2022年5月計(jì)算機(jī)技術(shù)與軟件《中級(jí)信息安全工程師（下午卷）》真題及答案

2022年5月計(jì)算機(jī)技術(shù)與軟件《中級(jí)信息安全工程師（下午卷）》真題及答案[問(wèn)答題]1.試題一(共20分)閱讀下列說(shuō)明和圖，回答問(wèn)題1至問(wèn)題5，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】已知某公司網(wǎng)絡(luò)環(huán)境結(jié)構(gòu)主要由（江南博哥）三個(gè)部分組成，分別是DMZ區(qū)、內(nèi)網(wǎng)辦公區(qū)和生產(chǎn)區(qū)，其拓?fù)浣Y(jié)構(gòu)如圖1-1所示。信息安全部的王工正在按照等級(jí)保護(hù)2.0的要求對(duì)部分業(yè)務(wù)系統(tǒng)開(kāi)展安全配置。圖1-1當(dāng)中，網(wǎng)站服務(wù)器的IP地址是40，數(shù)據(jù)庫(kù)服務(wù)器的IP地址是41，信息安全部計(jì)算機(jī)所在網(wǎng)段為/24，王工所使用的辦公電腦IP地址為?！締?wèn)題1】(2分)為了防止生產(chǎn)網(wǎng)受到外部的網(wǎng)絡(luò)安全威脅，安全策略要求生產(chǎn)網(wǎng)和其他網(wǎng)之間部署安全隔離裝置，隔離強(qiáng)度達(dá)到接近物理隔離。請(qǐng)問(wèn)圖中X最有可能代表的安全設(shè)備是什么?【問(wèn)題2】(2分)防火墻是網(wǎng)絡(luò)安全區(qū)域邊界保護(hù)的重要技術(shù)，防火墻防御體系結(jié)構(gòu)主要有基于雙宿主主機(jī)防火墻、基于代理型防火墻和基于屏蔽子網(wǎng)的防火墻。圖1-1拓?fù)鋱D中的防火墻布局屬于哪種體系結(jié)構(gòu)類型?【問(wèn)題3】(2分)通常網(wǎng)絡(luò)安全需要建立四道防線，第一道是保護(hù)，阻止網(wǎng)絡(luò)入侵；第二道是監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)入侵和破壞；第三道是響應(yīng)，攻擊發(fā)生時(shí)確保網(wǎng)絡(luò)打不垮；第四道是恢復(fù)，使網(wǎng)絡(luò)在遭受攻擊時(shí)能以最快速度起死回生。請(qǐng)問(wèn)拓?fù)鋱D1-1中防火墻1屬于第幾道防線?【問(wèn)題4】(6分)圖1-1中防火墻1和防火墻2都采用Ubuntu系統(tǒng)自帶的iptables防火墻，其默認(rèn)的過(guò)濾規(guī)則如圖1-2所示。(1)請(qǐng)說(shuō)明上述防火墻采取的是白名單還是黑名單安全策略。(2)圖1-2顯示的是iptables哪個(gè)表的信息，請(qǐng)寫出表名。(3)如果要設(shè)置iptables防火墻默認(rèn)不允許任何數(shù)據(jù)包進(jìn)入，請(qǐng)寫出相應(yīng)命令?！締?wèn)題5】(8分)DMZ區(qū)的網(wǎng)站服務(wù)器是允許互聯(lián)網(wǎng)進(jìn)行訪問(wèn)的，為了實(shí)現(xiàn)這個(gè)目標(biāo)，王工需要對(duì)防火墻1進(jìn)行有效配置。同時(shí)王工還需要通過(guò)防火墻2對(duì)網(wǎng)站服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行日常運(yùn)維。(1)防火墻1應(yīng)該允許哪些端口通過(guò)?(2)請(qǐng)編寫防火墻1上實(shí)現(xiàn)互聯(lián)網(wǎng)只能訪問(wèn)網(wǎng)站服務(wù)器的iptables過(guò)濾規(guī)則。(3)請(qǐng)寫出王工電腦的子網(wǎng)掩碼。(4)為了使王工能通過(guò)SSH協(xié)議遠(yuǎn)程運(yùn)維DMZ區(qū)中的服務(wù)器，請(qǐng)編寫防火墻2的iptables過(guò)濾規(guī)則。