第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁阿里云acp云安全題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.在阿里云環(huán)境中，以下哪項措施不屬于縱深防御策略的范疇？

（）A.啟用EIP并綁定公網(wǎng)IP

（）B.配置安全組規(guī)則限制訪問端口

（）C.定期更新EBS卷的底層系統(tǒng)

（）D.部署WAF防護Web應(yīng)用層攻擊

2.根據(jù)阿里云《云安全最佳實踐》，以下哪個場景最適用“最小權(quán)限原則”進行訪問控制？

（）A.運維人員同時需要訪問生產(chǎn)庫和測試庫

（）B.應(yīng)用服務(wù)器需要訪問所有子賬戶的資源

（）C.S3存儲桶授權(quán)給跨賬號的訪問者

（）D.系統(tǒng)管理員需要執(zhí)行全平臺賬戶禁用操作

3.在使用云監(jiān)控檢測RDS實例異常時，以下哪個指標(biāo)最能反映數(shù)據(jù)庫連接風(fēng)暴？

（）A.CPU使用率

（）B.連接數(shù)（Connections）

（）C.IOPS

（）D.磁盤延遲

4.阿里云堡壘機（BastionHost）的核心價值在于？

（）A.提供分布式存儲服務(wù)

（）B.實現(xiàn)多賬戶統(tǒng)一登錄

（）C.自動化部署資源棧

（）D.生成動態(tài)密碼保護API訪問

5.根據(jù)《網(wǎng)絡(luò)安全法》，云服務(wù)商在遭受重大安全事件時應(yīng)多久內(nèi)向網(wǎng)信部門報告？

（）A.24小時內(nèi)

（）B.48小時內(nèi)

（）C.72小時內(nèi)

（）D.事件發(fā)生后立即報告

6.在處理誤報時，以下哪種方法最符合阿里云安全事件響應(yīng)的閉環(huán)原則？

（）A.直接忽略告警并靜默處理

（）B.臨時降低告警閾值

（）C.驗證告警源并優(yōu)化檢測規(guī)則

（）D.將告警轉(zhuǎn)交第三方廠商處理

7.阿里云VPC網(wǎng)絡(luò)中，以下哪種場景需要配置VPNGateway？

（）A.同地域不同賬戶間的資源互聯(lián)

（）B.公網(wǎng)訪問內(nèi)網(wǎng)資源（如RDS）

（）C.VPC之間跨地域高速互聯(lián)

（）D.通過云企業(yè)網(wǎng)實現(xiàn)跨賬號互通

8.關(guān)于云安全審計，以下哪項描述最準(zhǔn)確？

（）A.可通過云監(jiān)控實現(xiàn)100%操作記錄

（）B.專屬主機比共享主機更易被審計

（）C.SLS日志服務(wù)需手動開啟審計功能

（）D.告警日志自動歸檔至OSS

9.在使用云防火墻（SGW）時，以下哪種策略配置最能防止CC攻擊？

（）A.限制訪問頻率（如每分鐘1000QPS）

（）B.開啟IP黑白名單

（）C.禁用所有入站流量

（）D.降低TCPSYN半連接超時

10.阿里云DDoS防護的清洗流程中，以下哪個環(huán)節(jié)屬于“流量清洗”范疇？

（）A.告警通知（如短信/郵件）

（）B.流量分流至清洗中心

（）C.生成攻擊報告

（）D.自動恢復(fù)訪問

二、多選題（共15分，多選、錯選均不得分）

11.以下哪些屬于阿里云“共享安全責(zé)任模型”中用戶側(cè)的責(zé)任范疇？

（）A.配置EBS卷快照策略

（）B.修改默認(rèn)系統(tǒng)密碼

（）C.設(shè)置WAF規(guī)則攔截惡意請求

（）D.檢測系統(tǒng)文件完整性

12.阿里云RDS實例的高可用方案包括哪些？

（）A.讀寫分離

（）B.多可用區(qū)部署

（）C.自動主備切換

（）D.定期數(shù)據(jù)庫備份

13.云安全態(tài)勢感知平臺（SCPS）主要包含哪些功能模塊？

（）A.安全資產(chǎn)拓?fù)?/p>

（）B.威脅情報庫

（）C.實時告警關(guān)聯(lián)

（）D.人工編排響應(yīng)動作

14.配置云防火墻（SGW）時，以下哪些屬于常見策略類型？

（）A.訪問控制（ACL）策略

（）B.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）策略

（）C.URL過濾策略

（）D.DDoS防護策略

15.根據(jù)《數(shù)據(jù)安全法》，云服務(wù)商需滿足以下哪些合規(guī)要求？

（）A.實施數(shù)據(jù)分類分級管理

（）B.建立跨境數(shù)據(jù)傳輸安全評估機制

（）C.對操作人員進行分級授權(quán)

