2022年软考-信息安全工程师考试题库及全真模拟冲刺卷（含答案带详解）套卷52

2022年软考-信息安全工程师考试题库及全真模拟冲刺卷（含答案带详解）1. 单选题报文内容认证使接收方能够确认报文内容的真实性，产生认证码的方式不包括（ ）。问题1选项A.报文加密B.数字水印C.MACD.HMAC【答案】B【解析】本题考查消息认证码方面的基础知识。产生认证码的方法有以下三种：报文加密;消息认证码(MAC);基于hash函数的消息认证码(HMAC)。答案选B。2. 单选题如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决，就认为相应的密码体制是（ ）的。问题1选项A.计算安全B.可证明安全C.无条件安全D.绝对安全【答案】B【解析】本题考查密码体制安全性分类。衡量密码体制安全性的基本准则有以下三种：（1）计算安全的：如果破译加密算法所需要的计算能力和计算时间是现实条件所不具备的，那么就认为相应的密码体制是满足计算安全性的。这意味着强力破解证明是安全的，即实际安全。（2）可证明安全的：如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决，就认为相应的密码体制是满足可证明安全性的。这意味着理论保证是安全的。（3）无条件安全的：如果假设攻击者在用于无限计算能力和计算时间的前提下，也无法破译加密算法，就认为相应的密码体制是无条件安全性的。这意味着在极限状态上是安全的。故本题选B。点播：密码体制是完成加密和解密的算法。通常，数据的加密和解密过程是通过密码体制、密钥来控制的。密码体制必须易于使用，特别是应当可以在微型计算机使用。密码体制的安全性依赖于密钥的安全性，现代密码学不追求加密算法的保密性，而是追求加密算法的完备。世界上不存在绝对安全的密码。3. 单选题安全电子交易协议SET中采用的公钥密码算法是RSA，采用的私钥密码算法是DES，其所使用的DES有效密钥长度是（ ）。问题1选项A.48 位B.56 位C.64 位D.128 位【答案】B【解析】本题考查DES算法DES是一个分组密码算法，能够支持64比特的明文块加密，其密钥长度为56比特，即56位。故本题选B。点播：DES是世界上应用最广泛的密码，但是随着计算机系统运算速度的增加和网络计算的进行，在有限的时间内进行大量的运算将变得更可行，因此DES56比特的密钥长度已不足以保证密码系统的安全。NIST于1999年10月25日采用三重DES（TDEA）作为过渡期间的国家标准，以增强DES的安全性。4. 案例题阅读下列说明，回答问题1至问题8，将解答填入答题纸的对应栏内。【说明】密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类:对称密码算法和非对称密码算法。此外，密码技术还用于信息鉴别、数据完整性检验、数字签名等。【问题1】(3分)信息安全的基本目标包括：真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。密码学的三大安全目标C.I.A分别表示什么?【问题2】(3分)RSA公钥密码是一种基于大整数因子分解难题的公开密钥密码。对于RSA密码的参数：p,q,n,p(n),e,d，哪些参数是可以公开的?【问题3】(2分)如有RSA密码算法的公钥为（55，3） ，请给出对小王的年龄18进行加密的密文结果。【问题4】(2分)对于RSA密码算法的公钥（55，3），请给出对应私钥。【问题5】(2分)在RSA公钥算法中，公钥和私钥的关系是什么?【问题6】(2分)在RSA密码中，消息m的取值有什么限制?【问题7】(3 分)是否可以直接使用RSA密码进行数字签名？如果可以，请给出消息m的数字签名计算公式。如果不可以，请给出原因。【问题8】(3分)上述RSA签名体制可以实现问题1所述的哪三个安全基本目标?【答案】【问题1】保密性、完整性、可用性。【问题2】n, e【问题3】【问题4】（55，27）【问题5】eXd=1 mod (n)；一个加密另一个可以解开；从一个密钥无法推导出另一个。【问题6】消息m的十进制表示值小于n的值。【问题7】可以。签名：用私钥加密；验证：用公钥解密。签名=memodn【问题8】真实性、保密性、完整性【解析】本题考查公钥密码算法RSA的基本原理及其加解密过程。此类题目要求考生对常见的密码算法及其应用有清晰的了解。【问题1】CIA分别表示单词Confidentiality、Integrity 和Availability,也就是保密性、完整性和可用性三个安全目标的缩写。【问题2】RSA密码是基于大数分解难题，RSA密码的参数主要有: p,q,n,p(n),e,d, 其中模数n=pXq, q(m)=(p-1)X(q-1), eXd=lmod o(n),由这些关系，只有n和e作为公钥是可以公开的，其他的任何一个参数泄露，都会导致私钥泄露。【问题3】根据RSA加密算法，密文c= 183 mod 55=2。【问题4】根据n=55，可知p=lI, g=5，o(n)=-40， 由e=3，可得到d=27时满足eXd=lmod40,因此私钥为(55, 27)。【问题5】公钥密码体制有两个密钥，一个是公钥，一个是私钥。其中一个用于加密，可以用另一个解密。【问题6】消息m所表示的10进制值不能大于模数n的值，否则将导致解密有误。