零信任架构工程师考试试卷及答案

零信任架构工程师考试试卷及答案一、填空题（10题，每题1分）1.零信任的核心原则可概括为“________，AlwaysVerify”。2.SDP的全称是________。3.ZTNA的中文名称是________。4.零信任架构强调的权限分配原则是________。5.零信任中对主体信任状态的持续评估称为________。6.零信任架构中负责评估访问策略的核心组件是________。7.微分段的英文缩写是________。8.ZTNA的核心是基于________的访问控制。9.多因素认证的英文缩写是________。10.零信任不依赖传统的________安全边界。答案：1.NeverTrust2.软件定义边界3.零信任网络访问4.最小权限原则5.持续验证6.PolicyEngine（策略引擎）7.Micro-segmentation8.身份+上下文9.MFA10.网络二、单项选择题（10题，每题2分）1.零信任架构的核心假设是（）A.内部网络绝对安全B.外部威胁是唯一风险C.所有主体默认不可信D.边界防护足够抵御攻击2.ZTNA的部署模式不包括（）A.代理模式B.无代理模式C.混合模式D.传统边界模式3.零信任核心组件中，负责执行访问策略的是（）A.PolicyEngineB.PolicyEnforcementPoint（PEP）C.PolicyAdminD.DeviceTrust4.最小权限原则的正确理解是（）A.给所有用户相同权限B.仅授予完成任务必要的最小权限C.权限越大越安全D.权限可随意调整5.持续验证的频率是（）A.仅首次登录B.每月定期验证C.动态持续（每次访问/行为变化）D.按需触发6.信任评分的作用是（）A.评估主体可信程度B.计算网络带宽C.统计用户数量D.监控设备状态7.以下不属于ZTNA优势的是（）A.细粒度访问控制B.隐藏内部资源C.依赖边界防护D.动态权限调整8.微分段的主要作用是（）A.扩大网络边界B.隔离不同安全域C.提升网络速度D.增加设备数量9.PolicyAdmin的职责是（）A.执行访问策略B.管理策略配置C.收集信任数据D.提供身份认证10.零信任与传统架构的本质区别是（）A.依赖IP地址访问B.基于身份+上下文控制C.使用防火墙D.仅关注外部威胁答案：1.C2.D3.B4.B5.C6.A7.C8.B9.B10.B三、多项选择题（10题，每题2分，多选/少选不得分）1.零信任核心原则包括（）A.NeverTrust,AlwaysVerifyB.最小权限原则C.假设breach已发生D.仅验证一次2.ZTNA关键能力包括（）A.身份感知B.动态访问控制C.加密传输D.微分段支持3.零信任核心组件有（）A.PolicyEngineB.PolicyAdminC.PEPD.DeviceTrust4.SDP核心组件包括（）A.Client（客户端）B.Controller（控制器）C.Gateway（网关）D.防火墙5.零信任在云环境的优势是（）A.适配多云/混合云B.动态边界防护C.细粒度访问D.降低云成本6.持续验证的维度包括（）A.身份真实性B.设备健康度C.用户行为D.访问位置7.零信任身份治理内容包括（）A.身份生命周期管理B.权限审计C.MFAD.密码重置8.微分段实现方式包括（）A.网络微分段B.应用微分段C.主机微分段D.数据微分段9.零信任部署阶段有（）A.需求评估B.架构设计C.试点实施D.全面推广10.零信任安全目标包括（）A.防止横向移动B.最小权限访问C.持续信任评估D.隐藏内部资源答案：1.ABC2.ABCD3.ABCD4.ABC5.ABC6.ABCD7.ABC8.ABCD9.ABCD10.ABCD四、判断题（10题，每题2分，对√错×）1.零信任依赖传统网络边界安全。（）2.ZTNA是零信任典型实现方式。（）3.最小权限原则要求授予最多权限。（）4.持续验证仅首次登录执行。（）5.SDP属于零信任范畴。（）6.微分段会大幅降低网络性能。（）7.零信任中身份是唯一信任依据。（）8.PEP负责执行访问策略。（）9.零信任适用于所有场景无需调整。（）10.信任评分越高权限越大。（）答案：1.×2.√3.×4.×5.√6.×7.×8.√9.×10.√五、简答题（4题，每题5分）1.简述零信任核心原则及含义答案：零信任核心原则有3点：①NeverTrust,AlwaysVerify：所有主体（用户、设备）默认不可信，每次访问需重新验证；②最小权限原则：仅授予完成任务必要的最小权限，避免过度授权；③假设breach已发生：不依赖边界防护，默认内部存在威胁，需持续监控隔离。这些原则打破“内部可信”认知，从边界防护转向主体可信验证。2.对比传统VPN与ZTNA的区别答案：①访问逻辑：VPN基于网络边界，ZTNA基于身份+上下文；②资源暴露：VPN暴露内部网络，ZTNA隐藏资源（仅授权主体可访问）；③权限粒度：VPN粗粒度（部门网络），ZTNA细粒度（应用/数据）；④信任评估：VPN仅首次认证，ZTNA持续验证（设备、行为）；⑤适配场景：VPN适合传统内部访问，ZTNA适配远程办公、多云。3.PolicyEngine的作用是什么？答案：PolicyEngine是零信任决策核心，作用包括：①收集信任数据（身份、设备、行为）；②评估访问策略（结合最小权限、上下文规则）；③生成决策（允许/拒绝/限制访问）；④动态更新：根据信任变化实时调整策略逻辑，保障访问安全。4.如何实现最小权限原则？答案：①权限梳理：明确业务流程，识别任务所需最小权限；②身份绑定：将权限与具体用户/设备绑定，避免泛化授权；③动态调整：根据角色变化、任务完成实时回收权限；④审计监控：定期检查权限使用，删除冗余；⑤工具支撑：借助IAM工具实现自动化分配与回收。六、讨论题（2题，每题5分）1.零信任在企业数字化转型中的价值答案：零信任对数字化转型的价值：①适配远程/多云：打破边界限制，支持跨地域、跨设备访问；②降低风险：细粒度访问+持续验证，防止数据泄露与横向移动；③提升效率：自动化权限管理减少人工审批，不影响业务灵活性；④合规支持：满足GDPR、等保2.0等要求（最小权限、审计追踪）；⑤应对新兴威胁：针对ransomware、内部威胁提供有效防护，保障业务连续性。2.企业部署零信任的挑战及应对答案：主要挑战：①业务适配：需融合现有流程，避免影响效率；②技术复杂度：多组件（IAM