住在富人區(qū)的她2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）（圖片可根據(jù)實際調(diào)整大?。╊}型12345總分得分一.綜合題(共50題)1.單選題

中間人攻擊就是在通信雙方毫無察覺的情況下，通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，進而對數(shù)據(jù)進行嗅探或篡改。以下屬于中間人攻擊的是（

）。

問題1選項

A.DNS欺騙

B.社會工程攻擊

C.網(wǎng)絡(luò)釣魚

D.旁注攻擊

【答案】A

【解析】本題考查中間人攻擊相關(guān)知識。

DNS欺騙：是一種攻擊者冒充域名服務(wù)器的欺騙行為。原理：如果可以冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。

社會工程攻擊：是一種利用“社會工程學(xué)”來實施的網(wǎng)絡(luò)攻擊行為。在計算機科學(xué)中，社會工程學(xué)指的是通過與他人的合法地交流，來使其心理受到影響，做出某些動作或者是透露一些機密信息的方式。這通常被認為是一種欺詐他人以收集信息、行騙和入侵計算機系統(tǒng)的行為。

網(wǎng)絡(luò)釣魚：是一種通過假冒可信方提供網(wǎng)上服務(wù)，以欺騙手段獲取敏感個人信息的攻擊方式。與社會工程攻擊類似。

旁注攻擊：旁注攻擊就是說在攻擊目標時，對目標網(wǎng)站“無法下手”找不到目標網(wǎng)站的漏洞，那么攻擊者就可以通過在與目標站點同一服務(wù)器下的站點滲透，從而獲取目標站點的權(quán)限，這過程就是旁注攻擊。

故本題選A。

點播：

DNS欺騙，是中間人攻擊的一種慣用手法。攻擊者通過入侵DNS服務(wù)器、控制路由器等方法把受害者要訪問的目標機器域名對應(yīng)的IP解析為攻擊者所控制的機器，這樣受害者原本要發(fā)送給目標機器的數(shù)據(jù)就發(fā)到了攻擊者的機器上，這時攻擊者就可以監(jiān)聽甚至修改數(shù)據(jù)，從而收集到大量的信息。如果攻擊者只是想監(jiān)聽雙方會話的數(shù)據(jù)，他會轉(zhuǎn)發(fā)所有的數(shù)據(jù)到真正的目標機器上，讓目標機器進行處理，再把處理結(jié)果發(fā)回到原來的受害者機器；如果攻擊者要進行徹底的破壞，他會偽裝目標機器返回數(shù)據(jù)，這樣受害者接收處理的就不再是原來期望的數(shù)據(jù)，而是攻擊者所期望的了。

如此說來，這種攻擊理應(yīng)是最強大最危險的，然而實際上它卻很少派上大用場，為什么，因為DNS欺騙的攻擊模型太理想了。在實際生活中，大部分用戶的DNS解析請求均是通過自己的ISP服務(wù)器進行的，換句話說，就是系統(tǒng)在連接網(wǎng)絡(luò)時會獲取到ISP服務(wù)器提供的DNS服務(wù)器地址，所有解析請求都是直接發(fā)往這個DNS服務(wù)器的，攻擊者根本無處入手，除非他能入侵更改ISP服務(wù)器上DNS服務(wù)的解析指向。所以這種手法在廣域網(wǎng)上成功的幾率不大。

2.單選題

入侵檢測技術(shù)包括異常入侵檢測和誤用入侵檢測。以下關(guān)于誤用檢測技術(shù)的描述中，正確的是（

）。

問題1選項

A.誤用檢測根據(jù)對用戶正常行為的了解和掌握來識別入侵行為

B.誤用檢測根據(jù)掌握的關(guān)于入侵或攻擊的知識來識別入侵行為

C.誤用檢測不需要建立入侵或攻擊的行為特征庫

D.誤用檢測需要建立用戶的正常行為特征輪廓

【答案】B

【解析】本題考查入侵檢測技術(shù)相關(guān)知識。

誤用入侵檢測通常稱為基于特征的入侵檢測方法，是指根據(jù)已知的入侵模式檢測入侵行為。優(yōu)點：依據(jù)具體特征庫進行判斷，所以檢測準確度很高，并且因為檢測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。缺點：與具體系統(tǒng)依賴性太強，不但系統(tǒng)移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。并且檢測范圍受已知知識的局限，尤其是難以檢測出內(nèi)部人員的入侵行為，如合法用戶的泄露。故本題選B。

點播：

基于條件概率的誤用檢測方法：基于條件概率的誤用檢測方法，是將入侵方式對應(yīng)一個事件序列，然后觀測事件發(fā)生序列，應(yīng)用貝葉斯定理進行推理，推測入侵行為。

基于狀態(tài)遷移的誤用檢測方法：狀態(tài)遷移方法利用狀態(tài)圖表示攻擊特征，不同狀態(tài)刻畫了系統(tǒng)某一時刻的特征。

基于鍵盤監(jiān)控的誤用檢測方法：基于鍵盤監(jiān)控的誤用檢測方法，是假設(shè)入侵行為對應(yīng)特定的擊鍵序列模式，然后監(jiān)測用戶的擊鍵模式，并將這一模式與入侵模式匹配，從而發(fā)現(xiàn)入侵行為。

基于規(guī)則的誤用檢測方法：基于規(guī)則的誤用檢測方法是將攻擊行為或入侵模式表示成一種規(guī)則，只要符合規(guī)則就認定它是一種入侵行為。

3.單選題

Bell-LaPadual模型（簡稱BLP模型）是最早的一種安全模型，也是最著名的多級安全策略模型，BLP模型的簡單安全特性是指（

）。

問題1選項

A.不可上讀

B.不可上寫

C.不可下讀

D.不可下寫

【答案】A

【解析】本題考查BLP模型相關(guān)知識。

Bell-LaPadula模型（簡稱BLP模型）是D.ElliottBell和LeonardJ.LaPadula于1973年提出的對應(yīng)于軍事類型安全密級分類的計算機操作系統(tǒng)模型。BLP模型是最早的一種計算機多級安全模型，也是受到公認最著名的狀態(tài)機模型。

BLP保密模型基于兩種規(guī)則來保障數(shù)據(jù)的保密性與敏感度：

①簡單安全特性：不可上讀（主體不可讀安全級別高于它的數(shù)據(jù)）。

②*特性：不可下寫（主體不可寫安全級別低于它的數(shù)據(jù)）。

故本題選A。

4.單選題

無線局域網(wǎng)鑒別和保密體系WAPI是我國無線局域網(wǎng)安全強制性標準，以下關(guān)于WAPI的描述，正確的是（

）。

問題1選項

A.WAPI從應(yīng)用模式上分為單點式、分布式和集中式

B.WAPI與WIFI認證方式類似，均采用單向加密的認證技術(shù)

C.WAPI包括兩部分：WAI和WPI，其中WAI采用對稱密碼算法實現(xiàn)加、解密操作

D.WAPI的密鑰管理方式包括基于證書和基于預(yù)共享密鑰兩種方式

【答案】D

【解析】本題考查WAPI相關(guān)知識。

WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實現(xiàn)了設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。

此外，WAPI從應(yīng)用模式上分為單點式和集中式兩種，可以徹底扭轉(zhuǎn)目前WLAN采用多種安全機制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。與WIFI的單向加密認證不同，WAPI雙向均認證，從而保證傳輸?shù)陌踩浴?/p>

WAPI包括兩部分WAI和WPI。WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)加密，其中WAI采用公開密鑰密碼體制，利用公鑰證書來對WLAN系統(tǒng)中的STA和AP進行認證WPI則采用對稱密碼算法實現(xiàn)對MAC層MSDU的加、解密操作。

