1、2022年软考-信息安全工程师考前拔高综合测试题(含答案带详解)1. 单选题对于提高人员安全意识和安全操作技能来说,以下所列的安全管理方法最有效的是 ( )。问题1选项A.安全检查B.安全教育和安全培训C.安全责任追究D.安全制度约束【答案】B【解析】本题考查网络安全能力提升和安全意识的相关知识。由于题目要求的是提高人员安全意识和安全操作技能,从安全管理角度来说,最有效的方法是进行安全教育和安全培训,其余三项皆是通过外力对人员进行相关约束。只有通过安全教育和安全培训,提高了人员自身的信息安全素养,才能实现最高效的“管理”。故本题选B。点播:此类题型主要从提高自身信息安全素养方面进行考查。2.
2、案例题阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】信息系统安全开发生命周期(Security Development Life Cycle(SDLC)是微软提出的从安全角度指导软件开发过程的管理模式,它将安全纳入信息系统开发生命周期的所有阶段,各阶段的安全措施与步骤如下图5.1所示。【问题1】(4分)在培训阶段,需要对员工进行安全意识培训,要求员工向弱口令说不!针对弱口令最有效的攻击方式是什么?以下口令中,密码强度最高的是( )。A. security2019B. 2019SecurityC. Security2019D. Security2019【问题2】(6分
3、在大数据时代,个人数据正被动地被企业搜集并利用。在需求分析阶段,需要考虑采用隐私保护技术防止隐私泄露。从数据挖掘的角度,隐私保护技术主要有:基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种?(1)随机化过程修改敏感数据(2)基于泛化的隐私保护技术(3)安全多方计算隐私保护技术【问题3】(4分)有下述口令验证代码:#define PASSWORD 1234567int verify_ password (char *password) int authenticated; char buffer8; au
4、thenticated= strcmp(password,PASSWORD); strcpy(buffer,password); return authenticated; nt mn(nt rg, hr* rgv ) int valid_ flag=0; char password1024; while(1) printf(please input password: ); scanf(%s,password); valid_ flag = verify_ password(password); /验证口令 if ( valid_ flag)/口令无效 printf(incorrect pa
5、ssword!nn); else /口令有效 printf(Congratulation! You have passed the verification!n); break; 其中main函数在调用verify_ password函数进行口令验证时,堆栈的布局如图5.2所示。请问调用verify_password函数的参数满足什么条件,就可以在不知道真实口令的情况下绕过口令验证功能?【问题4】(3分)SDLC安全开发模型的实现阶段给出了3种可以采取的安全措施,请结合问题3的代码举例说明?【答案】【问题1】(1)穷举攻击 (2) C【问题2】(1)基于数据失真的隐私保护技术;(2)基于数据匿
6、名化的隐私保护技术;(3)基于数据加密的隐私保护技术。【问题3】参数password的值满足:12个字符的字符串,前面8个字符为任意字符,后面4个字符为空字符;或者输入完整的8个任意字符。【问题4】使用批准的工具来编写安全正确的程序;禁用不安全的函数来防范因数组没有边界检查而导致的缓冲区溢出;通过静态分析进行程序指针完整性检查。【解析】【问题1】(1)弱口令可以通过穷举攻击方式来破解。(2)密码必须符合复杂性要求:启用此策略,用户账户使用的密码必须符合复杂性的要求。密码复杂性必须符合下列最低要求:不能包含用户的账户名;不能包含用户姓名中超过两个连续字符的部分;至少有六个字符长;密码总必须包含以
