错误”的典型表现是？A.弱密码B.公开S3存储桶C.恶意软件D.DDoS6.AWS身份认证核心服务是？A.IAMB.EC2C.S3D.Lambda7.容器编排工具是？A.DockerB.KubernetesC.AnsibleD.Jenkins8.不属于“数据传输加密”的场景是？A.客户端→云服务B.云节点间C.云→终端D.数据存云盘9.零信任核心组件不包括？A.身份验证B.授权C.加密D.物理防火墙10.针对医疗数据的合规框架是？A.GDPRB.PCIDSSC.HIPAAD.SOC2答案1.D2.C3.D4.A5.B6.A7.B8.D9.D10.C三、多项选择题（共10题，每题2分，多选/少选不得分）1.云安全主要威胁包括？A.配置错误B.数据泄露C.DDoSD.身份盗用2.零信任核心原则有？A.最小权限B.持续验证C.假设breachD.深层防御3.IaaS安全需关注？A.虚拟机安全B.网络安全C.存储安全D.应用安全4.云存储加密方式包括？A.客户端加密B.SSE-CC.SSE-KMSD.传输加密5.容器安全关键措施有？A.镜像扫描B.容器隔离C.权限控制D.网络分段6.多云安全需考虑？A.跨云身份管理B.统一安全策略C.跨云数据加密D.合规差异7.CASB功能包括？A.云应用发现B.DLPC.访问控制D.威胁检测8.云服务商负责的安全内容？A.物理设施B.网络基础设施C.平台软件D.客户数据9.云安全工具包括？A.AWSGuardDutyB.AzureSecurityCenterC.GCPSCCD.Trivy10.数据安全三大要素？A.机密性B.完整性C.可用性D.合规性答案1.ABCD2.ABC3.ABC4.ABC5.ABCD6.ABCD7.ABCD8.ABC9.ABCD10.ABC四、判断题（共10题，每题2分，√/×）1.PaaS用户负责基础设施安全。（×）2.TLS1.0已淘汰。（√）3.容器逃逸是常见风险。（√）4.零信任不需要边界防护。（×）5.公开存储桶是数据泄露主因之一。（√）6.AWSIAM可管理用户/权限。（√）7.多云安全比单云简单。（×）8.数据备份无需加密。（×）9.最小权限是云安全核心原则。（√）10.SOC2证明云服务安全控制有效性。（√）答案1.×2.√3.√4.×5.√6.√7.×8.×9.√10.√五、简答题（共4题，每题5分）1.简述云安全责任共担模型核心内容。答案：模型明确服务商与用户责任边界：IaaS下，服务商负责物理设施、网络基础设施；用户负责虚拟机、数据、应用。PaaS下，服务商负责平台软件、基础设施；用户负责数据、应用。SaaS下，服务商负责全栈安全；用户仅负责数据和账号。核心是“谁拥有谁负责”，用户需匹配服务模式落实责任。2.什么是零信任？核心原则是什么？答案：零信任是“从不信任，永远验证”的安全架构，默认不信任任何实体（内部/外部）。核心原则：①最小权限（仅授必要权限）；②持续验证（定期重验证身份）；③假设breach（默认系统已被入侵）；④上下文感知（基于位置、设备状态调整权限）。3.容器安全关键挑战有哪些？答案：①镜像漏洞（基础镜像含未修补漏洞）；②容器逃逸（突破隔离访问宿主机）；③权限过大（容器运行权限过高易被利用）；④数据安全（敏感数据未加密）；⑤编排安全（K8s配置错误如RBAC不当）；⑥Runtime风险（运行中未知威胁如恶意注入）。4.云存储加密两种主要方式及区别？答案：①客户端加密：用户本地加密后上传，密钥自管，服务商无法访问明文；②服务端加密：服务商存储时加密，分SSE-S3（服务商管密钥）、SSE-KMS（用户通过KMS管密钥）、SSE-C（用户提供密钥）。区别：客户端加密用户完全掌控密钥，服务端加密部分依赖服务商密钥管理。六、讨论题（共2题，每题5分）1.如何实现多云环境统一安全管理？答案：①统一身份：SSO+跨云IAM整合，实现身份一致；②统一策略：制定跨云安全政策（加密、访问控制），通过多云平台同步；③统一威胁检测：聚合各云日志，识别异常；④统一合规：整合各云合规要求，生成报告；⑤统一数据安全：跨云数据加密（客户管密钥）；⑥人员培训：熟悉各云操作，避免配置错误。2.