[語(yǔ)言類考試復(fù)習(xí)資料大全]中級(jí)信息安全工程師下午試題模擬2

1、書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟。祝愿天下莘莘學(xué)子：學(xué)業(yè)有成，金榜題名！語(yǔ)言類考試復(fù)習(xí)資料大全中級(jí)信息安全工程師下午試題模擬2中級(jí)信息安全工程師下午試題模擬2試題一說(shuō)明 RSA是典型的非對(duì)稱加密算法，該算法基于大素?cái)?shù)分解。核心是模冪運(yùn)算。利用RSA密碼可以同時(shí)實(shí)現(xiàn)數(shù)字簽名和數(shù)據(jù)加密。 1. 簡(jiǎn)述RSA的密鑰生成過(guò)程。答案:選出兩個(gè)大質(zhì)數(shù)p和q，使得pq 計(jì)算pq=n 計(jì)算(n)=(p-1)(q-1) 選擇e，使得1e(p-1)(q-1)，并且e和(p-1)(q-1)互為質(zhì)數(shù) 計(jì)算解密密鑰，使得ed=1mod(p-1)(q-1) 公鑰=e，n 私鑰=d，n 公開(kāi)n參數(shù)，n又稱為模 消除原始質(zhì)數(shù)p和

2、q解析 己知n=35，得到p和q分別為5和7； 計(jì)算(n)=(p-1)(q-1)=24 已知公鑰e=5，又由于私鑰d滿足ed=1mod(p-1)(q-1)，因此d=5 明文M=Cdmod n=105mod 35=5 2. 簡(jiǎn)述RSA的加密和解密過(guò)程。答案:設(shè)定C為密文，M為明文： 加密： C=Memod n 解密： M=Cdmod n 3. 簡(jiǎn)述RSA的數(shù)字簽名過(guò)程。答案:設(shè)M為明文，M的簽名過(guò)程為： 簽名：Mdmod n 驗(yàn)證簽名：(Md)e mod n 4. 在RSA中，己獲取用戶密文C=10，該用戶的公鑰e=5，n=35，求明文M。答案:M=5試題二說(shuō)明 某企業(yè)在公司總部和分部之間采用兩

3、臺(tái)Windows Server 2003服務(wù)器部署企業(yè)IPSec VPN，將總部和分部的兩個(gè)子網(wǎng)通過(guò)Internet互連，如下圖所示。 1. 隧道技術(shù)是VPN的基本技術(shù)，隧道是由隧道協(xié)議形成的，常見(jiàn)隧道協(xié)議有IPSec、PPTP和L2TP，其中_和_屬于第二層隧道協(xié)議，_屬于第三層隧道協(xié)議。答案:PPTP L2TP (前兩個(gè)順序可調(diào)換) IPSec解析 常見(jiàn)的隧道協(xié)議 協(xié)議層次 實(shí)例 數(shù)據(jù)鏈路層 L2TP、PPTP、L2F 網(wǎng)絡(luò)層 IPSec 傳輸層與應(yīng)用層之間 SSL 2. IPSec安全體系結(jié)構(gòu)包括AH、ESP和ISA KMP/Oakley等協(xié)議。其中，_為IP包提供信息源驗(yàn)證和報(bào)文完整性

4、驗(yàn)證，但不支持加密服務(wù)；_提供加密服務(wù)；_提供密鑰管理服務(wù)。答案:AH ESP ISA KMP/Oakley解析 IPSec安全體系結(jié)構(gòu)包括AH、ESP和ISA KMP/Oakley等協(xié)議。其中，AH為IP包提供信息源驗(yàn)證和報(bào)文完整性驗(yàn)證，但不支持加密服務(wù)；ESP提供加密服務(wù)；ISA KMP/Oakley提供密鑰管理服務(wù)。 3. 設(shè)置Server A和Server B之間通信的“篩選器屬性”界面如圖1所示，在Server A的IPSec安全策略配置過(guò)程中，當(dāng)源地址和目標(biāo)地址均設(shè)置為“一個(gè)特定的IP子網(wǎng)”時(shí)，源子網(wǎng)IP地址應(yīng)設(shè)為_(kāi)，目標(biāo)子網(wǎng)IP地址應(yīng)設(shè)為_(kāi)。如圖2所示的隧道設(shè)置中的隧道終點(diǎn)IP地

