2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）試卷號(hào)26

住在富人區(qū)的她2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）（圖片可根據(jù)實(shí)際調(diào)整大?。╊}型12345總分得分一.綜合題(共50題)1.單選題

數(shù)字證書是一種由一個(gè)可信任的權(quán)威機(jī)構(gòu)簽署的信息集合。PKI中的X.509數(shù)字證書的內(nèi)容不包括（

）。

問題1選項(xiàng)

A.版本號(hào)

B.簽名算法標(biāo)識(shí)

C.證書持有者的公鑰信息

D.加密算法標(biāo)識(shí)

【答案】D

【解析】本題考查PKI中X.509數(shù)字證書。

在PKI/CA架構(gòu)中，擁有一個(gè)重要的標(biāo)準(zhǔn)就是X.509標(biāo)準(zhǔn)，數(shù)字證書就是按照X.509標(biāo)準(zhǔn)制作的。本質(zhì)上，數(shù)字證書是把一個(gè)密鑰對(duì)（明確的是公鑰，而暗含的是私鑰）綁定到一個(gè)身份上的被簽署的數(shù)據(jù)結(jié)構(gòu)。整個(gè)證書有可信賴的第三方簽名。目前，X.509有不同的版本，但都是在原有版本（X.509V1）的基礎(chǔ)上進(jìn)行功能的擴(kuò)充，其中每一版本必須包含下列信息。

?版本號(hào)：用來區(qū)分X.509的不同版本號(hào)。

?序列號(hào)：由CA給每一個(gè)證書分配唯一的數(shù)字型編號(hào)。

?簽名算法標(biāo)識(shí)符：用來指定用CA簽發(fā)證書時(shí)所使用的簽名算法。

?認(rèn)證機(jī)構(gòu)：即發(fā)出該證書的機(jī)構(gòu)唯一的CA的X.500名字。

?有效期限：證書有效的時(shí)間。

?主題信息：證書持有人的姓名、服務(wù)處所等信息。

?認(rèn)證機(jī)構(gòu)的數(shù)字簽名：以確保這個(gè)證書在發(fā)放之后沒有被改過。

?公鑰信息：包括被證明有效的公鑰值和加上使用這個(gè)公鑰的方法名稱。

?一個(gè)證書主體可以有多個(gè)證書。

?證書主體可以被多個(gè)組織或社團(tuán)的其他用戶識(shí)別。

?可按特定的應(yīng)用名識(shí)別用戶。

?在不同證書政策和使用不會(huì)發(fā)放不同的證書，這就要求公鑰用戶要信賴證書。

故本題選D。

點(diǎn)播：數(shù)字證書也稱公鑰證書，是由證書認(rèn)證機(jī)構(gòu)（CA）簽名的包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及擴(kuò)展信息的一種數(shù)據(jù)結(jié)構(gòu)。

2.案例題

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

密碼學(xué)的基本目標(biāo)是在有攻擊者存在的環(huán)境下，保證通信雙方（A和B）之間能夠使用不安全的通信信道實(shí)現(xiàn)安全通信。密碼技術(shù)能夠?qū)崿F(xiàn)信息的保密性、完整性、可用性和不可否認(rèn)性等安全目標(biāo)。一種實(shí)用的保密通信模型往往涉及對(duì)稱加密、公鑰密碼、Hash函數(shù)、數(shù)字簽名等多種密碼技術(shù)。

在以下描述中，M表示消息，H表示Hash函數(shù)，E表示加密算法，D表示解密算法，K表示密鑰，SKA表示A的私鑰，PKA表示A的公鑰，SKB表示B的私鑰，PKB表示B的公鑰，||表示連接操作。

【問題1】（6分）

用戶AB雙方采用的保密通信的基本過程如圖2-1所示。

請(qǐng)問圖2-1所設(shè)計(jì)的保密通信模型能實(shí)現(xiàn)信息的哪些安全目標(biāo)？圖2-1中的用戶A側(cè)的H和E能否互換計(jì)算順序？如果不能互換請(qǐng)說明原因：如果能互換請(qǐng)說明對(duì)安全目標(biāo)的影響。

【問題2】（4分）

圖2-2給出了另一種保密通信的基本過程：

請(qǐng)問圖2-2設(shè)計(jì)的保密通信模型能實(shí)現(xiàn)信息安全的哪些特性？

【問題3】（5分）

為了在傳輸過程中能夠保障信息的保密性、完整性和不可否認(rèn)性，設(shè)計(jì)了一個(gè)安全通信模型結(jié)構(gòu)如圖2-3所示：

請(qǐng)問圖2-3中（1），（2）分別應(yīng)該填什么內(nèi)容？

【答案】【問題1】

實(shí)現(xiàn)完整性?！窘馕觥俊締栴}1】解析

通過以上保密通信方式，接收方可以相信報(bào)文未被修改。如果攻擊者改變了報(bào)文，因?yàn)橐鸭俣ü粽卟恢烂荑€K，所以他不知道如何對(duì)Ek[H（M）]作相應(yīng)修改。這將使接收方計(jì)算出的H（M）將不等于接收到的H（M）。3.單選題

PDR模型是一種體現(xiàn)主動(dòng)防御思想的網(wǎng)絡(luò)安全模型，該模型中D表示（

）。

問題1選項(xiàng)

A.Design（設(shè)計(jì)）

B.Detection（檢測）

C.Defense（防御）

D.Defend（保護(hù)）

【答案】B

【解析】本題考查信息保障模型中的PDR模型。

PDR模型是最早體現(xiàn)主動(dòng)防御思想的網(wǎng)絡(luò)安全模型。PDR模型包括了Protection（保護(hù)）、Detection（檢測）、Response（響應(yīng)）3個(gè)部分。故本題選B。

點(diǎn)播：美國國防部提出了PDRR模型，其中PDRR是Protection（保護(hù)）、Detection（檢測）、Recovery（恢復(fù)）、Response（響應(yīng)）英文單詞的縮寫。PDRR改進(jìn)了傳統(tǒng)的只注重保護(hù)的單一安全防御思想，該模型強(qiáng)調(diào)的是自動(dòng)故障恢復(fù)能力。

4.單選題

設(shè)在RSA的公鑰密碼體制中，公鑰為（e，n）=（7，55），則私鑰d=（

）。

問題1選項(xiàng)

A.11

B.15

C.17

D.23

【答案】D

【解析】本題考查RSA密碼算法相關(guān)知識(shí)。

已知n=55，則可推斷ρ（n）=（5-1）*（11-1）=40，則d*e≡1mod40，算出d=23。故本題選D。

5.單選題

網(wǎng)絡(luò)系統(tǒng)中針對(duì)海量數(shù)據(jù)的加密，通常不采用（

）方式。

問題1選項(xiàng)

A.會(huì)話加密

B.公鑰加密

C.鏈路加密

D.端對(duì)端加密

【答案】B

【解析】本題考查公鑰體制相關(guān)知識(shí)。

公鑰加密加密算法復(fù)雜且加解密效率低，需要較大的計(jì)算量，一般只適用于少量數(shù)據(jù)的加密。故本題選B。

6.單選題

蠕蟲是一類可以獨(dú)立運(yùn)行、并能將自身的一個(gè)包含了所有功能的版本傳播到其他計(jì)算機(jī)上的程序。網(wǎng)絡(luò)蠕蟲可以分為:漏洞利用類蠕蟲、口令破解類蠕蟲、電子郵件類蠕蟲、P2P類蠕蟲等。以下不屬于漏洞利用類蠕蟲的是（

）。

問題1選項(xiàng)

