2022年职业考证-软考-信息安全工程师考试名师押题精选卷I（带答案详解）试卷号70

住在富人区的她2022年职业考证-软考-信息安全工程师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

分组密码常用的工作模式包括：电码本模式（ECB模式）、密码反馈模式（CFB模式），密码分组链接模式（CBC模式），输出反馈模式（OFB模式）。下图描述的是（

）模式（图中Pi表示明文分组，Ci表示密文分组）

问题1选项

A.ECB模式

B.CFB模式

C.CBC模式

D.OFB模式

【答案】B

【解析】本题考查分组密码操作模式相关知识。

分组加密算法中，有ECB，CBC，CFB，OFB这几种算法模式。

ECB（电子密本方式）其实非常简单，就是将数据按照8个字节一段进行DES加密或解密得到一段8个字节的密文或者明文，最后一段不足8个字节，按照需求补足8个字节进行计算，之后按照顺序将计算所得的数据连在一起即可，各段数据之间互不影响。

CBC（密文分组链接方式）有点麻烦，它的实现机制使加密的各段数据之间有了联系。不容易主动攻击，安全性好于ECB。

CFB（密文反馈模式）类似于CBC，可以将块密码变为自同步的流密码；工作过程亦非常相似，CFB的解密过程几乎就是颠倒的CBC的加密过程。

OFB（输出反馈模式）可以将块密码变成同步的流密码。它产生密钥流的块，然后将其与平文块进行异或，得到密文。与其他流密码一样，密文中一个位的翻转会使平文中同样位置的位也产生翻转。这种特性使得许多错误校正码，例如奇偶校验位，即使在加密前计算而在加密后进行校验也可以得出正确结果。（详见《信息安全工程师教程》第一版P108）

故本题选B。

2.单选题

有线等效保密协议WEP是IEEE802.11标准的一部分，其为了实现机密性采用的加密算法是（

）。

问题1选项

A.DES

B.AES

C.RC4

D.RSA

【答案】C

【解析】本题考查无线局域网的安全加密技术。

IEEE802.11标准的WEP协议采用的流密码算法即序列密码算法，其对应的加密算法是RC4。选项A、B给出的是分组密码算法，选项D给出的是公钥密码算法。答案选C。

3.单选题

PDR模型是一种体现主动防御思想的网络安全模型，该模型中D表示（

）。

问题1选项

A.Design（设计）

B.Detection（检测）

C.Defense（防御）

D.Defend（保护）

【答案】B

【解析】本题考查信息保障模型中的PDR模型。

PDR模型是最早体现主动防御思想的网络安全模型。PDR模型包括了Protection（保护）、Detection（检测）、Response（响应）3个部分。故本题选B。

点播：美国国防部提出了PDRR模型，其中PDRR是Protection（保护）、Detection（检测）、Recovery（恢复）、Response（响应）英文单词的缩写。PDRR改进了传统的只注重保护的单一安全防御思想，该模型强调的是自动故障恢复能力。

4.单选题

Snort是一款开源的网络入侵检测系统，能够执行实时流量分析和IP协议网络的数据包记录。以下不属于Snort主要配置模式的是（

）。

问题1选项

A.嗅探

B.审计

C.包记录

D.网络入侵检测

【答案】B

【解析】本题考查入侵检测系统Snort工具相关的基础知识。

Snort有三种工作方式:嗅探器、数据包记录器和网络入侵检测系统，不包括审计。

答案选B。

5.单选题

2018年10月，含有我国SM3杂凑算法的ISO/IEC10118-3:2018《信息安全技术杂凑函数第3部分：专用杂凑函数》由国际标准化组织（ISO）发布，SM3算法正式成为国际标准。SM3的杂凑值长度为（

）。

问题1选项

A.8字节

B.16字节

C.32字节

D.64字节

【答案】C

【解析】本题考查国产密码算法中的SM3算法。

SM3为杂凑算法，杂凑长度为256比特，也就是32字节，故本题选C。

点播：SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等，其算法公开。据国家密码管理局表示，其安全性及效率与SHA-256相当，其输出为256bit的杂凑值。

6.单选题

移位密码的加密对象为英文字母，移位密码采用对明文消息的每一个英文字母向前推移固定key位的方式实现加密。设key=3，则对应明文MATH的密文为（

）。

问题1选项

A.OCVJ

B.QEXL

C.PDWK

D.RFYM

【答案】C

【解析】本题考查位移密码体制的应用。

将明文MATH依次往后移3步，即可得到PDWK。

点播：著名的加法密码是古罗马的凯撒大帝使用过的密码。Caesar密码取key=3，因此其密文字母表就是把明文字母表循环右移3位后得到的字母表。

7.单选题

互联网上通信双方不仅需要知道对方的地址，也需要知道通信程序的端口号。以下关于端口的描述中，不正确的是（

）。

问题1选项

A.端口可以泄露网络信息

B.端口不能复用

C.端口是标识服务的地址

D.端口是网络套接字的重要组成部分

【答案】B

【解析】本题考查通信端口相关知识。

端口是表示服务的地址，是网络套接字的重要组成部分，端口可以泄露网络信息。端口是信息系统中设备与外界进行信息交互的出口，互联网上通信双方不仅需要知道对方的地址，也需要知道通信程序的端口号。故本题选B。

点播：我们知道，一台拥有IP地址的主机可以提供许多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。那么，主机是怎样区分不同的网络服务呢？显然不能只靠IP地址，因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。