5、址應(yīng)設(shè)為_(kāi)。 圖1 “篩選器屬性”對(duì)話框 圖2 “編輯規(guī)劃屬性”對(duì)話框 答案:192.168.1.0 192.168.2.0 202.113.111.1解析 “篩選器屬性”界面配置源子網(wǎng)IP地址(內(nèi)網(wǎng)地址)和目的子網(wǎng)IP地址(內(nèi)網(wǎng)地址)。 針對(duì)Server A，源子網(wǎng)IP地址(內(nèi)網(wǎng)地址)為192.168.1.2/32，所以“篩選器屬性”界面源子網(wǎng)IP地址應(yīng)設(shè)為192.168.1.0；目的子網(wǎng)IP地址(內(nèi)網(wǎng)地址)為192.168.1.2/32，所以“篩選器屬性”界面目標(biāo)子網(wǎng)IP地址應(yīng)設(shè)為192.168.2.0。 “編輯規(guī)則屬性”界面的隧道地址應(yīng)該配置隧道對(duì)端(公網(wǎng)地址)。 針對(duì)Server A隧

6、道對(duì)端(公網(wǎng)地址)為202.113.111.1，所以隧道設(shè)置中的隧道終點(diǎn)IP地址應(yīng)設(shè)為202.113.111.1。 4. 在Server A的IPSec安全策略配置過(guò)程中，Server A和Server B之間通信的IPSec篩選器“許可”屬性設(shè)置為“協(xié)商安全”，并且安全措施為“加密并保持完整性”，如圖3所示。根據(jù)上述安全策略填寫(xiě)下表中的空格，表示完整的IPSec數(shù)據(jù)包格式。 圖3 “許可屬性”對(duì)話框 新IP頭 _ _ TCP頭 數(shù)據(jù) _ 數(shù)據(jù)包格式 備選答案： AAH頭 BESP頭 C舊IP頭 D新TCP頭 EAH尾 FESP尾 G舊IP尾 H新TCP尾 答案:B或ESP頭 C或舊 IP頭

7、F或ESP尾解析 本題要求“加密并保持完整性”，由于AH協(xié)議不支持加密，因此采用ESP封裝。前面題目給出了總公司與子公司通信建立了隧道，因此采用隧道模式。具體如下圖所示。 這里IP數(shù)據(jù)加密后，密文可以看作舊IP頭，ESP摘要可以看作ESP尾。 試題三閱讀下列說(shuō)明和圖，回答問(wèn)題。 【說(shuō)明】 訪問(wèn)控制是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施，適當(dāng)?shù)脑L問(wèn)控制能夠阻止未經(jīng)授權(quán)的用戶有意或者無(wú)意地獲取資源。訪問(wèn)控制一般是在操作系統(tǒng)的控制下，按照事先確定的規(guī)則決定是否允許用戶對(duì)資源的訪問(wèn)。下圖給出了某系統(tǒng)對(duì)客體traceroute.mpg實(shí)施的訪問(wèn)控制規(guī)則。 1. 針對(duì)信息系統(tǒng)的訪問(wèn)控制包含哪些基本要素?答案:

8、針對(duì)信息系統(tǒng)的訪問(wèn)控制包含主體、客體和授權(quán)訪問(wèn)三個(gè)要素。2. 分別寫(xiě)出圖中用戶Administrator對(duì)應(yīng)三種訪問(wèn)控制實(shí)現(xiàn)方法，即能力表、訪問(wèn)控制表和訪問(wèn)控制矩陣下的訪問(wèn)控制規(guī)則。答案:能力表： 訪問(wèn)控制列表： 訪問(wèn)控制矩陣： Traceroute.mpg Administrator r,x 注： 能力表和訪問(wèn)控制列表也可采用鏈表形式表示，具體如下： 能力表： 訪問(wèn)控制列表：解析 本題主要考查計(jì)算機(jī)系統(tǒng)的訪問(wèn)控制技術(shù)。圖中的實(shí)例采用Windows系統(tǒng)下的訪問(wèn)控制例子，也是考生最常使用的操作系統(tǒng)。 題目已經(jīng)給出了訪問(wèn)控制模型中的主體、客體和訪問(wèn)規(guī)則，只需要根據(jù)訪問(wèn)控制的要素及其定義按照問(wèn)題要求