7、下4类字符中的三类字符:1、英文大写字母(A-Z)2、英文小写字母(a-z)3、10个基本数字(0-9)4、特殊符号(!#¥%等)【问题2】(1)基于数据失真的隐私保护技术:它是使敏感数据失真但同时保持某些关键数据或者属性不变的隐私保护技术,例如,采用交换 (Swapping)、添加噪声等技术对原始数据集进行处理,并且保证经过扰动处理后的数据仍然保持统计方面的性质,以便进行数据挖掘等操作。(2)基于数据加密的隐私保护技术:它是采用各种加密技术在分布式环境下隐藏敏感数据的方法,如安全多方计算 (SMC)、分布式匿名化、分布式关联规则挖掘和分布式聚类等。(3)基于数据匿名化的隐私保护技术:它是根据
8、具体情况有条件地发布数据,例如,不发布原始数据的某些值、数据泛化等。【问题3】该代码按正常流程走下来,函数verify-password()会返回变量authenticated的值,而只有当其值为0时,会绕过口令。再来分析strcpy() 函数这个函数,该用来复制字符串,其原型为:char *strcpy(char *dest, const char *src);【参数】dest 为目标字符串指针,src 为源字符串指针。注意:src 和 dest 所指的内存区域不能重叠,且 dest 必须有足够的空间放置 src 所包含的字符串(包含结束符NULL)。【返回值】成功执行后返回目标数组指针 d
9、est。strcpy() 把src所指的由NULL结束的字符串复制到dest 所指的数组中,返回指向 dest 字符串的起始地址。注意:如果参数 dest 所指的内存空间不够大,可能会造成缓冲溢出。主函数中,当validflag为0时,会绕过口令,而validflag是函数verify-password()的返回值,在函数verify-password()中,其返回值是变量authenticated的值,在返回该值时,使用了strcpy函数将password的值复制到数组buffer中,buffer数组的长度为8个字符,一旦用户输入数据长度大于8个字符就会溢出,溢出部分就会覆盖其他变量的值,从
10、上图堆栈中的数据存储方式可以看出,buffer数组一旦溢出,溢出部分就会覆盖authenticated的值;根据题目意思,只要令溢出部分的值为0即可令authenticated=0,最终使得validflag为0,从而满足条件。所以可以先任意输入8个字符堆满buffer数组,再输入时就是溢出部分,可以输入空字符,因authenticated为整形数据,所以将字符赋给整形变量时,会按其ASCII码值进行处理,空字符的ASICC值为0,从而可以把authenticated值变成0满足条件;或者输入完整的任意8个字符,再加上复制结束自动加入的字符串结束标志“0”,也可导致authenticated值
11、变成0满足条件。【问题4】使用批准的工具来编写安全正确的程序,只要在所有拷贝数据的地方进行数据长度和有效性的检查,确保目标缓冲区中数据不越界并有效,则就可以避免缓冲区溢出,更不可能使程序跳转到恶意代码上。禁用不安全的函数来防范因数组没有边界检查而导致的缓冲区溢出,C 语言中存在缓冲区溢出攻击隐患的系统函数有很多。例如 gets(),sprintf(),strcpy(),strcat( ),fscanf( ),scanf( ), vsprintf( )等。可以禁用这些不安全函数。通过静态分析进行程序指针完整性检查,在每次在程序指针被引用之前先检测该指针是否已被恶意改动过,如果发现被改动,程序就拒
12、绝执行。3. 单选题网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量状况是网络中的重要信息,利用流量监测获得的数据,不能实现的目标是( )。问题1选项A.负载监测B.网络纠错C.日志监测D.入侵检测【答案】C【解析】本题考查流量监测的相关知识。网络流量状况是网络中的重要信息,利用流量监测获得的数据,可以实现以下目标:(1)负载监测:将流量监测获得的网络流量数据作为输入参数,利用统计方法和先验知识,通过负载特性分析过程,可以得到网络的当前负载状态。(2)性能分析:利用流量信息,可以分析得到网络的性能状况,例如链路利用率等,以定位和防止网络中的性能瓶颈,提高网络性能。(3)网络纠错:复
13、杂的网络环境和丰富多样的应用类型,往往会导致网络故障的发生。通过分析流量信息,可以判定故障发生的位置和导致的原因,例如广播风暴、非法操作等,并采取措施解决故障并避免再次发生。(4)网络优化:流量工程的目的是为了优化网络性能,其前提是获取网络中的流量信息,在此基础上通过网络控制,例如资源分配、流量均衡等操作,实现网络优化的目标。(5)业务质量监视:现代网络面临的紧迫任务是为用户提供可靠的业务质量保障。而用户获得的服务质量以及网络供应商可提供的服务能力都必须通过流量数据分析获得。(6)用户流量计费:如何在高速宽带网络中实现基于流量的用户计费是目前网络管理领域的热点问题,实现高效的流量计费解决方案必