（）D.定期進行數(shù)據(jù)加密傳輸

三、判斷題（共10分，每題0.5分）

16.云服務(wù)器ECS默認(rèn)情況下具有公網(wǎng)訪問權(quán)限。（）

17.阿里云KMS可用于加密存儲在OSS中的圖片文件。（）

18.VPC網(wǎng)絡(luò)中的安全組規(guī)則比路由表優(yōu)先級更高。（）

19.任何企業(yè)使用阿里云服務(wù)都必須購買DDoS高防包。（）

20.安全組規(guī)則中的“單次連接數(shù)限制”可防御暴力破解攻擊。（）

21.網(wǎng)絡(luò)安全等級保護測評通常需要云服務(wù)商配合完成。（）

22.SLS日志服務(wù)支持實時審計數(shù)據(jù)庫操作記錄。（）

23.阿里云堡壘機可替代所有類型的應(yīng)用程序防火墻。（）

24.誤報率越低的安全產(chǎn)品說明其檢測能力越強。（）

25.云監(jiān)控的監(jiān)控指標(biāo)默認(rèn)都會觸發(fā)告警。（）

四、填空題（共10空，每空1分）

26.在阿里云中，通過______和______兩個維度構(gòu)建多層級安全防護體系。

27.修改RDS實例默認(rèn)密碼屬于云主機安全基線檢查的______級別要求。

28.阿里云WAF支持按______、______、______三種維度進行訪問控制。

29.云安全態(tài)勢感知平臺（SCPS）中，安全態(tài)勢指數(shù)通常用______~______的數(shù)值表示。

30.根據(jù)《個人信息保護法》，云服務(wù)商處理敏感個人信息需獲得______的單獨同意。

五、簡答題（共30分）

31.簡述阿里云DDoS高防與云防火墻在功能定位上的區(qū)別。（8分）

32.結(jié)合實際場景，說明使用堡壘機替代SSH密碼方式登錄云資源的優(yōu)勢。（7分）

33.針對突發(fā)性網(wǎng)絡(luò)攻擊，阿里云提供哪些自動化響應(yīng)能力？（7分）

34.在云環(huán)境安全巡檢中，至少列舉5個需要重點關(guān)注的安全基線項。（8分）

六、案例分析題（共25分）

某電商公司使用阿里云搭建了包含ECS、RDS、OSS的三層架構(gòu)應(yīng)用，近期頻繁出現(xiàn)以下異常：

-客戶反饋訪問RDS實例時偶發(fā)性超時，但云監(jiān)控未觸發(fā)數(shù)據(jù)庫連接數(shù)告警

-WAF記錄顯示有30%的404請求來自境外IP，但實際無404資源

-堡壘機操作日志顯示運維人員通過弱口令繞過認(rèn)證訪問了S3桶

請回答：

（1）分析上述現(xiàn)象可能涉及的安全問題及相互關(guān)聯(lián)性。（10分）

（2）提出至少3項針對性解決措施及對應(yīng)的阿里云產(chǎn)品支持。（10分）

（3）總結(jié)此類問題暴露的系統(tǒng)管理盲區(qū)及改進建議。（5分）

參考答案及解析

一、單選題

1.C

解析：C選項屬于底層基礎(chǔ)設(shè)施維護范疇，不屬于縱深防御策略；A選項通過彈性公網(wǎng)實現(xiàn)隔離；B選項通過安全組控制訪問；D選項屬于應(yīng)用層防護。

2.D

解析：最小權(quán)限原則要求僅授予完成任務(wù)所需的最低權(quán)限，D選項中管理員執(zhí)行全平臺操作需嚴(yán)格限制，而其他選項涉及越權(quán)訪問。

3.B

解析：數(shù)據(jù)庫連接風(fēng)暴直接反映在連接數(shù)指標(biāo)上，A選項反映資源消耗；C選項反映I/O性能；D選項反映存儲性能。

4.B

解析：堡壘機核心功能是集中管理多賬號登錄，A選項是存儲服務(wù)；C選項是資源編排；D選項是API安全方案。

5.C

解析：根據(jù)《網(wǎng)絡(luò)安全法》第42條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者遭受網(wǎng)絡(luò)攻擊應(yīng)72小時內(nèi)報告。

6.C

解析：安全閉環(huán)要求驗證告警源并優(yōu)化規(guī)則，A選項忽略風(fēng)險；B選項治標(biāo)不治本；D選項轉(zhuǎn)交責(zé)任。

7.B

解析：公網(wǎng)訪問內(nèi)網(wǎng)資源需要VPN或NAT等技術(shù)實現(xiàn)，A選項需通過云企業(yè)網(wǎng)；C選項需通過高速通道；D選項需通過VPCPeering。

8.A

解析：云監(jiān)控僅支持部分操作審計，A選項錯誤；B選項共享主機更易審計；C選項SLS默認(rèn)開啟審計；D選項日志可自動歸檔。

9.A

解析：限制頻率是防御CC攻擊的標(biāo)準(zhǔn)手段，B選項僅限IP；C選項過于激進；D選項是TCPSYNFlood防護。

10.B

解析：流量清洗指將惡意流量導(dǎo)向清洗中心，A選項是告警環(huán)節(jié)；C選項是分析環(huán)節(jié)；D選項是恢復(fù)環(huán)節(jié)。

