2026年云计算安全考试题及答案

2026年云计算安全考试题及答案单项选择题（本大题共20小题，每小题2分，共40分）1.在云计算共享责任模型中，下列关于不同服务模式下客户侧安全责任的描述，正确的是（）A.IaaS服务模式中，客户负责虚拟化hypervisor层的安全防护与漏洞修复B.PaaS服务模式中，客户负责底层操作系统的安全补丁更新C.SaaS服务模式中，客户负责自身业务数据的访问权限管控D.SaaS服务模式中，所有安全责任均由云服务商承担2.零信任架构适配云环境的核心原则是以下哪一项（）A.默认信任云私有网络内部的所有访问请求B.基于持续身份验证的最小权限访问控制C.仅在用户首次登录时完成身份验证D.按部门划分统一权限组，批量授权3.下列选项中，属于云原生环境下容器逃逸攻击的正确描述是（）A.容器逃逸是指黑客通过网络流量窃取容器内的业务数据B.容器逃逸是指黑客突破容器隔离限制，获取容器所在宿主机的系统权限C.容器逃逸是指黑客删除容器内的所有业务数据导致服务不可用D.容器逃逸是指黑客将恶意镜像推送到企业私有镜像仓库4.根据近年来全球云安全事件的统计数据，云环境下敏感数据泄露的最主要诱因是以下哪一项（）A.云服务商底层基础设施硬件故障B.云服务商虚拟化层存在未修复的高危漏洞C.客户错误配置云资源访问权限D.DDoS攻击导致服务中断5.企业将重要敏感数据存储在公有云对象存储中，为了防止数据存储阶段被内部人员或云服务商内部人员窃取，最有效的核心防护措施是（）A.设置存储桶访问密码B.对敏感数据进行客户端加密后再上传存储C.开启存储桶访问日志D.限制仅企业内网IP可以访问存储桶6.云计算环境下，IAM（身份与访问管理）体系遵循的核心安全原则是（）A.最大权限原则，方便开发人员调试业务B.共享权限原则，同一岗位人员共享同一账号C.最小权限原则，仅授予完成业务所需的最低权限D.永久授权原则，一次授权终身有效7.同态加密技术适配云密计算场景的核心特点是（）A.同态加密可以在不解密密文的前提下直接对密文进行计算B.同态加密的解密速度远快于传统对称加密C.同态加密不需要密钥就可以完成加密D.同态加密可以完全防止数据在传输过程中被窃取8.根据我国《网络安全法》《数据安全法》的相关要求，企业将存储在公有云的核心重要数据出境，需要履行哪项核心合规流程（）A.向云服务商备案即可B.完成国家网信部门组织的数据出境安全评估C.企业自行审计即可，不需要上报D.仅需要向行业协会报备9.云环境下，针对应用层DDoS攻击（比如CC攻击），以下哪项防护措施的效果最好（）A.依靠云服务商的基础流量清洗B.在云原生架构中引入WAF（Web应用防火墙）结合人机验证机制C.关闭所有对外端口D.增加云服务器带宽10.云原生应用中，Kubernetes（K8s）集群的核心安全风险不包括以下哪一项（）A.etcd集群敏感数据未加密存储B.过度开放APIServer访问权限C.容器之间未做网络微隔离D.集群自动扩缩容11.以下哪一项是生成式AI公有云服务中最突出的隐私安全风险（）A.AI生成内容不符合企业要求B.用户输入的prompt包含企业敏感数据，被云服务商留存用于模型训练导致泄露C.AI推理速度不足影响业务可用性D.模型参数规模过大占用存储资源12.等级保护2.0标准中，针对云计算的扩展要求，核心是强调哪项安全责任（）A.云服务商不需要配合客户完成等保测评B.云服务商和客户分别承担各自责任范围内的安全防护义务，云服务商需要提供必要的技术支持C.所有安全责任都由客户承担，云服务商不需要负责D.所有安全责任都由云服务商承担，客户不需要测评13.云环境下，数据备份的核心安全目的是以下哪一项（）A.节省存储成本B.方便数据共享C.发生ransomware（勒索软件）攻击或数据误删除后可以恢复数据D.满足合规要求，不需要实际可用14.以下哪一项属于侧信道攻击在云多租户环境下的典型场景（）A.黑客租用同一物理宿主机上的云虚拟机，通过缓存监测获取同一宿主机上其他租户的加密密钥B.