14、须依靠流量监测技术的进步。(7)入侵检测:安全问题是网络应用中的一个重要方面,入侵检测系统是目前保障网络安全的重要手段。入侵检测的一个重要内容就是通过分析网络流量,判定攻击行为,以采取必要的防御措施。(8)协议调测:在进行协议设计和应用开发时,必须经过实际网络环境检验的过程。当新的协议或应用加入到网络中,必须观测它们产生的数据流量,以判定协议或应用的操作是否正常,是否会对网络性能造成损伤。故本题选C。点播:网络流量就是网络上传输的数据量。网络流量的大小对网络架构设计具有重要意义,就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式类似,根据网络流量进行网络的设计是十分必要的。4. 单选题身
15、份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。下列各种协议中,不属于身份认证协议的是( )。问题1选项A.IPSec 协议B.S/Key 口令协议C.X.509 协议D.Kerberos 协议【答案】A【解析】5. 单选题蜜罐是一种在互联网上运行的计算机系统,是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的。以下关于蜜罐的描述中,不正确的是( )。问题1选项A.蜜罐系统是一个包含漏洞的诱骗系统B.蜜罐技术是一种被动防御技术C.蜜罐可以与防火墙协作使用D.蜜罐可以查找和发现新型攻击【答案】B【解析】本题考查网络蜜罐技术知识。蜜罐技术是一种主动防御技术,运行在互联网上的
16、计算机系统,是一个包含漏洞的诱骗系统。它通过模拟一个或多个易受攻击的主机和服务,来吸引和诱骗那些试图非法闯入他人计算机系统的人对它实施攻击。从而可以对攻击行为捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解它所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。故本题选B。点播:陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成,为攻击者制造一个攻击环境,供防御者研究攻击者的攻击行为。6. 单选题BS7799标准是英国标准协会制定的信息安全管理体系标准,它包括两个部分:信息安全管理实施指南和信息安全管理体系规范和应用指南。依据该标
17、准可以组织建立、实施与保持信息安全管理体系,但不能实现( )。问题1选项A.强化员工的信息安全意识,规范组织信息安全行为B.对组织内关键信息资产的安全态势进行动态监测C.促使管理层坚持贯彻信息安全保障体系D.通过体系认证就表明体系符合标准,证明组织有能力保障重要信息【答案】B【解析】本题考查重要的信息安全管理体系和标准方面的基础知识。BS7799 标准是英国标准协会(BSI)制定的信息安全管理体系标准。它涵盖了几乎所有的安全议题,非常适合作为工商业及大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。但没有对组织内关键信息资产的安全态势进行动态监测。故本题选B。点播:BS779
18、9 作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息安全治理手段,该标准的最大意义在于可以为管理层提供一套可量体裁衣的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言,以及保护信息资产的制度框架。7. 单选题网络系统中针对海量数据的加密,通常不采用( )方式。问题1选项A.会话加密B.公钥加密C.链路加密D.端对端加密【答案】B【解析】本题考查公钥体制相关知识。公钥加密加密算法复杂且加解密效率低,需要较大的计算量,一般只适用于少量数据的加密。故本题选B。8. 单选题防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时,就必须采用规则中的处理
