1、常见的信息安全基本属性有:机密性、完整性、可用性、抗抵赖性和可控性等。其中合法许可的用户能够及时获取网络信息或服务的特性,是指信息安全的( )。
A.机密性 B.完整性 C.可用性 D.可控性
【答案】C
【解析】可用性是指合法许可的用户能够及时获取网络信息或服务的特性。
2、2010年,首次发现针对工控系统实施破坏的恶意代码Stuxnet(简称“震网”病毒),“震网”病毒攻击的是伊朗核电站西门子公司的( )系统。
A. Microsoft WinXP B. Microsoft Win7 C. Google Android D. SIMATIC WinCC
【答案】D
【解析】震网(Stuxnet)病毒是专门针对工业控制系统编写的恶意病毒。2010年“震网”病毒攻击的是伊朗核电站西门子公司的SIMATIC WinCC SCADA系统。该系统主要被用做工业控制系统,能够监控工业生产、基础设施或基于设施的工业流程。SIMATIC就是西门子公司的英文名。
3、要实现网络信息安全基本目标,网络应具备( )等基本功能。
A. 预警、认证、控制、响应 B. 防御、监测、应急、恢复
C. 延缓、阻止、检测、限制 D. 可靠、可用、可控、可信
【答案】B
【解析】网络安全的目标就是五个基本安全属性,即完整性、机密性、可用性、可控性、防抵赖性。要实现网络安全的五个基本目标,网络应具备防御、监测、应急、恢复等基本功能。
4、为防范国家数据安全风险,维护国家安全,保护公共利益,2021年7月,中国网络安全审查办公室发布公告,对“滴滴出行”、“运满满”、“货车帮”和“BOSS直聘”开展网络安全审查。此次审查依据的国家相关法律法规是( )。
A. 《中华人民共和国网络安全法》和《中华人民共和国国家安全法》
B. 《中华人民共和国网络安全法》和《中华人民共和国密码法》
C. 《中华人民共和国数据安全法》和《中华人民共和国网络安全法》
D. 《中华人民共和国数据安全法》和《中华人民共和国国家安全法》
【答案】A
【解析】7月2日,网络安全审查办公室发布关于对“滴滴出行”、“运满满”、“货车帮”和“BOSS直聘”启动网络安全审查的公告。公告原文:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间停止新用户注册。
5、2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议表决通过了《中华人民共和国数据安全法》,该法律自( )起施行。
A.2021年9月1日 B.2021年10月1日 C. 2021年11月1日 D.2021年12月1日
【答案】A
【解析】2021年6月10日,十三届全国人大常委会第二十九次会议通过了(中华人民共和国数据安全法》,并于2021年9月1日起施行。
6、根据网络安全等级保护2.0的要求,对云计算实施安全分级保护。围绕“一个中心,三重防护”的原则,构建云计算安全等级保护框架。其中一个中心是指安全管理中心,三重防护包括:计算环境安全、区域边界安全和通信网络安全。以下安全机制属于安全管理中心的是( )。
A.应用安全 B.安全审计 C.Web服务 D.网络访问
【答案】B
【解析】“安全管理中心”这一控制项主要包括系统管理、审计管理、安全管理和聚焦管控四个控制点。所以安全审计机制属于“安全管理中心”这一控制项。该控制项主要的检查点包括系统、审计、安全管理。
7、《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,己于2020年1月1日起施行。《中华人民共和国密码法》规定国家对密码实分类管理,密码分为( )。
A.核心密码、普通密码和商用密码 B.对称密码、公钥密码和哈希算法
C.国际密码、国产密码和商用密码 D.普通密码,涉密密码和商用密码
【答案】A
【解析】《中华人民共和国密码法》第六条国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。
8、现代操作系统提供的金丝雀(Canary)漏洞缓解技术属于( )
A.数据执行阻止 B.SEHOP C.堆栈保护 D.地址空间随机化技术
【答案】C
【解析】金丝雀(Canary)这一名称来源于早先英国的探测技术。英国矿工下井前会带一只金丝雀,金丝雀对毒气敏感,如果井下有有毒气体,则会停止鸣叫甚至死亡,从而矿工们得到预警。Canary技术属于缓解缓冲区溢出的有效手段,该技术在堆找溢出发生的高危区域的低地址部分插入个值,通过检测该值是否改变,来判断堆栈或者缓冲区是否出现溢出。这种方式,增加了堆栈溢出攻击的难度,而且几乎不消耗资源,属于堆栈保护的常用手段。
9、2021年7月30日,国务院签署国务院令,公布《关键信息基础设施安全保护条例》。该条例在法律责任部分,细化了在安全保护全过程中,各个环节违反相应条例的具体处罚措施。以下说法错误的是( )。
A.在安全事故发生之前,运营者应当对关键信息基础设施的安全保护措施进行规划建设。
在安全事故发生后,运营者未报告相关部门的,也会处以相应的罚金
B.对于受到治安管理处罚的人员,3年内不得从事网络安全管理和网络安全运营关键岗位的工作
C.对于受到刑事处罚的人员,终身不得从事网络安全管理和网络安全运营关键岗位的工作
D.网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行相关职责或者玩忽职守、滥用职权、徇私舞弊的,或者发生重大责任事故的,会对相关监管、保护和服务人员给予处分,严重者追究法律责任
【答案】B
【解析】《关健信息基础设施安全保护条例》中规定:违反本条例第五条第二款和第三十一条规定,受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关健岗位的工作,受到刑事处罚的人员,终身不得从事网络安企管理和网络运营关健岗位的工作。由此可知,B选是错误的。
10、网络攻击行为分为主动攻击和被动攻击,主动攻击一般是指攻击者对被攻击信息的修改,而被动攻击主要是收集信息而不进行修改等操作,被动攻击更具有隐蔽性。以下网络攻击中,属于被动攻击的是( )。
A.重放攻击 B.假冒攻击 C.拒绝服务攻击 D.窃听
【答案】D
【解析】主动攻击是对数据流的篡改或产生某些假的数据流。主动攻击手段有中断、篡改、伪造,拒绝服务攻击等。被动攻击分析、利用系统信息和业务,但不修改系统资源及正常工作,其特点是对传输进行窃听和监测,常见的被动攻击有流量分析、窃听与消息内容泄露。
11、SYN扫描第一向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回( ),表明目标主机的该端口开放。
A.SYN/ACK B.RESET信息 C.RST/ACK D.ID头信息
【答案】A
【解析】TCP SYN扫描又称“半打开扫描(Half-open Scanning)”,当向目标主机发送SYN连接时,如果收到一个来自目标主机的SYN/ACK应答,那么可以推断目标主机的该端口开放,如果收到一个RST/ACK则认为目标主机的该端口未开放。
12、拒绝服务攻击是指攻击者利用系统的缺陷,执行一些恶意的操作,使得合法的系统用户不能及时得到应得的服务或系统资源。以下给出的攻击方式中,不属于拒绝服务攻击的是( )
A.SYN Flood B.DNS放大攻击 C.SQL注入 D.泪滴攻击
【答案】C
【解析】SYN Flood、DNS放大攻击、泪滴攻击等属于拒绝服务攻击。其基本原理是通过发送大量合法的请求来消耗资源,使得网络服务不能响应正常的请求。SQL注入属于漏洞入侵,即把SQL命令插入到Wb表单、域名输入栏或页面请求的查询字符串中提交,最终利用网络系统漏洞,欺骗服务器去执行设计好的恶意SQL命令。
13、网络攻击者常常采用的工具主要包括:扫描器、远程监控、密码破解、网络嗅探器、安全渗透工具箱等。以下属于网络嗅探器工具的是( )。
A.SuperScan B.LOphtCrack C.Metasploit D.WireShark
【答案】D
【解析】
