2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）試卷號(hào)85

住在富人區(qū)的她2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）（圖片可根據(jù)實(shí)際調(diào)整大小）題型12345總分得分一.綜合題(共50題)1.單選題

Trustistypicallyinterpretedasasubjectivebeliefinthereliability，honestyand

security

ofanentityonwhichwedepend（

）ourwelfare.Inonlineenvironmentswedependonawidespectrunofthings,rangingfromcomputerhardware,softwareanddatatopeopleandorganizations.Asecuritysolutionalwaysassumescertainentitiesfunctionaccordingtospecificpolicies.Totrustispreciselytomakethissortofassumptions,hence,atrustedentityisthesameasanentitythatisassumedtofunctionaccordingto

policy.Aconsequenceofthisisthatatrustcomponentofasystemmustworkcorrectlyinorder

forthesecurityofthatsystemtohold,meaningthatwhenatrusted（

）fails,thenthesystems

andapplicationsthatdependon

itcan（

）beconsideredsecure.Anoftencitedarticulationofthisprincipleis:＂atrustedsystemorcomponentisonethatcanbreakyoursecuritypolicy”(whichhappenswhenthetrustsystemfails).Thesameappliestoatrustedpartysuchasaserviceprovider(SPforshort)thatis,itmustoperateaccordingtotheagreedorassumed

policyinordertoensuretheexpectedlevelofsecurtyandqualityofservices.Aparadoxical

conclusiontobedrawnfromthisanalysisisthatsecurityassurancemaydecreasewhenincreasingthenumberoftrustedcomponentsandpartiesthataserviceinfrastructuredependson.ThisisbecausethesecurityofaninfrastructureconsistingofmanyTrustedcomponentstypicallyfollowstheprincipleoftheweakestlink,thatis,inmanysituationsthetheoverallsecuritycanonlybeasstrongastheleast

reliableorleastsecureofallthetrustedcomponents.Wecannotavoidusingtrustedsecurity

components,butthefewerthebetter.Thisisimportanttounderstandwhendesigningthe

identitymanagementarchitectures,thatis,fewerthetrustedpartiesinanidentitymanagement

model,strongerthesecuritythatcanbeachievedbyit.

Thetransferofthesocialconstructsofidentityandtrustintodigital

andcomputationalconceptshelpsindesigningandimplementinglargescaleonlinemarketsandcommunities,andalsoplaysanimportantroleintheconvergingmobileandInternetenvironments.

Identitymanagement(denotedIdmhereafter)isaboutrecognizingandverifyingthe

correctnessofidentitiedinonlineenvironment.Trustmanagementbecomesacomponentof（

）wheneverdifferentpartiesrelyoneachotherforidentityprovisionandauthentication.IdMandTrustmanagementthereforedependoneachotherincomplexwaysbecausethecorrectnessoftheidentityitselfmustbetrustedforthequalityandreliabilityofthecorrespondingentitytobe

trusted.IdMisalsoanessentialconceptwhendefining

authorisationpoliciesinpersonalisedservices.

Establishingtrustalwayshasacost,sothathaving

complextrustrequirementtypicallyleadstohighoverheadinestablishingtherequiredtrust.Toreducecoststherewillbe

incentivesforstakeholdersto“cutcorners”regardingtrustrequirements,whichcouldleadtoinadequatesecurity.ThechallengeistodesignIdMsystemswithrelativelysimpletrustrequirements.CryptographicmechanismsareoftenacorecomponentofIdMsolutions,forexample,forentityanddataauthentication.Withcryptography,itisoftenpossibletopropagatetrustfromwhereitinitiallyexiststowhereitisneeded.Theestablishmentofinitial（

）usuallytakesplaceinthephysicalworld,andthesubsequentpropagationoftrusthappensonline,ofteninanautomatedmanner.

問題1選項(xiàng)

A.with

B.on

C.of

D.for

問題2選項(xiàng)

A.entity

B.person

C.component

D.thing

問題3選項(xiàng)

A.Nolonger

B.never

C.always

D.often

問題4選項(xiàng)

A.SP

B.IdM

C.Internet

D.entity

問題5選項(xiàng)

A.trust

B.cost

C.IdM

D.solution

【答案】第1題:D

第2題:C

第3題:A

第4題:B

第5題:A

【解析】本題考查專業(yè)英語(yǔ)相關(guān)知識(shí)。

信任通常被解釋為是對(duì)我們賴以生存的實(shí)體的可靠性、誠(chéng)實(shí)性和安全性的一種主觀信念。在在線環(huán)境中，我們依賴于各種各樣的東西，從計(jì)算機(jī)硬件、軟件和數(shù)據(jù)到人員和組織。安全解決方案總是根據(jù)特定的策略假定某些實(shí)體的功能。信任就是做出這種假設(shè)，因此，受信任的實(shí)體與根據(jù)策略假定起作用的實(shí)體是相同的。這樣做的結(jié)果，就是系統(tǒng)的受信任組件必須正確工作，以保持該系統(tǒng)的安全性，這意味著當(dāng)受信任組件發(fā)生故障時(shí)，依賴它的系統(tǒng)和應(yīng)用程序?qū)⒉辉俦灰暈榘踩?。該原則的一個(gè)經(jīng)常被引用的表述是：“可信系統(tǒng)或組件是可以破壞您的安全策略的系統(tǒng)或組件”（當(dāng)可信系統(tǒng)失敗時(shí)會(huì)發(fā)生這種情況）。這同樣適用于受信任方，如服務(wù)提供商（簡(jiǎn)稱SP）。也就是說(shuō)，為了確保預(yù)期的安全性和服務(wù)質(zhì)量，它必須按照商定或假定的政策進(jìn)行操作。從該分析中得出的一個(gè)矛盾結(jié)論是，當(dāng)增加服務(wù)基礎(chǔ)設(shè)施所依賴的受信任組件和參與方的數(shù)量時(shí)，安全保證可能會(huì)減少。這是因?yàn)橛稍S多受信任組件組成的基礎(chǔ)結(jié)構(gòu)的安全性通常遵循最弱鏈接的原則，也就是說(shuō)，在許多情況下，整體安全性只能與所有受信任組件中最不可靠或最不安全的部分一樣強(qiáng)。我們不能避免使用可信的安全組件，但越少越好。在設(shè)計(jì)身份管理架構(gòu)時(shí)，這一點(diǎn)很重要，也就是說(shuō)，在身份管理模型中，受信任方越少，所能實(shí)現(xiàn)的安全性就越強(qiáng)。

將身份和信任的社會(huì)結(jié)構(gòu)轉(zhuǎn)化為數(shù)字和計(jì)算概念有助于設(shè)計(jì)和實(shí)施大規(guī)模在線市場(chǎng)和社區(qū)，并在融合移動(dòng)和互聯(lián)網(wǎng)環(huán)境中發(fā)揮重要作用。身份管理（以下簡(jiǎn)稱IDM）是關(guān)于識(shí)別和驗(yàn)證在線環(huán)境中身份的正確性。當(dāng)不同的當(dāng)事方在身份提供和認(rèn)證方面相互依賴時(shí)，信任管理就成為IDM的一個(gè)組成部分。因此，IDM和信任管理以復(fù)雜的方式相互依賴，因?yàn)橐湃蜗鄳?yīng)實(shí)體的質(zhì)量和可靠性，必須信任標(biāo)識(shí)本身的正確性。在定義個(gè)性化服務(wù)中的授權(quán)策略時(shí)，IDM也是一個(gè)基本概念。建立信任總是有成本的，因此擁有復(fù)雜的信任需求通常會(huì)導(dǎo)致建立所需信任的高開銷。為了降低成本，將鼓勵(lì)利益相關(guān)者在信任要求方面“抄近路”，這可能導(dǎo)致安全性不足。挑戰(zhàn)在于設(shè)計(jì)具有相對(duì)簡(jiǎn)單信任要求的IDM系統(tǒng)。加密機(jī)制通常是IDM解決方案的核心組件，例如，用于實(shí)體和數(shù)據(jù)身份驗(yàn)證。使用密碼學(xué)，通常可以將信任從最初存在的地方傳播到需要信任的地方。初始信任的建立通常發(fā)生在物理世界中，隨后的信任傳播通常以自動(dòng)化的方式在線進(jìn)行。

2.單選題

PDR模型是一種體現(xiàn)主動(dòng)防御思想的網(wǎng)絡(luò)安全模型，該模型中D表示（

）。

問題1選項(xiàng)

A.Design（設(shè)計(jì)）

B.Detection（檢測(cè)）

C.Defense（防御）

D.Defend（保護(hù)）

【答案】B

【解析】本題考查信息保障模型中的PDR模型。

PDR模型是最早體現(xiàn)主動(dòng)防御思想的網(wǎng)絡(luò)安全模型。PDR模型包括了Protection（保護(hù)）、Detection（檢測(cè)）、Response（響應(yīng)）3個(gè)部分。故本題選B。

點(diǎn)播：美國(guó)國(guó)防部提出了PDRR模型，其中PDRR是Protection（保護(hù)）、Detection（檢測(cè)）、Recovery（恢復(fù)）、Response（響應(yīng)）英文單詞的縮寫。PDRR改進(jìn)了傳統(tǒng)的只注重保護(hù)的單一安全防御思想，該模型強(qiáng)調(diào)的是自動(dòng)故障恢復(fù)能力。

3.單選題

報(bào)文內(nèi)容認(rèn)證使接收方能夠確認(rèn)報(bào)文內(nèi)容的真實(shí)性，產(chǎn)生認(rèn)證碼的方式不包括（

）。

問題1選項(xiàng)

A.報(bào)文加密

B.數(shù)字水印

C.MAC

D.HMAC

【答案】B

【解析】本題考查消息認(rèn)證碼方面的基礎(chǔ)知識(shí)。

產(chǎn)生認(rèn)證碼的方法有以下三種：

①報(bào)文加密;