A.CodeRed

B.Slammer

C.MSBlaster

D.IRC-worm

【答案】D

【解析】本題考查惡意代碼中蠕蟲方面的基礎(chǔ)知識(shí)。

漏洞利用類蠕蟲包括2001年的紅色代碼(CodeRed)和尼姆達(dá)(Nimda)、2003年的蠕蟲王(Slammer)和沖擊波(MSBlaster).2004年的震蕩波(Sasser).2005年的極速波(Zotob)、2006年的魔波(MocBot)、2008年的掃蕩波(Saodangbo).2009年的飛客(Conficker)、2010年的震網(wǎng)(StuxNet)等。IRC-worm屬于IRC類蠕蟲。

7.單選題

所有資源只能由授權(quán)方或以授權(quán)的方式進(jìn)行修改，即信息未經(jīng)授權(quán)不能進(jìn)行改變的特性是指信息的（

）。

問題1選項(xiàng)

A.完整性

B.可用性

C.保密性

D.不可抵賴性

【答案】A

【解析】本題考查信息安全基本屬性方面的內(nèi)容。

機(jī)密性是指網(wǎng)絡(luò)信息不泄露給非授權(quán)的用戶、實(shí)體或程序，能夠防止非授權(quán)者獲取信息。

完整性是指網(wǎng)絡(luò)信息或系統(tǒng)未經(jīng)授權(quán)不能進(jìn)行更改的特性。

可用性是指合法許可的用戶能夠及時(shí)獲取網(wǎng)絡(luò)信息或服務(wù)的特性。

抗抵賴性是指防止網(wǎng)絡(luò)信息系統(tǒng)相關(guān)用戶否認(rèn)其活動(dòng)行為的特性。

答案選A。

8.單選題

BS7799標(biāo)準(zhǔn)是英國標(biāo)準(zhǔn)協(xié)會(huì)制定的信息安全管理體系標(biāo)準(zhǔn)，它包括兩個(gè)部分：《信息安全管理實(shí)施指南》和《信息安全管理體系規(guī)范和應(yīng)用指南》。依據(jù)該標(biāo)準(zhǔn)可以組織建立、實(shí)施與保持信息安全管理體系，但不能實(shí)現(xiàn)（

）。

問題1選項(xiàng)

A.強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為

B.對(duì)組織內(nèi)關(guān)鍵信息資產(chǎn)的安全態(tài)勢進(jìn)行動(dòng)態(tài)監(jiān)測

C.促使管理層堅(jiān)持貫徹信息安全保障體系

D.通過體系認(rèn)證就表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息

【答案】B

【解析】本題考查重要的信息安全管理體系和標(biāo)準(zhǔn)方面的基礎(chǔ)知識(shí)。

BS7799標(biāo)準(zhǔn)是英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的信息安全管理體系標(biāo)準(zhǔn)。它涵蓋了幾乎所有的安全議題，非常適合作為工商業(yè)及大、中、小組織的信息系統(tǒng)在大多數(shù)情況下所需的控制范圍確定的參考基準(zhǔn)。但沒有對(duì)組織內(nèi)關(guān)鍵信息資產(chǎn)的安全態(tài)勢進(jìn)行動(dòng)態(tài)監(jiān)測。故本題選B。

點(diǎn)播：BS7799作為信息安全管理領(lǐng)域的一個(gè)權(quán)威標(biāo)準(zhǔn)，是全球業(yè)界一致公認(rèn)的輔助信息安全治理手段，該標(biāo)準(zhǔn)的最大意義在于可以為管理層提供一套可量體裁衣的信息安全管理要項(xiàng)、一套與技術(shù)負(fù)責(zé)人或組織高層進(jìn)行溝通的共同語言，以及保護(hù)信息資產(chǎn)的制度框架。

9.單選題

2001年11月26日，美國政府正式頒布AES為美國國家標(biāo)準(zhǔn)。AES算法的分組長度為128位，其可選的密鑰長度不包括（

）。

問題1選項(xiàng)

A.256位

B.192位

C.128位

D.64位

【答案】D

【解析】本題考查分組加密AES密碼算法方面的基礎(chǔ)知識(shí)。

AES的密鑰長度可以為16、24或者32字節(jié)，也就是128、192、256位。

10.單選題

訪問控制是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施，適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)授權(quán)的用戶有意或者無意地獲取資源。信息系統(tǒng)訪問控制的基本要素不包括（

）。

問題1選項(xiàng)

A.主體

B.客體

C.授權(quán)訪問

D.身份認(rèn)證

【答案】D

【解析】Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

本題考查信息系統(tǒng)訪問控制的基本要素。

訪問者稱為主體，可以是用戶、進(jìn)程、應(yīng)用程序等；

資源對(duì)象稱為客體，即被訪問的對(duì)象，可以是文件、應(yīng)用服務(wù)、數(shù)據(jù)等；

授權(quán)是訪問者對(duì)資源對(duì)象進(jìn)行訪問的方式，如文件的讀、寫、刪除、追加或電子郵件服務(wù)的接收、發(fā)送等。

信息系統(tǒng)訪問控制的三要素是主體、客體和授權(quán)訪問，因此不包括身份認(rèn)證。故本題選D。

點(diǎn)播：訪問控制是指對(duì)資源對(duì)象的訪問者授權(quán)、控制的方法及運(yùn)行機(jī)制。

11.單選題

國家密碼管理局發(fā)布的《無線局域網(wǎng)產(chǎn)品須使用的系列密碼算法》，其中規(guī)定密鑰協(xié)商算法應(yīng)使用的是（

）。

問題1選項(xiàng)

A.PKI

B.DSA

C.CPK

D.ECDH

【答案】D

【解析】本題考查網(wǎng)絡(luò)安全法律法規(guī)相關(guān)的知識(shí)點(diǎn)。

國家密碼管理局于2006年1月6日發(fā)布公告，公布了《無線局域網(wǎng)產(chǎn)品須使用的系列密碼算法》，包括：對(duì)稱密碼算法：SMS4；簽名算法：ECDSA；密鑰協(xié)商算法：ECDH；雜湊算法：SHA-256；隨機(jī)數(shù)生成算法：自行選擇。其中，ECDSA和ECDH密碼算法須采用國家密碼管理局指定的橢圓曲線和參數(shù)。

答案選D。

12.單選題

在安全評(píng)估過程中，采?。?/p>

）手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。

問題1選項(xiàng)

A.問卷調(diào)查

B.人員訪談

C.滲透測試

D.手工檢查

【答案】C

【解析】本題考查安全評(píng)估方面的基礎(chǔ)知識(shí)。

滲透測試是通過模擬惡意黑客的攻擊方法，來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。在安全評(píng)估過程中，一般采取滲透測試手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。

答案選C。

13.單選題

已知DES算法S盒如下：

如果該S盒輸入110011，則其二進(jìn)制輸出為（

）。

問題1選項(xiàng)

A.1110

B.1001

C.0100

D.0101

【答案】A

【解析】本題考查DES算法中S盒的運(yùn)用。

根據(jù)輸入數(shù)據(jù)110011，第一位和最后一位組成行，及11→3；中間數(shù)據(jù)為列，即1001→9。則查找表第3行和第9列交叉的數(shù)字為14，其二進(jìn)制為1110。故本題選A。

