2016年下半年信息安全工程師考試真題含答案(下午題)
更多信息,請訪問https://www.moondream.cn/?p=328
試題一(共20分)
閱讀下列說明和圖,回答問題1至問題3,將解答填入答題紙的對應欄內。
【說明】
研究密碼編碼的科學稱為密碼編碼學,研究密碼破譯的科學稱為密碼分析學,密碼編碼學和密碼分析學共同組成密碼學。密碼學作為信息安全的關鍵技術,在信息安全領域有著廣泛的應用。
【問題1】(9分)
密碼學的安全目標至少包括哪三個方面?具體內涵是什麼?
【問題2】(3分)
對下列違規安全事件,指出各個事件分別違反了安全目標中的哪些項?
(1)小明抄襲了小麗的家庭作業。
(2)小明私自修改了自己的成績。
(3)小李竊取了小劉的學位證號碼、登錄口令信息、並通過學位信息系統更改了小劉的學位信息記錄和登陸口令,將系統中小劉的學位信息用一份偽造的信息替代,造成小劉無法訪問學位信息系統。
【問題3】(3分)
現代密碼體制的安全性通常取決於密鑰的安全,為了保證密鑰的安全,密鑰管理包括哪些技術問題?
【問題4】(5分)
在圖1-1給出的加密過程中,Mi,i=1,2,…,n表示明文分組,Ci,i=1,2,…,n表示密文分組,Z表示初始序列,K表示密鑰,E表示分組加密過程。該分組加密過程屬於哪種工作模式?這種分組密碼的工作模式有什麼缺點?
參考答案:
【問題1】
(1)保密性:保密性是確保信息僅被合法用戶訪問,而不被地露給非授權的用戶、實體或過程,或供其利用的特性。即防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。
(2)完整性:完整性是指所有資源只能由授權方或以授權的方式進行修改,即信息未經授權不能進行改變的特性。信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。
(3)可用性:可用性是指所有資源在適當的時候可以由授權方訪問,即信息可被授權實體訪問並按需求使用的特性。信息服務在需要時,允許授權用戶或實體使用的特性,或者是網路部分受損或需要降級使用時,仍能為授權用戶提供有效服務的特性。
【問題2】
(1)保密性
(2)完整性
(3)可用性
【問題3】
密鑰管理包括密鑰的產生、存儲、分配、組織、使用、停用、更換、銷毀等一系列技術問題。
【問題四】
明密文鏈接模式。
缺點:當Mi或Ci中發生一位錯誤時,自此以後的密文全都發生錯誤,即具有錯誤傳播無界的特性,不利於磁碟文件加密。並且要求數據的長度是密碼分組長度的整數倍,否則最後一個數據塊將是短塊,這時需要特殊處理。
試題二(共10分)
閱讀下列說明和圖,周答問題1至問題2,將解答填入答題紙的對應欄內。
【說明】
訪問控制是對信息系統資源進行保護的重要措施l適當的訪問控制能夠阻止未經授權的用戶有意或者無意地獲取資源。訪問控制一般是在操作系統的控制下,~按照事先確定的規則決定是否允許用戶對資源的訪問。圖2-1給出了某系統對客體traceroute.mpg實施的訪問控制規則。
【問題1】(3分)
針對信息系統的訪問控制包含哪些基本要素?
【問題2】(7分)
分別寫出圖2-1中用戶Administrator對應三種訪問控制實現方法,即能力表、訪問控制表和訪問控制矩硨下的訪問控制規則。
參考答案:
【問題1】
主體、客體、授權訪問【問題2】
能力表:(主體)Administrator <(客體)traceroute.mpg:讀取,運行>
訪問控制表:(客體)traceroute.mpg<(主體)Administrator :讀取,運行>訪問控制矩陣:
試題三(共19分)
閱讀下列說明和圖,回答問題l至問題3,將解答填入答題紙的對應欄內。
【說明】
防火牆是一種廣泛應用的網路安全防禦技術,它阻擋對網路的非法訪問和不安全的數據傳遞,保護本地系統和網路免於受到安全威脅。
圖3-1給出了一種防火牆的體系結構。
【問題1】(6分)
防火牆的體系結構主要有:
(1)雙重宿主主機體系結構;
(2)(被)屏蔽主機體系結構;
(3)(被)屏蔽子網體系結構;
請簡要說明這三種體系結構的特點。
【問題2】(5分)
(1)圖3-1描述的是哪一種防火牆的體系結構?