14、为保护移动应用App的安全性,一般采用防反编译、防调试、防篡改和防窃取等多种安全保护措施,在移动应用App程序插入无关代码属于( )技术。
A.防反编译 B.防调试 C.防篡改 D.防窃取
【答案】A
【解析】在移动应用App程序插入无关代码属于代码混淆技术,用于增加阅读代码的难度,是防反编译的一种手段。
15、密码算法可以根据密钥属性的特点进行分类,其中发送方使用的加密密钥和接收方使用的解密密钥不一样,并且从其中一个密钥难以推导出另一个密钥,这样的加密算法称为( )
A.非对称密码 B.单密钥密码 C.对称密码 D.序列密码
【答案】A
【解析】该知识点曾在2016年考察过。加密秘钥和解密密钥不一样的算法,称为非对称加密算法,这种方式又称为公钥密码体制。其特点是加密秘钥和解密秘钥不一样,并且计算上很难由一个秘钥求出另一个密钥。
16、已知DES算法S盒如下:
如果该S盒的输入为010001,其二进制输出为( )
A.0110 B.1001 C.0100 D.0101
【答案】C
【解析】当S盒输入为“010001”时,则第1位与第6位组成二进制串“01”(十进制1),中间四位组成二进制“1000”(十进制8)。查询S盒的1行8列,得到数字4,得到输出二进制数是0100。
17、国产密码算法是指由国家密码研究相关机构自主研发,具有相关知识产权的商用密码算法。以下国产密码算法中,属于分组密码算法的是( )。
A.SM2 B.SM3 C.SM4 D.SM9
【答案】C
【解析】国产密码算法(国密算法)是指国家密码局认定的国产商用密码算法,目前主流使用的国密算法有SM2椭圆曲线公钥密码算法、SM3杂凑算法、SM4分组密码算法等。
18、Hash算法是指产生哈希值或杂凑值的计算方法。MD5算法是由Rivest设计的Hash算法,该算法以512比特数据块为单位处理输入,产生( )的哈希值。
A.64比特 B.128比特 C.256比特 D.512比特
【答案】B
【解析】MD5算法由MD2、MD3、MD4发展而来,其消息分组长度为512比特,生成128比特的摘要。
19、数字签名是对以数字形式存储的消息进行某种处理,产生一种类似传统手书签名功效的信息处理过程。数字签名最常见的实现方式是基于( )。
A.对称密码体制和哈希算法 B.公钥密码体制和单向安全哈希算法
C.序列密码体制和哈希算法 D.公钥密码体制和对称密码体制
【答案】B
【解析】数字签名(Digital Signature)的作用就是确保A发送给B的信息就是A本人发送的,并且没有篡改。接收方使用发送方的公钥,如果可解密出发送方的摘要,则说明信息是发送方发的;接收方再根据所收到的原文用一样的哈希算法重新计算其摘要,两个摘要若一致,则说明信息未被篡改过,而通过摘要是无法还原出原文的,因此说哈希函数是单向的、安全的。因此,可以说数字签名最常用的实现方法,是建立在公钥密码体制和安全单向散列函数的基础之上的。
20、Diffie-Hellman密钥交换协议是一种共享秘钥的方案,该协议是基于求解( )的困难性。
A.大素数分解问题 B.离散对数问题 C.椭圆离散对数问题 D.背包问题
【答案】B
【解析】Diffie-Hellman密钥交换体制要解决的是完成通信双方的对称密钥交换,利用的原理是基于离散对数问题之上的公开秘钥密码体制。
21、计算机网络为了实现资源共享,采用协议分层设计思想,每层网络协议都有地址信息,如网卡(MAC)地址、IP地址、端口地址和域名地址,以下有关上述地址转换的描述错误的是( )。
A.DHCP协议可以完成IP地址和端口地址的转换
B.DNS协议可实现域名地址和IP地址之间的转换
C.ARP协议可以实现MAC地址和IP地址之间的转换
D.域名地址和端口地址无法转换
【答案】A
【解析】通过采用DHCP协议,DHCP服务器可以为DHCP客户端动态分配IP地址,DHCP地址转换的输入和输出都是IP地址而非端口地址,但输入为内网IP地址,转换后的地址即输出的地址是公网IP地址。IP地址是IP协议提供的一种统一的地址格式,是分配给互联网主机的逻辑地址,属于网络层协议。而端口地址一般是指为TCP或者UDP协议通信提供服务的数字标记,属于传输层。所以IP地址和端口地址本质上属于不同的两类事物,是不能用DHCP协议进行转换的。
22、BLP机密性模型中,安全级的顺序一般规定为:公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。如果一个BLP机密性模型系统访问类下:
文件E访问类:{机密:财务处,科技处};
文件F访问类:{机密:人事处,财务处};
用户A访问类:{绝密:人事处};
用户B访问类:{绝密:人事处,财务处,科技处}。
则以下表述中,正确的是( )。
A.用户A不能读文件F B.用户B不能读文件F C.用户A能读文件E D.用户B不能读文件E
【答案】A
【解析】BLP机密性模型包含简单安全特性规则和*特性规则。简单安全特性规则。主体只能向下读,不能向上读。即主体读客体要满足以下两点:①主体安全级不小于客体的安全级,一般安全级对应的级别及顺序为公开<秘密<机密<绝密;②主体范畴集包含客体的范畴集。*特性规则。主体只能向上写,不能向下写。即主体写客体要满足以下两点:①主体安全级不小于客体的安全级;②客体范畴集包含主体的范畴集。本题中,尽管用户A安全级为(绝密)不小于客体F的安全级(机密),但是用户A范畴集(人事处)不是包含而是被包含于客体F的范畴集(人事处,财务处),不满足简单安全特性规则,所以用户A不能读文件F。
23、BiBa模型主要用于防止非授权修改系统信息,以保护系统的信息完整性,该模型提出的“主体不能向上写”指的是( )。
A.简单安全特性 B.保密特性 C.调用特性 D.*特性
【答案】D
【解析】BiBa模型的*特性规则:主体不能修改更高完整级的客体(主体不能向上写)。
24、PDRR模型由防护(Protection),检测(Detection)、恢复(Recovery)、响应(Response)四个重大环节组成。数据备份对应的环节是( )。
A.防护 B.检测 C.恢复 D.响应
【答案】C
【解析】PDRR模型中的恢复(Recovery)包含数据备份与修复、系统恢复等手段。
25、能力成熟度模型(CMM)是对一个组织机构的能力进行成熟度评估的模型,成熟度级别一般分为五级:1级-非正式执行,2级-计划跟踪,3级-充分定义,4级-量化控制,5级-持续优化。在软件安全能力成熟度模型中,漏洞评估过程属于( )。
A.CMM1级 B.CMM2级 C.CMM3级 D.CMM4级
【答案】C
【解析】能力成熟度模型(CMM)中,3级-充分定义级主要要求是软件过程的文档化、标准化,可根据需要改善开发过程,用评审保证质量。本级别与软件安全相关的工作有漏洞评估、代码分析、安全编码标准。
26、等级保护制度是中国网络安全保障的特色和基石,等级保护2.0新标准强化了对可信计算技术使用要求。其中安全保护等级( )要求对应用程序的所有执行环节进行动态可信验证。
A.第一级 B.第二级 C.第三级 D.第四级
【答案】D
【解析】等级保护2.0中的第四级,要求所有计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证,并在应用程序的所有执行环节对其执行环境进行可信验证,主动抵御病毒入侵行为,同时验证结果,进行动态关联感知,形成实时的态势。
27、按照《计算机场地通用规范(GB/T2887-2011)》的规定,计算机机房分为四类:主要工作房间、第一类辅助房间、第二类辅助房间和第三类辅助房间。以下属于第一类辅助房间的是( )。
A.终端室 B.监控室 C.资料室 D.储藏室
【答案】B
【解析】依据计算机系统的规模、用途以及管理体制,可选用下列房间:①主要工作房间一计算机机房、终端室等:②第一类辅助房间一低压配电间、不间断电源室、蓄电池室、发电机室、气体钢瓶室、监控室等:③第二类辅助房间一资料室、维修室、技术人员办公室:④第三类辅助房间一储藏室、缓冲间、机房人员休憩室、盥洗室等。
28、认证一般由标识和鉴别两部分组成。标识是用来代表实体对象的身份标志,确保实体的唯一性和可辨识性,同时与实体存在强关联。以下不适合作为实体对象身份标识的是( )。