點(diǎn)播：DES算法是最為廣泛使用的一種分組密碼算法。DES是一個(gè)包含16個(gè)階段的“替換-置換”的分組加密算法，它以64位為分組對(duì)數(shù)據(jù)加密。64位的分組明文序列作為加密算法的輸入，經(jīng)過16輪加密得到64位的密文序列。每一個(gè)S盒對(duì)應(yīng)6位的輸入序列，得到相應(yīng)的4位輸出序列，輸入序列以一種非常特殊的方式對(duì)應(yīng)S盒中的某一項(xiàng)，通過S盒的6個(gè)位輸入確定了其對(duì)應(yīng)的輸出序列所在的行和列的值。

14.單選題

密碼工作是黨和國家的一項(xiàng)特殊重要工作，直接關(guān)系國家政治安全、經(jīng)濟(jì)安全、國防安全和信息安全。密碼法的通過對(duì)全面提升密碼工作法治化水平起到了關(guān)鍵性作用。密碼法規(guī)定國家對(duì)密碼實(shí)行分類管理，密碼分類中不包含（

）。

問題1選項(xiàng)

A.核心密碼

B.普通密碼

C.商用密碼

D.國產(chǎn)密碼

【答案】D

【解析】本題考查密碼法方面的基礎(chǔ)知識(shí)。

根據(jù)《中華人民共和國密碼法》第六條，密碼分為核心密碼、普通密碼和商用密碼，不包含國產(chǎn)密碼。

答案選D。

15.單選題

分組密碼常用的工作模式包括：電碼本模式（ECB模式）、密碼反饋模式（CFB模式），密碼分組鏈接模式（CBC模式），輸出反饋模式（OFB模式）。下圖描述的是（

）模式（圖中Pi表示明文分組，Ci表示密文分組）

問題1選項(xiàng)

A.ECB模式

B.CFB模式

C.CBC模式

D.OFB模式

【答案】B

【解析】本題考查分組密碼操作模式相關(guān)知識(shí)。

分組加密算法中，有ECB，CBC，CFB，OFB這幾種算法模式。

ECB（電子密本方式）其實(shí)非常簡單，就是將數(shù)據(jù)按照8個(gè)字節(jié)一段進(jìn)行DES加密或解密得到一段8個(gè)字節(jié)的密文或者明文，最后一段不足8個(gè)字節(jié)，按照需求補(bǔ)足8個(gè)字節(jié)進(jìn)行計(jì)算，之后按照順序?qū)⒂?jì)算所得的數(shù)據(jù)連在一起即可，各段數(shù)據(jù)之間互不影響。

CBC（密文分組鏈接方式）有點(diǎn)麻煩，它的實(shí)現(xiàn)機(jī)制使加密的各段數(shù)據(jù)之間有了聯(lián)系。不容易主動(dòng)攻擊，安全性好于ECB。

CFB（密文反饋模式）類似于CBC，可以將塊密碼變?yōu)樽酝降牧髅艽a；工作過程亦非常相似，CFB的解密過程幾乎就是顛倒的CBC的加密過程。

OFB（輸出反饋模式）可以將塊密碼變成同步的流密碼。它產(chǎn)生密鑰流的塊，然后將其與平文塊進(jìn)行異或，得到密文。與其他流密碼一樣，密文中一個(gè)位的翻轉(zhuǎn)會(huì)使平文中同樣位置的位也產(chǎn)生翻轉(zhuǎn)。這種特性使得許多錯(cuò)誤校正碼，例如奇偶校驗(yàn)位，即使在加密前計(jì)算而在加密后進(jìn)行校驗(yàn)也可以得出正確結(jié)果。（詳見《信息安全工程師教程》第一版P108）

故本題選B。

16.單選題

身份認(rèn)證是證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的驗(yàn)證過程。目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證技術(shù)主要有:用戶名/密碼方式、智能卡認(rèn)證、動(dòng)態(tài)口令、生物特征認(rèn)證等。其中不屬于生物特征的是（

）。

問題1選項(xiàng)

A.指紋

B.手指靜脈

C.虹膜

D.擊鍵特征

【答案】D

【解析】本題考查身份認(rèn)證方面的基礎(chǔ)知識(shí)。

擊鍵特征屬于行為特征。指紋、手指靜脈、虹膜屬于生物特征。

答案選D。

17.單選題

身份認(rèn)證是證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的驗(yàn)證過程。下列各種協(xié)議中，不屬于身份認(rèn)證協(xié)議的是（

）。

問題1選項(xiàng)

A.IPSec協(xié)議

B.S/Key口令協(xié)議

C.X.509協(xié)議

D.Kerberos協(xié)議

【答案】A

【解析】本題考查身份認(rèn)證方面的基礎(chǔ)知識(shí)。

IPSec協(xié)議是通過對(duì)IP協(xié)議的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議，并不屬于身份認(rèn)證協(xié)議。

答案選A。

18.單選題

有一些信息安全事件是由于信息系統(tǒng)中多個(gè)部分共同作用造成的，人們稱這類事件為“多組件事故”，應(yīng)對(duì)這類安全事件最有效的方法是（）。

問題1選項(xiàng)

A.配置網(wǎng)絡(luò)入侵檢測系統(tǒng)以檢測某些類型的違法或誤用行為

B.使用防病毒軟件，并且保持更新為最新的病毒特征碼

C.將所有公共訪問的服務(wù)放在網(wǎng)絡(luò)非軍事區(qū)（DMZ）

D.使用集中的日志審計(jì)工具和事件關(guān)聯(lián)分析軟件

【答案】D

【解析】本題考查應(yīng)對(duì)多組件事故的方法。

多組件事故是指由于信息系統(tǒng)中多個(gè)部分共同作用造成的信息安全事件。應(yīng)對(duì)這類安全事件最有效的方法是使用集中的日志審計(jì)工具和事件關(guān)聯(lián)分析軟件。故本題選D。

點(diǎn)播：此類題型考查率極低，了解即可。

19.單選題

IP地址分為全球地址（公有地址）和專用地址（私有地址），在文檔RFC1918中，不屬于專用地址的是（

）。

問題1選項(xiàng)

A.到55

B.到55

C.到55

D.到55

【答案】B

【解析】本題考查IP地址分類的相關(guān)知識(shí)。

專用地址范圍：A類：-55；B類：-55；C類：-55。根據(jù)IP地址的分類來看，255開頭的IP地址不屬于私有專用地址。故本題選B。

點(diǎn)播：公有IP地址分為：

A：--55&--55；

B：--55&--55；

C：--55&--55。

20.單選題

移動(dòng)終端設(shè)備常見的數(shù)據(jù)存儲(chǔ)方式包括：①SharedPreferences；②文件存儲(chǔ)；③SQLite數(shù)據(jù)庫；④ContentProvider；⑤網(wǎng)絡(luò)存儲(chǔ)。Android系統(tǒng)支持的數(shù)據(jù)存儲(chǔ)方式包括（

）。

問題1選項(xiàng)

A.①②③④⑤

B.①③⑤

C.①②④⑤

D.②③⑤

【答案】A

【解析】本題考查Android系統(tǒng)數(shù)據(jù)存儲(chǔ)方面的基礎(chǔ)知識(shí)。

Android平臺(tái)進(jìn)行數(shù)據(jù)存儲(chǔ)的方式包括：

(1)使用SharedPreferences存儲(chǔ)數(shù)據(jù)；

(2)文件存儲(chǔ)數(shù)據(jù)；

(3)sQLite數(shù)據(jù)庫存儲(chǔ)數(shù)據(jù)；

(4)使用ContentProvider存儲(chǔ)數(shù)據(jù)；

(5)網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)。

答案選A。

21.單選題

SM4算法是國家密碼管理局于2012年3月21日發(fā)布的一種分組密碼算法，在我國商用密碼體系中，SM4主要用于數(shù)據(jù)加密。SM4算法的分組長度和密鑰長度分別為（