②消息認(rèn)證碼(MAC);

③基于hash函數(shù)的消息認(rèn)證碼(HMAC)。

答案選B。

4.單選題

SM4算法是國(guó)家密碼管理局于2012年3月21日發(fā)布的一種分組密碼算法，在我國(guó)商用密碼體系中，SM4主要用于數(shù)據(jù)加密。SM4算法的分組長(zhǎng)度和密鑰長(zhǎng)度分別為（

）。

問題1選項(xiàng)

A.128位和64位

B.128位和128位

C.256位和128位

D.256位和256位

【答案】B

【解析】本題考查我國(guó)國(guó)密算法方面的基礎(chǔ)知識(shí)。

SM4算法的分組長(zhǎng)度為128位，密鑰長(zhǎng)度為128位。加密算法與密鑰擴(kuò)展算法都采用32輪非線性迭代結(jié)構(gòu)。解密算法與加密算法的結(jié)構(gòu)相同，只是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序。

5.單選題

訪問控制是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施，適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)授權(quán)的用戶有意或者無(wú)意地獲取資源。信息系統(tǒng)訪問控制的基本要素不包括（

）。

問題1選項(xiàng)

A.主體

B.客體

C.授權(quán)訪問

D.身份認(rèn)證

【答案】D

【解析】Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

本題考查信息系統(tǒng)訪問控制的基本要素。

訪問者稱為主體，可以是用戶、進(jìn)程、應(yīng)用程序等；

資源對(duì)象稱為客體，即被訪問的對(duì)象，可以是文件、應(yīng)用服務(wù)、數(shù)據(jù)等；

授權(quán)是訪問者對(duì)資源對(duì)象進(jìn)行訪問的方式，如文件的讀、寫、刪除、追加或電子郵件服務(wù)的接收、發(fā)送等。

信息系統(tǒng)訪問控制的三要素是主體、客體和授權(quán)訪問，因此不包括身份認(rèn)證。故本題選D。

點(diǎn)播：訪問控制是指對(duì)資源對(duì)象的訪問者授權(quán)、控制的方法及運(yùn)行機(jī)制。

6.單選題

一個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五個(gè)部分組成，而其安全性是由（

）決定的。

問題1選項(xiàng)

A.加密算法

B.解密算法

C.加解密算法

D.密鑰

【答案】D

【解析】本題考查密碼系統(tǒng)組成原則的基礎(chǔ)知識(shí)。

一個(gè)密碼系統(tǒng)至少由明文、密文、加密算法、解密算法和密鑰五個(gè)部分組成，而在密碼系統(tǒng)的設(shè)計(jì)中，有一條很重要的原則就是Kerckhoff原則，也就是密碼系統(tǒng)的安全性只依賴于密鑰。

答案選D。

7.單選題

SM2算法是國(guó)家密碼管理局于2010年12月17日發(fā)布的橢圓曲線公鑰密碼算法，在我們國(guó)家商用密碼體系中被用來(lái)替換（

）算法。

問題1選項(xiàng)

A.DES

B.MD5

C.RSA

D.IDEA

【答案】C

【解析】本題考查我國(guó)商用密碼管理方面的知識(shí)。

DES算法、IDEA算法都屬于分組密碼算法；MD5算法是一種Hash算法，也叫雜湊算法；SM2算法和RSA算法都屬于非對(duì)稱加密算法。SM2算法是一種更先進(jìn)更安全的算法，隨著密碼技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展，目前常用的1024位RSA算法面臨嚴(yán)重的安全威脅，我們國(guó)家密碼管理部門經(jīng)過研究，決定采用SM2橢圓曲線算法替換RSA算法。故本題選C。

點(diǎn)播：

SM1：對(duì)稱加密分組長(zhǎng)度和密鑰長(zhǎng)度都為128比特；

SM2：非對(duì)稱加密，用于公鑰加密算法、密鑰交換協(xié)議、數(shù)字簽名算法，國(guó)家標(biāo)準(zhǔn)推薦使用素?cái)?shù)域256位橢圓曲線；

SM3：雜湊算法，雜湊值長(zhǎng)度為256比特；

SM4：對(duì)稱加密，分組長(zhǎng)度和密鑰長(zhǎng)度都為128比特；

SM9：標(biāo)識(shí)密碼算法。

8.單選題

網(wǎng)絡(luò)安全控制技術(shù)指致力于解決諸多如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。以下不屬于網(wǎng)絡(luò)安全控制技術(shù)的是（

）。

問題1選項(xiàng)

A.VPN技術(shù)

B.容災(zāi)與備份技術(shù)

C.入侵檢測(cè)技術(shù)

D.信息認(rèn)證技術(shù)

【答案】B

【解析】本題考查網(wǎng)絡(luò)安全控制技術(shù)方面的基礎(chǔ)知識(shí)。

容災(zāi)備份實(shí)際上是兩個(gè)概念。容災(zāi)是為了在遭遇災(zāi)害時(shí)能保證信息系統(tǒng)正常運(yùn)行，幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的目標(biāo);備份是為了應(yīng)對(duì)災(zāi)難來(lái)臨時(shí)造成的數(shù)據(jù)丟失問題，其最終目標(biāo)是幫助企業(yè)應(yīng)對(duì)人為誤操作、軟件錯(cuò)誤、病毒入侵等“軟”性災(zāi)害以及硬件故障、自然災(zāi)害等“硬”性災(zāi)害。顯然，容災(zāi)與備份技術(shù)不屬于網(wǎng)絡(luò)安全控制技術(shù)。

答案選B。

9.案例題

閱讀下列說(shuō)明和表，回答問題1至問題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

防火墻類似于我國(guó)古代的護(hù)城河，可以阻擋敵人的進(jìn)攻。在網(wǎng)絡(luò)安全中，防火墻主要用于邏輯隔離外部網(wǎng)絡(luò)與受保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻通過使用各種安全規(guī)則來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全策略。

防火墻的安全規(guī)則由匹配條件和處理方式兩個(gè)部分共同構(gòu)成。網(wǎng)絡(luò)流量通過防火墻時(shí)，根據(jù)數(shù)據(jù)包中的某些特定字段進(jìn)行計(jì)算以后如果滿足匹配條件，就必須采用規(guī)則中的處理方式進(jìn)行處理。

【問題1】（5分）

假設(shè)某企業(yè)內(nèi)部網(wǎng)（/24）需要通過防火墻與外部網(wǎng)絡(luò)互連，其防火墻的過濾規(guī)則實(shí)例如表4.1所示。

表中“*”表示通配符，任意服務(wù)端口都有兩條規(guī)則。

請(qǐng)補(bǔ)充表4.1中的內(nèi)容（1）和（2），并根據(jù)上述規(guī)則表給出該企業(yè)對(duì)應(yīng)的安全需求。

【問題2】（4分）

一般來(lái)說(shuō)，安全規(guī)則無(wú)法覆蓋所有的網(wǎng)絡(luò)流量。因此防火墻都有一條默認(rèn)（缺?。┮?guī)則，該規(guī)則能覆蓋事先無(wú)法預(yù)料的網(wǎng)絡(luò)流量。請(qǐng)問缺省規(guī)則的兩種選擇是什么？

【問題3】（6分）

請(qǐng)給出防火墻規(guī)則中的三種數(shù)據(jù)包處理方式。

【問題4】（4分）

防火墻的目的是實(shí)施訪問控制和加強(qiáng)站點(diǎn)安全策略，其訪問控制包含四個(gè)方面的內(nèi)容：服務(wù)控制、方向控制、用戶控制和行為控制。請(qǐng)問表4.1中，規(guī)則A涉及訪問控制的哪幾個(gè)方面的內(nèi)容？

【答案】【問題1】

（1）53（2）丟棄或Drop

其安全需求為：（1）允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)的網(wǎng)頁(yè)服務(wù)器；（2）允許外部用戶訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)頁(yè)服務(wù)器（25）；（3）除1和2外，禁止其他任何網(wǎng)絡(luò)流量通過該防火墻。

【問題2】

（1）默認(rèn)拒絕：一切沒有被允許的就是禁止的；

（2）默認(rèn)允許：一切沒有被禁止的就是允許的。

【問題3】

（1）Accept：允許數(shù)據(jù)包或信息通過；

（2）Reject：拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止；

（3）Drop：直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

【問題4】

服務(wù)控制和方向控制。

【解析】【問題1】

規(guī)則A和B允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)的網(wǎng)頁(yè)服務(wù)器。規(guī)則C和D允許外部用戶訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)頁(yè)服務(wù)器。規(guī)則E和F允許內(nèi)部用戶訪問域名服務(wù)器。規(guī)則G是缺省拒絕的規(guī)則。規(guī)則E中目的端口為53；規(guī)則G中動(dòng)作為Drop。

其安全需求為：①允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)的網(wǎng)頁(yè)服務(wù)器；②允許外部用戶訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)頁(yè)服務(wù)器（25）；③除1和2外，禁止其他任何網(wǎng)絡(luò)流量通過該防火墻。

【問題2】

缺省規(guī)則有兩種選擇：默認(rèn)拒絕或者默認(rèn)允許。默認(rèn)拒絕是指一切未被允許的就是禁止的，其安全規(guī)則的處理方式一般為Accept；默認(rèn)允許是指一切未被禁止的就是允許的。其安全規(guī)則的處理方式一般為Reject或Drop。