19、方式进行处理。其中,拒绝数据包或信息通过,并且通知信息源该信息被禁止的处理方式是( )。问题1选项A.AcceptB.RejectC.RefuseD.Drop【答案】B【解析】本题考查防火墙相关知识。防火墙的规则处理方式如下: Accept:允许数据包或信息通过; Reject:拒绝数据包或信息通过,并且通知信息源该信息被禁止; Drop:直接将数据包或信息丢弃,并且不通知信息源。 故本题选B。点播:防火墙是一种控制隔离技术,在某机构的网络和不安全的网络之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。9. 单选题IPSec属于( )的安全解决方案。
20、问题1选项A.网络层B.传输层C.应用层D.物理层【答案】A【解析】本题考查IPSec协议。IPSec定义了在网络层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查、保证数据机密性和防止重放攻击等。IPSec属于网络层的安全解决方案。故本题选A。点播:IPSec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。10. 单选题2016年11月7日,十二届全国人大常委会第二十四次会议
21、以154票赞成、1票弃权,表决通过了中华人民共和国网络安全法。该法律第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经( )决定或者批准,可以在特定区域对网络通信采取限制等临时措施。问题1选项A.国务院B.国家网信部门C.省级以上人民政府D.网络服务提供商【答案】A【解析】本题考查中华人民共和国网络安全法。中华人民共和国网络安全法第五十八条:因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。故本题选A。点播:中华人民共和国网络安全法已于2017年6月1日起实施。为加强网络安全教育,网
22、络空间安全已被增设为一级学科。11. 单选题SSL协议(安全套接层协议)是Netscape公司推出的一种安全通信协议,以下服务中,SSL协议不能提供的是( )。问题1选项A.用户和服务器的合法性认证服务B.加密数据服务以隐藏被传输的数据C.维护数据的完整性D.基于UDP应用的安全保护【答案】D【解析】本题考查SSL协议。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。其主要提供:(1)认证用户和服务器,确保数据发送到正确的客户机和服务器;(2)加密数据以防止数据中途被窃取;(3)维护数据的完整性,确保数据在传输过程中不被改变。故本题选D。点播:SSL是Secure
23、Sockets Layer的缩写,是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道。该协议包含握手协议、密码规格变更协议、报警协议和记录层协议。SSL协议是介于应用层和TCP层之间的安全通信协议。其主要目的在于两个应用层之间相互通信时,使被传送的信息具有保密性及可靠性。12. 单选题以下关于BLP安全模型的表述中,错误的是( )。问题1选项A.BLP模型既有自主访问控制,又有强制访问控制B.BLP模型是-一个严格形式化的模型,并给出了形式化的证明C.BLP模型控制信息只能由高向低流动D.BLP是一种多级安全策略模型【答案】C【解析】本题考查BLP安全模型方面的基础知识。BLP
24、是安全访问控制的一种模型, 是基于自主访问控制和强制访问控制两种方式实现的。它是一种严格的形式化描述,控制信息只能由低向高流动。它反映了多级安全策略的安全特性。13. 单选题国家密码管理局发布的无线局域网产品须使用的系列密码算法,其中规定密钥协商算法应使用的是( )。问题1选项A.PKIB.DSAC.CPKD.ECDH【答案】D【解析】14. 单选题在安全评估过程中,采取( )手段,可以模拟黑客入侵过程,检测系统安全脆弱性。问题1选项A.问卷调查B.人员访谈C.渗透测试D.手工检查【答案】C【解析】15. 单选题智能卡的片内操作系统COS一般由通信管理模块、安全管理模块、应用管理模块和文件管理
25、模块四个部分组成。其中数据单元或记录的存储属于( )。问题1选项A.通信管理模块B.安全管理模块C.应用管理模块D.文件管理模块【答案】D【解析】本题考查智能卡片内操作系统COS。通信管理模块:该模块是COS与外界的半双工通信通道,接收读写器命令,并对接收信息进行正确性判断,有误则请求重发或添加标记,无误则将命令发送至安全管理模块。安全管理模块:安全机制可按对象分为针对动态信息的安全性传输控制和针对卡内静态信息的内部安全控制管理两部分。安全管理模块是COS极重要组成部分,该模块提供高安全性保证。应用管理模块:该模块主要是对接受命令进行可执行性判断。因智能卡的特性,它常常融于安全管理和文件管理之
