2023年職業(yè)考證-軟考-信息安全工程師考試歷年真題摘選含答案解析

2023年職業(yè)考證-軟考-信息安全工程師考試歷年真題摘選含答案解析第1卷一.綜合題(共15題)1.單選題2019年10月26日，十三屆全國人大常委會第十四次會議表決通過了《中華人民共和國密碼法》，該法律自（

）起施行。問題1選項A.2020年10月1日B.2020年12月1日C.2020年1月1日D.2020年7月1日2.單選題SM4算法是國家密碼管理局于2012年3月21日發(fā)布的一種分組密碼算法，在我國商用密碼體系中，SM4主要用于數(shù)據(jù)加密。SM4算法的分組長度和密鑰長度分別為（

）。問題1選項A.128位和64位B.128位和128位C.256位和128位D.256位和256位3.單選題BS7799標準是英國標準協(xié)會制定的信息安全管理體系標準，它包括兩個部分：《信息安全管理實施指南》和《信息安全管理體系規(guī)范和應用指南》。依據(jù)該標準可以組織建立、實施與保持信息安全管理體系，但不能實現(xiàn)（

）。問題1選項A.強化員工的信息安全意識，規(guī)范組織信息安全行為B.對組織內關鍵信息資產(chǎn)的安全態(tài)勢進行動態(tài)監(jiān)測C.促使管理層堅持貫徹信息安全保障體系D.通過體系認證就表明體系符合標準，證明組織有能力保障重要信息4.單選題（

）能有效防止重放攻擊。問題1選項A.簽名機制B.時間戳機制C.加密機制D.壓縮機制5.案例題閱讀下列說明和圖，回答問題1至問題4，將解答填入答題紙的對應欄內?！菊f明】信息系統(tǒng)安全開發(fā)生命周期（SecurityDevelopmentLifeCycle（SDLC））是微軟提出的從安全角度指導軟件開發(fā)過程的管理模式，它將安全納入信息系統(tǒng)開發(fā)生命周期的所有階段，各階段的安全措施與步驟如下圖5.1所示。【問題1】（4分）在培訓階段，需要對員工進行安全意識培訓，要求員工向弱口令說不！針對弱口令最有效的攻擊方式是什么？以下口令中，密碼強度最高的是（

）。A.security2019B.2019SecurityC.Security@2019D.Security2019【問題2】（6分）在大數(shù)據(jù)時代，個人數(shù)據(jù)正被動地被企業(yè)搜集并利用。在需求分析階段，需要考慮采用隱私保護技術防止隱私泄露。從數(shù)據(jù)挖掘的角度，隱私保護技術主要有：基于數(shù)據(jù)失真的隱私保護技術、基于數(shù)據(jù)加密的隱私保護技術、基于數(shù)據(jù)匿名隱私保護技術。請問以下隱私保護技術分別屬于上述三種隱私保護技術的哪一種？（1）隨機化過程修改敏感數(shù)據(jù)（2）基于泛化的隱私保護技術（3）安全多方計算隱私保護技術【問題3】（4分）有下述口令驗證代碼：#definePASSWORD"1234567"intverify_password(char*password){

intauthenticated;

charbuffer[8];

authenticated="strcmp(password,PASSWORD);

strcpy(buffer,password);

returnauthenticated;

}

?ntmа?n(?ntаrgс,сhаr*аrgv[])

{

intvalid_flag=0;

charpassword[1024];

while(1)

{

printf("pleaseinputpassword:");

scanf("%s",password);

valid_flag=verify_password(password);//驗證口令

if(valid_flag)//口令無效

{

printf("incorrectpassword!\n\n");

}

else//口令有效

{

printf("Congratulation!Youhavepassedtheverification!\n");

break;

}

}其中main函數(shù)在調用verify_password函數(shù)進行口令驗證時，堆棧的布局如圖5.2所示。請問調用verify_password函數(shù)的參數(shù)滿足什么條件，就可以在不知道真實口令的情況下繞過口令驗證功能？【問題4】（3分）SDLC安全開發(fā)模型的實現(xiàn)階段給出了3種可以采取的安全措施，請結合問題3的代碼舉例說明？6.單選題已知DES算法S盒如下：如果該S盒輸入110011，則其二進制輸出為（

