2022年软考-信息安全工程师考试名师点拨押题密卷76（含答案详解）

《2022年软考-信息安全工程师考试名师点拨押题密卷76（含答案详解）》由会员分享，可在线阅读，更多相关《2022年软考-信息安全工程师考试名师点拨押题密卷76（含答案详解）（26页珍藏版）》请在装配图网上搜索。

1、2022年软考-信息安全工程师考试名师点拨押题密卷（含答案详解）1. 单选题为了保护用户的隐私，需要了解用户所关注的隐私数据。当前，个人隐私信息分为一般属性、标识属性和敏感属性，以下属于敏感属性的是（ ）。问题1选项A.姓名B.年龄C.肖像D.财物收入【答案】D【解析】本题考查用户隐私方面的基础的知识。敏感属性包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息等。答案选D。2. 单选题下列关于公钥密码体制说法不正确的是（ ）。问题1选项A.在一个公钥密码体制中，一般存在公钥和私钥两个密钥B.公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是可行的C

2、.公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的D.公钥密码体制中的私钥可以用来进行数字签名【答案】B【解析】本题考查公钥密码体制相关知识公钥密码体制中，一般存在公钥和私钥两种密钥；公钥密码体制中仅根据密码算法和加密密钥去确定解密密钥在计算上是不可行的，因为计算量过于庞大；公钥密码体制中的公钥可以以明文方式发送；公钥密码体制中的私钥可以用来进行数字签名。故本题选B。3. 单选题计算机取证是指能够为法庭所接受的、存在于计算机和相关设备中的电子证据的确认、保护、提取和归档的过程。以下关于计算机取证的描述中，不正确的是（ ）。问题1选项A.为了保证调查工具的完整性，需要对所有

3、工具进行加密处理B.计算机取证需要重构犯罪行为C.计算机取证主要是围绕电子证据进行的D.电子证据具有无形性【答案】A【解析】本题考查计算机取证技术相关知识。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。计算机取证是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。从技术上讲，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。因此计算机取证并不要求所有工具进行加密处理。故本题选A。点播：调查工具需确保其完整性，要在合法和确保安全的机器上制作这些工具盘，并且

4、还需要制作出所有程序的文件散列值（如 MD5、 SHA）校验列表。以便于事后在必要时（如在法庭上）证明所使用取证工具的合法性和唯一性。同样，对初始收集到的电子证据也应该有文件散列值记录，必要时可以采用多种散列值，以确保证据的完整性。计算机取证主要是围绕电子证据进行的，电子证据具有高科技性、无形性和易破坏性等特点。计算机取证可归纳为以下几点：是一门在犯罪进行过程中或之后收集证据的技术；需要重构犯罪行为；将为起诉提供证据；对计算机网络进行取证尤其困难，且完全依靠所保护的犯罪场景的信息质量。其目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。4. 单选题恶

5、意代码是指为达到恶意目的而专门设计的程序或者代码。常见的恶意代码类型有：特洛伊木马、蠕虫、病毒、后门、Rootkit、 僵尸程序、广告软件。以下恶意代码中，属于宏病毒的是（ ）。问题1选项A.Trojan.BankB.Macro.MelissaC.Worm.Blaster.gD.Trojan.huigezi.a【答案】B【解析】5. 单选题Snort是一款开源的网络入侵检测系统，能够执行实时流量分析和IP协议网络的数据包记录。以下不属于Snort主要配置模式的是（ ）。问题1选项A.嗅探B.审计C.包记录D.网络入侵检测【答案】B【解析】本题考查入侵检测系统Snort工具相关的基础知识。Sno

6、rt有三种工作方式:嗅探器、数据包记录器和网络入侵检测系统，不包括审计。答案选B。6. 案例题阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】密码学的基本目标是在有攻击者存在的环境下，保证通信双方（A和B）之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。在以下描述中，M表示消息，H表示Hash函数，E表示加密算法，D表示解密算法，K表示密钥，SKA表示A的私钥，PKA表示A的公钥，SKB表示B的私钥，PKB表示B的公钥，