8.单选题

《计算机信息系统安全保护等级划分准则》中规定了计算机系统安全保护能力的五个等级，其中要求计算机信息系统可信计算基满足访问监控器需求的是（

）。

问题1选项

A.系统审计保护级

B.安全标记保护级

C.结构化保护级

D.访问验证保护级

【答案】D

【解析】本题考查信息安全保护等级划分方面的基础知识。

访问验证保护级的计算机信息系统可信计算基需满足访问监控器需求。

答案选D。

9.单选题

身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。下列各种协议中，不属于身份认证协议的是（

）。

问题1选项

A.IPSec协议

B.S/Key口令协议

C.X.509协议

D.Kerberos协议

【答案】A

【解析】本题考查身份认证方面的基础知识。

IPSec协议是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议，并不属于身份认证协议。

答案选A。

10.单选题

数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程。数字签名标准DSS中使用的签名算法DSA是基于ElGamal和Schnorr两个方案而设计的。当DSA对消息m的签名验证结果为True，也不能说明（

）。

问题1选项

A.接收的消息m无伪造

B.接收的消息m无篡改

C.接收的消息m无错误

D.接收的消息m无泄密

【答案】D

【解析】本题考查数字签名相关知识。

数字签名技术可以保证报文的完整性，不可否认性，以及提供身份认证信息，但不能保证信息的机密性。故本题选D。

点播：数字签名是指签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果。该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。数字签名具有手写签名一样的特点，是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的。

11.单选题

安全模型是一种对安全需求与安全策略的抽象概念模型，安全策略模型一般分为自主访问控制模型和强制访问控制模型。以下属于自主访问控制模型的是（

）。

问题1选项

A.BLP模型

B.基于角色的存取控制模型

C.BN模型

D.访问控制矩阵模型

【答案】D

【解析】本题考查访问控制模型的相关知识。

BLP模型：Bell-LaPadula模型是符合军事安全策略的计算机安全模型，简称BLP模型。BLP模型有两个特性：简单安全特性：主体只能向下读，不能向上读；

*特性：主体只能向上写，不能向下写。

基于角色的存取控制模型：基于角色的访问控制（RBAC）就是指根据完成某些职责任务所需要的访问权限来进行授权和管理。

BN模型：在深度神经网络训练过程中使得每一层神经网络的输入保持相同分布。

访问控制矩阵模型：访问控制矩阵是用矩阵的形式描述系统的访问控制的模型。

自主访问控制的基本思想是访问控制中访问客体的拥有者具有很大的权限，能够决定客体是否可以被相应主体访问，并且可以迁移和转让访问客体。在DAC模型中，访问权限是否进行授权需要根据主体情况并结合具体的安全规则从而做出判断，DAC有访问控制矩阵和访问控制列表两种实施方式。故本题选D。

点播：自主访问控制指客体的所有者按照自己的安全策略授予系统中其他用户对其的访问权。目前自主访问控制的实现方法有两类：基于行的自主访问控制和基于列的自主访问控制。强制访问控制是指系统根据主体和客体的安全属性，以强制的方式控制主体对客体的访问。

12.单选题

FTP是一个交互会话的系统，在进行文件传输时，FTP的客户和服务器之间需要建立两个TCP连接，分别是（

）。

问题1选项

A.认证连接和数据连接

B.控制连接和数据连接

C.认证连接和控制连接

D.控制连接和登录连接

【答案】B

【解析】本题考查FTP文件传输协议相关基础知识。

FTP的客户和服务器之间使用两个TCP连接：一个是控制连接，它一直持续到客户进程与服务器进程之间的会话完成为止；另一个是数据连接，按需随时创建和撤销。每当一个文件传输时，就创建一个数据连接。其中，控制连接被称为主连接，而数据连接被称为子连接。

13.单选题

操作系统的安全机制是指在操作系统中利用某种技术、某些软件来实施一个或多个安全服务的过程。操作系统的安全机制不包括（

）。

问题1选项

A.标识与鉴别机制

B.访问控制机制

C.密钥管理机制

D.安全审计机制

【答案】C

【解析】本题考查操作系统安全机制方面的基础知识。

操作系统的安全机制包括安全审计机制、可信路径机制、标识与鉴别机制、客体重用机制、访问控制机制。

答案选C。

14.单选题

Snort是一款开源的网络入侵检测系统，它能够执行实时流量分析和IP协议网络的数据包记录。以下不属于Snort配置模式的是（

）。

问题1选项

A.嗅探

B.包记录

C.分布式入侵检测

D.网络入侵检测

【答案】C

【解析】本题考查网络入侵检测系统Snort。

Snort是一款开源的网络入侵检测系统，它能够执行实时流量分析和IP协议网络的数据包记录。Snort可以执行协议分析和内容查询/匹配使你能够探测各种攻击和探查，比如缓冲区溢出，隐蔽端口扫描，通用网关接口（CGI）攻击，服务器信息块协议（SMB）探测，操作系统指纹攻击等。

主要模式有：

嗅探（Sniffer）：主要是读取网络上的数据包并在控制台上用数据流不断地显示出来。

包记录（PacketLogger）：把数据包记录在磁盘上。

网络入侵检测（NetworkIntrusionDetection）：是最复杂最难配置的；它可以分析网络流量与用户定义的规则设置进行匹配然后根据结果执行相应的操作。