WAPI鑒別及密鑰管理的方式有兩種，即基于證書和基于預(yù)共享密鑰PSK。若采用基于證書的方式，整個過程包括證書鑒別、單播密鑰協(xié)商與組播密鑰通告；若采用預(yù)共享密鑰的方式，整個過程則為單播密鑰協(xié)商與組播密鑰通告。

故本題選D。

5.單選題

防火墻的體系結(jié)構(gòu)中，屏蔽子網(wǎng)體系結(jié)構(gòu)主要由四個部分構(gòu)成：周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器和堡壘主機。其中被稱為屏蔽子網(wǎng)體系結(jié)構(gòu)第一道屏障的是（

）。

問題1選項

A.周邊網(wǎng)絡(luò)

B.外部路由器

C.內(nèi)部路由器

D.堡壘主機

【答案】B

【解析】本題考查防火墻的屏蔽子網(wǎng)體系結(jié)構(gòu)方面的基礎(chǔ)知識。

外部路由器的主要作用在于保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第一道屏障。

答案選B。

6.單選題

在我國，依據(jù)《中華人民共和國標準化法》可以將標準劃分為：國家標準、行業(yè)標準、地方標準和企業(yè)標準4個層次?！缎畔踩夹g(shù)

信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）屬于（

）。

問題1選項

A.國家標準

B.行業(yè)標準

C.地方標準

D.企業(yè)標準

【答案】A

【解析】本題考查我國的標準體系相關(guān)知識。

GB屬于國家標準。

我國標準體制目前分為四級：國家標準、行業(yè)標準、地方標準和企業(yè)標準。國家標準的代號是GB，國家推薦性標準為GB/T，其他級別的推薦性標準類似。行業(yè)標準有70個左右，代號都是兩個（拼音）字母。地方標準的代號是DBXX，如DB44是廣東地方標準，DB35/T是福建推薦性標準等。企業(yè)標準代號的標準格式是Q/XX，XX也可以是三位，一般不超過四位，由企業(yè)自己定。故本題選A。

點播：

國家強制標準：GB

國家推薦標準：GB/T

國家指導(dǎo)標準：GB/Z

國家實物標準：GSB

7.單選題

利用公開密鑰算法進行數(shù)據(jù)加密時，采用的方式是（

）。

問題1選項

A.發(fā)送方用公開密鑰加密，接收方用公開密鑰解密

B.發(fā)送方用私有密鑰加密，接收方用私有密鑰解密

C.發(fā)送方用公開密鑰加密，接收方用私有密鑰解密

D.發(fā)送方用私有密鑰加密，接收方用公開密鑰解密

【答案】C

【解析】本題考查公鑰密碼體制相關(guān)知識。

公鑰密碼體制又稱為非對稱密碼體制，其基本原理是在加密和解密過程中使用不同的密鑰處理方式，其中加密密鑰可以公開，而只需要把解密密鑰安全存放即可。在進行加解密時，發(fā)送方用對方的公鑰加密，接收方用自己的私鑰解密。故本題選C。

8.單選題

IP地址分為全球地址（公有地址）和專用地址（私有地址），在文檔RFC1918中，不屬于專用地址的是（

）。

問題1選項

A.到55

B.到55

C.到55

D.到55

【答案】B

【解析】本題考查IP地址分類的相關(guān)知識。

專用地址范圍：A類：-55；B類：-55；C類：-55。根據(jù)IP地址的分類來看，255開頭的IP地址不屬于私有專用地址。故本題選B。

點播：公有IP地址分為：

A：--55&--55；

B：--55&--55；

C：--55&--55。

9.單選題

2016年11月7日，十二屆全國人大常委會第二十四次會議以154票贊成、1票棄權(quán)，表決通過了《中華人民共和國網(wǎng)絡(luò)安全法》。該法律第五十八條明確規(guī)定，因維護國家安全和社會公共秩序，處置重大突發(fā)社會安全事件的需要，經(jīng)（

）決定或者批準，可以在特定區(qū)域?qū)W(wǎng)絡(luò)通信采取限制等臨時措施。

問題1選項

A.國務(wù)院

B.國家網(wǎng)信部門

C.省級以上人民政府

D.網(wǎng)絡(luò)服務(wù)提供商

【答案】A

【解析】本題考查《中華人民共和國網(wǎng)絡(luò)安全法》。

《中華人民共和國網(wǎng)絡(luò)安全法》第五十八條：因維護國家安全和社會公共秩序，處置重大突發(fā)社會安全事件的需要，經(jīng)國務(wù)院決定或者批準，可以在特定區(qū)域?qū)W(wǎng)絡(luò)通信采取限制等臨時措施。故本題選A。

點播：《中華人民共和國網(wǎng)絡(luò)安全法》已于2017年6月1日起實施。為加強網(wǎng)絡(luò)安全教育，網(wǎng)絡(luò)空間安全已被增設(shè)為一級學(xué)科。

10.單選題

虛擬專用網(wǎng)VPN是一種新型的網(wǎng)絡(luò)安全傳輸技術(shù)，為數(shù)據(jù)傳輸和網(wǎng)絡(luò)服務(wù)提供安全通道。VPN架構(gòu)采用的多種安全機制中，不包括（

）。

問題1選項

A.隧道技術(shù)

B.信息隱藏技術(shù)

C.密鑰管理技術(shù)

D.身份認證技術(shù)

【答案】B

【解析】本題考查VPN采用的多種安全機制。

目前VPN主要采用如下四項技術(shù)保證安全：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)。

隧道技術(shù)：隧道技術(shù)是VPN的基本技術(shù)，類似于點對點連接技術(shù)，它在公用建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中，這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等；第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec等。

密鑰管理技術(shù)：密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

身份認證技術(shù)：身份認證技術(shù)是在計算機網(wǎng)絡(luò)中確認操作者身份的過程而產(chǎn)生的有效解決方法。在真實世界，對用戶的身份認證基本方法可以分為：基于信息秘密的身份認證、基于信任物體的身份認證、基于生物特征的身份認證。

加解密技術(shù)：加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)實現(xiàn)加解密。故本題選B。

點播：VPN類型包括鏈路層VPN、網(wǎng)絡(luò)層VPN、傳輸層VPN。

11.單選題

數(shù)字水印技術(shù)通過在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱蔽的水印標記，可以有效實現(xiàn)對數(shù)字多媒體數(shù)據(jù)的版權(quán)保護等功能。以下關(guān)于數(shù)字水印的描述中，不正確的是（

）。

問題1選項

A.隱形數(shù)字水印可應(yīng)用于數(shù)據(jù)偵測與跟蹤

B.在數(shù)字水印技術(shù)中，隱藏水印的數(shù)據(jù)量和魯棒性是一對矛盾

C.秘密水印也稱盲化水印，其驗證過程不需要原始秘密信息

D.視頻水印算法必須滿足實時性的要求

【答案】C

【解析】本題考查數(shù)字水印知識。

在數(shù)字水印技術(shù)中，水印的數(shù)據(jù)量和魯棒性構(gòu)成了一對基本矛盾；視頻水印算法必須滿足實時性的要求；隱形數(shù)字水印主要應(yīng)用領(lǐng)域有原始數(shù)據(jù)的真?zhèn)舞b別、數(shù)據(jù)偵測與跟蹤、數(shù)字產(chǎn)品版權(quán)保護。數(shù)字水印根據(jù)輸入輸出的種類及其組合可分為三種：①秘密水?。ǚ敲せ。?、②半秘密水印（半盲化水?。?、③公開水印（盲化或健忘水?。?。盲化水印的檢測不需要任何原始數(shù)據(jù)和輔助信息。故本題選C。

點播：數(shù)字水印原理：通過數(shù)字信號處理方法，在數(shù)字化的媒體文件中嵌入特定的標記。水印分為可感知的和不易感知的兩種。其安全需求包括安全性、隱蔽性、魯棒性，不要求可見性。

Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

12.單選題

安全電子交易協(xié)議SET中采用的公鑰密碼算法是RSA，采用的私鑰密碼算法是DES，其所使用的DES有效密鑰長度是（

）。

問題1選項

A.48位

B.56位

C.64位

D.128位

【答案】B

【解析】本題考查DES算法

DES是一個分組密碼算法，能夠支持64比特的明文塊加密，其密鑰長度為56比特，即56位。故本題選B。

點播：DES是世界上應(yīng)用最廣泛的密碼，但是隨著計算機系統(tǒng)運算速度的增加和網(wǎng)絡(luò)計算的進行，在有限的時間內(nèi)進行大量的運算將變得更可行，因此DES56比特的密鑰長度已不足以保證密碼系統(tǒng)的安全。NIST于1999年10月25日采用三重DES（TDEA）作為過渡期間的國家標準，以增強DES的安全性。

13.單選題

惡意代碼是指為達到惡意目的而專門設(shè)計的程序或代碼。惡意代碼的一般命名格式為：..。以下惡意代碼中，屬于腳本病毒的是（

）。

問題1選項

A.Worm.Sasser.f

B.Trojan.Huigezi.a

C.Harm.formatC.f

D.Script.Redlof

【答案】D

【解析】本題考查惡意代碼相關(guān)知識。

惡意代碼的英文是MaliciousCode，它是一種違背目標系統(tǒng)安全策略的程序代碼，會造成目標系統(tǒng)信息泄露、資源濫用，破壞系統(tǒng)的完整性及可用性。根據(jù)惡意代碼的命名規(guī)則，腳本病毒的共有特性是腳本病毒的前綴是：Script，則屬于腳本病毒的是Script.Redlof。

A為蠕蟲病毒、B為木馬病毒、C為破壞性病毒。

故本題選D。

點播：惡意代碼是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權(quán)益的軟件，也包括故意編制或設(shè)置的、對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機代碼。在訪問因特網(wǎng)時，可以采取將要訪問的Web站點按其可信度分配到瀏覽器不同安全區(qū)域的方式防止Web頁面中惡意代碼對自己計算機的損害。

14.單選題

已知DES算法S盒如下，如果該S盒的輸入為001011，則其二進制輸出為（

）。

問題1選項

A.1011

B.1100

C.0011

D.1101

【答案】B

【解析】本題考查分組密碼算法DES的S盒。

S盒的輸入長度等于6，6個比特的第一和第六比特代表行，題中所給為01(十進制為1)，中間4個比特代表列，題中所給為0101(十進制為5)，因此對應(yīng)上述S盒中的元素值為12，表示為二進制即為1100。

答案選B。

15.單選題

問題1選項

A.ECB

B.CTR

C.CFB

D.PCBC

【答案】D

【解析】本題考查分組密碼相關(guān)知識。

圖為明密文鏈接工作原理圖，即PCBC。官方教材（第一版）P109。

電碼本模式ECB直接利用分組密碼對明文的各分組進行加密。

計數(shù)模式（CTR模式）加密是對一系列輸入數(shù)據(jù)塊（稱為計數(shù)）進行加密，產(chǎn)生一系列的輸出塊，輸出塊與明文異或得到密文。

密文反饋模式（CFB模式）。在CFB模式中，前一個密文分組會被送回到密碼算法的輸入端。

故本題選D。

點播：明密文鏈接方式具有加密錯誤傳播無界的特性，而磁盤文件加密通常希望解密錯誤傳播有界，這時可采用密文鏈接方式。

16.單選題

計算機取證是指能夠為法庭所接受的、存在于計算機和相關(guān)設(shè)備中的電子證據(jù)的確認、保護、提取和歸檔的過程。以下關(guān)于計算機取證的描述中，不正確的是（

）。

問題1選項

A.為了保證調(diào)查工具的完整性，需要對所有工具進行加密處理

B.計算機取證需要重構(gòu)犯罪行為

C.計算機取證主要是圍繞電子證據(jù)進行的

D.電子證據(jù)具有無形性

【答案】A

【解析】本題考查計算機取證技術(shù)相關(guān)知識。

計算機證據(jù)指在計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。計算機取證是指運用計算機辨析技術(shù)，對計算機犯罪行為進行分析以確認罪犯及計算機證據(jù)，也就是針對計算機入侵與犯罪，進行證據(jù)獲取、保存、分析和出示。從技術(shù)上講，計算機取證是一個對受侵計算機系統(tǒng)進行掃描和破解，以對入侵事件進行重建的過程。因此計算機取證并不要求所有工具進行加密處理。故本題選A。

點播：調(diào)查工具需確保其完整性，要在合法和確保安全的機器上制作這些工具盤，并且還需要制作出所有程序的文件散列值（如MD5、SHA）校驗列表。以便于事后在必要時（如在法庭上）證明所使用取證工具的合法性和唯一性。同樣，對初始收集到的電子證據(jù)也應(yīng)該有文件散列值記錄，必要時可以采用多種散列值，以確保證據(jù)的完整性。計算機取證主要是圍繞電子證據(jù)進行的，電子證據(jù)具有高科技性、無形性和易破壞性等特點。計算機取證可歸納為以下幾點：是一門在犯罪進行過程中或之后收集證據(jù)的技術(shù)；需要重構(gòu)犯罪行為；將為起訴提供證據(jù)；對計算機網(wǎng)絡(luò)進行取證尤其困難，且完全依靠所保護的犯罪場景的信息質(zhì)量。其目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據(jù)提供給法庭，以便將犯罪嫌疑人繩之以法。

17.單選題

下列關(guān)于公鑰密碼體制說法不正確的是（

）。

問題1選項

A.在一個公鑰密碼體制中，一般存在公鑰和私鑰兩個密鑰

B.公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰來確定解密密鑰在計算上是可行的

C.公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰來確定解密密鑰在計算上是不可行的

D.公鑰密碼體制中的私鑰可以用來進行數(shù)字簽名

【答案】B

【解析】本題考查公鑰密碼體制相關(guān)知識

公鑰密碼體制中，一般存在公鑰和私鑰兩種密鑰；

公鑰密碼體制中僅根據(jù)密碼算法和加密密鑰去確定解密密鑰在計算上是不可行的，因為計算量過于龐大；

公鑰密碼體制中的公鑰可以以明文方式發(fā)送；

公鑰密碼體制中的私鑰可以用來進行數(shù)字簽名。

故本題選B。

18.單選題

下面對國家秘密定級和范圍的描述中，不符合《中華人民共和國保守國家秘密法》要求的是（

）。

問題1選項

A.對是否屬于國家和屬于何種密級不明確的事項，可由各單位自行參考國家要求確定和定級，然后報國家保密工作部門備案

B.各級國家機關(guān)、單位對所產(chǎn)生的秘密事項，應(yīng)當按照國家秘密及其密級的具體范圍的規(guī)定確定密級，同時確定保密期限和知悉范圍

C.國家秘密及其密級的具體范圍，由國家行政管理部門分別會同外交、公安、國家安全和其他中央有關(guān)機關(guān)規(guī)定

D.對是否屬于國家和屬于何種密級不明確的事項，由國家保密行政管理部門，或省、自治區(qū)、直轄市的保密行政管理部門確定

【答案】A

【解析】本題考查《中華人民共和國保守國家秘密法》相關(guān)知識。

國家秘密及其密級的具體范圍，由國家保密工作部門分別會同外交、公安、國家安全和其他中央有關(guān)機關(guān)規(guī)定。各級國家機關(guān)、單位對所產(chǎn)生的國家秘密事項，應(yīng)當按照國家秘密及其密級具體范圍的規(guī)定確定密級。對是否屬于國家秘密和屬于何種密級不明確的事項，產(chǎn)生該事項的機關(guān)、單位無相應(yīng)確定密級權(quán)的，應(yīng)當及時擬定密級，并在擬定密級后的十日內(nèi)依照下列規(guī)定申請確定密級：（一）屬于主管業(yè)務(wù)方面的事項，逐級報至國家保密工作部門審定的有權(quán)確定該事項密級的上級機關(guān)；（二）其他方面的事項，逐級報至有權(quán)確定該事項密級的保密工作部門。故本題選A。

