2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）試卷號48

住在富人區(qū)的她2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）（圖片可根據(jù)實際調(diào)整大小）題型12345總分得分一.綜合題(共50題)1.單選題

身份認證是證實客戶的真實身份與其所聲稱的身份是否相符的驗證過程。目前，計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認證技術(shù)主要有:用戶名/密碼方式、智能卡認證、動態(tài)口令、生物特征認證等。其中不屬于生物特征的是（

）。

問題1選項

A.指紋

B.手指靜脈

C.虹膜

D.擊鍵特征

【答案】D

【解析】本題考查身份認證方面的基礎(chǔ)知識。

擊鍵特征屬于行為特征。指紋、手指靜脈、虹膜屬于生物特征。

答案選D。

2.單選題

目前網(wǎng)絡(luò)安全形勢日趨復(fù)雜，攻擊手段和攻擊工具層出不窮，攻擊工具日益先進,攻擊者需要的技能日趨下降。以下關(guān)于網(wǎng)絡(luò)攻防的描述中，不正確的是（）。

問題1選項

A.嗅探器Sniffer工作的前提是網(wǎng)絡(luò)必須是共享以太網(wǎng)

B.加密技術(shù)可以有效抵御各類系統(tǒng)攻擊

C.APT的全稱是高級持續(xù)性威脅

D.同步包風暴（SYNFlooding）的攻擊來源無法定位

【答案】B

【解析】本題考查網(wǎng)絡(luò)攻防相關(guān)知識。

加密用以確保數(shù)據(jù)的保密性，阻止對手的被動攻擊，如截取，竊聽等，而對于各類主動攻擊，如篡改、冒充、重播等卻是無能為力的。故本題選B。

點播：加密技術(shù)是電子商務(wù)采取的主要安全保密措施，是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術(shù)的應(yīng)用是多方面的，但最為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用。世界上沒有絕對安全的密碼體制，自然也不存在某種加密技術(shù)能抵擋所有攻擊。

3.單選題

等級保護2.0強化了對外部人員的管理要求，包括外部人員的訪問權(quán)限、保密協(xié)議的管理要求，以下表述中，錯誤的是（

）。

問題1選項

A.應(yīng)確保在外部人員接入網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請，批準后由專人開設(shè)賬號、分配權(quán)限，并登記備案

B.外部人員離場后應(yīng)及時清除其所有的訪問權(quán)限

C.獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)簽署保密協(xié)議，不得進行非授權(quán)操作，不得復(fù)制和泄露任何敏感信息

D.獲得系統(tǒng)訪問授權(quán)的外部人員，離場后可保留遠程訪問權(quán)限

【答案】D

【解析】本題考查等級保護中的外部人員管理方面的基礎(chǔ)知識。

在外部人員訪問管理方面，應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同或監(jiān)督，并登記備案;外部人員離場后應(yīng)及時清除其所有訪問權(quán)限；獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)當簽署保密協(xié)議，不得進行非授權(quán)操作，不得復(fù)制和泄露任何敏感信息，離場后不得保留遠程訪問權(quán)限。

答案選D。

4.單選題

研究密碼破譯的科學稱為密碼分析學。密碼分析學中，根據(jù)密碼分析者可利用的數(shù)據(jù)資源，可將攻擊密碼的類型分為四種，其中適于攻擊公開密鑰密碼體制，特別是攻擊其數(shù)字簽名的是（

）。

問題1選項

A.僅知密文攻擊

B.已知明文攻擊

C.選擇密文攻擊

D.選擇明文攻擊

【答案】C

【解析】本題考查公鑰密碼體制和數(shù)字簽名相關(guān)知識。

已知明文攻擊：攻擊者不僅可以得到一些消息的密文，而且也知道對應(yīng)的明文。

僅知密文攻擊：攻擊者有一些消息的密文，這些密文都是用相同的加密算法進行加密得到。

選擇明文攻擊：攻擊者不僅可以得到一些消息的密文和相應(yīng)的明文，而且還可以選擇被加密的明文。

選擇密文攻擊：攻擊者能夠選擇一些不同的被加密的密文并得到與其對應(yīng)的明文信息，攻擊者的任務(wù)是推算出加密密鑰。

使用選擇密文攻擊的攻擊者掌握對解密機的訪問權(quán)限，可構(gòu)造任意密文所對應(yīng)的明文。在此種攻擊模型中，密碼分析者事先任意搜集一定數(shù)量的密文，讓這些密文透過被攻擊的加密算法解密，透過未知的密鑰獲得解密后的明文。故本題選C。

點播：數(shù)字簽名是指簽名者使用私鑰對待簽名數(shù)據(jù)的雜湊值做密碼運算得到的結(jié)果。該結(jié)果只能用簽名者的公鑰進行驗證，用于確認待簽名數(shù)據(jù)的完整性、簽名者身份的真實性和簽名行為的抗抵賴性。數(shù)字簽名具有手寫簽名一樣的特點，是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的。

5.單選題

等級保護制度已經(jīng)被列入國務(wù)院《關(guān)于加強信息安全保障工作的意見》之中。以下關(guān)于我國信息安全等級保護內(nèi)容描述不正確的是（

）。

問題1選項

A.對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸和處理這些信息的信息系統(tǒng)分等級實行安全保護

B.對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理

C.對信息系統(tǒng)中發(fā)生的信息安全事件按照等級進行響應(yīng)和處置

D.對信息安全從業(yè)人員實行按等級管理，對信息安全違法行為實行按等級懲處

【答案】D

【解析】本題考查等級保護制度的基礎(chǔ)知識。

國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)指標，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。因此等級保護制度是對信息進行分級管理，并沒有對人員進行按等級管理，包括違法行為也是一樣的。故本題選D。

點播：信息安全等級保護，是對信息和信息載體按照重要性等級分級別進行保護的一種工作，信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

6.單選題

網(wǎng)絡(luò)流量是單位時間內(nèi)通過網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量。網(wǎng)絡(luò)流量狀況是網(wǎng)絡(luò)中的重要信息，利用流量監(jiān)測獲得的數(shù)據(jù)，不能實現(xiàn)的目標是（

）。

問題1選項

A.負載監(jiān)測

B.網(wǎng)絡(luò)糾錯

C.日志監(jiān)測

D.入侵檢測

【答案】C

【解析】本題考查流量監(jiān)測的相關(guān)知識。

網(wǎng)絡(luò)流量狀況是網(wǎng)絡(luò)中的重要信息，利用流量監(jiān)測獲得的數(shù)據(jù)，可以實現(xiàn)以下目標：

（1）負載監(jiān)測：將流量監(jiān)測獲得的網(wǎng)絡(luò)流量數(shù)據(jù)作為輸入?yún)?shù)，利用統(tǒng)計方法和先驗知識，通過負載特性分析過程，可以得到網(wǎng)絡(luò)的當前負載狀態(tài)。

（2）性能分析：利用流量信息，可以分析得到網(wǎng)絡(luò)的性能狀況，例如鏈路利用率等，以定位和防止網(wǎng)絡(luò)中的性能瓶頸，提高網(wǎng)絡(luò)性能。