A.常用IP地址 B.网卡地址 C.通讯运营商信息 D.用户名和口令
【答案】D
【解析】认证一般由标识和鉴别两部分组成:①标识(Identification),指实体(如设备、人员、服务、数据等)唯一的、可辨识的身份标志,这些标志可以是IP地址、网卡地址、通讯运营商信息等:②鉴别(Authentication),指利用技术(如口令、数字证实、签名、生物特征等),识别并验证实体属性的真实性和有效性。
29、Kerberos是一个网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。一个Kerberos系统涉及四个基本实体:Kerberos客户机、认证服务器AS、票据发放服务器TGS、应用服务器。其中,为用户提供服务的设备或系统被称为( )。
A.Kerberos客户机 B.认证服务器AS C.票据发放服务器TGS D.应用服务器
【答案】D
【解析】Kerberos系统中的应用服务器负责为用户提供服务。
30、公钥基础设施PKI是有关创建、管理、存储、分发和撒销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。公钥基础设施中,实现证书废止和更新功能的是( )。
A.CA B.终端实体 C.RA D.客户端
【答案】A
【解析】当用户个人身份信息发生变化或私钥丢失、泄露、疑似泄露时,证书用户应及时地向CA(证书的签发机构,是PKI的核心)提出证书撤销、废止、更新的请求。
31、访问控制是对信息系统资源进行保护的重大措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。如果按照访问控制的对象进行分类,对文件读写进行访问控制属于( )。
A.网络访问控制 B.操作系统访问控制 C.数据库/数据访问控制 D.应用系统访问控制
【答案】B
【解析】操作系统访问控制是针对计算机系统资源而采取的访问安全措施。操作系统访问控制的具体措施有文件读写、进程、内存等访问控制。
32、自主访问控制是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。自主访问控制的实现方法包括基于行的自主访问控制和基于列的自主访问控制两大类。以下形式属于基于列的自主访问控制的是( )
A.能力表 B.前缀表 C.保护位 D.口令
【答案】C
【解析】基于列的自主访问控制的方式有访问控制表、保护位。
33、访问控制规则实际上就是访问约束条件集,是访问控制策略的具体实现和表现形式。常见的访问控制规则有基于用户身份,基于时间、基于地址、基于服务数量等多种情况。其中,根据用户完成某项任务所需要的权限进行控制的访问控制规则属于( )。
A.基于角色的访问控制规则 B.基于地址的访问控制规则
C.基于时间的访问控制规则 D.基于异常事件的访问控制规则
【答案】A
【解析】基于角色的访问控制(Role Based Access Control,RBAC)通过分配和撤销角色(岗位)来完成用户权限的授予和撤销,并且提供角色分配规则。安全管理人员根据某项任务需要来定义各种角色,并设置合适的访问权限:根据责任和资历,再指派用户为不同的角色。
34、IIS是Microsoft公司提供的Web服务器软件,主要提供Web服务。IIS的访问控制包括:请求过滤、URL授权控制、IP地址限制、文件授权等安全措施,其中对文件夹的NTFS许可权限管理属于( )
A.请求过滤 B.URL授权控制 C.IP地址限制 D.文件授权
【答案】D
【解析】通过合理设置NTFS权限可以实现高度的本地安全性,通过对用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问。
35、防火墙是由一些软件、硬件组成的网络访问控制器,它根据必定的安全规则来控制通过防火墙的网络数据包,从而起到网络安全屏障的作用,防火墙不能实现的功能是( )。
A.限制网络访问 B.网络带宽控制 C.网络访问审计 D.网络物理隔离
【答案】D
【解析】防火墙具有过滤非安全网络访问、限制网络访问、网络访问审计、网络带宽控制的功能。目前的防火墙还具有逻辑隔离网络、提供代理服务、流量控制等功能。由于物理隔离技术要求两台物理主机物理上并不直连,只能进行间接的信息交换,所以防火墙不能实现网络的物理隔离。
36、包过滤是在IP层实现的防火墙技术,根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判新是否允许包通过。包过滤型防火墙扩展IP访问控制规则的格式如下:
access-list list-number { deny | permit } protocol
source source-wildcard source-qualifiers
destination destination-wildcard destination-qualifiers [log | log-input]
则以下说法错误的是( )
A.source表明来源的IP地址
B.deny表明若经过过滤器的包条件匹配,则允许该包通过
C.destination表明目的IP地址
D.log表明记录符合规则条件的网络包
【答案】B
【解析】access-list命令中,参数source表明源地址,destination表明目的地址,access–list num取值为100~199,log表明记录符合规则条件的网络包;permit表明允许包通过,deny表明拒绝包通过。所以B选项是错误的。
37、以下有关网站攻击防护及安全监测技术的说法,错误的( )。
A.Web应用防火墙针对80、443端口
B.包过滤防火墙只能基于IP层过滤网站恶意包
C.利用操作系统的文件调用事件来检测网页文件的完整性变化,可以发现网站被非授权修改
D.网络流量清洗可以过滤掉针对目标网络攻击的恶意网络流量
【答案】A
【解析】Web应用防火墙可以防止SQL注入,Xss攻击、恶意文件上传、远程命令执行、文件包含、恶意扫描拦截等;可以发现并拦截恶意的Wb代码;可防止网站挂马、后门上传拦截等,所以说Web应用防火墙针对80、443端口的表述是错误的。
38、通过VPN技术,企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道,实现VPN提供的多种安全服务。VPN不能提供的安全服务是( )
A.保密性服务 B.网络隔离服务 C.完整性服务 D.认证服务
【答案】B
【解析】虚拟专用网络(Virtual Private Network,VPN)是一种在互联网上建立专用网络的技术。通过VPN技术,企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道,实现VPN提供的多种安全服务。VPN提供的主要安全服务有保密性服务、完整性服务、认证服务。
39、按照VPN在TCP/IP协议层的实现方式,可以将其分为链路层VPN、网络层VPN、传输层VPN。以下属于网络层VPN实现方式的是( )
A.多协议标签交换MPLS B.ATM C.Frame Relay D.隧道技术
【答案】D
【解析】数据链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换(MPLS);网络层VPN的实现方式有受控路由过滤、隧道技术:传输层VPN的实现方式有SSL技术。有些资料中,将MPLS看成介于数据链路层和网络层的2.5层协议。
40、在IPSec虚拟专用网当中,提供数据源认证的协议是( )
A.SKIP B.IP AH C.IP ESP D.ISAKMP
【答案】B
【解析】认证头(Authentication Header,AH)协议是IPSec体系结构中的一种主要协议,它为IP数据报提供完整性检查与数据源认证,并防止重放攻击。
41、通用入侵检测框架模型(CIDF)由事件产生器、事件分析器、响应单元和事件数据库四个部分组成。其中向系统其他部分提供事件的是( )
A.事件产生器 B.事件分析器 C.响应单元 D.事件数据库