7、|表示连接操作。【问题1】（6分）用户AB双方采用的保密通信的基本过程如图2-1所示。请问图2-1所设计的保密通信模型能实现信息的哪些安全目标？图2-1中的用户A侧的H和E能否互换计算顺序？如果不能互换请说明原因：如果能互换请说明对安全目标的影响。【问题2】（4分）图2-2给出了另一种保密通信的基本过程：请问图2-2设计的保密通信模型能实现信息安全的哪些特性？【问题3】（5分）为了在传输过程中能够保障信息的保密性、完整性和不可否认性，设计了一个安全通信模型结构如图2-3所示：请问图2-3中（1），（2）分别应该填什么内容？【答案】【问题1】实现完整性。【解析】【问题1】解析通过以上保密通信方式

8、，接收方可以相信报文未被修改。如果攻击者改变了报文，因为已假定攻击者不知道密钥K，所以他不知道如何对EkH（M）作相应修改。这将使接收方计算出的 H（M）将不等于接收到的 H（M）。7. 单选题对于提高人员安全意识和安全操作技能来说，以下所列的安全管理方法最有效的是 （ ）。问题1选项A.安全检查B.安全教育和安全培训C.安全责任追究D.安全制度约束【答案】B【解析】本题考查网络安全能力提升和安全意识的相关知识。由于题目要求的是提高人员安全意识和安全操作技能，从安全管理角度来说，最有效的方法是进行安全教育和安全培训，其余三项皆是通过外力对人员进行相关约束。只有通过安全教育和安全培训，提高了人员

9、自身的信息安全素养，才能实现最高效的“管理”。故本题选B。点播：此类题型主要从提高自身信息安全素养方面进行考查。8. 单选题已知DES算法S盒如下，如果该S盒的输入为001011，则其二进制输出为（ ）。问题1选项A.1011B.1100C.0011D.1101【答案】B【解析】本题考查分组密码算法DES的S盒。S盒的输入长度等于6，6个比特的第一和第六比特代表行， 题中所给为01 (十进制为1)，中间4个比特代表列，题中所给为0101 (十进制为5)， 因此对应上述S盒中的元素值为12，表示为二进制即为1100。答案选B。9. 单选题Symmetric-key cryptosystems u

10、se the（1）key for encryption and decryption of a message, though a message or group of messages may have a difent key than others. A significant disadvantage of symmetric ciphers is the key management necessary to use them securely. Each ditinct pair of communicating parties must, ideally, share a di

11、ferent key, and perhaps each ciphertext exchanged as well. The number of keys required increases as the square of the number of network members, which very quickly requires complex key management schemes to keep them all straight and secret. The dificulty of securely establishing a secret （2） betwee

12、n two communicating parties, when a secure channel doesnt already exist between them, also presents a chicken-and-egg problem which is a considerable practical obstacle for cryptography users in the real world.Whitfield Diffe and Martin Hellman, authors of the frst paper on public-key cryptography.I

13、n a groundbreaking 1976 paper, Whitfield Difle and Martin Hellman proposed the notion of public-key (also, more generally, called asymmetric key) cryptography in which two different but mathematically related keys are used- a public key and a private key. A public key system is so constructed that c

14、alculation of one key (he private key) is computationally infeasible（3）the other (the pubic key), even though they are necessarily related. Instead, both keys are generated secretly, as an interrelated pair. The historian David Kahn described public-key cryptography as the most revolutionary new con

15、cept in the field since poly-alphabetic substitution emerged in the Renaissance.In public-key cryptosystems, the（4）key may be feely distributed, while its paired private key must remain secret. The public key is typically used for encryption, while the private or secret key is used for decryption. D

16、ife and Hllman showed that public-key cryptography was possible by presenting the Difit-Hellman key exchange protocol.In 1978, Ronald Rivest, Adi Shamir, and Len Adleman invented（5）, another public-key system.In 1997, it finally became publicly known that asymmetric key cryptography had been invente

17、d by James H. Ellis at GCHQ, a British itelligence organization, and that, in the early 1970s, both the Diffie-Hellman and RSA algorithms had been previously developed (by Malcolm J. Williamson and Clifford Cocks, respectively).问题1选项A.differentB.sameC.publicD.private问题2选项A.plaintextB.streamC.ciphert