）。問題1選項A.1110B.1001C.0100D.01017.單選題認證是證實某事是否名副其實或者是否有效的一個過程。以下關于認證的敘述中，不正確的是（

）。問題1選項A.認證能夠有效阻止主動攻擊B.認證常用的參數(shù)有口令、標識符、生物特征等C.認證不允許第三方參與驗證過程D.身份認證的目的是識別用戶的合法性，阻止非法用戶訪問系統(tǒng)8.單選題安全套接字層超文本傳輸協(xié)議HTTPS在HTTP的基礎上加入了SSL協(xié)議，網(wǎng)站的安全協(xié)議是HTTPS時，該網(wǎng)站瀏覽時會進行（

）處理。問題1選項A.增加訪問標記B.身份隱藏C.口令驗證D.加密9.單選題無線傳感器網(wǎng)絡WSN是由部署在監(jiān)測區(qū)域內大量的廉價微型傳感器節(jié)點組成，通過無線通信方式形成的一個多跳的自組織網(wǎng)絡系統(tǒng)。以下針對WSN安全問題的描述中，錯誤的是（

）。問題1選項A.通過頻率切換可以有效抵御WSN物理層的電子干擾攻擊B.WSN鏈路層容易受到拒絕服務攻擊C.分組密碼算法不適合在WSN中使用D.蟲洞攻擊是針對WSN路由層的一種網(wǎng)絡攻擊形式10.單選題無線傳感器網(wǎng)絡（WSN）是由部署在監(jiān)測區(qū)域內大量的廉價微型傳感器節(jié)點組成，通過無線通信方式形成的一個多跳的自組織網(wǎng)絡系統(tǒng)。以下WSN標準中，不屬于工業(yè)標準的是（

）。問題1選項A.ISA100.11aB.WIA-PAC.ZigbeeD.WirelessHART11.單選題下面對國家秘密定級和范圍的描述中，不符合《中華人民共和國保守國家秘密法》要求的是（

）。問題1選項A.對是否屬于國家和屬于何種密級不明確的事項，可由各單位自行參考國家要求確定和定級，然后報國家保密工作部門備案B.各級國家機關、單位對所產(chǎn)生的秘密事項，應當按照國家秘密及其密級的具體范圍的規(guī)定確定密級，同時確定保密期限和知悉范圍C.國家秘密及其密級的具體范圍，由國家行政管理部門分別會同外交、公安、國家安全和其他中央有關機關規(guī)定D.對是否屬于國家和屬于何種密級不明確的事項，由國家保密行政管理部門，或省、自治區(qū)、直轄市的保密行政管理部門確定12.單選題VPN即虛擬專用網(wǎng)，是一種依靠ISP和其他NSP在公用網(wǎng)絡中建立專用的、安全的數(shù)據(jù)通信通道的技術。以下關于虛擬專用網(wǎng)VPN的描述中，錯誤的是（

）。問題1選項A.VPN采用隧道技術實現(xiàn)安全通信B.第2層隧道協(xié)議L2TP主要由LAC和LNS構成C.IPSec可以實現(xiàn)數(shù)據(jù)的加密傳輸D.點對點隧道協(xié)議PPTP中的身份驗證機制包括RAP、CHAP、MPPE13.單選題根據(jù)加密和解密過程所采用密鑰的特點可以將加密算法分為對稱加密算法和非對稱加密算法兩類，以下屬于對稱加密算法的是（

）。問題1選項A.RSAB.MD5C.IDEAD.SHA-12814.單選題以下關于網(wǎng)絡釣魚的說法中，不正確的是（

）。問題1選項A.網(wǎng)絡釣魚屬于社會工程攻擊B.網(wǎng)絡釣魚與Web服務沒有關系C.典型的網(wǎng)絡釣魚攻擊是將被攻擊者引誘到一個釣魚網(wǎng)站D.網(wǎng)絡釣魚融合了偽裝、欺騙等多種攻擊方式15.單選題安全電子交易協(xié)議SET中采用的公鑰密碼算法是RSA，采用的私鑰密碼算法是DES，其所使用的DES有效密鑰長度是（