）。

問題1選項(xiàng)

A.128位和64位

B.128位和128位

C.256位和128位

D.256位和256位

【答案】B

【解析】本題考查我國國密算法方面的基礎(chǔ)知識(shí)。

SM4算法的分組長度為128位，密鑰長度為128位。加密算法與密鑰擴(kuò)展算法都采用32輪非線性迭代結(jié)構(gòu)。解密算法與加密算法的結(jié)構(gòu)相同，只是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序。

22.單選題

強(qiáng)制訪問控制（MAC）可通過使用敏感標(biāo)簽對(duì)所有用戶和資源強(qiáng)制執(zhí)行安全策略。MAC中用戶訪問信息的讀寫關(guān)系包括下讀、上寫、下寫和上讀四種，其中用戶級(jí)別高于文件級(jí)別的讀操作是（

）。

問題1選項(xiàng)

A.下讀

B.上寫

C.下寫

D.上讀

【答案】A

【解析】本題考查強(qiáng)制訪問控制相關(guān)知識(shí)。

強(qiáng)制訪問控制（MAC）是指系統(tǒng)根據(jù)主體和客體的安全屬性，以強(qiáng)制的方式控制主體對(duì)客體的訪問，是一種不允許主體干涉的訪問控制類型。根據(jù)MAC的安全級(jí)別，用戶與訪問的信息的讀寫關(guān)系有四種：即：下讀（readdown）：用戶級(jí)別高于文件級(jí)別的讀操作。上寫（writeup）：用戶級(jí)別低于文件級(jí)別的寫操作。下寫（writedown）：用戶級(jí)別高于文件級(jí)別的寫操作。上讀（readup）：用戶級(jí)別低于文件級(jí)別的讀操作。其中用戶級(jí)別高于文件級(jí)別的讀寫操作是下讀。故本題選A。

點(diǎn)播：

訪問控制的目標(biāo)有兩個(gè)：防止非法用戶進(jìn)入系統(tǒng)；阻止合法用戶對(duì)系統(tǒng)資源的非法使用，即禁止合法用戶的越權(quán)訪問。

訪問控制類型可分為：自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制和基于屬性的訪問控制。

23.單選題

防火墻的安全規(guī)則由匹配條件和處理方式兩部分組成。當(dāng)網(wǎng)絡(luò)流量與當(dāng)前的規(guī)則匹配時(shí)，就必須采用規(guī)則中的處理方式進(jìn)行處理。其中，拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止的處理方式是（

）。

問題1選項(xiàng)

A.Accept

B.Reject

C.Refuse

D.Drop

【答案】B

【解析】本題考查防火墻相關(guān)知識(shí)。

防火墻的規(guī)則處理方式如下：

Accept：允許數(shù)據(jù)包或信息通過；

Reject：拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止；

Drop：直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

故本題選B。

點(diǎn)播：防火墻是一種控制隔離技術(shù)，在某機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。

24.單選題

按照行為和功能特性，特洛伊木馬可以分為遠(yuǎn)程控制型木馬、信息竊取型木馬和破壞型木馬等。以下不屬于遠(yuǎn)程控制型木馬的是（

）。

問題1選項(xiàng)

A.冰河

B.彩虹橋

C.PCShare

D.Trojan-Ransom

【答案】D

【解析】本題考查惡意代碼中特洛伊木馬方面的基礎(chǔ)知識(shí)。

典型的遠(yuǎn)程控制型木馬有冰河、網(wǎng)絡(luò)神偷、廣外女生、網(wǎng)絡(luò)公牛、黑洞、上興、彩虹橋、Posionivy、PCShare、灰鴿子等。Trojan-Ransom屬于破壞型木馬。

25.單選題

以下關(guān)于網(wǎng)絡(luò)欺騙的描述中，不正確的是（

）。

問題1選項(xiàng)

A.Web欺騙是一種社會(huì)工程攻擊

B.DNS欺騙通過入侵網(wǎng)站服務(wù)器實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容的篡改

C.郵件欺騙可以遠(yuǎn)程登錄郵件服務(wù)器的端口25

D.采用雙向綁定的方法可以有效阻止ARP欺騙

【答案】B

【解析】本題考查網(wǎng)絡(luò)欺騙相關(guān)知識(shí)。

DNS欺騙：是一種攻擊者冒充域名服務(wù)器的欺騙行為。原理：如果可以冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。并不會(huì)對(duì)原網(wǎng)頁內(nèi)容進(jìn)行篡改。故本題選B。

點(diǎn)播：網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些可攻擊竊取的資源（當(dāng)然這些資源是偽造的或不重要的），并將入侵者引向這些錯(cuò)誤的資源。它能夠顯著地增加入侵者的工作量、入侵復(fù)雜度以及不確定性，從而使入侵者不知道其進(jìn)攻是否奏效或成功。而且，它允許防護(hù)者跟蹤入侵者的行為，在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。

26.單選題

報(bào)文內(nèi)容認(rèn)證使接收方能夠確認(rèn)報(bào)文內(nèi)容的真實(shí)性，產(chǎn)生認(rèn)證碼的方式不包括（

）。

問題1選項(xiàng)

A.報(bào)文加密

B.數(shù)字水印

C.MAC

D.HMAC

【答案】B

【解析】本題考查消息認(rèn)證碼方面的基礎(chǔ)知識(shí)。

產(chǎn)生認(rèn)證碼的方法有以下三種：

①報(bào)文加密;

②消息認(rèn)證碼(MAC);

③基于hash函數(shù)的消息認(rèn)證碼(HMAC)。

答案選B。

27.單選題

防火墻的體系結(jié)構(gòu)中，屏蔽子網(wǎng)體系結(jié)構(gòu)主要由四個(gè)部分構(gòu)成：周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器和堡壘主機(jī)。其中被稱為屏蔽子網(wǎng)體系結(jié)構(gòu)第一道屏障的是（

）。

問題1選項(xiàng)

A.周邊網(wǎng)絡(luò)

B.外部路由器

C.內(nèi)部路由器

D.堡壘主機(jī)

【答案】B

【解析】本題考查防火墻的屏蔽子網(wǎng)體系結(jié)構(gòu)方面的基礎(chǔ)知識(shí)。

外部路由器的主要作用在于保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第一道屏障。

答案選B。

28.單選題

域名系統(tǒng)DNS的功能是把Internet中的主機(jī)域名解析為對(duì)應(yīng)的IP地址，目前頂級(jí)域名（TLD

）有國家頂級(jí)域名、國際頂級(jí)域名、通用頂級(jí)域名三大類。最早的頂級(jí)域名中，表示非營利組織域名的是（

）。

問題1選項(xiàng)

A.net

B.org

C.mil

D.biz

【答案】B

【解析】本題考查域名系統(tǒng)方面的基礎(chǔ)知識(shí)。

COM：商業(yè)性的機(jī)構(gòu)或公司

ORG：非盈利的組織、團(tuán)體

GOV：政府部門

MIL：軍事部門

EDU：教育機(jī)構(gòu)

NET：從事Internet相關(guān)的的機(jī)構(gòu)或公司

BIZ：網(wǎng)絡(luò)商務(wù)向?qū)?，適用于商業(yè)公司

答案選B。

29.單選題

以下關(guān)于網(wǎng)絡(luò)流量監(jiān)控的敘述中，不正確的是（

）。

問題1選項(xiàng)

A.網(wǎng)絡(luò)流量監(jiān)控分析的基礎(chǔ)是協(xié)議行為解析技術(shù)