18、extD.key问题3选项A.fromB.inC.toD.of问题4选项A.publicB.privateC.symmetricD.asymmetric问题5选项A.DESB.AESC.RSAD.IDEA【答案】第1题:B第2题:D第3题:A第4题:A第5题:C【解析】第1题:第2题:第3题:第4题:第5题:对称密钥密码系统使用相同(same)的密钥对消息进行加密和解密，尽管一条消息或一组消息可能使用与其他消息不同的密钥。对称密码的一个显著缺点是为了安全使用必须进行密钥管理。理想情况下，每对不同的通信双方必须共享不同的密钥，或许每个密文也需要交换。随着网络成员的增加，需要的密钥数量以网络成员的

19、平方倍增加，这很快就需要复杂的密钥管理方案来保持密钥的透明性和保密性。当通信双方之间不存在安全信道时，很难在它们之间安全地建立密钥(key)，这是一个先有鸡还是先有蛋的问题，对于现实世界中的密码学用户来说是一个相当大的实际困难。Whitfield Diffie 和Martin Hellman是公钥密码学方面第一篇论 文的作者，在1976年的一篇开创性论文中，Whitfield Difie和Martin Hellman提出了公钥(也更普遍地称为非对称密钥)密码学的概念，其中使用了两个不同但数学上相关的密钥一公钥和私钥。 在公钥系统中，虽然两个密钥是必须相关的，但从( from)公钥却无法计算出私

20、钥。相反，这两个密钥都是秘密生成的，它们是相互关联的一对。历史学家David Kahn将公钥密码学描述为“自文艺复兴时期多表代换出现以来，该领域最具有革命性的新概念”。在公钥密码系统中，公钥(public) 可自由分发，但与其对应的私钥必须保密。公钥常用于加密，而私钥或秘密密钥用于解密。Diffie 和Hellman通过提出Difie-Hellman密钥交换协议证明了公钥密码学的可能性。1978年，Ronald Rivest、Adi Shamir和Len Adleman创建了另一种公钥系统(RSA)。英国情报机构GCHQ的James H. Ellis 早已发明非对称密钥密码学，并且在20世纪7

21、0年代初，Diffe-Hellman 和RSA算法也已被发明(分别由Malcolm J. Williamson 和CliffordCocks发明)，但这些事件直到1997年才被大众所知。10. 案例题阅读下列说明和图，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】信息系统安全开发生命周期（Security Development Life Cycle（SDLC）是微软提出的从安全角度指导软件开发过程的管理模式，它将安全纳入信息系统开发生命周期的所有阶段，各阶段的安全措施与步骤如下图5.1所示。【问题1】（4分）在培训阶段，需要对员工进行安全意识培训，要求员工向弱口令说不！针对弱口令最

22、有效的攻击方式是什么？以下口令中，密码强度最高的是（ ）。A. security2019B. 2019SecurityC. Security2019D. Security2019【问题2】（6分）在大数据时代，个人数据正被动地被企业搜集并利用。在需求分析阶段，需要考虑采用隐私保护技术防止隐私泄露。从数据挖掘的角度，隐私保护技术主要有：基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种？（1）随机化过程修改敏感数据（2）基于泛化的隐私保护技术（3）安全多方计算隐私保护技术【问题3】（4分）有下述口令验证代码：

23、#define PASSWORD 1234567int verify_ password (char *password) int authenticated; char buffer8; authenticated= strcmp(password,PASSWORD); strcpy(buffer,password); return authenticated; nt mn(nt rg, hr* rgv ) int valid_ flag=0; char password1024; while(1) printf(please input password: ); scanf(%s,pass

24、word); valid_ flag = verify_ password(password); /验证口令 if ( valid_ flag)/口令无效 printf(incorrect password!nn); else /口令有效 printf(Congratulation! You have passed the verification!n); break; 其中main函数在调用verify_ password函数进行口令验证时，堆栈的布局如图5.2所示。请问调用verify_password函数的参数满足什么条件，就可以在不知道真实口令的情况下绕过口令验证功能？【问题4】（3分

25、）SDLC安全开发模型的实现阶段给出了3种可以采取的安全措施，请结合问题3的代码举例说明？【答案】【问题1】（1）穷举攻击 （2） C【问题2】（1）基于数据失真的隐私保护技术；（2）基于数据匿名化的隐私保护技术；（3）基于数据加密的隐私保护技术。【问题3】参数password的值满足：12个字符的字符串，前面8个字符为任意字符，后面4个字符为空字符；或者输入完整的8个任意字符。【问题4】使用批准的工具来编写安全正确的程序；禁用不安全的函数来防范因数组没有边界检查而导致的缓冲区溢出；通过静态分析进行程序指针完整性检查。【解析】【问题1】（1）弱口令可以通过穷举攻击方式来破解。（2）密码必须符合