）。問題1選項A.48位B.56位C.64位D.128位第1卷參考答案一.綜合題1.【答案】C【解析】本題考查網(wǎng)絡安全法律法規(guī)的相關知識。《中華,人民共和國密碼法》由中華人民共和國第十三屆全國人民代表大會常務委員會第十四次會議于2019年10月26日通過，自2020年1月1日起施行。答案選C。2.【答案】B【解析】本題考查我國國密算法方面的基礎知識。SM4算法的分組長度為128位，密鑰長度為128位。加密算法與密鑰擴展算法都采用32輪非線性迭代結構。解密算法與加密算法的結構相同，只是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序。3.【答案】B【解析】本題考查重要的信息安全管理體系和標準方面的基礎知識。

BS7799標準是英國標準協(xié)會（BSI）制定的信息安全管理體系標準。它涵蓋了幾乎所有的安全議題，非常適合作為工商業(yè)及大、中、小組織的信息系統(tǒng)在大多數(shù)情況下所需的控制范圍確定的參考基準。但沒有對組織內關鍵信息資產(chǎn)的安全態(tài)勢進行動態(tài)監(jiān)測。故本題選B。點播：BS7799作為信息安全管理領域的一個權威標準，是全球業(yè)界一致公認的輔助信息安全治理手段，該標準的最大意義在于可以為管理層提供一套可量體裁衣的信息安全管理要項、一套與技術負責人或組織高層進行溝通的共同語言，以及保護信息資產(chǎn)的制度框架。4.【答案】B【解析】本題考查重放攻擊相關知識。簽名機制：作為保障信息安全的手段之一，主要用于解決偽造、抵賴、冒充和篡改問題。加密機制：保密通信、計算機密鑰、防復制軟盤等都屬于加密技術，加密主要是防止重要信息被一些懷有不良用心的人竊聽或者破壞。壓縮機制：壓縮機制一般理解為壓縮技術。變形器檢測病毒體反匯編后的全部指令，可對進行壓縮的一段指令進行同義壓縮。一般用于使病毒體代碼長度發(fā)生改變。提高惡意代碼的偽裝能力和防破譯能力。時間戳：主要目的在于通過一定的技術手段，對數(shù)據(jù)產(chǎn)生的時間進行認證，從而驗證這段數(shù)據(jù)在產(chǎn)生后是否經(jīng)過篡改。故時間戳機制可以有效防止重放攻擊。故本題選B。

點播：重放攻擊是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊可以由發(fā)起者或攔截并重發(fā)該數(shù)據(jù)的地方進行。攻擊者利用網(wǎng)絡監(jiān)聽或其他方式盜取認證憑據(jù)，之后再將它重新發(fā)送給認證服務器。5.【答案】【問題1】

（1）窮舉攻擊

（2）C【問題2】

（1）基于數(shù)據(jù)失真的隱私保護技術；（2）基于數(shù)據(jù)匿名化的隱私保護技術；（3）基于數(shù)據(jù)加密的隱私保護技術?！締栴}3】

參數(shù)password的值滿足：12個字符的字符串，前面8個字符為任意字符，后面4個字符為空字符；或者輸入完整的8個任意字符?！締栴}4】

使用批準的工具來編寫安全正確的程序；禁用不安全的函數(shù)來防范因數(shù)組沒有邊界檢查而導致的緩沖區(qū)溢出；通過靜態(tài)分析進行程序指針完整性檢查?！窘馕觥俊締栴}1】