黑客发送大量流量占用宿主机带宽，导致其他租户服务不可用C.黑客破解云虚拟机的登录密码，窃取数据D.黑客利用hypervisor漏洞控制宿主机15.微隔离技术在云环境下的核心作用是以下哪一项（）A.隔离不同物理数据中心的网络B.对云上不同业务、不同workload之间的访问进行细粒度控制，防止攻击横向移动C.隔离客户网络和云服务商网络D.隔离存储网络和业务网络16.云服务商提供的云安全中心（云盾类产品）的核心功能不包括以下哪一项（）A.云资源配置错误巡检B.异常访问行为告警C.漏洞扫描与修复提醒D.客户业务数据的自动删除17.下列关于多云环境安全的描述，正确的是（）A.多云环境下所有云平台的安全配置可以统一标准，不需要分别管理B.多云环境下身份体系不统一会大大增加越权访问的风险C.多云部署可以完全消除数据安全风险D.多云环境下不需要统一的安全审计18.针对云环境下的勒索软件攻击，以下哪项防护措施是最有效的最后防线（）A.开启入侵检测B.离线异地多副本备份C.安装杀毒软件D.配置网络ACL19.下列关于云环境下密钥管理的描述，正确的是（）A.所有密钥都可以存储在云服务器的磁盘中，不需要专门管理B.用户自己掌握根密钥，云服务商仅提供密钥管理服务（KMS）的存储和调用能力，是最安全的模式C.云服务商掌握所有密钥，客户不需要管D.根密钥可以交给第三方托管，不需要自己留存20.某企业使用私有云部署核心业务，为了满足等保三级要求，需要对所有云操作进行审计，审计日志的存储要求是（）A.存储在云主机本地，保存6个月即可B.存储在独立的日志存储服务中，至少留存6个月，且不能被轻易删除或篡改C.不需要存储，发生事件再查即可D.存储在公有云，不需要加密多项选择题（本大题共10小题，每小题3分，共30分）1.根据云计算共享责任模型，下列安全责任中，属于云服务商需要承担的有（）A.云数据中心物理机房的访问控制B.IaaS层hypervisor虚拟化层的漏洞修复C.底层云骨干网络的DDoS防护D.客户部署在云服务器上的web应用代码漏洞修复2.云原生安全防护体系包含以下哪些核心维度（）A.容器镜像安全B.容器运行时安全C.Kubernetes编排层安全D.微服务网络访问安全3.零信任云架构的关键核心组件包含以下哪几项（）A.统一身份管理与身份提供商B.持续信任评估引擎C.动态访问控制网关D.微隔离技术4.企业使用公有云存储敏感个人信息，需要落实的核心数据安全措施包含以下哪些（）A.数据分类分级标识B.静态存储加密与动态传输加密C.敏感数据脱敏D.访问行为全审计5.公有云提供的生成式AI服务，常见的安全风险包含以下哪些（）A.训练数据中的隐私泄露风险B.Prompt注入攻击导致越权访问或恶意代码执行C.模型投毒导致生成有害内容D.API接口未授权访问导致模型被滥用6.等级保护2.0对云计算平台的扩展安全要求包含以下哪些（）A.虚拟网络边界隔离B.云服务商与客户权限分离C.云镜像安全检测D.云操作日志留存与审计7.云IAM身份管理中，常见的错误配置包含以下哪些（）A.过度授权，给普通开发人员分配超级管理员权限B.共享账号，多个人员使用同一个云账号登录C.离职人员账号未及时回收D.开启多因素认证（MFA）8.容器镜像常见的安全风险包含以下哪些（）A.基础镜像包含未修复的高危漏洞B.镜像中嵌入恶意后门程序C.镜像仓库访问权限未配置，导致公开可拉取D.镜像体积过大9.云环境下DDoS攻击的新特点包含以下哪些（）A.攻击流量规模越来越大，已经出现Tbps级别的攻击B.应用层DDoS攻击占比越来越高，难以被基础流量清洗检测C.多源分布式攻击，利用多个沦陷云主机发起攻击D.攻击仅针对云服务商，不针对客户业务10.企业上云过程中，迁移阶段常见的安全风险包含以下哪些（）A.迁移过程中数据传输未加密导致泄露B.原有系统的漏洞被一并迁移到云环境C.迁移后云资源的访问权限未及时调整，留下后门D.迁移后数据备份不完整导致数据丢失判断题（本大题共10小题，每小题1分，共10分）1.