故本题选C。

点播：UNIX/Linux系统的安全是动态的，对运行的系统进行实时监控有利于及时发现安全问题，做出安全应急响应。针对UNIX/Linux系统的安全监测，常用的安全工具有Netstat、lsof、Snort等。

15.单选题

当防火墙在网络层实现信息过滤与控制时，主要针对TCP/IP协议中的数据包头制定规则匹配条件并实施过滤，该规则的匹配条件不包括（

）。

问题1选项

A.IP源地址

B.源端口

C.IP目的地址

D.协议

【答案】B

【解析】本题考查防火墙相关知识。

当防火墙在网络层实现信息过滤与控制时，主要是针对TCP/IP协议中的IP数据包头部制定规则的匹配条件并实施过滤，其规则的匹配条件包括以下内容：IP源地址，IP数据包的发送主机地址；IP目的地址，IP数据包的接收主机地址；协议，IP数据包中封装的协议类型，包括TCP、UDP或ICMP包等。

故本题选B。

16.单选题

防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通知信息源该信息被禁止的处理方式是（

）。

问题1选项

A.Accept

B.Reject

C.Refuse

D.Drop

【答案】B

【解析】本题考查防火墙相关知识。

防火墙的规则处理方式如下：

Accept：允许数据包或信息通过；

Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止；

Drop：直接将数据包或信息丢弃，并且不通知信息源。

故本题选B。

点播：防火墙是一种控制隔离技术，在某机构的网络和不安全的网络之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。

17.单选题

恶意代码是指为达到恶意目的而专门设计的程序或代码，恶意代码的一般命名格式为：..，常见的恶意代码包括：系统病毒、网络蠕虫、特洛伊木马、宏病毒、后门程序、脚本病毒、捆绑机病毒等。以下属于脚本病毒前缀的是（

）。

问题1选项

A.Worm

B.Trojan

C.Binder

D.Script

【答案】D

【解析】本题考查恶意代码方面的基础知识。

各恶意代码类型前缀如下：

系统病毒Win32、Win95

网络蠕虫Worm

特洛伊木马程序Trojan

脚本病毒Script

宏病毒Macro

后门程序Backdoor

答案选D。

18.单选题

为了应对日益严重的垃圾邮件问题，服务提供商设计和应用了各种垃圾邮件过滤机制，以下耗费计算资源最多的垃圾邮件过滤机制是（

）。

问题1选项

A.SMTP身份认证

B.反向名字解析

C.内容过滤

D.黑名单过滤

【答案】C

【解析】本题考查垃圾邮件过滤机制方面的基础知识。

SMTP认证是指在MTA.上对来自本地网络以外的发信用户进行认证，也就是必须在提供了账户名和密码之后才可以登录SMTP服务器，进行远程转发，使用户避免受到垃圾邮件的侵扰。

反向名字解析是指通过DNS查询来判断发送者的IP与其声称的名字是否一致，例如，其声称的名字为,而其连接地址为00，与其DNS记录不符，则予以拒收。

黑名单过滤是基于用户投诉和采样积累而建立的、由域名或IP组成的数据库的。

即使使用了前面诸多环节中的技术，仍然会有相当一部分垃圾邮件漏网，对此情况目前最有效的方法是基于邮件标题或正文的内容过滤。结合内容扫描引擎，根据垃圾邮件的常用标题语、垃圾邮件受益者的姓名、电话号码、Web地址等信息进行过滤。由此可见，内容过滤是耗费计算资源最多的垃圾邮件过滤机制。

答案选C。

19.单选题

Web服务器也称为网站服务器，可以向浏览器等Web客户端提供文档，也可以放置网站文件和数据文件。目前最主流的三个Web服务器是Apache.Nginx.IIS。Web服务器都会受到HTTP协议本身安全问题的困扰，这种类型的信息系统安全漏洞属于（

）。

问题1选项

A.设计型漏洞

B.开发型漏洞

C.运行型漏洞

D.代码型漏洞

【答案】A

【解析】本题考查信息系统安全漏洞方面的基础知识。

一般设计人员制定协议时，通常首先强调功能性，而安全性问题则是到最后一刻、甚至不列入考虑范围。上述漏洞是由HTTP协议本身设计上所存在的安全问题，所以它是设计型漏洞。

答案选A。

20.单选题

僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序，从而在控制者和被感染主机之间形成的一个可以一对多控制的网络。以下不属于僵尸网络传播过程常见方式的是（

）。

问题1选项

A.主动攻击漏洞

B.恶意网站脚本

C.字典攻击

D.邮件病毒

【答案】C

【解析】本题考查僵尸网络方面的基础知识。

僵尸网络在传播过程中有如下几种手段：主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马。

答案选C。

21.案例题

阅读下列说明和表，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

防火墙类似于我国古代的护城河，可以阻挡敌人的进攻。在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙通过使用各种安全规则来实现网络的安全策略。

防火墙的安全规则由匹配条件和处理方式两个部分共同构成。网络流量通过防火墙时，根据数据包中的某些特定字段进行计算以后如果满足匹配条件，就必须采用规则中的处理方式进行处理。