【問題3】

防火墻規(guī)則中的處理方式主要包括以下幾種：

（1）Accept：允許數(shù)據(jù)包或信息通過。

（2）Reject：拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止。

（3）Drop：直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

【問題4】

防火墻的目的是實(shí)施訪問控制和加強(qiáng)站點(diǎn)安全策略，其訪問控制包含四個(gè)方面或?qū)哟蔚膬?nèi)容：

（1）服務(wù)控制：決定哪些服務(wù)可以被訪問，無(wú)論這些服務(wù)是在內(nèi)部網(wǎng)絡(luò)還是在外部網(wǎng)絡(luò)。常見的網(wǎng)絡(luò)服務(wù)有郵件服務(wù)、網(wǎng)頁(yè)服務(wù)、代理服務(wù)、文件服務(wù)等，這些服務(wù)往往是系統(tǒng)對(duì)外的功能。在計(jì)算機(jī)網(wǎng)絡(luò)中，服務(wù)往往就是指TCP/IP協(xié)議中的端口值，如25是指SMTP服務(wù)，110是指POP3服務(wù)，80是指網(wǎng)頁(yè)服務(wù)等。當(dāng)然，服務(wù)控制也包括服務(wù)的位置控制，如E地址。

（2）方向控制：決定在哪些特定的方向上服務(wù)請(qǐng)求可以被發(fā)起并通過防火墻，也就是服務(wù)是位于內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)。通過規(guī)則控制，可以限定一個(gè)方向的服務(wù)，也可以同時(shí)限定兩個(gè)方向的服務(wù)。

（3）用戶控制：決定哪些用戶可以訪問特定服務(wù)。該技術(shù)既可以應(yīng)用于防火墻網(wǎng)絡(luò)內(nèi)部的用戶（本地用戶），也可以被應(yīng)用到來(lái)自外部用戶的訪問?？梢圆捎糜脩裘?、主機(jī)的IP、主機(jī)的MAC等標(biāo)識(shí)用戶。

（4）行為控制：決定哪些具體的服務(wù)內(nèi)容是否符合安全策略。如防火墻可以通過過濾郵件來(lái)清除垃圾郵件，以及網(wǎng)絡(luò)流量中是否含有計(jì)算機(jī)病毒、木馬等惡意代碼。

規(guī)則A只規(guī)定了內(nèi)部網(wǎng)訪問外部網(wǎng)絡(luò)的80端口的特定服務(wù)的過濾規(guī)則，設(shè)計(jì)服務(wù)控制和方向控制。

10.單選題

研究密碼破譯的科學(xué)稱為密碼分析學(xué)。密碼分析學(xué)中，根據(jù)密碼分析者可利用的數(shù)據(jù)資源，可將攻擊密碼的類型分為四種，其中適于攻擊公開密鑰密碼體制，特別是攻擊其數(shù)字簽名的是（

）。

問題1選項(xiàng)

A.僅知密文攻擊

B.已知明文攻擊

C.選擇密文攻擊

D.選擇明文攻擊

【答案】C

【解析】本題考查公鑰密碼體制和數(shù)字簽名相關(guān)知識(shí)。

已知明文攻擊：攻擊者不僅可以得到一些消息的密文，而且也知道對(duì)應(yīng)的明文。

僅知密文攻擊：攻擊者有一些消息的密文，這些密文都是用相同的加密算法進(jìn)行加密得到。

選擇明文攻擊：攻擊者不僅可以得到一些消息的密文和相應(yīng)的明文，而且還可以選擇被加密的明文。

選擇密文攻擊：攻擊者能夠選擇一些不同的被加密的密文并得到與其對(duì)應(yīng)的明文信息，攻擊者的任務(wù)是推算出加密密鑰。

使用選擇密文攻擊的攻擊者掌握對(duì)解密機(jī)的訪問權(quán)限，可構(gòu)造任意密文所對(duì)應(yīng)的明文。在此種攻擊模型中，密碼分析者事先任意搜集一定數(shù)量的密文，讓這些密文透過被攻擊的加密算法解密，透過未知的密鑰獲得解密后的明文。故本題選C。

點(diǎn)播：數(shù)字簽名是指簽名者使用私鑰對(duì)待簽名數(shù)據(jù)的雜湊值做密碼運(yùn)算得到的結(jié)果。該結(jié)果只能用簽名者的公鑰進(jìn)行驗(yàn)證，用于確認(rèn)待簽名數(shù)據(jù)的完整性、簽名者身份的真實(shí)性和簽名行為的抗抵賴性。數(shù)字簽名具有手寫簽名一樣的特點(diǎn)，是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的。

11.單選題

下列關(guān)于數(shù)字簽名說(shuō)法中，正確的是（

）。

問題1選項(xiàng)

A.驗(yàn)證和解密過程相同

B.數(shù)字簽名不可改變

C.驗(yàn)證過程需要用戶私鑰

D.數(shù)字簽名不可信

【答案】B

【解析】本題考查數(shù)字簽名方面的基礎(chǔ)知識(shí)。

數(shù)字簽名是可信的、不容易被偽造的、不容抵賴的，而且是不可改變的。數(shù)字簽名的驗(yàn)證與解密過程不同，驗(yàn)證過程需要用戶的公鑰。答案選B。

12.單選題

移位密碼的加密對(duì)象為英文字母，移位密碼采用對(duì)明文消息的每一個(gè)英文字母向前推移固定key位的方式實(shí)現(xiàn)加密。設(shè)key=6，則明文“SEC"對(duì)應(yīng)的密文為（

）。

問題1選項(xiàng)

A.YKI

B.ZLI

C.XJG

D.MYW

【答案】A

【解析】本題考查移位密碼方面的基礎(chǔ)知識(shí)。

英文字母S.E、C向前推移6位后分別為Y、K、I,所以明文“SEC"對(duì)應(yīng)的密文為“YKI”"。

答案選A。

13.單選題

目前網(wǎng)絡(luò)安全形勢(shì)日趨復(fù)雜，攻擊手段和攻擊工具層出不窮，攻擊工具日益先進(jìn),攻擊者需要的技能日趨下降。以下關(guān)于網(wǎng)絡(luò)攻防的描述中，不正確的是（）。

問題1選項(xiàng)

A.嗅探器Sniffer工作的前提是網(wǎng)絡(luò)必須是共享以太網(wǎng)

B.加密技術(shù)可以有效抵御各類系統(tǒng)攻擊

C.APT的全稱是高級(jí)持續(xù)性威脅

D.同步包風(fēng)暴（SYNFlooding）的攻擊來(lái)源無(wú)法定位

【答案】B

【解析】本題考查網(wǎng)絡(luò)攻防相關(guān)知識(shí)。

加密用以確保數(shù)據(jù)的保密性，阻止對(duì)手的被動(dòng)攻擊，如截取，竊聽等，而對(duì)于各類主動(dòng)攻擊，如篡改、冒充、重播等卻是無(wú)能為力的。故本題選B。

點(diǎn)播：加密技術(shù)是電子商務(wù)采取的主要安全保密措施，是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。加密技術(shù)的應(yīng)用是多方面的，但最為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用。世界上沒有絕對(duì)安全的密碼體制，自然也不存在某種加密技術(shù)能抵擋所有攻擊。

14.案例題

閱讀下列說(shuō)明和圖，回答問題1至問題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

代碼安全漏洞往往是系統(tǒng)或者網(wǎng)絡(luò)被攻破的頭號(hào)殺手。在C語(yǔ)言程序開發(fā)中，由于C語(yǔ)言自身語(yǔ)法的一些特性，很容易出現(xiàn)各種安全漏洞。因此，應(yīng)該在C程序開發(fā)中充分利用現(xiàn)有開發(fā)工具提供的各種安全編譯選項(xiàng)，減少出現(xiàn)漏洞的可能性。

【問題1】(4分)

圖5-1給出了一段有漏洞的C語(yǔ)言代碼（注：行首數(shù)字是代碼行號(hào)），請(qǐng)問，上述代碼存在哪種類型的安全漏洞？該漏洞和C語(yǔ)言數(shù)組的哪一個(gè)特性有關(guān)？

【問題2】(4分)

圖5-2給出了C程序的典型內(nèi)存布局，請(qǐng)回答如下問題。

（1）請(qǐng)問圖5-1的代碼中第9行的變量authenticated保存在圖5-2所示的哪個(gè)區(qū)域中?

（2）請(qǐng)問stack的兩個(gè)典型操作是什么?

（3）在圖5-2中的stack區(qū)域保存數(shù)據(jù)時(shí)，其地址增長(zhǎng)方向是往高地址還是往低地址增加?

（4）對(duì)于圖5-1代碼中的第9行和第10行代碼的兩個(gè)變量，哪個(gè)變量對(duì)應(yīng)的內(nèi)存地址更高?

【問題3】(6分)

微軟的VisualStudio提供了很多安全相關(guān)的編譯選項(xiàng)，圖5-3給出了圖5-1中代碼相關(guān)的工程屬性頁(yè)面的截圖。請(qǐng)回答以下問題。

（1）請(qǐng)問圖5-3中哪項(xiàng)配置可以有效緩解上述代碼存在的安全漏洞?

（2）如果把圖5-1中第10行代碼改為charbuffer[4];圖5-3的安全編譯選項(xiàng)是否還起作用?

（3）模糊測(cè)試是否可以檢測(cè)出上述代碼的安全漏洞?