共享责任模型下，SaaS模式中所有应用程序漏洞都由云服务商负责修复，客户不需要承担任何责任。（）2.零信任架构认为云环境没有明确的内外网边界，所有访问请求无论来自内网还是外网，都需要进行身份验证和授权。（）3.容器镜像仅需要在构建阶段进行漏洞扫描，运行阶段不需要持续监控漏洞风险。（）4.目前主流公有云的对象存储桶默认配置都是公开读写，因此默认就存在数据泄露风险。（）5.同态加密技术可以支持在加密状态下完成数据计算，非常适合云环境下的密文计算场景，保护数据计算过程中的隐私。（）6.多云部署的核心优势之一是可以避免单一云厂商锁定，同时也可以分散安全风险，不会出现单点故障导致的全业务瘫痪。（）7.云环境下，网络ACL和安全组可以完全替代微隔离技术，实现细粒度的访问控制。（）8.云审计日志需要存储在不可篡改的存储介质中，防止攻击者删除日志掩盖攻击痕迹。（）9.企业使用云服务商提供的云主机服务，不需要定期更新操作系统补丁，云服务商会自动完成所有补丁更新。（）10.数据脱敏技术可以有效降低云环境下敏感数据泄露后的危害，即使数据被窃取，也无法直接使用。（）案例分析题（本大题共2小题，每小题10分，共20分）1.案例一：国内某连锁零售企业拥有超过1500万注册会员，企业将线上会员系统全部部署在某公有云平台，会员的手机号、收货地址、消费记录等敏感个人信息全部存储在公有云对象存储桶中。开发团队为了方便跨部门协作，将云账号的超级管理员权限共享给8名开发、测试人员，未开启多因素认证；为了调试第三方供应商的数据对接接口，开发人员临时将存储桶的访问权限修改为公开读写，调试完成后未恢复原有私有配置。三个月后，企业收到监管部门通报，该存储桶中120万条会员敏感数据已经在地下数据交易平台流传。经云安全中心排查发现，近三个月存储桶共有超过1200次来自陌生IP的异常访问，企业未开启存储桶异常访问告警，也未定期开展云资源配置安全巡检，因此一直未发现该问题。请回答以下问题：（1）请分析该企业在云计算安全管理中存在哪些核心问题？（6分）（2）针对上述问题，列出三项针对性的整改措施？（4分）2.案例二：某互联网金融公司采用云原生架构部署核心支付业务，所有业务应用都容器化打包，通过Kubernetes集群进行编排管理。开发团队为了提升构建效率，直接使用DockerHub上的第三方公开基础镜像构建业务镜像，构建阶段没有进行任何漏洞扫描，就直接部署上线运行；运行阶段没有对容器进程的系统调用做任何限制，也未对容器的异常行为进行监控；为了方便容器访问外部资源，容器运行时默认开启了root权限。一个月后，安全团队发现有黑客利用某公开基础镜像中预存的后门漏洞，获得了web业务容器的系统权限，随后通过内核提权突破容器隔离限制，获取了宿主机的root权限，进而窃取了同集群内支付业务容器的核心加密密钥，导致300万条用户支付信息泄露。请回答以下问题：（1）请简述容器逃逸攻击的定义，列出本次攻击中黑客的完整攻击路径。（5分）（2）针对该企业云原生容器安全的短板，给出具体的防护方案。（5分）参考答案与解析单项选择题答案与解析1.答案：C解析：共享责任模型是云计算安全的核心基础，IaaS模式下，云服务商负责物理基础设施、虚拟化hypervisor层、网络基础设施的安全，客户负责自身部署的虚拟机操作系统、应用、数据、身份权限的安全，因此A选项错误；PaaS模式下，云服务商负责底层基础设施、操作系统、中间件、运行环境的安全维护，客户仅负责自身开发部署的应用和数据安全，因此操作系统补丁更新是云服务商的责任，B选项错误；SaaS模式下，云服务商负责应用本身、底层基础设施的安全，客户需要负责自身身份管理、数据访问权限管控、数据分类分级保护等责任，因此C选项正确，D选项错误。2.