（3）網(wǎng)絡(luò)糾錯：復(fù)雜的網(wǎng)絡(luò)環(huán)境和豐富多樣的應(yīng)用類型，往往會導(dǎo)致網(wǎng)絡(luò)故障的發(fā)生。通過分析流量信息，可以判定故障發(fā)生的位置和導(dǎo)致的原因，例如廣播風暴、非法操作等，并采取措施解決故障并避免再次發(fā)生。

（4）網(wǎng)絡(luò)優(yōu)化：流量工程的目的是為了優(yōu)化網(wǎng)絡(luò)性能，其前提是獲取網(wǎng)絡(luò)中的流量信息，在此基礎(chǔ)上通過網(wǎng)絡(luò)控制，例如資源分配、流量均衡等操作，實現(xiàn)網(wǎng)絡(luò)優(yōu)化的目標。

（5）業(yè)務(wù)質(zhì)量監(jiān)視：現(xiàn)代網(wǎng)絡(luò)面臨的緊迫任務(wù)是為用戶提供可靠的業(yè)務(wù)質(zhì)量保障。而用戶獲得的服務(wù)質(zhì)量以及網(wǎng)絡(luò)供應(yīng)商可提供的服務(wù)能力都必須通過流量數(shù)據(jù)分析獲得。

（6）用戶流量計費：如何在高速寬帶網(wǎng)絡(luò)中實現(xiàn)基于流量的用戶計費是目前網(wǎng)絡(luò)管理領(lǐng)域的熱點問題，實現(xiàn)高效的流量計費解決方案必須依靠流量監(jiān)測技術(shù)的進步。

（7）入侵檢測：安全問題是網(wǎng)絡(luò)應(yīng)用中的一個重要方面，入侵檢測系統(tǒng)是目前保障網(wǎng)絡(luò)安全的重要手段。入侵檢測的一個重要內(nèi)容就是通過分析網(wǎng)絡(luò)流量，判定攻擊行為，以采取必要的防御措施。

（8）協(xié)議調(diào)測：在進行協(xié)議設(shè)計和應(yīng)用開發(fā)時，必須經(jīng)過實際網(wǎng)絡(luò)環(huán)境檢驗的過程。當新的協(xié)議或應(yīng)用加入到網(wǎng)絡(luò)中，必須觀測它們產(chǎn)生的數(shù)據(jù)流量，以判定協(xié)議或應(yīng)用的操作是否正常，是否會對網(wǎng)絡(luò)性能造成損傷。

故本題選C。

點播：網(wǎng)絡(luò)流量就是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量。網(wǎng)絡(luò)流量的大小對網(wǎng)絡(luò)架構(gòu)設(shè)計具有重要意義，就像要根據(jù)來往車輛的多少和流向來設(shè)計道路的寬度和連接方式類似，根據(jù)網(wǎng)絡(luò)流量進行網(wǎng)絡(luò)的設(shè)計是十分必要的。

7.單選題

Web服務(wù)器也稱為網(wǎng)站服務(wù)器，可以向瀏覽器等Web客戶端提供文檔，也可以放置網(wǎng)站文件和數(shù)據(jù)文件。目前最主流的三個Web服務(wù)器是Apache.Nginx.IIS。Web服務(wù)器都會受到HTTP協(xié)議本身安全問題的困擾，這種類型的信息系統(tǒng)安全漏洞屬于（

）。

問題1選項

A.設(shè)計型漏洞

B.開發(fā)型漏洞

C.運行型漏洞

D.代碼型漏洞

【答案】A

【解析】本題考查信息系統(tǒng)安全漏洞方面的基礎(chǔ)知識。

一般設(shè)計人員制定協(xié)議時，通常首先強調(diào)功能性，而安全性問題則是到最后一刻、甚至不列入考慮范圍。上述漏洞是由HTTP協(xié)議本身設(shè)計上所存在的安全問題，所以它是設(shè)計型漏洞。

答案選A。

8.單選題

雪崩效應(yīng)指明文或密鑰的少量變化會引起密文的很大變化。下列密碼算法中不具有雪崩效應(yīng)的是（

）。

問題1選項

A.AES

B.MD5

C.RC4

D.RSA

【答案】D

【解析】本題考查密碼設(shè)計雪崩效應(yīng)方面的基礎(chǔ)知識。

雪崩效應(yīng)是指當輸入發(fā)生最微小的改變（例如，反轉(zhuǎn)一個二進制位）時，也會導(dǎo)致輸出的不可區(qū)分性改變（輸出中每個二進制位有50%的概率發(fā)生反轉(zhuǎn)）；雪崩效應(yīng)通常發(fā)生在塊密碼和加密散列函數(shù)中，RSA為公鑰密碼。

答案選D。

9.單選題

根據(jù)加密和解密過程所采用密鑰的特點可以將加密算法分為對稱加密算法和非對稱加密算法兩類，以下屬于對稱加密算法的是（

）。

問題1選項

A.RSA

B.MD5

C.IDEA

D.SHA-128

【答案】C

【解析】本題考查對稱加密的基本概念。

對稱加密算法包括AES算法、DES算法、IDEA算法等。RSA屬于公鑰加密算法；MD5和SHA-128都屬于哈希算法。

答案選C。

10.單選題

PKI是一種標準的公鑰密碼的密鑰管理平臺，數(shù)字證書是PKI的基本組成部分。在PKI中，X.509數(shù)字證書的內(nèi)容不包括（

）。

問題1選項

A.加密算法標識

B.簽名算法標識

C.版本號

D.主體的公開密鑰信息

【答案】A

【解析】本題考查PKI方面的基礎(chǔ)知識。

X.509數(shù)字證書內(nèi)容包括：版本號、序列號、簽名算法標識、發(fā)行者名稱、有效期、主體名稱、主體公鑰信息、發(fā)行者唯一標識符、主體唯一識別符、擴充域、CA的簽名等，不包括加密算法標識。

11.單選題

下列關(guān)于數(shù)字簽名說法中，正確的是（

）。

問題1選項

A.驗證和解密過程相同

B.數(shù)字簽名不可改變

C.驗證過程需要用戶私鑰

D.數(shù)字簽名不可信

【答案】B

【解析】本題考查數(shù)字簽名方面的基礎(chǔ)知識。

數(shù)字簽名是可信的、不容易被偽造的、不容抵賴的，而且是不可改變的。數(shù)字簽名的驗證與解密過程不同，驗證過程需要用戶的公鑰。答案選B。

12.單選題

無論是哪一種Web服務(wù)器，都會受到HTTP協(xié)議本身安全問題的困擾，這樣的信息系統(tǒng)安全漏洞屬于（

）。

問題1選項

A.開發(fā)型漏洞

B.運行型漏洞

C.設(shè)計型漏洞

D.驗證型漏洞

【答案】C

【解析】本題考查安全漏洞方面的知識。

信息安全漏洞主要分為以下三種：

設(shè)計型漏洞：這種漏洞不以存在的形式為限制，只要是實現(xiàn)了某種協(xié)議、算法、模型或設(shè)計，這種安全問題就會存在，而不因其他因素而變化，例如無論是哪種Web服務(wù)器，肯定存在HTTP協(xié)議中的安全問題。

開發(fā)型漏洞：這種安全漏洞是廣泛被傳播和利用的，是由于產(chǎn)品的開發(fā)人員在實現(xiàn)過程中的有意或者無意引入的缺陷，這種缺陷會在一定的條件下被攻擊者所利用，從而繞過系統(tǒng)的安全機制，造成安全事件的發(fā)生，這種漏洞包含在國際上廣泛發(fā)布的漏洞庫中。