正確答案：詳見(jiàn)解析參考解析：【問(wèn)題1】網(wǎng)閘分析：圖中最有有可能代表的設(shè)備是網(wǎng)閘，安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備?！締?wèn)題2】基于屏蔽子網(wǎng)的防火墻分析：：常見(jiàn)的防火墻體系結(jié)構(gòu)本題中可以明顯地看到存在存在有防火墻1、DMZ網(wǎng)絡(luò)和防火墻2等部分，因此拓?fù)鋱D中的防火墻布局屬于屏蔽子網(wǎng)的防火墻?！締?wèn)題3】第一道防線分析：縱深防御模型的基本思路就是將信息網(wǎng)絡(luò)安全防護(hù)措施有機(jī)組合起來(lái)，針對(duì)保護(hù)對(duì)象，部署合適的安全措施，形成多道保護(hù)線，各安全防護(hù)措施能夠互相支持和補(bǔ)救，盡可能地阻斷攻擊者的威脅。目前，安全業(yè)界認(rèn)為網(wǎng)絡(luò)需要建立四道防線：安全保護(hù)是網(wǎng)絡(luò)的第一道防線，能夠阻止對(duì)網(wǎng)絡(luò)的入侵和危害；安全監(jiān)測(cè)是網(wǎng)絡(luò)的第二道防線，可以及時(shí)發(fā)現(xiàn)入侵和破壞；實(shí)時(shí)響應(yīng)是網(wǎng)絡(luò)的第三道防線，當(dāng)攻擊發(fā)生時(shí)維持網(wǎng)絡(luò)“打不垮”；恢復(fù)是網(wǎng)絡(luò)的第四道防線，使網(wǎng)絡(luò)在遭受攻擊后能以最快的速度“起死回生”，最大限度地降低安全事件帶來(lái)的損失。顯然，防火墻1位于縱深防御模型的最外層，作為安全保護(hù)的第一道防線，阻止互聯(lián)網(wǎng)對(duì)內(nèi)網(wǎng)的入侵和危害?！締?wèn)題4】（1）黑名單（2）Filter（3）iptables-PFORWARDDROP或者iptables-tfilter-PFORWARDDROP（DROP更改為REJECT也符合題意）分析：（1）黑名單安全策略：當(dāng)鏈的默認(rèn)策略為ACCEPT時(shí)，鏈中的規(guī)則對(duì)應(yīng)的動(dòng)作應(yīng)該為DROP或者REJECT，表示只有匹配到規(guī)則的報(bào)文才會(huì)被拒絕，沒(méi)有被規(guī)則匹配到的報(bào)文都會(huì)被默認(rèn)接受。白名單安全策略：當(dāng)鏈的默認(rèn)策略為DROP時(shí)，鏈中的規(guī)則對(duì)應(yīng)的動(dòng)作應(yīng)該為ACCEPT，表示只有匹配到規(guī)則的報(bào)文才會(huì)被放行，沒(méi)有被規(guī)則匹配到的報(bào)文都會(huì)被默認(rèn)拒絕。圖1-2中鏈的默認(rèn)策略是ACCEPT，防火墻采取的是黑名單策略。（2）在iptables中內(nèi)建的規(guī)則表有三個(gè)：nat、mangle和filter。這三個(gè)規(guī)則表的功能如下：●nat：此規(guī)則表?yè)碛衟rerouting和postrouting兩個(gè)規(guī)則鏈，主要功能是進(jìn)行一對(duì)一、一對(duì)多、多對(duì)多等地址轉(zhuǎn)換工作（snat、dnat），這個(gè)規(guī)則表在網(wǎng)絡(luò)工程中使用得非常頻繁?！駇angle：此規(guī)則表?yè)碛衟rerouting、forward和postrouting三個(gè)規(guī)則鏈。除了進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換外，還在某些特殊應(yīng)用中改寫數(shù)據(jù)包的ttl、tos的值等，這個(gè)規(guī)則表使用得很少，因此在這里不做過(guò)多討論?！駀ilter：這個(gè)規(guī)則表是默認(rèn)規(guī)則表，擁有input、forward和output三個(gè)規(guī)則鏈，它是用來(lái)進(jìn)行數(shù)據(jù)包過(guò)濾的處理動(dòng)作（如drop、accept或reject等），通常的基本規(guī)則都建立在此規(guī)則表中。