二、多選題

11.B、C

解析：A選項是服務(wù)商責(zé)任；D選項需通過資產(chǎn)防篡改實現(xiàn)。

12.B、C、D

解析：A選項是讀寫分離，屬于讀寫優(yōu)化方案。

13.A、C、D

解析：B選項屬于威脅情報平臺功能，SCPS核心是態(tài)勢感知。

14.A、C、D

解析：B選項是NAT網(wǎng)關(guān)功能，屬于網(wǎng)絡(luò)服務(wù)范疇。

15.A、B、C

解析：D選項是服務(wù)商責(zé)任，但法律未明確強制要求。

三、判斷題

16.×

解析：ECS默認(rèn)無公網(wǎng)訪問權(quán)限，需手動配置安全組或EIP。

17.√

解析：KMS可對OSS對象進行加密存儲，符合數(shù)據(jù)安全要求。

18.√

解析：安全組規(guī)則優(yōu)先級高于路由表，且生效后才進行路由轉(zhuǎn)發(fā)。

19.×

解析：僅需防護DDoS大型攻擊才需購買高防包，中小型攻擊可通過SGW自帶功能解決。

20.√

解析：限制單次連接數(shù)可有效緩解暴力破解。

21.√

解析：等級保護測評需服務(wù)商配合提供系統(tǒng)配置、日志等材料。

22.√

解析：SLS支持按SQL語句審計數(shù)據(jù)庫操作。

23.×

解析：堡壘機負(fù)責(zé)訪問控制，AFW負(fù)責(zé)應(yīng)用層防護，功能互補。

24.×

解析：誤報率低說明檢測精準(zhǔn)，但需結(jié)合漏報率綜合評估。

25.×

解析：監(jiān)控指標(biāo)需手動配置告警規(guī)則，默認(rèn)不觸發(fā)。

四、填空題

26.橫向隔離、縱向分層

解析：阿里云安全架構(gòu)強調(diào)網(wǎng)絡(luò)隔離和層級防護，符合縱深防御理念。

27.高

解析：默認(rèn)密碼修改屬于云安全基線檢查的強制項（根據(jù)阿里云《云安全最佳實踐》）。

28.IP地址、地理位置、用戶行為

解析：WAF支持基于這些維度進行精準(zhǔn)控制（參考WAF產(chǎn)品文檔）。

29.0、10

解析：阿里云SCPS態(tài)勢指數(shù)采用0-10分制（參考SCPSV3.0規(guī)范）。

30.用戶明確同意

解析：根據(jù)《個人信息保護法》第7條，處理敏感信息需單獨同意。

五、簡答題

31.

答：

-定位差異：

（1）功能范圍：DDoS高防主要防御分布式拒絕服務(wù)攻擊，屬于防護層；云防火墻（SGW）是訪問控制層產(chǎn)品，可攔截Web應(yīng)用攻擊。

（2）應(yīng)用場景：DDoS高防需部署在業(yè)務(wù)前段，云防火墻可部署在VPC網(wǎng)絡(luò)邊界。

-技術(shù)原理：

DDoS高防通過清洗中心識別并過濾惡意流量；云防火墻通過策略匹配阻斷非法訪問。

32.

答：

（1）權(quán)限控制：堡壘機可設(shè)置賬號權(quán)限，避免弱口令導(dǎo)致越權(quán)操作；

（2）操作審計：所有操作需通過堡壘機記錄，便于事后追溯；

（3）安全隔離：通過跳板機模式替代直連登錄，減少終端感染風(fēng)險；

（4）自動化響應(yīng)：支持腳本執(zhí)行和批量任務(wù)，提高運維效率。

33.

答：

（1）自動阻斷：云防火墻可聯(lián)動DDoS高防自動封禁攻擊源；

（2）告警聯(lián)動：安全事件觸發(fā)自動發(fā)送告警（如短信/釘釘通知）；

（3）策略分發(fā)：通過SCPS自動化更新安全策略；

（4）應(yīng)急組網(wǎng)：一鍵啟用安全組應(yīng)急策略。

34.

答：

（1）賬號安全：禁止默認(rèn)密碼、啟用多因素認(rèn)證；

（2）系統(tǒng)加固：關(guān)閉不必要的服務(wù)端口（如3389）；

（3）訪問控制：安全組規(guī)則嚴(yán)格限制訪問來源；

（4）日志審計：配置堡壘機記錄所有操作；

（5）數(shù)據(jù)加密：對敏感數(shù)據(jù)使用KMS加密。

六、案例分析題

（1）問題分析：

-RDS超時可能因WAF過濾正常流量或網(wǎng)絡(luò)抖動；

-404請求可能由WAF誤攔截或攻擊者探測；

-弱口令暴露堡