【答案】A
【解析】通用入侵检测框架模型(CIDF)有以下四个组成部分:①事件产生器一从网络环境中获得事件,并将事件提供给CIDF的其他部分:②事件分析器一分析事件数据,给出分析结果;③响应单元一针对事件分析器的分析结果进行响应,列如,告警、断网、修改文件属性等;④数据库-存放中间和最终数据(文本、数据库等形式)。
42、蜜罐技术是一种基于信息欺骗的主动防御技术,是入侵检测技术的一个重大发展方向,蜜罐为了实现一台计算机绑定多个IP地址,可以使用( )协议来实现。
A.ICMP B.DHCP C.DNS D.ARP
【答案】D
【解析】要实现一台计算机绑定多个IP地址,则需要使用ARP协议将该主机的物理地址(MAC地址)映射成多个逻辑地址(IP地址)。
43、基于网络的入侵检测系统(NIDS)通过侦听网络系统,捕获网络数据包·并依据网络包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为.以下不适合采用NIDS检测的入侵行为是( )。
A.分布式拒绝服务攻击 B.缓冲区溢出 C.注册表修改 D.协议攻击
【答案】C
【解析】网络的入侵检测系统(NIDS)可以检测到的攻击有同步风暴、分布式拒绝服务攻击、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问等。基于主机的入侵检测系统(HIDS)可以检测针对主机的端口和漏洞扫描、重复登录失败、拒绝服务、系统账号变动、重启、服务停止、注册表修改、文件和目录完整性变化等。
44、网络物理隔离有利于强化网络安全的保障,增强涉密网络的安全性。以下关于网络物理隔离实现技术的表述,错误的是( )。
A.物理断开可以实现处于不同安全域的网络之间以间接方式相连接
B.内外网线路切换器通过交换盒的开关设置控制计算机的网络物理连接
C.单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC
D.网闸通过具有控制功能开关来连接或切断两个独立主机系统的数据交换
【答案】A
【解析】物理断开技术需要保证不同安全域的网络之间不能以直接或间接的方式相连接。物理断开一般由电子开关来实现。内外网线路切换器用单刀双掷开关(物理线路交换盒)实现分开访问外部、内部网络。单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC,使得单台计算机在某一时刻只能连接到内部网或外部网。网闸作用是在两个或者两个以上的网络不连通的情况下,实现它们之间的安全数据交换和共享,其技术原理是使用一个具有开关功能的读写存储安全设备,通过开关来连接或切断两个独立主机系统的数据交换。
45、操作系统审计一般是对操作系统用户和系统服务进行记录,主要包括:用户登录和注销、系统服务启动和关闭、安全事件等。Linux操作系统中,文件lastlog记录的是( )。
A.系统开机自检日志 B.当前用户登录日志 C.最近登录日志 D.系统消息
【答案】C
【解析】Linux操作系统中,lastlog文件用于记录系统中所有用户最近一次登录信息。
46、关键信息基础设施的核心操作系统、关键数据库一般设有操作员、安全员和审计员三种角色类型。以下表述错误的是( )。
A.操作员只负责对系统的操作维护工作 B.安全员负责系统安全策略配置和维护
C.审计员可以查看操作员、安全员的工作过程日志 D.操作员可以修改自己的操作记录
【答案】D
【解析】操作记录用于安全审计、责任确定,有助于发现网络安全问题和漏洞,为了保证操作记录有效性,就要杜绝操作员可以修改自己的操作记录。
47、网络流量数据挖据分析是对采集到的网络流量数据进行挖据,提取网络流量信息,形成网络审计记录。网络流量数据挖掘分析主要包括:邮件收发协议审计、网页浏览审计、文件共享审计、文件传输审计、远程访问审计等。其中文件传输审计主要针对( )协议。
A.SMTP B.FTP C.Telnet D.HTTP
【答案】B
【解析】FTP称为文件传输协议,文件传输审计主要针对FTP协议,从FTP网络流量数据提取信息。
48、网络安全漏洞是网络安全管理工作的重大内容,网络信息系统的漏洞主要来自两个方面:非技术性安全漏洞和技术性安全漏洞。以下属于非技术性安全漏洞主要来源的是( )。
A.缓冲区溢出 B.输入验证错误 C.网络安全特权控制不完备 D.配置错误
【答案】C
【解析】非技术性安全漏洞是指来自制度、管理流程、人员、组织结构等的漏洞,“网络安全特权控制不完备”属于缺少对特权用户、超级账号的有效管理,所以属于非技术性安全漏洞。技术性安全漏洞是指来源于设计错误、输入验证错误、缓冲区溢出、验证错误、配置错误等方面的漏洞。
49、在Linux系统中,可用( )工具检查进程使用的文件、TCP/UDP端口、用户等相关信息。
A.ps B.Isof C.top D.pwck
【答案】B
【解析】在Linux系统中,lsof命令可以列出某个进程/用户所打开的文件信息,可以查看所有的网络连接、查看TCP/UDP连接及端口信息。
50、计算机病毒是一组具有自我复制及传播能力的程序代码。常见的计算机病毒类型包括引导型病毒、宏病毒、多态病毒、隐蔽病毒等。磁盘杀手病毒属于( )。
A.引导型病毒 B.宏病毒 C.多态病毒 D.隐蔽病毒
【答案】A
【解析】引导区病毒是通过感染磁盘引导扇区进行传播的病毒。常见的引导区病毒有Boot.WYX、磁盘杀手、AntiExe病毒等。
51、网络蠕虫是恶意代码一种类型,具有自我复制和传播能力,可以独立自动运行。网络蠕虫的四个功能模块包括( )。
A.扫描模块、感染模块、破坏模块、负载模块
B.探测模块、传播模块、蠕虫引擎模块、负载模块
C.扫描模块、传播模块、蠕虫引擎模块、破坏模块
D.探测模块、传播模块、负载模块、破坏模块
【答案】B
【解析】蠕虫的具体组成如下:①探测模块探测目标主机的脆弱性,确定攻击、渗透方式:②传播模块一复制并传播蠕虫:③蠕虫引擎模块—扫描并收集目标网络信息,如IP地址、拓扑结构、操作系统版本等:④负载模块一实现蠕虫内部功能的伪代码。
52、入侵防御系统IPS的主要作用是过滤掉有害网络信息流,阻断入侵者对目标的攻击行为。IPS的主要安全功能不包括( )。
A.屏蔽指定IP地址 B.屏蔽指定网络端口 C.网络物理隔离 D.屏蔽指定域名
【答案】C
【解析】网络物理隔离功能可由网闸设备完成,而IPS不具备该功能。
53、隐私保护技术的目标是通过对隐私数据进行安全修改处理,使得修改后的数据可以公开发布而不会遭受隐私攻击。隐私保护的常见技术有抑制、泛化、置换、扰动、裁剪等。其中在数据发布时添加必定的噪声的技术属于( )。
A.抑制 B.泛化 C.置换 D.扰动
【答案】D
【解析】隐私保护的常见技术有抑制、泛化、置换、扰动、裁剪等。抑制指通过数据置空的方式限制数据发布;泛化指通过降低数据精度实现数据匿名;置换不对数据内容进行更改,只改变数据的属主;扰动是指在数据发布时添加必定的噪音,包括数据增删、变换等;裁剪是指将数据分开发布。
54、为了保护个人信息安全,规范App的应用,国家有关部门已发布了《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(草案)》,其中,针对Android6.0及以上可收集个人信息的权限,给出了服务类型的最小必要权限参考范围。根据该规范,具有位置权限的服务类型包括( )。
A.网络支付、金融借贷 B.网上购物、即时通信 C.餐饮外卖、运动健身 D.问诊挂号、求职招聘
【答案】C
【解析】餐饮外卖、运动健身等服务类型必须要了解用户的准确位置信息才能提供更好、更精准的服务。
55、威胁效果是指威胁成功后,给网络系统造成的影响。电子邮件炸弹能使用户在很短的时间内收到大量电子邮件,严重时会使系统崩溃、网络瘫痪,该威胁属于( )。
A.欺骗 B.非法访问 C.拒绝服务 D.暴力破解
【答案】C
【解析】电子邮件炸弹能使用户在很短的时间内收到大量电子邮件,严重时会使系统崩溃、网络瘫痪。这时系统无法提供正常的服务,相关资源无法访问,这种威胁属于拒绝服务。
