2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）試卷號(hào)18

住在富人區(qū)的她2022年職業(yè)考證-軟考-信息安全工程師考試名師押題精選卷I（帶答案詳解）（圖片可根據(jù)實(shí)際調(diào)整大?。╊}型12345總分得分一.綜合題(共50題)1.單選題

網(wǎng)頁木馬是一種通過攻擊瀏覽器或?yàn)g覽器外掛程序的漏洞，向目標(biāo)用戶機(jī)器植入木馬、病毒、密碼盜取等惡意程序的手段，為了要安全瀏覽網(wǎng)頁，不應(yīng)該（

）。

問題1選項(xiàng)

A.定期清理瀏覽器緩存和上網(wǎng)歷史記錄

B.禁止使用ActiveX控件和Java腳本

C.在他人計(jì)算機(jī)上使用“自動(dòng)登錄”和“記住密碼”功能

D.定期清理瀏覽器Cookies

【答案】C

【解析】本題考查網(wǎng)頁木馬的防范。

網(wǎng)頁木馬是一種通過攻擊瀏覽器或?yàn)g覽器外掛程序的漏洞，向目標(biāo)用戶機(jī)器植入木馬、病毒、密碼盜取等惡意程序的手段。為了安全瀏覽網(wǎng)頁，需要定期清理瀏覽器緩存和上網(wǎng)歷史記錄，禁止使用ActiveX控件和Java腳本，并定期清理瀏覽器Cookies。在非本人的計(jì)算機(jī)上可能有用戶不知道的病毒或木馬，當(dāng)用戶將賬戶的密碼保存在本地后，很可能就會(huì)被不法分子盜取，造成嚴(yán)重?fù)p失。故本題選C。

點(diǎn)播：要實(shí)現(xiàn)安全瀏覽網(wǎng)頁，最重要的是養(yǎng)成良好的上網(wǎng)習(xí)慣，這需要系統(tǒng)地學(xué)習(xí)信息安全相關(guān)知識(shí)，了解并學(xué)習(xí)病毒的原理、養(yǎng)成良好的防范意識(shí)。

2.單選題

含有兩個(gè)密鑰的3重DES加密：，其中K1≠K2，則其有效的密鑰長(zhǎng)度為（

）。

問題1選項(xiàng)

A.56位

B.112位

C.128位

D.168位

【答案】B

【解析】本題考查DES算法。

DES算法是使用最為廣泛的一種分組密碼算法，能夠支持64比特的明文塊加密，其密鑰長(zhǎng)度為56比特。題中三重DES含有兩個(gè)相同密鑰，則其有效的密鑰長(zhǎng)度為112比特。故本題選B。

點(diǎn)播：三重DES算法也叫TDEA算法，TDEA算法的工作機(jī)制是使用DES對(duì)明文進(jìn)行“加密→解密→加密”操作，即對(duì)DES加密后的密文進(jìn)行解密再加密，解密則相反。一般認(rèn)為其中加密為Ek，解密為Dk。

3.單選題

研究密碼破譯的科學(xué)稱為密碼分析學(xué)。密碼分析學(xué)中，根據(jù)密碼分析者可利用的數(shù)據(jù)資源，可將攻擊密碼的類型分為四種，其中適于攻擊公開密鑰密碼體制，特別是攻擊其數(shù)字簽名的是（

）。

問題1選項(xiàng)

A.僅知密文攻擊

B.已知明文攻擊

C.選擇密文攻擊

D.選擇明文攻擊

【答案】C

【解析】本題考查公鑰密碼體制和數(shù)字簽名相關(guān)知識(shí)。

已知明文攻擊：攻擊者不僅可以得到一些消息的密文，而且也知道對(duì)應(yīng)的明文。

僅知密文攻擊：攻擊者有一些消息的密文，這些密文都是用相同的加密算法進(jìn)行加密得到。

選擇明文攻擊：攻擊者不僅可以得到一些消息的密文和相應(yīng)的明文，而且還可以選擇被加密的明文。

選擇密文攻擊：攻擊者能夠選擇一些不同的被加密的密文并得到與其對(duì)應(yīng)的明文信息，攻擊者的任務(wù)是推算出加密密鑰。

使用選擇密文攻擊的攻擊者掌握對(duì)解密機(jī)的訪問權(quán)限，可構(gòu)造任意密文所對(duì)應(yīng)的明文。在此種攻擊模型中，密碼分析者事先任意搜集一定數(shù)量的密文，讓這些密文透過被攻擊的加密算法解密，透過未知的密鑰獲得解密后的明文。故本題選C。

點(diǎn)播：數(shù)字簽名是指簽名者使用私鑰對(duì)待簽名數(shù)據(jù)的雜湊值做密碼運(yùn)算得到的結(jié)果。該結(jié)果只能用簽名者的公鑰進(jìn)行驗(yàn)證，用于確認(rèn)待簽名數(shù)據(jù)的完整性、簽名者身份的真實(shí)性和簽名行為的抗抵賴性。數(shù)字簽名具有手寫簽名一樣的特點(diǎn)，是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的。

4.單選題

移動(dòng)終端設(shè)備常見的數(shù)據(jù)存儲(chǔ)方式包括：①SharedPreferences；②文件存儲(chǔ)；③SQLite數(shù)據(jù)庫(kù)；④ContentProvider；⑤網(wǎng)絡(luò)存儲(chǔ)。Android系統(tǒng)支持的數(shù)據(jù)存儲(chǔ)方式包括（

）。

問題1選項(xiàng)

A.①②③④⑤

B.①③⑤

C.①②④⑤

D.②③⑤

【答案】A

【解析】本題考查Android系統(tǒng)數(shù)據(jù)存儲(chǔ)方面的基礎(chǔ)知識(shí)。

Android平臺(tái)進(jìn)行數(shù)據(jù)存儲(chǔ)的方式包括：

(1)使用SharedPreferences存儲(chǔ)數(shù)據(jù)；

(2)文件存儲(chǔ)數(shù)據(jù)；

(3)sQLite數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)；

(4)使用ContentProvider存儲(chǔ)數(shù)據(jù)；

(5)網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)。

答案選A。

5.單選題

Windows系統(tǒng)的用戶管理配置中，有多項(xiàng)安全設(shè)置，其中密碼和賬戶鎖定安全選項(xiàng)設(shè)置屬于（）。

問題1選項(xiàng)

A.本地策略

B.公鑰策略

C.軟件限制策略

D.賬戶策略

【答案】D

【解析】點(diǎn)播：在Windows操作系統(tǒng)中，賬戶策略包含三個(gè)子集：

（1）密碼策略：對(duì)于域或本地用戶賬戶，決定密碼的設(shè)置，如強(qiáng)制性和期限。

（2）賬戶鎖定策略：對(duì)于域或本地用戶賬戶，決定系統(tǒng)鎖定賬戶的時(shí)間，以及鎖定誰的賬戶。

（3）Kerberos策略：對(duì)于域用戶賬戶，決定與Kerberos有關(guān)的設(shè)置，如賬戶有效期和強(qiáng)制性。

6.單選題

分組密碼常用的工作模式包括：電碼本模式（ECB模式）、密碼反饋模式（CFB模式），密碼分組鏈接模式（CBC模式），輸出反饋模式（OFB模式）。下圖描述的是（

）模式（圖中Pi表示明文分組，Ci表示密文分組）

問題1選項(xiàng)

A.ECB模式

B.CFB模式

C.CBC模式

D.OFB模式

【答案】B

【解析】本題考查分組密碼操作模式相關(guān)知識(shí)。

分組加密算法中，有ECB，CBC，CFB，OFB這幾種算法模式。

ECB（電子密本方式）其實(shí)非常簡(jiǎn)單，就是將數(shù)據(jù)按照8個(gè)字節(jié)一段進(jìn)行DES加密或解密得到一段8個(gè)字節(jié)的密文或者明文，最后一段不足8個(gè)字節(jié)，按照需求補(bǔ)足8個(gè)字節(jié)進(jìn)行計(jì)算，之后按照順序?qū)⒂?jì)算所得的數(shù)據(jù)連在一起即可，各段數(shù)據(jù)之間互不影響。

CBC（密文分組鏈接方式）有點(diǎn)麻煩，它的實(shí)現(xiàn)機(jī)制使加密的各段數(shù)據(jù)之間有了聯(lián)系。不容易主動(dòng)攻擊，安全性好于ECB。

CFB（密文反饋模式）類似于CBC，可以將塊密碼變?yōu)樽酝降牧髅艽a；工作過程亦非常相似，CFB的解密過程幾乎就是顛倒的CBC的加密過程。

OFB（輸出反饋模式）可以將塊密碼變成同步的流密碼。它產(chǎn)生密鑰流的塊，然后將其與平文塊進(jìn)行異或，得到密文。與其他流密碼一樣，密文中一個(gè)位的翻轉(zhuǎn)會(huì)使平文中同樣位置的位也產(chǎn)生翻轉(zhuǎn)。這種特性使得許多錯(cuò)誤校正碼，例如奇偶校驗(yàn)位，即使在加密前計(jì)算而在加密后進(jìn)行校驗(yàn)也可以得出正確結(jié)果。（詳見《信息安全工程師教程》第一版P108）

故本題選B。

7.單選題

以下關(guān)于虛擬專用網(wǎng)VPN描述錯(cuò)誤的是（

）。

問題1選項(xiàng)

A.VPN不能在防火墻上實(shí)現(xiàn)

B.鏈路加密可以用來實(shí)現(xiàn)VPN

C.IP層加密可以用來實(shí)現(xiàn)VPN

D.VPN提供機(jī)密性保護(hù)