圖1-2中的iptables的默認(rèn)規(guī)則鏈?zhǔn)荌NPUT、FORWARD和OUTPUT，所以顯示的是filter表的相關(guān)信息。（3）防火墻1和防火墻2都需要經(jīng)過(guò)路由判斷后進(jìn)行轉(zhuǎn)發(fā)，即目的地不是本機(jī)的數(shù)據(jù)包執(zhí)行的規(guī)則。所以需要修改FORWARD規(guī)則鏈的默認(rèn)策略為DROP或者REJECT。題干要求的是默認(rèn)不允許任何數(shù)據(jù)包進(jìn)入，命令如下：iptables-PFORWARDDROP或者iptables-tfilter-PFORWARDDROP（DROP更改為REJECT也符合題意）【問(wèn)題5】（1）80和443（2）iptables-tfilter-PFORWARDDROP（DROP更改為REJECT也符合題意）iptables-tfilter-AFORWARD-d40-ptcp--dport80-jACCEPTiptables-tfilter-AFORWARD-d40-ptcp--dport443-jACCEPT（3）（4）iptables-tfilter-AFORWARD-s-d40/24-ptcp--dport22-jACCEPTiptables-tfilter-AFORWARD-s40/24-d-ptcp--sport22-jACCEPT分析：（1）網(wǎng)站服務(wù)器提供的是web服務(wù)，使用HTTP和HTTPS，對(duì)應(yīng)的默認(rèn)端口是80和443。（2）首先設(shè)置iptables防火墻默認(rèn)不允許任何數(shù)據(jù)包進(jìn)入，即采用白名單策略，然后在filter表的FORWARD鏈中添加一條允許目標(biāo)端口80和443的TCP服務(wù)。規(guī)則如下iptables-tfilter-PFORWARDDROP（DROP更改為REJECT也符合題意）iptables-tfilter-AFORWARD-ptcp--dport80-jACCEPTiptables-tfilter-AFORWARD-ptcp--dport443-jACCEPT（3）網(wǎng)工IP地址位于信息安全部計(jì)算機(jī)所在網(wǎng)段為/24，/24就是掩碼，點(diǎn)分十進(jìn)制表示為（4）SSH協(xié)議是基于TCP的22號(hào)端口，所以在配置iptables需要設(shè)置源地址為網(wǎng)工辦公電腦的IP地址、目標(biāo)地址為DMZ區(qū)域所使用的IP地址、協(xié)議是TCP協(xié)議、目標(biāo)端口是22的數(shù)據(jù)流的允許通過(guò)的規(guī)則，以及一條反向允許通過(guò)的規(guī)則。即：iptables-tfilter-AFORWARD-s-d40/24-ptcp--dport22-jACCEPTiptables-tfilter-AFORWARD-s40/24-d-ptcp--sport22-jACCEPT[問(wèn)答題]2.試題二(共20分)閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題5，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】Linux系統(tǒng)中所有內(nèi)容都是以文件的形式保存和管理的，即一切皆文件。普通文本、音視頻、二進(jìn)制程序是文件，目錄是文件，硬件設(shè)備(鍵盤、監(jiān)視器、硬盤、打印機(jī))是文件，就連網(wǎng)絡(luò)套接字等也都是文件。在LinuxUbuntu系統(tǒng)下執(zhí)行l(wèi)s-l命令后顯示的結(jié)果如圖2-1所示?！締?wèn)題1】(2分)請(qǐng)問(wèn)執(zhí)行上述命令的用戶是普通用戶還是超級(jí)用戶?【問(wèn)題2】(3分)(1)請(qǐng)給出圖2-1中屬于普通文件的文件名。(2)請(qǐng)給出圖2-1中的目錄文件名。