【答案】【問題1】

緩沖區(qū)（棧

）

溢出。

不對(duì)數(shù)組越界進(jìn)行檢查。

【問題2】

（1）stack

（2）push和pop或者壓棧和彈棧

（3）高地址

（4）第9行或者authenticated變量

【問題3】

（1）EnableSecurityCheck(/GS)

（2）不起作用

（3）可以檢測(cè)出漏洞

【解析】本題考查軟件安全的漏洞類型以及安全開發(fā)的知識(shí)，是關(guān)于代碼安全的問題。

【問題1】

這類漏洞是由于函數(shù)內(nèi)的本地變量溢出造成的，而本地變量都位于堆棧區(qū)域，因此這類漏洞一般稱為棧溢出漏洞。主要是因?yàn)镃語(yǔ)言編譯器對(duì)數(shù)組越界沒有進(jìn)行檢查導(dǎo)致的。

【問題2】

第9行的變量authenticated同樣是本地變量，因此位于堆棧(stack)區(qū)域。堆棧結(jié)構(gòu)常見的操作就是push和pop。在數(shù)據(jù)往堆棧區(qū)域?qū)憰r(shí)，都是往高地址寫的。在入棧時(shí)，則是第9行的變量先入棧在高地址，后續(xù)的第10行代碼對(duì)應(yīng)的變量buffer后入棧在低地址，因此第9行的變量在高地址。只有這樣在往buffer數(shù)組拷貝過多的數(shù)據(jù)時(shí)，才會(huì)覆蓋掉后續(xù)的authenticated變量。

【問題3】

微軟的VisualStudio編譯器提供了很多的安全編譯選項(xiàng)，可以對(duì)代碼進(jìn)行安全編譯，例如圖中EnableSecurityCheck(/GS)可以在棧中添加特殊值，使得一旦被覆蓋就會(huì)導(dǎo)致異常，從而增加漏洞利用難度。該編譯選項(xiàng)針對(duì)小于等于4個(gè)字節(jié)的數(shù)組不起保護(hù)作用。模糊測(cè)試通過發(fā)送不同長(zhǎng)度的數(shù)據(jù)給buffer,可能導(dǎo)致覆蓋后續(xù)變量和指針值，導(dǎo)致程序異常從而觸發(fā)監(jiān)測(cè)，因此采用模糊測(cè)試的方法是可以檢測(cè)出此類漏洞的。

15.單選題

身份認(rèn)證是證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的驗(yàn)證過程。目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證技術(shù)主要有:用戶名/密碼方式、智能卡認(rèn)證、動(dòng)態(tài)口令、生物特征認(rèn)證等。其中不屬于生物特征的是（

）。

問題1選項(xiàng)

A.指紋

B.手指靜脈

C.虹膜

D.擊鍵特征

【答案】D

【解析】本題考查身份認(rèn)證方面的基礎(chǔ)知識(shí)。

擊鍵特征屬于行為特征。指紋、手指靜脈、虹膜屬于生物特征。

答案選D。

16.單選題

以下關(guān)于BLP安全模型的表述中，錯(cuò)誤的是（

）。

問題1選項(xiàng)

A.BLP模型既有自主訪問控制，又有強(qiáng)制訪問控制

B.BLP模型是-一個(gè)嚴(yán)格形式化的模型，并給出了形式化的證明

C.BLP模型控制信息只能由高向低流動(dòng)

D.BLP是一種多級(jí)安全策略模型

【答案】C

【解析】本題考查BLP安全模型方面的基礎(chǔ)知識(shí)。

BLP是安全訪問控制的一種模型，是基于自主訪問控制和強(qiáng)制訪問控制兩種方式實(shí)現(xiàn)的。它是一種嚴(yán)格的形式化描述，控制信息只能由低向高流動(dòng)。它反映了多級(jí)安全策略的安全特性。

17.單選題

安全電子交易協(xié)議SET中采用的公鑰密碼算法是RSA，采用的私鑰密碼算法是DES，其所使用的DES有效密鑰長(zhǎng)度是（

）。

問題1選項(xiàng)

A.48位

B.56位

C.64位

D.128位

【答案】B

【解析】本題考查DES算法

DES是一個(gè)分組密碼算法，能夠支持64比特的明文塊加密，其密鑰長(zhǎng)度為56比特，即56位。故本題選B。

點(diǎn)播：DES是世界上應(yīng)用最廣泛的密碼，但是隨著計(jì)算機(jī)系統(tǒng)運(yùn)算速度的增加和網(wǎng)絡(luò)計(jì)算的進(jìn)行，在有限的時(shí)間內(nèi)進(jìn)行大量的運(yùn)算將變得更可行，因此DES56比特的密鑰長(zhǎng)度已不足以保證密碼系統(tǒng)的安全。NIST于1999年10月25日采用三重DES（TDEA）作為過渡期間的國(guó)家標(biāo)準(zhǔn)，以增強(qiáng)DES的安全性。

18.單選題

包過濾技術(shù)防火墻在過濾數(shù)據(jù)包時(shí)，一般不關(guān)心（

）。

問題1選項(xiàng)

A.數(shù)據(jù)包的源地址

B.數(shù)據(jù)包的目的地址

C.數(shù)據(jù)包的協(xié)議類型

D.數(shù)據(jù)包的內(nèi)容

【答案】D

【解析】本題考查包過濾的原理。

包過濾是在IP層實(shí)現(xiàn)的防火墻技術(shù)，包過濾根據(jù)包的源IP地址、目的地址、源端口、目的端口及包傳遞方向、傳輸協(xié)議類型等包頭信息判斷是否允許包通過。一般不關(guān)心數(shù)據(jù)包的內(nèi)容。故本題選D。

點(diǎn)播：發(fā)送數(shù)據(jù)包可以粗略地類比生活中的寄快遞包。只需要知道郵寄方地址（源地址）、接收方地址（目的地址）、以及發(fā)哪家（順豐、圓通等）快遞（協(xié)議類型），即可發(fā)送快遞，不需要詳細(xì)了解包裹的內(nèi)容。

19.單選題

蠕蟲是一類可以獨(dú)立運(yùn)行、并能將自身的一個(gè)包含了所有功能的版本傳播到其他計(jì)算機(jī)上的程序。網(wǎng)絡(luò)蠕蟲可以分為:漏洞利用類蠕蟲、口令破解類蠕蟲、電子郵件類蠕蟲、P2P類蠕蟲等。以下不屬于漏洞利用類蠕蟲的是（

）。

問題1選項(xiàng)

A.CodeRed

B.Slammer

C.MSBlaster

D.IRC-worm

【答案】D

【解析】本題考查惡意代碼中蠕蟲方面的基礎(chǔ)知識(shí)。

漏洞利用類蠕蟲包括2001年的紅色代碼(CodeRed)和尼姆達(dá)(Nimda)、2003年的蠕蟲王(Slammer)和沖擊波(MSBlaster).2004年的震蕩波(Sasser).2005年的極速波(Zotob)、2006年的魔波(MocBot)、2008年的掃蕩波(Saodangbo).2009年的飛客(Conficker)、2010年的震網(wǎng)(StuxNet)等。IRC-worm屬于IRC類蠕蟲。

20.單選題

雪崩效應(yīng)指明文或密鑰的少量變化會(huì)引起密文的很大變化。下列密碼算法中不具有雪崩效應(yīng)的是（

）。

問題1選項(xiàng)

A.AES

B.MD5

C.RC4

D.RSA

【答案】D

【解析】本題考查密碼設(shè)計(jì)雪崩效應(yīng)方面的基礎(chǔ)知識(shí)。

雪崩效應(yīng)是指當(dāng)輸入發(fā)生最微小的改變（例如，反轉(zhuǎn)一個(gè)二進(jìn)制位）時(shí)，也會(huì)導(dǎo)致輸出的不可區(qū)分性改變（輸出中每個(gè)二進(jìn)制位有50%的概率發(fā)生反轉(zhuǎn)）；雪崩效應(yīng)通常發(fā)生在塊密碼和加密散列函數(shù)中，RSA為公鑰密碼。

答案選D。

21.單選題

由于Internet規(guī)模太大，常把它劃分成許多小的自治系統(tǒng)，通常把自治系統(tǒng)內(nèi)部的路由協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議，自治系統(tǒng)之間的協(xié)議稱為外部網(wǎng)關(guān)協(xié)議。以下屬于外部網(wǎng)關(guān)協(xié)議的是（

）。

問題1選項(xiàng)

A.RIP

B.OSPF

C.BGP

D.UDP

【答案】C

【解析】本題考查路由協(xié)議方面的基礎(chǔ)知識(shí)。

內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)是在AS(自治系統(tǒng))內(nèi)部使用的協(xié)議，常用的有OSPF、ISIS、RIP、EIGRP。外部網(wǎng)關(guān)協(xié)議(EGP)是在AS(自治系統(tǒng))外部使用的協(xié)議，常用的有BGP。

答案選C。

22.單選題

基于MD4和MD5設(shè)計(jì)的S/Key口令是一種一次性口令生成方案，它可以對(duì)訪問者的身份與設(shè)備進(jìn)行綜合驗(yàn)證，該方案可以對(duì)抗（

）。

問題1選項(xiàng)

A.網(wǎng)絡(luò)釣魚

B.數(shù)學(xué)分析攻擊

C.重放攻擊

D.窮舉攻擊

【答案】C

【解析】本題考查Hash算法中的MD4、MD5算法。

網(wǎng)絡(luò)釣魚：是一種通過假冒可信方（知名銀行、信用卡公司等）提供網(wǎng)上服務(wù)，以欺騙手段獲取敏感個(gè)人信息（如口令、銀行卡信息等）的攻擊方式。

數(shù)學(xué)分析攻擊：是指密碼分析者針對(duì)加解密算法的數(shù)學(xué)基礎(chǔ)和某些密碼學(xué)特性，通過數(shù)學(xué)求解的方法來(lái)破譯密碼。數(shù)學(xué)分析攻擊是對(duì)基于數(shù)學(xué)難題的各種密碼的主要威脅。為了對(duì)抗這種數(shù)學(xué)分析攻擊，應(yīng)當(dāng)選用具有堅(jiān)實(shí)數(shù)學(xué)基礎(chǔ)和足夠復(fù)雜的加解密算法。

重放攻擊：也被叫做是重播攻擊、回放攻擊或者是新鮮性攻擊，具體是指攻擊者發(fā)送一個(gè)目的主機(jī)已經(jīng)接收過的包來(lái)達(dá)到欺騙系統(tǒng)的目的。重放攻擊主要是在身份認(rèn)證的過程時(shí)使用，它可以把認(rèn)證的正確性破壞掉。