運行型漏洞：這種類型漏洞的出現(xiàn)是因為信息系統(tǒng)的組件、部件、產(chǎn)品或者終端由于存在的相互關(guān)聯(lián)性和配置、結(jié)構(gòu)等原因，在特定的環(huán)境運行時，可以導(dǎo)致違背安全策略的情況發(fā)生。這種安全問題一般涉及到不同的部分，是一種系統(tǒng)性的安全問題。

Web服務(wù)器受到HTTP協(xié)議本身安全問題的困擾，這樣的信息系統(tǒng)安全漏洞屬于設(shè)計型漏洞。故本題選C。

點播：安全漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。

13.案例題

閱讀下列說明，回答問題1至問題6，將解答填入答題紙的對應(yīng)欄內(nèi)。

【說明】

ISO安全體系結(jié)構(gòu)包含的安全服務(wù)有七大類，即：①認證服務(wù)；②訪問控制服務(wù)；③數(shù)據(jù)保密性服務(wù)；④數(shù)據(jù)完整性服務(wù)；⑤抗否認性服務(wù)；⑥審計服務(wù)；⑦可用性服務(wù)。

請問以下各種安全威脅或者安全攻擊可以采用對應(yīng)的哪些安全服務(wù)來解決或者緩解。請直接用上述編號①~⑦作答。

【問題1】(2分)

針對跨站偽造請求攻擊可以采用哪些安全服務(wù)來解決或者緩解?

【問題2】(2分)

針對口令明文傳輸漏洞攻擊可以采用哪些安全服務(wù)來解決或者緩解?

【問題3】(2分)

針對Smurf攻擊可以采用哪些安全服務(wù)來解決或者緩解?

【問題4】(2分)

針對簽名偽造攻擊可以采用哪些安全服務(wù)來解決或者緩解?

【問題5】(2分)

針對攻擊進行追蹤溯源時，可以采用哪些安全服務(wù)?

【問題6】(2分)

如果下載的軟件被植入木馬，可以采用哪些安全服務(wù)來進行解決或者緩解?

【答案】【問題1】

①

【問題2】

③

【問題3】

⑦

【問題4】

⑤

【問題5】

⑥

【問題6】

④

【解析】木題考查網(wǎng)絡(luò)安全目標、安全攻擊和安全服務(wù)之間的關(guān)系。

ISO的七大類安全服務(wù)包括認證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)、抗否認性服務(wù)、審計服務(wù)和可用性服務(wù)。這七大類服務(wù)的具體含義如下：

認證服務(wù)：在網(wǎng)絡(luò)交互過程中，對收發(fā)雙方的身份及數(shù)據(jù)來源進行驗證。

訪問控制服務(wù)：防止未授權(quán)用戶非法訪問資源，包括用戶身份認證和用戶權(quán)限確認。

數(shù)據(jù)保密性服務(wù)：防止數(shù)據(jù)在傳輸過程中被破解、泄露。

數(shù)據(jù)完整性服務(wù)：防止數(shù)據(jù)在傳輸過程中被篡改。

抗否認性服務(wù)：也稱為抗抵賴服務(wù)或確認服務(wù)。防止發(fā)送方與接收方雙方在執(zhí)行各自操作后，否認各自所做的操作。

審計服務(wù)：對用戶或者其他實體的所作所為(何時如何訪問什么資源)進行詳細記錄。

可用性服務(wù)：確保合法用戶可以得到應(yīng)有的服務(wù)。

【問題1】

跨站偽造請求是以其他用戶身份發(fā)生訪問請求，對應(yīng)的是身份認證服務(wù)。

【問題2】

口令應(yīng)該加密以后進行傳輸，因此對應(yīng)的是數(shù)據(jù)保密性服務(wù)。

【問題3】

Smurf攻擊是一-種拒絕服務(wù)攻擊，對應(yīng)的是可用性服務(wù)。

【問題4】

簽名偽造針對的是數(shù)字簽名，通過抗否認性服務(wù)，確保簽名的真實性。

【問題5】

追蹤溯源通常是通過網(wǎng)絡(luò)流量分析或者主機系統(tǒng)的日志進行分析，這些都可以通過審計服務(wù)來實現(xiàn)。

【問題6】

下載的軟件一旦被植入惡意代碼通常會改變文件的哈希值，這可以通過數(shù)據(jù)完整性服務(wù)來實現(xiàn)。

14.單選題

有一些信息安全事件是由于信息系統(tǒng)中多個部分共同作用造成的，人們稱這類事件為“多組件事故”，應(yīng)對這類安全事件最有效的方法是（）。

問題1選項

A.配置網(wǎng)絡(luò)入侵檢測系統(tǒng)以檢測某些類型的違法或誤用行為

B.使用防病毒軟件，并且保持更新為最新的病毒特征碼

C.將所有公共訪問的服務(wù)放在網(wǎng)絡(luò)非軍事區(qū)（DMZ）

D.使用集中的日志審計工具和事件關(guān)聯(lián)分析軟件

【答案】D

【解析】本題考查應(yīng)對多組件事故的方法。

多組件事故是指由于信息系統(tǒng)中多個部分共同作用造成的信息安全事件。應(yīng)對這類安全事件最有效的方法是使用集中的日志審計工具和事件關(guān)聯(lián)分析軟件。故本題選D。

點播：此類題型考查率極低，了解即可。

15.單選題

涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品與使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的商用密碼服務(wù)實行（

）檢測認證制度。

問題1選項

A.備案式

B.自愿式

C.鼓勵式

D.強制性

【答案】D

【解析】本題考查網(wǎng)絡(luò)安全法律法規(guī)方面的基礎(chǔ)知識。

密碼法按照“放管服”改革要求，取消了商用密碼管理條例設(shè)定的“商用密碼產(chǎn)品品種和型號審批”，改為對特定商用密碼產(chǎn)品實行強制性檢測認證制度。

答案選D。

16.單選題

根據(jù)自主可控的安全需求，近些年國密算法和標準體系受到越來越多的關(guān)注，基于國密算法的應(yīng)用也得到了快速發(fā)展。我國國密標準中的雜湊算法是（

）。

問題1選項

A.SM2

B.SM3

C.SM4

D.SM9

【答案】B

【解析】本題考查我國密碼算法方面的基礎(chǔ)知識。

國家密碼局認定的國產(chǎn)密碼算法主要有SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法(ZUC)等。其中SM1、SM4、SM7、祖沖之密碼(ZUC)是對稱算法;SM2、SM9是非對稱算法;SM3是哈希算法。

答案選B。

17.單選題

國家密碼管理局發(fā)布的《無線局域網(wǎng)產(chǎn)品須使用的系列密碼算法》，其中規(guī)定密鑰協(xié)商算法應(yīng)使用的是（

）。

問題1選項

A.PKI

B.DSA

C.CPK

D.ECDH

【答案】D

【解析】本題考查網(wǎng)絡(luò)安全法律法規(guī)相關(guān)的知識點。

國家密碼管理局于2006年1月6日發(fā)布公告，公布了《無線局域網(wǎng)產(chǎn)品須使用的系列密碼算法》，包括：對稱密碼算法：SMS4；簽名算法：ECDSA；密鑰協(xié)商算法：ECDH；雜湊算法：SHA-256；隨機數(shù)生成算法：自行選擇。其中，ECDSA和ECDH密碼算法須采用國家密碼管理局指定的橢圓曲線和參數(shù)。