【答案】A

【解析】本題考查VPN相關(guān)知識(shí)。

VPN中文翻譯為虛擬專用網(wǎng)，其基本技術(shù)原理是把需要經(jīng)過公共網(wǎng)傳遞的報(bào)文加密處理后，再由公共網(wǎng)絡(luò)發(fā)送到目的地。利用VPN技術(shù)能夠在不信任的公共網(wǎng)絡(luò)上構(gòu)建一條專用的安全通道，經(jīng)過VPN傳輸?shù)臄?shù)據(jù)在公共網(wǎng)上具有保密性。VPN和防火墻有3方面的關(guān)系：VPN和防火墻都是屬于網(wǎng)絡(luò)安全設(shè)備；VPN設(shè)備可集成在防火墻設(shè)備內(nèi)；VPN和防火墻的功能不同。故本題選A。

點(diǎn)播：VPN的安全服務(wù)有三種：保密性服務(wù)、完整性服務(wù)、認(rèn)證服務(wù)。VPN多種實(shí)現(xiàn)技術(shù)可分為三種：鏈路層VPN、網(wǎng)絡(luò)層VPN、傳輸層VPN。

8.單選題

安全電子交易協(xié)議SET是由VISA和MasterCard兩大信用卡組織聯(lián)合開發(fā)的電子商務(wù)安全協(xié)議。以下關(guān)于SET的敘述中，不正確的是（

）。

問題1選項(xiàng)

A.SET協(xié)議中定義了參與者之間的消息協(xié)議

B.SET協(xié)議能夠解決多方認(rèn)證問題

C.SET協(xié)議規(guī)定交易雙方通過問答機(jī)制獲取對(duì)方的公開密鑰

D.在SET中使用的密碼技術(shù)包括對(duì)稱加密、數(shù)字簽名、數(shù)字信封技術(shù)等

【答案】C

【解析】本題考查電子交易協(xié)議SET。

網(wǎng)上交易的買賣雙方在進(jìn)行每一筆交易時(shí)，為了保證交易的可靠性，買方和賣方都要鑒別對(duì)方的身份。交易的雙方可以通過Internet，在一些網(wǎng)站上獲取對(duì)方的公開密鑰，這種辦法雖然有效可行，但這種方式獲取的公開密鑰不可靠必須要對(duì)這些密鑰進(jìn)行認(rèn)證。因此需要一個(gè)可靠的第三方來驗(yàn)證公鑰確實(shí)屬于乙方，這樣的第三方就被稱為認(rèn)證機(jī)構(gòu)（簡(jiǎn)稱CA）。通過認(rèn)證機(jī)構(gòu)來確認(rèn)交易雙方身份的合法性，是保證電子支付系統(tǒng)安全的重要措施。官方教材（第一版）P535。故本題選C。

點(diǎn)播：SET是一種電子支付系統(tǒng)的安全協(xié)議，因此它涉及加密、認(rèn)證等多種技術(shù)。為了滿足在Internet和其他網(wǎng)絡(luò)上用信用卡安全支付的要求，SET協(xié)議主要是通過使用密碼技術(shù)和數(shù)字證書方式來保證信息的機(jī)密性和安全性，它實(shí)現(xiàn)了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和不可否認(rèn)性。

9.單選題

在我國(guó)，依據(jù)《中華人民共和國(guó)標(biāo)準(zhǔn)化法》可以將標(biāo)準(zhǔn)劃分為：國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)4個(gè)層次。《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）屬于（

）。

問題1選項(xiàng)

A.國(guó)家標(biāo)準(zhǔn)

B.行業(yè)標(biāo)準(zhǔn)

C.地方標(biāo)準(zhǔn)

D.企業(yè)標(biāo)準(zhǔn)

【答案】A

【解析】本題考查我國(guó)的標(biāo)準(zhǔn)體系相關(guān)知識(shí)。

GB屬于國(guó)家標(biāo)準(zhǔn)。

我國(guó)標(biāo)準(zhǔn)體制目前分為四級(jí)：國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)。國(guó)家標(biāo)準(zhǔn)的代號(hào)是GB，國(guó)家推薦性標(biāo)準(zhǔn)為GB/T，其他級(jí)別的推薦性標(biāo)準(zhǔn)類似。行業(yè)標(biāo)準(zhǔn)有70個(gè)左右，代號(hào)都是兩個(gè)（拼音）字母。地方標(biāo)準(zhǔn)的代號(hào)是DBXX，如DB44是廣東地方標(biāo)準(zhǔn)，DB35/T是福建推薦性標(biāo)準(zhǔn)等。企業(yè)標(biāo)準(zhǔn)代號(hào)的標(biāo)準(zhǔn)格式是Q/XX，XX也可以是三位，一般不超過四位，由企業(yè)自己定。故本題選A。

點(diǎn)播：

國(guó)家強(qiáng)制標(biāo)準(zhǔn)：GB

國(guó)家推薦標(biāo)準(zhǔn)：GB/T

國(guó)家指導(dǎo)標(biāo)準(zhǔn)：GB/Z

國(guó)家實(shí)物標(biāo)準(zhǔn)：GSB

10.單選題

操作系統(tǒng)的安全機(jī)制是指在操作系統(tǒng)中利用某種技術(shù)、某些軟件來實(shí)施一個(gè)或多個(gè)安全服務(wù)的過程。操作系統(tǒng)的安全機(jī)制不包括（

）。

問題1選項(xiàng)

A.標(biāo)識(shí)與鑒別機(jī)制

B.訪問控制機(jī)制

C.密鑰管理機(jī)制

D.安全審計(jì)機(jī)制

【答案】C

【解析】本題考查操作系統(tǒng)安全機(jī)制方面的基礎(chǔ)知識(shí)。

操作系統(tǒng)的安全機(jī)制包括安全審計(jì)機(jī)制、可信路徑機(jī)制、標(biāo)識(shí)與鑒別機(jī)制、客體重用機(jī)制、訪問控制機(jī)制。

答案選C。

11.單選題

智能卡的片內(nèi)操作系統(tǒng)COS一般由通信管理模塊、安全管理模塊、應(yīng)用管理模塊和文件管理模塊四個(gè)部分組成。其中數(shù)據(jù)單元或記錄的存儲(chǔ)屬于（

）。

問題1選項(xiàng)

A.通信管理模塊

B.安全管理模塊

C.應(yīng)用管理模塊

D.文件管理模塊

【答案】D

【解析】本題考查智能卡片內(nèi)操作系統(tǒng)COS。

通信管理模塊：該模塊是COS與外界的半雙工通信通道，接收讀寫器命令，并對(duì)接收信息進(jìn)行正確性判斷，有誤則請(qǐng)求重發(fā)或添加標(biāo)記，無誤則將命令發(fā)送至安全管理模塊。

安全管理模塊：安全機(jī)制可按對(duì)象分為針對(duì)動(dòng)態(tài)信息的安全性傳輸控制和針對(duì)卡內(nèi)靜態(tài)信息的內(nèi)部安全控制管理兩部分。安全管理模塊是COS極重要組成部分，該模塊提供高安全性保證。

應(yīng)用管理模塊：該模塊主要是對(duì)接受命令進(jìn)行可執(zhí)行性判斷。因智能卡的特性，它常常融于安全管理和文件管理之中。

文件管理模塊：COS通過給每種應(yīng)用建立對(duì)應(yīng)文件的辦法，實(shí)現(xiàn)對(duì)各項(xiàng)應(yīng)用的存儲(chǔ)及管理。用戶通常不能創(chuàng)建或刪除文件，但可酌情修改文件內(nèi)容，對(duì)文件的記錄和數(shù)據(jù)單元進(jìn)行增加或刪除。官方教材（第一版）P504。

故本題選D。

點(diǎn)播：智能卡是一種帶有存儲(chǔ)器和微處理器的集成電路卡，能夠安全存儲(chǔ)認(rèn)證信息，并具有一定的計(jì)算能力。智能卡的片內(nèi)操作系統(tǒng)（COS）一般由四部分組成：通信管理模塊和安全管理模塊、應(yīng)用管理模塊和文件管理模塊。

12.單選題

信息安全產(chǎn)品通用評(píng)測(cè)標(biāo)準(zhǔn)ISO/IEC15408--1999《信息技術(shù)、安全技術(shù)、信息技術(shù)安全性評(píng)估準(zhǔn)則》（簡(jiǎn)稱CC

），該標(biāo)準(zhǔn)分為三個(gè)部分：第1部分“簡(jiǎn)介和一般模型”、第2部分“安全功能需求”和第3部分“安全保證要求”，其中（

）屬于第2部分的內(nèi)容。

問題1選項(xiàng)

A.評(píng)估保證級(jí)別

B.基本原理

C.保護(hù)輪廓

D.技術(shù)要求

【答案】D

【解析】本題考查國(guó)際安全標(biāo)準(zhǔn)ISO/IEC15408方面的基礎(chǔ)知識(shí)。

評(píng)估保證級(jí)別屬于第3部分的內(nèi)容，基本原理和保護(hù)輪廓屬于第1部分的內(nèi)容，技術(shù)要求屬于第2部分的內(nèi)容。

答案選D。

13.單選題

2016年11月7日，十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議以154票贊成、1票棄權(quán)，表決通過了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。該法律第五十八條明確規(guī)定，因維護(hù)國(guó)家安全和社會(huì)公共秩序，處置重大突發(fā)社會(huì)安全事件的需要，經(jīng)（

）決定或者批準(zhǔn)，可以在特定區(qū)域?qū)W(wǎng)絡(luò)通信采取限制等臨時(shí)措施。

問題1選項(xiàng)

A.國(guó)務(wù)院

B.國(guó)家網(wǎng)信部門

C.省級(jí)以上人民政府

D.網(wǎng)絡(luò)服務(wù)提供商

【答案】A

【解析】本題考查《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十八條：因維護(hù)國(guó)家安全和社會(huì)公共秩序，處置重大突發(fā)社會(huì)安全事件的需要，經(jīng)國(guó)務(wù)院決定或者批準(zhǔn)，可以在特定區(qū)域?qū)W(wǎng)絡(luò)通信采取限制等臨時(shí)措施。故本題選A。

