2022年软考-信息安全工程师考试题库及全真模拟冲刺卷33（附答案带详解）

《2022年软考-信息安全工程师考试题库及全真模拟冲刺卷33（附答案带详解）》由会员分享，可在线阅读，更多相关《2022年软考-信息安全工程师考试题库及全真模拟冲刺卷33（附答案带详解）（18页珍藏版）》请在装配图网上搜索。

1、2022年软考-信息安全工程师考试题库及全真模拟冲刺卷（附答案带详解）1. 单选题中间人攻击就是在通信双方毫无察觉的情况下，通过拦截正常的网络通信数据，进而对数据进行嗅探或篡改。以下属于中间人攻击的是（ ）。问题1选项A.DNS欺骗B.社会工程攻击C.网络钓鱼D.旁注攻击【答案】A【解析】本题考查中间人攻击相关知识。DNS欺骗：是一种攻击者冒充域名服务器的欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。社会工程攻击：是一种利用“社会工程学”来实施的网络攻击行

2、为。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。网络钓鱼：是一种通过假冒可信方提供网上服务，以欺骗手段获取敏感个人信息的攻击方式。与社会工程攻击类似。旁注攻击：旁注攻击就是说在攻击目标时，对目标网站“无法下手”找不到目标网站的漏洞，那么攻击者就可以通过在与目标站点同一服务器下的站点渗透，从而获取目标站点的权限，这过程就是旁注攻击。故本题选A。点播：DNS欺骗，是中间人攻击的一种惯用手法。攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域

3、名对应的IP解析为攻击者所控制的机器，这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上，这时攻击者就可以监听甚至修改数据，从而收集到大量的信息。如果攻击者只是想监听双方会话的数据，他会转发所有的数据到真正的目标机器上，让目标机器进行处理，再把处理结果发回到原来的受害者机器；如果攻击者要进行彻底的破坏，他会伪装目标机器返回数据，这样受害者接收处理的就不再是原来期望的数据，而是攻击者所期望的了。如此说来，这种攻击理应是最强大最危险的，然而实际上它却很少派上大用场，为什么，因为DNS欺骗的攻击模型太理想了。在实际生活中，大部分用户的DNS解析请求均是通过自己的ISP服务器进行的，换句话说，

4、就是系统在连接网络时会获取到ISP服务器提供的DNS服务器地址，所有解析请求都是直接发往这个DNS服务器的，攻击者根本无处入手，除非他能入侵更改ISP服务器上DNS服务的解析指向。所以这种手法在广域网上成功的几率不大。2. 单选题无线局域网鉴别和保密体系WAPI是一种安全协议，也是我国无线局域网安全强制性标准，以下关于WAPI的描述中，正确的是（ ）。问题1选项A.WAPI系统中，鉴权服务器AS负责证书的颁发、验证和撤销B.WAPI与WiFi认证方式类似，均采用单向加密的认证技术C.WAPI中，WPI采用RSA算法进行加解密操作D.WAPI从应用模式上分为单点式、分布式和集中式【答案】A【解析

5、】本题考查WAPI安全协议。与WIFI的单向加密认证不同，WAPI双向均认证，从而保证传输的安全性。WAPI安全系统采用公钥密码技术，鉴权服务器AS负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。WAPI包括两部分：WAI和WPI。WAI和WPI分别实现对用户身份的鉴别和对传输的业务数据加密，其中WAI采用公开密钥密码体制，WPI则采用对称密码算法进行加、解密操作。WAPI从应用模式上分为单点式和集中式两种，可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状，从根本上解决安全问题和兼容性问题。官方教材（第一版）P370。故

