2016下半年信息安全工程師簡(jiǎn)答題真題加答案

2016年下半年信息安全工程師考試下午真題試題一（共20分）閱讀下列說(shuō)明和圖，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。【說(shuō)明】研究密碼編碼的科學(xué)稱為密碼編碼學(xué)，研究密碼破譯的科學(xué)稱為密碼分析學(xué)，密碼編碼學(xué)和密碼分析學(xué)共同組成密碼學(xué)。密碼學(xué)作為信息安全的關(guān)鍵技術(shù)，在信息安全領(lǐng)域有著廣泛的應(yīng)用?！締?wèn)題1】（9分）密碼學(xué)的安全目標(biāo)至少包括哪三個(gè)方面？具體內(nèi)涵是什么？（1）保密性：保密性是確保信息僅被合法用戶訪問(wèn)，而不被地露給非授權(quán)的用戶、實(shí)體或過(guò)程，或供其利用的特性。即防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。（2）完整性：完整性是指所有資源只能由授權(quán)方或以授權(quán)的方式進(jìn)行修改，即信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。（3）可用性：可用性是指所有資源在適當(dāng)?shù)臅r(shí)候可以由授權(quán)方訪問(wèn)，即信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。信息服務(wù)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性?！締?wèn)題2】（3分）對(duì)下列違規(guī)安全事件，指出各個(gè)事件分別違反了安全目標(biāo)中的哪些項(xiàng)？1/92016年下半年信息安全工程師考試下午真題(1)小明抄襲了小麗的家庭作業(yè)。(2)小明私自修改了自己的成績(jī)。(3)小李竊取了小劉的學(xué)位證號(hào)碼、登陸口令信息，并通過(guò)學(xué)位信息系統(tǒng)更改了小劉的學(xué)位信息記錄和登陸口令，將系統(tǒng)中小劉的學(xué)位信息用一份偽造的信息替代，造成小劉無(wú)法訪問(wèn)學(xué)位信息系統(tǒng)。（1）保密性（2）完整性（3）可用性【問(wèn)題3】（3分）現(xiàn)代密碼體制的安全性通常取決于密鑰的安全，為了保證密鑰的安全，密鑰管理包括哪些技術(shù)問(wèn)題？答：密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)、分配、組織、使用、停用、更換、銷毀等一系列技術(shù)問(wèn)題。【問(wèn)題4】（5分）在圖1-1給出的加密過(guò)程中，Mi,z=1,2，…，表示明文分組，Ci,f=1,2，…，表示密文分組，Z表示初始序列，K表示密鑰，E表示分組加密過(guò)程。該分組加密過(guò)程屬于哪種工作模式？這種分組密碼的工作模式有什么缺點(diǎn)？明密文鏈接模式。缺點(diǎn)：當(dāng)Mi或Ci中發(fā)生一位錯(cuò)誤時(shí)，自此以后的密文全都發(fā)生錯(cuò)誤，即具有錯(cuò)誤傳播無(wú)界的特性，不利于磁盤文件加密。并且要求數(shù)據(jù)的長(zhǎng)度是密碼分組長(zhǎng)度的整數(shù)倍，否則最后一個(gè)數(shù)據(jù)塊將是短塊，這時(shí)需要特殊處理。試題二（共10分）閱讀下列說(shuō)明和圖，周答問(wèn)題1至問(wèn)題2，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。2/92016年下半年信息安全工程師考試下午真題【說(shuō)明】訪問(wèn)控制是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施l適當(dāng)?shù)脑L問(wèn)控制能夠阻止未經(jīng)授權(quán)的用戶有意或者無(wú)意地獲取資源。訪問(wèn)控制一般是在操作系統(tǒng)的控制下，~按照事先確定的規(guī)則決定是否允許用戶對(duì)資源的訪問(wèn)。圖2-1給出了某系統(tǒng)對(duì)客體traceroute.mpg實(shí)施的訪問(wèn)控制規(guī)則?！