9、進(jìn)行解答即可。 【問(wèn)題1】 根據(jù)信息系統(tǒng)的訪問(wèn)控制定義，涉及的要素主要是訪問(wèn)的主體，被訪問(wèn)的客體，以及主體如何訪問(wèn)客體所需的訪問(wèn)規(guī)則。 【問(wèn)題2】 訪問(wèn)控制規(guī)則有很多描述方法，包括能力表、訪問(wèn)控制表和訪問(wèn)控制矩陣。上述方法的不同之處是維度不一樣。 能力表是以主體為維度，考察主體所擁有的訪問(wèn)控制規(guī)則，如圖中主體是Administrator，他的訪問(wèn)控制規(guī)則(能力)是可以對(duì)客體Traceroute.mpg進(jìn)行讀取和運(yùn)行。 訪問(wèn)控制列表則是從客體出發(fā)，考察客體本身可以被訪問(wèn)的控制規(guī)則。 訪問(wèn)控制矩陣則是二維描述，行表示主體，列表示客體。 試題四閱讀下列說(shuō)明，回答問(wèn)題。 【說(shuō)明】 用戶的身份認(rèn)證是許多

10、應(yīng)用系統(tǒng)的第一道防線，身份識(shí)別對(duì)確保系統(tǒng)和數(shù)據(jù)的安全保密極其重要。以下過(guò)程給出了實(shí)現(xiàn)用戶B對(duì)用戶A身份的認(rèn)證過(guò)程。 1A-B:A 2B-A:B,Nbpk(A) 3A-B:h(Nb) 此處A和B是認(rèn)證實(shí)體，Nb是一個(gè)隨機(jī)值，pk(A)表示實(shí)體A的公鑰，B,Nbpk(A)表示用A的公鑰對(duì)消息B，Nb進(jìn)行加密處理，h(Nb)表示用哈希算法h對(duì)Nb計(jì)算哈希值。 1. 認(rèn)證與加密有哪些區(qū)別?答案:認(rèn)證與加密的區(qū)別在于：加密用以確保數(shù)據(jù)的保密性，阻止對(duì)手的被動(dòng)攻擊；而認(rèn)證用以確保報(bào)文發(fā)送者和接收者的真實(shí)性以及報(bào)文的完整性，阻止對(duì)手的主動(dòng)攻擊。2. (1)包含在消息2中的“Nb”起什么作用? (2)“Nb”

11、的選擇應(yīng)滿足什么條件? 答案:(1)Nb是一個(gè)隨機(jī)值，只有發(fā)送方B和A知道，起到抗重放攻擊作用。 (2)Nb的取值應(yīng)當(dāng)隨機(jī)和不可預(yù)測(cè)。 3. 為什么消息3中的Nb要計(jì)算哈希值?答案:計(jì)算哈希值是為了使中間人無(wú)法知道Nb的產(chǎn)生信息。4. 上述協(xié)議存在什么安全缺陷?請(qǐng)給出相應(yīng)的解決思路。答案:存在重放攻擊和中間人攻擊的安全缺陷。針對(duì)重放攻擊的解決思路是加入時(shí)間戳、驗(yàn)證碼等信息；針對(duì)中間人攻擊的解決思路是加入針對(duì)身份的雙向驗(yàn)證。解析 本題主要考查密碼協(xié)議的安全性，要求對(duì)密碼協(xié)議所要求完成的各項(xiàng)安全功能有明確的設(shè)計(jì)思路，例如雙方身份的相互確認(rèn)、數(shù)據(jù)如何加密、如何防止各種重放或者中間人劫持攻擊等等。 【

12、問(wèn)題1】 認(rèn)證主要是對(duì)參與雙方身份信息的核實(shí)和驗(yàn)證，而加密則是對(duì)數(shù)據(jù)的一種變換，確保實(shí)現(xiàn)保密性、完整性和可用性的安全目的。 【問(wèn)題2】 Nb是一個(gè)隨機(jī)值，一方面確保B發(fā)給A的數(shù)據(jù)包無(wú)法預(yù)測(cè)，另一方面使用用戶A的公鑰加密，確保只有用戶A才能解開(kāi)，攻擊者無(wú)法解開(kāi)。 【問(wèn)題3】 用戶A收到2號(hào)數(shù)據(jù)包以后回復(fù)h(Nb)，用于告訴用戶B用戶A已經(jīng)收到上述消息，而且能得到Nb說(shuō)明用戶A的身份是真實(shí)的。用哈希值h(Nb)回復(fù)也可以確保攻擊者無(wú)法恢復(fù)Nb。攻擊者無(wú)法得知Nb的任何信息。 【問(wèn)題4】 上述協(xié)議只有用戶A的身份是經(jīng)過(guò)驗(yàn)證的，攻擊者可以重復(fù)發(fā)送第二個(gè)數(shù)據(jù)包給A消耗計(jì)算資源。攻擊者可以截獲第一個(gè)包，偽

