2018上半年信息安全工程師考試案例分析真題一、案例分析

閱讀下列說(shuō)明,回答問(wèn)題1至問(wèn)題4,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】惡意代碼是指為達(dá)到惡意目的專(zhuān)門(mén)設(shè)計(jì)的程序或者代碼。常見(jiàn)的惡意代碼類(lèi)型有特洛伊木馬、蠕蟲(chóng)、病毒、后門(mén)、Rootkit、僵尸程序、廣告軟件。

2017年5月,勒索軟件WanaCry席卷全球,國(guó)內(nèi)大量高校及企事業(yè)單位的計(jì)算機(jī)被攻擊,文件及數(shù)據(jù)被加密后無(wú)法使用,系統(tǒng)或服務(wù)無(wú)法正常運(yùn)行,損失巨大。（1）.按照惡意代碼的分類(lèi),此次爆發(fā)的惡意軟件屬于哪種類(lèi)型?__________________________________________________________________________________________

正確答案：（屬于蠕蟲(chóng)類(lèi)型。）（2）.此次勒索軟件針對(duì)的攻擊目標(biāo)是Windows還是Linux類(lèi)系統(tǒng)?__________________________________________________________________________________________

正確答案：（攻擊目標(biāo)是Windows系統(tǒng)。）（3）.惡意代碼具有的共同特征是什么?__________________________________________________________________________________________

正確答案：（惡意代碼具有如下共同特征：

（1）惡意的目的；

（2）本身是計(jì)算機(jī)程序；

（3）通過(guò)執(zhí)行發(fā)生作用。）（4）.由于此次勒索軟件需要利用系統(tǒng)的SMB服務(wù)漏洞（端口號(hào)445）進(jìn)行傳播,我們可以配置防火墻過(guò)濾規(guī)則來(lái)阻止勒索軟件的攻擊,請(qǐng)?zhí)顚?xiě)表1-1中的空（1）-（5）,使該過(guò)濾規(guī)則完整。

注:假設(shè)本機(jī)IP地址為:1.2.3.4,”*”表示通配符。__________________________________________________________________________________________

正確答案：（（1）*

（2）>1024

（3）445

（4）TCP

（5）0）閱讀下列說(shuō)明和圖,回答問(wèn)題5至問(wèn)題7,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

密碼學(xué)的基本目標(biāo)是在有攻擊者存在的環(huán)境下,保證通信雙方（A和B）之間能夠使用不安全的通信信道實(shí)現(xiàn)安全通信。密碼技術(shù)能夠?qū)崿F(xiàn)信息的保密性、完整性、可用性和不可否認(rèn)性等安全目標(biāo)。一種實(shí)用的保密通信模型往往涉及對(duì)稱(chēng)加密、公鑰密碼、Hash函數(shù)、數(shù)字簽名等多種密碼技術(shù)。

在以下描述中,M表示消息,H表示Hash函數(shù),E表示加密算法,D表示解密算法,K表示密鑰,SKA表示A的私鑰,PKA表示A的公鑰,SKB表示B的私鑰,PKB表示B的公鑰,||表示連接操作。（1）.用戶(hù)AB雙方采用的保密通信的基本過(guò)程如圖2-1所示。

請(qǐng)問(wèn)圖2-1所設(shè)計(jì)的保密通信模型能實(shí)現(xiàn)信息的哪些安全日標(biāo)?圖2-1中的用戶(hù)A側(cè)的H和E能否互換計(jì)算順序?如果不能互換請(qǐng)說(shuō)明原因:如果能互換請(qǐng)說(shuō)明對(duì)安全目標(biāo)的影響。__________________________________________________________________________________________

正確答案：（實(shí)現(xiàn)完整性的驗(yàn)證。通過(guò)對(duì)明文M生成摘要信息，然后加密摘要信息附到明文后發(fā)送給對(duì)方，對(duì)方收到后運(yùn)用同樣的hash函數(shù)生成摘要信息，與解密得到的摘要信息對(duì)比，可以實(shí)現(xiàn)完整性的驗(yàn)證。

不可以互換。因?yàn)橹徽{(diào)整A用戶(hù)的處理方式，B用戶(hù)的處理方式不變，B接收到的信息解密不了，所以完不成對(duì)比工作。）（2）.圖2-2給出了另一種保密通信的基本過(guò)程：

請(qǐng)問(wèn)圖2-2設(shè)計(jì)的保密通信模型能實(shí)現(xiàn)信息安全的哪些特性?__________________________________________________________________________________________