窮舉攻擊：亦稱“暴力破解”。對(duì)密碼進(jìn)行逐個(gè)推算，直到找出真正的密碼為止的一種攻擊方式。理論上可破解任何一種密碼，問題在于如何縮短破解時(shí)間。

S/key口令是一種一次性口令生成方案，可以有效對(duì)抗重放攻擊。故本題選C。

點(diǎn)播：此類題目不需要完全了解MD4、MD5等算法原理，只需抓住題干中關(guān)鍵字——“一次性口令”，再結(jié)合選項(xiàng)的理解分析，即可快速找到答案。

23.單選題

數(shù)字水印技術(shù)通過在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱蔽的水印標(biāo)記，可以有效實(shí)現(xiàn)對(duì)數(shù)字多媒體數(shù)據(jù)的版權(quán)保護(hù)等功能。數(shù)字水印的解釋攻擊是以阻止版權(quán)所有者對(duì)所有權(quán)的斷言為攻擊目的。以下不能有效解決解釋攻擊的方案是（

）。

問題1選項(xiàng)

A.引入時(shí)間戳機(jī)制

B.引入驗(yàn)證碼機(jī)制

C.作者在注冊(cè)水印序列的同時(shí)對(duì)原作品加以注冊(cè)

D.利用單向水印方案消除水印嵌入過程中的可逆性

【答案】B

【解析】本題考查數(shù)字水印的攻擊方面的基礎(chǔ)知識(shí)。

目前，由解釋攻擊所引起的無(wú)法仲裁的版權(quán)糾紛的解決方案主要有三種：第一-種方法是引入時(shí)戳機(jī)制，從而確定兩個(gè)水印被嵌入的先后順序;第二種方法是作者在注冊(cè)水印序列的同時(shí)對(duì)原始作品加以注冊(cè)，以便于增加對(duì)原始圖像的檢測(cè);第三種方法是利用單向水印方案消除水印嵌入過程中的可逆性。其中前兩種都是對(duì)水印的使用環(huán)境加以限制，最后一種則是對(duì)解釋攻擊的條件加以破壞。

答案選B。

24.單選題

SSL協(xié)議（安全套接層協(xié)議）是Netscape公司推出的一種安全通信協(xié)議，以下服務(wù)中，SSL協(xié)議

IPSec屬于（）的安全解決方案。

問題1選項(xiàng)

A.用戶和服務(wù)器的合法性認(rèn)證服務(wù)

B.加密數(shù)據(jù)服務(wù)以隱藏被傳輸?shù)臄?shù)據(jù)

C.維護(hù)數(shù)據(jù)的完整性

D.基于UDP應(yīng)用的安全保護(hù)

【答案】A

【解析】IPsec屬于第三層網(wǎng)絡(luò)層的安全解決方案。

25.單選題

以下關(guān)于虛擬專用網(wǎng)VPN描述錯(cuò)誤的是（

）。

問題1選項(xiàng)

A.VPN不能在防火墻上實(shí)現(xiàn)

B.鏈路加密可以用來(lái)實(shí)現(xiàn)VPN

C.IP層加密可以用來(lái)實(shí)現(xiàn)VPN

D.VPN提供機(jī)密性保護(hù)

【答案】A

【解析】本題考查VPN相關(guān)知識(shí)。

VPN中文翻譯為虛擬專用網(wǎng)，其基本技術(shù)原理是把需要經(jīng)過公共網(wǎng)傳遞的報(bào)文加密處理后，再由公共網(wǎng)絡(luò)發(fā)送到目的地。利用VPN技術(shù)能夠在不信任的公共網(wǎng)絡(luò)上構(gòu)建一條專用的安全通道，經(jīng)過VPN傳輸?shù)臄?shù)據(jù)在公共網(wǎng)上具有保密性。VPN和防火墻有3方面的關(guān)系：VPN和防火墻都是屬于網(wǎng)絡(luò)安全設(shè)備；VPN設(shè)備可集成在防火墻設(shè)備內(nèi)；VPN和防火墻的功能不同。故本題選A。

點(diǎn)播：VPN的安全服務(wù)有三種：保密性服務(wù)、完整性服務(wù)、認(rèn)證服務(wù)。VPN多種實(shí)現(xiàn)技術(shù)可分為三種：鏈路層VPN、網(wǎng)絡(luò)層VPN、傳輸層VPN。

26.單選題

以下關(guān)于IPSec協(xié)議的敘述中，正確的是（

）。

問題1選項(xiàng)

A.IPSec協(xié)議是IP協(xié)議安全問題的一種解決方案

B.IPSec協(xié)議不提供機(jī)密性保護(hù)機(jī)制

C.IPSec協(xié)議不提供認(rèn)證功能

D.IPSec協(xié)議不提供完整性驗(yàn)證機(jī)制

【答案】A

【解析】本題考查IPSec協(xié)議相關(guān)知識(shí)。

IPSec協(xié)議是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在Internet協(xié)議網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊，是解決IP協(xié)議安全問題的一種方案，它能提供完整性、保密性、反重播性、不可否認(rèn)性、認(rèn)證等功能。

IPSec工作組制定了IP安全系列規(guī)范：認(rèn)證頭（AH）、封裝安全有效負(fù)荷（ESP）以及密鑰交換協(xié)議。

IPAH是一種安全協(xié)議，又稱為認(rèn)證頭協(xié)議。其目的是保證IP包的完整性和提供數(shù)據(jù)源認(rèn)證，為IP數(shù)據(jù)報(bào)文提供無(wú)連接的完整性、數(shù)據(jù)源鑒別和抗重放攻擊服務(wù)。

IPESP也是一種安全協(xié)議，其用途在于保證IP包的保密性，而IPAH不能提供IP包的保密性服務(wù)。

故本題選A。

27.單選題

工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過程控制組件共同構(gòu)成，工業(yè)控制系統(tǒng)安全面臨的主要威脅不包括（

）。

問題1選項(xiàng)

A.系統(tǒng)漏洞

B.網(wǎng)絡(luò)攻擊

C.設(shè)備故障

D.病毒破壞

【答案】C

【解析】本題考查工業(yè)控制系統(tǒng)安全方面的基礎(chǔ)知識(shí)。

工業(yè)控制系統(tǒng)安全面臨的主要威脅包括系統(tǒng)漏洞、網(wǎng)絡(luò)攻擊、病毒破壞。

答案選C。

28.單選題

為確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全，依據(jù)（

），2020年4月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室等12個(gè)部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》，該辦法自2020年6月1日實(shí)施，將重點(diǎn)評(píng)估采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)。

問題1選項(xiàng)

A.《中華人民共和國(guó)國(guó)家安全法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

B.《中華人民共和國(guó)國(guó)家保密法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

C.《中華人民共和國(guó)國(guó)家安全法》和《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》

D.《中華人民共和國(guó)國(guó)家安全法》和《中華人民共和國(guó)國(guó)家保密法》

【答案】A

【解析】本題考查網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的知識(shí)。

在《中華人民共和國(guó)國(guó)家安全法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中，有相關(guān)條款對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)有相應(yīng)要求。

答案選A。

29.單選題

在我國(guó)，依據(jù)《中華人民共和國(guó)標(biāo)準(zhǔn)化法》可以將標(biāo)準(zhǔn)劃分為：國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)4個(gè)層次。《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）屬于（

）。

問題1選項(xiàng)

A.國(guó)家標(biāo)準(zhǔn)

B.行業(yè)標(biāo)準(zhǔn)

C.地方標(biāo)準(zhǔn)

D.企業(yè)標(biāo)準(zhǔn)

【答案】A

【解析】本題考查我國(guó)的標(biāo)準(zhǔn)體系相關(guān)知識(shí)。

GB屬于國(guó)家標(biāo)準(zhǔn)。

我國(guó)標(biāo)準(zhǔn)體制目前分為四級(jí)：國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)。國(guó)家標(biāo)準(zhǔn)的代號(hào)是GB，國(guó)家推薦性標(biāo)準(zhǔn)為GB/T，其他級(jí)別的推薦性標(biāo)準(zhǔn)類似。行業(yè)標(biāo)準(zhǔn)有70個(gè)左右，代號(hào)都是兩個(gè)（拼音）字母。地方標(biāo)準(zhǔn)的代號(hào)是DBXX，如DB44是廣東地方標(biāo)準(zhǔn)，DB35/T是福建推薦性標(biāo)準(zhǔn)等。企業(yè)標(biāo)準(zhǔn)代號(hào)的標(biāo)準(zhǔn)格式是Q/XX，XX也可以是三位，一般不超過四位，由企業(yè)自己定。故本題選A。

點(diǎn)播：

國(guó)家強(qiáng)制標(biāo)準(zhǔn)：GB

國(guó)家推薦標(biāo)準(zhǔn)：GB/T

國(guó)家指導(dǎo)標(biāo)準(zhǔn)：GB/Z

國(guó)家實(shí)物標(biāo)準(zhǔn)：GSB

30.單選題

下面對(duì)國(guó)家秘密定級(jí)和范圍的描述中，不符合《中華人民共和國(guó)保守國(guó)家秘密法》要求的是（

）。

問題1選項(xiàng)

A.對(duì)是否屬于國(guó)家和屬于何種密級(jí)不明確的事項(xiàng)，可由各單位自行參考國(guó)家要求確定和定級(jí)，然后報(bào)國(guó)家保密工作部門備案

B.各級(jí)國(guó)家機(jī)關(guān)、單位對(duì)所產(chǎn)生的秘密事項(xiàng)，應(yīng)當(dāng)按照國(guó)家秘密及其密級(jí)的具體范圍的規(guī)定確定密級(jí)，同時(shí)確定保密期限和知悉范圍