【问题1】（5分）

假设某企业内部网（/24）需要通过防火墙与外部网络互连，其防火墙的过滤规则实例如表4.1所示。

表中“*”表示通配符，任意服务端口都有两条规则。

请补充表4.1中的内容（1）和（2），并根据上述规则表给出该企业对应的安全需求。

【问题2】（4分）

一般来说，安全规则无法覆盖所有的网络流量。因此防火墙都有一条默认（缺省）规则，该规则能覆盖事先无法预料的网络流量。请问缺省规则的两种选择是什么？

【问题3】（6分）

请给出防火墙规则中的三种数据包处理方式。

【问题4】（4分）

防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面的内容：服务控制、方向控制、用户控制和行为控制。请问表4.1中，规则A涉及访问控制的哪几个方面的内容？

【答案】【问题1】

（1）53（2）丢弃或Drop

其安全需求为：（1）允许内部用户访问外部网络的网页服务器；（2）允许外部用户访问内部网络的网页服务器（25）；（3）除1和2外，禁止其他任何网络流量通过该防火墙。

【问题2】

（1）默认拒绝：一切没有被允许的就是禁止的；

（2）默认允许：一切没有被禁止的就是允许的。

【问题3】

（1）Accept：允许数据包或信息通过；

（2）Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止；

（3）Drop：直接将数据包或信息丢弃，并且不通知信息源。

【问题4】

服务控制和方向控制。

【解析】【问题1】

规则A和B允许内部用户访问外部网络的网页服务器。规则C和D允许外部用户访问内部网络的网页服务器。规则E和F允许内部用户访问域名服务器。规则G是缺省拒绝的规则。规则E中目的端口为53；规则G中动作为Drop。

其安全需求为：①允许内部用户访问外部网络的网页服务器；②允许外部用户访问内部网络的网页服务器（25）；③除1和2外，禁止其他任何网络流量通过该防火墙。

【问题2】

缺省规则有两种选择：默认拒绝或者默认允许。默认拒绝是指一切未被允许的就是禁止的，其安全规则的处理方式一般为Accept；默认允许是指一切未被禁止的就是允许的。其安全规则的处理方式一般为Reject或Drop。

【问题3】

防火墙规则中的处理方式主要包括以下几种：

（1）Accept：允许数据包或信息通过。

（2）Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止。

（3）Drop：直接将数据包或信息丢弃，并且不通知信息源。

【问题4】

防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面或层次的内容：

（1）服务控制：决定哪些服务可以被访问，无论这些服务是在内部网络还是在外部网络。常见的网络服务有邮件服务、网页服务、代理服务、文件服务等，这些服务往往是系统对外的功能。在计算机网络中，服务往往就是指TCP/IP协议中的端口值，如25是指SMTP服务，110是指POP3服务，80是指网页服务等。当然，服务控制也包括服务的位置控制，如E地址。

（2）方向控制：决定在哪些特定的方向上服务请求可以被发起并通过防火墙，也就是服务是位于内部网络还是外部网络。通过规则控制，可以限定一个方向的服务，也可以同时限定两个方向的服务。

（3）用户控制：决定哪些用户可以访问特定服务。该技术既可以应用于防火墙网络内部的用户（本地用户），也可以被应用到来自外部用户的访问。可以采用用户名、主机的IP、主机的MAC等标识用户。

（4）行为控制：决定哪些具体的服务内容是否符合安全策略。如防火墙可以通过过滤邮件来清除垃圾邮件，以及网络流量中是否含有计算机病毒、木马等恶意代码。

规则A只规定了内部网访问外部网络的80端口的特定服务的过滤规则，设计服务控制和方向控制。

22.单选题

问题1选项

A.ECB

B.CTR

C.CFB

D.PCBC

【答案】D

【解析】本题考查分组密码相关知识。

图为明密文链接工作原理图，即PCBC。官方教材（第一版）P109。

电码本模式ECB直接利用分组密码对明文的各分组进行加密。

计数模式（CTR模式）加密是对一系列输入数据块（称为计数）进行加密，产生一系列的输出块，输出块与明文异或得到密文。

密文反馈模式（CFB模式）。在CFB模式中，前一个密文分组会被送回到密码算法的输入端。

故本题选D。

点播：明密文链接方式具有加密错误传播无界的特性，而磁盘文件加密通常希望解密错误传播有界，这时可采用密文链接方式。

23.单选题

设在RSA的公钥密码体制中，公钥为（e，n）=（7，55），则私钥d=（

）。

问题1选项

A.11

B.15

C.17

D.23

【答案】D

【解析】本题考查RSA密码算法相关知识。

已知n=55，则可推断ρ（n）=（5-1）*（11-1）=40，则d*e≡1mod40，算出d=23。故本题选D。

24.单选题

2016年11月7日，十二届全国人大常委会第二十四次会议以154票赞成、1票弃权，表决通过了《中华人民共和国网络安全法》。该法律第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经（

）决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

问题1选项

A.国务院

B.国家网信部门

C.省级以上人民政府

D.网络服务提供商

【答案】A

【解析】本题考查《中华人民共和国网络安全法》。

《中华人民共和国网络安全法》第五十八条：因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。故本题选A。

点播：《中华人民共和国网络安全法》已于2017年6月1日起实施。为加强网络安全教育，网络空间安全已被增设为一级学科。

25.单选题

移位密码的加密对象为英文字母，移位密码采用对明文消息的每一个英文字母向前推移固定key位的方式实现加密。设key=6，则明文“SEC"对应的密文为（

）。

问题1选项

A.YKI

B.ZLI

C.XJG

D.MYW

【答案】A

【解析】本题考查移位密码方面的基础知识。

英文字母S.E、C向前推移6位后分别为Y、K、I,所以明文“SEC"对应的密文为“YKI”"。

答案选A。

26.单选题

常见的恶意代码类型有：特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年5月爆发的恶意代码WannaCry勒索软件属于（