26、复杂性要求：启用此策略，用户账户使用的密码必须符合复杂性的要求。密码复杂性必须符合下列最低要求：不能包含用户的账户名；不能包含用户姓名中超过两个连续字符的部分；至少有六个字符长；密码总必须包含以下4类字符中的三类字符：1、英文大写字母（A-Z）2、英文小写字母（a-z）3、10个基本数字（0-9）4、特殊符号（！#￥%等）【问题2】（1）基于数据失真的隐私保护技术：它是使敏感数据失真但同时保持某些关键数据或者属性不变的隐私保护技术，例如，采用交换 （Swapping）、添加噪声等技术对原始数据集进行处理，并且保证经过扰动处理后的数据仍然保持统计方面的性质，以便进行数据挖掘等操作。（2）基于数据

27、加密的隐私保护技术：它是采用各种加密技术在分布式环境下隐藏敏感数据的方法，如安全多方计算 （SMC）、分布式匿名化、分布式关联规则挖掘和分布式聚类等。（3）基于数据匿名化的隐私保护技术：它是根据具体情况有条件地发布数据，例如，不发布原始数据的某些值、数据泛化等。【问题3】该代码按正常流程走下来，函数verify-password（）会返回变量authenticated的值，而只有当其值为0时，会绕过口令。再来分析strcpy() 函数这个函数，该用来复制字符串，其原型为：char *strcpy(char *dest, const char *src)；【参数】dest 为目标字符串指针，sr

28、c 为源字符串指针。注意：src 和 dest 所指的内存区域不能重叠，且 dest 必须有足够的空间放置 src 所包含的字符串（包含结束符NULL）。【返回值】成功执行后返回目标数组指针 dest。strcpy() 把src所指的由NULL结束的字符串复制到dest 所指的数组中，返回指向 dest 字符串的起始地址。注意：如果参数 dest 所指的内存空间不够大，可能会造成缓冲溢出。主函数中，当validflag为0时，会绕过口令，而validflag是函数verify-password（）的返回值，在函数verify-password（）中，其返回值是变量authenticated的值

29、，在返回该值时，使用了strcpy函数将password的值复制到数组buffer中，buffer数组的长度为8个字符，一旦用户输入数据长度大于8个字符就会溢出，溢出部分就会覆盖其他变量的值，从上图堆栈中的数据存储方式可以看出，buffer数组一旦溢出，溢出部分就会覆盖authenticated的值；根据题目意思，只要令溢出部分的值为0即可令authenticated=0，最终使得validflag为0，从而满足条件。所以可以先任意输入8个字符堆满buffer数组，再输入时就是溢出部分，可以输入空字符，因authenticated为整形数据，所以将字符赋给整形变量时，会按其ASCII码值进行处

30、理，空字符的ASICC值为0，从而可以把authenticated值变成0满足条件；或者输入完整的任意8个字符，再加上复制结束自动加入的字符串结束标志“0”，也可导致authenticated值变成0满足条件。【问题4】使用批准的工具来编写安全正确的程序，只要在所有拷贝数据的地方进行数据长度和有效性的检查，确保目标缓冲区中数据不越界并有效，则就可以避免缓冲区溢出，更不可能使程序跳转到恶意代码上。禁用不安全的函数来防范因数组没有边界检查而导致的缓冲区溢出，C 语言中存在缓冲区溢出攻击隐患的系统函数有很多。例如 gets（），sprintf（），strcpy（），strcat（ ），fscanf（

31、 ），scanf（ ）， vsprintf（ ）等。可以禁用这些不安全函数。通过静态分析进行程序指针完整性检查，在每次在程序指针被引用之前先检测该指针是否已被恶意改动过，如果发现被改动，程序就拒绝执行。11. 单选题片内操作系统COS是智能卡芯片内的一个监控软件，一般由通信管理模块、安全管理模块、应用管理模块和文件管理模块四个部分组成。其中对接收命令进行可执行判断是属于（ ）。问题1选项A.通信管理模块B.安全管理模块C.应用管理模块D.文件管理模块【答案】C【解析】本题考查片内操作系统方面的基础知识。通信管理模块：该模块是COS与外界的半双工通信通道，接收读写器命令，并对接收信息进行正确性判