56、通过网络传播法律法规禁止的信息,炒作敏感问题并危害国家安全、社会稳定和公众利益的事件,属于( )。
A.信息内容安全事件 B.信息破坏事件 C.网络攻击事件 D.有害程序事件
【答案】A
【解析】①有害程序事件分为计算机病毒事件、孀虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件;②网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件;③信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件:④信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件:⑤设各设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障;⑥灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件:⑦其他事件是指不能归为以上分类的网络安全事件。
57、文件完整性检查的目的是发现受害系统中被篡改的文件或操作系统的内核是否被替换,对于Linux系统,网络管理员可使用( )命令直接把系统中的二进制文件和原始发布介质上对应的文件进行比较。
A.who B.find C.arp D.cmp
【答案】D
【解析】Linux系统的cmp命令用于逐字节比较两个文件是否有差异。当相互比较的两个文件完全一样时,则该指令不会显示任何信息。若发现有所差异,预设会标示出第一个不同之处的字符和列数编号。
58、入侵取证是指通过特定的软件和工具,从计算机及网络系统中提取攻击证据。以下网络安全取证步骤正确的是( )。
A.取证现场保护-证据识别-保存证据-传输证据-分析证据-提交证据
B.取证现场保护-证据识别-传输证据-保存证据-分析证据-提交证据
C.取证现场保护-保存证据-证据识别-传输证据-分析证据-提交证据
D.取证现场保护-证据识别-提交证据-传输证据-保存证据-分析证据
【答案】B
【解析】网络安全取证步骤如下:①取证现场保护,②证据识别:③传输证据:④保存证据:⑤分析证据:⑥提交证据。
59、端口扫描的目的是找出目标系统上提供的服务列表。以下端口扫描技术中,需要第三方机器配合的是( )。
A.完全连接扫描 B.SYN扫描 C.ID头信息扫描 D.ACK扫描
【答案】C
【解析】ID头信息扫描是利用第三方主机配合扫描探测端口状态的方法。
60、安全渗透测试通过模拟攻击者对测评对象进行安全攻击,以验证安全防护机制的有效性。其中需要提供部分测试对象信息,测试团队根据所获取的信息,模拟不同级别的威胁者进行渗透测试,这属于( )。
A.黑盒测试 B.白盒测试 C.灰盒测试 D.盲盒测试
【答案】C
【解析】灰盒模型是介于黑盒和白盒之间的测试模型,渗透测试人员需要部分了解被测网络信息,以模拟不同级别的威胁者进行渗透测试。
61、《计算机信息系统安全保护等级划分准则(GB17859一1999)》规定,计算机信息系统安全保护能力分为五个等级,其中提供系统恢复机制的是( )。
A.系统审计保护级 B.安全标记保护级 C.结构化保护级 D.访问验证保护级
【答案】D
【解析】《计算机信息系统安全保护等级划分准则》(GB17859-1999)的第五级,即访问验证保护级中规定:本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算基在构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。
62、Android是一个开源的移动终端操作系统,共分成Linux内核层、系统运行库层、应用程序框架层和应用程序层四个部分。显示驱动位于( )。
A.Linux内核层 B.系统运行库层 C.应用程序框架层 D.应用程序层
【答案】A
【解析】Android系统架构具体架构组如下图所示。所以显示驱动位于Linux内核层。
63、网络安全管理是对网络系统中网管对象的风险进行控制。给操作系统打补丁属于( )方法。
A.避免风险 B.转移风险 C.减少风险 D.消除风险
【答案】C
【解析】减少风险的定义是降低风险概率到可接受范围。给操作系统打补丁显然降低了风险的概率,所以属于减少风险方法。
64、日志文件是Windows系统中一个比较特殊的文件,它记录Windows系统的运行状况,如各种系统服务的启动、运行、关闭等信息。Windows日志中,安全日志对应的文件名为( )。
A.SecEvent.evt B.AppEvent.evt C.SysEvent.evt D.CybEvent.evt
【答案】A
【解析】Windows系统日志、应用程序日志和安全日志,对应的文件名分别为SysEvent.evt,AppEvent.evt,SecEvent.evt。这些日志文件一般存放在"system32 config"下。
65、最小化配置服务是指在满足业务的前提下,尽量关闭不需要的服务和网络端口,以减少系统潜在的安全危害。以下实现Linux系统网络服务最小化的操作,正确的是( )。
A.inetd.conf的文件权限设置为644 B.services的文件权限设置为600
C.inetd.conf的文件属主为root D.关闭与系统业务运行有关的网络通信端口
【答案】C
【解析】最小化配置服务是指在满足业务的前提下,尽量关闭不需要的服务和网络端口,以减少系统潜在的安全危害。实现Linux系统网络服务最小化的操作,方法有:inetd.conf的文件权限设置为600;inetd.conf的文件属主为root;services的文件权限设置为644;services的文件属主为root;在inetd.conf中,注销不必要的服务,列如echo、finger、rsh、rlogin、tftp等。只开放与系统业务运行有关的网络通信端口。
66、数据库脱敏是指利用数据脱敏技术将数据库中的数据进行变换处理,在保持数据按需使用目标的同时,又能避免敏感数据外泄。以下技术中,不属于数据脱敏技术的是( )。
A.屏蔽 B.变形 C.替换 D.访问控制
【答案】D
【解析】数据库脱敏是一种对敏感数据(列如身份证、手机信息)进行加密、变形、替换、屏蔽、随机化等变换的技术。
67、Oracle数据库提供认证、访问控制、特权管理、透明加密等多种安全机制和技术。以下关于Oracle数据库表述,错误的是( )。
A.Oracle数据库的认证方式采用“用户名+口令”的方式
B.Oracle数据库不支持三方认证
C.Oracle数据库有口令加密和复杂度验证等安全功能
D.Oracle数据库提供细粒度访问控制
【答案】B
【解析】Oracle数据库除了Oracle数据库认证外,还集成支持操作系统认证、网络认证、多级认证、SSL认证等方式。Oracle数据库的认证方式采用“用户名+口令”,具有口令加密、账户锁定、口令生命期和过期、口令复杂度验证等安全功能。对于数据库管理员认证,Oracle数据库要求进行特别认证,支持强认证、操作系统认证、口令文件认证。网络认证支持第三方认证、PKI认证、远程认证等。Oracle数据库提供细粒度访问控制,如针对select,insert,update,delete等操作,可以使用不同的策略。
68、交换机是构成网络的基础设备,主要功能是负责网络通信数据包的交换传输。交换机根据功能变化分为五代,其中第二代交换机又称为以太网交换机,其工作于OSI(开放系统互连参考模型)的( )
A.物理层 B.数据链路层 C.网络层 D.应用层
【答案】B
【解析】第二代交换机又称为以太网交换机,其工作于OSI(开放系统互连参考模型)的数据链路层。第二代交换机可以识别传输数据的MAC地址,并可选择端口进行数据转发。
69、Apache Httpd是一个用于搭建Web服务器的开源软件。Apache Httpd配置文件中,负责基本读取文件控制的是( )。
A.httpd.conf B.srm.conf C.access.conf D.mime.conf
【答案】C
【解析】access.conf文件负责读取文件的基本控制,限制目录执行功能、限制访问目录的权限。