答案選D。

18.單選題

（

）能有效防止重放攻擊。

問題1選項

A.簽名機制

B.時間戳機制

C.加密機制

D.壓縮機制

【答案】B

【解析】本題考查重放攻擊相關(guān)知識。

簽名機制：作為保障信息安全的手段之一，主要用于解決偽造、抵賴、冒充和篡改問題。

加密機制：保密通信、計算機密鑰、防復(fù)制軟盤等都屬于加密技術(shù)，加密主要是防止重要信息被一些懷有不良用心的人竊聽或者破壞。

壓縮機制：壓縮機制一般理解為壓縮技術(shù)。變形器檢測病毒體反匯編后的全部指令，可對進行壓縮的一段指令進行同義壓縮。一般用于使病毒體代碼長度發(fā)生改變。提高惡意代碼的偽裝能力和防破譯能力。

時間戳：主要目的在于通過一定的技術(shù)手段，對數(shù)據(jù)產(chǎn)生的時間進行認證，從而驗證這段數(shù)據(jù)在產(chǎn)生后是否經(jīng)過篡改。故時間戳機制可以有效防止重放攻擊。

故本題選B。

點播：重放攻擊是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊可以由發(fā)起者或攔截并重發(fā)該數(shù)據(jù)的地方進行。攻擊者利用網(wǎng)絡(luò)監(jiān)聽或其他方式盜取認證憑據(jù)，之后再將它重新發(fā)送給認證服務(wù)器。

19.單選題

在PKI中，關(guān)于RA的功能，描述正確的是（

）。

問題1選項

A.RA是整個PKI體系中各方都承認的一個值得信賴的、公正的第三方機構(gòu)

B.RA負責產(chǎn)生，分配并管理PKI結(jié)構(gòu)下的所有用戶的數(shù)字證書，把用戶的公鑰和用戶的其他信息綁在一起，在網(wǎng)上驗證用戶的身份

C.RA負責證書廢止列表CRL的登記和發(fā)布

D.RA負責證書申請者的信息錄入，審核以及證書的發(fā)放等任務(wù)，同時，對發(fā)放的證書完成相應(yīng)的管理功能

【答案】D

【解析】本題考查CA機構(gòu)相關(guān)知識。

CA（CertificationAuthority）是一個可信賴的第三方認證機構(gòu)，也是證書授權(quán)機構(gòu)。主要負責證書的頒發(fā)、廢止和更新。證書中含有實體名、公鑰以及實體的其他身份信息。

RA（RegistrationAuthority），數(shù)字證書注冊審批機構(gòu)。RA系統(tǒng)是CA的證書發(fā)放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發(fā)放等工作（安全審計）。同時，對發(fā)放的證書完成相應(yīng)的管理功能（安全管理）。

故本題選D。

20.單選題

認證是證實某事是否名副其實或者是否有效的一個過程。以下關(guān)于認證的敘述中，不正確的是（

）。

問題1選項

A.認證能夠有效阻止主動攻擊

B.認證常用的參數(shù)有口令、標識符、生物特征等

C.認證不允許第三方參與驗證過程

D.身份認證的目的是識別用戶的合法性，阻止非法用戶訪問系統(tǒng)

【答案】C

【解析】本題考查系統(tǒng)的身份認證的相關(guān)知識。

認證是有基于第三方認證方式的。身份認證有很多種協(xié)議，其中就包括了利用可信第三方身份認證的協(xié)議，例如Kerveros。故本題選C。

點播：認證是一個實體向另一個實體證明其所有聲稱的身份的過程。認證類型可分為單向認證、雙向認證和第三方認證。認證能夠有效阻止主動攻擊但不能阻止所有攻擊。

Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

21.單選題

IPSec屬于（

）的安全解決方案。

問題1選項

A.網(wǎng)絡(luò)層

B.傳輸層

C.應(yīng)用層

D.物理層

【答案】A

【解析】本題考查IPSec協(xié)議。

IPSec定義了在網(wǎng)絡(luò)層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查、保證數(shù)據(jù)機密性和防止重放攻擊等。IPSec屬于網(wǎng)絡(luò)層的安全解決方案。故本題選A。

點播：IPSec的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。

22.案例題

閱讀下列說明，回答問題1至問題8，將解答填入答題紙的對應(yīng)欄內(nèi)。

【說明】

密碼學作為信息安全的關(guān)鍵技術(shù)，在信息安全領(lǐng)域有著廣泛的應(yīng)用。密碼學中，根據(jù)加密和解密過程所采用密鑰的特點可以將密碼算法分為兩類:對稱密碼算法和非對稱密碼算法。此外，密碼技術(shù)還用于信息鑒別、數(shù)據(jù)完整性檢驗、數(shù)字簽名等。

【問題1】(3分)

信息安全的基本目標包括：真實性、保密性、完整性、不可否認性、可控性、可用性、可審查性等。密碼學的三大安全目標C.I.A分別表示什么?

【問題2】(3分)

RSA公鑰密碼是一種基于大整數(shù)因子分解難題的公開密鑰密碼。對于RSA密碼的參數(shù)：p,q,n,p(n),e,d，哪些參數(shù)是可以公開的?

【問題3】(2分)

如有RSA密碼算法的公鑰為（55，3），請給出對小王的年齡18進行加密的密文結(jié)果。

【問題4】(2分)

對于RSA密碼算法的公鑰（55，3），請給出對應(yīng)私鑰。

【問題5】(2分)

在RSA公鑰算法中，公鑰和私鑰的關(guān)系是什么?

【問題6】(2分)

在RSA密碼中，消息m的取值有什么限制?

【問題7】(3分)

是否可以直接使用RSA密碼進行數(shù)字簽名？如果可以，請給出消息m的數(shù)字簽名計算公式。如果不可以，請給出原因。

【問題8】(3分)

上述RSA簽名體制可以實現(xiàn)問題1所述的哪三個安全基本目標?

【答案】【問題1】

保密性、完整性、可用性。

【問題2】

n,e

【問題3】

【問題4】

（55，27

）

【問題5】

eXd=1modφ(n)；一個加密另一個可以解開；從一個密鑰無法推導(dǎo)出另一個。

【問題6】

消息m的十進制表示值小于n的值。

【問題7】

可以。

簽名：用私鑰加密；驗證：用公鑰解密。

簽名=memodn

【問題8】

真實性、保密性、完整性

【解析】本題考查公鑰密碼算法RSA的基本原理及其加解密過程。

此類題目要求考生對常見的密碼算法及其應(yīng)用有清晰的了解。

【問題1】

CIA分別表示單詞Confidentiality、Integrity和Availability,也就是保密性、完整性和可用性三個安全目標的縮寫。

【問題2】

RSA密碼是基于大數(shù)分解難題，RSA密碼的參數(shù)主要有:p,q,n,p(n),e,d,其中模數(shù)n=pXq,q(m)=(p-1)X(q-1),eXd=lmodo(n),由這些關(guān)系，只有n和e作為公鑰是可以公開的，其他的任何一個參數(shù)泄露，都會導(dǎo)致私鑰泄露。