點(diǎn)播：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已于2017年6月1日起實(shí)施。為加強(qiáng)網(wǎng)絡(luò)安全教育，網(wǎng)絡(luò)空間安全已被增設(shè)為一級(jí)學(xué)科。

14.單選題

不屬于物理安全威脅的是（

）。

問題1選項(xiàng)

A.電源故障

B.物理攻擊

C.自然災(zāi)害

D.字典攻擊

【答案】D

【解析】本題考查物理攻擊相關(guān)知識(shí)。

物理安全是指在物理媒介層次上對(duì)存儲(chǔ)和傳輸?shù)男畔⒓右员Ｗo(hù)，它是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作錯(cuò)誤或各種計(jì)算機(jī)犯罪行為而導(dǎo)致破壞的過程。字典攻擊屬于網(wǎng)絡(luò)服務(wù)的暴力破解，不屬于物理安全威脅。故本題選D。

15.單選題

下列關(guān)于數(shù)字簽名說法中，正確的是（

）。

問題1選項(xiàng)

A.驗(yàn)證和解密過程相同

B.數(shù)字簽名不可改變

C.驗(yàn)證過程需要用戶私鑰

D.數(shù)字簽名不可信

【答案】B

【解析】本題考查數(shù)字簽名方面的基礎(chǔ)知識(shí)。

數(shù)字簽名是可信的、不容易被偽造的、不容抵賴的，而且是不可改變的。數(shù)字簽名的驗(yàn)證與解密過程不同，驗(yàn)證過程需要用戶的公鑰。答案選B。

16.單選題

IP地址分為全球地址（公有地址）和專用地址（私有地址），在文檔RFC1918中，不屬于專用地址的是（

）。

問題1選項(xiàng)

A.到55

B.到55

C.到55

D.到55

【答案】B

【解析】本題考查IP地址分類的相關(guān)知識(shí)。

專用地址范圍：A類：-55；B類：-55；C類：-55。根據(jù)IP地址的分類來看，255開頭的IP地址不屬于私有專用地址。故本題選B。

點(diǎn)播：公有IP地址分為：

A：--55&--55；

B：--55&--55；

C：--55&--55。

17.單選題

虛擬專用網(wǎng)VPN是一種新型的網(wǎng)絡(luò)安全傳輸技術(shù)，為數(shù)據(jù)傳輸和網(wǎng)絡(luò)服務(wù)提供安全通道。VPN架構(gòu)采用的多種安全機(jī)制中，不包括（

）。

問題1選項(xiàng)

A.隧道技術(shù)

B.信息隱藏技術(shù)

C.密鑰管理技術(shù)

D.身份認(rèn)證技術(shù)

【答案】B

【解析】本題考查VPN采用的多種安全機(jī)制。

目前VPN主要采用如下四項(xiàng)技術(shù)保證安全：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。

隧道技術(shù)：隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中，這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等；第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。

密鑰管理技術(shù)：密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

身份認(rèn)證技術(shù)：身份認(rèn)證技術(shù)是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過程而產(chǎn)生的有效解決方法。在真實(shí)世界，對(duì)用戶的身份認(rèn)證基本方法可以分為：基于信息秘密的身份認(rèn)證、基于信任物體的身份認(rèn)證、基于生物特征的身份認(rèn)證。

加解密技術(shù)：加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)實(shí)現(xiàn)加解密。故本題選B。

點(diǎn)播：VPN類型包括鏈路層VPN、網(wǎng)絡(luò)層VPN、傳輸層VPN。

18.單選題

SM4算法是國(guó)家密碼管理局于2012年3月21日發(fā)布的一種分組密碼算法，在我國(guó)商用密碼體系中，SM4主要用于數(shù)據(jù)加密。SM4算法的分組長(zhǎng)度和密鑰長(zhǎng)度分別為（

）。

問題1選項(xiàng)

A.128位和64位

B.128位和128位

C.256位和128位

D.256位和256位

【答案】B

【解析】本題考查我國(guó)國(guó)密算法方面的基礎(chǔ)知識(shí)。

SM4算法的分組長(zhǎng)度為128位，密鑰長(zhǎng)度為128位。加密算法與密鑰擴(kuò)展算法都采用32輪非線性迭代結(jié)構(gòu)。解密算法與加密算法的結(jié)構(gòu)相同，只是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序。

19.單選題

僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序，從而在控制者和被感染主機(jī)之間形成的一個(gè)可以一對(duì)多控制的網(wǎng)絡(luò)。以下不屬于僵尸網(wǎng)絡(luò)傳播過程常見方式的是（

）。

問題1選項(xiàng)

A.主動(dòng)攻擊漏洞

B.惡意網(wǎng)站腳本

C.字典攻擊

D.郵件病毒

【答案】C

【解析】本題考查僵尸網(wǎng)絡(luò)方面的基礎(chǔ)知識(shí)。

僵尸網(wǎng)絡(luò)在傳播過程中有如下幾種手段：主動(dòng)攻擊漏洞、郵件病毒、即時(shí)通信軟件、惡意網(wǎng)站腳本、特洛伊木馬。

答案選C。

20.單選題

IPSec協(xié)議可以為數(shù)據(jù)傳輸提供數(shù)據(jù)源驗(yàn)證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播等安全服務(wù)。其實(shí)現(xiàn)用戶認(rèn)證采用的協(xié)議是（

）。

問題1選項(xiàng)

A.IKE協(xié)議

B.ESP協(xié)議

C.AH協(xié)議

D.SKIP協(xié)議

【答案】C

【解析】

IPSec提供了兩種安全機(jī)制：認(rèn)證（采用ipsec的AH）和加密（采用ipsec的ESP）。

AH是一種安全協(xié)議，又稱為認(rèn)證頭協(xié)議。其安全目的是保證IP包的完整性和提供數(shù)據(jù)源認(rèn)證，為IP數(shù)據(jù)報(bào)文提供無連接的完整性、數(shù)據(jù)源鑒別和抗重放攻擊服務(wù)。

ESP也是一種安全協(xié)議，其用途在于保證IP包的保密性，而IPAH不能提供IP包的保密性服務(wù)。

IKE：密鑰交換協(xié)議IKE是用于交換和管理在VPN中使用的加密密鑰的協(xié)議。

SKIP：SKIP協(xié)議是一種簡(jiǎn)單的重點(diǎn)互聯(lián)網(wǎng)協(xié)議。（此協(xié)議無需記憶）

故本題選C。

點(diǎn)播：IPSec是InternetProtocolSecurity的縮寫。IPSec工作組制定了相關(guān)的IP安全系列規(guī)范：認(rèn)證頭AH、封裝安全有效負(fù)荷ESP以及密鑰交換協(xié)議IKE。AH和ESP都有兩種工作模式，即透明模式和隧道模式。透明模式只保護(hù)IP包中的數(shù)據(jù)域，而隧道模式則保護(hù)IP包的包頭和數(shù)據(jù)域。

21.單選題

等級(jí)保護(hù)2.0強(qiáng)化了對(duì)外部人員的管理要求，包括外部人員的訪問權(quán)限、保密協(xié)議的管理要求，以下表述中，錯(cuò)誤的是（

）。

問題1選項(xiàng)

A.應(yīng)確保在外部人員接入網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請(qǐng)，批準(zhǔn)后由專人開設(shè)賬號(hào)、分配權(quán)限，并登記備案

B.外部人員離場(chǎng)后應(yīng)及時(shí)清除其所有的訪問權(quán)限

C.獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)簽署保密協(xié)議，不得進(jìn)行非授權(quán)操作，不得復(fù)制和泄露任何敏感信息

D.獲得系統(tǒng)訪問授權(quán)的外部人員，離場(chǎng)后可保留遠(yuǎn)程訪問權(quán)限

【答案】D

【解析】本題考查等級(jí)保護(hù)中的外部人員管理方面的基礎(chǔ)知識(shí)。

在外部人員訪問管理方面，應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請(qǐng)，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案;外部人員離場(chǎng)后應(yīng)及時(shí)清除其所有訪問權(quán)限；獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)當(dāng)簽署保密協(xié)議，不得進(jìn)行非授權(quán)操作，不得復(fù)制和泄露任何敏感信息，離場(chǎng)后不得保留遠(yuǎn)程訪問權(quán)限。

答案選D。

22.單選題

以下關(guān)于IPSec協(xié)議的敘述中，正確的是（

）。

問題1選項(xiàng)

A.IPSec協(xié)議是IP協(xié)議安全問題的一種解決方案

B.IPSec協(xié)議不提供機(jī)密性保護(hù)機(jī)制

C.IPSec協(xié)議不提供認(rèn)證功能

D.IPSec協(xié)議不提供完整性驗(yàn)證機(jī)制

【答案】A

【解析】本題考查IPSec協(xié)議相關(guān)知識(shí)。

IPSec協(xié)議是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在Internet協(xié)議網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊，是解決IP協(xié)議安全問題的一種方案，它能提供完整性、保密性、反重播性、不可否認(rèn)性、認(rèn)證等功能。

IPSec工作組制定了IP安全系列規(guī)范：認(rèn)證頭（AH）、封裝安全有效負(fù)荷（ESP）以及密鑰交換協(xié)議。

IPAH是一種安全協(xié)議，又稱為認(rèn)證頭協(xié)議。其目的是保證IP包的完整性和提供數(shù)據(jù)源認(rèn)證，為IP數(shù)據(jù)報(bào)文提供無連接的完整性、數(shù)據(jù)源鑒別和抗重放攻擊服務(wù)。

IPESP也是一種安全協(xié)議，其用途在于保證IP包的保密性，而IPAH不能提供IP包的保密性服務(wù)。

故本題選A。

23.單選題

在PKI體系中，注冊(cè)機(jī)構(gòu)RA的功能不包括（

）。

問題1選項(xiàng)