正確答案：（能實(shí)現(xiàn)保密性和完整性。

與保密通信模型一不同的是，通信模型二對(duì)明文和消息摘要進(jìn)行加密，傳送給對(duì)方的是密文，對(duì)方收到密文后首先解密，得到明文和摘要信息，然后再用明文生成摘要信息，與解密出來(lái)的摘要信息進(jìn)行比較，驗(yàn)證完整性。所以即保證了機(jī)密性，也提供了完整性驗(yàn)證。）（3）.為了在傳輸過(guò)程中能夠保障信息的保密性、完整性和不可否認(rèn)性,設(shè)計(jì)了一個(gè)安全通信模型結(jié)構(gòu)如圖2-3所示：請(qǐng)問(wèn)圖2-3中（1），（2）分別應(yīng)該填什么內(nèi)容?__________________________________________________________________________________________

正確答案：（（1）EK[M||ESKA[H（M）]]

（2）PKA）閱讀下列說(shuō)明,答問(wèn)題8至問(wèn)題10,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】在Linux系統(tǒng)中,用戶(hù)賬號(hào)是用戶(hù)的身份標(biāo)志,它由用戶(hù)名和用戶(hù)口令組成。（1）.Linux系統(tǒng)將用戶(hù)名和口令分別保存在哪些文件中?__________________________________________________________________________________________

正確答案：（用戶(hù)名是存放在/etc/passwd文件；

口令存放在/etc/shadow文件。）（2）.Linux系統(tǒng)的用戶(hù)名文件通常包含如下形式的內(nèi)容:root:x:0:0:root:root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

hujw:x:500:500:hujianwei:/home/hujw:/bin/bash

文件中的一行記錄對(duì)應(yīng)著一個(gè)用戶(hù),每行記錄用冒號(hào)（:）分隔為7個(gè)字段,請(qǐng)問(wèn)第1個(gè)冒號(hào)（第二列）和第二個(gè)冒號(hào)（第三列）的含義是什么?上述用戶(hù)名文件中,第三列的數(shù)字分別代表什么含義?__________________________________________________________________________________________

正確答案：（第一個(gè)冒號(hào)（第二列）代表用戶(hù)口令；第二個(gè)冒號(hào)（第三列）代表用戶(hù)標(biāo)識(shí)號(hào)。

第三列數(shù)字是用戶(hù)標(biāo)識(shí)號(hào)，用來(lái)識(shí)別用戶(hù)身份，root用戶(hù)id為0，表示它為超級(jí)用戶(hù)；bin用戶(hù)id為1，表示它為管理用戶(hù)；hujw用戶(hù)id為500，表示它為普通用戶(hù)。）（3）.Linux系統(tǒng)中用戶(hù)名文件和口令字文件的默認(rèn)訪(fǎng)問(wèn)權(quán)限分別是什么?__________________________________________________________________________________________

正確答案：（）閱讀下列說(shuō)明和C語(yǔ)言代碼,回答問(wèn)題11至問(wèn)題14,將解答寫(xiě)在答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

在客戶(hù)服務(wù)器通信模型中,客戶(hù)端需要每隔一定時(shí)間向服務(wù)器發(fā)送數(shù)據(jù)包,以確定服務(wù)器是否掉線(xiàn),服務(wù)器也能以此判斷客戶(hù)端是否存活,這種每隔固定時(shí)間發(fā)一次的數(shù)據(jù)包也稱(chēng)為心跳包。心跳包的內(nèi)容沒(méi)有什么特別的規(guī)定,一般都是很小的包。

某系統(tǒng)采用的請(qǐng)求和應(yīng)答兩種類(lèi)型的心跳包格式如圖4-1所示。心跳包類(lèi)型占1個(gè)字節(jié)，主要是請(qǐng)求和響應(yīng)兩種類(lèi)型；

心跳包數(shù)據(jù)長(zhǎng)度字段占2個(gè)字節(jié)，表示后續(xù)數(shù)據(jù)或者負(fù)載的長(zhǎng)度。

接收端收到該心跳包后的處理函數(shù)是process_heartbeat（）,其中參數(shù)p指向心跳包的報(bào)文數(shù)據(jù),s是對(duì)應(yīng)客戶(hù)端的socket網(wǎng)絡(luò)通信套接字。（1）.（1）心跳包數(shù)據(jù)長(zhǎng)度字段的最大取值是多少?