（1）弱口令可以通過窮舉攻擊方式來破解。（2）密碼必須符合復雜性要求：啟用此策略，用戶賬戶使用的密碼必須符合復雜性的要求。密碼復雜性必須符合下列最低要求：不能包含用戶的賬戶名；不能包含用戶姓名中超過兩個連續(xù)字符的部分；至少有六個字符長；密碼總必須包含以下4類字符中的三類字符：1、英文大寫字母（A-Z）2、英文小寫字母（a-z）3、10個基本數(shù)字（0-9）4、特殊符號（！@#￥%等）【問題2】（1）基于數(shù)據(jù)失真的隱私保護技術：它是使敏感數(shù)據(jù)失真但同時保持某些關鍵數(shù)據(jù)或者屬性不變的隱私保護技術，例如，采用交換（Swapping）、添加噪聲等技術對原始數(shù)據(jù)集進行處理，并且保證經(jīng)過擾動處理后的數(shù)據(jù)仍然保持統(tǒng)計方面的性質，以便進行數(shù)據(jù)挖掘等操作。（2）基于數(shù)據(jù)加密的隱私保護技術：它是采用各種加密技術在分布式環(huán)境下隱藏敏感數(shù)據(jù)的方法，如安全多方計算（SMC）、分布式匿名化、分布式關聯(lián)規(guī)則挖掘和分布式聚類等。（3）基于數(shù)據(jù)匿名化的隱私保護技術：它是根據(jù)具體情況有條件地發(fā)布數(shù)據(jù)，例如，不發(fā)布原始數(shù)據(jù)的某些值、數(shù)據(jù)泛化等?！締栴}3】

該代碼按正常流程走下來，函數(shù)verify-password（）會返回變量authenticated的值，而只有當其值為0時，會繞過口令。再來分析strcpy()函數(shù)這個函數(shù)，該用來復制字符串，其原型為：char*strcpy(char*dest,constchar*src)；【參數(shù)】dest為目標字符串指針，src為源字符串指針。注意：src和dest所指的內存區(qū)域不能重疊，且dest必須有足夠的空間放置src所包含的字符串（包含結束符NULL）?！痉祷刂怠砍晒?zhí)行后返回目標數(shù)組指針dest。strcpy()把src所指的由NULL結束的字符串復制到dest所指的數(shù)組中，返回指向dest字符串的起始地址。注意：如果參數(shù)dest所指的內存空間不夠大，可能會造成緩沖溢出。主函數(shù)中，當valid—flag為0時，會繞過口令，而valid—flag是函數(shù)verify-password（）的返回值，在函數(shù)verify-password（）中，其返回值是變量authenticated的值，在返回該值時，使用了strcpy函數(shù)將password的值復制到數(shù)組buffer中，buffer數(shù)組的長度為8個字符，一旦用戶輸入數(shù)據(jù)長度大于8個字符就會溢出，溢出部分就會覆蓋其他變量的值，從上圖堆棧中的數(shù)據(jù)存儲方式可以看出，buffer數(shù)組一旦溢出，溢出部分就會覆蓋authenticated的值；根據(jù)題目意思，只要令溢出部分的值為0即可令authenticated=0，最終使得valid—flag為0，從而滿足條件。所以可以先任意輸入8個字符堆滿buffer數(shù)組，再輸入時就是溢出部分，可以輸入空字符，因authenticated為整形數(shù)據(jù)，所以將字符賦給整形變量時，會按其ASCII碼值進行處理，空字符的ASICC值為0，從而可以把authenticated值變成0滿足條件；或者輸入完整的任意8個字符，再加上復制結束自動加入的字符串結束標志“\0”，也可導致authenticated值變成0滿足條件?！締栴}4】