點播：《中華人民共和國保守國家秘密法》于1988年9月5日第七屆全國人民代表大會常務(wù)委員會第三次會議通過，2010年4月29日第十一屆全國人民代表大會常務(wù)委員會第十四次會議修訂通過，現(xiàn)將修訂后的《中華人民共和國保守國家秘密法》公布，自2010年10月1日起施行。旨在保守國家秘密，維護國家安全和利益，保障改革開放和社會主義建設(shè)事業(yè)的順利進行。

19.單選題

電子郵件系統(tǒng)的郵件協(xié)議有發(fā)送協(xié)議SMTP和接收協(xié)議POP3/IMAP4。SMTP發(fā)送協(xié)議中，發(fā)送身份標識的指令是（

）。

問題1選項

A.SEND

B.HELP

C.HELO

D.SAML

【答案】C

【解析】本題考查電子郵件相關(guān)協(xié)議的知識。

SEND向終端發(fā)送郵件；HELP發(fā)送幫助文檔；SAML向終端和信箱發(fā)送郵件；HELO發(fā)送身份標識。官方教材（第一版）P200。故本題選C。

點播：電子郵件系統(tǒng)的郵件協(xié)議有發(fā)送協(xié)議SMTP和接收協(xié)議POP3/IMAP4，其中SMTP即簡單郵件傳輸協(xié)議。它是一組用于從源地址到目的地址傳輸郵件的規(guī)范，通過它來控制郵件的中轉(zhuǎn)方式。SMTP協(xié)議屬于TCP/IP協(xié)議簇，它幫助每臺計算機在發(fā)送或中轉(zhuǎn)信件時找到下一個目的地。

20.案例題

閱讀下列說明，回答問題1至問題5，將解答填入答題紙的對應(yīng)欄內(nèi)。

【說明】

防火墻作為網(wǎng)絡(luò)安全防護的第一道屏障，通常用一系列的規(guī)則來實現(xiàn)網(wǎng)絡(luò)攻擊數(shù)據(jù)包的過濾。

【問題1】(3分)

圖3-1給出了某用戶Windows系統(tǒng)下的防火墻操作界面，請寫出Windows下打開以下界面的操作步驟。

【問題2】(4分)

Smurf拒絕服務(wù)攻擊結(jié)合IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)數(shù)據(jù)包充斥目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常請求提供服務(wù)。請根據(jù)圖3-2回答下列問題。

（1）上述攻擊針對的目標IP地址是多少?

（2）在上述攻擊中，受害者將會收到ICMP協(xié)議的哪一種數(shù)據(jù)包?

【問題3】(2分)

如果要在Windows系統(tǒng)中對上述Smurf攻擊進行過濾設(shè)置，應(yīng)該在圖3-1中“允許應(yīng)用或功能通過WindowsDefender防火墻”下面的選項中選擇哪一項?

【問題4】(2分)

要對入站的ICMP協(xié)議數(shù)據(jù)包設(shè)置過濾規(guī)則，應(yīng)選擇圖3-3的哪個選項?

【問題5】(4分)

在圖3-4的端口和協(xié)議設(shè)置界面中，請分別給出“協(xié)議類型（P）”“協(xié)議號（U）”“本地端口（L）”“遠程端口（R）”的具體設(shè)置值。

【答案】【問題1】

[開始]→[控制面板]→[系統(tǒng)和安全]→[WindowsDefender防火墻]

或

運行“control[.exe]”→[系統(tǒng)和安全]→[WindowsDefender防火墻]

【問題2】

（1）

（2）Echoreply（回響應(yīng)答

）

【問題3】

高級設(shè)置。

【問題4】

自定義。

【問題5】

協(xié)議類型（p）：ICMPv4

協(xié)議號（U）：自動填1

本地端口（L）：不用填或空白

遠程端口（R）：不用填或空白

【解析】本題考查Windows系統(tǒng)下的防火墻以及網(wǎng)絡(luò)攻擊的過濾防護知識及應(yīng)用。

此類題目要求考生熟悉常見的網(wǎng)絡(luò)攻擊手段及其相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)分組，并具備Wireshark工具的基本使用方法，能針對不同的網(wǎng)絡(luò)攻擊方法配置對應(yīng)的防護措施。

【問題1】

要求掌握Windows系統(tǒng)的基本操作。根據(jù)圖中顯示的窗口標題名字或者路徑信息【系統(tǒng)和安全】-【W(wǎng)indowsDefender防火墻】，可知從控制面板是可以訪問到圖中界面的。打開控制面板可以從命令行進入，也可以從開始菜單進入。

【問題2】

從圖中可以發(fā)現(xiàn)攻擊數(shù)據(jù)包的規(guī)律:源地址都是，目的地址是一個廣播地址55，采用ICMP協(xié)議。由于它是廣播地址，對應(yīng)的同網(wǎng)內(nèi)的所有地址都可以收到，因此上述同網(wǎng)的大量機器會向源地址發(fā)送應(yīng)答分組，從而造成大量數(shù)據(jù)包發(fā)往源地址，所以在此源地址才是受害（被攻擊）地址。發(fā)送的分組是Echorequest，對應(yīng)的應(yīng)答分組是Echoreply。

【問題3】

Windows防火墻要定制過濾規(guī)則需要從“高級設(shè)置”進入。

【問題4】

針對ICMP協(xié)議，既不是程序，也沒有端口，更不是預(yù)先定義的規(guī)則，只能通過“自定義”進行設(shè)置。

【問題5】

ICMP協(xié)議工作在網(wǎng)絡(luò)層，沒有傳輸層的端口信息。因此端口信息是不需要填寫的。對于協(xié)議類型選擇ICMPv4，協(xié)議號會自動填1。

21.單選題

設(shè)在RSA的公鑰密碼體制中，公鑰為（e，n）=（7，55），則私鑰d=（

）。

問題1選項

A.11

B.15

C.17

D.23

【答案】D

【解析】本題考查RSA密碼算法相關(guān)知識。

已知n=55，則可推斷ρ（n）=（5-1）*（11-1）=40，則d*e≡1mod40，算出d=23。故本題選D。

22.單選題

在信息系統(tǒng)安全設(shè)計中，保證“信息及時且可靠地被訪問和使用”是為了達到保障信息系統(tǒng)（

）的目標。

問題1選項

A.可用性

B.保密性

C.可控性

D.完整性

【答案】A

【解析】本題考查信息安全設(shè)計目標方面的基礎(chǔ)知識。

機密性是指網(wǎng)絡(luò)信息不泄露給非授權(quán)的用戶、實體或程序，能夠防止非授權(quán)者獲取信息。

完整性是指網(wǎng)絡(luò)信息或系統(tǒng)未經(jīng)授權(quán)不能進行更改的特性。

可用性是指合法許可的用戶能夠及時獲取網(wǎng)絡(luò)信息或服務(wù)的特性。

抗抵賴性是指防止網(wǎng)絡(luò)信息系統(tǒng)相關(guān)用戶否認其活動行為的特性。

答案選A。

23.單選題

雪崩效應(yīng)指明文或密鑰的少量變化會引起密文的很大變化。下列密碼算法中不具有雪崩效應(yīng)的是（

）。

問題1選項

A.AES

B.MD5

C.RC4

D.RSA

【答案】D

【解析】本題考查密碼設(shè)計雪崩效應(yīng)方面的基礎(chǔ)知識。

雪崩效應(yīng)是指當輸入發(fā)生最微小的改變（例如，反轉(zhuǎn)一個二進制位）時，也會導(dǎo)致輸出的不可區(qū)分性改變（輸出中每個二進制位有50%的概率發(fā)生反轉(zhuǎn)）；雪崩效應(yīng)通常發(fā)生在塊密碼和加密散列函數(shù)中，RSA為公鑰密碼。