70、口令是保护路由器安全的有效方法,一旦口令信息泄露就会危及路由器安全。因此,路由器的口令存放应是密文。在路由器配置时,使用( )命令保存口令密文。
A.Enable secret B.key chain C.key-string D.no ip finger
【答案】A
【解析】路由器设置特权密码时,使用命令enable secret则口令是加密的
71-75、Methods for (71) people differ significantly from those for authenticating machines and programs, and this is because of the major differences in the capabilities of people versus computers.Computers are great at doing (72) calculations quickly and correctly, and they have large memories into which they can store and later retrieve Gigabytes of information. Humans don't. So we need to use different methods to authenticate people. In particular, the (73) protocols we've already discussed are not well suited if the principal being uthenticated is a person (with all the associated limitations). All approaches for human authentication rely on at least one of the followings:
Something you know (eg. a password).This is the most common kind of authentication used for humans.We use passwords every day to access our systems. Unfortunately,something that you know can become something you just forgot. And if you write it down, then other people might find it.
Something you (74) (eg.a smart card).This form of human authentication removes the problem of forgetting something you know, but some object now must be with you any time you want to be authenticated. And such an object might be stolen and then becomes something the attacker has.
Something you are (eg. a fingerprint).Base authentication on something (75) to the principal being authenticated. It's much harder to lose a fingerprint than a wallet. Unfortunately,biometric sensors are fairly expensive and (at present) not very accurate.
A.authenticating B.authentication C.authorizing D.authorization
A.much B.huge C.large D.big
A.network B.cryptographic C.communication D.security
A.are B.have C.can D.owned
A.unique B.expenseive C.important D.intrinsic
【答案】A C B B D
【解析】对人(进行身份验证)的方法与对机器和程序进行身份验证的方法有很大的不同,这是由于人与计算机的能力存在重大差异。计算机擅长快速、正确地进行(大型)计算,它们拥有巨大的内存,可以存储并检索千兆字节的信息。人类没有这种能力。所以我们需要使用不同的方法来验证人的身份。特别是,如果被认证的主体是个人(具有所有相关限制),我们已经讨论过的(加密)协议就不太适合。
所有人类身份验证的方法至少依赖于以下一种:
你所知道的(如密码)。这是用于人类的最常见的身份验证。我们每天都使用密码来访问我们的系统。不幸的是,你所知道的东西可能会变成你刚刚忘记的东西。如果你把它写下来,其他人可能会找到它。
你所(拥有的)(如智能卡)。这种形式的人类身份验证避免了人会遗忘所知道的东西的问题,但是目前,在你想要被身份验证的任何时候,都必须有一些物体与你在一起。这样的东西可能会被盗,然后变成攻击者拥有的东西。
你所特有的(如指纹)。利用被验证主体的(固有)特性进行身份验证。丢失指纹比丢失钱包难多了。不幸的是,生物传感器相当昂贵,而且当前不太准确。
试题一 阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】在某政府单位信息中心工作的李工要负责网站的设计、开发工作。为了确保部门新业务的顺利上线,李工邀请信息安全部门的王工按照等级保护2.0的要求对其开展安全测评。李工提供网站的网络拓扑图如图1-1示。图中,网站服务器的IP地址是192.168.70.140,数据库服务器的IP地址是 192.168.70.141。
王工接到网站安全测评任务后来,决定在内网办公区的信息安全部开展各项运维工作,王工使用的办公电脑IP地址为192.168.11.2。
【问题1】按照等级保护2.0的要求,政府网站的定级不应低于几级?该等级的测评每几年开展一次?
【问题2】按照网络安全测评的实施方式,测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。王工调阅了部分网站后台处理代码,发现网站某页面的数据库査询代码存在安全漏洞,代码如下:
1 <?php
2 if(isset($_GET[‘Submit’])) {
3
4 //Retrieve data
5 $id = $_GET[‘id’];
6
7 $getid = ”SELECT first_name, last_name FROM users WHRER user_id = ‘$id’ ”;
8 $result = mysql_query($getid) or die(‘<pre>’ . mysql_error() . ‘<pre>’);
9
10 $num =mysql_numrows($result);
11
12 $i = 0;
13 while($i < $num){
14
15 $first = mysql_result($result, $i, “first_name”);
16 $last = mysql_result($result, $i, “last_name”);
17
18 ehco ‘<pre>’
19 ehco ‘ID: ’ . $id . ‘<br>First name: ’ .$first . ‘<br>Surname: ’ .$last;
20 ehco ‘<pre>’
21
22 $i++;
23 }
24 }
25 ?>
(1)请问上述代码存在哪种漏洞?
(2)为了进一步验证自己的判断,王工在该页面的编辑框中输入了漏洞测试语句,发起测试。请问王工最有可能输入的测试语句对应以下哪个选项?
