A、禁止数据库账号直接从互联网访问，仅允许通过堡垒机或应用内网访问；B、为应用程序分配仅具备CRUD必要权限的专用账号，严禁使用sa/root账号；C、开启数据库审计功能，记录所有DDL和DML操作；D、为了方便运维，将所有DBA的密码设置为统一且简单的密码，并保存在Excel中…｜03-06

  A、多源日志采集与标准化（Firewall, WAF, Host, Cloud Audit Logs）；B、基于大数据和AI的异常行为分析与威胁情报关联；C、自动化编排与响应（SOAR），如自动封禁IP、隔离主机；D、仅提供静态的漏洞扫描报告，不涉及实时流量分析…｜03-06

  A、Role 或 ClusterRole；B、RoleBinding 或 ClusterRoleBinding；C、ServiceAccount；D、Ingress…｜03-06

  A、实施备份数据的不可变性（Immutability/WORM），防止备份文件被加密或删除；B、建立离线备份或空气间隙（Air Gap）机制，物理或逻辑隔离备份存储；C、定期对备份数据进行恢复演练，验证数据完整性；D、将备份数据存储在同一个云账号的同一个Region下，以降低延迟…｜03-06

  A、直接在官方Ubuntu镜像上安装所有依赖；B、使用多阶段构建（Multi-stage builds），最终镜像仅包含运行二进制文件和最小化基础镜像（如Alpine/Distroless）；C、将源代码和编译工具链都打包进生产镜像以便调试；D、以root用户运行容器进程…｜03-06

  A、身份鉴别；B、访问控制；C、入侵防范；D、通信网络架构设计…｜03-06

  A、冷备（Cold Site）；B、温备（Warm Site）；C、热备（Hot Site）/ 双活数据中心；D、仅本地备份…｜03-06

  A、ARP欺骗；B、虚拟机逃逸 (VM Escape)；C、SQL注入；D、DDoS攻击…｜03-06

  A、定期轮换所有AK/SK；B、在Git提交钩子（Pre-commit Hook）中集成密钥扫描工具（如GitLeaks）；C、加强员工安全意识培训；D、购买更高版本的防火墙…｜03-06

  A、预留实例 (Reserved Instances)；B、专属宿主机 (Dedicated Host)；C、弹性伸缩组 (Auto Scaling Group) 结合按量付费/竞价实例；D、手动调整虚拟机规格…｜03-06

  A、在内网（VPC内部）传输数据时，由于网络隔离，无需加密。；B、TLS 1.2是目前唯一安全的传输协议版本，TLS 1.3尚未普及。；C、应强制使用TLS 1.3，并禁用弱加密套件（如RC4, 3DES），以实现前向安全性。；D、数据库客户端与应用服务器之间的连接加密会显著降低性能，建议仅在公网开……｜03-06

  A、修改 /etc/passwd 文件；B、使用 chmod 限制文件权限；C、配置 sudo 权限并结合日志审计；D、禁用该用户的Shell登录…｜03-06