【問題3】

根據(jù)RSA加密算法，密文c=183mod55=2。

【問題4】

根據(jù)n=55，可知p=lI,g=5，o(n)=-40，由e=3，可得到d=27時滿足eXd=lmod40,因此私鑰為(55,27)。

【問題5】

公鑰密碼體制有兩個密鑰，一個是公鑰，一個是私鑰。其中一個用于加密，可以用另一個解密。

【問題6】

消息m所表示的10進制值不能大于模數(shù)n的值，否則將導(dǎo)致解密有誤。

【問題7】

使用RSA可以進行數(shù)字簽名，直接用私鑰對消息進行加密即可，其他人可以用對應(yīng)的公鑰進行解密并驗證簽名。簽名公式就是消息的加密公式。

簽名=mmodn

【問題8】

RSA簽名體制的私鑰簽名確保消息的真實性，RSA加密提高保密性，哈希計算提高完整性。

23.單選題

2019年10月26日，十三屆全國人大常委會第十四次會議表決通過了《中華人民共和國密碼法》，該法律自（

）起施行。

問題1選項

A.2020年10月1日

B.2020年12月1日

C.2020年1月1日

D.2020年7月1日

【答案】C

【解析】本題考查網(wǎng)絡(luò)安全法律法規(guī)的相關(guān)知識。

《中華,人民共和國密碼法》由中華人民共和國第十三屆全國人民代表大會常務(wù)委員會第十四次會議于2019年10月26日通過，自2020年1月1日起施行。

答案選C。

24.單選題

以下關(guān)于VPN的敘述中，正確的是（

）。

問題1選項

A.VPN通過加密數(shù)據(jù)保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露

B.VPN指用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路

C.VPN不能同時實現(xiàn)對消息的認證和對身份的認證

D.VPN通過身份認證實現(xiàn)安全目標，不具備數(shù)據(jù)加密功能

【答案】A

【解析】本題考查VPN相關(guān)知識。

VPN：即虛擬專用網(wǎng)，是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個臨時的、安全的私有連接?？梢杂行Ы档驮诠簿W(wǎng)絡(luò)上傳輸數(shù)據(jù)的風險，即使信息被截獲也不會泄密。能為用戶提供加密、認證等安全服務(wù)。

用戶不需要自己租用線路；VPN可以同時實現(xiàn)對消息和對身份的認證；VPN具備數(shù)據(jù)加密功能。

故本題選A。

25.單選題

無線局域網(wǎng)鑒別和保密體系WAPI是一種安全協(xié)議，也是我國無線局域網(wǎng)安全強制性標準，以下關(guān)于WAPI的描述中，正確的是（

）。

問題1選項

A.WAPI系統(tǒng)中，鑒權(quán)服務(wù)器AS負責證書的頒發(fā)、驗證和撤銷

B.WAPI與WiFi認證方式類似，均采用單向加密的認證技術(shù)

C.WAPI中，WPI采用RSA算法進行加解密操作

D.WAPI從應(yīng)用模式上分為單點式、分布式和集中式

【答案】A

【解析】本題考查WAPI安全協(xié)議。

與WIFI的單向加密認證不同，WAPI雙向均認證，從而保證傳輸?shù)陌踩?。WAPI安全系統(tǒng)采用公鑰密碼技術(shù)，鑒權(quán)服務(wù)器AS負責證書的頒發(fā)、驗證與吊銷等，無線客戶端與無線接入點AP上都安裝有AS頒發(fā)的公鑰證書，作為自己的數(shù)字身份憑證。WAPI包括兩部分：WAI和WPI。WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)加密，其中WAI采用公開密鑰密碼體制，WPI則采用對稱密碼算法進行加、解密操作。WAPI從應(yīng)用模式上分為單點式和集中式兩種，可以徹底扭轉(zhuǎn)目前WLAN采用多種安全機制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。官方教材（第一版）P370。故本題選A。

點播：WAPI鑒別及密鑰管理的方式有兩種，即基于證書和基于預(yù)共享密鑰PSK。

26.單選題

SM3密碼雜湊算法的消息分組長度為（

）比特。

問題1選項

A.64

B.128

C.512

D.1024

【答案】C

【解析】本題考查SM3算法相關(guān)知識。27.單選題

數(shù)字簽名是對以數(shù)字形式存儲的消息進行某種處理，產(chǎn)生一種類似于傳統(tǒng)手書簽名功效的信息處理過程。數(shù)字簽名標準DSS中使用的簽名算法DSA是基于ElGamal和Schnorr兩個方案而設(shè)計的。當DSA對消息m的簽名驗證結(jié)果為True，也不能說明（

）。

問題1選項

A.接收的消息m無偽造

B.接收的消息m無篡改

C.接收的消息m無錯誤

D.接收的消息m無泄密

【答案】D

【解析】本題考查數(shù)字簽名相關(guān)知識。

數(shù)字簽名技術(shù)可以保證報文的完整性，不可否認性，以及提供身份認證信息，但不能保證信息的機密性。故本題選D。

點播：數(shù)字簽名是指簽名者使用私鑰對待簽名數(shù)據(jù)的雜湊值做密碼運算得到的結(jié)果。該結(jié)果只能用簽名者的公鑰進行驗證，用于確認待簽名數(shù)據(jù)的完整性、簽名者身份的真實性和簽名行為的抗抵賴性。數(shù)字簽名具有手寫簽名一樣的特點，是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的。

28.單選題

如果破譯加密算法所需要的計算能力和計算時間是現(xiàn)實條件所不具備的，那么就認為相應(yīng)的密碼體制是（

）。

問題1選項

A.實際安全

B.可證明安全

C.無條件安全

D.絕對安全

【答案】A

【解析】本題考查密碼安全相關(guān)知識。29.單選題

數(shù)據(jù)備份通?？煞譃橥耆珎浞?、增量備份、差分備份和漸進式備份幾種方式。其中將系統(tǒng)中所有選擇的數(shù)據(jù)對象進行一次全面的備份，而不管數(shù)據(jù)對象自上次備份之后是否修改過的備份方式是（

）。

問題1選項

A.完全備份

B.增量備份

C.差分備份

D.漸進式備份

【答案】A

【解析】Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

本題考查數(shù)據(jù)備份方式。

完全備份：指將系統(tǒng)中所有選擇的數(shù)據(jù)對象進行一次全面的備份。是最基本也是最簡單的備份方式；

增量備份：指只把最近新生成的或者新修改的文件拷貝到備份設(shè)備上；

差異備份：對上次備份后所有發(fā)生改變的文件都進行備份（包括刪除文件的信息）；

漸進式備份：也稱為“只有增量備份”或“連續(xù)增量備份”；它是指系統(tǒng)排除完全備份，數(shù)據(jù)對象只有當發(fā)生改變時才被寫入到存儲介質(zhì)上；漸進式備份只在初始時做所有數(shù)據(jù)文件的全部備份，以后只備份新建或改動過的文件，比上述三種備份方式有更少的數(shù)據(jù)移動；減少了備份時間和所需的存儲容量，減輕了網(wǎng)絡(luò)負擔；降低潛在的人為錯誤。

故本題選A。

點播：數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分數(shù)據(jù)集合從應(yīng)用主機的硬盤或陣列復(fù)制到其他的存儲介質(zhì)的過程。數(shù)據(jù)備份通?？梢苑譃橥耆珎浞?，增量備份，差異備份和漸進式備份。