(3)請(qǐng)給出圖2-1中的符號(hào)鏈接文件名?！締?wèn)題3】(2分)符號(hào)鏈接作為L(zhǎng)inux系統(tǒng)中的一種文件類型，它指向計(jì)算機(jī)上的另一個(gè)文件或文件夾。符號(hào)鏈接類似于Windows中的快捷方式。如果要在當(dāng)前目錄下，創(chuàng)建圖2-1中所示的符號(hào)鏈接，請(qǐng)給出相應(yīng)命令。【問(wèn)題4】(3分)當(dāng)源文件(或目錄)被移動(dòng)或者被刪除時(shí)，指向它的符號(hào)鏈接就會(huì)失效。(1)請(qǐng)給出命令，實(shí)現(xiàn)列出/home目錄下各種類型(如：文件、目錄及子目錄)的所有失效鏈接。(2)在(1)基礎(chǔ)上，完善命令以實(shí)現(xiàn)刪除所有失效鏈接?！締?wèn)題5】(10分)Linux系統(tǒng)的權(quán)限模型由文件的所有者、文件的組、所有其他用戶以及讀(r)、寫(w)、執(zhí)行(x)組成。(1)請(qǐng)寫出第一個(gè)文件的數(shù)字權(quán)限表示；(2)請(qǐng)寫出最后一個(gè)文件的數(shù)字權(quán)限表示；(3)請(qǐng)寫出普通用戶執(zhí)行最后一個(gè)文件后的有效權(quán)限；(4)請(qǐng)給出去掉第一個(gè)文件的‘x’權(quán)限的命令。(5)執(zhí)行(4)給出的命令后，請(qǐng)說(shuō)明root用戶能否進(jìn)入該文件。正確答案：詳見(jiàn)解析參考解析：【問(wèn)題1】普通用戶分析：LinuxUbuntu系統(tǒng)中打開(kāi)一個(gè)終端窗口時(shí)，首先看到的是Shell的提示符，Ubuntu系統(tǒng)的標(biāo)準(zhǔn)提示符包括了用戶登錄名、登入的機(jī)器名、當(dāng)前所在的工作目錄和提示符號(hào)。其中普通用戶提示符號(hào)為$，超級(jí)用戶提示符號(hào)為#。圖中的hujianwei是用戶名，顯然是普通用戶，LinuxUbuntu系統(tǒng)的超級(jí)用戶的用戶名為root?！締?wèn)題2】（1）crond.pid、abc（2）openvpn（3）shm->/dev/shm分析：LinuxUbuntu系統(tǒng)下文件的權(quán)限位共有十個(gè)：按照1bit，3bit，3bit，3bit劃分為4組。第1組只有1位，用于表示文件類型；第2組是第2~4位，用于表示文件擁有者對(duì)該文件所擁有的權(quán)限；第3組是第5~7位，表示文件所有者的屬組對(duì)該文件所擁有的權(quán)限；第4組是第8~10位，表示其他人(除了擁有者和所屬組之外的人)對(duì)該文件所擁有的權(quán)限。其中第1位文件類型分為普通文件、目錄文件、特殊文件、管道文件、套接字文件、符號(hào)鏈接文件。文件類型對(duì)應(yīng)制定符號(hào)參見(jiàn)下表：ls-l命令列出的5個(gè)文件中，第1個(gè)文件的權(quán)限位第1位是“d”,表示這個(gè)文件是一個(gè)目錄；第2個(gè)文件的權(quán)限位第1位是“l(fā)”,表示符號(hào)鏈接文件；第3個(gè)文件的權(quán)限位第1位是“s”,表示套接字文件；第4、5個(gè)文件的權(quán)限位第1位是“-”,表示普通文件；【問(wèn)題3】在LinuxUbuntu系統(tǒng)下創(chuàng)建符號(hào)鏈接的命令是ln。(這里需要注意windows下的類似命令是mklink)ln命令的基本格式：ln[選項(xiàng)]源文件目標(biāo)文件選項(xiàng)-s表示創(chuàng)建軟鏈接，在圖中，文件名“shm->/dev/shm”中符號(hào)“->”前的shm是目標(biāo)文件，符號(hào)“->”后的/dev/shm是源文件，所以創(chuàng)建途中的符號(hào)鏈接的命令如下：hujianwei@local:~/var/run$