）。

问题1选项

A.特洛伊木马

B.蠕虫

C.后门

D.Rootkit

【答案】B

【解析】本题考查恶意代码相关知识。

特洛伊木马：伪装成有用的软件，诱骗用户下载执行。

蠕虫病毒：网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序。

后门：该类病毒的特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。

Rootkit：Rootkit木马是一种系统内核级病毒木马，其进入内核模块后能获取到操作系统高级权限，从而使用各种底层技术隐藏和保护自身，绕开安全软件的检测和查杀。

WannaCry勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。属于蠕虫病毒。故本题选B。

点播：恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。

27.单选题

PKI是一种标准的公钥密码的密钥管理平台，数字证书是PKI的基本组成部分。在PKI中，X.509数字证书的内容不包括（

）。

问题1选项

A.加密算法标识

B.签名算法标识

C.版本号

D.主体的公开密钥信息

【答案】A

【解析】本题考查PKI方面的基础知识。

X.509数字证书内容包括：版本号、序列号、签名算法标识、发行者名称、有效期、主体名称、主体公钥信息、发行者唯一标识符、主体唯一识别符、扩充域、CA的签名等，不包括加密算法标识。

28.单选题

以下关于认证和加密的表述中，错误的是（

）。

问题1选项

A.加密用以确保数据的保密性

B.认证用以确保报文发送者和接收者的真实性

C.认证和加密都可以阻止对手进行被动攻击

D.身份认证的目的在于识别用户的合法性，阻止非法用户访问系统

【答案】C

【解析】本题考查身份认证技术和加密技术的基本功能。

身份认证是来识别用户是否合法，常用的是基于用户知道的(如口令)、基于用户拥有的和生物特征等技术，上述信息在进行身份认证时，如传输时被嗅探(典型的被动攻击)则有可能造成身份信息泄露。因此身份认证无法阻止被动攻击。

答案选C。

29.单选题

强制访问控制（MAC）可通过使用敏感标签对所有用户和资源强制执行安全策略。MAC中用户访问信息的读写关系包括下读、上写、下写和上读四种，其中用户级别高于文件级别的读操作是（

）。

问题1选项

A.下读

B.上写

C.下写

D.上读

【答案】A

【解析】本题考查强制访问控制相关知识。

强制访问控制（MAC）是指系统根据主体和客体的安全属性，以强制的方式控制主体对客体的访问，是一种不允许主体干涉的访问控制类型。根据MAC的安全级别，用户与访问的信息的读写关系有四种：即：下读（readdown）：用户级别高于文件级别的读操作。上写（writeup）：用户级别低于文件级别的写操作。下写（writedown）：用户级别高于文件级别的写操作。上读（readup）：用户级别低于文件级别的读操作。其中用户级别高于文件级别的读写操作是下读。故本题选A。

点播：

访问控制的目标有两个：防止非法用户进入系统；阻止合法用户对系统资源的非法使用，即禁止合法用户的越权访问。

访问控制类型可分为：自主访问控制、强制访问控制、基于角色的访问控制和基于属性的访问控制。

30.单选题

IPSec属于（

）的安全解决方案。

问题1选项

A.网络层

B.传输层

C.应用层

D.物理层

【答案】A

【解析】本题考查IPSec协议。

IPSec定义了在网络层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查、保证数据机密性和防止重放攻击等。IPSec属于网络层的安全解决方案。故本题选A。

点播：IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。

31.单选题

片内操作系统COS是智能卡芯片内的一个监控软件，一般由通信管理模块、安全管理模块、应用管理模块和文件管理模块四个部分组成。其中对接收命令进行可执行判断是属于（

）。

问题1选项

A.通信管理模块

B.安全管理模块

C.应用管理模块

D.文件管理模块

【答案】C

【解析】本题考查片内操作系统方面的基础知识。

通信管理模块：该模块是COS与外界的半双工通信通道，接收读写器命令，并对接收信息进行正确性判断，有误则请求重发或添加标记，无误则将命令发送至安全管理模块。

安全管理模块：安全机制可按对象分为针对动态信息的安全性传输控制和针对卡内静态信息的内部安全控制管理两部分。安全管理模块是COS极重要组成部分，该模块提供高安全性保证。

应用管理模块：该模块主要是对接受命令进行可执行性判断。因智能卡的特性，它常常融于安全管理和文件管理之中。

文件管理模块：COS通过给每种应用建立对应文件的办法，实现对各项应用的存储及管理。用户通常不能创建或删除文件，但可酌情修改文件内容，对文件的记录和数据单元进行增加或删除。

答案选C。

32.案例题

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】在Linux系统中，用户账号是用户的身份标志，它由用户名和用户口令组成。

【问题1】（4分）

Linux系统将用户名和口令分别保存在哪些文件中？

【问题2】（7分）

Linux系统的用户名文件通常包含如下形式的内容：

root:x:0:0:root:root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

hujw:x:500:500:hujianwei:/home/hujw:/bin/bash

文件中的一行记录对应着一个用户，每行记录用冒号（：）分隔为7个字段，请问第1个冒号（第二列）和第二个冒号（第三列）的含义是什么？上述用户名文件中，第三列的数字分别代表什么含义？

