精品文檔-下載后可編輯年11月信息安全工程師下午題2022年11月信息安全工程師下午題

1.【[材料型]問答題】2分|【問題1】（2分）

按照等級(jí)保護(hù)2.0的要求，政府網(wǎng)站的定級(jí)不應(yīng)低于幾級(jí)？該等級(jí)的測(cè)評(píng)每幾年開展一次？

2.【[材料型]問答題】6分|【問題2】（6分）

按照網(wǎng)絡(luò)安全測(cè)評(píng)的實(shí)施方式，測(cè)評(píng)主要包括安全功能檢測(cè)、安全管理檢測(cè)、代碼安全審查、安全滲透、信息系統(tǒng)攻擊測(cè)試等。王工調(diào)閱了部分網(wǎng)站后臺(tái)處理代碼，發(fā)現(xiàn)網(wǎng)站某頁(yè)面的數(shù)據(jù)庫(kù)查詢代碼存在安全漏洞，代碼如下：

12if(isset($_GET[‘Submit’])){

3

4//Retrievedata

5$id=$_GET[‘id’];

6

7$getid=”SELECTfirst_name,last_nameFROMusersWHRERuser_id=‘$id’”;

8$result=mysql_query($getid)ordie(‘

’.mysql_error().‘’);

9

10$num=mysql_numrows($result);

11

12$i=0;

13while($i$num){

14

15$first=mysql_result($result,$i,“first_name”);

16$last=mysql_result($result,$i,“l(fā)ast_name”);

17

18ehco‘’

19ehco‘ID:’.$id.‘

Firstname:’.$first.‘

Surname:’.$last;

20ehco‘’

21

22$i++;

23}

24}

25?

（1）請(qǐng)問上述代碼存在哪種漏洞？

（2）為了進(jìn)一步驗(yàn)證自己的判斷，王工在該頁(yè)面的編輯框中輸入了漏洞測(cè)試語(yǔ)句，發(fā)起測(cè)試。請(qǐng)問王工最有可能輸入的測(cè)試語(yǔ)句對(duì)應(yīng)以下哪個(gè)選項(xiàng)？

A.or1=1--orderby1B.1or‘1’=‘1’=1orderby1#

C.l’or1=1orderby1#D.1'and‘1’=‘2’orderby1#

（3）根據(jù)上述代碼，網(wǎng)站后臺(tái)使用的哪種數(shù)據(jù)庫(kù)系統(tǒng)？

（4）王工對(duì)數(shù)據(jù)庫(kù)中保存口令的數(shù)據(jù)表進(jìn)行檢查的過程中，發(fā)現(xiàn)口令為明文保存，遂給出整改建議，建議李工對(duì)源碼進(jìn)行修改，以加強(qiáng)口令的安全防護(hù)，降低敏感信息泄露風(fēng)險(xiǎn)。下面給出四種在數(shù)據(jù)庫(kù)中保存口令信息的方法，李工在安全實(shí)踐中應(yīng)采用哪一種方法？

A.Base64B.MD5C.哈希加鹽D.加密存儲(chǔ)

3.【[材料型]問答題】2分|【問題3】（2分）

按照等級(jí)保護(hù)2.0的要求，系統(tǒng)當(dāng)中沒有必要開放的服務(wù)應(yīng)當(dāng)盡量關(guān)閉。王工在命令行窗口運(yùn)行了一條命令，查詢端口開放情況。請(qǐng)給出王工所運(yùn)行命令的名字。

4.【[材料型]問答題】2分|【問題4】（2分）

防火墻是網(wǎng)絡(luò)安全區(qū)域邊界保護(hù)的重要技術(shù)，防火墻防御體系結(jié)構(gòu)主有基于雙宿主機(jī)防火墻、基于代理型防火增和基于屏蔽子網(wǎng)的防火墻。圖1-1拓?fù)鋱D中的防火墻布局屬于哪種體系結(jié)構(gòu)類型？

5.【[材料型]問答題】8分|【問題5】（8分）

根據(jù)李工提供的網(wǎng)絡(luò)拓?fù)鋱D，王工建議部署開源的Snort入侵檢測(cè)系統(tǒng)以提高整體的安全檢測(cè)和態(tài)勢(shì)感知能力。

（1）針對(duì)王工建議，李工查閱了入侵檢測(cè)系統(tǒng)的基本組成和技術(shù)原理等資料。請(qǐng)問以下有關(guān)Snort入侵檢測(cè)系統(tǒng)的描述哪兩項(xiàng)是正確的？（2分）

