2016年11月软考信息安全工程师下午真题

名师直播押题冲刺

套餐购买优惠加倍轻松过软考

秘籍都在这了↓↓↓

/activity/lists/id-45.html2016年11月软考信息安全工程师下午真题解析

试题一（共20分）

阅读下列说明和图，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

研究密码编码的科学称为密码编码学，研究密码破译的科学称为密码分析学，密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。徐朋老师信息安全工程师课程推荐：/pack/view/id-963.html

试题1：【问题1】（9分）

密码学的安全目标至少包括哪三个方面？具体内涵是什么？

解析：1、保密性保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。这里的"访问"是指不仅可以读，还能浏览、打印或简单了解一些特殊资源是否存在。常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、数据加密(在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密(利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被地露)等。解析：2、完整性完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信患的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码〉、人为攻击、计算机病毒等。解析：3、可用性可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制(对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问)。试题1：【问题2】（3分）

对下列违规安全事件，指出各个事件分别违反了安全目标中的哪些项？

(1)小明抄袭了小丽的家庭作业。

(2)小明私自修改了自己的成绩。

(3)小李窃取了小刘的学位证号码、登陆口令信息，并通过学位信息系统更改了小刘的学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。

解析：

(1)小明抄袭了小丽的家庭作业，违反了保密性。保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体或过程，或供其利用的特性。解析：(2)小明私自修改了自己的成绩，违反了完整性。完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。解析：(3)小李窃取了小刘的学位证号码、登陆口令信息，并通过学位信息系统更改了小刘的学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。违反了保密性、完整性、可用性。可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。试题1：【问题3】（3分）

现代密码体制的安全性通常取决于密钥的安全，为了保证密钥的安全，密钥管理包括哪些技术问题？

解析：密码体制的安全应当只取决于密钥的安全，而不取决于对密码算法的保密。密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。每个密钥都有其生命周期，要对密钥的整个生命周期的各个阶段进行全面管理。密码体制不同，密钥的管理方法也不间。密钥管理是一个很困难的问题，历史表明，从密钥管理的途径窃取秘密要比单纯从破译密码算法窃取秘密所花的代价小得多。因此，首先要了解密钥管理的一些基本原则:区分密钥管理的策略和机制:全程安全原则:最小权利原则:责任分离原则:密钥分级原则:密铝更换原则:密钥应当选择长度足够，随机等。试题1：【问题4】（5分）

在图1-1给出的加密过程中，Mi,i=1,2，…n”表示明文分组，Ci,i=1,2，…

n表示密文分组，Z表示初始序列，K表示密钥，E表示分组加密过程。该分组加密过程属于哪种工作模式？这种分组密码的工作模式有什么缺点？

解析：试题二（共10分）

阅读下列说明和图，回答问题1至问题2，将解答填入答题纸的对应栏内。

【说明】

访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。

试题2：【问题1】（3分）

针对信息系统的访问控制包含哪些基本要素？

解析：试题2：【问题2】（7分）

分别写出图2-1中用户Administrator对应三种访问控制实现方法，即能力表、访问控制表和访问控制矩砗下的访问控制规则。

解析：访问控制矩阵(AccessControlMatrix)是最初实现访问控制机制的概念模型，它利用二维矩阵规定了任意主体和任意客体间的访问权眼。矩阵中的行代表主体的访问权限属性，矩阵中的列代表客体的访问权限属性，矩阵中的每一格表示所在行的主体对所在列的客体的访问授权（客体）traceroute.mpg（主体）Administrator读取，运行解析：访问控制表(AccessControlLists)。访问控制矩阵按列分解，生成访问控制列表。访问控制表是以文件为中心建立访问权限表。表中登记了该文件的访问用户名及访问权隶属关系。traceroute.mpg→Administrator读取，运行解析：权能表(CapabilitiesLists)。权能表与访问控制表相反，是访问控制矩阵按行分解，以用户为中心建立权能表，表中规定了该用户可访问的文件名及访问能力。Administrator→traceroute.mpg读取，运行试题三（共19分）

阅读下列说明和图，回答问题l至问题3，将解答填入答题纸的对应栏内。

【说明】

防火墙是一种广泛应用的网络安全防御技术，它阻挡对网络的非法访问和不安全的数据传递，保护本地系统和网络免于受到安全威胁。

图3-1给出了一种防火墙的体系结构。

试题3：【问题1】（6分）

防火墙的体系结构主要有：

(1)双重宿主主机体系结构；

(2)（被）屏蔽主机体系结构；

(3)（被）屏蔽子网体系结构；

请简要说明这三种体系结构的特点。

试题3：【问题2】（5分）

(1)图3-1描述的是哪一种防火墙的体系结构？

(2)其中内部包过滤器和外部包过滤器的作用分别是什么？

试题3：

【问题3】（8分）设图3-1中外部包过滤器的外部IP地址为，内部IP地址为；内部包过滤器的外部IP地址为，内部IP地址为,DMZ中Web服务器IP为,SMTP服务器IP为。

试题3：

【问题3】（8分）关于包过滤器，要求实现以下功能：不允许内部网络用户访问外网和DMZ，外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2，将对应空缺表项的答案填入答题纸对应栏内。

试题四（共18分）

阅读下列说明，回答问题l至问题4，将解答填入答题纸的对应栏内。

【说明】

用户的身份认证是许多应用系统的第一道防线，身份识别对确保系统和数据的安全保密极其重要。以下过程给出了实现用户B对用户A身份的认证过程。

1.A->B：A

2.B->A：{B,Nb}pk(A)

3.A->B：h(Nb)

试题四（共18分）

此处A和B是认证的实体，Nb是一个随机值，pk(A)表示实体A的公钥，{B,Nb}pk(A)表示用A的公钥对消息BNb进行加密处理，h(Nb)表示用哈希算法h对Nb计算哈希值。试题4：【问题1】（5分）

认证与加密有哪些区别？

试题4：【问题2】（6分）

（1）包含在消息2中的“Nb”起什么作用？

（2）“Nb”

的选择应满足什么条件？

试题4：【问题3】（3分）

为什么消息3中的Nb要计算哈希值？试题4：【问题4】（4分）

上述协议存在什么安全缺陷？请给出相应的的解决思路。试题五（共8分）

阅读下列说明和代码，回答问题1和问题2，将解答写在答题纸的对应栏内。

【说明】

某本地口令验证函数（C语言环境，X86

32指令集）包含如下关键代码；某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

.........................................................................................................................................................

[...]

Char

origPassword[12]=“Secret”

Char

origPassword[12];

[...]

Gets(userPassword);

/*

读取用户输入的口令*/

[...]

If(strncmp(origPassword,userPassword,12)!=0)

{

Printf(“Password,doesn’t

match!\n”);

Exit(-1);

}

[...]

/*

口令认证通过时允许用户访问*/

................................