答案選D。

24.單選題

以下關(guān)于BLP安全模型的表述中，錯誤的是（

）。

問題1選項

A.BLP模型既有自主訪問控制，又有強制訪問控制

B.BLP模型是-一個嚴格形式化的模型，并給出了形式化的證明

C.BLP模型控制信息只能由高向低流動

D.BLP是一種多級安全策略模型

【答案】C

【解析】本題考查BLP安全模型方面的基礎(chǔ)知識。

BLP是安全訪問控制的一種模型，是基于自主訪問控制和強制訪問控制兩種方式實現(xiàn)的。它是一種嚴格的形式化描述，控制信息只能由低向高流動。它反映了多級安全策略的安全特性。

25.單選題

在PKI中，關(guān)于RA的功能，描述正確的是（

）。

問題1選項

A.RA是整個PKI體系中各方都承認的一個值得信賴的、公正的第三方機構(gòu)

B.RA負責產(chǎn)生，分配并管理PKI結(jié)構(gòu)下的所有用戶的數(shù)字證書，把用戶的公鑰和用戶的其他信息綁在一起，在網(wǎng)上驗證用戶的身份

C.RA負責證書廢止列表CRL的登記和發(fā)布

D.RA負責證書申請者的信息錄入，審核以及證書的發(fā)放等任務(wù)，同時，對發(fā)放的證書完成相應(yīng)的管理功能

【答案】D

【解析】本題考查CA機構(gòu)相關(guān)知識。

CA（CertificationAuthority）是一個可信賴的第三方認證機構(gòu)，也是證書授權(quán)機構(gòu)。主要負責證書的頒發(fā)、廢止和更新。證書中含有實體名、公鑰以及實體的其他身份信息。

RA（RegistrationAuthority），數(shù)字證書注冊審批機構(gòu)。RA系統(tǒng)是CA的證書發(fā)放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發(fā)放等工作（安全審計）。同時，對發(fā)放的證書完成相應(yīng)的管理功能（安全管理）。

故本題選D。

26.單選題

對于定義在GF(p)上的橢圓曲線，取素數(shù)P=11，橢圓曲線y2=x3+x+6mod11，則以下是橢圓曲線11平方剩余的是（

）。

問題1選項

A.x=1

B.x=3

C.x=6

D.x=9

【答案】B

【解析】本題考查橢圓曲線密碼。

首先應(yīng)了解平方剩余；假設(shè)p是素數(shù)，a是整數(shù)。如果存在一個整數(shù)y使得y2≡a(modp)（即y2-a可以被p整除），那么就稱a在p的剩余類中是平方剩余的。

根據(jù)這個定義，將選項值進行代入運算可知，當x=3，y2≡36（mod11），此時y的值可為5或6；其余選項都是不滿足平方剩余條件的。故本題選B。

27.單選題

無線局域網(wǎng)鑒別和保密體系WAPI是一種安全協(xié)議，也是我國無線局域網(wǎng)安全強制性標準，以下關(guān)于WAPI的描述中，正確的是（

）。

問題1選項

A.WAPI系統(tǒng)中，鑒權(quán)服務(wù)器AS負責證書的頒發(fā)、驗證和撤銷

B.WAPI與WiFi認證方式類似，均采用單向加密的認證技術(shù)

C.WAPI中，WPI采用RSA算法進行加解密操作

D.WAPI從應(yīng)用模式上分為單點式、分布式和集中式

【答案】A

【解析】本題考查WAPI安全協(xié)議。

與WIFI的單向加密認證不同，WAPI雙向均認證，從而保證傳輸?shù)陌踩?。WAPI安全系統(tǒng)采用公鑰密碼技術(shù)，鑒權(quán)服務(wù)器AS負責證書的頒發(fā)、驗證與吊銷等，無線客戶端與無線接入點AP上都安裝有AS頒發(fā)的公鑰證書，作為自己的數(shù)字身份憑證。WAPI包括兩部分：WAI和WPI。WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)加密，其中WAI采用公開密鑰密碼體制，WPI則采用對稱密碼算法進行加、解密操作。WAPI從應(yīng)用模式上分為單點式和集中式兩種，可以徹底扭轉(zhuǎn)目前WLAN采用多種安全機制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。官方教材（第一版）P370。故本題選A。

點播：WAPI鑒別及密鑰管理的方式有兩種，即基于證書和基于預(yù)共享密鑰PSK。

28.單選題

不屬于物理安全威脅的是（

）。

問題1選項

A.電源故障

B.物理攻擊

C.自然災(zāi)害

D.字典攻擊

【答案】D

【解析】本題考查物理攻擊相關(guān)知識。

物理安全是指在物理媒介層次上對存儲和傳輸?shù)男畔⒓右员Ｗo，它是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作錯誤或各種計算機犯罪行為而導(dǎo)致破壞的過程。字典攻擊屬于網(wǎng)絡(luò)服務(wù)的暴力破解，不屬于物理安全威脅。故本題選D。

29.單選題

在安全評估過程中，采取（

）手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。

問題1選項

A.問卷調(diào)查

B.人員訪談

C.滲透測試

D.手工檢查

【答案】C

【解析】本題考查安全評估方面的基礎(chǔ)知識。

滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。在安全評估過程中，一般采取滲透測試手段，可以模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。

答案選C。

30.單選題

Windows系統(tǒng)的用戶管理配置中，有多項安全設(shè)置，其中密碼和賬戶鎖定安全選項設(shè)置屬于（）。

問題1選項

A.本地策略

B.公鑰策略

C.軟件限制策略

D.賬戶策略

【答案】D

【解析】點播：在Windows操作系統(tǒng)中，賬戶策略包含三個子集：

（1）密碼策略：對于域或本地用戶賬戶，決定密碼的設(shè)置，如強制性和期限。

（2）賬戶鎖定策略：對于域或本地用戶賬戶，決定系統(tǒng)鎖定賬戶的時間，以及鎖定誰的賬戶。

（3）Kerberos策略：對于域用戶賬戶，決定與Kerberos有關(guān)的設(shè)置，如賬戶有效期和強制性。

31.單選題

2019年10月26日，十三屆全國人大常委會第十四次會議表決通過了《中華人民共和國密碼法》，該法律自（

）起施行。

問題1選項

A.2020年10月1日

B.2020年12月1日

C.2020年1月1日

D.2020年7月1日

【答案】C

【解析】本題考查網(wǎng)絡(luò)安全法律法規(guī)的相關(guān)知識。

《中華,人民共和國密碼法》由中華人民共和國第十三屆全國人民代表大會常務(wù)委員會第十四次會議于2019年10月26日通過，自2020年1月1日起施行。

答案選C。

32.單選題

2018年10月，含有我國SM3雜湊算法的ISO/IEC10118-3:2018《信息安全技術(shù)雜湊函數(shù)第3部分：專用雜湊函數(shù)》由國際標準化組織（ISO）發(fā)布，SM3算法正式成為國際標準。SM3的雜湊值長度為（

）。

問題1選項

A.8字節(jié)

B.16字節(jié)

C.32字節(jié)

D.64字節(jié)

【答案】C

【解析】本題考查國產(chǎn)密碼算法中的SM3算法。

SM3為雜湊算法，雜湊長度為256比特，也就是32字節(jié)，故本題選C。

點播：SM3主要用于數(shù)字簽名及驗證、消息認證碼生成及驗證、隨機數(shù)生成等，其算法公開。據(jù)國家密碼管理局表示，其安全性及效率與SHA-256相當，其輸出為256bit的雜湊值。