(2)其中內部包過濾器和外部包過濾器的作用分別是什麼?
【問題3】(8分)
設圖3-1中外部包過濾器的外部IP地址為10.20.100.1,內部口地址為10.20.100.2;內部包過濾器的外部口地址為10.20.100.3,內部IP地址為192.168.0.1,DMZ中Web伺服器IP為10.20.100.6,SMTP伺服器IP為10.20.100.8。
關於包過濾器,要求實現以下功能:不允許內部網路用戶訪問外網和DMZ,外部網路用戶只允許訪問DMZ中的Web伺服器和SMTP伺服器。內部包過濾器規則如表3-1所示。請完成外部包過濾器規則表3-2,將對應空缺表項的答案填入答題紙對應欄內。
表3-1內部包過濾器規則表
表3-2外部包過濾器規則表
參考答案:
【問題1】
雙重宿主主機體系結構:雙重宿主主機體系結構是指以一台雙重宿主主機作為防火牆系統的主體,執行分離外部網路與內部網路的任務。
被屏蔽主機體系結構:被屏蔽主機體系結構是指通過一個單獨的路由器和內部網路上的堡壘主機共同構成防火牆,主要通過數據包過濾實現內外網路的隔離和對內網的保護。
被屏蔽子網體系結構:被屏蔽子網體系結構將防火牆的概念擴充至一個由兩台路由器包圍起來的周邊網路,並且將容易受到攻擊的堡壘主機都置於這個周邊網路中。其主要由四個部件構成,分別為:周邊網路、外部路由器、內部路由器以及堡壘主機。【問題2】(1) 屏蔽子網體系結構。(2) 內部路由器:內部路由器用於隔離周邊網路和內部網路,是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶的訪問過濾規劃,對內部用戶訪問周邊網路和外部網路進行限制。外部路由器:外部路由器的主要作用在於保護周邊網路和內部網路,是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網路和內部網路進行訪問的過濾規則,該規則主要針對外網用戶。【問題3】(1)*(2)10.20.100.8
(3)10.20.100.8
(4)*
(5)UDP
(6)10.20.100.3
(7)UDP(8)10.20.100.3
試題四(共18分)
閱讀下列說明,回答問題l至問題4,將解答填入答題紙的對應欄內。
【說明】
用戶的身份認證是許多應用系統的第一道防線,身份識別對確保系統和數據的安全保密極及其重要。以下過程給出了實現用戶B對用戶A身份的認證過程。
1.A->B:A
2.B->A:{B,Nb}(A)
3.A->B:h(Nb)
此處A和B是認證的實體,Nb是一個隨機值,pk(A)表示實體A的公鑰,{B,Nb}pk(A)表示用A的公鑰對消息B進行加密處理,h(Nb)表示用哈希演算法h對Nb計算哈希值。
【問題1】(5分)
認證與加密有哪些區別?
【問題2】(6分)
(1)包含在消息2中的「Nb」起什麼作用?
(2):Nb「的選擇應滿足什麼條件?
【問題3】(3分)
為什麼消息3中的Nb要計算哈希值?