締?wèn)題1】（3分）針對(duì)信息系統(tǒng)的訪問(wèn)控制包含哪些基本要素？主體、客體、授權(quán)訪問(wèn)【問(wèn)題2】（7分）分別寫出圖2-1中用戶Administrator對(duì)應(yīng)三種訪問(wèn)控制實(shí)現(xiàn)方法，即能力表、訪問(wèn)控制表和訪問(wèn)控制矩硨下的訪問(wèn)控制規(guī)則。能力表：3/9（客體）traceroute.mpg<（主體）Administrator：讀取，運(yùn)行>訪問(wèn)控制矩陣：試題三（共19分）閱讀下列說(shuō)明和圖，回答問(wèn)題l至問(wèn)題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】防火墻是一種廣泛應(yīng)用的網(wǎng)絡(luò)安全防御技術(shù)，它阻擋對(duì)網(wǎng)絡(luò)的非法訪問(wèn)和不安全的數(shù)據(jù)傳遞，保護(hù)本地系統(tǒng)和網(wǎng)絡(luò)免于受到安全威脅。圖3-1給出了一種防火墻的體系結(jié)構(gòu)。【問(wèn)題1】（6分）2016年下半年信息安全工程師考試下午真題防火墻的體系結(jié)構(gòu)主要有：(1)雙重宿主主機(jī)體系結(jié)構(gòu)；(2)（被）屏蔽主機(jī)體系結(jié)構(gòu)；(3)（被）屏蔽子網(wǎng)體系結(jié)構(gòu)；請(qǐng)簡(jiǎn)要說(shuō)明這三種體系結(jié)構(gòu)的特點(diǎn)。雙重宿主主機(jī)體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)是指以一臺(tái)雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的任務(wù)。被屏蔽主機(jī)體系結(jié)構(gòu)：被屏蔽主機(jī)體系結(jié)構(gòu)是指通過(guò)一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，主要通過(guò)數(shù)據(jù)包過(guò)濾實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的隔離和對(duì)內(nèi)網(wǎng)的保護(hù)。被屏蔽子網(wǎng)體系結(jié)構(gòu)：被屏蔽子網(wǎng)體系結(jié)構(gòu)將防火墻的概念擴(kuò)充至一個(gè)由兩臺(tái)路由器包圍起來(lái)的周邊網(wǎng)絡(luò)，并且將容易受到攻擊的堡壘主機(jī)都置于這個(gè)周邊網(wǎng)絡(luò)中。其主要由四個(gè)部件構(gòu)成，分別為:周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機(jī)?！締?wèn)題2】（5分）(1)圖3-1描述的是哪一種防火墻的體系結(jié)構(gòu)？答案：屏蔽子網(wǎng)體系結(jié)構(gòu)。(2)其中內(nèi)部包過(guò)濾器和外部包過(guò)濾器的作用分別是什么？答案：內(nèi)部路由器：內(nèi)部路由器用于隔離周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第二道屏障。在其上設(shè)置了針對(duì)內(nèi)部用戶的訪問(wèn)過(guò)濾規(guī)劃，對(duì)內(nèi)部用戶訪問(wèn)周邊網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行限制。外部路由器：外部路由器的主要作用在于保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第一道屏障。在其上設(shè)置了對(duì)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)的過(guò)濾規(guī)則，該規(guī)則主要針對(duì)外網(wǎng)用戶?！締?wèn)題3】（8分）5/9設(shè)圖3-1中外部包過(guò)濾器的外部妒．地址為j內(nèi)．