答案：B解析：零信任的核心宗旨是“永不信任，始终验证”，云环境下资源分布式部署，传统网络边界模糊，不存在绝对可信的内网区域，所有访问请求无论来自内网还是外网都需要持续验证，因此A选项错误；零信任要求对访问主体进行持续的信任评估，基于评估结果动态授予完成业务所需的最小权限，避免过度授权带来的风险，因此B选项正确；零信任要求持续验证，而非仅在用户首次登录时完成一次验证，会话过程中需要持续评估信任度，因此C选项错误；零信任遵循最小权限原则，反对按部门批量统一授权，需要为每个访问主体分配刚好满足业务需求的独立权限，因此D选项错误。3.答案：B解析：容器依赖操作系统内核的隔离机制实现资源隔离，容器逃逸是指黑客利用容器配置漏洞、内核漏洞等，突破容器的隔离限制，从容器进程获取容器所在宿主机的系统权限，进而控制宿主机和同一宿主机上的其他容器，因此B选项正确，其余选项描述均不符合容器逃逸的定义。4.答案：C解析：根据云安全联盟CSA2024-2025年全球云安全事件报告，超过82%的云敏感数据泄露事件是由于客户错误配置云资源访问权限导致，其中最常见的是对象存储桶错误配置为公开读写，云服务商底层漏洞导致的泄露占比不到10%，因此C选项正确。5.答案：B解析：客户端加密是指用户在本地完成数据加密后再上传到云存储，加密密钥由用户自己掌握，云服务商和云服务商内部人员都无法获取明文数据，因此可以有效防止存储阶段的数据窃取，B选项正确；仅设置访问密码、限制内网访问、开启日志都无法防止内部人员获取明文数据，因此其余选项错误。6.答案：C解析：IAM体系的核心安全原则是最小权限原则，即仅给访问主体授予完成特定业务所需的最低权限，最大程度降低越权访问带来的风险，因此C选项正确；其余选项都是IAM常见的错误配置，会增加安全风险，因此错误。7.答案：A解析：同态加密的核心特点就是支持在不解密密文的情况下直接对密文进行计算，计算结果解密后和明文计算的结果一致，非常适合云环境下的密文计算场景，让云服务商可以处理数据但无法获取明文隐私，因此A选项正确，其余选项描述不符合同态加密的特点。8.答案：B解析：根据我国《数据安全法》《数据出境安全评估办法》的要求，重要数据出境、处理超过100万人个人信息的出境，都需要向国家网信部门申请数据出境安全评估，通过后方可出境，因此B选项正确。9.答案：B解析：应用层DDoS攻击（如CC攻击）伪装成正常用户访问请求，基础流量清洗无法有效识别，引入WAF拦截恶意请求，结合人机验证区分正常用户和机器人攻击，是目前最有效的防护方式，因此B选项正确。10.答案：D解析：集群自动扩缩容是K8s的正常功能，用于应对业务流量波动，不属于安全风险，D选项符合题意；其余选项都是K8s集群常见的安全风险。11.答案：B解析：企业使用公有云生成式AI服务开发内部应用时，往往会将企业内部敏感数据作为输入prompt发送给AI模型，多数公有云生成式AI服务默认会留存用户输入的prompt用于模型优化，容易导致敏感数据泄露，这是当前生成式AI云服务最突出的隐私安全风险，因此B选项正确。12.答案：B解析：等保2.0明确要求，云计算服务中，云服务商和客户按照共享责任模型分别承担各自责任范围内的安全防护义务，云服务商需要配合客户完成等保测评，提供必要的技术支持，因此B选项正确。13.答案：C解析：云环境下勒索软件攻击越来越频繁，核心数据备份最核心的安全目的就是在发生勒索加密、数据误删除、硬件故障的时候，能够完整恢复数据，因此C选项正确。14.答案：A解析：侧信道攻击是指不直接破解密码算法，而是通过计算过程中的时间消耗、缓存占用等物理特征泄露获取敏感信息，云多租户环境下，多个租户共享同一物理宿主机硬件资源，黑客可以租用同一宿主机的虚拟机，通过侧信道攻击获取其他租户的敏感信息，缓存攻击是最常见的云侧信道攻击场景，因此A选项正确。15.答案：B解析：云环境下微隔离技术的核心作用是实现workload级别的细粒度访问控制，限制不同业务之间的不必要访问，防止攻击者攻破一个节点后横向移动扩散攻击，因此B选项正确。16.答案：D解析：云安全中心是云服务商提供的客户侧安全管理产品，核心功能包括配置巡检、漏洞扫描、异常告警等，不会自动删除客户的业务数据，因此D选项符合题意。17.