32、断，有误则请求重发或添加标记，无误则将命令发送至安全管理模块。安全管理模块：安全机制可按对象分为针对动态信息的安全性传输控制和针对卡内静态信息的内部安全控制管理两部分。安全管理模块是COS极重要组成部分，该模块提供高安全性保证。应用管理模块：该模块主要是对接受命令进行可执行性判断。因智能卡的特性，它常常融于安全管理和文件管理之中。文件管理模块：COS通过给每种应用建立对应文件的办法，实现对各项应用的存储及管理。用户通常不能创建或删除文件，但可酌情修改文件内容，对文件的记录和数据单元进行增加或删除。答案选C。12. 单选题2018年10月，含有我国SM3杂凑算法的ISO/IEC10118-3:

33、2018信息安全技术杂凑函数第3部分：专用杂凑函数由国际标准化组织（ISO）发布，SM3算法正式成为国际标准。SM3的杂凑值长度为（ ）。问题1选项A.8字节B.16字节C.32字节D.64字节【答案】C【解析】本题考查国产密码算法中的SM3算法。SM3为杂凑算法，杂凑长度为256比特，也就是32字节，故本题选C。点播：SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等，其算法公开。据国家密码管理局表示，其安全性及效率与SHA-256相当，其输出为256 bit的杂凑值。13. 单选题等级保护2.0对于应用和数据安全，特别增加了个人信息保护的要求。以下关于个人信息保护的描述中，错

34、误的是（ ）。问题1选项A.应仅采集和保存业务必需的用户个人信息B.应禁止未授权访问和使用用户个人信息C.应允许对用户个人信息的访问和使用D.应制定有关用户个人信息保护的管理制度和流程【答案】C【解析】本题考查个人信息保护方面的基础知识。应禁止对个人信息的未授权访问和使用；其他选项描述都是正确的。答案选C。14. 案例题阅读下列说明和图，回答问题1至问题5，将解答写在答题纸的对应栏内。【说明】入侵检测系（IDS）和入侵防护系统（IPS）是两种重要的网络安全防御手段，IDS注重的是网络安全状况的监管，IPS则注重对入侵行为的控制。【问题1】（2分）网络安全防护可以分为主动防护和被动防护，请问ID

35、S和IPS分别属于哪种防护？【问题2】（4分）入侵检测是动态安全模型（P2DR）的重要组成部分。请列举P2DR模型的4个主要组成部分。【问题3】（2分）假如某入侵检测系统记录了如图5-1所示的网络数据包：请问图中的数据包属于哪种网络攻击？该攻击的具体名字是什么？【问题4】（4分）入侵检测系统常用的两种检测技术是异常检测和误用检测，请问针对图中所描述的网络攻击应该采用哪种检测技术？请简要说明原因。【问题5】（3分）Snort是一款开源的网络入侵检测系统，它能够执行实时流量分析和IP协议网络的数据包记录。Snort的配置有3种模式，请给出这3种模式的名字。【答案】【问题1】入侵检测技术（IDS）属

36、于被动防护；入侵防护系统 （IPS）属于主动防护。【问题2】P2DR 模型包含 4 个主要组成部分包括：Policy （安全策略）、 Protection （防护）、 Detection （检测）和 Response （响应）。【问题3】属于拒绝服务攻击；具体为SYN 洪泛攻击。【问题4】误用检测：该攻击有很明确的攻击特征和模式，适合采用误用检测。【问题5】Snort 的配置的3个主要模式：嗅探 （Sniffer）、包记录 （PacketLogger）和网络入侵检测。【解析】【问题1】入侵检测技术 （IDS） 注重的是网络安全状况的监管，通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象

37、，并发出报警。因此IDS 系统属于被动防护。入侵防护系统（IPS）则倾向于提供主动防护，注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失。【问题2】P2DR模型是在整体的安全策略的控制和指导下，在综合运用防护工具 ，如防火墙、操作系统身份认证、加密等手段的同时，利用检测工具，如漏溺评估、入侵检测等系统了解和评估系统的安全状态，通过适当的响应将系统调整到“最安全”和“风险最低”的状态。防护、检测和自由应组成了一个完整的、动态的安全循环。【问题3】 SYN 洪泛攻击通过创建大量“半连接”来进行攻击，任何连接收到Internet上并提供基于TCP的网络服务的主