C.國(guó)家秘密及其密級(jí)的具體范圍，由國(guó)家行政管理部門分別會(huì)同外交、公安、國(guó)家安全和其他中央有關(guān)機(jī)關(guān)規(guī)定

D.對(duì)是否屬于國(guó)家和屬于何種密級(jí)不明確的事項(xiàng)，由國(guó)家保密行政管理部門，或省、自治區(qū)、直轄市的保密行政管理部門確定

【答案】A

【解析】本題考查《中華人民共和國(guó)保守國(guó)家秘密法》相關(guān)知識(shí)。

國(guó)家秘密及其密級(jí)的具體范圍，由國(guó)家保密工作部門分別會(huì)同外交、公安、國(guó)家安全和其他中央有關(guān)機(jī)關(guān)規(guī)定。各級(jí)國(guó)家機(jī)關(guān)、單位對(duì)所產(chǎn)生的國(guó)家秘密事項(xiàng)，應(yīng)當(dāng)按照國(guó)家秘密及其密級(jí)具體范圍的規(guī)定確定密級(jí)。對(duì)是否屬于國(guó)家秘密和屬于何種密級(jí)不明確的事項(xiàng)，產(chǎn)生該事項(xiàng)的機(jī)關(guān)、單位無(wú)相應(yīng)確定密級(jí)權(quán)的，應(yīng)當(dāng)及時(shí)擬定密級(jí)，并在擬定密級(jí)后的十日內(nèi)依照下列規(guī)定申請(qǐng)確定密級(jí)：（一）屬于主管業(yè)務(wù)方面的事項(xiàng)，逐級(jí)報(bào)至國(guó)家保密工作部門審定的有權(quán)確定該事項(xiàng)密級(jí)的上級(jí)機(jī)關(guān)；（二）其他方面的事項(xiàng)，逐級(jí)報(bào)至有權(quán)確定該事項(xiàng)密級(jí)的保密工作部門。故本題選A。

點(diǎn)播：《中華人民共和國(guó)保守國(guó)家秘密法》于1988年9月5日第七屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三次會(huì)議通過，2010年4月29日第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十四次會(huì)議修訂通過，現(xiàn)將修訂后的《中華人民共和國(guó)保守國(guó)家秘密法》公布，自2010年10月1日起施行。旨在保守國(guó)家秘密，維護(hù)國(guó)家安全和利益，保障改革開放和社會(huì)主義建設(shè)事業(yè)的順利進(jìn)行。

31.單選題

下列關(guān)于公鑰密碼體制說(shuō)法不正確的是（

）。

問題1選項(xiàng)

A.在一個(gè)公鑰密碼體制中，一般存在公鑰和私鑰兩個(gè)密鑰

B.公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰來(lái)確定解密密鑰在計(jì)算上是可行的

C.公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰來(lái)確定解密密鑰在計(jì)算上是不可行的

D.公鑰密碼體制中的私鑰可以用來(lái)進(jìn)行數(shù)字簽名

【答案】B

【解析】本題考查公鑰密碼體制相關(guān)知識(shí)

公鑰密碼體制中，一般存在公鑰和私鑰兩種密鑰；

公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰去確定解密密鑰在計(jì)算上是不可行的，因?yàn)橛?jì)算量過于龐大；

公鑰密碼體制中的公鑰可以以明文方式發(fā)送；

公鑰密碼體制中的私鑰可以用來(lái)進(jìn)行數(shù)字簽名。

故本題選B。

32.單選題

中間人攻擊就是在通信雙方毫無(wú)察覺的情況下，通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，進(jìn)而對(duì)數(shù)據(jù)進(jìn)行嗅探或篡改。以下屬于中間人攻擊的是（

）。

問題1選項(xiàng)

A.DNS欺騙

B.社會(huì)工程攻擊

C.網(wǎng)絡(luò)釣魚

D.旁注攻擊

【答案】A

【解析】本題考查中間人攻擊相關(guān)知識(shí)。

DNS欺騙：是一種攻擊者冒充域名服務(wù)器的欺騙行為。原理：如果可以冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁(yè)，而不是用戶想要取得的網(wǎng)站的主頁(yè)了，這就是DNS欺騙的基本原理。

社會(huì)工程攻擊：是一種利用“社會(huì)工程學(xué)”來(lái)實(shí)施的網(wǎng)絡(luò)攻擊行為。在計(jì)算機(jī)科學(xué)中，社會(huì)工程學(xué)指的是通過與他人的合法地交流，來(lái)使其心理受到影響，做出某些動(dòng)作或者是透露一些機(jī)密信息的方式。這通常被認(rèn)為是一種欺詐他人以收集信息、行騙和入侵計(jì)算機(jī)系統(tǒng)的行為。

網(wǎng)絡(luò)釣魚：是一種通過假冒可信方提供網(wǎng)上服務(wù)，以欺騙手段獲取敏感個(gè)人信息的攻擊方式。與社會(huì)工程攻擊類似。

旁注攻擊：旁注攻擊就是說(shuō)在攻擊目標(biāo)時(shí)，對(duì)目標(biāo)網(wǎng)站“無(wú)法下手”找不到目標(biāo)網(wǎng)站的漏洞，那么攻擊者就可以通過在與目標(biāo)站點(diǎn)同一服務(wù)器下的站點(diǎn)滲透，從而獲取目標(biāo)站點(diǎn)的權(quán)限，這過程就是旁注攻擊。

故本題選A。

點(diǎn)播：

DNS欺騙，是中間人攻擊的一種慣用手法。攻擊者通過入侵DNS服務(wù)器、控制路由器等方法把受害者要訪問的目標(biāo)機(jī)器域名對(duì)應(yīng)的IP解析為攻擊者所控制的機(jī)器，這樣受害者原本要發(fā)送給目標(biāo)機(jī)器的數(shù)據(jù)就發(fā)到了攻擊者的機(jī)器上，這時(shí)攻擊者就可以監(jiān)聽甚至修改數(shù)據(jù)，從而收集到大量的信息。如果攻擊者只是想監(jiān)聽雙方會(huì)話的數(shù)據(jù)，他會(huì)轉(zhuǎn)發(fā)所有的數(shù)據(jù)到真正的目標(biāo)機(jī)器上，讓目標(biāo)機(jī)器進(jìn)行處理，再把處理結(jié)果發(fā)回到原來(lái)的受害者機(jī)器；如果攻擊者要進(jìn)行徹底的破壞，他會(huì)偽裝目標(biāo)機(jī)器返回?cái)?shù)據(jù)，這樣受害者接收處理的就不再是原來(lái)期望的數(shù)據(jù)，而是攻擊者所期望的了。

如此說(shuō)來(lái)，這種攻擊理應(yīng)是最強(qiáng)大最危險(xiǎn)的，然而實(shí)際上它卻很少派上大用場(chǎng)，為什么，因?yàn)镈NS欺騙的攻擊模型太理想了。在實(shí)際生活中，大部分用戶的DNS解析請(qǐng)求均是通過自己的ISP服務(wù)器進(jìn)行的，換句話說(shuō)，就是系統(tǒng)在連接網(wǎng)絡(luò)時(shí)會(huì)獲取到ISP服務(wù)器提供的DNS服務(wù)器地址，所有解析請(qǐng)求都是直接發(fā)往這個(gè)DNS服務(wù)器的，攻擊者根本無(wú)處入手，除非他能入侵更改ISP服務(wù)器上DNS服務(wù)的解析指向。所以這種手法在廣域網(wǎng)上成功的幾率不大。

33.單選題

問題1選項(xiàng)

A.ECB

B.CTR

C.CFB

D.PCBC

【答案】D

【解析】本題考查分組密碼相關(guān)知識(shí)。

圖為明密文鏈接工作原理圖，即PCBC。官方教材（第一版）P109。

電碼本模式ECB直接利用分組密碼對(duì)明文的各分組進(jìn)行加密。

計(jì)數(shù)模式（CTR模式）加密是對(duì)一系列輸入數(shù)據(jù)塊（稱為計(jì)數(shù)）進(jìn)行加密，產(chǎn)生一系列的輸出塊，輸出塊與明文異或得到密文。

密文反饋模式（CFB模式）。在CFB模式中，前一個(gè)密文分組會(huì)被送回到密碼算法的輸入端。

故本題選D。

點(diǎn)播：明密文鏈接方式具有加密錯(cuò)誤傳播無(wú)界的特性，而磁盤文件加密通常希望解密錯(cuò)誤傳播有界，這時(shí)可采用密文鏈接方式。

34.單選題

信息安全產(chǎn)品通用評(píng)測(cè)標(biāo)準(zhǔn)ISO/IEC15408--1999《信息技術(shù)、安全技術(shù)、信息技術(shù)安全性評(píng)估準(zhǔn)則》（簡(jiǎn)稱CC

），該標(biāo)準(zhǔn)分為三個(gè)部分：第1部分“簡(jiǎn)介和一般模型”、第2部分“安全功能需求”和第3部分“安全保證要求”，其中（

）屬于第2部分的內(nèi)容。

問題1選項(xiàng)

A.評(píng)估保證級(jí)別

B.基本原理

C.保護(hù)輪廓

D.技術(shù)要求

【答案】D

【解析】本題考查國(guó)際安全標(biāo)準(zhǔn)ISO/IEC15408方面的基礎(chǔ)知識(shí)。

評(píng)估保證級(jí)別屬于第3部分的內(nèi)容，基本原理和保護(hù)輪廓屬于第1部分的內(nèi)容，技術(shù)要求屬于第2部分的內(nèi)容。

答案選D。

35.單選題

以下關(guān)于網(wǎng)絡(luò)流量監(jiān)控的敘述中，不正確的是（

）。

問題1選項(xiàng)