【問題4】(4分)
上述協議存在什麼安全缺陷?請給出相應的的解決思路。
參考答案:
【問題1】
認證和加密的區別在於:加密用以確保數據的保密性,阻止對手的被動攻擊,如截取,竊聽等;而認證用以確保報文發送者和接收者的真實性以及報文的完整性,阻止對手的主動攻擊,如冒充、篡改、重播等。
【問題2】(1) Nb是一個隨機值,只有發送方B和A知道,起到抗重放攻擊作用。
(2) 應具備隨機性,不易被猜測。
【問題3】哈希演算法具有單向性,經過哈希值運算之後的隨機數,即使被攻擊者截獲也無法對該隨機數進行還原,獲取該隨機數Nb的產生信息。【問題4】攻擊者可以通過截獲h(Nb)冒充用戶A的身份給用戶B發送h(Nb)。解決思路:用戶A通過將A的標識和隨機數Nb進行哈希運算,將其哈希值h(A,Nb)發送給用戶B,用戶B接收後,利用哈希函數對自己保存的用戶標識A和隨機數Nb進行加密,並與接收到的h(A,Nb)進行比較。若兩者相等,則用戶B確認用戶A的身份是真實的,否則認為用戶A的身份是不真實的。試題五(共8分)
閱讀下列說明和代碼,回答問題1和問題2,將解答寫在答題紙的對應欄內。
【說明】
某本地口令驗證函數(C語言環境,X86 32指令集)包含如下關鍵代碼;某用戶的口令保存在字元數組origPassword中,用戶輸入的口令保存在字元數組userPassword中,如果兩個數組中的內容相同則允許進入系統。
[…]
Char origPassword[12]=「lSecret」
Char origPassword[12];
[…]
Gets(userPassword);/*讀取用戶輸入的口令*/
[…]
If(strncmp(origPassword,userPassword,12)!=0)
{
Printf(「Password,doesn』t match!/n」);
Exit(-1);
}
[…]
/*口令認證通過時允許用戶訪問*/
[…]
【問題1】(4分)
用戶在調用gets()函數時輸入什麼樣式的字元串,可以在不知道的原始口令「Secret」的情況下繞過該口令驗證函數的限制?
【問題2】(4分)
上述代碼存在什麼類型的安全隱患?請給出消除該安全隱患的思路。
參考答案:
【問題1】
只要輸入長度為24的字元串,其前12個字元和後12個字元一樣即可。
【問題2】
gets()函數必須保證輸入長度不會超過緩衝區,一旦輸入大於12個字元的口令就會造成緩衝區溢出。
解決思路:使用安全函數來代替gets()函數,或者對用戶輸入進行檢查和校對,可通過if條件語句判斷用戶輸入是否越界。
推薦閱讀:
※美國 NSA 方程式組織(Equation Group)爆出的事件,將會造成哪些影響?
※web滲透測試常規套路
※HEVD 內核攻擊: 編寫Shellcode(三)
※滲透技巧——利用tscon實現未授權登錄遠程桌面
TAG:信息安全 | 網路與信息安全工程師 |
2016年下半年信息安全工程師考試真題含答案(下午題)
更多信息,請訪問https://www.moondream.cn/?p=328
試題一(共20分)
閱讀下列說明和圖,回答問題1至問題3,將解答填入答題紙的對應欄內。
【說明】
研究密碼編碼的科學稱為密碼編碼學,研究密碼破譯的科學稱為密碼分析學,密碼編碼學和密碼分析學共同組成密碼學。密碼學作為信息安全的關鍵技術,在信息安全領域有著廣泛的應用。
【問題1】(9分)
密碼學的安全目標至少包括哪三個方面?具體內涵是什麼?
【問題2】(3分)
對下列違規安全事件,指出各個事件分別違反了安全目標中的哪些項?
(1)小明抄襲了小麗的家庭作業。
(2)小明私自修改了自己的成績。
(3)小李竊取了小劉的學位證號碼、登錄口令信息、並通過學位信息系統更改了小劉的學位信息記錄和登陸口令,將系統中小劉的學位信息用一份偽造的信息替代,造成小劉無法訪問學位信息系統。
【問題3】(3分)
現代密碼體制的安全性通常取決於密鑰的安全,為了保證密鑰的安全,密鑰管理包括哪些技術問題?
【問題4】(5分)
在圖1-1給出的加密過程中,Mi,i=1,2,…,n表示明文分組,Ci,i=1,2,…,n表示密文分組,Z表示初始序列,K表示密鑰,E表示分組加密過程。該分組加密過程屬於哪種工作模式?這種分組密碼的工作模式有什麼缺點?