A.簽發(fā)證書

B.認(rèn)證注冊(cè)信息的合法性

C.批準(zhǔn)證書的申請(qǐng)

D.批準(zhǔn)撤銷證書的申請(qǐng)

【答案】A

【解析】本題考查PKI的注冊(cè)機(jī)構(gòu)方面的基礎(chǔ)知識(shí)。

簽發(fā)證書是證書機(jī)構(gòu)CA的功能，不屬于注冊(cè)機(jī)構(gòu)RA的功能。像認(rèn)證注冊(cè)信息的合法性、批準(zhǔn)證書的申請(qǐng)和批準(zhǔn)撤銷證書的申請(qǐng)都屬于RA的功能。答案選A。

24.單選題

關(guān)于祖沖之算法的安全性分析不正確的是（

）。

問題1選項(xiàng)

A.祖沖之算法輸出序列的隨機(jī)性好，周期足夠大

B.祖沖之算法的輸出具有良好的線性、混淆特性和擴(kuò)散特性

C.祖沖之算法可以抵抗已知的序列密碼分析方法

D.祖沖之算法可以抵抗弱密分析

【答案】B

【解析】本題考查祖沖之密碼相關(guān)知識(shí)。

祖沖之算法是我國(guó)學(xué)者自主設(shè)計(jì)的加密和完整性算法，是一種流密碼。算法由三個(gè)基本部分組成，依次為比特重組、非線性函數(shù)F、線性反饋位移寄存器（LFSR）。

ZUC算法在邏輯上采用三層結(jié)構(gòu)設(shè)計(jì)，具有非常高的安全強(qiáng)度，能夠抵抗目前常見的各種流密碼攻擊方法。ZUC算法本質(zhì)上是一種非線性序列產(chǎn)生器。由此，在種子密鑰的作用下，可以產(chǎn)生足夠長(zhǎng)的安全密鑰序列。把與密鑰序列明文數(shù)據(jù)模2相加，便完成了數(shù)據(jù)加密。同樣，把密鑰序列與密文數(shù)據(jù)模2相加，便完成了數(shù)據(jù)解密。故本題選B。

25.案例題

閱讀下列說明和表，回答問題1至問題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

防火墻類似于我國(guó)古代的護(hù)城河，可以阻擋敵人的進(jìn)攻。在網(wǎng)絡(luò)安全中，防火墻主要用于邏輯隔離外部網(wǎng)絡(luò)與受保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻通過使用各種安全規(guī)則來實(shí)現(xiàn)網(wǎng)絡(luò)的安全策略。

防火墻的安全規(guī)則由匹配條件和處理方式兩個(gè)部分共同構(gòu)成。網(wǎng)絡(luò)流量通過防火墻時(shí)，根據(jù)數(shù)據(jù)包中的某些特定字段進(jìn)行計(jì)算以后如果滿足匹配條件，就必須采用規(guī)則中的處理方式進(jìn)行處理。

【問題1】（5分）

假設(shè)某企業(yè)內(nèi)部網(wǎng)（/24）需要通過防火墻與外部網(wǎng)絡(luò)互連，其防火墻的過濾規(guī)則實(shí)例如表4.1所示。

表中“*”表示通配符，任意服務(wù)端口都有兩條規(guī)則。

請(qǐng)補(bǔ)充表4.1中的內(nèi)容（1）和（2），并根據(jù)上述規(guī)則表給出該企業(yè)對(duì)應(yīng)的安全需求。

【問題2】（4分）

一般來說，安全規(guī)則無法覆蓋所有的網(wǎng)絡(luò)流量。因此防火墻都有一條默認(rèn)（缺?。┮?guī)則，該規(guī)則能覆蓋事先無法預(yù)料的網(wǎng)絡(luò)流量。請(qǐng)問缺省規(guī)則的兩種選擇是什么？

【問題3】（6分）

請(qǐng)給出防火墻規(guī)則中的三種數(shù)據(jù)包處理方式。

【問題4】（4分）

防火墻的目的是實(shí)施訪問控制和加強(qiáng)站點(diǎn)安全策略，其訪問控制包含四個(gè)方面的內(nèi)容：服務(wù)控制、方向控制、用戶控制和行為控制。請(qǐng)問表4.1中，規(guī)則A涉及訪問控制的哪幾個(gè)方面的內(nèi)容？

【答案】【問題1】

（1）53（2）丟棄或Drop

其安全需求為：（1）允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)的網(wǎng)頁服務(wù)器；（2）允許外部用戶訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)頁服務(wù)器（25）；（3）除1和2外，禁止其他任何網(wǎng)絡(luò)流量通過該防火墻。

【問題2】

（1）默認(rèn)拒絕：一切沒有被允許的就是禁止的；

（2）默認(rèn)允許：一切沒有被禁止的就是允許的。

【問題3】

（1）Accept：允許數(shù)據(jù)包或信息通過；

（2）Reject：拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止；

（3）Drop：直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

【問題4】

服務(wù)控制和方向控制。

【解析】【問題1】

規(guī)則A和B允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)的網(wǎng)頁服務(wù)器。規(guī)則C和D允許外部用戶訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)頁服務(wù)器。規(guī)則E和F允許內(nèi)部用戶訪問域名服務(wù)器。規(guī)則G是缺省拒絕的規(guī)則。規(guī)則E中目的端口為53；規(guī)則G中動(dòng)作為Drop。

其安全需求為：①允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)的網(wǎng)頁服務(wù)器；②允許外部用戶訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)頁服務(wù)器（25）；③除1和2外，禁止其他任何網(wǎng)絡(luò)流量通過該防火墻。

【問題2】

缺省規(guī)則有兩種選擇：默認(rèn)拒絕或者默認(rèn)允許。默認(rèn)拒絕是指一切未被允許的就是禁止的，其安全規(guī)則的處理方式一般為Accept；默認(rèn)允許是指一切未被禁止的就是允許的。其安全規(guī)則的處理方式一般為Reject或Drop。

【問題3】

防火墻規(guī)則中的處理方式主要包括以下幾種：

（1）Accept：允許數(shù)據(jù)包或信息通過。

（2）Reject：拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止。

（3）Drop：直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

【問題4】

防火墻的目的是實(shí)施訪問控制和加強(qiáng)站點(diǎn)安全策略，其訪問控制包含四個(gè)方面或?qū)哟蔚膬?nèi)容：

（1）服務(wù)控制：決定哪些服務(wù)可以被訪問，無論這些服務(wù)是在內(nèi)部網(wǎng)絡(luò)還是在外部網(wǎng)絡(luò)。常見的網(wǎng)絡(luò)服務(wù)有郵件服務(wù)、網(wǎng)頁服務(wù)、代理服務(wù)、文件服務(wù)等，這些服務(wù)往往是系統(tǒng)對(duì)外的功能。在計(jì)算機(jī)網(wǎng)絡(luò)中，服務(wù)往往就是指TCP/IP協(xié)議中的端口值，如25是指SMTP服務(wù)，110是指POP3服務(wù)，80是指網(wǎng)頁服務(wù)等。當(dāng)然，服務(wù)控制也包括服務(wù)的位置控制，如E地址。

（2）方向控制：決定在哪些特定的方向上服務(wù)請(qǐng)求可以被發(fā)起并通過防火墻，也就是服務(wù)是位于內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)。通過規(guī)則控制，可以限定一個(gè)方向的服務(wù)，也可以同時(shí)限定兩個(gè)方向的服務(wù)。

（3）用戶控制：決定哪些用戶可以訪問特定服務(wù)。該技術(shù)既可以應(yīng)用于防火墻網(wǎng)絡(luò)內(nèi)部的用戶（本地用戶），也可以被應(yīng)用到來自外部用戶的訪問?？梢圆捎糜脩裘?、主機(jī)的IP、主機(jī)的MAC等標(biāo)識(shí)用戶。

（4）行為控制：決定哪些具體的服務(wù)內(nèi)容是否符合安全策略。如防火墻可以通過過濾郵件來清除垃圾郵件，以及網(wǎng)絡(luò)流量中是否含有計(jì)算機(jī)病毒、木馬等惡意代碼。

規(guī)則A只規(guī)定了內(nèi)部網(wǎng)訪問外部網(wǎng)絡(luò)的80端口的特定服務(wù)的過濾規(guī)則，設(shè)計(jì)服務(wù)控制和方向控制。

26.單選題

對(duì)于定義在GF(p)上的橢圓曲線，取素?cái)?shù)P=11，橢圓曲線y2=x3+x+6mod11，則以下是橢圓曲線11平方剩余的是（

）。

問題1選項(xiàng)

A.x=1

B.x=3

C.x=6

D.x=9

【答案】B

【解析】本題考查橢圓曲線密碼。

首先應(yīng)了解平方剩余；假設(shè)p是素?cái)?shù)，a是整數(shù)。如果存在一個(gè)整數(shù)y使得y2≡a(modp)（即y2-a可以被p整除），那么就稱a在p的剩余類中是平方剩余的。

根據(jù)這個(gè)定義，將選項(xiàng)值進(jìn)行代入運(yùn)算可知，當(dāng)x=3，y2≡36（mod11），此時(shí)y的值可為5或6；其余選項(xiàng)都是不滿足平方剩余條件的。故本題選B。

27.單選題

基于公開密鑰的數(shù)字簽名算法對(duì)消息進(jìn)行簽名和驗(yàn)證時(shí)，正確的簽名和驗(yàn)證方式是（

）。

問題1選項(xiàng)