A.基于異常的檢測(cè)系統(tǒng)B.基于誤用的檢測(cè)系統(tǒng)

C.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)D.基于主機(jī)的入侵檢測(cè)系統(tǒng)

（2）為了部署Snort入侵檢測(cè)系統(tǒng)，李工應(yīng)該把入侵檢測(cè)系統(tǒng)連接到圖1-1網(wǎng)絡(luò)拓?fù)渲械哪呐_(tái)交換機(jī)？（1分）

（3）李工還需要把網(wǎng)絡(luò)流量導(dǎo)入入侵檢測(cè)系統(tǒng)才能識(shí)別流量中的潛在攻擊。圖1-1中使用的均為華為交換機(jī)，李工要將交換機(jī)網(wǎng)口GigabitEthernet1/0/2的流量鏡像到部署Snort的網(wǎng)口GigabitEthernet1/0/1上，他應(yīng)該選擇下列選項(xiàng)中哪一個(gè)配置？（2分）

A.observe-port1interfaceGigabitEthernet1/0/2

interfaceGigabitEthemet1/0/1

port-mirroringtoobserve-port1inbound/outbound/both

B.observe-port2interfaceGigabitEthernet1/0/2

interfaceGigabitEthemet1/0/1

port-mirroringtoobserve-port1inbound/outbound/both

C.port-mirroringtoobserve-port1inbound/outbound/both

observe-port1interfaceGigabiEthenet1/0/2

interfaceGigabitEthenet1/0/1

D.observe-port1interfaceGigabitEthernet1/0/1

interfaceGigabitEthemet1/0/2

port-mirroringtoobserve-port1inbound/outbound/both

（4）Snort入侵檢測(cè)系統(tǒng)部署不久，就發(fā)現(xiàn)了一起網(wǎng)絡(luò)攻擊。李工打開攻擊分組查看，發(fā)現(xiàn)很多字符看起來(lái)不像是正常字母，如圖1-2所示，請(qǐng)問該用哪種編碼方式去解碼該網(wǎng)絡(luò)分組內(nèi)容？（1分）

圖1-2

（5）針對(duì)圖1-2所示的網(wǎng)絡(luò)分組，李工查看了該攻擊對(duì)應(yīng)的Snort檢測(cè)規(guī)則，以更好地掌握Snort入侵檢測(cè)系統(tǒng)的工作機(jī)制。請(qǐng)完善以下規(guī)則，填充空（a）、（b）處的內(nèi)容。（2分）

（a）tcpanyany-anyany(msg:"XXX";content:"（b）";nocase;sid:1106;)

6.【[材料型]問答題】2分|【問題1】（2分）

SSH協(xié)議默認(rèn)工作的端口號(hào)是多少？

7.【[材料型]問答題】2分|【問題2】（2分）

網(wǎng)絡(luò)設(shè)備之間的遠(yuǎn)程運(yùn)維可以采用兩種安全通信方式：一種是SSH，還有一種是什么？

8.【[材料型]問答題】4分|【問題3】（4分）

日志包含設(shè)備、系統(tǒng)和應(yīng)用軟件的各種運(yùn)行信息，是安全運(yùn)維的重點(diǎn)關(guān)注對(duì)象。李工在定期巡檢服務(wù)器的SSH日志時(shí)，發(fā)現(xiàn)了以下可疑記錄：

Jul2217:17:52humensysted-logiad[1182]:Wachingsytembuttonson/dev/input/evet0(PowerButton)

Jul2217:17:52humensysted-logiad[1182]:Wachingsytembuttonson/dev/input/evet1(ATTranslatedSet2keyboard)

Jul2309:33:41humensshd[5423]:pam_unix(sshd:auth)authenticationfailure,Iogame=uid=0euid=0tty=sshruser=rhost=192.168.107.130user=humen

Jul2309:33:43humensshd[5423]:Failedpasswordforhumenfrom192.168.107.130port40231ssh2

Jul2309:33:43humensshd[5423]:Connectionclosedbyauthenticatinguserhumen192.168.107.130port40231[preauth]

Jul2309:33:43humensshd[5425]:pam_unix(sshd:auth):authenticationfailure;logname=uid=0euid=0tty=sshruser=rhost=192.168.107.130user=humen

Jul2309:33:45humensshd[5425]:Failedpasswordforhumenfrom192.168.107.130port37223ssh2

Jul2309:33:45humensshd[5425]:Connectionclosedbyauthenticatinguserhumen192.168.107.130port37223[preauth]