【问题3】（4分）

Linux系统中用户名文件和口令字文件的默认访问权限分别是什么？

【答案】【问题1】

用户名是存放在/etc/passwd文件中，口令是以加密的形式存放在/etc/shadow文件中。

【问题2】用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell。

第一个冒号的第二列代表口令；第二个冒号的第三列代表用户标识号。

root用户id为0；bin用户id为1到99；hujw用户id为500。【解析】【问题1】

在Linux系统中，系统用户名是存放在/etc/passwd文件中，口令是以加密的形式存放在/etc/shadow文件中。

【问题2】

在Linux系统中，系统用户名是存放在/etc/passwd文件中，口令是以加密的形式存放在/etc/shadow文件中。

/etc/passwd文件介绍：

一般/etc/passwd中一行记录对应着一个用户，每行记录又被冒号（:）分隔为7个字段，其格式和具体含义如下：

用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell

用户名(login_name):是代表用户账号的字符串。通常长度不超过8个字符，并且由大小写字母和/或数字组成。登录名中不能有冒号（:），因为冒号在这里是分隔符。为了兼容起见，登录名中最好不要包含点字符（.），并且不使用连字符（-）和加号（+）打头。

口令（passwd）：一些系统中，存放着加密后的用户口令字。虽然这个字段存放的只是用户口令的加密串，不是明文，但是由于/etc/passwd文件对所有用户都可读，所以这仍是一个安全隐患。因此，现在许多Linux系统（如SVR4）都使用了shadow技术，把真正的加密后的用户口令字存放到/etc/shadow文件中，而在/etc/passwd文件的口令字段中只存放一个特殊的字符，例如“x”或者“*”。

用户标识号（UID）：是一个整数，系统内部用它来标识用户。一般情况下它与用户名是一一对应的。如果几个用户名对应的用户标识号是一样的，系统内部将把它们视为同一个用户，但是它们可以有不同的口令、不同的主目录以及不同的登录Shell等。取值范围是0-65535。0是超级用户root的标识号，1-99由系统保留，作为管理账号，普通用户的标识号从100开始。在Linux系统中，这个界限是500。

组标识号（GID）：字段记录的是用户所属的用户组。它对应着/etc/group文件中的一条记录。

注释性描述（users）：字段记录着用户的一些个人情况，例如用户的真实姓名、电话、地址等，这个字段并没有什么实际的用途。在不同的Linux系统中，这个字段的格式并没有统一。在许多Linux系统中，这个字段存放的是一段任意的注释性描述文字，用作finger命令的输出。

主目录（home_directory）：也就是用户的起始工作目录，它是用户在登录到系统之后所处的目录。在大多数系统中，各用户的主目录都被组织在同一个特定的目录下，而用户主目录的名称就是该用户的登录名。各用户对自己的主目录有读、写、执行（搜索）权限，其他用户对此目录的访问权限则根据具体情况设置。

登录Shell（Shell）：用户登录后，要启动一个进程，负责将用户的操作传给内核，这个进程是用户登录到系统后运行的命令解释器或某个特定的程序，即Shell。Shell是用户与Linux系统之间的接口。Linux的Shell有许多种，每种都有不同的特点。常用的有sh（BourneShell），csh（CShell），ksh（KornShell），tcsh（TENEX/TOPS-20typeCShell），bash（BourneAgainShell）等。系统管理员可以根据系统情况和用户习惯为用户指定某个Shell。如果不指定Shell，那么系统使用sh为默认的登录Shell，即这个字段的值为/bin/sh。

/etc/shadow文件介绍：

/etc/shadow文件格式与/etc/passwd文件格式类似，同样由若干个字段组成，字段之间用“:”隔开。

文件中字段主要含义为：登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志

1、“登录名”是与/etc/passwd文件中的登录名相一致的用户账号。

2、“口令”字段存放的是加密后的用户口令字：

如果为空，则对应用户没有口令，登录时不需要口令；

星号代表账号被锁定；

双叹号表示这个密码已经过期了；

$6$开头的，表明是用SHA-512加密；

$1$表明是用MD5加密；

$2$是用Blowfish加密；

$5$是用SHA-256加密；

3、“最后一次修改时间”表示的是从某个时刻起，到用户最后一次修改口令时的天数。时间起点对不同的系统可能不一样。例如在SCOLinux中，这个时间起点是1970年1月1日。

4、“最小时间间隔”指的是两次修改口令之间所需的最小天数。

5、“最大时间间隔”指的是口令保持有效的最大天数。

6、“警告时间”字段表示的是从系统开始警告用户到用户密码正式失效之间的天数。

7、“不活动时间”表示的是用户没有登录活动但账号仍能保持有效的最大天数。

8、“失效时间”字段给出的是一个绝对的天数，如果使用了这个字段，那么就给出相应账号的生存期。期满后，该账号就不再是一个合法的账号，也就不能再用来登录了。

用户标识号（UID）是一个整数，系统内部用它来标识用户。其取值范围是0-65535。0是超级用户root的标识号，1-99由系统保留，作为管理账号，普通用户的标识号从100开始。在Linux系统中，这个界限是500。