A.發(fā)送方用自己的公開密鑰簽名，接收方用發(fā)送方的公開密鑰驗(yàn)證

B.發(fā)送方用自己的私有密鑰簽名，接收方用自己的私有密鑰驗(yàn)證

C.發(fā)送方用接收方的公開密鑰簽名，接收方用自己的私有密鑰驗(yàn)證

D.發(fā)送方用自己的私有密鑰簽名，接收方用發(fā)送方的公開密鑰驗(yàn)證

【答案】D

【解析】本題考查數(shù)字簽名相關(guān)知識(shí)。

根據(jù)數(shù)字簽名工作的基本流程，假設(shè)Alice需要簽名發(fā)送一份電子合同文件給Bob。Alice的簽名步驟如下：

第一步，Alice使用Hash函數(shù)將電子合同文件生成一個(gè)消息摘要；

第二步，Alice使用自己的私鑰，把消息摘要加密處理，形成一個(gè)數(shù)字簽名；

第三步，Alice把電子文件合同和數(shù)字簽名一同發(fā)送給Bob。

Bob收到Alice發(fā)送的電子合同文件及數(shù)字簽名后，為確信電子合同文件是Alice所認(rèn)可的，驗(yàn)證步驟如下：

第一步，Bob使用與Alice相同的Hash算法，計(jì)算所收到的電子合同文件的消息摘要；

第二步，Bob使用Alice的公鑰，解密來自Alice的加密消息摘要，恢復(fù)Alice原來的消息摘要；

第三步，Bob比較自己產(chǎn)生的消息摘要和恢復(fù)出來的消息摘要之間的異同。若兩個(gè)消息摘要相同，則表明電子合同文件來自Alice。如果兩個(gè)消息摘要的比較結(jié)果不一致，則表明電子合同文件已被篡改。

故本題選D。

點(diǎn)播：數(shù)字簽名的目的是通過網(wǎng)絡(luò)信息安全技術(shù)手段實(shí)現(xiàn)傳統(tǒng)的紙面簽字或者蓋章的功能，以確定交易當(dāng)事人的真實(shí)身份，保證交易的安全性、真實(shí)性和不可抵賴性。數(shù)字簽名具有手寫簽名一樣的特點(diǎn)，是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的。

28.單選題

雪崩效應(yīng)指明文或密鑰的少量變化會(huì)引起密文的很大變化。下列密碼算法中不具有雪崩效應(yīng)的是（

）。

問題1選項(xiàng)

A.AES

B.MD5

C.RC4

D.RSA

【答案】D

【解析】本題考查密碼設(shè)計(jì)雪崩效應(yīng)方面的基礎(chǔ)知識(shí)。

雪崩效應(yīng)是指當(dāng)輸入發(fā)生最微小的改變（例如，反轉(zhuǎn)一個(gè)二進(jìn)制位）時(shí)，也會(huì)導(dǎo)致輸出的不可區(qū)分性改變（輸出中每個(gè)二進(jìn)制位有50%的概率發(fā)生反轉(zhuǎn)）；雪崩效應(yīng)通常發(fā)生在塊密碼和加密散列函數(shù)中，RSA為公鑰密碼。

答案選D。

29.案例題

閱讀下列說明，回答問題1至問題5，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

防火墻作為網(wǎng)絡(luò)安全防護(hù)的第一道屏障，通常用一系列的規(guī)則來實(shí)現(xiàn)網(wǎng)絡(luò)攻擊數(shù)據(jù)包的過濾。

【問題1】(3分)

圖3-1給出了某用戶Windows系統(tǒng)下的防火墻操作界面，請(qǐng)寫出Windows下打開以下界面的操作步驟。

【問題2】(4分)

Smurf拒絕服務(wù)攻擊結(jié)合IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)數(shù)據(jù)包充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常請(qǐng)求提供服務(wù)。請(qǐng)根據(jù)圖3-2回答下列問題。

（1）上述攻擊針對(duì)的目標(biāo)IP地址是多少?

（2）在上述攻擊中，受害者將會(huì)收到ICMP協(xié)議的哪一種數(shù)據(jù)包?

【問題3】(2分)

如果要在Windows系統(tǒng)中對(duì)上述Smurf攻擊進(jìn)行過濾設(shè)置，應(yīng)該在圖3-1中“允許應(yīng)用或功能通過WindowsDefender防火墻”下面的選項(xiàng)中選擇哪一項(xiàng)?

【問題4】(2分)

要對(duì)入站的ICMP協(xié)議數(shù)據(jù)包設(shè)置過濾規(guī)則，應(yīng)選擇圖3-3的哪個(gè)選項(xiàng)?

【問題5】(4分)

在圖3-4的端口和協(xié)議設(shè)置界面中，請(qǐng)分別給出“協(xié)議類型（P）”“協(xié)議號(hào)（U）”“本地端口（L）”“遠(yuǎn)程端口（R）”的具體設(shè)置值。

【答案】【問題1】

[開始]→[控制面板]→[系統(tǒng)和安全]→[WindowsDefender防火墻]

或

運(yùn)行“control[.exe]”→[系統(tǒng)和安全]→[WindowsDefender防火墻]

【問題2】

（1）

（2）Echoreply（回響應(yīng)答

）

【問題3】

高級(jí)設(shè)置。

【問題4】

自定義。

【問題5】

協(xié)議類型（p）：ICMPv4

協(xié)議號(hào)（U）：自動(dòng)填1

本地端口（L）：不用填或空白

遠(yuǎn)程端口（R）：不用填或空白

【解析】本題考查Windows系統(tǒng)下的防火墻以及網(wǎng)絡(luò)攻擊的過濾防護(hù)知識(shí)及應(yīng)用。

此類題目要求考生熟悉常見的網(wǎng)絡(luò)攻擊手段及其相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)分組，并具備Wireshark工具的基本使用方法，能針對(duì)不同的網(wǎng)絡(luò)攻擊方法配置對(duì)應(yīng)的防護(hù)措施。

【問題1】

要求掌握Windows系統(tǒng)的基本操作。根據(jù)圖中顯示的窗口標(biāo)題名字或者路徑信息【系統(tǒng)和安全】-【W(wǎng)indowsDefender防火墻】，可知從控制面板是可以訪問到圖中界面的。打開控制面板可以從命令行進(jìn)入，也可以從開始菜單進(jìn)入。

【問題2】

從圖中可以發(fā)現(xiàn)攻擊數(shù)據(jù)包的規(guī)律:源地址都是，目的地址是一個(gè)廣播地址55，采用ICMP協(xié)議。由于它是廣播地址，對(duì)應(yīng)的同網(wǎng)內(nèi)的所有地址都可以收到，因此上述同網(wǎng)的大量機(jī)器會(huì)向源地址發(fā)送應(yīng)答分組，從而造成大量數(shù)據(jù)包發(fā)往源地址，所以在此源地址才是受害（被攻擊）地址。發(fā)送的分組是Echorequest，對(duì)應(yīng)的應(yīng)答分組是Echoreply。

【問題3】

Windows防火墻要定制過濾規(guī)則需要從“高級(jí)設(shè)置”進(jìn)入。

【問題4】

針對(duì)ICMP協(xié)議，既不是程序，也沒有端口，更不是預(yù)先定義的規(guī)則，只能通過“自定義”進(jìn)行設(shè)置。

【問題5】

ICMP協(xié)議工作在網(wǎng)絡(luò)層，沒有傳輸層的端口信息。因此端口信息是不需要填寫的。對(duì)于協(xié)議類型選擇ICMPv4，協(xié)議號(hào)會(huì)自動(dòng)填1。

30.單選題

一臺(tái)連接在以太網(wǎng)內(nèi)的計(jì)算機(jī)為了能和其他主機(jī)進(jìn)行通信，需要有網(wǎng)卡支持。網(wǎng)卡接收數(shù)據(jù)幀的狀態(tài)有：unicast、broadcast、multicast、promiscuous等，其中能接收所有類型數(shù)據(jù)幀的狀態(tài)是（

）。

問題1選項(xiàng)

A.unicast

B.broadcast

C.multicast

D.promiscuous

【答案】D

【解析】本題考查網(wǎng)卡接收數(shù)據(jù)幀狀態(tài)方面的基礎(chǔ)知識(shí)。

unicast是指網(wǎng)卡在工作時(shí)接收目的地址是本機(jī)硬件地址的數(shù)據(jù)幀,broadcast是指接收所有類型為廣播報(bào)文的數(shù)據(jù)幀，multicast是指接收特定的組播報(bào)文，promiscuous則是通常說的混雜模式，是指對(duì)報(bào)文中的目的硬件地址不加任何檢查而全部接收的工作模式。

答案選D。

31.單選題

在安全評(píng)估過程中，采?。?/p>

）手段，可以模擬黑客入侵過程，檢測(cè)系統(tǒng)安全脆弱性。

問題1選項(xiàng)

A.問卷調(diào)查

B.人員訪談

C.滲透測(cè)試

D.手工檢查

【答案】C

【解析】本題考查安全評(píng)估方面的基礎(chǔ)知識(shí)。

滲透測(cè)試是通過模擬惡意黑客的攻擊方法，來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。在安全評(píng)估過程中，一般采取滲透測(cè)試手段，可以模擬黑客入侵過程，檢測(cè)系統(tǒng)安全脆弱性。

答案選C。

32.案例題

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】

代碼安全漏洞往往是系統(tǒng)或者網(wǎng)絡(luò)被攻破的頭號(hào)殺手。在C語言程序開發(fā)中，由于C語言自身語法的一些特性，很容易出現(xiàn)各種安全漏洞。因此，應(yīng)該在C程序開發(fā)中充分利用現(xiàn)有開發(fā)工具提供的各種安全編譯選項(xiàng)，減少出現(xiàn)漏洞的可能性。

【問題1】(4分)

圖5-1給出了一段有漏洞的C語言代碼（注：行首數(shù)字是代碼行號(hào)），請(qǐng)問，上述代碼存在哪種類型的安全漏洞？該漏洞和C語言數(shù)組的哪一個(gè)特性有關(guān)？

【問題2】(4分)

圖5-2給出了C程序的典型內(nèi)存布局，請(qǐng)回答如下問題。

（1）請(qǐng)問圖5-1的代碼中第9行的變量authenticated保存在圖5-2所示的哪個(gè)區(qū)域中?