30.單選題

為確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護國家安全，依據(jù)（

），2020年4月27日，國家互聯(lián)網(wǎng)信息辦公室等12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》，該辦法自2020年6月1日實施，將重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風險。

問題1選項

A.《中華人民共和國國家安全法》和《中華人民共和國網(wǎng)絡(luò)安全法》

B.《中華人民共和國國家保密法》和《中華人民共和國網(wǎng)絡(luò)安全法》

C.《中華人民共和國國家安全法》和《網(wǎng)絡(luò)安全等級保護條例》

D.《中華人民共和國國家安全法》和《中華人民共和國國家保密法》

【答案】A

【解析】本題考查網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的知識。

在《中華人民共和國國家安全法》和《中華人民共和國網(wǎng)絡(luò)安全法》中，有相關(guān)條款對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購有相應(yīng)要求。

答案選A。

31.單選題

Sniffer可以捕獲到達主機端口的網(wǎng)絡(luò)報文。Sniffer分為軟件和硬件兩種，以下工具屬于硬件的是（

）。

問題1選項

A.NetXray

B.Packetboy

C.Netmonitor

D.協(xié)議分析儀

【答案】D

【解析】本題考查網(wǎng)絡(luò)嗅探器方面的基礎(chǔ)知識。

Sniffer即網(wǎng)絡(luò)嗅探器，軟件有NetXray、Packetboy、Netmonitor、SnifferPro、WireShark、WinNetCap等，而硬件的Sniffer通常稱為協(xié)議分析儀。

答案選D。

32.單選題

蜜罐是一種在互聯(lián)網(wǎng)上運行的計算機系統(tǒng)，是專門為吸引并誘騙那些試圖非法闖入他人計算機系統(tǒng)的人而設(shè)計的。以下關(guān)于蜜罐的描述中，不正確的是（

）。

問題1選項

A.蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)

B.蜜罐技術(shù)是一種被動防御技術(shù)

C.蜜罐可以與防火墻協(xié)作使用

D.蜜罐可以查找和發(fā)現(xiàn)新型攻擊

【答案】B

【解析】本題考查網(wǎng)絡(luò)蜜罐技術(shù)知識。

蜜罐技術(shù)是一種主動防御技術(shù)，運行在互聯(lián)網(wǎng)上的計算機系統(tǒng)，是一個包含漏洞的誘騙系統(tǒng)。它通過模擬一個或多個易受攻擊的主機和服務(wù)，來吸引和誘騙那些試圖非法闖入他人計算機系統(tǒng)的人對它實施攻擊。從而可以對攻擊行為捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解它所面對的安全威脅，并通過技術(shù)和管理手段來增強實際系統(tǒng)的安全防護能力。故本題選B。

點播：陷阱網(wǎng)絡(luò)由多個蜜罐主機、路由器、防火墻、IDS、審計系統(tǒng)共同組成，為攻擊者制造一個攻擊環(huán)境，供防御者研究攻擊者的攻擊行為。

33.單選題

按照行為和功能特性，特洛伊木馬可以分為遠程控制型木馬、信息竊取型木馬和破壞型木馬等。以下不屬于遠程控制型木馬的是（

）。

問題1選項

A.冰河

B.彩虹橋

C.PCShare

D.Trojan-Ransom

【答案】D

【解析】本題考查惡意代碼中特洛伊木馬方面的基礎(chǔ)知識。

典型的遠程控制型木馬有冰河、網(wǎng)絡(luò)神偷、廣外女生、網(wǎng)絡(luò)公牛、黑洞、上興、彩虹橋、Posionivy、PCShare、灰鴿子等。Trojan-Ransom屬于破壞型木馬。

34.單選題

BS7799標準是英國標準協(xié)會制定的信息安全管理體系標準，它包括兩個部分：《信息安全管理實施指南》和《信息安全管理體系規(guī)范和應(yīng)用指南》。依據(jù)該標準可以組織建立、實施與保持信息安全管理體系，但不能實現(xiàn)（

）。

問題1選項

A.強化員工的信息安全意識，規(guī)范組織信息安全行為

B.對組織內(nèi)關(guān)鍵信息資產(chǎn)的安全態(tài)勢進行動態(tài)監(jiān)測

C.促使管理層堅持貫徹信息安全保障體系

D.通過體系認證就表明體系符合標準，證明組織有能力保障重要信息

【答案】B

【解析】本題考查重要的信息安全管理體系和標準方面的基礎(chǔ)知識。

BS7799標準是英國標準協(xié)會（BSI）制定的信息安全管理體系標準。它涵蓋了幾乎所有的安全議題，非常適合作為工商業(yè)及大、中、小組織的信息系統(tǒng)在大多數(shù)情況下所需的控制范圍確定的參考基準。但沒有對組織內(nèi)關(guān)鍵信息資產(chǎn)的安全態(tài)勢進行動態(tài)監(jiān)測。故本題選B。

點播：BS7799作為信息安全管理領(lǐng)域的一個權(quán)威標準，是全球業(yè)界一致公認的輔助信息安全治理手段，該標準的最大意義在于可以為管理層提供一套可量體裁衣的信息安全管理要項、一套與技術(shù)負責人或組織高層進行溝通的共同語言，以及保護信息資產(chǎn)的制度框架。

35.單選題

Themodernstudyofsymmetric-keyciphersrelatesmainlytothestudyofblockciphersandstreamciphersandtotheirapplications.Ablockcipheris,inasense,amodernembodimentofAlberti'spolyalphabeticcipher:blockcipherstakeasinputablockof（）andakey,andoutputablockofciphertextofthesamesize.Sincemessagesarealmostalwayslongerthanasingleblock,somemethodofknittingtogethersuccessiveblocksisrequired.Severalhavebeendeveloped,somewithbettersecurityinoneaspectoranotherthanothers.Theyarethemodeofoperationsandmustbecarefullyconsideredwhenusingablockcipherinacryptosystem.

TheDataEncryptionStandard(DES)andtheAdvancedEncryptionStandard(AES)are（）designswhichhavebeendesignatedcryptographystandardsbytheUSgovernment(thoughDES'sdesignationwasfinallywithdrawnaftertheAESwasadopted).Despiteitsdeprecationasanofficialstandard,DES(especiallyitsstill-approvedandmuchmoresecuretriple-DESvariant)remainsquitepopular;itisusedacrossawiderangeofapplications,fromATMencryptiontoe-mailprivacyandsecureremoteaccess.Manyotherblockciphershavebeendesignedandreleased,withconsiderablevariationinquality.Manyhavebeenthoroughlybroken.SeeCategory:Blockciphers.

Streamciphers,incontrasttothe‘block’type,createanarbitrarilylongstreamofkeymaterial,whichiscombined（）

theplaintextbit-by-bitorcharacter-by-character,somewhatliketheone-timepad.Inastreamcipher,theoutput（）iscreatedbasedonaninternalstatewhichchangesasthecipheroperates.Thatstatechangeiscontrolledbythekey,and,insomestreamciphers,bytheplaintextstreamaswell.RC4isanexampleofawell-known,andwidelyused,streamcipher;seeCategory:Streamciphers.

Cryptographichashfunctions(oftencalledmessagedigestfunctions)donotnecessarilyusekeys,butarearelatedandimportantclassofcryptographicalgorithms.Theytakeinputdata(oftenanentiremessage),andoutputashortfixedlengthhash,anddosoasaone-wayfunction.Forgoodones,（）(twoplaintextswhichproducethesamehash)areextremelydifficulttofind.