B.數(shù)據(jù)采集探針是專門用于獲取網(wǎng)絡(luò)鏈路流量數(shù)據(jù)的硬件設(shè)備

C.流量監(jiān)控能夠有效實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的過濾

D.流量監(jiān)測中所監(jiān)測的流量通常采集自主機(jī)節(jié)點(diǎn)、服務(wù)器、路由器接口、鏈路和路徑等

【答案】C

【解析】本題考查網(wǎng)絡(luò)流量監(jiān)控相關(guān)知識(shí)。

流量監(jiān)控指的是對(duì)數(shù)據(jù)流進(jìn)行的監(jiān)控。流量監(jiān)控的內(nèi)容：流量大??；吞吐量；帶寬情況；時(shí)間計(jì)數(shù)；延遲情況；流量故障。不能過濾敏感數(shù)據(jù)。故本題選C。

30.單選題

一臺(tái)連接在以太網(wǎng)內(nèi)的計(jì)算機(jī)為了能和其他主機(jī)進(jìn)行通信，需要有網(wǎng)卡支持。網(wǎng)卡接收數(shù)據(jù)幀的狀態(tài)有：unicast、broadcast、multicast、promiscuous等，其中能接收所有類型數(shù)據(jù)幀的狀態(tài)是（

）。

問題1選項(xiàng)

A.unicast

B.broadcast

C.multicast

D.promiscuous

【答案】D

【解析】本題考查網(wǎng)卡接收數(shù)據(jù)幀狀態(tài)方面的基礎(chǔ)知識(shí)。

unicast是指網(wǎng)卡在工作時(shí)接收目的地址是本機(jī)硬件地址的數(shù)據(jù)幀,broadcast是指接收所有類型為廣播報(bào)文的數(shù)據(jù)幀，multicast是指接收特定的組播報(bào)文，promiscuous則是通常說的混雜模式，是指對(duì)報(bào)文中的目的硬件地址不加任何檢查而全部接收的工作模式。

答案選D。

31.單選題

下列關(guān)于公鑰密碼體制說法不正確的是（

）。

問題1選項(xiàng)

A.在一個(gè)公鑰密碼體制中，一般存在公鑰和私鑰兩個(gè)密鑰

B.公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰來確定解密密鑰在計(jì)算上是可行的

C.公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰來確定解密密鑰在計(jì)算上是不可行的

D.公鑰密碼體制中的私鑰可以用來進(jìn)行數(shù)字簽名

【答案】B

【解析】本題考查公鑰密碼體制相關(guān)知識(shí)

公鑰密碼體制中，一般存在公鑰和私鑰兩種密鑰；

公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰去確定解密密鑰在計(jì)算上是不可行的，因?yàn)橛?jì)算量過于龐大；

公鑰密碼體制中的公鑰可以以明文方式發(fā)送；

公鑰密碼體制中的私鑰可以用來進(jìn)行數(shù)字簽名。

故本題選B。

32.單選題

Bell-LaPadual模型（簡稱BLP模型）是最早的一種安全模型，也是最著名的多級(jí)安全策略模型，BLP模型的簡單安全特性是指（

）。

問題1選項(xiàng)

A.不可上讀

B.不可上寫

C.不可下讀

D.不可下寫

【答案】A

【解析】本題考查BLP模型相關(guān)知識(shí)。

Bell-LaPadula模型（簡稱BLP模型）是D.ElliottBell和LeonardJ.LaPadula于1973年提出的對(duì)應(yīng)于軍事類型安全密級(jí)分類的計(jì)算機(jī)操作系統(tǒng)模型。BLP模型是最早的一種計(jì)算機(jī)多級(jí)安全模型，也是受到公認(rèn)最著名的狀態(tài)機(jī)模型。

BLP保密模型基于兩種規(guī)則來保障數(shù)據(jù)的保密性與敏感度：

①簡單安全特性：不可上讀（主體不可讀安全級(jí)別高于它的數(shù)據(jù)）。

②*特性：不可下寫（主體不可寫安全級(jí)別低于它的數(shù)據(jù)）。

故本題選A。

33.單選題

基于MD4和MD5設(shè)計(jì)的S/Key口令是一種一次性口令生成方案，它可以對(duì)訪問者的身份與設(shè)備進(jìn)行綜合驗(yàn)證，該方案可以對(duì)抗（

）。

問題1選項(xiàng)

A.網(wǎng)絡(luò)釣魚

B.數(shù)學(xué)分析攻擊

C.重放攻擊

D.窮舉攻擊

【答案】C

【解析】本題考查Hash算法中的MD4、MD5算法。

網(wǎng)絡(luò)釣魚：是一種通過假冒可信方（知名銀行、信用卡公司等）提供網(wǎng)上服務(wù)，以欺騙手段獲取敏感個(gè)人信息（如口令、銀行卡信息等）的攻擊方式。

數(shù)學(xué)分析攻擊：是指密碼分析者針對(duì)加解密算法的數(shù)學(xué)基礎(chǔ)和某些密碼學(xué)特性，通過數(shù)學(xué)求解的方法來破譯密碼。數(shù)學(xué)分析攻擊是對(duì)基于數(shù)學(xué)難題的各種密碼的主要威脅。為了對(duì)抗這種數(shù)學(xué)分析攻擊，應(yīng)當(dāng)選用具有堅(jiān)實(shí)數(shù)學(xué)基礎(chǔ)和足夠復(fù)雜的加解密算法。

重放攻擊：也被叫做是重播攻擊、回放攻擊或者是新鮮性攻擊，具體是指攻擊者發(fā)送一個(gè)目的主機(jī)已經(jīng)接收過的包來達(dá)到欺騙系統(tǒng)的目的。重放攻擊主要是在身份認(rèn)證的過程時(shí)使用，它可以把認(rèn)證的正確性破壞掉。

窮舉攻擊：亦稱“暴力破解”。對(duì)密碼進(jìn)行逐個(gè)推算，直到找出真正的密碼為止的一種攻擊方式。理論上可破解任何一種密碼，問題在于如何縮短破解時(shí)間。

S/key口令是一種一次性口令生成方案，可以有效對(duì)抗重放攻擊。故本題選C。

點(diǎn)播：此類題目不需要完全了解MD4、MD5等算法原理，只需抓住題干中關(guān)鍵字——“一次性口令”，再結(jié)合選項(xiàng)的理解分析，即可快速找到答案。

34.單選題

IPSec協(xié)議可以為數(shù)據(jù)傳輸提供數(shù)據(jù)源驗(yàn)證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播等安全服務(wù)。其實(shí)現(xiàn)用戶認(rèn)證采用的協(xié)議是（

）。

問題1選項(xiàng)

A.IKE協(xié)議

B.ESP協(xié)議

C.AH協(xié)議

D.SKIP協(xié)議

【答案】C

【解析】

IPSec提供了兩種安全機(jī)制：認(rèn)證（采用ipsec的AH）和加密（采用ipsec的ESP）。

AH是一種安全協(xié)議，又稱為認(rèn)證頭協(xié)議。其安全目的是保證IP包的完整性和提供數(shù)據(jù)源認(rèn)證，為IP數(shù)據(jù)報(bào)文提供無連接的完整性、數(shù)據(jù)源鑒別和抗重放攻擊服務(wù)。