20.100.1，內(nèi)部口地址為10.20.100.2；內(nèi)部包過(guò)濾器的外部口地址為10.20.100.3，內(nèi)部IP地址為192.168.0.1,DMZ中Web服務(wù)器IP為10.20.100.6,SMTP服務(wù)器IP為10,20.100.8。關(guān)于包過(guò)濾器，要求實(shí)現(xiàn)以下功能：不允許內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)外網(wǎng)和DMZ，外部網(wǎng)絡(luò)用戶只允許訪問(wèn)DMZ中的Web服務(wù)器和SMTP服務(wù)器。內(nèi)部包過(guò)濾器規(guī)則如表3-1所示。請(qǐng)完成外部包過(guò)濾器規(guī)則表3-2，將對(duì)應(yīng)空缺表項(xiàng)的答案填入答題紙對(duì)應(yīng)欄內(nèi)。表3-1內(nèi)部包過(guò)濾器規(guī)則表表3-2外部包過(guò)濾器規(guī)則表（1）*（2）10.20.100.8（3）10.20.100.8（4）*（5）UDP（6）10.20.100.36/92016年下半年信息安全工程師考試下午真題（7）UDP（8）10.20.100.3試題四（共18分）閱讀下列說(shuō)明，回答問(wèn)題l至問(wèn)題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。【說(shuō)明】用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線，身份識(shí)別對(duì)確保系統(tǒng)和數(shù)據(jù)的安全保密極及其重要。以下過(guò)程給出了實(shí)現(xiàn)用戶B對(duì)用戶A身份的認(rèn)證過(guò)程。1.A->B：A2.B->A：{B,Nb}(A)3.A->B：h(Nb)此處A和B是認(rèn)證的實(shí)體，Nb是一個(gè)隨機(jī)值，pk(A)表示實(shí)體A的公鑰，{B,Nb}pk(A)表示用A的公鑰對(duì)消息B娜進(jìn)行加密處理，h(Nb)表示用哈希算法h對(duì)Nb計(jì)算哈希值?！締?wèn)題1】（5分）認(rèn)證與加密有哪些區(qū)別？認(rèn)證和加密的區(qū)別在于：加密用以確保數(shù)據(jù)的保密性，阻止對(duì)手的被動(dòng)攻擊，如截取，竊聽等；而認(rèn)證用以確保報(bào)文發(fā)送者和接收者的真實(shí)性以及報(bào)文的完整性，阻止對(duì)手的主動(dòng)攻擊，如冒充、篡改重、播等。【問(wèn)題2】（6分）（1）包含在消息2中的“Nb”起什么作用？Nb是一個(gè)隨機(jī)值，只有發(fā)送方B和A知道，起到抗重放攻擊作用。（2）Nb“的選擇應(yīng)滿足什么條件？應(yīng)具備隨機(jī)性，不易被猜測(cè)。7/92016年下半年信息安全工程師考試下午真題【問(wèn)題3】（3分）為什么消息3中的Nb要計(jì)算哈希值？哈希算法具有單向性，經(jīng)過(guò)哈希值運(yùn)算之后的隨機(jī)數(shù)，即使被攻擊者截獲也無(wú)法對(duì)該隨機(jī)數(shù)進(jìn)行還原，獲取該隨機(jī)數(shù)Nb的產(chǎn)生信息?！締?wèn)題4】（4分）上述協(xié)議存在什么安全缺陷？請(qǐng)給出相應(yīng)的的解決思路。攻擊者可以通過(guò)截獲h（Nb）冒充用戶A的身份給用戶B發(fā)送h（Nb）。解決思路：用戶A通過(guò)將A的標(biāo)識(shí)和隨機(jī)數(shù)Nb進(jìn)行哈希運(yùn)算，將其哈希值h（A，Nb）發(fā)送給用戶B，用戶B接收后，利用哈希函數(shù)對(duì)自己保存的用戶標(biāo)識(shí)A和隨機(jī)數(shù)Nb進(jìn)行加密，并與接收到的h（A，Nb）進(jìn)行比較。若兩者相等，則用戶B確認(rèn)用戶A的身份是真實(shí)的，否則認(rèn)為用戶A的身份是不真實(shí)的。試題五（共8分）閱讀下列說(shuō)明和代碼，回答問(wèn)題1和問(wèn)題2，將解答寫在答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】某本地口令驗(yàn)證函數(shù)（C語(yǔ)言環(huán)境