ln-s/dev/shmshm【問(wèn)題4】（1）find/home-xtypel-print（2）find/home-xtypel-execrm{}\;Creati分析：（1）當(dāng)源文件(或目錄)被移動(dòng)或者被刪除時(shí)，指向它的符號(hào)鏈接就會(huì)失效。過(guò)多的失效鏈接會(huì)影響系統(tǒng)的管理及性能，可以使用find命令按文件類型對(duì)失效鏈接進(jìn)行搜索。find命令的格式如下：find

path

-option[-print][-exec-okcommand]{}

\;根據(jù)題意，參數(shù)path路徑應(yīng)該為/home；選項(xiàng)參數(shù)使用文件類型有很多，其中使用-xtypel或-typel指定類型為失效鏈接文件，使用-print將文件或目錄名稱列出到標(biāo)準(zhǔn)輸出。find/home-xtypel-print（2）用find命令時(shí)，還可以同時(shí)使用exec選項(xiàng)后面跟隨著所要執(zhí)行的命令或腳本，其中刪除的shell命令是rm，然后是一對(duì)兒{}，一個(gè)空格和一個(gè)\，最后是一個(gè)分號(hào)。所以可以在第（1）問(wèn)的基礎(chǔ)上加上“-execrm{}\;”來(lái)完成刪除失效鏈接操作。find/home-xtypel-execrm{}\;【問(wèn)題5】（1）755（2）755（3）可讀、不可寫、可執(zhí)行（4）chmoda-xopenvpn或者chmod644openvpn（5）執(zhí)行（4）命令后，第一個(gè)文件的所有者root權(quán)限為可讀、可寫、不可執(zhí)行，不可執(zhí)行即不能進(jìn)入該文件。分析：（1）第一個(gè)文件的權(quán)限是drwxr-xr-x，因此第2~4位對(duì)應(yīng)111，即十進(jìn)制數(shù)7；第5~7位對(duì)應(yīng)的是101，即十進(jìn)制數(shù)5；8~10位對(duì)應(yīng)101，即十進(jìn)制數(shù)5；所以第一個(gè)文件的數(shù)字權(quán)限表示為755。（2）同理，最后一個(gè)文件的權(quán)限是-rwxr-xr-x，2~4位對(duì)應(yīng)111，即7；5~7位對(duì)應(yīng)101，即5；8~10位對(duì)應(yīng)101，即5；所以最后一個(gè)文件的數(shù)字權(quán)限也表示為755。（3）普通用戶有效權(quán)限對(duì)應(yīng)的是8~10位代表的權(quán)限，r-x表示有效權(quán)限是可讀、不可寫、可執(zhí)行。（4）修改權(quán)限的命令是chmod，可以使用權(quán)限設(shè)定字符來(lái)設(shè)定，也可以使用數(shù)字權(quán)限來(lái)設(shè)定。語(yǔ)法：chmod[who][+/-/=][mode]文件名。chmoda-xopenvpn或者chmod644openvpna表示所有用戶，-表示去掉對(duì)應(yīng)權(quán)限。（5）執(zhí)行第（4）問(wèn)的命令后，第一個(gè)文件的權(quán)限由drwxr-xr-x變成了drw-r--r--，該文件的所有者root對(duì)于的權(quán)限是rw-，即可讀、可寫、不可執(zhí)行。文件夾的讀權(quán)限代表能否查看文件夾中的東西；文件夾的寫權(quán)限代表能否在文件夾中添新東西；文件夾的執(zhí)行權(quán)限代表能否進(jìn)入文件夾。第一個(gè)文件是文件夾，如果不可執(zhí)行，那么就無(wú)法通過(guò)cd命令進(jìn)入到該文件夾。[問(wèn)答題]3.試題三(共18分)閱讀下列說(shuō)明和圖，回答問(wèn)題1至問(wèn)題9，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】Windows系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問(wèn)題的信息，同時(shí)還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過(guò)它來(lái)檢查錯(cuò)誤發(fā)生的原因，或者尋找受到攻擊時(shí)攻擊者留下的痕跡。