6、本题选A。点播：WAPI鉴别及密钥管理的方式有两种，即基于证书和基于预共享密钥PSK。3. 单选题强制访问控制（MAC）可通过使用敏感标签对所有用户和资源强制执行安全策略。MAC中用户访问信息的读写关系包括下读、上写、下写和上读四种，其中用户级别高于文件级别的读操作是 （ ）。问题1选项A.下读B.上写C.下写D.上读【答案】A【解析】本题考查强制访问控制相关知识。强制访问控制（MAC）是指系统根据主体和客体的安全属性，以强制的方式控制主体对客体的访问，是一种不允许主体干涉的访问控制类型。根据MAC的安全级别，用户与访问的信息的读写关系有四种：即：下读（read down）：用户级别高于文件级

7、别的读操作。上写（write up）：用户级别低于文件级别的写操作。下写（write down）：用户级别高于文件级别的写操作。上读（read up）：用户级别低于文件级别的读操作。其中用户级别高于文件级别的读写操作是下读。故本题选A。点播：访问控制的目标有两个：防止非法用户进入系统； 阻止合法用户对系统资源的非法使用，即禁止合法用户的越权访问。访问控制类型可分为：自主访问控制、强制访问控制、基于角色的访问控制和基于属性的访问控制。4. 单选题虚拟专用网VPN是一种新型的网络安全传输技术，为数据传输和网络服务提供安全通道。VPN架构采用的多种安全机制中，不包括（ ）。问题1选项A.隧道技术B.

8、信息隐藏技术C.密钥管理技术D.身份认证技术【答案】B【解析】本题考查VPN采用的多种安全机制。目前 VPN 主要采用如下四项技术保证安全： 隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。隧道技术：隧道技术是VPN 的基本技术，类似于点对点连接技术，它在公用建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP 中，再把整个数据包装入隧道协议中，这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP 等；第三层隧道协议是把各种网络协议直接装入隧道协议中

9、，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec 等。密钥管理技术：密钥管理技术的主要任务是如何在公用数据上安全地传递密钥而不被窃取。现行密钥管理技术又分为 SKIP 与 ISAKMP/OAKLEY 两种。身份认证技术：身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。在真实世界，对用户的身份认证基本方法可以分为：基于信息秘密的身份认证、基于信任物体的身份认证、基于生物特征的身份认证。加解密技术：加解密技术是数据通信中一项较成熟的技术，VPN 可直接利用现有技术实现加解密。故本题选B。点播：VPN类型包括链路层VPN、网络层VPN、传输层VPN。5.

10、 单选题密码学的基本安全目标主要包括：保密性、完整性、可用性和不可抵赖性。其中确保信息仅被合法用户访问，而不被泄露给非授权的用户、实体或过程，或供其利用的特性是指（ ）。问题1选项A.保密性B.完整性C.可用性D.不可抵赖性【答案】A【解析】6. 单选题电子邮件系统的邮件协议有发送协议SMTP和接收协议POP3/IMAP4。SMTP发送协议中，发送身份标识的指令是（ ）。问题1选项A.SENDB.HELPC.HELOD.SAML【答案】C【解析】本题考查电子邮件相关协议的知识。SEND向终端发送邮件；HELP发送帮助文档；SAML向终端和信箱发送邮件；HELO发送身份标识。官方教材（第一版）P

11、200。故本题选C。点播：电子邮件系统的邮件协议有发送协议SMTP和接收协议POP3/IMAP4，其中SMTP即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范，通过它来控制邮件的中转方式。SMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。7. 单选题SM2算法是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法，在我们国家商用密码体系中被用来替换（ ）算法。问题1选项A.DESB.MD5C.RSAD.IDEA【答案】C【解析】本题考查我国商用密码管理方面的知识。DES算法、IDEA算法都属于分组密码算法；MD5算法是一种Has

12、h算法，也叫杂凑算法；SM2算法和RSA算法都属于非对称加密算法。SM2算法是一种更先进更安全的算法，随着密码技术和计算机技术的发展，目前常用的1024位RSA算法面临严重的安全威胁，我们国家密码管理部门经过研究，决定采用SM2椭圆曲线算法替换RSA算法。故本题选C。点播：SM1：对称加密分组长度和密钥长度都为128比特；SM2：非对称加密，用于公钥加密算法、密钥交换协议、数字签名算法，国家标准推荐使用素数域256位椭圆曲线；SM3：杂凑算法，杂凑值长度为256比特；SM4：对称加密，分组长度和密钥长度都为128比特；SM9：标识密码算法。8. 单选题智能卡的片内操作系统COS一般由通信管理模