Messageauthenticationcodes(MACs)aremuchlikecryptographichashfunctions,exceptthatasecretkeyisusedtoauthenticatethehashvalueonreceipt.Theseblockanattackagainstplainhashfunctions.

問題1選項

A.plaintext

B.ciphertext

C.data

D.hash

問題2選項

A.streamcipher

B.hashfunction

C.Messageauthenticationcode

D.Blockcipher

問題3選項

A.of

B.for

C.with

D.in

問題4選項

A.hash

B.stream

C.ciphertext

D.plaintext

問題5選項

A.collisions

B.image

C.preimage

D.solution

【答案】第1題:A

第2題:D

第3題:C

第4題:B

第5題:A

【解析】參考譯文：

對稱密鑰密碼的現(xiàn)代研究主要涉及分組密碼和流密碼的研究及其應(yīng)用。在某種意義上，分組密碼是阿爾貝蒂多字母密碼的現(xiàn)代體現(xiàn)：分組密碼以明文和密鑰作為輸入，并輸出相同大小的密文塊。由于消息幾乎總是比單個塊長，因此需要一些將

連續(xù)塊編織在一起的方法。已經(jīng)開發(fā)了一些，有些在某個方面比其他方面具有更好的安全性。它們是操作模式，在密碼系統(tǒng)中使用分組密碼時必須仔細考慮。

數(shù)據(jù)加密標準（DES）和高級加密標準（AES）是美國政府指定的分組密碼設(shè)計（盡管DES的指定在AES被采用后最終被撤銷）。盡管DES作為一種官方標準受到了抨擊，但它（特別是它仍然被認可的、更安全的三重DES變體）仍然非常流行；它被廣泛應(yīng)用，從ATM加密到電子郵件隱私和安全的遠程訪問。許多其他的塊密碼已經(jīng)被設(shè)計和發(fā)布，在質(zhì)量上有相當大的變化。很多已經(jīng)被徹底破壞了。（參見類別：分組密碼）

與“塊”類型不同，流密碼創(chuàng)建任意長的密鑰材料流，密鑰材料流與明文逐位或逐字符組合，有點像一次一密密碼本。在流密碼中，輸出流是基于內(nèi)部狀態(tài)創(chuàng)建的，內(nèi)部狀態(tài)隨著密碼的操作而變化。這種狀態(tài)變化由密鑰控制，在某些流密碼中，也由明文流控制。RC4是一個著名的、廣泛使用的流密碼的例子（參見類別：流密碼）。

加密哈希函數(shù)（通常稱為消息摘要函數(shù)）不一定使用密鑰，但卻是一類相關(guān)的重要加密算法。它們接受輸入數(shù)據(jù)（通常是整個消息），并輸出一個固定長度的短散列，作為單向函數(shù)執(zhí)行此操作。對于好的沖突（產(chǎn)生相同散列的兩個明文）是很難找到的。

消息身份驗證碼（MACs）與加密散列函數(shù)非常相似，只是在接收時使用密鑰對散列值進行身份驗證。它們阻止了對哈希函數(shù)的攻擊。

36.單選題

惡意代碼是指為達到惡意目的而專門設(shè)計的程序或代碼，惡意代碼的一般命名格式為：..，常見的惡意代碼包括：系統(tǒng)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、宏病毒、后門程序、腳本病毒、捆綁機病毒等。以下屬于腳本病毒前綴的是（

）。

問題1選項

A.Worm

B.Trojan

C.Binder

D.Script

【答案】D

【解析】本題考查惡意代碼方面的基礎(chǔ)知識。

各惡意代碼類型前綴如下：

系統(tǒng)病毒W(wǎng)in32、Win95

網(wǎng)絡(luò)蠕蟲Worm

特洛伊木馬程序Trojan

腳本病毒Script

宏病毒Macro

后門程序Backdoor

答案選D。

37.單選題

PKI中撤銷證書是通過維護一個證書撤銷列表CRL來實現(xiàn)的。以下不會導(dǎo)致證書被撤銷的是（

）。

問題1選項

A.密鑰泄漏

B.系統(tǒng)升級

C.證書到期

D.從屬變更

【答案】B

【解析】本題考查PKI相關(guān)知識。

每個證書都有一個有效使用期限，有效使用期限的長短由CA的政策決定。有效使用期限到期的證書應(yīng)當撤銷。證書的公鑰所對應(yīng)的私鑰泄露，或證書的持證人死亡，證書的持證人嚴重違反證書管理的規(guī)章制度等情況下也要撤銷證書。故本題選B。

點播：公鑰基礎(chǔ)設(shè)施（PKI）是一種遵循既定標準的密鑰管理平臺，它提供了一種系統(tǒng)化的、可擴展的、統(tǒng)一的、可控制的公鑰分發(fā)方法。和證書的簽發(fā)一樣，證書的撤銷也是一個復(fù)雜的過程。證書的撤銷要經(jīng)過申請、批準、撤銷三個過程。

38.單選題

防火墻的安全規(guī)則由匹配條件和處理方式兩部分組成。當網(wǎng)絡(luò)流量與當前的規(guī)則匹配時，就必須采用規(guī)則中的處理方式進行處理。其中，拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止的處理方式是（

）。

問題1選項

A.Accept

B.Reject

C.Refuse

D.Drop

【答案】B

【解析】本題考查防火墻相關(guān)知識。

防火墻的規(guī)則處理方式如下：

Accept：允許數(shù)據(jù)包或信息通過；

Reject：拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止；

Drop：直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

故本題選B。

點播：防火墻是一種控制隔離技術(shù)，在某機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。

39.單選題

包過濾技術(shù)防火墻在過濾數(shù)據(jù)包時，一般不關(guān)心（

）。

問題1選項

A.數(shù)據(jù)包的源地址

B.數(shù)據(jù)包的目的地址

C.數(shù)據(jù)包的協(xié)議類型

D.數(shù)據(jù)包的內(nèi)容

【答案】D

【解析】本題考查包過濾的原理。

包過濾是在IP層實現(xiàn)的防火墻技術(shù)，包過濾根據(jù)包的源IP地址、目的地址、源端口、目的端口及包傳遞方向、傳輸協(xié)議類型等包頭信息判斷是否允許包通過。一般不關(guān)心數(shù)據(jù)包的內(nèi)容。故本題選D。

點播：發(fā)送數(shù)據(jù)包可以粗略地類比生活中的寄快遞包。只需要知道郵寄方地址（源地址）、接收方地址（目的地址）、以及發(fā)哪家（順豐、圓通等）快遞（協(xié)議類型），即可發(fā)送快遞，不需要詳細了解包裹的內(nèi)容。

40.單選題

以下關(guān)于虛擬專用網(wǎng)VPN描述錯誤的是（

）。

問題1選項

A.VPN不能在防火墻上實現(xiàn)