13、造A的身份，給B發(fā)送包聲稱自己是C，結(jié)果用戶B會(huì)以用戶C的公鑰來(lái)加密，攻擊者以C的私鑰解出數(shù)據(jù)包內(nèi)容，得到Nb的產(chǎn)生信息。 試題五閱讀下列說(shuō)明和圖，回答問(wèn)題。 【說(shuō)明】 研究密碼編碼的科學(xué)稱為密碼編碼學(xué)，研究密碼破譯的科學(xué)稱為密碼分析學(xué)，密碼編碼學(xué)和密碼分析學(xué)共同組成密碼學(xué)。密碼學(xué)作為信息安全的關(guān)鍵技術(shù)，在信息安全領(lǐng)域有著廣泛的應(yīng)用。 1. 密碼學(xué)的安全目標(biāo)至少包括哪三個(gè)方面?具體內(nèi)涵是什么?答案:密碼學(xué)的安全目標(biāo)包括：保密性、完整性、可用性。 保密性是確保信息僅被合法用戶訪問(wèn)，而不被泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。 完整性是指所有資源只能由授權(quán)方或以授權(quán)的方式進(jìn)行修改，即信息

14、未經(jīng)授權(quán)不能進(jìn)行改變的特性。 可用性是指所有資源在適當(dāng)?shù)臅r(shí)候可以由授權(quán)方訪問(wèn)，即信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。 2. 對(duì)下列違規(guī)安全事件，指出各個(gè)事件分別違反了安全目標(biāo)中的哪些項(xiàng)。 (1)小明抄襲了小麗的家庭作業(yè)。 (2)小明私自修改了自己的成績(jī)。 (3)小李竊取了小劉的學(xué)位證號(hào)碼、登錄口令信息，并通過(guò)學(xué)位信息系統(tǒng)更改了小劉的學(xué)位信息記錄和登錄口令，將系統(tǒng)中小劉的學(xué)位信息用一份偽造的信息替代，造成小劉無(wú)法訪問(wèn)學(xué)位信息系統(tǒng)。 答案:(1)保密性 (2)完整性 (3)可用性、完整性、保密性 3. 現(xiàn)代密碼體制的安全性通常取決于密鑰的安全，為了保證密鑰的安全，密鑰管理包括哪些技術(shù)問(wèn)題?答案

15、:密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)、分配、組織、使用、停用、更換、撤銷(xiāo)等技術(shù)問(wèn)題。4. 在下圖給出的加密過(guò)程中，Mi，i=1，2，n表示明文分組，Ci，i=1，2，n表示密文分組，Z表示初始序列，K表示密鑰，E表示分組加密過(guò)程。該分組加密過(guò)程屬于哪種工作模式?這種分組密碼的工作模式有什么缺點(diǎn)? 答案:該加密過(guò)程屬于PCBC模式。 PCBC模式的缺點(diǎn)是：加密和解密錯(cuò)誤傳播無(wú)界；要求數(shù)據(jù)的長(zhǎng)度是密碼分組長(zhǎng)度的整數(shù)倍，否則最后一個(gè)數(shù)據(jù)塊將是短塊，需要特殊處理。解析 本題考查密碼學(xué)的安全目標(biāo)和密碼系統(tǒng)的基本組成。 此類題目要求考生對(duì)計(jì)算機(jī)安全和密碼學(xué)當(dāng)中的一些最基本又很重要的概念有一個(gè)非常清楚的理解。 【問(wèn)題1】 首先需要明確的是，題目要求密碼學(xué)的安全目標(biāo)，而不是其他安全機(jī)制的安全目標(biāo)。然后，題目要求至少給出三個(gè)，這個(gè)可以通過(guò)聯(lián)想現(xiàn)實(shí)生活中密碼的作用，能大致描述出密碼學(xué)的安全目標(biāo)。但在實(shí)際答題中，很多考生回答出了其大致含義，但用語(yǔ)不專業(yè)。另外，答題過(guò)程中，必須明確密碼學(xué)保護(hù)的是合法用戶，而不是非法用戶或者非授權(quán)用戶，也就是密碼應(yīng)用中的角色關(guān)系必須清晰。 【問(wèn)題2】 根據(jù)問(wèn)題1的定義以及本題目當(dāng)中被保護(hù)的資產(chǎn)所發(fā)生的事件綜合判斷即可。 【問(wèn)題3】 現(xiàn)代密