有一天，王工在夜間的例行安全巡檢過(guò)程中，發(fā)現(xiàn)有異常日志告警，通過(guò)查看NTA全流量分析設(shè)備，找到了對(duì)應(yīng)的可疑流量，請(qǐng)分析其中可能的安全事件?！締?wèn)題1】(2分)Windows系統(tǒng)提供的日志有三種類型，分別是系統(tǒng)日志、應(yīng)用程序日志和安全日志，請(qǐng)問(wèn)圖3-1的日志最有可能來(lái)自哪種類型的日志?【問(wèn)題2】(2分)請(qǐng)選擇Windows系統(tǒng)所采用的記錄日志信息的文件格式后綴名。備選項(xiàng)：A.logB.txtC.xmlD.evt【問(wèn)題3】(2分)訪問(wèn)Windows系統(tǒng)中的日志記錄有多種方法，請(qǐng)問(wèn)通過(guò)命令行窗口快速訪問(wèn)日志的命令名字(事件查看器)是什么?【問(wèn)題4】(2分)Windows系統(tǒng)通過(guò)事件ID來(lái)記錄不同的系統(tǒng)行為，圖3-1的事件ID為4625，請(qǐng)結(jié)合任務(wù)類別，判斷導(dǎo)致上述日志的最有可能的情況。備選項(xiàng)：A.本地成功登錄B.網(wǎng)絡(luò)失敗登錄

C.網(wǎng)絡(luò)成功登錄D.本地失敗登錄【問(wèn)題5】(2分)王工通過(guò)對(duì)攻擊流量的關(guān)聯(lián)分析定位到了圖3-2所示的網(wǎng)絡(luò)分組，請(qǐng)指出上述攻擊針對(duì)的是哪一個(gè)端口?！締?wèn)題6】(2分)如果要在Wireshark當(dāng)中過(guò)濾出上述流量分組，請(qǐng)寫出在顯示過(guò)濾框中應(yīng)輸入的過(guò)濾表達(dá)式?！締?wèn)題7】(2分)Windows系統(tǒng)為了實(shí)現(xiàn)安全的遠(yuǎn)程登錄使用了tls協(xié)議，請(qǐng)問(wèn)圖3-2中，服務(wù)器的數(shù)字證書是在哪一個(gè)數(shù)據(jù)包中傳遞的?通信雙方是從哪一個(gè)數(shù)據(jù)包開(kāi)始傳遞加密數(shù)據(jù)的?請(qǐng)給出對(duì)應(yīng)數(shù)據(jù)包的序號(hào)?！締?wèn)題8】(2分)網(wǎng)絡(luò)安全事件可分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他事件。請(qǐng)問(wèn)上述攻擊屬于哪一種網(wǎng)絡(luò)安全事件?【問(wèn)題9】(2分)此類攻擊針對(duì)的是三大安全目標(biāo)即保密性、完整性、可用性中的哪一個(gè)?正確答案：詳見(jiàn)解析參考解析：【問(wèn)題1】安全日志分析：Windows日志有三種類型：系統(tǒng)日志、應(yīng)用程序日志和安全日志，它們對(duì)應(yīng)的文件名為Sysevent.evt、Appevent.evt和Secevent.evt。這些日志文件通常存放在操作系統(tǒng)安裝的區(qū)域“system32\config”目錄下。系統(tǒng)日志包含由Windows系統(tǒng)組件記錄的事件，記錄系統(tǒng)進(jìn)程和設(shè)備驅(qū)動(dòng)程序的活動(dòng)；應(yīng)用程序日志包含計(jì)算機(jī)系統(tǒng)中的用戶程序和商業(yè)程序在運(yùn)行時(shí)出現(xiàn)的錯(cuò)誤活動(dòng)；安全日志記錄與安全相關(guān)的事件，包括成功和不成功的登錄或退出、系統(tǒng)資源使用事件(系統(tǒng)文件的創(chuàng)建、刪除、更改)等。根據(jù)圖3-1中的事件來(lái)源“MicrosoftWindowssecurityauditing”安全審計(jì)，可知該日志最有可能來(lái)自安全日志?！締?wèn)題2】D分析Windows日志有三種類型：系統(tǒng)日志、應(yīng)用程序日志和安全日志，它們對(duì)應(yīng)的文件名為Sysevent.evt、Appevent.evt和Secevent.evt。