A.網(wǎng)絡(luò)流量監(jiān)控分析的基礎(chǔ)是協(xié)議行為解析技術(shù)

B.數(shù)據(jù)采集探針是專門用于獲取網(wǎng)絡(luò)鏈路流量數(shù)據(jù)的硬件設(shè)備

C.流量監(jiān)控能夠有效實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的過濾

D.流量監(jiān)測(cè)中所監(jiān)測(cè)的流量通常采集自主機(jī)節(jié)點(diǎn)、服務(wù)器、路由器接口、鏈路和路徑等

【答案】C

【解析】本題考查網(wǎng)絡(luò)流量監(jiān)控相關(guān)知識(shí)。

流量監(jiān)控指的是對(duì)數(shù)據(jù)流進(jìn)行的監(jiān)控。流量監(jiān)控的內(nèi)容：流量大小；吞吐量；帶寬情況；時(shí)間計(jì)數(shù)；延遲情況；流量故障。不能過濾敏感數(shù)據(jù)。故本題選C。

36.單選題

國(guó)家密碼管理局發(fā)布的《無(wú)線局域網(wǎng)產(chǎn)品須使用的系列密碼算法》，其中規(guī)定密鑰協(xié)商算法應(yīng)使用的是（

）。

問題1選項(xiàng)

A.PKI

B.DSA

C.CPK

D.ECDH

【答案】D

【解析】本題考查網(wǎng)絡(luò)安全法律法規(guī)相關(guān)的知識(shí)點(diǎn)。

國(guó)家密碼管理局于2006年1月6日發(fā)布公告，公布了《無(wú)線局域網(wǎng)產(chǎn)品須使用的系列密碼算法》，包括：對(duì)稱密碼算法：SMS4；簽名算法：ECDSA；密鑰協(xié)商算法：ECDH；雜湊算法：SHA-256；隨機(jī)數(shù)生成算法：自行選擇。其中，ECDSA和ECDH密碼算法須采用國(guó)家密碼管理局指定的橢圓曲線和參數(shù)。

答案選D。

37.單選題

根據(jù)自主可控的安全需求，近些年國(guó)密算法和標(biāo)準(zhǔn)體系受到越來(lái)越多的關(guān)注，基于國(guó)密算法的應(yīng)用也得到了快速發(fā)展。我國(guó)國(guó)密標(biāo)準(zhǔn)中的雜湊算法是（

）。

問題1選項(xiàng)

A.SM2

B.SM3

C.SM4

D.SM9

【答案】B

【解析】本題考查我國(guó)密碼算法方面的基礎(chǔ)知識(shí)。

國(guó)家密碼局認(rèn)定的國(guó)產(chǎn)密碼算法主要有SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法(ZUC)等。其中SM1、SM4、SM7、祖沖之密碼(ZUC)是對(duì)稱算法;SM2、SM9是非對(duì)稱算法;SM3是哈希算法。

答案選B。

38.單選題

以下關(guān)于認(rèn)證和加密的表述中，錯(cuò)誤的是（

）。

問題1選項(xiàng)

A.加密用以確保數(shù)據(jù)的保密性

B.認(rèn)證用以確保報(bào)文發(fā)送者和接收者的真實(shí)性

C.認(rèn)證和加密都可以阻止對(duì)手進(jìn)行被動(dòng)攻擊

D.身份認(rèn)證的目的在于識(shí)別用戶的合法性，阻止非法用戶訪問系統(tǒng)

【答案】C

【解析】本題考查身份認(rèn)證技術(shù)和加密技術(shù)的基本功能。

身份認(rèn)證是來(lái)識(shí)別用戶是否合法，常用的是基于用戶知道的(如口令)、基于用戶擁有的和生物特征等技術(shù)，上述信息在進(jìn)行身份認(rèn)證時(shí)，如傳輸時(shí)被嗅探(典型的被動(dòng)攻擊)則有可能造成身份信息泄露。因此身份認(rèn)證無(wú)法阻止被動(dòng)攻擊。

答案選C。

39.案例題

閱讀下列說(shuō)明，回答問題1至問題6，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

ISO安全體系結(jié)構(gòu)包含的安全服務(wù)有七大類，即：①認(rèn)證服務(wù)；②訪問控制服務(wù)；③數(shù)據(jù)保密性服務(wù)；④數(shù)據(jù)完整性服務(wù)；⑤抗否認(rèn)性服務(wù)；⑥審計(jì)服務(wù)；⑦可用性服務(wù)。

請(qǐng)問以下各種安全威脅或者安全攻擊可以采用對(duì)應(yīng)的哪些安全服務(wù)來(lái)解決或者緩解。請(qǐng)直接用上述編號(hào)①~⑦作答。

【問題1】(2分)

針對(duì)跨站偽造請(qǐng)求攻擊可以采用哪些安全服務(wù)來(lái)解決或者緩解?

【問題2】(2分)

針對(duì)口令明文傳輸漏洞攻擊可以采用哪些安全服務(wù)來(lái)解決或者緩解?

【問題3】(2分)

針對(duì)Smurf攻擊可以采用哪些安全服務(wù)來(lái)解決或者緩解?

【問題4】(2分)

針對(duì)簽名偽造攻擊可以采用哪些安全服務(wù)來(lái)解決或者緩解?

【問題5】(2分)

針對(duì)攻擊進(jìn)行追蹤溯源時(shí)，可以采用哪些安全服務(wù)?

【問題6】(2分)

如果下載的軟件被植入木馬，可以采用哪些安全服務(wù)來(lái)進(jìn)行解決或者緩解?

【答案】【問題1】

①

【問題2】

③

【問題3】

⑦

【問題4】

⑤

【問題5】

⑥

【問題6】

④

【解析】木題考查網(wǎng)絡(luò)安全目標(biāo)、安全攻擊和安全服務(wù)之間的關(guān)系。

ISO的七大類安全服務(wù)包括認(rèn)證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)、抗否認(rèn)性服務(wù)、審計(jì)服務(wù)和可用性服務(wù)。這七大類服務(wù)的具體含義如下：

認(rèn)證服務(wù)：在網(wǎng)絡(luò)交互過程中，對(duì)收發(fā)雙方的身份及數(shù)據(jù)來(lái)源進(jìn)行驗(yàn)證。

訪問控制服務(wù)：防止未授權(quán)用戶非法訪問資源，包括用戶身份認(rèn)證和用戶權(quán)限確認(rèn)。

數(shù)據(jù)保密性服務(wù)：防止數(shù)據(jù)在傳輸過程中被破解、泄露。

數(shù)據(jù)完整性服務(wù)：防止數(shù)據(jù)在傳輸過程中被篡改。

抗否認(rèn)性服務(wù)：也稱為抗抵賴服務(wù)或確認(rèn)服務(wù)。防止發(fā)送方與接收方雙方在執(zhí)行各自操作后，否認(rèn)各自所做的操作。

審計(jì)服務(wù)：對(duì)用戶或者其他實(shí)體的所作所為(何時(shí)如何訪問什么資源)進(jìn)行詳細(xì)記錄。

可用性服務(wù)：確保合法用戶可以得到應(yīng)有的服務(wù)。

【問題1】

跨站偽造請(qǐng)求是以其他用戶身份發(fā)生訪問請(qǐng)求，對(duì)應(yīng)的是身份認(rèn)證服務(wù)。

【問題2】

口令應(yīng)該加密以后進(jìn)行傳輸，因此對(duì)應(yīng)的是數(shù)據(jù)保密性服務(wù)。

【問題3】

Smurf攻擊是一-種拒絕服務(wù)攻擊，對(duì)應(yīng)的是可用性服務(wù)。

【問題4】

簽名偽造針對(duì)的是數(shù)字簽名，通過抗否認(rèn)性服務(wù)，確保簽名的真實(shí)性。

【問題5】

追蹤溯源通常是通過網(wǎng)絡(luò)流量分析或者主機(jī)系統(tǒng)的日志進(jìn)行分析，這些都可以通過審計(jì)服務(wù)來(lái)實(shí)現(xiàn)。

【問題6】

下載的軟件一旦被植入惡意代碼通常會(huì)改變文件的哈希值，這可以通過數(shù)據(jù)完整性服務(wù)來(lái)實(shí)現(xiàn)。

40.單選題

移位密碼的加密對(duì)象為英文字母，移位密碼采用對(duì)明文消息的每一個(gè)英文字母向前推移固定key位的方式實(shí)現(xiàn)加密。設(shè)key=3，則對(duì)應(yīng)明文MATH的密文為（

）。

問題1選項(xiàng)

A.OCVJ

B.QEXL

C.PDWK

D.RFYM

【答案】C

【解析】本題考查位移密碼體制的應(yīng)用。

將明文MATH依次往后移3步，即可得到PDWK。

點(diǎn)播：著名的加法密碼是古羅馬的凱撒大帝使用過的密碼。Caesar密碼取key=3，因此其密文字母表就是把明文字母表循環(huán)右移3位后得到的字母表。

41.單選題

按照行為和功能特性，特洛伊木馬可以分為遠(yuǎn)程控制型木馬、信息竊取型木馬和破壞型木馬等。以下不屬于遠(yuǎn)程控制型木馬的是（

）。

問題1選項(xiàng)

A.冰河

B.彩虹橋

C.PCShare

D.Trojan-Ransom

【答案】D

【解析】本題考查惡意代碼中特洛伊木馬方面的基礎(chǔ)知識(shí)。

典型的遠(yuǎn)程控制型木馬有冰河、網(wǎng)絡(luò)神偷、廣外女生、網(wǎng)絡(luò)公牛、黑洞、上興、彩虹橋、Posionivy、PCShare、灰鴿子等。Trojan-Ransom屬于破壞型木馬。