13、块、安全管理模块、应用管理模块和文件管理模块四个部分组成。其中数据单元或记录的存储属于（ ）。问题1选项A.通信管理模块B.安全管理模块C.应用管理模块D.文件管理模块【答案】D【解析】本题考查智能卡片内操作系统COS。通信管理模块：该模块是COS与外界的半双工通信通道，接收读写器命令，并对接收信息进行正确性判断，有误则请求重发或添加标记，无误则将命令发送至安全管理模块。安全管理模块：安全机制可按对象分为针对动态信息的安全性传输控制和针对卡内静态信息的内部安全控制管理两部分。安全管理模块是COS极重要组成部分，该模块提供高安全性保证。应用管理模块：该模块主要是对接受命令进行可执行性判断。因智能

14、卡的特性，它常常融于安全管理和文件管理之中。文件管理模块：COS通过给每种应用建立对应文件的办法，实现对各项应用的存储及管理。用户通常不能创建或删除文件，但可酌情修改文件内容，对文件的记录和数据单元进行增加或删除。官方教材（第一版）P504 。故本题选D。点播：智能卡是一种带有存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。智能卡的片内操作系统（COS）一般由四部分组成：通信管理模块和安全管理模块、应用管理模块和文件管理模块。9. 单选题下面对国家秘密定级和范围的描述中，不符合中华人民共和国保守国家秘密法要求的是（ ）。问题1选项A.对是否属于国家和属于何种密级不明确

15、的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案B.各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围C.国家秘密及其密级的具体范围，由国家行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定D.对是否属于国家和属于何种密级不明确的事项，由国家保密行政管理部门，或省、自治区、直辖市的保密行政管理部门确定【答案】A【解析】本题考查中华人民共和国保守国家秘密法相关知识。国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定。各级国家机关、单位对所产生的国家秘密

16、事项，应当按照国家秘密及其密级具体范围的规定确定密级。对是否属于国家秘密和属于何种密级不明确的事项，产生该事项的机关、单位无相应确定密级权的，应当及时拟定密级，并在拟定密级后的十日内依照下列规定申请确定密级：（一）属于主管业务方面的事项，逐级报至国家保密工作部门审定的有权确定该事项密级的上级机关；（二）其他方面的事项，逐级报至有权确定该事项密级的保密工作部门。故本题选A。点播：中华人民共和国保守国家秘密法于1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过，2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订通过，现将修订后的中华人民共和国保守国家秘密法公布，自

17、2010年10月1日起施行。旨在保守国家秘密，维护国家安全和利益，保障改革开放和社会主义建设事业的顺利进行。10. 单选题有一些信息安全事件是由于信息系统中多个部分共同作用造成的，人们称这类事件为“多组件事故”，应对这类安全事件最有效的方法是（ ）。问题1选项A.配置网络入侵检测系统以检测某些类型的违法或误用行为B.使用防病毒软件，并且保持更新为最新的病毒特征码C.将所有公共访问的服务放在网络非军事区（DMZ）D.使用集中的日志审计工具和事件关联分析软件【答案】D【解析】本题考查应对多组件事故的方法。多组件事故是指由于信息系统中多个部分共同作用造成的信息安全事件。应对这类安全事件最有效的方法是

18、使用集中的日志审计工具和事件关联分析软件。故本题选D。点播：此类题型考查率极低，了解即可。11. 单选题防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通知信息源该信息被禁止的处理方式是（ ）。问题1选项A.AcceptB.RejectC.RefuseD.Drop【答案】B【解析】本题考查防火墙相关知识。防火墙的规则处理方式如下： Accept：允许数据包或信息通过； Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止； Drop：直接将数据包或信息丢弃，并且不通知信息源。 故本题选B