A. or 1 = 1–order by 1 B. 1 or ‘1’=’1’= 1 order by 1#
C. 1’ or 1 = 1 order by 1# D. 1’and’1’=’2’ order by 1#
(3)根据上述代码,网站后台使用的哪种数据库系统?
(4)王工对数据库中保存口令的数据表进行检查的过程中,发现口令为明文保存,遂给出整改提议,提议李工对源码进行修改,以加强口令的安全防护,降低敏感信息泄露风险。下面给出四种在数据库中保存口令信息的方法,李工在安全实践中应釆用哪一种方法?
A. Base64 B. MD5 C.哈希加盐 D.加密存储
【问题3】按照等级保护2.0的要求,系统当中没有必要开放的服务应当尽量关闭。王工在命令行窗口运行了一条命令,査询端口开放请况。请给出王工所运行命令的名字。
【问题4】防火墙是网络安全区域边界保护的重大技术,防火墙防御体系结构有基于双宿主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型?
【问题5】根据李工提供的网络拓扑图,王工提议部署开源的Snort入侵检测系统以提高整体的安全检测和态势感知能力。
(1)针对王工提议,李工査阅了入侵检测系统的基本组成和技术原理等资料。请问以下有关Snort 入侵检测系统的描述哪两项是正确的?
A.基于异常的检测系统 B.基于误用的检测系统
C.基于网络的入侵检测系统 D.基于主机的入侵检测系统
(2)为了部署Snort入侵检测系统,李工应该把入侵检测系统连接到图1-1网络拓扑中的哪台交换机?
(3)李工还需要把网络流量导入入侵检测系统才能识别流量中的潜在攻击。图1-1中使用的均为华为交换机,李工要将交换机网口 GigabitEthernet1/0/2的流量镜像到部署Snort的网口GigabitEthernet1/0/1上,他应该选择下列选项中哪一个配置?
A. observe-port 1 interface GigabitEthernet1/0/2
interface GigabitEthemet1/0/1
port-mirroring to observe-port 1 inbound/outbound/both
B. observe-port 2 interface GigabitEthernet1/0/2
interface GigabitEthemet1/0/1
port-mirroring to observe-port 1 inbound/outbound/both
C.port-mirroring to observe-port 1 inbound/outbound/both
observe-port 1 interfaceGigabiEthenet1/0/2
interface GigabitEthenet1/0/1
D.observe-port 1 interface GigabitEthernet1/0/1
interface GigabitEthemet1/0/2
port-mirroring to observe-port 1 inbound/outbound/both
(4) Snort入侵检测系统部署不久,就发现了一起网络攻击。李工打开攻击分组查看,发现许多字符看起来不像是正常字母,如图1-2所示,请问该用哪种编码方式去解码该网络分组内容?
(5)针对图1-2所示的网络分组,李工查看了该攻击对应的Snort检测规则,以更好地掌握Snort 入侵检测系统的工作机制。请完善以下规则,填充空(a)、(b)处的内容。
(a) tcp any any -> any any (msg:”XXX”;content:” (b)”;nocase;sid:1106;)
【答案】
【问题1】三级;每年
【问题2】(1)SQL注入漏洞(2)C(3)Mysql(4)C
【问题3】netsat
【问题4】屏蔽子网的防火墙
【问题5】(1)B、C(2)交换机2(3)D(4)URL编码(5)alert;union select
试题二 阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】一般由于机房电磁环境复杂,运维人员很少在现场进行运维工作,在出现安全事件需要紧急处理时,需要运维人员随时随地远程开展处置工作。
SSH(安全外壳协议)是一种加密的网络传输协议,提供安全方式访问远程计算机。李工作为公司的安全运维工程师,也常常使用SSH远程登录到公司的Ubuntu 18.04服务器中进行安全维护。
【问题1】SSH协议默认工作的端口号是多少?
【问题2】网络设备之间的远程运维可以釆用两种安全通信方式:一种是telnet,还有一种是什么?
【问题3】日志包含设备、系统和应用软件的各种运行信息,是安全运维的重点关注对象。李工在定期巡检服务器的SSH日志时,发现了以下可疑记录:
Jul 22 17:17:52 humen systed-logiad[1182]:Waching sytem buttons on/dev/input/evet0(Power Button)
Jul 22 17:17:52 humen systed-logiad[1182]:Waching sytem buttons on/dev/input/evet1(AT Translated Set 2 keyboard)
Jul 23 09:33:41 humen sshd [5423]:pam_unix(sshd:auth)authentication failure,logame= uid=0 euid=0 tty=ssh ruser=rhost=192.168.107.130user=humen
Jul 23 09:33:43 humen sshd [5423]:Failedpassword for humen from 192.168.107.130 port 40231 ssh2
Jul 2309:33:43 humen sshd [5423]:Connectionclosed by authenticating user humen 192.168.107.130 port 40231[preauth]
Jul 23 09:33:43 humen sshd [5425]:pam_unix(sshd:auth):authentication failure; logname=uid=0 euid=0 tty=ssh ruser=rhost=192.168.107.130user=humen
Jul 23 09:33:45 humen sshd [5425]:Failedpassword for humen from 192.168.107.130 port 37223 ssh2
Jul 23 09:33:45 humen sshd[5425]:Connection closed by authenticating user humen192.168.107.130 port 37223[preauth]
Jul 23 09:33:45 humen sshd [5427]:pam_unix(sshd:auth):authentication failure;logname= uid=0euid-0 tty=ssh ruser=rhost=192.168.107.130 user=humen
Jul 239:33:47 humen sshd [5427]:Failedpassword for humen from 192.168.107.130 port 41365 ssh2
Jul 23 09:33:47 humen sshd[5427]:Connection closed by authenticating user humen 192.168.107.130 port41365 [preauth]
Jul 23 09:33:47 humen sshd[5429]:pam_unix(sshd:auth):authentication failure;logname= uid=0 euid=0 tty=sshruser=rhost=192.168.107.130 user=humen
Jul 23 09:33:49 humen sshd [5429]:Failed password for humen from192.168.107.130 port 45627 ssh2
Jul 23 09:33:49 humen sshd [5429]:Connection closed by authenticating user humen 19.168.107.130 port45627 [preauth]:
Jul 23 09:33:49 humen sshd [5431]:pam_unix(sshd:auth):authentication failure;logname= uid=0 euid=0 tty=ssh ruser-=rhost=192.168.107.130user=humen
Jul 23 09:33:51 humen sshd [5431]:Failedpassword for humen from192.168.107.130 port 42271 ssh2
Jul 23 09:33:51 humen sshd [5431]:Connection closed by authenticating user humen 192.168.107.130 port42271 [preauth]
Jul 23 09:33:51 humen sshd [5433]:pam_unix(sshd:auth)authentication failure;logname= uid=0 euid=0 tty=ssh ruser-=rhost=192.168.107.130user=humen
Jul 23 09:33:53 humen sshd [5433]:Failed password for humen from192.168.107.130 port 45149 ssh2
Jul 23 09:33:53humen sshd [5433]:Connection closed by authenticating user humen192.168.107.130 port 45149[preauth]
Jul 23 09:33:54 humen sshd [5435]:Accepted password for humen from192.168.107.130 port 45671 ssh2
Jul 23 09:33:54 humen sshd[5435]:pam_unix(sshd:auth):session opened for user humen by(uid=0)
(1)请问李工打开的系统日志文件的路径和名称是什么?