33.單選題

SM2算法是國家密碼管理局于2010年12月17日發(fā)布的橢圓曲線公鑰密碼算法，在我們國家商用密碼體系中被用來替換（

）算法。

問題1選項

A.DES

B.MD5

C.RSA

D.IDEA

【答案】C

【解析】本題考查我國商用密碼管理方面的知識。

DES算法、IDEA算法都屬于分組密碼算法；MD5算法是一種Hash算法，也叫雜湊算法；SM2算法和RSA算法都屬于非對稱加密算法。SM2算法是一種更先進更安全的算法，隨著密碼技術(shù)和計算機技術(shù)的發(fā)展，目前常用的1024位RSA算法面臨嚴重的安全威脅，我們國家密碼管理部門經(jīng)過研究，決定采用SM2橢圓曲線算法替換RSA算法。故本題選C。

點播：

SM1：對稱加密分組長度和密鑰長度都為128比特；

SM2：非對稱加密，用于公鑰加密算法、密鑰交換協(xié)議、數(shù)字簽名算法，國家標準推薦使用素數(shù)域256位橢圓曲線；

SM3：雜湊算法，雜湊值長度為256比特；

SM4：對稱加密，分組長度和密鑰長度都為128比特；

SM9：標識密碼算法。

34.單選題

為了應(yīng)對日益嚴重的垃圾郵件問題，服務(wù)提供商設(shè)計和應(yīng)用了各種垃圾郵件過濾機制，以下耗費計算資源最多的垃圾郵件過濾機制是（

）。

問題1選項

A.SMTP身份認證

B.反向名字解析

C.內(nèi)容過濾

D.黑名單過濾

【答案】C

【解析】本題考查垃圾郵件過濾機制方面的基礎(chǔ)知識。

SMTP認證是指在MTA.上對來自本地網(wǎng)絡(luò)以外的發(fā)信用戶進行認證，也就是必須在提供了賬戶名和密碼之后才可以登錄SMTP服務(wù)器，進行遠程轉(zhuǎn)發(fā)，使用戶避免受到垃圾郵件的侵擾。

反向名字解析是指通過DNS查詢來判斷發(fā)送者的IP與其聲稱的名字是否一致，例如，其聲稱的名字為,而其連接地址為00，與其DNS記錄不符，則予以拒收。

黑名單過濾是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數(shù)據(jù)庫的。

即使使用了前面諸多環(huán)節(jié)中的技術(shù)，仍然會有相當一部分垃圾郵件漏網(wǎng)，對此情況目前最有效的方法是基于郵件標題或正文的內(nèi)容過濾。結(jié)合內(nèi)容掃描引擎，根據(jù)垃圾郵件的常用標題語、垃圾郵件受益者的姓名、電話號碼、Web地址等信息進行過濾。由此可見，內(nèi)容過濾是耗費計算資源最多的垃圾郵件過濾機制。

答案選C。

35.單選題

文件加密就是將重要的文件以密文形式存儲在媒介上，對文件進行加密是一種有效的數(shù)據(jù)加密存儲技術(shù)。以下文件加密系統(tǒng)，基于Windows系統(tǒng)的是（

）。

問題1選項

A.AFS

B.TCFS

C.CFS

D.EFS

【答案】D

【解析】本題考查文件加密的相關(guān)知識。

加密文件系統(tǒng)（EncryptingFileSystem，EFS）是Windows2000及以上Windows版本中，磁盤格式為NTFS的文件加密。CFS、TCFS、AFS都是基于Linux系統(tǒng)的文件加密系統(tǒng)。故本題選D。

點播：加密技術(shù)是惡意代碼進行自我保護的手段之一，再配合反跟蹤技術(shù)的使用，讓分析者不能正常調(diào)試和閱讀惡意代碼，無法獲得惡意代碼的工作原理，自然也不能抽取特征串。從加密的內(nèi)容上劃分，加密手段有三種，即信息加密、數(shù)據(jù)加密和程序代碼加密。

Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONE

36.單選題

對無線網(wǎng)絡(luò)的攻擊可以分為：對無線接口的攻擊、對無線設(shè)備的攻擊和對無線網(wǎng)絡(luò)的攻擊。以下屬于對無線設(shè)備攻擊的是（

）。

問題1選項

A.竊聽

B.重放

C.克隆

D.欺詐

【答案】C

【解析】本題考查無線網(wǎng)絡(luò)安全相關(guān)知識。

網(wǎng)絡(luò)竊聽：是指利用網(wǎng)絡(luò)通信技術(shù)缺陷，使得攻擊者能夠獲取到其他人的網(wǎng)絡(luò)通信信息。常見的網(wǎng)絡(luò)竊聽技術(shù)手段主要有網(wǎng)絡(luò)嗅探、中間人攻擊。

重放攻擊：也被叫做是重播攻擊、回放攻擊或者是新鮮性攻擊，具體是指攻擊者發(fā)送一個目的主機已經(jīng)接收過的包來達到欺騙系統(tǒng)的目的。重放攻擊主要是在身份認證的過程時使用，它可以把認證的正確性破壞掉。

克隆：克隆網(wǎng)絡(luò)中的AP使得用戶每天所連接的那個看似安全的無線AP，就是被克隆偽裝的惡意AP。

欺騙攻擊：欺騙攻擊就是利用假冒、偽裝后的身份與其他主機進行合法的通信或者發(fā)送假的報文，使受攻擊的主機出現(xiàn)錯誤，或者是偽造一系列假的網(wǎng)絡(luò)地址和網(wǎng)絡(luò)空間頂替真正的網(wǎng)絡(luò)主機為用戶提供網(wǎng)絡(luò)服務(wù)，以此方法獲得訪問用戶的合法信息后加以利用，轉(zhuǎn)而攻擊主機的網(wǎng)絡(luò)欺詐行為。常見的網(wǎng)絡(luò)欺騙攻擊主要方式有：IP欺騙、ARP欺騙、DNS欺騙、Weh欺騙、電子郵件欺騙、源路由欺騙等。

故本題選C。

點播：無線網(wǎng)絡(luò)由于自身特點，面臨著比有線網(wǎng)絡(luò)更多更嚴重的安全威脅，主要可劃分為對無線接口的攻擊、對無線設(shè)備的攻擊以及對無線網(wǎng)絡(luò)本身的攻擊。根據(jù)攻擊手段和目標，對無線接口的攻擊可以分為物理攻擊和密碼學(xué)攻擊，包括竊聽、篡改、重放、干擾和欺詐等等。攻擊無線網(wǎng)絡(luò)是指針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行攻擊，也包括內(nèi)部人員破壞和泄密。針對無線設(shè)備的攻擊包括克隆、盜竊等等。

37.單選題

互聯(lián)網(wǎng)上通信雙方不僅需要知道對方的地址，也需要知道通信程序的端口號。以下關(guān)于端口的描述中，不正確的是（

）。

問題1選項

A.端口可以泄露網(wǎng)絡(luò)信息

B.端口不能復(fù)用

C.端口是標識服務(wù)的地址

D.端口是網(wǎng)絡(luò)套接字的重要組成部分

【答案】B

【解析】本題考查通信端口相關(guān)知識。

端口是表示服務(wù)的地址，是網(wǎng)絡(luò)套接字的重要組成部分，端口可以泄露網(wǎng)絡(luò)信息。端口是信息系統(tǒng)中設(shè)備與外界進行信息交互的出口，互聯(lián)網(wǎng)上通信雙方不僅需要知道對方的地址，也需要知道通信程序的端口號。故本題選B。

點播：我們知道，一臺擁有IP地址的主機可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過1個IP地址來實現(xiàn)。那么，主機是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，因為IP地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對多的關(guān)系。實際上是通過“IP地址+端口號”來區(qū)分不同的服務(wù)的。