19、。点播：防火墙是一种控制隔离技术，在某机构的网络和不安全的网络之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。12. 案例题阅读下列说明，回答问题1至问题6，将解答填入答题纸的对应栏内。【说明】Linux系统通常将用户名相关信息存放在/etc/passwd文件中，假如有/etc/passwd文件的部分内容如下，请回答相关问题。【问题1】(2分)口令字文件/etc/passwd是否允许任何用户访问?【问题2】 (2分)根据上述/etc/passwd显示的内容，给出系统权限最低的用户名字。【问题3】(2分)在Linux中，/etc/passwd 文件中

20、每一行代表一个用户， 每行记录又用冒号（：）分隔为7个字段，请问Linux操作系统是根据哪个字段来判断用户的?【问题4】(3分)根据上述/et/passwd显示的内容，请指出该系统中允许远程登录的用户名。【问题5】(2分)Linux系统把用户密码保存在影子文件中，请给出影子文件的完整路径及其名字。【问题6】(3分)如果使用1s-a1命令查看影子文件的详细信息，请给出数字形式表示的影子文件访问权限。【答案】【问题1】允许【问题2】user2【问题3】第三个字段或者UID字段【问题4】user1，user2，sync【问题5】/etc/shadow【问题6】640或者600或者400或者000【解

21、析】本题考查Linux系统身份认证和权限控制相关的知识点。此类题目要求考生对常用的操作系统安全机制有清晰的理解，并对安全机制在操作系统中的具体实现及其使用能熟练掌握。题目围绕Linux系统的口令字文件/etc/passwd设置相关的考查点。【问题1】因为操作系统通常都允许每个用户修改自己的身份信息包括口令，如果用户无法访问/etc/passwd文件, 则无法满足上述要求，因此任何用户都可以访问该文件。【问题2】Linux系统用户是根据用户ID来识别的，用户ID与用户名是一一对应的。用户ID取值范围是065535。0表示超级用户root, 1499 表示系统用户，普通用户从500开始。用户ID由

22、/etc/passwd文件每一行用冒号隔开的第三列表示，由此得知本题的user2 的用户ID值为1000，属于普通用户，其权限最低。【问题3】Linux系统用户是根据用户ID (UserID，简称UID)来识别的。【问题4】在/etc/passwd的最后一列， 可以看到有/usr/sbin/nologin或者为空，通常意味着该用户无法登录系统。因此，user1/user2/sync 用户可以登录。【问题5】为了安全起见，用户口令通常保存在另外-一个文件中，文件路径和名字为：/etc/shadow。【问题6】上述影子文件不像etc/passwd文件，不是每个用户都可以访问的，否则每个人都能看到其

23、他用户加密存储的口令字。该文件通常只能由root查看和修改，其他用户是没有任何访问权的。具体到不同的Linux类系统稍微有些不同，主要的访问权限有640或者600或者400或者000。13. 单选题PKI是一种标准的公钥密码密钥管理平台。在PKI中，认证中心CA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方机构。CA的功能不包括（ ）。问题1选项A.证书的颁发B.证书的审批C.证书的加密D.证书的备份【答案】C【解析】本题考查PKI和实体CA方面知识。CA（Certification Authority）：证书授权机构，主要进行证书的颁发、废止和更新；认证机构负责签发、管理和撤销一

24、组终端用户的证书。简而言之CA的功能包括证书的颁发、证书的审批、证书的备份等。故本题选C。点播：公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系。PKI可以解决公钥可信性问题。基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说，PKI涉及多个实体之间的协商和操作，主要实体包括CA、RA、终端实体（End Entity）、客户端、目录服务器。14. 单选题a=17，b=2，则满足a与b取模同余的是（ ）。问题1选项A.4B.5C.6D.7【答案】B【解析】本题考查数学基础相