【问题3】

通常情况下，用户名文件是系统中所有用户可读的，但只有root有修改权限。采用标准的Linux系统访问控制来描述就是rwxr--r--用数字表示就是744。而口令字文件只有root用户有权读写，其他用户是没有任何权限的，因此其访问权限模式是：400或者600。

33.单选题

网络系统中针对海量数据的加密，通常不采用（

）方式。

问题1选项

A.会话加密

B.公钥加密

C.链路加密

D.端对端加密

【答案】B

【解析】本题考查公钥体制相关知识。

公钥加密加密算法复杂且加解密效率低，需要较大的计算量，一般只适用于少量数据的加密。故本题选B。

34.单选题

不属于物理安全威胁的是（

）。

问题1选项

A.电源故障

B.物理攻击

C.自然灾害

D.字典攻击

【答案】D

【解析】本题考查物理攻击相关知识。

物理安全是指在物理媒介层次上对存储和传输的信息加以保护，它是保护计算机网络设备、设施免遭地震、水灾、火灾等环境事故以及人为操作错误或各种计算机犯罪行为而导致破坏的过程。字典攻击属于网络服务的暴力破解，不属于物理安全威胁。故本题选D。

35.单选题

根据加密和解密过程所采用密钥的特点可以将加密算法分为对称加密算法和非对称加密算法两类，以下属于对称加密算法的是（

）。

问题1选项

A.RSA

B.MD5

C.IDEA

D.SHA-128

【答案】C

【解析】本题考查对称加密的基本概念。

对称加密算法包括AES算法、DES算法、IDEA算法等。RSA属于公钥加密算法；MD5和SHA-128都属于哈希算法。

答案选C。

36.单选题

恶意代码是指为达到恶意目的而专门设计的程序或代码。恶意代码的一般命名格式为：..。以下恶意代码中，属于脚本病毒的是（

）。

问题1选项

A.Worm.Sasser.f

B.Trojan.Huigezi.a

C.Harm.formatC.f

D.Script.Redlof

【答案】D

【解析】本题考查恶意代码相关知识。

恶意代码的英文是MaliciousCode，它是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用，破坏系统的完整性及可用性。根据恶意代码的命名规则，脚本病毒的共有特性是脚本病毒的前缀是：Script，则属于脚本病毒的是Script.Redlof。

A为蠕虫病毒、B为木马病毒、C为破坏性病毒。

故本题选D。

点播：恶意代码是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件，也包括故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。在访问因特网时，可以采取将要访问的Web站点按其可信度分配到浏览器不同安全区域的方式防止Web页面中恶意代码对自己计算机的损害。

37.单选题

蜜罐是一种在互联网上运行的计算机系统，是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的。以下关于蜜罐的描述中，不正确的是（

）。

问题1选项

A.蜜罐系统是一个包含漏洞的诱骗系统

B.蜜罐技术是一种被动防御技术

C.蜜罐可以与防火墙协作使用

D.蜜罐可以查找和发现新型攻击

【答案】B

【解析】本题考查网络蜜罐技术知识。

蜜罐技术是一种主动防御技术，运行在互联网上的计算机系统，是一个包含漏洞的诱骗系统。它通过模拟一个或多个易受攻击的主机和服务，来吸引和诱骗那些试图非法闯入他人计算机系统的人对它实施攻击。从而可以对攻击行为捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。故本题选B。

点播：陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成，为攻击者制造一个攻击环境，供防御者研究攻击者的攻击行为。

38.单选题

研究密码破译的科学称为密码分析学。密码分析学中，根据密码分析者可利用的数据资源，可将攻击密码的类型分为四种，其中适于攻击公开密钥密码体制，特别是攻击其数字签名的是（

）。

问题1选项

A.仅知密文攻击

B.已知明文攻击

C.选择密文攻击

D.选择明文攻击

【答案】C

【解析】本题考查公钥密码体制和数字签名相关知识。

已知明文攻击：攻击者不仅可以得到一些消息的密文，而且也知道对应的明文。

仅知密文攻击：攻击者有一些消息的密文，这些密文都是用相同的加密算法进行加密得到。

选择明文攻击：攻击者不仅可以得到一些消息的密文和相应的明文，而且还可以选择被加密的明文。

选择密文攻击：攻击者能够选择一些不同的被加密的密文并得到与其对应的明文信息，攻击者的任务是推算出加密密钥。

使用选择密文攻击的攻击者掌握对解密机的访问权限，可构造任意密文所对应的明文。在此种攻击模型中，密码分析者事先任意搜集一定数量的密文，让这些密文透过被攻击的加密算法解密，透过未知的密钥获得解密后的明文。故本题选C。

点播：数字签名是指签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果。该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。数字签名具有手写签名一样的特点，是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的。

39.单选题

a=17，b=2，则满足a与b取模同余的是（

）。

问题1选项

A.4

B.5

C.6

D.7

【答案】B

【解析】本题考查数学基础相关知识。

两个整数a、b，若它们除以整数m所得的余数相等，则称a与b对于模m同余或a同余于b模m，记作a≡b(modm)，即求解17≡2（modm），m=5。故本题选B。

40.单选题

APT攻击是一种以商业或者政治目的为前提的特定攻击，其中攻击者采用口令窃听、漏洞攻击等方式尝试进一步入侵组织内部的个人电脑和服务器，不断提升自己的权限，直至获得核心电脑和服务器控制权的过程被称为（