使用批準的工具來編寫安全正確的程序，只要在所有拷貝數(shù)據(jù)的地方進行數(shù)據(jù)長度和有效性的檢查，確保目標緩沖區(qū)中數(shù)據(jù)不越界并有效，則就可以避免緩沖區(qū)溢出，更不可能使程序跳轉到惡意代碼上。禁用不安全的函數(shù)來防范因數(shù)組沒有邊界檢查而導致的緩沖區(qū)溢出，C語言中存在緩沖區(qū)溢出攻擊隱患的系統(tǒng)函數(shù)有很多。例如gets（），sprintf（），strcpy（），strcat（），fscanf（），scanf（），vsprintf（）等?？梢越眠@些不安全函數(shù)。通過靜態(tài)分析進行程序指針完整性檢查，在每次在程序指針被引用之前先檢測該指針是否已被惡意改動過，如果發(fā)現(xiàn)被改動，程序就拒絕執(zhí)行。6.【答案】A【解析】本題考查DES算法中S盒的運用。根據(jù)輸入數(shù)據(jù)110011，第一位和最后一位組成行，及11→3；中間數(shù)據(jù)為列，即1001→9。則查找表第3行和第9列交叉的數(shù)字為14，其二進制為1110。故本題選A。點播：DES算法是最為廣泛使用的一種分組密碼算法。DES是一個包含16個階段的“替換-置換”的分組加密算法，它以64位為分組對數(shù)據(jù)加密。64位的分組明文序列作為加密算法的輸入，經(jīng)過16輪加密得到64位的密文序列。每一個S盒對應6位的輸入序列，得到相應的4位輸出序列，輸入序列以一種非常特殊的方式對應S盒中的某一項，通過S盒的6個位輸入確定了其對應的輸出序列所在的行和列的值。7.【答案】C【解析】本題考查系統(tǒng)的身份認證的相關知識。認證是有基于第三方認證方式的。身份認證有很多種協(xié)議，其中就包括了利用可信第三方身份認證的協(xié)議，例如Kerveros。故本題選C。點播：認證是一個實體向另一個實體證明其所有聲稱的身份的過程。認證類型可分為單向認證、雙向認證和第三方認證。認證能夠有效阻止主動攻擊但不能阻止所有攻擊。Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE8.【答案】D【解析】本題考查HTTPS安全協(xié)議的基礎知識。HTTPS在HTTP的基礎上加入了SSL協(xié)議，SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信數(shù)據(jù)提供加密功能。答案選D。9.【答案】C【解析】本題考查無線傳感器網(wǎng)絡WSN的相關知識。WSN是一種節(jié)點資源受限的無線網(wǎng)絡，其鏈路層安全策略的輕量化研究適合于各種應用環(huán)境的WSN系統(tǒng)，且效果顯著。結合序列密碼和分組密碼各自的優(yōu)勢，提出了一種新型輕量的WSN鏈路層加密算法——TinySBSec，該協(xié)議采用的是對稱分組密碼。加密算法可以是RC5或是Skipjack算法。其加密算法的工作模式為CBC模式，是一種擁有反饋機制的工作模式。故本題選C。點播：無線傳感器網(wǎng)絡WSN是由部署在監(jiān)測區(qū)域內大量的廉價微型傳感器節(jié)點組成，通過無線通信方式形成的一個多跳的自組織網(wǎng)絡系統(tǒng)。WSN通過頻率切換可以有效抵御WSN物理層的電子干擾攻擊，鏈路層容易受到拒絕服務攻擊，蟲洞是針對WSN路由層的一種網(wǎng)絡攻擊形式。10.【答案】C【解析】本題考查無線傳感器網(wǎng)絡方面的基本知識。工業(yè)無線標準ISA100.11a、面向工業(yè)過程自動化的工業(yè)無線網(wǎng)絡標準技術WIA-PA和WirelessHART無線通信標準均屬于工業(yè)標準，紫峰協(xié)議Zigbee不屬于工業(yè)標準。11.【答案】A【解析】本題考查《中華人民共和國保守國家秘密法》相關知識。國家秘密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關機關規(guī)定。各級國家機關、單位對所產(chǎn)生的國家秘密事項，應當按照國家秘密及其密級具體范圍的規(guī)定確定密級。對是否屬于國家秘密和屬于何種密級不明確的事項，產(chǎn)生該事項的機關、單位無相應確定密級權的，應當及時擬定密級，并在擬定密級后的十日內依照下列規(guī)定申請確定密級：（一）屬于主管業(yè)務方面的事項，逐級報至國家保密工作部門審定的有權確定該事項密級的上級機關；（二）其他方面的事項，逐級報至有權確定該事項密級的保密工作部門。故本題選A