（2）請(qǐng)問stack的兩個(gè)典型操作是什么?

（3）在圖5-2中的stack區(qū)域保存數(shù)據(jù)時(shí)，其地址增長(zhǎng)方向是往高地址還是往低地址增加?

（4）對(duì)于圖5-1代碼中的第9行和第10行代碼的兩個(gè)變量，哪個(gè)變量對(duì)應(yīng)的內(nèi)存地址更高?

【問題3】(6分)

微軟的VisualStudio提供了很多安全相關(guān)的編譯選項(xiàng)，圖5-3給出了圖5-1中代碼相關(guān)的工程屬性頁面的截圖。請(qǐng)回答以下問題。

（1）請(qǐng)問圖5-3中哪項(xiàng)配置可以有效緩解上述代碼存在的安全漏洞?

（2）如果把圖5-1中第10行代碼改為charbuffer[4];圖5-3的安全編譯選項(xiàng)是否還起作用?

（3）模糊測(cè)試是否可以檢測(cè)出上述代碼的安全漏洞?

【答案】【問題1】

緩沖區(qū)（棧

）

溢出。

不對(duì)數(shù)組越界進(jìn)行檢查。

【問題2】

（1）stack

（2）push和pop或者壓棧和彈棧

（3）高地址

（4）第9行或者authenticated變量

【問題3】

（1）EnableSecurityCheck(/GS)

（2）不起作用

（3）可以檢測(cè)出漏洞

【解析】本題考查軟件安全的漏洞類型以及安全開發(fā)的知識(shí)，是關(guān)于代碼安全的問題。

【問題1】

這類漏洞是由于函數(shù)內(nèi)的本地變量溢出造成的，而本地變量都位于堆棧區(qū)域，因此這類漏洞一般稱為棧溢出漏洞。主要是因?yàn)镃語言編譯器對(duì)數(shù)組越界沒有進(jìn)行檢查導(dǎo)致的。

【問題2】

第9行的變量authenticated同樣是本地變量，因此位于堆棧(stack)區(qū)域。堆棧結(jié)構(gòu)常見的操作就是push和pop。在數(shù)據(jù)往堆棧區(qū)域?qū)憰r(shí)，都是往高地址寫的。在入棧時(shí)，則是第9行的變量先入棧在高地址，后續(xù)的第10行代碼對(duì)應(yīng)的變量buffer后入棧在低地址，因此第9行的變量在高地址。只有這樣在往buffer數(shù)組拷貝過多的數(shù)據(jù)時(shí)，才會(huì)覆蓋掉后續(xù)的authenticated變量。

【問題3】

微軟的VisualStudio編譯器提供了很多的安全編譯選項(xiàng)，可以對(duì)代碼進(jìn)行安全編譯，例如圖中EnableSecurityCheck(/GS)可以在棧中添加特殊值，使得一旦被覆蓋就會(huì)導(dǎo)致異常，從而增加漏洞利用難度。該編譯選項(xiàng)針對(duì)小于等于4個(gè)字節(jié)的數(shù)組不起保護(hù)作用。模糊測(cè)試通過發(fā)送不同長(zhǎng)度的數(shù)據(jù)給buffer,可能導(dǎo)致覆蓋后續(xù)變量和指針值，導(dǎo)致程序異常從而觸發(fā)監(jiān)測(cè)，因此采用模糊測(cè)試的方法是可以檢測(cè)出此類漏洞的。

33.單選題

SM2算法是國(guó)家密碼管理局于2010年12月17日發(fā)布的橢圓曲線公鑰密碼算法，在我們國(guó)家商用密碼體系中被用來替換（

）算法。

問題1選項(xiàng)

A.DES

B.MD5

C.RSA

D.IDEA

【答案】C

【解析】本題考查我國(guó)商用密碼管理方面的知識(shí)。

DES算法、IDEA算法都屬于分組密碼算法；MD5算法是一種Hash算法，也叫雜湊算法；SM2算法和RSA算法都屬于非對(duì)稱加密算法。SM2算法是一種更先進(jìn)更安全的算法，隨著密碼技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展，目前常用的1024位RSA算法面臨嚴(yán)重的安全威脅，我們國(guó)家密碼管理部門經(jīng)過研究，決定采用SM2橢圓曲線算法替換RSA算法。故本題選C。

點(diǎn)播：

SM1：對(duì)稱加密分組長(zhǎng)度和密鑰長(zhǎng)度都為128比特；

SM2：非對(duì)稱加密，用于公鑰加密算法、密鑰交換協(xié)議、數(shù)字簽名算法，國(guó)家標(biāo)準(zhǔn)推薦使用素?cái)?shù)域256位橢圓曲線；

SM3：雜湊算法，雜湊值長(zhǎng)度為256比特；

SM4：對(duì)稱加密，分組長(zhǎng)度和密鑰長(zhǎng)度都為128比特；

SM9：標(biāo)識(shí)密碼算法。

34.單選題

PKI中撤銷證書是通過維護(hù)一個(gè)證書撤銷列表CRL來實(shí)現(xiàn)的。以下不會(huì)導(dǎo)致證書被撤銷的是（

）。

問題1選項(xiàng)

A.密鑰泄漏

B.系統(tǒng)升級(jí)

C.證書到期

D.從屬變更

【答案】B

【解析】本題考查PKI相關(guān)知識(shí)。

每個(gè)證書都有一個(gè)有效使用期限，有效使用期限的長(zhǎng)短由CA的政策決定。有效使用期限到期的證書應(yīng)當(dāng)撤銷。證書的公鑰所對(duì)應(yīng)的私鑰泄露，或證書的持證人死亡，證書的持證人嚴(yán)重違反證書管理的規(guī)章制度等情況下也要撤銷證書。故本題選B。

點(diǎn)播：公鑰基礎(chǔ)設(shè)施（PKI）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它提供了一種系統(tǒng)化的、可擴(kuò)展的、統(tǒng)一的、可控制的公鑰分發(fā)方法。和證書的簽發(fā)一樣，證書的撤銷也是一個(gè)復(fù)雜的過程。證書的撤銷要經(jīng)過申請(qǐng)、批準(zhǔn)、撤銷三個(gè)過程。

35.單選題

Symmetric-keycryptosystemsusethe（1）keyforencryptionanddecryptionofamessage,thoughamessageorgroupofmessagesmayhaveadifentkeythanothers.Asignificantdisadvantageofsymmetricciphersisthekeymanagementnecessarytousethemsecurely.Eachditinctpairofcommunicatingpartiesmust,ideally,shareadiferentkey,andperhapseachciphertextexchangedaswell.Thenumberofkeysrequiredincreasesasthesquareofthenumberofnetworkmembers,whichveryquicklyrequirescomplexkeymanagementschemestokeepthemallstraightandsecret.Thedificultyofsecurelyestablishingasecret（2）betweentwocommunicatingparties,whenasecurechanneldoesn'talreadyexistbetweenthem,alsopresentsachicken-and-eggproblemwhichisaconsiderablepracticalobstacleforcryptographyusersintherealworld.

WhitfieldDiffeandMartinHellman,authorsofthefrstpaperonpublic-keycryptography.

Inagroundbreaking1976paper,WhitfieldDifleandMartinHellmanproposedthenotionofpublic-key(also,moregenerally,calledasymmetrickey)cryptographyinwhichtwodifferentbutmathematicallyrelatedkeysareused-apublickeyandaprivatekey.Apublickeysystemissoconstructedthatcalculationofonekey(heprivatekey)iscomputationallyinfeasible（3）theother(thepubickey),eventhoughtheyarenecessarilyrelated.Instead,bothkeysaregeneratedsecretly,asaninterrelatedpair.ThehistorianDavidKahndescribedpublic-keycryptographyas"themostrevolutionarynewconceptinthefieldsincepoly-alphabeticsubstitutionemergedintheRenaissance".

Inpublic-keycryptosystems,the（4）keymaybefeelydistributed,whileitspairedprivatekeymustremainsecret.Thepublickeyistypicallyusedforencryption,whiletheprivateorsecretkeyisusedfordecryption.DifeandHllmanshowedthatpublic-keycryptographywaspossiblebypresentingtheDifit-Hellmankeyexchangeprotocol.

In1978,RonaldRivest,AdiShamir,andLenAdlemaninvented（5）,anotherpublic-keysystem.

In1997,itfinallybecamepubliclyknownthatasymmetrickeycryptographyhadbeeninventedbyJamesH.EllisatGCHQ,aBritishitelligenceorganization,andthat,intheearly1970s,boththeDiffie-HellmanandRSAalgorithmshadbeenpreviouslydeveloped(byMalcolmJ.WilliamsonandCliffordCocks,respectively).