日志文件的后綴名是.evt?！締?wèn)題3】eventvw分析：通過(guò)命令行窗口快速訪問(wèn)事件查看器，可以使用命令“eventvwr”。也可以在開(kāi)始菜單的運(yùn)行中輸入“eventvwr.msc”?！締?wèn)題4】B分析：根據(jù)任務(wù)類別logon，說(shuō)明是登錄事件，事件ID：4624表示登錄成功，4625表示登錄失敗，所以可以排除AC。另外事件日志詳細(xì)信息中還會(huì)列出登錄類型，題干中并沒(méi)有列出說(shuō)明，所以需要結(jié)合上下文來(lái)判斷，根據(jù)問(wèn)題5針對(duì)3389的遠(yuǎn)程桌面端口，以及圖3-1的登錄失敗的事件頻率，可以基本判定是通過(guò)遠(yuǎn)程桌面進(jìn)行的暴力密碼攻擊，屬于網(wǎng)絡(luò)登錄?！締?wèn)題5】3389分析：根據(jù)圖3-2所示的網(wǎng)絡(luò)分組，發(fā)現(xiàn)是IP地址9的主機(jī)與IP地址00的主機(jī)之間的通信，由9向00發(fā)起了針對(duì)目標(biāo)端口為3389的TCP鏈接，該端口對(duì)應(yīng)的是遠(yuǎn)程桌面RDP服務(wù)，根據(jù)圖3-1的登錄失敗的事件頻率，可以基本判定是通過(guò)遠(yuǎn)程桌面進(jìn)行的暴力密碼攻擊?！締?wèn)題6】ip.addr==9andip.addr==00

分析：圖3-2中流量分組都是IP地址9的主機(jī)與IP地址00的主機(jī)之間的通信，所以可以設(shè)定兩個(gè)IP地址的過(guò)濾表。即ip.addr==9andip.addr==00。【問(wèn)題7】服務(wù)器數(shù)字證書在序號(hào)12162為的數(shù)據(jù)包中傳遞；通信雙方是從序號(hào)為12168的數(shù)據(jù)包開(kāi)始傳遞加密數(shù)據(jù)。分析：SSL/TSL通過(guò)四次握手，圖3-2的四次握手如下：1）客戶端發(fā)送序號(hào)12161的數(shù)據(jù)包發(fā)起ClientHello請(qǐng)求；2）服務(wù)器回應(yīng)序號(hào)12162的數(shù)據(jù)包ServerHello，其中包含協(xié)商版本信息、加密方法以及數(shù)字證書；3）客戶端發(fā)送序號(hào)12164的數(shù)據(jù)包回應(yīng)，其中包含約定好的HASH計(jì)算握手消息；4）服務(wù)器發(fā)送序號(hào)12165的數(shù)據(jù)包完成握手，其中包含密碼加密一段握手消息。所以服務(wù)器傳輸數(shù)字證書在第二次握手階段，數(shù)據(jù)包序號(hào)12162；四次握手完成后開(kāi)始傳遞加密數(shù)據(jù)，對(duì)應(yīng)序號(hào)是12168?！締?wèn)題8】網(wǎng)絡(luò)攻擊事件分析：有害程序事件：是指插入信息系統(tǒng)的一段程序，會(huì)對(duì)信息系統(tǒng)的完整性、保密性和可用性產(chǎn)生危害，甚至影響營(yíng)銷系統(tǒng)的正常運(yùn)轉(zhuǎn)。計(jì)算機(jī)病毒、蠕蟲事件、混合攻擊程序事件等都是有害程序，這類事件具有故意編寫、傳播有害程序的特點(diǎn)。網(wǎng)絡(luò)攻擊事件：是指通過(guò)網(wǎng)絡(luò)技術(shù)、利用系統(tǒng)漏洞和協(xié)議對(duì)信息系統(tǒng)實(shí)施攻擊，對(duì)信息系統(tǒng)造成危害或造成系統(tǒng)異常的安全事件，如DDoS攻擊、后門攻擊、漏洞攻擊等。信息破壞事件：是指通過(guò)網(wǎng)絡(luò)等其他手段，對(duì)系統(tǒng)中的信息進(jìn)行篡改或竊取、泄露等的安全事件，主要包括信息篡改、信息泄露等。信息內(nèi)容安全事件：是指利用網(wǎng)絡(luò)信息發(fā)布、傳播危害國(guó)家安全、社會(huì)安全和公共利益安全的事件。