38、机或路由器都可能成为这种攻击的目标；同步包风暴是当前最流行的 DoS（拒绝服务攻击）与 DDoS（分布式拒绝服务攻击）的方式之一，利用TCP协议缺陷发送大量伪造的TCP连接请求，使得被攻击者资源耗尽。三次握手，进行了两次（SYN）（SYN/ACK），不进行第三次握手（ACK），连接队列处于等待状态，大量的这样的等待，占满全部队列空间，系统挂起。 【问题4】异常检测是指根据非正常行为（ 系统或用户）和使用计算机非正常资源来检测入侵行为。其关键在于建立用户及系统正常行为轮廓（Profile），检测实际活动以判断是否背离正常轮廓。误用检测又称为基于特征的检测，基于误用的入侵检测系统通过使用某种模式或

39、者信号标示表示攻击，进而发现同类型的攻击。显然针对上述攻击，根据SYN分组特征模式，应该采用误用检测来检测攻击。 【问题5】 Snort 的配置有3个主要模式：嗅探 （Sniffer）、包记录 （PacketLogger） 和网络入侵检测。嗅探模式主要是读取网络上的数据包并在控制台上用数据流不断地显示出来：包记录模式把数据包记录在磁盘上：网络入侵监测模式是最复杂最难配置的，它可以分析网流量与用户定义的规则设置进行匹配然后根据结果执行相应的操作。15. 单选题在Windows操作系统下，要获取某个网络开放端口所对应的应用程序信息，可以使用命令（ ）。问题1选项A.ipconfigB.tracer

40、outeC.netstatD.nslookup【答案】C【解析】本题考查Windows操作系统命令的基础知识。netstat命令是一一个监控TCP/IP网络的非常有用的工具，它叮以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。netstat 命令的-p选项可以显示正在使用Socket的程序识别码和程序名称。答案选C。16. 单选题所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性是指信息的（ ）。问题1选项A.完整性B.可用性C.保密性D.不可抵赖性【答案】A【解析】本题考查信息安全基本属性方面的内容。机密性是指网络信息不泄露给非授权的用户、实体或程序，

41、能够防止非授权者获取信息。完整性是指网络信息或系统未经授权不能进行更改的特性。可用性是指合法许可的用户能够及时获取网络信息或服务的特性。抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。答案选A。17. 单选题计算机取证分析工作中常用到包括密码破译、文件特征分析技术、数据恢复与残留数据分析、日志记录文件分析、相关性分析等技术，其中文件特征包括文件系统特征、文件操作特征、文件格式特征、代码或数据特征等。某单位网站被黑客非法入侵并上传了Webshell，作为安全运维人员应首先从（ ）入手。问题1选项A.Web服务日志B.系统日志C.防火墙日志D.交换机日志【答案】A【解析】本题考查取证分析

42、方面的基础知识。注意题目中有提到网站被入侵且上传了Webshell，针对网站上传Webshell问题，应首先查看Web服务日志。答案选A。18. 单选题无线局域网鉴别和保密体系WAPI是一种安全协议，也是我国无线局域网安全强制性标准，以下关于WAPI的描述中，正确的是（ ）。问题1选项A.WAPI系统中，鉴权服务器AS负责证书的颁发、验证和撤销B.WAPI与WiFi认证方式类似，均采用单向加密的认证技术C.WAPI中，WPI采用RSA算法进行加解密操作D.WAPI从应用模式上分为单点式、分布式和集中式【答案】A【解析】本题考查WAPI安全协议。与WIFI的单向加密认证不同，WAPI双向均认证，

43、从而保证传输的安全性。WAPI安全系统采用公钥密码技术，鉴权服务器AS负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。WAPI包括两部分：WAI和WPI。WAI和WPI分别实现对用户身份的鉴别和对传输的业务数据加密，其中WAI采用公开密钥密码体制，WPI则采用对称密码算法进行加、解密操作。WAPI从应用模式上分为单点式和集中式两种，可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状，从根本上解决安全问题和兼容性问题。官方教材（第一版）P370。故本题选A。点播：WAPI鉴别及密钥管理的方式有两种，即基于证书和基于预共享密钥