B.鏈路加密可以用來實現(xiàn)VPN

C.IP層加密可以用來實現(xiàn)VPN

D.VPN提供機密性保護

【答案】A

【解析】本題考查VPN相關(guān)知識。

VPN中文翻譯為虛擬專用網(wǎng)，其基本技術(shù)原理是把需要經(jīng)過公共網(wǎng)傳遞的報文加密處理后，再由公共網(wǎng)絡(luò)發(fā)送到目的地。利用VPN技術(shù)能夠在不信任的公共網(wǎng)絡(luò)上構(gòu)建一條專用的安全通道，經(jīng)過VPN傳輸?shù)臄?shù)據(jù)在公共網(wǎng)上具有保密性。VPN和防火墻有3方面的關(guān)系：VPN和防火墻都是屬于網(wǎng)絡(luò)安全設(shè)備；VPN設(shè)備可集成在防火墻設(shè)備內(nèi)；VPN和防火墻的功能不同。故本題選A。

點播：VPN的安全服務(wù)有三種：保密性服務(wù)、完整性服務(wù)、認證服務(wù)。VPN多種實現(xiàn)技術(shù)可分為三種：鏈路層VPN、網(wǎng)絡(luò)層VPN、傳輸層VPN。

41.單選題

防火墻的體系結(jié)構(gòu)中，屏蔽子網(wǎng)體系結(jié)構(gòu)主要由四個部分構(gòu)成：周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器和堡壘主機。其中被稱為屏蔽子網(wǎng)體系結(jié)構(gòu)第一道屏障的是（

）。

問題1選項

A.周邊網(wǎng)絡(luò)

B.外部路由器

C.內(nèi)部路由器

D.堡壘主機

【答案】B

【解析】本題考查防火墻的屏蔽子網(wǎng)體系結(jié)構(gòu)方面的基礎(chǔ)知識。

外部路由器的主要作用在于保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第一道屏障。

答案選B。

42.單選題

為了應(yīng)對日益嚴重的垃圾郵件問題，服務(wù)提供商設(shè)計和應(yīng)用了各種垃圾郵件過濾機制，以下耗費計算資源最多的垃圾郵件過濾機制是（

）。

問題1選項

A.SMTP身份認證

B.反向名字解析

C.內(nèi)容過濾

D.黑名單過濾

【答案】C

【解析】本題考查垃圾郵件過濾機制方面的基礎(chǔ)知識。

SMTP認證是指在MTA.上對來自本地網(wǎng)絡(luò)以外的發(fā)信用戶進行認證，也就是必須在提供了賬戶名和密碼之后才可以登錄SMTP服務(wù)器，進行遠程轉(zhuǎn)發(fā)，使用戶避免受到垃圾郵件的侵擾。

反向名字解析是指通過DNS查詢來判斷發(fā)送者的IP與其聲稱的名字是否一致，例如，其聲稱的名字為,而其連接地址為00，與其DNS記錄不符，則予以拒收。

黑名單過濾是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數(shù)據(jù)庫的。

即使使用了前面諸多環(huán)節(jié)中的技術(shù)，仍然會有相當一部分垃圾郵件漏網(wǎng)，對此情況目前最有效的方法是基于郵件標題或正文的內(nèi)容過濾。結(jié)合內(nèi)容掃描引擎，根據(jù)垃圾郵件的常用標題語、垃圾郵件受益者的姓名、電話號碼、Web地址等信息進行過濾。由此可見，內(nèi)容過濾是耗費計算資源最多的垃圾郵件過濾機制。

答案選C。

43.單選題

計算機取證分析工作中常用到包括密碼破譯、文件特征分析技術(shù)、數(shù)據(jù)恢復(fù)與殘留數(shù)據(jù)分析、日志記錄文件分析、相關(guān)性分析等技術(shù)，其中文件特征包括文件系統(tǒng)特征、文件操作特征、文件格式特征、代碼或數(shù)據(jù)特征等。某單位網(wǎng)站被黑客非法入侵并上傳了Webshell，作為安全運維人員應(yīng)首先從（

）入手。

問題1選項

A.Web服務(wù)日志

B.系統(tǒng)日志

C.防火墻日志

D.交換機日志

【答案】A

【解析】本題考查取證分析方面的基礎(chǔ)知識。

注意題目中有提到網(wǎng)站被入侵且上傳了Webshell，針對網(wǎng)站上傳Webshell問題，應(yīng)首先查看Web服務(wù)日志。

答案選A。

44.單選題

工業(yè)控制系統(tǒng)是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成，工業(yè)控制系統(tǒng)安全面臨的主要威脅不包括（

）。

問題1選項

A.系統(tǒng)漏洞

B.網(wǎng)絡(luò)攻擊

C.設(shè)備故障

D.病毒破壞

【答案】C

【解析】本題考查工業(yè)控制系統(tǒng)安全方面的基礎(chǔ)知識。

工業(yè)控制系統(tǒng)安全面臨的主要威脅包括系統(tǒng)漏洞、網(wǎng)絡(luò)攻擊、病毒破壞。

答案選C。

45.案例題

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)。

【說明】

代碼安全漏洞往往是系統(tǒng)或者網(wǎng)絡(luò)被攻破的頭號殺手。在C語言程序開發(fā)中，由于C語言自身語法的一些特性，很容易出現(xiàn)各種安全漏洞。因此，應(yīng)該在C程序開發(fā)中充分利用現(xiàn)有開發(fā)工具提供的各種安全編譯選項，減少出現(xiàn)漏洞的可能性。

【問題1】(4分)

圖5-1給出了一段有漏洞的C語言代碼（注：行首數(shù)字是代碼行號），請問，上述代碼存在哪種類型的安全漏洞？該漏洞和C語言數(shù)組的哪一個特性有關(guān)？

【問題2】(4分)

圖5-2給出了C程序的典型內(nèi)存布局，請回答如下問題。

（1）請問圖5-1的代碼中第9行的變量authenticated保存在圖5-2所示的哪個區(qū)域中?

（2）請問stack的兩個典型操作是什么?

（3）在圖5-2中的stack區(qū)域保存數(shù)據(jù)時，其地址增長方向是往高地址還是往低地址增加?

（4）對于圖5-1代碼中的第9行和第10行代碼的兩個變量，哪個變量對應(yīng)的內(nèi)存地址更高?

【問題3】(6分)

微軟的VisualStudio提供了很多安全相關(guān)的編譯選項，圖5-3給出了圖5-1中代碼相關(guān)的工程屬性頁面的截圖。請回答以下問題。

（1）請問圖5-3中哪項配置可以有效緩解上述代碼存在的安全漏洞?

（2）如果把圖5-1中第10行代碼改為charbuffer[4];圖5-3的安全編譯選項是否還起作用?

（3）模糊測試是否可以檢測出上述代碼的安全漏洞?

【答案】【問題1】

緩沖區(qū)（棧

）

溢出。

不對數(shù)組越界進行檢查。

【問題2】

（1）stack

（2）push和pop或者壓棧和彈棧

（3）高地址

（4）第9行或者authenticated變量

【問題3】

（1）EnableSecurityCheck(/GS)

（2）不起作用

（3）可以檢測出漏洞

【解析】本題考查軟件安全的漏洞類型以及安全開發(fā)的知識，是關(guān)于代碼安全的問題。

【問題1】

這類漏洞是由于函數(shù)內(nèi)的本地變量溢出造成的，而本地變量都位于堆棧區(qū)域，因此這類漏洞一般稱為棧溢出漏洞。主要是因為C語言編譯器對數(shù)組越界沒有進行檢查導(dǎo)致的。

【問題2】

第9行的變量authenticated同