）。

问题1选项

A.情报收集

B.防线突破

C.横向渗透

D.通道建立

【答案】C

【解析】本题考查APT攻击相关知识。

一般APT攻击过程可概括为3个阶段：攻击前准备阶段、攻击入侵阶段和持续攻击阶段，又可细分为5个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。

1.情报收集：在实施攻击之前，攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样，通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站，甚至通过某些渠道购买相关信息（如公司通讯录等）。

2.防线突破：攻击者在完成情报收集和技术准备后，开始采用木马/恶意代码攻击特定员工的个人电脑，攻击方法主要有：

①社会工程学方法，如电子邮件攻击，攻击者窃取与特定员工有关系的人员（如领导、同事、朋友等）电子邮箱，冒充发件人给该员工发送带有恶意代码附件的邮件，一旦该员工打开邮件，员工电脑便感染了恶意软件。

②远程漏洞攻击方法，如网站挂马攻击，攻击者在员工常访问的网站上放置木马，当员工再次访问该网站时，个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理，因此现有的杀毒软件和防火墙均无法察觉，攻击者便能逐渐获取个人电脑权限，最后直至控制个人电脑。

3.通道建立：攻击者在突破防线并控制员工电脑后，在员工电脑与入侵服务器之间开始建立命令控制通道。通常，命令控制通道采用HTTP/HTTPS等协议构建，以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立，攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀，并在恶意软件被安全软件检测到前，对恶意软件进行版本升级，以降低被发现的概率。

4.横向渗透：入侵和控制员工个人电脑并不是攻击者的最终目的，攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权。

5.信息收集及外传：攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识别，并做出最终的判断，甚至实施网络攻击破坏。

故本题选C。

点播：高级持续威胁（简称APT）通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档，或单机某个指向恶意站点的连接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图。

41.单选题

利用公开密钥算法进行数据加密时，采用的方式是（

）。

问题1选项

A.发送方用公开密钥加密，接收方用公开密钥解密

B.发送方用私有密钥加密，接收方用私有密钥解密

C.发送方用公开密钥加密，接收方用私有密钥解密

D.发送方用私有密钥加密，接收方用公开密钥解密

【答案】C

【解析】本题考查公钥密码体制相关知识。

公钥密码体制又称为非对称密码体制，其基本原理是在加密和解密过程中使用不同的密钥处理方式，其中加密密钥可以公开，而只需要把解密密钥安全存放即可。在进行加解密时，发送方用对方的公钥加密，接收方用自己的私钥解密。故本题选C。

42.单选题

基于MD4和MD5设计的S/Key口令是一种一次性口令生成方案，它可以对访问者的身份与设备进行综合验证，该方案可以对抗（

）。

问题1选项

A.网络钓鱼

B.数学分析攻击

C.重放攻击

D.穷举攻击

【答案】C

【解析】本题考查Hash算法中的MD4、MD5算法。

网络钓鱼：是一种通过假冒可信方（知名银行、信用卡公司等）提供网上服务，以欺骗手段获取敏感个人信息（如口令、银行卡信息等）的攻击方式。

数学分析攻击：是指密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码。数学分析攻击是对基于数学难题的各种密码的主要威胁。为了对抗这种数学分析攻击，应当选用具有坚实数学基础和足够复杂的加解密算法。

重放攻击：也被叫做是重播攻击、回放攻击或者是新鲜性攻击，具体是指攻击者发送一个目的主机已经接收过的包来达到欺骗系统的目的。重放攻击主要是在身份认证的过程时使用，它可以把认证的正确性破坏掉。

穷举攻击：亦称“暴力破解”。对密码进行逐个推算，直到找出真正的密码为止的一种攻击方式。理论上可破解任何一种密码，问题在于如何缩短破解时间。

S/key口令是一种一次性口令生成方案，可以有效对抗重放攻击。故本题选C。

点播：此类题目不需要完全了解MD4、MD5等算法原理，只需抓住题干中关键字——“一次性口令”，再结合选项的理解分析，即可快速找到答案。

43.案例题

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。

2017年5月，勒索软件WanaCry席卷全球，国内大量高校及企事业单位的计算机被攻击，文件及数据被加密后无法使用，系统或服务无法正常运行，损失巨大。

【问题1】（2分）

按照恶意代码的分类，此次爆发的恶意软件属于哪种类型？

【问题2】（2分）

此次勒索软件针对的攻击目标是Windows还是Linux类系统？

【问题3】（6分）

恶意代码具有的共同特征是什么？

【问题4】（5分）

由于此次勒索软件需要利用系统的SMB服务漏洞（端口号445）进行传播，我们可以配置防火墙过滤规则来阻止勒索软件的攻击，请填写表1-1中的空（1）-（5），使该过滤规则完整。

注：假设本机IP地址为：，”*”表示通配符。

【答案】【问题1】蠕虫类型

【问题2】Windows操作系统

【问题3】恶意代码具有如下共同特征：（1）恶意的目的（2）本身是计算机程序（3）通过执行发生作用。

【问题4】（1）*

（2）*

（3）445

（4）TCP

（5）*【解析】【问题1】

WannaCry，一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。该恶意软件会扫描电脑上的TCP445端口（ServerMessageBlock/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。

【问题2】

主要是利用windows操作系统中存在的漏洞。

【问题3】

恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。具有如下共同特征：

（1）恶意的目的

（2）本身是计算机程序

（3）通过执行发生作用。

【问题4】

针对