2026年网络安全工程师安全架构模拟试卷

2026年网络安全工程师《安全架构》模拟试卷一、单项选择题（共10题，每题1分，共10分）说明：下列每题只有一个正确答案。1.在设计安全架构时，以下哪项不属于零信任架构的核心原则？A.最小权限原则B.多因素认证C.全局策略一致D.被动防御策略2.以下哪种加密算法属于对称加密算法？A.RSAB.ECCC.AESD.SHA-2563.在云安全架构中，Iaas、PaaS和SaaS的层级中，哪一层主要负责基础设施安全？A.IaaSB.PaaSC.SaaSD.BaaS4.以下哪种协议通常用于传输加密的DNS查询？A.HTTPB.HTTPSC.DNSoverHTTPS（DoH）D.DNSoverTLS（DoT）5.在网络安全架构中，以下哪项不属于纵深防御策略的组成部分？A.边界防火墙B.入侵检测系统（IDS）C.安全信息和事件管理（SIEM）D.数据湖6.在零信任架构中，以下哪项技术可用于动态验证用户身份？A.静态访问控制B.多因素认证（MFA）C.基于角色的访问控制（RBAC）D.暗网监控7.在网络安全架构中，以下哪种技术主要用于防止恶意软件传播？A.沙箱技术B.防火墙C.虚拟化技术D.安全协议8.在设计安全架构时，以下哪种方法不属于威胁建模的常见方法？A.STRIDE模型B.PASTA模型C.风险矩阵分析D.CVSS评分9.在云安全架构中，以下哪种服务通常用于自动化的安全合规检查？A.AWSShieldB.AWSInspectorC.AWSWAFD.AWSCloudTrail10.在网络安全架构中，以下哪种技术主要用于检测内部威胁？A.防火墙B.入侵防御系统（IPS）C.用户行为分析（UBA）D.虚拟专用网络（VPN）二、多项选择题（共5题，每题2分，共10分）说明：下列每题有多个正确答案，少选、多选或错选均不得分。1.在设计安全架构时，以下哪些原则属于零信任架构的核心原则？A.最小权限原则B.永远验证原则C.单点登录（SSO）D.基于身份的访问控制（IBAC）2.在网络安全架构中，以下哪些技术可用于数据加密？A.对称加密B.非对称加密C.哈希函数D.软件定义网络（SDN）3.在云安全架构中，以下哪些服务属于AWS提供的云安全服务？A.AWSSecurityHubB.AWSCloudTrailC.AWSGuardDutyD.AWSWAF4.在网络安全架构中，以下哪些技术可用于入侵检测？A.入侵检测系统（IDS）B.防火墙C.安全信息和事件管理（SIEM）D.虚拟化技术5.在设计安全架构时，以下哪些因素需要考虑？A.业务需求B.法律法规要求C.技术限制D.组织文化三、判断题（共10题，每题1分，共10分）说明：下列每题判断为“正确”或“错误”。1.零信任架构的核心原则是“默认允许，验证后再授予权限”。（×）2.对称加密算法的密钥长度通常比非对称加密算法的密钥长度更长。（×）3.在云安全架构中，IaaS、PaaS和SaaS的层级中，SaaS层的安全性由用户完全负责。（×）4.DNSoverTLS（DoT）可以防止DNS查询被窃听，但无法防止DNS劫持。（×）5.纵深防御策略的核心思想是“分层防御，逐级过滤”。（√）6.多因素认证（MFA）属于零信任架构的核心技术之一。（√）7.在网络安全架构中，虚拟化技术可以提高系统的安全性。（√）8.威胁建模的主要目的是识别潜在的安全威胁，但不需要评估风险。（×）9.在云安全架构中，AWSInspector可用于自动化的安全合规检查。（√）10.在网络安全架构中，入侵防御系统（IPS）主要用于主动防御。（√）四、简答题（共5题，每题4分，共20分）说明：请简要回答下列问题。1.简述零信任架构的核心原则及其优势。2.简述对称加密和非对称加密的区别。3.简述云安全架构中IaaS、PaaS和SaaS层的安全责任划分。4.简述网络安全架构中纵深防御策略的组成部分。5.简述威胁建模的主要目的和方法。五、综合题（共3题，每题10分，共30分）说明：请结合实际场景，回答下列问题。1.某企业计划将其业务迁移到AWS云平台，请简述在设计云安全架构时应考虑的关键要素。2.某企业遭受了内部员工恶意窃取敏感数据的事件，请简述如何通过安全架构设计防止此类事件再次发生。3.某金融机构需要设计一个符合GDPR合规要求的网络安全架构，请简述在设计时应考虑的关键要素。答案与解析一、单项选择题1.D解析：零信任架构的核心原则包括最小权限原则、永远验证原则、基于身份的访问控制等，被动防御策略不属于零信任架构的核心原则。2.C解析：AES属于对称加密算法，而RSA、ECC属于非对称加密算法，SHA-256属于哈希函数。