Jul2309:33:45humensshd[5427]:pam_unix(sshd:auth):authenticationfailure;logname=uid=0euid=0tty=sshruser=rhost=192.168.107.130user=humen

Jul2309:33:47humensshd[5427]:Failedpasswordforhumenfrom192.168.107.130port41365ssh2

Jul2309:33:47humensshd[5427]:Connectionclosedbyauthenticatinguserhumen192.168.107.130port41365[preauth]

Jul2309:33:47humensshd[5429]:pam_unix(sshd:auth):authenticationfailure;logname=uid=0euid=0tty=sshruser=rhost=192.168.107.130user=humen

Jul2309:33:49humensshd[5429]:Failedpasswordforhumenfrom192.168.107.130port45627ssh2

Jul2309:33:49humensshd[5429]:Connectionclosedbyauthenticatinguserhumen192.168.107.130port45627[preauth]

Jul2309:33:49humensshd[5431]:pam_unix(sshd:auth):authenticationfailure;logname=uid=0euid=0tty=sshruser=rhost=192.168.107.130user=humen

Jul2309:33:51humensshd[5431]:Failedpasswordforhumenfrom192.168.107.130port42271ssh2

Jul2309:33:51humensshd[5431]:Connectionclosedbyauthenticatinguserhumen192.168.107.130port42271[preauth]

Jul2309:33:51humensshd[5433]:pam_unix(sshd:auth):authenticationfailure;logname=uid=0euid=0tty=sshruser=rhost=192.168.107.130user=humen

Jul2309:33:53humensshd[5433]:Failedpasswordforhumenfrom192.168.107.130port45149ssh2

Jul2309:33:53humensshd[5433]:Connectionclosedbyauthenticatinguserhumen192.168.107.130port45149[preauth]

Jul2309:33:54humensshd[5435]:Acceptedpasswordforhumenfrom192.168.107.130port45671ssh2

Jul2309:33:54humensshd[5435]:pam_unix(sshd:auth):sessionopenedforuserhumenby(uid=0)

（1）請(qǐng)問李工打開的系統(tǒng)日志文件的路徑和名稱？

（2）李工懷疑有黑客在攻擊該系統(tǒng)，請(qǐng)給出判斷攻擊成功與否的命令以便李工評(píng)估攻擊的影響。

9.【[材料型]問答題】10分|【問題4】（10分）

經(jīng)過上次SSH的攻擊事件之后，李工為了加強(qiáng)口令安全，降低遠(yuǎn)程連接風(fēng)險(xiǎn)，考慮采用免密證書登錄。

（1）Linux系統(tǒng)默認(rèn)不允許證書方式登錄，李工需要實(shí)現(xiàn)免密證書登錄的功能，應(yīng)該修改哪個(gè)配置文件？請(qǐng)給出文件名。

（2）李工在創(chuàng)建證書后需要拷貝公鑰信息到服務(wù)器中。他在終端輸入了以下拷貝命令，請(qǐng)說(shuō)明命令中“＞＞”的含義。

sshxiaoming@servercat/home/xiaoming/.ssh/id_rsa.pubauthorized_keys

（3）服務(wù)器中的authorized_keys文件詳細(xì)信息如下，請(qǐng)給出文件權(quán)限的數(shù)字表示。

（4）李工完成SSH配置修改后需要重啟服務(wù)，請(qǐng)給出systemctl重啟SSH服務(wù)的命令。

（5）在上述服務(wù)配置過程中，配置命令中可能包含各種敏感信息，因此在配置結(jié)束后應(yīng)及時(shí)清除歷史命令信息，請(qǐng)給出清除系統(tǒng)歷史記錄應(yīng)執(zhí)行的命令。

10.【[材料型]問答題】2分|【問題5】（2分）

SSH之所以可以實(shí)現(xiàn)安全的遠(yuǎn)程訪問，歸根結(jié)底還是密碼技術(shù)的有效使用。對(duì)于SSH協(xié)議，不管是李工剛開始使用的基于口令的認(rèn)證還是后來(lái)的基于密鑰的免密認(rèn)證，都是密碼算法和密碼協(xié)議在為李工的遠(yuǎn)程訪問保駕護(hù)航。請(qǐng)問上述安全能力是基于對(duì)稱密碼體制還是非對(duì)稱密碼體制來(lái)實(shí)現(xiàn)的？

11.【[材料型]問答題】4分|【問題1】（4分）

域名系統(tǒng)采用授權(quán)的分布式數(shù)據(jù)查詢系統(tǒng)，完成域名和IP地址的解析。李工通過上述流量可以判斷域名解析是否正常、有無(wú)域名劫持攻擊等安全事件發(fā)生。