答案：B解析：多云环境下，不同云平台的身份体系相互独立，如果不做统一身份管理，很容易出现权限混乱、僵尸账号无人管理的问题，大大增加越权访问的风险，因此B选项正确；不同云平台的安全标准和配置逻辑不同，不能直接统一，A选项错误；多云部署也不能完全消除安全风险，C选项错误；多云需要统一的安全审计，D选项错误。18.答案：B解析：勒索软件加密数据后，唯一可靠的恢复方式就是通过未被加密的离线备份恢复，离线异地多副本备份是防范勒索软件的最后有效防线，因此B选项正确。19.答案：B解析：云密钥管理中，最安全的模式是客户自己掌握根密钥，云KMS仅提供密钥的存储和调用能力，云服务商无法获取客户的根密钥，因此B选项正确，其余选项都是错误的密钥管理方式。20.答案：B解析：等保三级要求审计日志至少留存6个月，并且需要存储在独立安全的位置，防止被攻击者篡改或删除，因此B选项正确。多项选择题答案与解析1.答案：ABC解析：根据共享责任模型，物理机房安全、虚拟化层安全、底层云网络安全都是云服务商的责任，客户部署的应用漏洞属于客户责任，因此D选项不选，正确答案为ABC。2.答案：ABCD解析：完整的云原生安全防护体系涵盖镜像构建阶段的镜像安全、运行阶段的容器运行时安全、编排层的K8s安全、微服务之间的网络访问安全四个核心维度，四个选项都正确。3.答案：ABCD解析：零信任云架构的核心组件包括统一身份管理、持续信任评估、动态访问控制、微隔离四个核心部分，四个选项都正确。4.答案：ABCD解析：云敏感数据安全需要落实分类分级、加密、脱敏、全审计四个核心措施，四个选项都正确。5.答案：ABCD解析：生成式AI云服务的常见安全风险包括训练数据隐私泄露、prompt注入、模型投毒、API未授权滥用等，四个选项都正确。6.答案：ABCD解析：等保2.0云计算扩展要求包括虚拟网络隔离、权责分离、镜像安全、日志审计等，四个选项都正确。7.答案：ABC解析：开启多因素认证是正确的IAM安全配置，不属于错误配置，因此D选项不选，其余三个都是常见的IAM错误配置，正确答案为ABC。8.答案：ABC解析：镜像体积过大属于性能问题，不属于安全风险，因此D选项不选，其余三个都是容器镜像常见的安全风险，正确答案为ABC。9.答案：ABC解析：云DDoS攻击大多针对客户业务，并非仅针对云服务商，因此D选项错误，其余三个都是云DDoS攻击的新特点，正确答案为ABC。10.答案：ABCD解析：云迁移阶段的常见安全风险包括传输未加密、漏洞迁移、权限遗留、备份不完整等，四个选项都正确。判断题答案与解析1.答案：×解析：SaaS模式下，云服务商负责原生应用的漏洞修复，如果客户自定义开发了SaaS平台的扩展模块，该部分的漏洞由客户负责修复，因此并不是所有漏洞都由云服务商负责，本题说法错误。2.答案：√解析：零信任核心就是消除了传统的可信内网概念，所有访问都需要验证，本题说法正确。3.答案：×解析：容器运行后会不断出现新的漏洞，需要持续监控扫描，因此本题说法错误。4.答案：×解析：目前主流公有云对象存储桶的默认配置都是私有读写，大多数数据泄露是客户修改配置后未恢复导致的，因此本题说法错误。5.答案：√解析：同态加密的核心特点就是支持密文计算，适合云密文计算场景，本题说法正确。6.答案：√解析：多云部署可以避免单一厂商锁定，分散安全风险，不会因为单一云厂商故障导致全业务中断，本题说法正确。7.答案：×解析：网络ACL和安全组只能实现网段和实例级别的粗粒度访问控制，无法满足云原生环境下微服务级别的细粒度隔离需求，不能替代微隔离技术，本题说法错误。8.答案：√解析：攻击者入侵后会删除审计日志掩盖攻击痕迹，因此云审计日志需要存储在不可篡改的介质中，本题说法正确。9.答案：×解析：IaaS模式下，客户自己管理云主机的操作系统，补丁更新由客户负责，云服务商不会自动更新所有补丁，本题说法错误。10.答案：√解析：数据脱敏会替换或删除敏感字段，即使数据泄露，也无法获取真实可用的敏感信息，有效降低泄露危害，本题说法正确。案例分析题答案与解析1.案例一参考答案：（1）该企业存在的核心问题包括：①身份权