25、关知识。两个整数a、b，若它们除以整数m所得的余数相等，则称a与b对于模m同余或a同余于b模m，记作 ab (mod m)，即求解172（mod m），m=5。故本题选B。15. 单选题VPN即虚拟专用网，是一种依靠ISP和其他NSP在公用网络中建立专用的、安全的数据通信通道的技术。以下关于虚拟专用网VPN的描述中，错误的是（ ）。问题1选项A.VPN采用隧道技术实现安全通信B.第2层隧道协议L2TP主要由LAC和LNS构成C.IPSec 可以实现数据的加密传输D.点对点隧道协议PPTP中的身份验证机制包括RAP、CHAP、MPPE【答案】D【解析】本题考查虚拟专用网(VPN) 方面的基础知识

26、。VPN的隧道协议主要有PPTP、L2TP和IPSec三种，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为第二层隧道协议; IPSec是第三层隧道协议。PPTP通常可以搭配PAP、CHAP、MS-CHAPv1/v2 或EAP-TLS来进行身份验证。答案选D。16. 单选题已知DES算法S盒如下：如果该S盒输入110011，则其二进制输出为（ ）。问题1选项A.1110B.1001C.0100D.0101【答案】A【解析】本题考查DES算法中S盒的运用。根据输入数据110011，第一位和最后一位组成行，及113；中间数据为列，即10019。则查找表第3行和第9列交叉的数字为14，其二

27、进制为1110。故本题选A。点播：DES算法是最为广泛使用的一种分组密码算法。DES 是一个包含16个阶段的“替换-置换”的分组加密算法，它以64位为分组对数据加密。64位的分组明文序列作为加密算法的输入，经过16轮加密得到64位的密文序列。每一个S盒对应6位的输入序列，得到相应的4位输出序列，输入序列以一种非常特殊的方式对应S盒中的某一项，通过S盒的6个位输入确定了其对应的输出序列所在的行和列的值。17. 单选题数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程，一个数字签名体制包括:施加签名和验证签名。其中SM2数字签名算法的设计是基于（ ）。问题1

28、选项A.背包问题B.椭圆曲线问题C.大整数因子分解问题D.离散对数问题【答案】B【解析】本题考查SM2数字签名方面的基础知识。SM2是基于椭圆曲线的数字签名算法。答案选B。18. 单选题以下关于网络欺骗的描述中，不正确的是（ ）。问题1选项A.Web欺骗是一种社会工程攻击B.DNS欺骗通过入侵网站服务器实现对网站内容的篡改C.邮件欺骗可以远程登录邮件服务器的端口 25D.采用双向绑定的方法可以有效阻止ARP欺骗【答案】B【解析】本题考查网络欺骗相关知识。DNS欺骗：是一种攻击者冒充域名服务器的欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就

29、只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。并不会对原网页内容进行篡改。故本题选B。点播：网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。19. 单选题雪崩效应指明文或密钥的少量变化会引起密文的很大变化。下列密码算法中不具有雪崩效应的是（ ）。问题1选项A.AESB.MD5C.R

30、C4D.RSA【答案】D【解析】本题考查密码设计雪崩效应方面的基础知识。雪崩效应是指当输入发生最微小的改变（例如，反转一个二进制位）时，也会导致输出的不可区分性改变（输出中每个二进制位有50%的概率发生反转）；雪崩效应通常发生在块密码和加密散列函数中，RSA为公钥密码。答案选D。20. 单选题利用公开密钥算法进行数据加密时，采用的方式是（ ）。问题1选项A.发送方用公开密钥加密，接收方用公开密钥解密B.发送方用私有密钥加密，接收方用私有密钥解密C.发送方用公开密钥加密，接收方用私有密钥解密D.发送方用私有密钥加密，接收方用公开密钥解密【答案】C【解析】本题考查公钥密码体制相关知识。公钥密码体制又称为非对称密码体制，其基本原理是在加密和解密过程中使用不同的密钥处理方式，其中加密密钥可以公开，而只需要把解密密钥安全存放即可。在进行加解密时，发送方用对方的公钥加密，接收方用自己的私钥解密。故本题选C。