企业零信任安全体系建设工程师考试试卷及答案

企业零信任安全体系建设工程师考试试卷及答案一、填空题（共10题，每题1分）1.零信任核心原则之一是“______权限原则”，仅授予主体完成任务的最小权限。2.零信任架构（ZTA）的核心是“______信任，默认验证”。3.零信任访问决策基于______（身份、设备、位置等多维度）。4.软件定义边界（SDP）是零信任的一种______技术。5.零信任核心组件包括策略引擎、______（身份提供者）、访问代理。6.零信任对主体身份的验证需______进行，而非仅登录时。7.零信任解决传统______安全的失效问题。8.零信任“上下文”含用户位置、设备状态、______（行为异常）等。9.企业零信任落地基础是______管理（统一身份）。10.零信任数据安全核心是“数据不______”（访问时加密/审计）。答案：1.最小；2.永不；3.多维度上下文；4.实现；5.IdP（身份提供者）；6.持续；7.边界；8.行为风险；9.身份；10.暴露二、单项选择题（共10题，每题2分）1.零信任不包含的原则是（）A.最小权限B.持续验证C.默认信任内部D.基于上下文2.SDP核心是（）A.隐藏网络资产B.增强防火墙C.加速VPND.简化身份管理3.GartnerZTA组件不包括（）A.策略引擎B.IdPC.传统防火墙D.访问代理4.持续验证依据不包括（）A.登录密码B.设备健康C.行为异常D.网络变化5.零信任落地第一步是（）A.部署SDPB.梳理身份体系C.买零信任产品D.换防火墙6.零信任“主体”指（）A.访问的用户/设备B.被访问资源C.安全策略D.数据7.零信任与传统边界核心差异是（）A.依赖IP地址B.无固定边界C.仅保护内部D.无需身份验证8.零信任数据安全核心是（）A.数据加密B.备份C.脱敏D.静态扫描9.SDP“连接”阶段完成（）A.隐藏资产B.身份验证C.策略决策D.访问控制10.零信任架构缩写是（）A.ZTAB.SDPC.VPND.IAM答案：1.C；2.A；3.C；4.A；5.B；6.A；7.B；8.A；9.B；10.A三、多项选择题（共10题，每题2分）1.零信任核心原则含（）A.最小权限B.永不信任C.持续验证D.基于上下文2.零信任核心组件有（）A.IdPB.策略引擎C.访问代理D.传统防火墙3.零信任落地步骤含（）A.资产盘点B.身份体系建设C.策略制定D.分步部署4.零信任上下文信息含（）A.用户位置B.设备健康C.行为异常D.资源类型5.零信任与DevSecOps结合点含（）A.左移安全B.自动化身份C.持续验证D.静态扫描6.SDP核心阶段含（）A.隐藏B.连接C.验证D.控制7.零信任部署模式含（）A.网络层B.应用层C.数据层D.边界层8.身份管理要求含（）A.统一身份B.多因素认证C.生命周期管理D.匿名访问9.持续验证手段含（）A.行为分析B.设备检查C.会话监控D.定期改密码10.数据安全防护维度含（）A.分类B.访问控制C.加密D.审计答案：1.ABCD；2.ABC；3.ABCD；4.ABCD；5.ABC；6.ABD；7.ABC；8.ABC；9.ABC；10.ABCD四、判断题（共10题，每题2分）1.零信任是“无边界”安全，不依赖传统边界。（）2.最小权限是零信任核心原则。（）3.零信任默认信任内部网络。（）4.SDP是零信任实现技术，可隐藏资产。（）5.零信任无需设备身份验证。（）6.持续验证仅登录时进行。（）7.策略引擎仅基于身份决策。（）8.零信任可一步到位落地。（）9.零信任完全替代传统防火墙。（）10.加密是零信任数据安全手段。（）答案：1.√；2.√；3.×；4.√；5.×；6.×；7.×；8.×；9.×；10.√五、简答题（共4题，每题5分）1.简述零信任核心三大原则。答案：①永不信任，默认验证：无论内部/外部访问，均不默认信任，每次访问需验证；②最小权限：仅授予完成任务的最小权限，避免过度授权；③基于上下文决策：结合用户身份、设备状态、位置、行为等多维度，动态调整访问权限。2.简述SDP与零信任的关系。答案：SDP是零信任的关键实现技术，核心是“隐藏网络资产”，仅通过身份验证的主体可访问目标资产；SDP遵循零信任核心原则（永不信任、最小权限），是零信任在网络层的落地方式；可作为零信任架构组件，支撑网络资源访问控制。3.简述企业零信任落地基本流程。答案：①资产与风险梳理：盘点核心资产、识别安全风险；②身份体系建设：统一身份管理（IAM）、实现多因素认证；③策略制定：基于上下文制定动态访问策略；④分步部署：从核心应用/数据入手，逐步扩展至全场景；⑤持续优化：监控访问行为、迭代策略与组件。4.简述零信任“持续验证”的具体内容。答案：①主体验证：持续检查用户身份（行为异常）、设备健康（病毒/补丁）；②上下文验证：动态监测位置、网络环境变化；③权限验证：实时评估当前权限是否符合最小要求；④会话监控：跟踪访问会话，异常则终止或调整权限。六、讨论题（共2题，每题5分）1.讨论企业零信任落地的主要挑战及应对策略。答案：挑战：①legacy系统兼容性差；②身份体系分散；③策略复杂度高；④用户抵触。应对：①用兼容适配器分阶段替换旧系统；②建设统一IAM平台整合身份；③采用自动化策略引擎动态生成策略；④开展培训，演示落地后的安全提升与便捷性。2.讨论零信任与传统边界安全（防火墙/VPN）的差异及融合思路。答案：差异：①传