42.單選題

PKI是一種標(biāo)準(zhǔn)的公鑰密碼密鑰管理平臺(tái)。在PKI中，認(rèn)證中心CA是整個(gè)PKI體系中各方都承認(rèn)的一個(gè)值得信賴的、公正的第三方機(jī)構(gòu)。CA的功能不包括（

）。

問題1選項(xiàng)

A.證書的頒發(fā)

B.證書的審批

C.證書的加密

D.證書的備份

【答案】C

【解析】本題考查PKI和實(shí)體CA方面知識(shí)。

CA（CertificationAuthority）：證書授權(quán)機(jī)構(gòu)，主要進(jìn)行證書的頒發(fā)、廢止和更新；認(rèn)證機(jī)構(gòu)負(fù)責(zé)簽發(fā)、管理和撤銷一組終端用戶的證書。簡(jiǎn)而言之CA的功能包括證書的頒發(fā)、證書的審批、證書的備份等。故本題選C。

點(diǎn)播：公鑰基礎(chǔ)設(shè)施（PKI）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必須的密鑰和證書管理體系。PKI可以解決公鑰可信性問題?；赑KI的主要安全服務(wù)有身份認(rèn)證、完整性保護(hù)、數(shù)字簽名、會(huì)話加密管理、密鑰恢復(fù)。一般來(lái)說(shuō)，PKI涉及多個(gè)實(shí)體之間的協(xié)商和操作，主要實(shí)體包括CA、RA、終端實(shí)體（EndEntity）、客戶端、目錄服務(wù)器。

43.單選題

Bell-LaPadual模型（簡(jiǎn)稱BLP模型）是最早的一種安全模型，也是最著名的多級(jí)安全策略模型，BLP模型的簡(jiǎn)單安全特性是指（

）。

問題1選項(xiàng)

A.不可上讀

B.不可上寫

C.不可下讀

D.不可下寫

【答案】A

【解析】本題考查BLP模型相關(guān)知識(shí)。

Bell-LaPadula模型（簡(jiǎn)稱BLP模型）是D.ElliottBell和LeonardJ.LaPadula于1973年提出的對(duì)應(yīng)于軍事類型安全密級(jí)分類的計(jì)算機(jī)操作系統(tǒng)模型。BLP模型是最早的一種計(jì)算機(jī)多級(jí)安全模型，也是受到公認(rèn)最著名的狀態(tài)機(jī)模型。

BLP保密模型基于兩種規(guī)則來(lái)保障數(shù)據(jù)的保密性與敏感度：

①簡(jiǎn)單安全特性：不可上讀（主體不可讀安全級(jí)別高于它的數(shù)據(jù)）。

②*特性：不可下寫（主體不可寫安全級(jí)別低于它的數(shù)據(jù)）。

故本題選A。

44.單選題

SM3密碼雜湊算法的消息分組長(zhǎng)度為（

）比特。

問題1選項(xiàng)

A.64

B.128

C.512

D.1024

【答案】C

【解析】本題考查SM3算法相關(guān)知識(shí)。45.單選題

認(rèn)證是證實(shí)某事是否名副其實(shí)或者是否有效的一個(gè)過程。以下關(guān)于認(rèn)證的敘述中，不正確的是（

）。

問題1選項(xiàng)

A.認(rèn)證能夠有效阻止主動(dòng)攻擊

B.認(rèn)證常用的參數(shù)有口令、標(biāo)識(shí)符、生物特征等

C.認(rèn)證不允許第三方參與驗(yàn)證過程

D.身份認(rèn)證的目的是識(shí)別用戶的合法性，阻止非法用戶訪問系統(tǒng)

【答案】C

【解析】本題考查系統(tǒng)的身份認(rèn)證的相關(guān)知識(shí)。

認(rèn)證是有基于第三方認(rèn)證方式的。身份認(rèn)證有很多種協(xié)議，其中就包括了利用可信第三方身份認(rèn)證的協(xié)議，例如Kerveros。故本題選C。

點(diǎn)播：認(rèn)證是一個(gè)實(shí)體向另一個(gè)實(shí)體證明其所有聲稱的身份的過程。認(rèn)證類型可分為單向認(rèn)證、雙向認(rèn)證和第三方認(rèn)證。認(rèn)證能夠有效阻止主動(dòng)攻擊但不能阻止所有攻擊。

Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

46.案例題

閱讀下列說(shuō)明和C語(yǔ)言代碼，回答問題1至問題4，將解答寫在答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

在客戶服務(wù)器通信模型中，客戶端需要每隔一定時(shí)間向服務(wù)器發(fā)送數(shù)據(jù)包，以確定服務(wù)器是否掉線，服務(wù)器也能以此判斷客戶端是否存活，這種每隔固定時(shí)間發(fā)一次的數(shù)據(jù)包也稱為心跳包。心跳包的內(nèi)容沒有什么特別的規(guī)定，一般都是很小的包。

某系統(tǒng)采用的請(qǐng)求和應(yīng)答兩種類型的心跳包格式如圖4-1所示。

圖4-1協(xié)議包格式

心跳包類型占1個(gè)字節(jié)，主要是請(qǐng)求和響應(yīng)兩種類型；

心跳包數(shù)據(jù)長(zhǎng)度字段占2個(gè)字節(jié)，表示后續(xù)數(shù)據(jù)或者負(fù)載的長(zhǎng)度。

接收端收到該心跳包后的處理函數(shù)是process_heartbeat(),其中參數(shù)p指向心跳包的報(bào)文數(shù)據(jù)，s是對(duì)應(yīng)客戶端的socket網(wǎng)絡(luò)通信套接字。

voidprocess_heartbeat(unsignedchar*p,SOCKETs)

{

unsignedshorthbtype;

unsignedintpayload;

hbtype=*p++;

//心跳包類型

n2s(p,payload);

//心跳包數(shù)據(jù)長(zhǎng)度

pl=p;

//pl指向心跳包數(shù)據(jù)

if（hbtype=HB_REQUEST）{

unsignedchar*buffer,*bp;

buffer=malloc(1+2+payload);

*bp++=HB_RESPONSE;

//填充1byte的心跳包類型

s2n(payload,bp);

//填充2bytes的數(shù)據(jù)長(zhǎng)度

memcpy(bp,pl,payload);

/*將構(gòu)造好的心跳響應(yīng)包通過sockets返回客戶端*/

r=write_bytes(s,buffer,3+payload);

}

}

【問題1】（4分）

（1）心跳包數(shù)據(jù)長(zhǎng)度字段的最大取值是多少？

（2）心跳包中的數(shù)據(jù)長(zhǎng)度字段給出的長(zhǎng)度值是否必須和后續(xù)的數(shù)據(jù)字段的實(shí)際長(zhǎng)度一致？

【問題2】（5分）

（1）上述接收代碼存在什么樣的安全漏洞？

（2）該漏洞的危害是什么？

【問題3】（2分）

模糊測(cè)試（Fuzzing）是一種非常重要的信息系統(tǒng)安全測(cè)評(píng)方法，它是一種基于缺陷注入的自動(dòng)化測(cè)試技術(shù)。請(qǐng)問模糊測(cè)試屬于黑盒測(cè)試還是白盒測(cè)試？其測(cè)試結(jié)果是否存在誤報(bào)？

【問題4】（4分）

模糊測(cè)試技術(shù)能否測(cè)試出上述代碼存在的安全漏洞？為什么？

【答案】【問題1】

（1）心跳包數(shù)據(jù)長(zhǎng)度的最大取值為65535。

（2）必須是一致的。

【問題2】

存在溢出安全漏洞。

接收端處理代碼在組裝響應(yīng)包時(shí)，心跳包數(shù)據(jù)長(zhǎng)度字段（payload）采用的是客戶端。

發(fā)送的請(qǐng)求包中使用的長(zhǎng)度字段，由于心跳包數(shù)據(jù)長(zhǎng)度字段完全由客戶端控制，當(dāng)payload大于實(shí)際心跳包數(shù)據(jù)的長(zhǎng)度時(shí)，將導(dǎo)致越界訪問接收端內(nèi)存，從而泄露內(nèi)存信息。（2分）

造成的危害：在正常的情況下，response報(bào)文中的data就是request報(bào)文中的data數(shù)據(jù)，但是在異常情況下，payload的長(zhǎng)度遠(yuǎn)大于實(shí)際數(shù)據(jù)的長(zhǎng)度，這樣就會(huì)發(fā)生內(nèi)存的越界訪問，但這種越界訪問并不會(huì)直接導(dǎo)致程序異常，（因?yàn)檫@里直接memcpy后，服務(wù)器端并沒有使用copy后的數(shù)據(jù)，而只是簡(jiǎn)單的進(jìn)行了回復(fù)報(bào)文的填充，如果服務(wù)端使用了copy的數(shù)據(jù)也許就可能發(fā)現(xiàn)問題）這里使用了memcpy函數(shù)，該函數(shù)會(huì)直接根據(jù)長(zhǎng)度把內(nèi)存中數(shù)據(jù)復(fù)制給另一個(gè)變量。這樣就給惡意的程序留下了后門，當(dāng)惡意程序給data的長(zhǎng)度變量賦值為65535時(shí)，就可以把內(nèi)存中64KB的內(nèi)存數(shù)據(jù)通過Response報(bào)文發(fā)送給客戶端，這樣客戶端程序就可以獲取到一些敏感數(shù)據(jù)泄露。

【問題3】

屬于黑盒測(cè)試；不存在誤報(bào)。

【問題4】

不能。

因?yàn)椴粫?huì)產(chǎn)生異常，模糊測(cè)試器就無(wú)法監(jiān)視到異常，從而無(wú)法檢測(cè)到該漏洞。

【解析】【問題1】

已知表示心跳包的數(shù)據(jù)長(zhǎng)度值為2字節(jié)，則其最大長(zhǎng)度為216-1