問題1選項(xiàng)

A.different

B.same

C.public

D.private

問題2選項(xiàng)

A.plaintext

B.stream

C.ciphertext

D.key

問題3選項(xiàng)

A.from

B.in

C.to

D.of

問題4選項(xiàng)

A.public

B.private

C.symmetric

D.asymmetric

問題5選項(xiàng)

A.DES

B.AES

C.RSA

D.IDEA

【答案】第1題:B

第2題:D

第3題:A

第4題:A

第5題:C

【解析】第1題:

第2題:

第3題:

第4題:

第5題:對(duì)稱密鑰密碼系統(tǒng)使用相同(same)的密鑰對(duì)消息進(jìn)行加密和解密，盡管一條消息或一組消息可能使用與其他消息不同的密鑰。對(duì)稱密碼的一個(gè)顯著缺點(diǎn)是為了安全使用必須進(jìn)行密鑰管理。理想情況下，每對(duì)不同的通信雙方必須共享不同的密鑰，或許每個(gè)密文也需要交換。隨著網(wǎng)絡(luò)成員的增加，需要的密鑰數(shù)量以網(wǎng)絡(luò)成員的平方倍增加，這很快就需要復(fù)雜的密鑰管理方案來保持密鑰的透明性和保密性。當(dāng)通信雙方之間不存在安全信道時(shí)，很難在它們之間安全地建立密鑰(key)，這是一個(gè)先有雞還是先有蛋的問題，對(duì)于現(xiàn)實(shí)世界中的密碼學(xué)用戶來說是一個(gè)相當(dāng)大的實(shí)際困難。

WhitfieldDiffie和MartinHellman是公鑰密碼學(xué)方面第一篇論文的作者，在1976年的一篇開創(chuàng)性論文中，WhitfieldDifie和MartinHellman提出了公鑰(也更普遍地稱為非對(duì)稱密鑰)密碼學(xué)的概念，其中使用了兩個(gè)不同但數(shù)學(xué)上相關(guān)的密鑰一公鑰和私鑰。在公鑰系統(tǒng)中，雖然兩個(gè)密鑰是必須相關(guān)的，但從(from)公鑰卻無法計(jì)算出私鑰。相反，這兩個(gè)密鑰都是秘密生成的，它們是相互關(guān)聯(lián)的一對(duì)。歷史學(xué)家DavidKahn將公鑰密碼學(xué)描述為“自文藝復(fù)興時(shí)期多表代換出現(xiàn)以來，該領(lǐng)域最具有革命性的新概念”。

在公鑰密碼系統(tǒng)中，公鑰(public)可自由分發(fā)，但與其對(duì)應(yīng)的私鑰必須保密。公鑰常用于加密，而私鑰或秘密密鑰用于解密。Diffie和Hellman通過提出Difie-Hellman密鑰交換協(xié)議證明了公鑰密碼學(xué)的可能性。

1978年，RonaldRivest、AdiShamir和LenAdleman創(chuàng)建了另一種公鑰系統(tǒng)(RSA)。英國(guó)情報(bào)機(jī)構(gòu)GCHQ的JamesH.Ellis早已發(fā)明非對(duì)稱密鑰密碼學(xué)，并且在20世紀(jì)70年代初，Diffe-Hellman和RSA算法也已被發(fā)明(分別由MalcolmJ.Williamson和CliffordCocks發(fā)明)，但這些事件直到1997年才被大眾所知。

36.單選題

域名系統(tǒng)DNS的功能是把Internet中的主機(jī)域名解析為對(duì)應(yīng)的IP地址，目前頂級(jí)域名（TLD

）有國(guó)家頂級(jí)域名、國(guó)際頂級(jí)域名、通用頂級(jí)域名三大類。最早的頂級(jí)域名中，表示非營(yíng)利組織域名的是（

）。

問題1選項(xiàng)

A.net

B.org

C.mil

D.biz

【答案】B

【解析】本題考查域名系統(tǒng)方面的基礎(chǔ)知識(shí)。

COM：商業(yè)性的機(jī)構(gòu)或公司

ORG：非盈利的組織、團(tuán)體

GOV：政府部門

MIL：軍事部門

EDU：教育機(jī)構(gòu)

NET：從事Internet相關(guān)的的機(jī)構(gòu)或公司

BIZ：網(wǎng)絡(luò)商務(wù)向?qū)?，適用于商業(yè)公司

答案選B。

37.單選題

無線傳感器網(wǎng)絡(luò)（WSN

）是由部署在監(jiān)測(cè)區(qū)域內(nèi)大量的廉價(jià)微型傳感器節(jié)點(diǎn)組成，通過無線通信方式形成的一個(gè)多跳的自組織網(wǎng)絡(luò)系統(tǒng)。以下WSN標(biāo)準(zhǔn)中，不屬于工業(yè)標(biāo)準(zhǔn)的是（

）。

問題1選項(xiàng)

A.ISA100.11a

B.WIA-PA

C.Zigbee

D.WirelessHART

【答案】C

【解析】本題考查無線傳感器網(wǎng)絡(luò)方面的基本知識(shí)。

工業(yè)無線標(biāo)準(zhǔn)ISA100.11a、面向工業(yè)過程自動(dòng)化的工業(yè)無線網(wǎng)絡(luò)標(biāo)準(zhǔn)技術(shù)WIA-PA和WirelessHART無線通信標(biāo)準(zhǔn)均屬于工業(yè)標(biāo)準(zhǔn)，紫峰協(xié)議Zigbee不屬于工業(yè)標(biāo)準(zhǔn)。

38.單選題

基于MD4和MD5設(shè)計(jì)的S/Key口令是一種一次性口令生成方案，它可以對(duì)訪問者的身份與設(shè)備進(jìn)行綜合驗(yàn)證，該方案可以對(duì)抗（

）。

問題1選項(xiàng)

A.網(wǎng)絡(luò)釣魚

B.數(shù)學(xué)分析攻擊

C.重放攻擊

D.窮舉攻擊

【答案】C

【解析】本題考查Hash算法中的MD4、MD5算法。

網(wǎng)絡(luò)釣魚：是一種通過假冒可信方（知名銀行、信用卡公司等）提供網(wǎng)上服務(wù)，以欺騙手段獲取敏感個(gè)人信息（如口令、銀行卡信息等）的攻擊方式。

數(shù)學(xué)分析攻擊：是指密碼分析者針對(duì)加解密算法的數(shù)學(xué)基礎(chǔ)和某些密碼學(xué)特性，通過數(shù)學(xué)求解的方法來破譯密碼。數(shù)學(xué)分析攻擊是對(duì)基于數(shù)學(xué)難題的各種密碼的主要威脅。為了對(duì)抗這種數(shù)學(xué)分析攻擊，應(yīng)當(dāng)選用具有堅(jiān)實(shí)數(shù)學(xué)基礎(chǔ)和足夠復(fù)雜的加解密算法。

重放攻擊：也被叫做是重播攻擊、回放攻擊或者是新鮮性攻擊，具體是指攻擊者發(fā)送一個(gè)目的主機(jī)已經(jīng)接收過的包來達(dá)到欺騙系統(tǒng)的目的。重放攻擊主要是在身份認(rèn)證的過程時(shí)使用，它可以把認(rèn)證的正確性破壞掉。

窮舉攻擊：亦稱“暴力破解”。對(duì)密碼進(jìn)行逐個(gè)推算，直到找出真正的密碼為止的一種攻擊方式。理論上可破解任何一種密碼，問題在于如何縮短破解時(shí)間。

S/key口令是一種一次性口令生成方案，可以有效對(duì)抗重放攻擊。故本題選C。

點(diǎn)播：此類題目不需要完全了解MD4、MD5等算法原理，只需抓住題干中關(guān)鍵字——“一次性口令”，再結(jié)合選項(xiàng)的理解分析，即可快速找到答案。

39.單選題

移位密碼的加密對(duì)象為英文字母，移位密碼采用對(duì)明文消息的每一個(gè)英文字母向前推移固定key位的方式實(shí)現(xiàn)加密。設(shè)key=6，則明文“SEC"對(duì)應(yīng)的密文為（

）。

問題1選項(xiàng)

A.YKI

B.ZLI

C.XJG

D.MYW

【答案】A

【解析】本題考查移位密碼方面的基礎(chǔ)知識(shí)。

英文字母S.E、C向前推移6位后分別為Y、K、I,所以明文“SEC"對(duì)應(yīng)的密文為“YKI”"。

答案選A。

40.單選題

Snort是一款開源的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，它能夠執(zhí)行實(shí)時(shí)流量分析和IP協(xié)議網(wǎng)絡(luò)的數(shù)據(jù)包記錄。以下不屬于Snort配置模式的是（

）。

問題1選項(xiàng)

A.嗅探

B.包記錄

C.分布式入侵檢測(cè)

D.網(wǎng)絡(luò)入侵檢測(cè)

【答案】C

【解析】本題考查網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort。

Snort是一款開源的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，它能夠執(zhí)行實(shí)時(shí)流量分析和IP協(xié)議網(wǎng)絡(luò)的數(shù)據(jù)包記錄。Snort可以執(zhí)行協(xié)議分析和內(nèi)容查詢/匹配使你能夠探測(cè)各種攻擊和探查，比如緩沖區(qū)溢出，隱蔽端口掃描，通用網(wǎng)關(guān)接口（CGI）攻擊，服務(wù)器信息塊協(xié)議（SMB）探測(cè)，操作系統(tǒng)指紋攻擊等。

主要模式有：

嗅探（Sniffer）：主要是讀取網(wǎng)絡(luò)上的數(shù)據(jù)包并在控制臺(tái)上用數(shù)據(jù)流不斷地顯示出來。

包記錄（PacketLogger）：把數(shù)據(jù)包記錄在磁盤上。

網(wǎng)絡(luò)入侵檢測(cè)（NetworkIntrusionDetection）：是最復(fù)雜最難配置的；它可以分析網(wǎng)絡(luò)流量與用戶定義的規(guī)則設(shè)置進(jìn)行匹配然后根據(jù)結(jié)果執(zhí)行相應(yīng)的操作。

故本題選C。

點(diǎn)播：UNIX/Linux系統(tǒng)的安全是動(dòng)態(tài)的，對(duì)運(yùn)行的系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控有利于及時(shí)發(fā)現(xiàn)安全問題，做出安全應(yīng)急響應(yīng)。針對(duì)UNIX/Linux系統(tǒng)的安全監(jiān)測(cè)，常用的安全工具有Netstat、lsof、Snort等。

41.單選題

惡意代碼是指為達(dá)到惡意目的而專門設(shè)計(jì)的程序或代碼。惡意代碼的一般命名格式為：..。以下惡意代碼中，屬于腳本病毒的是（

）。

問題1選項(xiàng)