參考答案:
【問題1】
(1)保密性:保密性是確保信息僅被合法用戶訪問,而不被地露給非授權的用戶、實體或過程,或供其利用的特性。即防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。
(2)完整性:完整性是指所有資源只能由授權方或以授權的方式進行修改,即信息未經授權不能進行改變的特性。信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。
(3)可用性:可用性是指所有資源在適當的時候可以由授權方訪問,即信息可被授權實體訪問並按需求使用的特性。信息服務在需要時,允許授權用戶或實體使用的特性,或者是網路部分受損或需要降級使用時,仍能為授權用戶提供有效服務的特性。
【問題2】
(1)保密性
(2)完整性
(3)可用性
【問題3】
密鑰管理包括密鑰的產生、存儲、分配、組織、使用、停用、更換、銷毀等一系列技術問題。
【問題四】
明密文鏈接模式。
缺點:當Mi或Ci中發生一位錯誤時,自此以後的密文全都發生錯誤,即具有錯誤傳播無界的特性,不利於磁碟文件加密。並且要求數據的長度是密碼分組長度的整數倍,否則最後一個數據塊將是短塊,這時需要特殊處理。
試題二(共10分)
閱讀下列說明和圖,周答問題1至問題2,將解答填入答題紙的對應欄內。
【說明】
訪問控制是對信息系統資源進行保護的重要措施l適當的訪問控制能夠阻止未經授權的用戶有意或者無意地獲取資源。訪問控制一般是在操作系統的控制下,~按照事先確定的規則決定是否允許用戶對資源的訪問。圖2-1給出了某系統對客體traceroute.mpg實施的訪問控制規則。
【問題1】(3分)
針對信息系統的訪問控制包含哪些基本要素?
【問題2】(7分)
分別寫出圖2-1中用戶Administrator對應三種訪問控制實現方法,即能力表、訪問控制表和訪問控制矩硨下的訪問控制規則。
參考答案:
【問題1】
主體、客體、授權訪問【問題2】
能力表:(主體)Administrator <(客體)traceroute.mpg:讀取,運行>
訪問控制表:(客體)traceroute.mpg<(主體)Administrator :讀取,運行>訪問控制矩陣:
試題三(共19分)
閱讀下列說明和圖,回答問題l至問題3,將解答填入答題紙的對應欄內。
【說明】
防火牆是一種廣泛應用的網路安全防禦技術,它阻擋對網路的非法訪問和不安全的數據傳遞,保護本地系統和網路免於受到安全威脅。
圖3-1給出了一種防火牆的體系結構。
【問題1】(6分)
防火牆的體系結構主要有:
(1)雙重宿主主機體系結構;
(2)(被)屏蔽主機體系結構;
(3)(被)屏蔽子網體系結構;
請簡要說明這三種體系結構的特點。
【問題2】(5分)
(1)圖3-1描述的是哪一種防火牆的體系結構?
(2)其中內部包過濾器和外部包過濾器的作用分別是什麼?
【問題3】(8分)
設圖3-1中外部包過濾器的外部IP地址為10.20.100.1,內部口地址為10.20.100.2;內部包過濾器的外部口地址為10.20.100.3,內部IP地址為192.168.0.1,DMZ中Web伺服器IP為10.20.100.6,SMTP伺服器IP為10.20.100.8。
關於包過濾器,要求實現以下功能:不允許內部網路用戶訪問外網和DMZ,外部網路用戶只允許訪問DMZ中的Web伺服器和SMTP伺服器。內部包過濾器規則如表3-1所示。請完成外部包過濾器規則表3-2,將對應空缺表項的答案填入答題紙對應欄內。
表3-1內部包過濾器規則表
表3-2外部包過濾器規則表
參考答案:
【問題1】
雙重宿主主機體系結構:雙重宿主主機體系結構是指以一台雙重宿主主機作為防火牆系統的主體,執行分離外部網路與內部網路的任務。
被屏蔽主機體系結構:被屏蔽主機體系結構是指通過一個單獨的路由器和內部網路上的堡壘主機共同構成防火牆,主要通過數據包過濾實現內外網路的隔離和對內網的保護。
被屏蔽子網體系結構:被屏蔽子網體系結構將防火牆的概念擴充至一個由兩台路由器包圍起來的周邊網路,並且將容易受到攻擊的堡壘主機都置於這個周邊網路中。其主要由四個部件構成,分別為:周邊網路、外部路由器、內部路由器以及堡壘主機。【問題2】(1) 屏蔽子網體系結構。(2) 內部路由器:內部路由器用於隔離周邊網路和內部網路,是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶的訪問過濾規劃,對內部用戶訪問周邊網路和外部網路進行限制。外部路由器:外部路由器的主要作用在於保護周邊網路和內部網路,是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網路和內部網路進行訪問的過濾規則,該規則主要針對外網用戶。【問題3】(1)*(2)10.20.100.8
(3)10.20.100.8
(4)*
(5)UDP
(6)10.20.100.3
(7)UDP(8)10.20.100.3
試題四(共18分)
閱讀下列說明,回答問題l至問題4,將解答填入答題紙的對應欄內。
【說明】
用戶的身份認證是許多應用系統的第一道防線,身份識別對確保系統和數據的安全保密極及其重要。以下過程給出了實現用戶B對用戶A身份的認證過程。
1.A->B:A
2.B->A:{B,Nb}(A)
3.A->B:h(Nb)
此處A和B是認證的實體,Nb是一個隨機值,pk(A)表示實體A的公鑰,{B,Nb}pk(A)表示用A的公鑰對消息B進行加密處理,h(Nb)表示用哈希演算法h對Nb計算哈希值。
【問題1】(5分)
認證與加密有哪些區別?