ESP也是一種安全協(xié)議，其用途在于保證IP包的保密性，而IPAH不能提供IP包的保密性服務(wù)。

IKE：密鑰交換協(xié)議IKE是用于交換和管理在VPN中使用的加密密鑰的協(xié)議。

SKIP：SKIP協(xié)議是一種簡單的重點(diǎn)互聯(lián)網(wǎng)協(xié)議。（此協(xié)議無需記憶）

故本題選C。

點(diǎn)播：IPSec是InternetProtocolSecurity的縮寫。IPSec工作組制定了相關(guān)的IP安全系列規(guī)范：認(rèn)證頭AH、封裝安全有效負(fù)荷ESP以及密鑰交換協(xié)議IKE。AH和ESP都有兩種工作模式，即透明模式和隧道模式。透明模式只保護(hù)IP包中的數(shù)據(jù)域，而隧道模式則保護(hù)IP包的包頭和數(shù)據(jù)域。

35.單選題

數(shù)字水印技術(shù)通過在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱蔽的水印標(biāo)記，可以有效實(shí)現(xiàn)對(duì)數(shù)字多媒體數(shù)據(jù)的版權(quán)保護(hù)等功能。以下關(guān)于數(shù)字水印的描述中，不正確的是（

）。

問題1選項(xiàng)

A.隱形數(shù)字水印可應(yīng)用于數(shù)據(jù)偵測與跟蹤

B.在數(shù)字水印技術(shù)中，隱藏水印的數(shù)據(jù)量和魯棒性是一對(duì)矛盾

C.秘密水印也稱盲化水印，其驗(yàn)證過程不需要原始秘密信息

D.視頻水印算法必須滿足實(shí)時(shí)性的要求

【答案】C

【解析】本題考查數(shù)字水印知識(shí)。

在數(shù)字水印技術(shù)中，水印的數(shù)據(jù)量和魯棒性構(gòu)成了一對(duì)基本矛盾；視頻水印算法必須滿足實(shí)時(shí)性的要求；隱形數(shù)字水印主要應(yīng)用領(lǐng)域有原始數(shù)據(jù)的真?zhèn)舞b別、數(shù)據(jù)偵測與跟蹤、數(shù)字產(chǎn)品版權(quán)保護(hù)。數(shù)字水印根據(jù)輸入輸出的種類及其組合可分為三種：①秘密水印（非盲化水?。?、②半秘密水?。ò朊せ。ⅱ酃_水?。せ蚪⊥。?。盲化水印的檢測不需要任何原始數(shù)據(jù)和輔助信息。故本題選C。

點(diǎn)播：數(shù)字水印原理：通過數(shù)字信號(hào)處理方法，在數(shù)字化的媒體文件中嵌入特定的標(biāo)記。水印分為可感知的和不易感知的兩種。其安全需求包括安全性、隱蔽性、魯棒性，不要求可見性。

Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

36.單選題

身份認(rèn)證是證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的驗(yàn)證過程。目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證技術(shù)主要有：用戶名/密碼方式、智能卡認(rèn)證、動(dòng)態(tài)口令、生物特征認(rèn)證等。其中能用于身份認(rèn)證的生物特征必須具有（

）。

問題1選項(xiàng)

A.唯一性和穩(wěn)定性

B.唯一性和保密性

C.保密性和完整性

D.穩(wěn)定性和完整性

【答案】A

【解析】本題考查身份認(rèn)證的生物特征。

身份認(rèn)證是證實(shí)客戶的真實(shí)身份與其所稱的身份是否相符的驗(yàn)證過程。原則上用于身份認(rèn)證的生物特征必須具有：普遍性、唯一性、穩(wěn)定性、可采集性。故本題選A。

點(diǎn)播：目前常見的認(rèn)證依據(jù)主要有四類：所知道的秘密信息、所擁有的實(shí)物憑證、所具有的生物特征、所表現(xiàn)的行為特征。認(rèn)證技術(shù)方法主要有口令認(rèn)證技術(shù)、智能卡技術(shù)、基于生物特征認(rèn)證技術(shù)、Kerberos認(rèn)證技術(shù)等多種實(shí)現(xiàn)方式。

37.案例題

閱讀下列說明和表，回答問題1至問題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

密碼學(xué)作為信息安全的關(guān)鍵技術(shù)，在信息安全領(lǐng)域有著廣泛的應(yīng)用。密碼學(xué)中，根據(jù)加密和解密過程所采用密鑰的特點(diǎn)可以將密碼算法分為兩類：對(duì)稱密碼算法和非對(duì)稱密碼算法。此外，密碼技術(shù)還用于信息鑒別、數(shù)據(jù)完整性檢驗(yàn)、數(shù)字簽名等。

【問題1】（6分）

信息安全的基本目標(biāo)包括真實(shí)性、保密性、完整性、不可否認(rèn)性、可控性、可用性、可審查性等。密碼學(xué)的三大安全目標(biāo)C.I.A分別表示什么？

【問題2】（5分）

仿射密碼是一種典型的對(duì)稱密碼算法。仿射密碼體制的定義如下：

【答案】【問題1】

保密性、完整性和可用性。

【問題2】

（1）19

（2）TVZ

【問題3】

K1=21；K2=22

【解析】【問題1】

密碼學(xué)的三大安全目標(biāo)CIA分別表示：

（1）保密性：保密性是確保信息僅被合法用戶訪問，而不被泄漏給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。即防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。

（2）完整性：完整性是指所有資源只能由授權(quán)方或以授權(quán)的方式進(jìn)行修改，即信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

（3）可用性：可用性是指所有資源在適當(dāng)?shù)臅r(shí)候可以由授權(quán)方訪問，即信息可被授權(quán)實(shí)體訪問并按需求使用的特性。信息服務(wù)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性。

【問題2】

（1）由K*K-1

≡1mod（26），將11代入式中，計(jì)算11*K^-1-1mod（26）=0；K^-1為19。（2）將SEC所對(duì)應(yīng)的數(shù)字代入加密表達(dá)式可得：

（11*18+3）mod（26）=19=T；

（11*4+3）mod（26）=21=V；

（11*2+3）mod（26）=25=Z。

【問題3】

根據(jù)表中，明文E、T所對(duì)應(yīng)的數(shù)字為4、19；密文C、F所對(duì)應(yīng)的數(shù)字為2、5，代入加密表達(dá)式組成二元一次方程組：

（K1*4+K2）mod（26）=2；

（K1*19+K2）mod（26）=5；

求解方程組可得，K1=21；K2=22。

38.單選題

信息安全風(fēng)險(xiǎn)評(píng)估是指確定在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失或遭到破壞對(duì)整個(gè)系統(tǒng)造成的預(yù)計(jì)損失數(shù)量，是對(duì)威脅、脆弱點(diǎn)以及由此帶來的風(fēng)險(xiǎn)大小的評(píng)估。在信息安全風(fēng)險(xiǎn)評(píng)估中，以下說法正確的是（

）。

問題1選項(xiàng)

A.安全需求可通過安全措施得以滿足，不需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本

B.風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。在對(duì)這些要素的評(píng)估過程中，不需要充分考慮與這些基本要素相關(guān)的各類屬性

C.風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。在對(duì)這些要素的評(píng)估過程中，需要充分考慮與這些基本要素相關(guān)的各類屬性

D.信息系統(tǒng)的風(fēng)險(xiǎn)在實(shí)施了安全措施后可以降為零

【答案】C

【解析】本題考查信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)知識(shí)。

信息安全風(fēng)險(xiǎn)評(píng)估是依照科學(xué)的風(fēng)險(xiǎn)管理程序和方法，充分的對(duì)組成系統(tǒng)的各部分所面臨的危險(xiǎn)因素進(jìn)行分析評(píng)價(jià)，針對(duì)系統(tǒng)存在的安全問題，根據(jù)系統(tǒng)對(duì)其自身的安全需求，提出有效的安全措施，達(dá)到最大限度減少風(fēng)險(xiǎn)、降低危害和確保系統(tǒng)安全運(yùn)行的目的。風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。在對(duì)這些要素的評(píng)估過程中，需要充分考慮與這些基本要素相關(guān)的各類屬性。官方教材（第一版）P313。故本題選C。