26、中。文件管理模块:COS通过给每种应用建立对应文件的办法,实现对各项应用的存储及管理。用户通常不能创建或删除文件,但可酌情修改文件内容,对文件的记录和数据单元进行增加或删除。官方教材(第一版)P504 。故本题选D。点播:智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。智能卡的片内操作系统(COS)一般由四部分组成:通信管理模块和安全管理模块、应用管理模块和文件管理模块。16. 单选题无线传感器网络(WSN)是由部署在监测区域内大量的廉价微型传感器节点组成,通过无线通信方式形成的一个多跳的自组织网络系统。以下WSN标准中,不属于工业标准的是( )。问题
27、1选项A.ISA100.11aB.WIA-PAC.ZigbeeD.WirelessHART【答案】C【解析】本题考查无线传感器网络方面的基本知识。工业无线标准ISA100.11a、 面向工业过程自动化的工业无线网络标准技术WIA-PA和WirelessHART无线通信标准均属于工业标准,紫峰协议Zigbee不属于工业标准。17. 单选题SSL协议(安全套接层协议)是Netscape公司推出的一种安全通信协议,以下服务中,SSL协议IPSec属于( )的安全解决方案。问题1选项A.用户和服务器的合法性认证服务B.加密数据服务以隐藏被传输的数据C.维护数据的完整性D.基于UDP应用的安全保护【答案
28、A【解析】IPsec属于第三层网络层的安全解决方案。18. 单选题VPN即虚拟专用网,是一种依靠ISP和其他NSP在公用网络中建立专用的、安全的数据通信通道的技术。以下关于虚拟专用网VPN的描述中,错误的是( )。问题1选项A.VPN采用隧道技术实现安全通信B.第2层隧道协议L2TP主要由LAC和LNS构成C.IPSec 可以实现数据的加密传输D.点对点隧道协议PPTP中的身份验证机制包括RAP、CHAP、MPPE【答案】D【解析】本题考查虚拟专用网(VPN) 方面的基础知识。VPN的隧道协议主要有PPTP、L2TP和IPSec三种,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为
29、第二层隧道协议; IPSec是第三层隧道协议。PPTP通常可以搭配PAP、CHAP、MS-CHAPv1/v2 或EAP-TLS来进行身份验证。答案选D。19. 单选题下列关于数字签名说法中,正确的是( )。问题1选项A.验证和解密过程相同B.数字签名不可改变C.验证过程需要用户私钥D.数字签名不可信【答案】B【解析】本题考查数字签名方面的基础知识。数字签名是可信的、不容易被伪造的、不容抵赖的,而且是不可改变的。数字签名的验证与解密过程不同,验证过程需要用户的公钥。答案选B。20. 单选题无线局域网鉴别和保密体系WAPI是我国无线局域网安全强制性标准,以下关于WAPI的描述,正确的是( )。问题
30、1选项A.WAPI从应用模式上分为单点式、分布式和集中式B.WAPI与WIFI认证方式类似,均采用单向加密的认证技术C.WAPI包括两部分:WAI和WPI,其中WAI采用对称密码算法实现加、解密操作D.WAPI的密钥管理方式包括基于证书和基于预共享密钥两种方式【答案】D【解析】本题考查WAPI相关知识。WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。此外,WAPI 从应用模式上分为单点式和集中式两种,可以彻底扭转目前 WLAN 采用多种安全机制并存且互不兼容的现
31、状,从根本上解决安全问题和兼容性问题。与 WIFI的单向加密认证不同, WAPI 双向均认证,从而保证传输的安全性。WAPI包括两部分 WAI和WPI。WAI和WPI分别实现对用户身份的鉴别和对传输的业务数据加密,其中 WAI 采用公开密钥密码体制,利用公钥证书来对 WLAN 系统中的 STA 和 AP进行认证 WPI 则采用对称密码算法实现对 MAC 层 MSDU 的加、解密操作。WAPI 鉴别及密钥管理的方式有两种,即基于证书和基于预共享密钥 PSK。若采用基于证书的方式,整个过程包括证书鉴别、单播密钥协商与组播密钥通告;若采用预共享密钥的方式,整个过程则为单播密钥协商与组播密钥通告。故本题选D。
免费区 