44、PSK。19. 案例题阅读下列说明，回答问题1至问题6，将解答填入答题纸的对应栏内。【说明】Linux系统通常将用户名相关信息存放在/etc/passwd文件中，假如有/etc/passwd文件的部分内容如下，请回答相关问题。【问题1】(2分)口令字文件/etc/passwd是否允许任何用户访问?【问题2】 (2分)根据上述/etc/passwd显示的内容，给出系统权限最低的用户名字。【问题3】(2分)在Linux中，/etc/passwd 文件中每一行代表一个用户， 每行记录又用冒号（：）分隔为7个字段，请问Linux操作系统是根据哪个字段来判断用户的?【问题4】(3分)根据上述/et/pa

45、sswd显示的内容，请指出该系统中允许远程登录的用户名。【问题5】(2分)Linux系统把用户密码保存在影子文件中，请给出影子文件的完整路径及其名字。【问题6】(3分)如果使用1s-a1命令查看影子文件的详细信息，请给出数字形式表示的影子文件访问权限。【答案】【问题1】允许【问题2】user2【问题3】第三个字段或者UID字段【问题4】user1，user2，sync【问题5】/etc/shadow【问题6】640或者600或者400或者000【解析】本题考查Linux系统身份认证和权限控制相关的知识点。此类题目要求考生对常用的操作系统安全机制有清晰的理解，并对安全机制在操作系统中的具体实现及

46、其使用能熟练掌握。题目围绕Linux系统的口令字文件/etc/passwd设置相关的考查点。【问题1】因为操作系统通常都允许每个用户修改自己的身份信息包括口令，如果用户无法访问/etc/passwd文件, 则无法满足上述要求，因此任何用户都可以访问该文件。【问题2】Linux系统用户是根据用户ID来识别的，用户ID与用户名是一一对应的。用户ID取值范围是065535。0表示超级用户root, 1499 表示系统用户，普通用户从500开始。用户ID由/etc/passwd文件每一行用冒号隔开的第三列表示，由此得知本题的user2 的用户ID值为1000，属于普通用户，其权限最低。【问题3】Lin

47、ux系统用户是根据用户ID (UserID，简称UID)来识别的。【问题4】在/etc/passwd的最后一列， 可以看到有/usr/sbin/nologin或者为空，通常意味着该用户无法登录系统。因此，user1/user2/sync 用户可以登录。【问题5】为了安全起见，用户口令通常保存在另外-一个文件中，文件路径和名字为：/etc/shadow。【问题6】上述影子文件不像etc/passwd文件，不是每个用户都可以访问的，否则每个人都能看到其他用户加密存储的口令字。该文件通常只能由root查看和修改，其他用户是没有任何访问权的。具体到不同的Linux类系统稍微有些不同，主要的访问权限有6

48、40或者600或者400或者000。20. 案例题阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年5月，勒索软件WanaCry席卷全球，国内大量高校及企事业单位的计算机被攻击，文件及数据被加密后无法使用，系统或服务无法正常运行，损失巨大。【问题1】（2分）按照恶意代码的分类，此次爆发的恶意软件属于哪种类型？【问题2】（2分）此次勒索软件针对的攻击目标是Windows还是Linux类系统？【问题3】（6分）恶意代码具有的共同特征是

49、什么？【问题4】（5分）由于此次勒索软件需要利用系统的SMB服务漏洞（端口号445）进行传播，我们可以配置防火墙过滤规则来阻止勒索软件的攻击，请填写表1-1中的空（1）-（5），使该过滤规则完整。注：假设本机IP地址为：1.2.3.4，”*”表示通配符。【答案】【问题1】蠕虫类型【问题2】Windows操作系统【问题3】恶意代码具有如下共同特征：（1） 恶意的目的（2） 本身是计算机程序（3） 通过执行发生作用。【问题4】（1）* （2）* （3）445 （4）TCP （5）*【解析】【问题1】WannaCry，一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA泄露的危险漏洞“

50、EternalBlue”（永恒之蓝）进行传播。该恶意软件会扫描电脑上的TCP 445端口（Server Message Block/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。【问题2】主要是利用windows操作系统中存在的漏洞。【问题3】恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。具有如下共同特征：（1）恶意的目的（2）本身是计算机程序（3）通过执行发生作用。【问题4】针对该勒索软件的攻击和传播特点，需要对SMB服务所在的445端口进行过滤，只要网外对网内445端口的所有连接请求予以过滤。需要注意的是SMB服务是基于TCP协议的。