零信任方案落地工程师考试试卷及答案

零信任方案落地工程师考试试卷及答案一、填空题（每题1分，共10分）1.零信任的核心原则是“永不信任，______”。2.零信任架构中，策略执行点的英文缩写是______。3.多因素认证（MFA）的常见类型包括知识、______和生物特征。4.零信任网络访问（ZTNA）的前身是______。5.零信任落地的第一步通常是______。6.零信任中，权限分配遵循______原则。7.负责存储和管理身份信息的组件英文缩写是______。8.零信任架构中，策略决策点的英文缩写是______。9.GDPR对身份数据处理的核心要求是______。10.零信任落地需覆盖的核心维度包括身份、设备、______和数据。二、单项选择题（每题2分，共20分）1.零信任中负责评估访问请求是否符合策略的组件是？A.PEPB.PDPC.PIPD.POP2.以下不属于MFA常见类型的是？A.短信验证码B.指纹C.身份证号D.硬件令牌3.零信任落地不包括的关键环节是？A.资产全覆盖B.静态权限分配C.持续验证D.风险评估4.等保2.0中要求“建立零信任访问控制”的安全级是？A.一级B.二级C.三级D.四级5.持续信任评估的触发条件不包括？A.设备状态变化B.用户行为异常C.时间变更D.网络环境变化6.零信任典型应用场景是？A.固定IP内部访问B.远程办公安全接入C.局域网无认证访问D.传统VPN接入7.零信任中POP的作用是？A.身份认证B.策略执行C.网络访问代理D.数据加密8.MFA“拥有物”类典型例子是？A.手机令牌B.密码C.人脸D.邮箱9.资产梳理的核心是？A.统计设备数量B.明确资产价值与权限需求C.登记型号D.记录IP10.零信任与VPN的核心区别是？A.加密方式B.访问控制粒度C.部署位置D.带宽要求三、多项选择题（每题2分，共20分）1.零信任核心组件包括？A.PEPB.PDPC.PIPD.IDPE.POP2.零信任落地需考虑的风险是？A.身份冒用B.数据泄露C.权限过度D.设备失陷E.网络拥堵3.零信任原则包括？A.最小权限B.持续验证C.默认信任D.上下文感知E.静态授权4.MFA常见实现方式有？A.短信验证码B.硬件令牌C.生物识别D.邮箱链接E.密码+验证码5.零信任覆盖场景包括？A.远程办公B.内部办公C.第三方访问D.云应用E.物联网接入6.零信任落地步骤包括？A.资产梳理B.身份统一C.策略制定D.持续评估E.运维优化7.等保2.0与零信任相关要求是？A.访问控制最小化B.持续身份验证C.设备安全验证D.数据加密E.漏洞扫描8.上下文感知的上下文包括？A.用户身份B.设备状态C.网络位置D.时间E.应用类型9.零信任优势是？A.降低攻击面B.提升访问灵活性C.减少运维成本D.增强合规性E.提高网络速度10.身份管理核心是？A.统一认证B.集中授权C.生命周期管理D.匿名访问E.静态身份四、判断题（每题2分，共20分）1.零信任默认不信任任何内部/外部实体。（）2.PEP负责存储用户身份信息。（）3.MFA必须同时使用三种及以上因素。（）4.零信任落地无需考虑合规要求。（）5.持续信任评估仅在首次访问时进行。（）6.ZTNA可实现应用级访问控制。（）7.最小权限原则要求仅分配任务必需权限。（）8.POP不需要与PDP交互。（）9.第三方供应商访问是零信任典型场景。（）10.零信任与VPN访问控制粒度相同。（）五、简答题（每题5分，共20分）1.简述零信任核心原则及落地关键步骤。2.MFA在零信任中的作用及三种常见实现方式。3.零信任与传统VPN的核心区别。4.如何实现零信任中的“最小权限原则”？六、讨论题（每题5分，共10分）1.讨论零信任落地时如何平衡“安全”与“业务效率”。2.讨论如何应对零信任落地中“第三方供应商访问”的安全风险。---答案部分一、填空题答案1.始终验证2.PEP3.拥有物（或possession）4.软件定义边界（SDP）5.资产梳理6.最小权限7.IDP8.PDP9.数据最小化（或用户授权）10.网络（或应用）二、单项选择题答案1.B2.C3.B4.C5.C6.B7.C8.A9.B10.B三、多项选择题答案1.ABCDE2.ABCD3.ABD4.ABCDE5.ABCDE6.ABCDE7.ABCD8.ABCDE9.ABD10.ABC四、判断题答案1.√2.×3.×4.×5.×6.√7.√8.×9.√10.×五、简答题答案1.核心原则：“永不信任，始终验证”，默认不信任任何实体，持续验证访问合法性。落地步骤：①资产梳理（明确资产价值与权限）；②身份统一（集中身份管理）；③策略制定（最小权限+上下文感知）；④持续验证（实时监控信任度）；⑤运维优化（迭代策略响应风险）。2.作用：通过多因素验证降低身份冒用风险，是零信任身份安全核心。实现方式：①短信验证码（拥有物：手机）；②硬件令牌（如U盾，拥有物）；③生物识别（指纹/人脸，生物特征）。3.核心区别：①粒度：VPN网络级（IP），零信任应用/数据级；②信任：VPN默认信任内网，零信任默认不信任；③体验：VPN需先接内网再访应用，零信任直接访应用；④安全：零信任支持持续验证，VPN无动态评估。4.实现方法：①权限梳理：仅分配任务必需权限；②动态调整：结合上下文（如远程办公限制敏感操作）；③定期审计：移除冗余权限；④自动化：通过IDP实现权限自动分配回收。六、讨论题答案1.平衡方法：①策略按需：动态权限（如远程办公限敏感操作）；②技术无感：生物识别/设备指纹减少认证步骤，ZTNA直接访应用；③自动化运维：权限自动分配、风险自动响