（2）心跳包中的數(shù)據(jù)長(zhǎng)度字段給出的長(zhǎng)度值是否必須和后續(xù)的數(shù)據(jù)字段的實(shí)際長(zhǎng)度一致？__________________________________________________________________________________________

正確答案：（最大取值為65535。（unsignedint型數(shù)據(jù)范圍是0~65535）

心跳包中的給出數(shù)據(jù)長(zhǎng)度字段與實(shí)際數(shù)據(jù)長(zhǎng)度必須保持一致。）（2）.（1）上述接收代碼存在什么樣的安全漏洞?

（2）該漏洞的危害是什么?__________________________________________________________________________________________

正確答案：（（1）HeartBleed漏洞。

（2）由于沒(méi)有對(duì)實(shí)際數(shù)據(jù)載荷長(zhǎng)度進(jìn)行檢測(cè)，導(dǎo)致攻擊者可讀出內(nèi)存中其它重要數(shù)據(jù)內(nèi)容。）（3）.模糊測(cè)試（Fuzzing）是一種非常重要的信息系統(tǒng)安全測(cè)評(píng)方法,它是一種基于缺陷注入的自動(dòng)化測(cè)試技術(shù)。請(qǐng)問(wèn)模糊測(cè)試屬于黑盒測(cè)試還是白盒測(cè)試?其測(cè)試結(jié)果是否存在誤報(bào)?__________________________________________________________________________________________

正確答案：（模糊測(cè)試屬于黑盆測(cè)試。

不存在誤報(bào)問(wèn)題。）（4）.模糊測(cè)試技術(shù)能否測(cè)試出上述代碼存在的安全漏洞?為什么?__________________________________________________________________________________________

正確答案：（可以測(cè)試出上述代碼存在的安全漏洞。

通過(guò)測(cè)試發(fā)送的請(qǐng)求數(shù)據(jù)包的大小、內(nèi)容，和響應(yīng)數(shù)據(jù)包的大小、內(nèi)容，進(jìn)行比較分析，可以發(fā)現(xiàn)上述代碼存在的漏洞。）閱讀下列說(shuō)明和圖,回答問(wèn)題15至問(wèn)題19，將解答寫(xiě)在答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

入侵檢測(cè)系統(tǒng)（IDS）和入侵防護(hù)系統(tǒng)（IPS）是兩種重要的網(wǎng)絡(luò)安全防御手段,IDS注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管,IPS則注重對(duì)入侵行為的控制。（1）.網(wǎng)絡(luò)安全防護(hù)可以分為主動(dòng)防護(hù)和被動(dòng)防護(hù),請(qǐng)問(wèn)IDS和IPS分別屬于哪種防護(hù)?__________________________________________________________________________________________

正確答案：（多數(shù)IDS屬于被動(dòng)防護(hù)，IPS屬干主動(dòng)防護(hù)。）（2）.入侵檢測(cè)是動(dòng)態(tài)安全模型（P2DR）的重要組成部分。請(qǐng)列舉P2DR模型的4個(gè)主要組成部分。__________________________________________________________________________________________

正確答案：（P2DR棋型包括四個(gè)部分：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測(cè)）和Response（響應(yīng)）。）（3）.假如某入侵檢測(cè)系統(tǒng)記錄了如圖5-1所示的網(wǎng)絡(luò)數(shù)據(jù)包：

圖5-1IDS記錄的網(wǎng)絡(luò)數(shù)據(jù)包

請(qǐng)問(wèn)圖中的數(shù)據(jù)包屬于哪種網(wǎng)絡(luò)攻擊?該攻擊的具體名字是什么?__________________________________________________________________________________________

正確答案：（拒絕服務(wù)攻擊。具體名稱(chēng)為SYNflood。）（4）.入侵檢測(cè)系統(tǒng)常用的兩種檢測(cè)技術(shù)是異常檢測(cè)和誤用檢測(cè),請(qǐng)問(wèn)針對(duì)圖中所描述的網(wǎng)絡(luò)攻擊應(yīng)該采用哪種檢測(cè)技術(shù)?請(qǐng)簡(jiǎn)要說(shuō)明原因。__________________________________________________________________________________________

正確答案：（應(yīng)該采用異常檢測(cè)技術(shù)。

異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。

誤用檢測(cè)是指通過(guò)攻擊行為的特征庫(kù)，采用特征匹配的方法確定攻擊事件。誤用檢測(cè)的優(yōu)點(diǎn)是檢測(cè)的