(2)李工怀疑有黑客在攻击该系统,请给出判断攻击成功与否的日志以便李工评估攻击的影响。
【问题4】经过上次SSH的攻击事件之后,李工为了加强口令安全,降低远程连接风险,思考釆用免密证书登录。
(1) Linux系统默认不允许证书方式登录,李工需要实现免密证书登录的功能,应该修改哪个配置件?请给出文件名。
(2)李工在创建证书后需要拷贝公钥信息到服务器中。他在终端输入了以下拷贝命令,请说明命令中“>>”的含义。
ssh xiaoming@server cat/home/xiaoming/.ssh/id_rsa.pub> >authorized_keys
(3)服务器中的authorized_keys文件详细信息如下,请给出文件权限的数字表明。
(4)李工完成SSH配置修改后需要重启服务,请给出 systemctl重启SSH服务的命令。
(5)在上述服务配置过程中,配置命令中可能包含各种敏感信息,因此在配置结束后应及时清除历史命令信息,请给出清除系统历史记录应执行的命令。
【问题5】SSH之所以可以实现安全的远程访问,归根结底还是密码技术的有效使用。对于SSH协议,不管是李工刚开始使用的基于口令的认证还是后来的基于密钥的免密认证,都是密码算法和密码协议在为李工的远程访问保驾护航。请问上述安全能力是基于对称密码体制还是非对称密码体制来实现的?
【答案】
【问题1】22
【问题2】ssh
【问题3】(1)路径:/var/log;名称:secure(2)日志文件包含“Accepted passwordfor humen”,可以判断登录成功。
【问题4】(1)/etc/ssh/sshd_config(2)>>表明向文件中追加内容(3)600(4)systemctl restart sshd(5)history -c
【问题5】非对称密码体制
试题三 阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】域名系统是网络空间的中枢神经系统,其安全性影响范围大,也是网络攻防的重点。李工在日常的流量监控中,发现如图3-1所示的可疑流量,请协助分析其中可能的安全事件。
【问题1】域名系统釆用授权的分布式数据查询系统,完成域名和IP地址的解析。李工通过上述流量可以判断域名解析是否正常、有无域名劫持攻击等安全事件发生。
(1)域名系统的服务端程序工作在网络的哪一层?
(2)图3-1中的第一个网络分组要解析的域名是什么?
(3)给出上述域名在DNS查询包中的表明形式(16进制)。
(4)由图3-1可知李工所在单位的域名服务器的IP地址是什么?
【问题2】签于上述DNS协议分组包含大量奇怪的子域名,如想知道是哪个应用程序发送的上述网络分组,请问在Windows系统下,李工应执行哪条命令以确定上述DNS流量来源?
【问题3】通过上述的初步判断,李工认为192.168.229.1的计算机可能已经被黑客控制(CC攻击)。黑客惯用的手法就是建立网络隐蔽通道,也就是指利用网络协议的某些字段秘密传输信息,以掩盖恶意程序的通信内容和通信状态。
(1)请问上述流量最有可能对应的恶意程序类型是什么?
(2)上述流量中隐藏的异常行为是什么?请简要说明。
(3)信息安全目标包括保密性、完整性、不可否认性、可用性和可控性,请问上述流量所对应的网络攻击违反了信息安全的哪个目标?
【问题4】通过上述的攻击流分析,李工决定用防火墙隔离该计算机,李工所运维的防火墙是Ubuntu系统自带的iptables防火墙。
(1)请问iptables默认实现数据包过滤的表是什么?该表默认包含哪几条链?
(2)李工第一要在ipables防火墙中査看现有的过滤规则,请给出该命令。
(3)李工要禁止该计算机继续发送DNS数据包,请给出相应过滤规则。
【问题5】在完成上述处置后来,李工需要分析事件缘由,请说明导致DNS成为CC攻击的首选隐蔽传输通道协议的缘由。
【答案】
【问题1】(1)应用层(2)www.humen.com(3)77 77 77 05 68 75 6D 65 6e 03 63 6F 6D(4)192.168.299.133
【问题2】netstat -b
【问题3】(1)Dos攻击(2)发送大量无效的DNS请求攻击DNS服务器,导致基于此DNS服务器解析应用不能正常工作(3)可用性和可控性
【问题4】(1)filter,包含input、forward和output三个规则链(2)iptables -L(3)iptables -a INPUT -s 192.168.229.1/32 -dport 53 -j DROP
【问题5】更隐蔽,不易被防火墙和基于HTTP协议的拦截工具所拦截。
试题四 阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】近期,按照网络安全审查工作安排,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻某出行科技有限公司,开展网络安全审查,移动APP安全检测和个人数据安全再次成为关注焦点。
【问题1】为保护Android系统及应用终端平台安全,Android 系统在内核层、系统运行层、应用框架层以及应用程序层采取了相应的安全措施,以尽可能地保护移动用户数据、应用程序和设备安全。在Android系统提供的安全措施中有安全沙箱、应用程序签名机制;权限声明机制、地址空间布局随机化等,请将上述四种安全措施按照其所在层次分填入表4-1的空(1)-(4)
【问题2】权限声明机制为操作权限和对象之间设定了一些限制,只有把权限和对象进行绑定,才可以有权操作对象。
(1)请问Android系统应用程序权限声明信息都在哪个配置文件中?给出该配置文件名。
(2)Android 系统定义的权限组包括 CALENDAR、CAMERA、CONTACTS、LOCATION、 MICROPHONE、PHONE、SENSORS,SMS、STORAGE,按照《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》,运行在Android9.0系统中提供网络约车服务的某出行App可以有的最小必要权限是以上权限组的哪几个?
(3)如果有移动应用A提供了 AService服务,对应的权限描述如下:
1. <permission
2. android:name=”USER_INFO”
3. android:label=”read user information”
4. android:description=”get user information”
5. android: ProtectionLevel=”signature”
6. />
7. <service android:name=”com.demo. AService”
8. android:exported=”true”
9. android:permission=”com.demo.permission.USER_INFO”
10. </service>
如果其他应用B要访问该服务,应该申明使用该服务,将以下申明语句补充完整。
1.< android:name=”com.demo. AService”>
【问题3】应用程序框架层聚焦了许多Android开发需要的组件,其中最主要的就是Activities、 BroadcastReceiver、Services以及Content Providers这四大组件,围绕四大组件存在许多的攻击方法,请说明以下三种攻击分别是针对哪个组件。
(1)目录遍历攻击。(2)界面劫持攻击。(3)短信拦截攻击。
【问题4】移动终端设备常见的数据存储方式包括:①SharedPreferences;②文件存储;③SQLite数据库;④ContentProvider;⑤网络存储。
从以上5种方式中选出Android系统支持的数据存储方式,给出对应存储方式的编号。
【答案】
【问题1】(1)权限声明机制(2)应用程序签名机制(3)安全沙箱(4)地址空间布局随机化
【问题2】(1)Manifest.xml(2)MICROPHONE、SMS、LOCATION、PHONE、STORAGE(3)service
【问题3】(1)Content Providers(2)Activities(3)BroadcastReceiver
【问题4】①②③④⑤
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