38.單選題

在Windows操作系統(tǒng)下，要獲取某個網(wǎng)絡(luò)開放端口所對應(yīng)的應(yīng)用程序信息，可以使用命令（

）。

問題1選項

A.ipconfig

B.traceroute

C.netstat

D.nslookup

【答案】C

【解析】本題考查Windows操作系統(tǒng)命令的基礎(chǔ)知識。

netstat命令是一一個監(jiān)控TCP/IP網(wǎng)絡(luò)的非常有用的工具，它叮以顯示路由表、實際的網(wǎng)絡(luò)連接以及每一個網(wǎng)絡(luò)接口設(shè)備的狀態(tài)信息。netstat命令的-p選項可以顯示正在使用Socket的程序識別碼和程序名稱。

答案選C。

39.案例題

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)。

【說明】

代碼安全漏洞往往是系統(tǒng)或者網(wǎng)絡(luò)被攻破的頭號殺手。在C語言程序開發(fā)中，由于C語言自身語法的一些特性，很容易出現(xiàn)各種安全漏洞。因此，應(yīng)該在C程序開發(fā)中充分利用現(xiàn)有開發(fā)工具提供的各種安全編譯選項，減少出現(xiàn)漏洞的可能性。

【問題1】(4分)

圖5-1給出了一段有漏洞的C語言代碼（注：行首數(shù)字是代碼行號），請問，上述代碼存在哪種類型的安全漏洞？該漏洞和C語言數(shù)組的哪一個特性有關(guān)？

【問題2】(4分)

圖5-2給出了C程序的典型內(nèi)存布局，請回答如下問題。

（1）請問圖5-1的代碼中第9行的變量authenticated保存在圖5-2所示的哪個區(qū)域中?

（2）請問stack的兩個典型操作是什么?

（3）在圖5-2中的stack區(qū)域保存數(shù)據(jù)時，其地址增長方向是往高地址還是往低地址增加?

（4）對于圖5-1代碼中的第9行和第10行代碼的兩個變量，哪個變量對應(yīng)的內(nèi)存地址更高?

【問題3】(6分)

微軟的VisualStudio提供了很多安全相關(guān)的編譯選項，圖5-3給出了圖5-1中代碼相關(guān)的工程屬性頁面的截圖。請回答以下問題。

（1）請問圖5-3中哪項配置可以有效緩解上述代碼存在的安全漏洞?

（2）如果把圖5-1中第10行代碼改為charbuffer[4];圖5-3的安全編譯選項是否還起作用?

（3）模糊測試是否可以檢測出上述代碼的安全漏洞?

【答案】【問題1】

緩沖區(qū)（棧

）

溢出。

不對數(shù)組越界進行檢查。

【問題2】

（1）stack

（2）push和pop或者壓棧和彈棧

（3）高地址

（4）第9行或者authenticated變量

【問題3】

（1）EnableSecurityCheck(/GS)

（2）不起作用

（3）可以檢測出漏洞

【解析】本題考查軟件安全的漏洞類型以及安全開發(fā)的知識，是關(guān)于代碼安全的問題。

【問題1】

這類漏洞是由于函數(shù)內(nèi)的本地變量溢出造成的，而本地變量都位于堆棧區(qū)域，因此這類漏洞一般稱為棧溢出漏洞。主要是因為C語言編譯器對數(shù)組越界沒有進行檢查導(dǎo)致的。

【問題2】

第9行的變量authenticated同樣是本地變量，因此位于堆棧(stack)區(qū)域。堆棧結(jié)構(gòu)常見的操作就是push和pop。在數(shù)據(jù)往堆棧區(qū)域?qū)憰r，都是往高地址寫的。在入棧時，則是第9行的變量先入棧在高地址，后續(xù)的第10行代碼對應(yīng)的變量buffer后入棧在低地址，因此第9行的變量在高地址。只有這樣在往buffer數(shù)組拷貝過多的數(shù)據(jù)時，才會覆蓋掉后續(xù)的authenticated變量。

【問題3】

微軟的VisualStudio編譯器提供了很多的安全編譯選項，可以對代碼進行安全編譯，例如圖中EnableSecurityCheck(/GS)可以在棧中添加特殊值，使得一旦被覆蓋就會導(dǎo)致異常，從而增加漏洞利用難度。該編譯選項針對小于等于4個字節(jié)的數(shù)組不起保護作用。模糊測試通過發(fā)送不同長度的數(shù)據(jù)給buffer,可能導(dǎo)致覆蓋后續(xù)變量和指針值，導(dǎo)致程序異常從而觸發(fā)監(jiān)測，因此采用模糊測試的方法是可以檢測出此類漏洞的。

40.單選題

關(guān)于祖沖之算法的安全性分析不正確的是（

）。

問題1選項

A.祖沖之算法輸出序列的隨機性好，周期足夠大

B.祖沖之算法的輸出具有良好的線性、混淆特性和擴散特性

C.祖沖之算法可以抵抗已知的序列密碼分析方法

D.祖沖之算法可以抵抗弱密分析

【答案】B

【解析】本題考查祖沖之密碼相關(guān)知識。

祖沖之算法是我國學(xué)者自主設(shè)計的加密和完整性算法，是一種流密碼。算法由三個基本部分組成，依次為比特重組、非線性函數(shù)F、線性反饋位移寄存器（LFSR）。

ZUC算法在邏輯上采用三層結(jié)構(gòu)設(shè)計，具有非常高的安全強度，能夠抵抗目前常見的各種流密碼攻擊方法。ZUC算法本質(zhì)上是一種非線性序列產(chǎn)生器。由此，在種子密鑰的作用下，可以產(chǎn)生足夠長的安全密鑰序列。把與密鑰序列明文數(shù)據(jù)模2相加，便完成了數(shù)據(jù)加密。同樣，把密鑰序列與密文數(shù)據(jù)模2相加，便完成了數(shù)據(jù)解密。故本題選B。

41.單選題

無線傳感器網(wǎng)絡(luò)WSN是由部署在監(jiān)測區(qū)域內(nèi)大量的廉價微型傳感器節(jié)點組成，通過無線通信方式形成的一個多跳的自組織網(wǎng)絡(luò)系統(tǒng)。以下針對WSN安全問題的描述中，錯誤的是（

）。

問題1選項

A.通過頻率切換可以有效抵御WSN物理層的電子干擾攻擊

B.WSN鏈路層容易受到拒絕服務(wù)攻擊

C.分組密碼算法不適合在WSN中使用

D.蟲洞攻擊是針對WSN路由層的一種網(wǎng)絡(luò)攻擊形式

【答案】C

【解析】本題考查無線傳感器網(wǎng)絡(luò)WSN的相關(guān)知識。

WSN是一種節(jié)點資源受限的無線網(wǎng)絡(luò)，其鏈路層安全策略的輕量化研究適合于各種應(yīng)用環(huán)境的WSN系統(tǒng)，且效果顯著。結(jié)合序列密碼和分組密碼各自的優(yōu)勢，提出了一種新型輕量的WSN鏈路層加密算法——TinySBSec，該協(xié)議采用的是對稱分組密碼。加密算法可以是RC5或是Skipjack算法。其加密算法的工作模式為CBC模式，是一種擁有反饋機制的工作模式。故本題選C。

點播：無線傳感器網(wǎng)絡(luò)WSN是由部署在監(jiān)測區(qū)域內(nèi)大量的廉價微型傳感器節(jié)點組成，通過無線通信方式形成的一個多跳的自組織網(wǎng)絡(luò)系統(tǒng)。WSN通過頻率切換可以有效抵御WSN物理層的電子干擾攻擊，鏈路層容易受到拒絕服務(wù)攻擊，蟲洞是針對WSN路由層的一種網(wǎng)絡(luò)攻擊形式。