【問題2】(6分)
(1)包含在消息2中的「Nb」起什麼作用?
(2):Nb「的選擇應滿足什麼條件?
【問題3】(3分)
為什麼消息3中的Nb要計算哈希值?
【問題4】(4分)
上述協議存在什麼安全缺陷?請給出相應的的解決思路。
參考答案:
【問題1】
認證和加密的區別在於:加密用以確保數據的保密性,阻止對手的被動攻擊,如截取,竊聽等;而認證用以確保報文發送者和接收者的真實性以及報文的完整性,阻止對手的主動攻擊,如冒充、篡改、重播等。
【問題2】(1) Nb是一個隨機值,只有發送方B和A知道,起到抗重放攻擊作用。
(2) 應具備隨機性,不易被猜測。
【問題3】哈希演算法具有單向性,經過哈希值運算之後的隨機數,即使被攻擊者截獲也無法對該隨機數進行還原,獲取該隨機數Nb的產生信息。【問題4】攻擊者可以通過截獲h(Nb)冒充用戶A的身份給用戶B發送h(Nb)。解決思路:用戶A通過將A的標識和隨機數Nb進行哈希運算,將其哈希值h(A,Nb)發送給用戶B,用戶B接收後,利用哈希函數對自己保存的用戶標識A和隨機數Nb進行加密,並與接收到的h(A,Nb)進行比較。若兩者相等,則用戶B確認用戶A的身份是真實的,否則認為用戶A的身份是不真實的。試題五(共8分)
閱讀下列說明和代碼,回答問題1和問題2,將解答寫在答題紙的對應欄內。
【說明】
某本地口令驗證函數(C語言環境,X86 32指令集)包含如下關鍵代碼;某用戶的口令保存在字元數組origPassword中,用戶輸入的口令保存在字元數組userPassword中,如果兩個數組中的內容相同則允許進入系統。
[…]
Char origPassword[12]=「lSecret」
Char origPassword[12];
[…]
Gets(userPassword);/*讀取用戶輸入的口令*/
[…]
If(strncmp(origPassword,userPassword,12)!=0)
{
Printf(「Password,doesn』t match!/n」);
Exit(-1);
}
[…]
/*口令認證通過時允許用戶訪問*/
[…]
【問題1】(4分)
用戶在調用gets()函數時輸入什麼樣式的字元串,可以在不知道的原始口令「Secret」的情況下繞過該口令驗證函數的限制?
【問題2】(4分)
上述代碼存在什麼類型的安全隱患?請給出消除該安全隱患的思路。
參考答案:
【問題1】
只要輸入長度為24的字元串,其前12個字元和後12個字元一樣即可。
【問題2】
gets()函數必須保證輸入長度不會超過緩衝區,一旦輸入大於12個字元的口令就會造成緩衝區溢出。
解決思路:使用安全函數來代替gets()函數,或者對用戶輸入進行檢查和校對,可通過if條件語句判斷用戶輸入是否越界。
推薦閱讀:
※美國 NSA 方程式組織(Equation Group)爆出的事件,將會造成哪些影響?
※web滲透測試常規套路
※HEVD 內核攻擊: 編寫Shellcode(三)
※滲透技巧——利用tscon實現未授權登錄遠程桌面
TAG:信息安全 | 網路與信息安全工程師 |