3.A解析：在云安全架构中，IaaS层主要负责基础设施安全，PaaS层提供平台级服务，SaaS层提供应用级服务。4.C解析：DNSoverHTTPS（DoH）是一种用于传输加密的DNS查询的协议，HTTPS、HTTP和DNSoverTLS（DoT）不专门用于DNS加密。5.D解析：纵深防御策略的组成部分包括边界防火墙、入侵检测系统（IDS）、安全信息和事件管理（SIEM）等，数据湖不属于纵深防御策略的组成部分。6.B解析：多因素认证（MFA）属于零信任架构中的动态验证技术，而静态访问控制、基于角色的访问控制和暗网监控不属于动态验证技术。7.B解析：防火墙主要用于防止恶意软件传播，沙箱技术、虚拟化技术和安全协议不直接用于防止恶意软件传播。8.C解析：威胁建模的常见方法包括STRIDE模型、PASTA模型和风险矩阵分析，CVSS评分属于漏洞评分方法，不属于威胁建模方法。9.B解析：AWSInspector是AWS提供的一款自动化安全合规检查服务，而AWSShield、AWSWAF和AWSCloudTrail不属于自动化合规检查服务。10.C解析：用户行为分析（UBA）主要用于检测内部威胁，而防火墙、入侵防御系统（IPS）和虚拟专用网络（VPN）主要用于外部威胁防御。二、多项选择题1.A、B、D解析：零信任架构的核心原则包括最小权限原则、永远验证原则和基于身份的访问控制（IBAC），单点登录（SSO）不属于零信任架构的核心原则。2.A、B解析：对称加密和非对称加密属于数据加密技术，哈希函数和软件定义网络（SDN）不属于数据加密技术。3.A、B、C解析：AWSSecurityHub、AWSCloudTrail和AWSGuardDuty属于AWS提供的云安全服务，AWSWAF属于AWS提供的网络安全服务，但严格来说不属于云安全服务范畴。4.A、C解析：入侵检测系统（IDS）和安全信息和事件管理（SIEM）属于入侵检测技术，防火墙和虚拟化技术不属于入侵检测技术。5.A、B、C、D解析：设计安全架构时需要考虑业务需求、法律法规要求、技术限制和组织文化等因素。三、判断题1.×解析：零信任架构的核心原则是“默认拒绝，验证后再授予权限”。2.×解析：对称加密算法的密钥长度通常比非对称加密算法的密钥长度短。3.×解析：在云安全架构中，SaaS层的安全性主要由服务提供商负责，用户只需负责应用层安全。4.×解析：DNSoverTLS（DoT）可以防止DNS查询被窃听，也可以防止DNS劫持。5.√解析：纵深防御策略的核心思想是“分层防御，逐级过滤”。6.√解析：多因素认证（MFA）属于零信任架构的核心技术之一。7.√解析：虚拟化技术可以提高系统的安全性，通过隔离和限制资源访问。8.×解析：威胁建模的主要目的是识别潜在的安全威胁，并评估风险。9.√解析：AWSInspector是AWS提供的一款自动化安全合规检查服务。10.√解析：入侵防御系统（IPS）主要用于主动防御。四、简答题1.零信任架构的核心原则及其优势-核心原则：最小权限原则、永远验证原则、基于身份的访问控制（IBAC）、微分段等。-优势：提高安全性、增强可见性、适应云原生环境、符合合规要求。2.对称加密和非对称加密的区别-对称加密：使用相同密钥进行加密和解密，速度快，适用于大量数据加密。-非对称加密：使用公钥和私钥，公钥加密，私钥解密，安全性高，适用于少量数据加密。3.云安全架构中IaaS、PaaS和SaaS层的安全责任划分-IaaS：基础设施安全由用户负责，如虚拟机安全、防火墙配置等。-PaaS：平台级服务由服务提供商负责，用户只需关注应用层安全。-SaaS：应用层安全由服务提供商负责，用户只需关注数据安全。4.网络安全架构中纵深防御策略的组成部分-边界防火墙：防止外部攻击。-入侵检测系统（IDS）：检测恶意活动。-安全信息和事件管理（SIEM）：集中管理安全事件。-终端安全：保护终端设备。5.威胁建模的主要目的和方法-主要目的：识别潜在的安全威胁，评估风险，制定安全措施。-常见方法：STRIDE模型、PASTA模型、攻击树等。五、综合题1.设计云安全架构时应考虑的关键要素-身份和访问管理（IAM）：确保只有授权用户才能访问资源。-网络安全：使用VPC、安全组、防火墙等防止网络攻击。-数据安全：使用加密、备份、备份恢复等措施保护数据。-自动化合规：使用AWSInspector、AWSSecurityHub等工具进行自动化合规检查。2.防止内部员工恶意窃取敏感数据的安全架构设计-用户行为分析（UBA）：检测异常行为。-数据加密：对敏感数据进行加密存储和传输。-访问控制：实施