42.單選題

VPN即虛擬專用網(wǎng)，是一種依靠ISP和其他NSP在公用網(wǎng)絡(luò)中建立專用的、安全的數(shù)據(jù)通信通道的技術(shù)。以下關(guān)于虛擬專用網(wǎng)VPN的描述中，錯誤的是（

）。

問題1選項

A.VPN采用隧道技術(shù)實現(xiàn)安全通信

B.第2層隧道協(xié)議L2TP主要由LAC和LNS構(gòu)成

C.IPSec可以實現(xiàn)數(shù)據(jù)的加密傳輸

D.點對點隧道協(xié)議PPTP中的身份驗證機制包括RAP、CHAP、MPPE

【答案】D

【解析】本題考查虛擬專用網(wǎng)(VPN)方面的基礎(chǔ)知識。

VPN的隧道協(xié)議主要有PPTP、L2TP和IPSec三種，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為第二層隧道協(xié)議;IPSec是第三層隧道協(xié)議。PPTP通?？梢源钆銹AP、CHAP、MS-CHAPv1/v2或EAP-TLS來進行身份驗證。

答案選D。

43.單選題

下列關(guān)于數(shù)字簽名說法正確的是（

）。

問題1選項

A.數(shù)字簽名不可信

B.數(shù)字簽名不可改變

C.數(shù)字簽名可以否認

D.數(shù)字簽名易被偽造

【答案】B

【解析】本題考查數(shù)字簽名相關(guān)知識。

數(shù)字簽名具有與手寫簽名一樣的特點，是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的。故本題選B。

點播：數(shù)字簽名的目的是通過網(wǎng)絡(luò)信息安全技術(shù)手段實現(xiàn)傳統(tǒng)的紙面簽字或者蓋章的功能，以確認交易當事人的真實身份，保證交易的安全性、真實性和不可抵賴性。數(shù)字簽名至少滿足三個條件：非否認性、真實性、可鑒別性。

44.單選題

信息安全風險評估是指確定在計算機系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失或遭到破壞對整個系統(tǒng)造成的預(yù)計損失數(shù)量，是對威脅、脆弱點以及由此帶來的風險大小的評估。在信息安全風險評估中，以下說法正確的是（

）。

問題1選項

A.安全需求可通過安全措施得以滿足，不需要結(jié)合資產(chǎn)價值考慮實施成本

B.風險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風險大小。在對這些要素的評估過程中，不需要充分考慮與這些基本要素相關(guān)的各類屬性

C.風險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風險大小。在對這些要素的評估過程中，需要充分考慮與這些基本要素相關(guān)的各類屬性

D.信息系統(tǒng)的風險在實施了安全措施后可以降為零

【答案】C

【解析】本題考查信息安全風險評估相關(guān)知識。

信息安全風險評估是依照科學(xué)的風險管理程序和方法，充分的對組成系統(tǒng)的各部分所面臨的危險因素進行分析評價，針對系統(tǒng)存在的安全問題，根據(jù)系統(tǒng)對其自身的安全需求，提出有效的安全措施，達到最大限度減少風險、降低危害和確保系統(tǒng)安全運行的目的。風險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風險大小。在對這些要素的評估過程中，需要充分考慮與這些基本要素相關(guān)的各類屬性。官方教材（第一版）P313。故本題選C。

點播：此類題型看到B、C選項互為矛盾后，即可直接排除A、D項（本身A、D項的說法就過于絕對），再根據(jù)題干要求進行分析，即可快速解答。此類題型需注意題目要求選擇的是正確選項還是錯誤選項。

45.單選題

以下關(guān)于認證和加密的表述中，錯誤的是（

）。

問題1選項

A.加密用以確保數(shù)據(jù)的保密性

B.認證用以確保報文發(fā)送者和接收者的真實性

C.認證和加密都可以阻止對手進行被動攻擊

D.身份認證的目的在于識別用戶的合法性，阻止非法用戶訪問系統(tǒng)

【答案】C

【解析】本題考查身份認證技術(shù)和加密技術(shù)的基本功能。

身份認證是來識別用戶是否合法，常用的是基于用戶知道的(如口令)、基于用戶擁有的和生物特征等技術(shù)，上述信息在進行身份認證時，如傳輸時被嗅探(典型的被動攻擊)則有可能造成身份信息泄露。因此身份認證無法阻止被動攻擊。

答案選C。

46.單選題

以下關(guān)于網(wǎng)絡(luò)欺騙的描述中，不正確的是（

）。

問題1選項

A.Web欺騙是一種社會工程攻擊

B.DNS欺騙通過入侵網(wǎng)站服務(wù)器實現(xiàn)對網(wǎng)站內(nèi)容的篡改

C.郵件欺騙可以遠程登錄郵件服務(wù)器的端口25

D.采用雙向綁定的方法可以有效阻止ARP欺騙

【答案】B

【解析】本題考查網(wǎng)絡(luò)欺騙相關(guān)知識。

DNS欺騙：是一種攻擊者冒充域名服務(wù)器的欺騙行為。原理：如果可以冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。并不會對原網(wǎng)頁內(nèi)容進行篡改。故本題選B。

點播：網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價值的、可利用的安全弱點，并具有一些可攻擊竊取的資源（當然這些資源是偽造的或不重要的），并將入侵者引向這些錯誤的資源。它能夠顯著地增加入侵者的工作量、入侵復(fù)雜度以及不確定性，從而使入侵者不知道其進攻是否奏效或成功。而且，它允許防護者跟蹤入侵者的行為，在入侵者之前修補系統(tǒng)可能存在的安全漏洞。

47.單選題

密碼工作是黨和國家的一項特殊重要工作，直接關(guān)系國家政治安全、經(jīng)濟安全、國防安全和信息安全。密碼法的通過對全面提升密碼工作法治化水平起到了關(guān)鍵性作用。密碼法規(guī)定國家對密碼實行分類管理，密碼分類中不包含（

）。

問題1選項

A.核心密碼

B.普通密碼

C.商用密碼

D.國產(chǎn)密碼

【答案】D

【解析】本題考查密碼法方面的基礎(chǔ)知識。

根據(jù)《中華人民共和國密碼法》第六條，密碼分為核心密碼、普通密碼和商用密碼，不包含國產(chǎn)密碼。

答案選D。

48.單選題

Themodernstudyofsymmetric-keyciphersrelatesmainlytothestudyofblockciphersandstreamciphersandtotheirapplications.Ablockcipheris,inasense,amodernembodimentofAlberti'spolyalphabeticcipher:blockcipherstakeasinputablockof（）andakey,andoutputablockofciphertextofthesamesize.Sincemessagesarealmostalwayslongerthanasingleblock,somemethodofknittingtogethersuccessiveblocksisrequired.Severalhavebeendeveloped,somewithbettersecurityinoneaspectoranotherthanothers.Theyarethemodeofoperationsandmustbecarefullyconsideredwhenusingablockcipherinacryptosystem.

TheDataEncryptionStandard(DES)andtheAdvancedEncryptionStandard(AES)are（）designswhichhavebeendesignatedcryptographystandardsbytheUSgovernment(thoughDES'sdesignationwasfinallywithdrawnaftertheAESwasadopted).Despiteitsdeprecationasanofficialstandard,DES(especiallyitsstill-approvedandmuchmoresecuretriple-DESvariant)remainsquitepopular;itisusedacrossawiderangeofapplications,fromATMencryptiontoe-mailprivacyandsecureremoteaccess.Manyotherblockciphershavebeendesignedandreleased,withconsiderablevariationinquality.Manyhavebeenthoroughlybroken.SeeCategory:Blockciphers.

Streamciphers,incontrasttothe‘block’type,createanarbitrarilylongstreamofkeymaterial,whichiscombined（）

theplaintextbit-by-bitorcharacter-by-character,