A.Worm.Sasser.f

B.Trojan.Huigezi.a

C.Harm.formatC.f

D.Script.Redlof

【答案】D

【解析】本題考查惡意代碼相關(guān)知識(shí)。

惡意代碼的英文是MaliciousCode，它是一種違背目標(biāo)系統(tǒng)安全策略的程序代碼，會(huì)造成目標(biāo)系統(tǒng)信息泄露、資源濫用，破壞系統(tǒng)的完整性及可用性。根據(jù)惡意代碼的命名規(guī)則，腳本病毒的共有特性是腳本病毒的前綴是：Script，則屬于腳本病毒的是Script.Redlof。

A為蠕蟲病毒、B為木馬病毒、C為破壞性病毒。

故本題選D。

點(diǎn)播：惡意代碼是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件，也包括故意編制或設(shè)置的、對(duì)網(wǎng)絡(luò)或系統(tǒng)會(huì)產(chǎn)生威脅或潛在威脅的計(jì)算機(jī)代碼。在訪問因特網(wǎng)時(shí)，可以采取將要訪問的Web站點(diǎn)按其可信度分配到瀏覽器不同安全區(qū)域的方式防止Web頁面中惡意代碼對(duì)自己計(jì)算機(jī)的損害。

42.單選題

為確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全，依據(jù)（

），2020年4月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室等12個(gè)部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》，該辦法自2020年6月1日實(shí)施，將重點(diǎn)評(píng)估采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國(guó)家安全風(fēng)險(xiǎn)。

問題1選項(xiàng)

A.《中華人民共和國(guó)國(guó)家安全法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

B.《中華人民共和國(guó)國(guó)家保密法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

C.《中華人民共和國(guó)國(guó)家安全法》和《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》

D.《中華人民共和國(guó)國(guó)家安全法》和《中華人民共和國(guó)國(guó)家保密法》

【答案】A

【解析】本題考查網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的知識(shí)。

在《中華人民共和國(guó)國(guó)家安全法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中，有相關(guān)條款對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)有相應(yīng)要求。

答案選A。

43.單選題

安全套接字層超文本傳輸協(xié)議HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，網(wǎng)站的安全協(xié)議是HTTPS時(shí)，該網(wǎng)站瀏覽時(shí)會(huì)進(jìn)行（

）處理。

問題1選項(xiàng)

A.增加訪問標(biāo)記

B.身份隱藏

C.口令驗(yàn)證

D.加密

【答案】D

【解析】本題考查HTTPS安全協(xié)議的基礎(chǔ)知識(shí)。

HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書來驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信數(shù)據(jù)提供加密功能。

答案選D。

44.單選題

PDR模型是一種體現(xiàn)主動(dòng)防御思想的網(wǎng)絡(luò)安全模型，該模型中D表示（

）。

問題1選項(xiàng)

A.Design（設(shè)計(jì)）

B.Detection（檢測(cè)）

C.Defense（防御）

D.Defend（保護(hù)）

【答案】B

【解析】本題考查信息保障模型中的PDR模型。

PDR模型是最早體現(xiàn)主動(dòng)防御思想的網(wǎng)絡(luò)安全模型。PDR模型包括了Protection（保護(hù)）、Detection（檢測(cè)）、Response（響應(yīng)）3個(gè)部分。故本題選B。

點(diǎn)播：美國(guó)國(guó)防部提出了PDRR模型，其中PDRR是Protection（保護(hù)）、Detection（檢測(cè)）、Recovery（恢復(fù)）、Response（響應(yīng)）英文單詞的縮寫。PDRR改進(jìn)了傳統(tǒng)的只注重保護(hù)的單一安全防御思想，該模型強(qiáng)調(diào)的是自動(dòng)故障恢復(fù)能力。

45.單選題

防火墻的安全規(guī)則由匹配條件和處理方式兩部分組成。當(dāng)網(wǎng)絡(luò)流量與當(dāng)前的規(guī)則匹配時(shí)，就必須采用規(guī)則中的處理方式進(jìn)行處理。其中，拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止的處理方式是（

）。

問題1選項(xiàng)

A.Accept

B.Reject

C.Refuse

D.Drop

【答案】B

【解析】本題考查防火墻相關(guān)知識(shí)。

防火墻的規(guī)則處理方式如下：

Accept：允許數(shù)據(jù)包或信息通過；

Reject：拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止；

Drop：直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

故本題選B。

點(diǎn)播：防火墻是一種控制隔離技術(shù)，在某機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。

46.案例題

閱讀下列說明，回答問題1至問題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說明】在Linux系統(tǒng)中，用戶賬號(hào)是用戶的身份標(biāo)志，它由用戶名和用戶口令組成。

【問題1】（4分）

Linux系統(tǒng)將用戶名和口令分別保存在哪些文件中？

【問題2】（7分）

Linux系統(tǒng)的用戶名文件通常包含如下形式的內(nèi)容：

root:x:0:0:root:root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

hujw:x:500:500:hujianwei:/home/hujw:/bin/bash

文件中的一行記錄對(duì)應(yīng)著一個(gè)用戶，每行記錄用冒號(hào)（：）分隔為7個(gè)字段，請(qǐng)問第1個(gè)冒號(hào)（第二列）和第二個(gè)冒號(hào)（第三列）的含義是什么？上述用戶名文件中，第三列的數(shù)字分別代表什么含義？

【問題3】（4分）

Linux系統(tǒng)中用戶名文件和口令字文件的默認(rèn)訪問權(quán)限分別是什么？

【答案】【問題1】

用戶名是存放在/etc/passwd文件中，口令是以加密的形式存放在/etc/shadow文件中。

【問題2】用戶名:口令:用戶標(biāo)識(shí)號(hào):組標(biāo)識(shí)號(hào):注釋性描述:主目錄:登錄Shell。

第一個(gè)冒號(hào)的第二列代表口令；第二個(gè)冒號(hào)的第三列代表用戶標(biāo)識(shí)號(hào)。

root用戶id為0；bin用戶id為1到99；hujw用戶id為500?！窘馕觥俊締栴}1】

在Linux系統(tǒng)中，系統(tǒng)用戶名是存放在/etc/passwd文件中，口令是以加密的形式存放在/etc/shadow文件中。

【問題2】

在Linux系統(tǒng)中，系統(tǒng)用戶名是存放在/etc/passwd文件中，口令是以加密的形式存放在/etc/shadow文件中。

/etc/passwd文件介紹：

一般/etc/passwd中一行記錄對(duì)應(yīng)著一個(gè)用戶，每行記錄又被冒號(hào)（:）分隔為7個(gè)字段，其格式和具體含義如下：

用戶名:口令:用戶標(biāo)識(shí)號(hào):組標(biāo)識(shí)號(hào):注釋性描述:主目錄:登錄Shell

用戶名(login_name):是代表用戶賬號(hào)的字符串。通常長(zhǎng)度不超過8個(gè)字符，并且由大小寫字母和/或數(shù)字組成。登錄名中不能有冒號(hào)（:），因?yàn)槊疤?hào)在這里是分隔符。為了兼容起見，登錄名中最好不要包含點(diǎn)字符（.），并且不使用連字符（-）和加號(hào)（+）打頭。

口令（passwd）：一些系統(tǒng)中，存放著加密后的用戶口令字。雖然這個(gè)字段存放的只是用戶口令的加密串，不是明文，但是由于/etc/passwd文件對(duì)所有用戶都可讀，所以這仍是一個(gè)安全隱患。因此，現(xiàn)在許多Linux系統(tǒng)（如SVR4）都使用了shadow技術(shù)，把真正的加密后的用戶口令字存放到/etc/shadow文件中，而在/etc/passwd文件的口令字段中只存放一個(gè)特殊的字符，例如“x”或者“*”。

用戶標(biāo)識(shí)號(hào)（UID）：是一個(gè)整數(shù)，系統(tǒng)內(nèi)部用它來標(biāo)識(shí)用戶。一般情況下它與用戶名是一一對(duì)應(yīng)的。如果幾個(gè)用戶名對(duì)應(yīng)的用戶標(biāo)識(shí)號(hào)是一樣的，系統(tǒng)內(nèi)部將把它們視為同一個(gè)用戶，但是它們可以有不同的口令、不同的主目錄以及不同的登錄Shell等。取值范圍是0-65535。0是超級(jí)用戶root的標(biāo)識(shí)號(hào)，1-99由系統(tǒng)保留，作為管理賬號(hào)，普通用戶的標(biāo)識(shí)號(hào)從100開始。在Linux系統(tǒng)中，這個(gè)界限是500。

組標(biāo)識(shí)號(hào)（GID）：字段記錄的是用戶所屬的用戶組。它對(duì)應(yīng)著/etc/group文件中的一條記錄。

注釋性描述（users）：字段記錄著用戶的一些個(gè)人情況，例如用戶的真實(shí)姓名、電話、地址等，這個(gè)字段并沒有什么實(shí)際的用途。在不同的Linux系統(tǒng)中，這個(gè)字段的格式并沒有統(tǒng)一。在許多Linux系統(tǒng)中，這個(gè)字段存放的是一段任意的注釋性描述文字，用作finger命令的輸出。

主目錄（home_directory）：也就是用戶的起始工作目錄，它是用戶在登錄到系統(tǒng)之后所處的目錄。在大多數(shù)系統(tǒng)中，各用戶的主目錄都被組織在同一個(gè)特定的目錄下，而用戶主目錄的名稱就是該用戶的登錄名。各用戶對(duì)自己的主目錄有讀、寫、執(zhí)行（搜索）權(quán)限，其他用戶對(duì)此目錄的訪問權(quán)限則根據(jù)具體情況設(shè)置。

登錄Shell（Shell）：用戶登錄后，要啟動(dòng)一個(gè)進(jìn)程，負(fù)責(zé)將用戶的操作傳給內(nèi)核，這個(gè)進(jìn)程是用戶登錄到系統(tǒng)后運(yùn)行的命令解釋器或某個(gè)特定的程序，即Shell。Shell是用戶與Linux系統(tǒng)之間的接口。Linux的Shell有許多種，每種都有不同的特點(diǎn)。常用的有sh（BourneShell），csh