點(diǎn)播：此類題型看到B、C選項(xiàng)互為矛盾后，即可直接排除A、D項(xiàng)（本身A、D項(xiàng)的說法就過于絕對(duì)），再根據(jù)題干要求進(jìn)行分析，即可快速解答。此類題型需注意題目要求選擇的是正確選項(xiàng)還是錯(cuò)誤選項(xiàng)。

39.案例題

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

代碼安全漏洞往往是系統(tǒng)或者網(wǎng)絡(luò)被攻破的頭號(hào)殺手。在C語言程序開發(fā)中，由于C語言自身語法的一些特性，很容易出現(xiàn)各種安全漏洞。因此，應(yīng)該在C程序開發(fā)中充分利用現(xiàn)有開發(fā)工具提供的各種安全編譯選項(xiàng)，減少出現(xiàn)漏洞的可能性。

【問題1】(4分)

圖5-1給出了一段有漏洞的C語言代碼（注：行首數(shù)字是代碼行號(hào)），請(qǐng)問，上述代碼存在哪種類型的安全漏洞？該漏洞和C語言數(shù)組的哪一個(gè)特性有關(guān)？

【問題2】(4分)

圖5-2給出了C程序的典型內(nèi)存布局，請(qǐng)回答如下問題。

（1）請(qǐng)問圖5-1的代碼中第9行的變量authenticated保存在圖5-2所示的哪個(gè)區(qū)域中?

（2）請(qǐng)問stack的兩個(gè)典型操作是什么?

（3）在圖5-2中的stack區(qū)域保存數(shù)據(jù)時(shí)，其地址增長方向是往高地址還是往低地址增加?

（4）對(duì)于圖5-1代碼中的第9行和第10行代碼的兩個(gè)變量，哪個(gè)變量對(duì)應(yīng)的內(nèi)存地址更高?

【問題3】(6分)

微軟的VisualStudio提供了很多安全相關(guān)的編譯選項(xiàng)，圖5-3給出了圖5-1中代碼相關(guān)的工程屬性頁面的截圖。請(qǐng)回答以下問題。

（1）請(qǐng)問圖5-3中哪項(xiàng)配置可以有效緩解上述代碼存在的安全漏洞?

（2）如果把圖5-1中第10行代碼改為charbuffer[4];圖5-3的安全編譯選項(xiàng)是否還起作用?

（3）模糊測試是否可以檢測出上述代碼的安全漏洞?

【答案】【問題1】

緩沖區(qū)（棧

）

溢出。

不對(duì)數(shù)組越界進(jìn)行檢查。

【問題2】

（1）stack

（2）push和pop或者壓棧和彈棧

（3）高地址

（4）第9行或者authenticated變量

【問題3】

（1）EnableSecurityCheck(/GS)

（2）不起作用

（3）可以檢測出漏洞

【解析】本題考查軟件安全的漏洞類型以及安全開發(fā)的知識(shí)，是關(guān)于代碼安全的問題。

【問題1】

這類漏洞是由于函數(shù)內(nèi)的本地變量溢出造成的，而本地變量都位于堆棧區(qū)域，因此這類漏洞一般稱為棧溢出漏洞。主要是因?yàn)镃語言編譯器對(duì)數(shù)組越界沒有進(jìn)行檢查導(dǎo)致的。

【問題2】

第9行的變量authenticated同樣是本地變量，因此位于堆棧(stack)區(qū)域。堆棧結(jié)構(gòu)常見的操作就是push和pop。在數(shù)據(jù)往堆棧區(qū)域?qū)憰r(shí)，都是往高地址寫的。在入棧時(shí)，則是第9行的變量先入棧在高地址，后續(xù)的第10行代碼對(duì)應(yīng)的變量buffer后入棧在低地址，因此第9行的變量在高地址。只有這樣在往buffer數(shù)組拷貝過多的數(shù)據(jù)時(shí)，才會(huì)覆蓋掉后續(xù)的authenticated變量。

【問題3】

微軟的VisualStudio編譯器提供了很多的安全編譯選項(xiàng)，可以對(duì)代碼進(jìn)行安全編譯，例如圖中EnableSecurityCheck(/GS)可以在棧中添加特殊值，使得一旦被覆蓋就會(huì)導(dǎo)致異常，從而增加漏洞利用難度。該編譯選項(xiàng)針對(duì)小于等于4個(gè)字節(jié)的數(shù)組不起保護(hù)作用。模糊測試通過發(fā)送不同長度的數(shù)據(jù)給buffer,可能導(dǎo)致覆蓋后續(xù)變量和指針值，導(dǎo)致程序異常從而觸發(fā)監(jiān)測，因此采用模糊測試的方法是可以檢測出此類漏洞的。

40.單選題

在PKI中，關(guān)于RA的功能，描述正確的是（

）。

問題1選項(xiàng)

A.RA是整個(gè)PKI體系中各方都承認(rèn)的一個(gè)值得信賴的、公正的第三方機(jī)構(gòu)

B.RA負(fù)責(zé)產(chǎn)生，分配并管理PKI結(jié)構(gòu)下的所有用戶的數(shù)字證書，把用戶的公鑰和用戶的其他信息綁在一起，在網(wǎng)上驗(yàn)證用戶的身份

C.RA負(fù)責(zé)證書廢止列表CRL的登記和發(fā)布

D.RA負(fù)責(zé)證書申請(qǐng)者的信息錄入，審核以及證書的發(fā)放等任務(wù)，同時(shí)，對(duì)發(fā)放的證書完成相應(yīng)的管理功能

【答案】D

【解析】本題考查CA機(jī)構(gòu)相關(guān)知識(shí)。

CA（CertificationAuthority）是一個(gè)可信賴的第三方認(rèn)證機(jī)構(gòu)，也是證書授權(quán)機(jī)構(gòu)。主要負(fù)責(zé)證書的頒發(fā)、廢止和更新。證書中含有實(shí)體名、公鑰以及實(shí)體的其他身份信息。

RA（RegistrationAuthority），數(shù)字證書注冊(cè)審批機(jī)構(gòu)。RA系統(tǒng)是CA的證書發(fā)放、管理的延伸。它負(fù)責(zé)證書申請(qǐng)者的信息錄入、審核以及證書發(fā)放等工作（安全審計(jì)）。同時(shí)，對(duì)發(fā)放的證書完成相應(yīng)的管理功能（安全管理）。

故本題選D。

41.單選題

訪問控制是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施，適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)授權(quán)的用戶有意或者無意地獲取資源。計(jì)算機(jī)系統(tǒng)中，訪問控制的任務(wù)不包括（

）。

問題1選項(xiàng)

A.審計(jì)

B.授權(quán)

C.確定存取權(quán)限

D.實(shí)施存取權(quán)限

【答案】A

【解析】本題考查訪問控制方面的基礎(chǔ)知識(shí)。

計(jì)算機(jī)系統(tǒng)安全機(jī)制的主要目的是訪問控制，它包括三個(gè)任務(wù)：

①授權(quán):確定哪些主體有權(quán)訪問哪些客體;

②確定訪問權(quán)限(讀、寫、執(zhí)行、刪除、追加等存取方式的組合);

③實(shí)施訪問權(quán)限。

答案選A。

42.單選題

網(wǎng)絡(luò)安全控制技術(shù)指致力于解決諸多如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。以下不屬于網(wǎng)絡(luò)安全控制技術(shù)的是（