（1）域名系統(tǒng)的服務(wù)端程序工作在網(wǎng)絡(luò)的哪一層？

（2）圖3-1中的第一個(gè)網(wǎng)絡(luò)分組要解析的域名是什么？

（3）給出上述域名在DNS查詢包中的表示形式（16進(jìn)制）。

（4）由圖3-1可知李工所在單位的域名服務(wù)器的IP地址是什么？

12.【[材料型]問答題】2分|【問題2】（2分）

簽于上述DNS協(xié)議分組包含大量奇怪的子域名，如想知道是哪個(gè)應(yīng)用程序發(fā)送的上述網(wǎng)絡(luò)分組，請(qǐng)問在Windows系統(tǒng)下，李工應(yīng)執(zhí)行哪條命令以確定上述DNS流量來(lái)源？

13.【[材料型]問答題】6分|【問題3】（6分）

通過上述的初步判斷，李工認(rèn)為192.168.229.1的計(jì)算機(jī)可能已經(jīng)被黑客所控制（CC攻擊）。黑客慣用的手法就是建立網(wǎng)絡(luò)隱蔽通道，也就是指利用網(wǎng)絡(luò)協(xié)議的某些字段秘密傳輸信息，以掩蓋惡意程序的通信內(nèi)容和通信狀態(tài)。

（1）請(qǐng)問上述流量最有可能對(duì)應(yīng)的惡意程序類型是什么？

（2）上述流量中隱藏的異常行為是什么？請(qǐng)簡(jiǎn)要說(shuō)明。

（3）信息安全目標(biāo)包括保密性、完整性、不可否認(rèn)性、可用性和可控性，請(qǐng)問上述流量所對(duì)應(yīng)的網(wǎng)絡(luò)攻擊違反了信息安全的哪個(gè)目標(biāo)？

14.【[材料型]問答題】6分|【問題4】（6分）

通過上述的攻擊流分析，李工決定用防火墻隔離該計(jì)算機(jī)，李工所運(yùn)維的防火墻是Ubuntu系統(tǒng)自帶的iptables防火墻。

（1）請(qǐng)問iptables默認(rèn)實(shí)現(xiàn)數(shù)據(jù)包過濾的表是什么？該表默認(rèn)包含哪幾條鏈？

（2）李工首先要在ipables防火墻中查看現(xiàn)有的過濾規(guī)則，請(qǐng)給出該命令。

（3）李工要禁止該計(jì)算機(jī)繼續(xù)發(fā)送DNS數(shù)據(jù)包，請(qǐng)給出相應(yīng)過濾規(guī)則。

15.【[材料型]問答題】2分|問題5】（2分）

在完成上述處置以后，李工需要分析事件原因，請(qǐng)說(shuō)明導(dǎo)致DNS成為CC攻擊的首選隱蔽傳輸通道協(xié)議的原因。

16.【[材料型]問答題】4分|【問題1】（4分）

為保護(hù)Android系統(tǒng)及應(yīng)用終端平臺(tái)安全，Android系統(tǒng)在內(nèi)核層、系統(tǒng)運(yùn)行層、應(yīng)用框架層以及應(yīng)用程序?qū)硬扇×讼鄳?yīng)的安全措施，以盡可能地保護(hù)移動(dòng)用戶數(shù)據(jù)、應(yīng)用程序和設(shè)備安全。

在Android系統(tǒng)提供的安全措施中有安全沙箱、應(yīng)用程序簽名機(jī)制、權(quán)限聲明機(jī)制、地址空間布局隨機(jī)化等，請(qǐng)將上述四種安全措施按照其所在層次分填入表4-1的空（1）~（4）。

表4-1Android系統(tǒng)安全系統(tǒng)結(jié)構(gòu)

17.【[材料型]問答題】6分|【問題2】（6分）

權(quán)限聲明機(jī)制為操作權(quán)限和對(duì)象之間設(shè)定了一些限制，只有把權(quán)限和對(duì)象達(dá)行綁定，才可以有權(quán)操作對(duì)象。

（1）請(qǐng)問Android系統(tǒng)應(yīng)用程序權(quán)限信息聲明都在哪個(gè)配置文件中？給出該配置文件名。

（2）Android系統(tǒng)定義的權(quán)限組包括CALENDAR、CAMERA、CONTACTS、LOCATION、MICROPHONE、PHONE、SENSORS、SMS、STORAGE。按照《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本規(guī)范》，運(yùn)行在Android9.0系統(tǒng)中提