設(shè)備實(shí)施故障：是指因信息系統(tǒng)本身的故障或人為破壞信息系統(tǒng)設(shè)備而導(dǎo)致的網(wǎng)絡(luò)安全事件。災(zāi)害性事件：是指外界環(huán)境對(duì)系統(tǒng)造成物理破壞而導(dǎo)致的網(wǎng)絡(luò)安全事件。題干表述的攻擊是通過(guò)網(wǎng)絡(luò)技術(shù)對(duì)信息系統(tǒng)造成一場(chǎng)的安全事件，屬于網(wǎng)絡(luò)攻擊事件?！締?wèn)題9】保密性分析：由于基本判定為利用3389端口進(jìn)行的暴力密碼攻擊。針對(duì)的是保密性。[問(wèn)答題]4.試題四(共17分)閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題5，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】網(wǎng)絡(luò)安全側(cè)重于防護(hù)網(wǎng)絡(luò)和信息化的基礎(chǔ)設(shè)施，特別重視重要系統(tǒng)和設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施以及新產(chǎn)業(yè)、新業(yè)務(wù)和新模式的有序和安全。數(shù)據(jù)安全側(cè)重于保障數(shù)據(jù)在開(kāi)放、利用、流轉(zhuǎn)等處理環(huán)節(jié)的安全以及個(gè)人信息隱私保護(hù)。網(wǎng)絡(luò)安全與數(shù)據(jù)安全緊密相連，相輔相成。數(shù)據(jù)安全要實(shí)現(xiàn)數(shù)據(jù)資源異常訪問(wèn)行為分析，高度依賴網(wǎng)絡(luò)安全日志的完整性。隨著網(wǎng)絡(luò)安全法和數(shù)據(jù)安全法的落地，數(shù)據(jù)安全已經(jīng)進(jìn)入法制化時(shí)代?！締?wèn)題1】(6分)2022年7月21日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布的對(duì)滴滴全球股份有限公司依法做出網(wǎng)絡(luò)安全審查相關(guān)行政處罰的決定，開(kāi)出了80.26億的罰單，請(qǐng)分析一下，滴滴全球股份有限公司違反了哪些網(wǎng)絡(luò)安全法律法規(guī)?【問(wèn)題2】(2分)根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》，數(shù)據(jù)分類分級(jí)已經(jīng)成為企業(yè)數(shù)據(jù)安全治理的必選題。一般企業(yè)按數(shù)據(jù)敏感程度劃分，數(shù)據(jù)可以分為一級(jí)公開(kāi)數(shù)據(jù)、二級(jí)內(nèi)部數(shù)據(jù)、三級(jí)秘密數(shù)據(jù)、四級(jí)機(jī)密數(shù)據(jù)。請(qǐng)問(wèn)，一般員工個(gè)人信息屬于幾級(jí)數(shù)據(jù)?【問(wèn)題3】(2分)隱私可以分為身份隱私、屬性隱私、社交關(guān)系隱私、位置軌跡隱私等幾大類，請(qǐng)問(wèn)員工的薪水屬于哪一類隱私?【問(wèn)題4】(2分)隱私保護(hù)常見(jiàn)的技術(shù)措施有抑制、泛化、置換、擾動(dòng)和裁剪等。若某員工的月薪為8750元，經(jīng)過(guò)脫敏處理后，顯示為5k~10k，這種處理方式屬于哪種技術(shù)措施?【問(wèn)題5】(5分)密碼學(xué)技術(shù)也可以用于實(shí)現(xiàn)隱私保護(hù)，利用加密技術(shù)阻止非法用戶對(duì)隱私數(shù)據(jù)的未授權(quán)訪問(wèn)和濫用。若某員工的用戶名為“admin”，計(jì)劃用RSA對(duì)用戶名進(jìn)行加密，假設(shè)選取的兩個(gè)素?cái)?shù)p=47，q=71，公鑰加密指數(shù)e=3。請(qǐng)問(wèn)：(1)上述RSA加密算法的公鑰是多少?