）。

問題1選項(xiàng)

A.VPN技術(shù)

B.容災(zāi)與備份技術(shù)

C.入侵檢測技術(shù)

D.信息認(rèn)證技術(shù)

【答案】B

【解析】本題考查網(wǎng)絡(luò)安全控制技術(shù)方面的基礎(chǔ)知識(shí)。

容災(zāi)備份實(shí)際上是兩個(gè)概念。容災(zāi)是為了在遭遇災(zāi)害時(shí)能保證信息系統(tǒng)正常運(yùn)行，幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的目標(biāo);備份是為了應(yīng)對(duì)災(zāi)難來臨時(shí)造成的數(shù)據(jù)丟失問題，其最終目標(biāo)是幫助企業(yè)應(yīng)對(duì)人為誤操作、軟件錯(cuò)誤、病毒入侵等“軟”性災(zāi)害以及硬件故障、自然災(zāi)害等“硬”性災(zāi)害。顯然，容災(zāi)與備份技術(shù)不屬于網(wǎng)絡(luò)安全控制技術(shù)。

答案選B。

43.單選題

PKI中撤銷證書是通過維護(hù)一個(gè)證書撤銷列表CRL來實(shí)現(xiàn)的。以下不會(huì)導(dǎo)致證書被撤銷的是（

）。

問題1選項(xiàng)

A.密鑰泄漏

B.系統(tǒng)升級(jí)

C.證書到期

D.從屬變更

【答案】B

【解析】本題考查PKI相關(guān)知識(shí)。

每個(gè)證書都有一個(gè)有效使用期限，有效使用期限的長短由CA的政策決定。有效使用期限到期的證書應(yīng)當(dāng)撤銷。證書的公鑰所對(duì)應(yīng)的私鑰泄露，或證書的持證人死亡，證書的持證人嚴(yán)重違反證書管理的規(guī)章制度等情況下也要撤銷證書。故本題選B。

點(diǎn)播：公鑰基礎(chǔ)設(shè)施（PKI）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它提供了一種系統(tǒng)化的、可擴(kuò)展的、統(tǒng)一的、可控制的公鑰分發(fā)方法。和證書的簽發(fā)一樣，證書的撤銷也是一個(gè)復(fù)雜的過程。證書的撤銷要經(jīng)過申請(qǐng)、批準(zhǔn)、撤銷三個(gè)過程。

44.單選題

無線局域網(wǎng)鑒別和保密體系WAPI是一種安全協(xié)議，也是我國無線局域網(wǎng)安全強(qiáng)制性標(biāo)準(zhǔn)，以下關(guān)于WAPI的描述中，正確的是（

）。

問題1選項(xiàng)

A.WAPI系統(tǒng)中，鑒權(quán)服務(wù)器AS負(fù)責(zé)證書的頒發(fā)、驗(yàn)證和撤銷

B.WAPI與WiFi認(rèn)證方式類似，均采用單向加密的認(rèn)證技術(shù)

C.WAPI中，WPI采用RSA算法進(jìn)行加解密操作

D.WAPI從應(yīng)用模式上分為單點(diǎn)式、分布式和集中式

【答案】A

【解析】本題考查WAPI安全協(xié)議。

與WIFI的單向加密認(rèn)證不同，WAPI雙向均認(rèn)證，從而保證傳輸?shù)陌踩?。WAPI安全系統(tǒng)采用公鑰密碼技術(shù)，鑒權(quán)服務(wù)器AS負(fù)責(zé)證書的頒發(fā)、驗(yàn)證與吊銷等，無線客戶端與無線接入點(diǎn)AP上都安裝有AS頒發(fā)的公鑰證書，作為自己的數(shù)字身份憑證。WAPI包括兩部分：WAI和WPI。WAI和WPI分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)加密，其中WAI采用公開密鑰密碼體制，WPI則采用對(duì)稱密碼算法進(jìn)行加、解密操作。WAPI從應(yīng)用模式上分為單點(diǎn)式和集中式兩種，可以徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。官方教材（第一版）P370。故本題選A。

點(diǎn)播：WAPI鑒別及密鑰管理的方式有兩種，即基于證書和基于預(yù)共享密鑰PSK。

45.單選題

SSL協(xié)議（安全套接層協(xié)議）是Netscape公司推出的一種安全通信協(xié)議，以下服務(wù)中，SSL協(xié)議不能提供的是（

）。

問題1選項(xiàng)

A.用戶和服務(wù)器的合法性認(rèn)證服務(wù)

B.加密數(shù)據(jù)服務(wù)以隱藏被傳輸?shù)臄?shù)據(jù)

C.維護(hù)數(shù)據(jù)的完整性

D.基于UDP應(yīng)用的安全保護(hù)

【答案】D

【解析】本題考查SSL協(xié)議。

SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。其主要提供：

（1）認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；

（2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊?。?/p>

（3）維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。故本題選D。

點(diǎn)播：SSL是SecureSocketsLayer的縮寫，是一種應(yīng)用于傳輸層的安全協(xié)議，用于構(gòu)建客戶端和服務(wù)端之間的安全通道。該協(xié)議包含握手協(xié)議、密碼規(guī)格變更協(xié)議、報(bào)警協(xié)議和記錄層協(xié)議。SSL協(xié)議是介于應(yīng)用層和TCP層之間的安全通信協(xié)議。其主要目的在于兩個(gè)應(yīng)用層之間相互通信時(shí)，使被傳送的信息具有保密性及可靠性。

46.單選題

目前網(wǎng)絡(luò)安全形勢日趨復(fù)雜，攻擊手段和攻擊工具層出不窮，攻擊工具日益先進(jìn),攻擊者需要的技能日趨下降。以下關(guān)于網(wǎng)絡(luò)攻防的描述中，不正確的是（）。

問題1選項(xiàng)

A.嗅探器Sniffer工作的前提是網(wǎng)絡(luò)必須是共享以太網(wǎng)

B.加密技術(shù)可以有效抵御各類系統(tǒng)攻擊

C.APT的全稱是高級(jí)持續(xù)性威脅

D.同步包風(fēng)暴（SYNFlooding）的攻擊來源無法定位

【答案】B

【解析】本題考查網(wǎng)絡(luò)攻防相關(guān)知識(shí)。

加密用以確保數(shù)據(jù)的保密性，阻止對(duì)手的被動(dòng)攻擊，如截取，竊聽等，而對(duì)于各類主動(dòng)攻擊，如篡改、冒充、重播等卻是無能為力的。故本題選B。

點(diǎn)播：加密技術(shù)是電子商務(wù)采取的主要安全保密措施，是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。加密技術(shù)的應(yīng)用是多方面的，但最為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用。世界上沒有絕對(duì)安全的密碼體制，自然也不存在某種加密技術(shù)能抵擋所有攻擊。

47.案例題

閱讀下列說明，回答問題1至問題5，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

防火墻作為網(wǎng)絡(luò)安全防護(hù)的第一道屏障，通常用一系列的規(guī)則來實(shí)現(xiàn)網(wǎng)絡(luò)攻擊數(shù)據(jù)包的過濾。

【問題1】(3分)

圖3-1給出了某用戶Windows系統(tǒng)下的防火墻操作界面，請(qǐng)寫出Windows下打開以下界面的操作步驟。

【問題2】(4分)

Smurf拒絕服務(wù)攻擊結(jié)合IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)數(shù)據(jù)包充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常請(qǐng)求提供服務(wù)。請(qǐng)根據(jù)圖3-2回答下列問題。

（1）上述攻擊針