【问题7】使用RSA可以进行数字签名，直接用私钥对消息进行加密即可，其他人可以用对应的公钥进行解密并验证签名。签名公式就是消息的加密公式。签名=m mod n【问题8】RSA签名体制的私钥签名确保消息的真实性，RSA加密提高保密性，哈希计算提高完整性。5. 单选题下面对国家秘密定级和范围的描述中，不符合中华人民共和国保守国家秘密法要求的是（ ）。问题1选项A.对是否属于国家和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案B.各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围C.国家秘密及其密级的具体范围，由国家行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定D.对是否属于国家和属于何种密级不明确的事项，由国家保密行政管理部门，或省、自治区、直辖市的保密行政管理部门确定【答案】A【解析】本题考查中华人民共和国保守国家秘密法相关知识。国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定。各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级。对是否属于国家秘密和属于何种密级不明确的事项，产生该事项的机关、单位无相应确定密级权的，应当及时拟定密级，并在拟定密级后的十日内依照下列规定申请确定密级：（一）属于主管业务方面的事项，逐级报至国家保密工作部门审定的有权确定该事项密级的上级机关；（二）其他方面的事项，逐级报至有权确定该事项密级的保密工作部门。故本题选A。点播：中华人民共和国保守国家秘密法于1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过，2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订通过，现将修订后的中华人民共和国保守国家秘密法公布，自2010年10月1日起施行。旨在保守国家秘密，维护国家安全和利益，保障改革开放和社会主义建设事业的顺利进行。6. 案例题阅读下列说明和表，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】防火墙类似于我国古代的护城河，可以阻挡敌人的进攻。在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙通过使用各种安全规则来实现网络的安全策略。防火墙的安全规则由匹配条件和处理方式两个部分共同构成。网络流量通过防火墙时，根据数据包中的某些特定字段进行计算以后如果满足匹配条件，就必须采用规则中的处理方式进行处理。【问题1】（5分）假设某企业内部网（202.114.63.0/24）需要通过防火墙与外部网络互连，其防火墙的过滤规则实例如表4.1所示。表中“*”表示通配符，任意服务端口都有两条规则。请补充表4.1中的内容（1）和（2），并根据上述规则表给出该企业对应的安全需求。【问题2】（4分）一般来说，安全规则无法覆盖所有的网络流量。因此防火墙都有一条默认（缺省）规则，该规则能覆盖事先无法预料的网络流量。请问缺省规则的两种选择是什么？【问题3】（6分）请给出防火墙规则中的三种数据包处理方式。【问题4】（4分）防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面的内容：服务控制、方向控制、用户控制和行为控制。请问表4.1中，规则A涉及访问控制的哪几个方面的内容？【答案】【问题1】（1）53 （2）丢弃或Drop其安全需求为：（1）允许内部用户访问外部网络的网页服务器；（2）允许外部用户访问内部网络的网页服务器 （202.114.64.125）；（3）除 1和2 外，禁止其他任何网络流量通过该防火墙。【问题2】 （1）默认拒绝：一切没有被允许的就是禁止的； （2）默认允许：一切没有被禁止的就是允许的。【问题3】（1）Accept：允许数据包或信息通过；（2）Reject ：拒绝数据包或信息通过，并且通知信息源该信息被禁止；（3）Drop：直接将数据包或信息丢弃，并且不通知信息源。【问题4】 服务控制和方向控制。 【解析】【问题1】规则 A 和 B 允许内部用户访问外部网络的网页服务器。规则 C 和 D 允许外部用户访问内部网络的网页服务器。规则 E 和 F 允许内部用户访问域名服务器。规则 G 是缺省拒绝的规则。规则E中目的端口为53；规则G中动作为Drop。其安全需求为：允许内部用户访问外部网络的网页服务器；允许外部用户访问内部网络的网页服务器 （202.114.64.125）；除 1 和 2 外，禁止其他任何网络流量通过该防火墙。【问题2】缺省规则有两种选择：默认拒绝或者默认允许。默认拒绝是指一切未被允许的就是禁止的，其安全规则的处理方式一般为 Accept；默认允许是指一切未被禁止的就是允许的。其安全规则的处理方式一般为 Reject 或 Drop。 【问题3】 防火墙规则中的处理方式主要包括以下几种：（1）Accept：允许数据包或信息通过。（2）Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止。（3）Drop：直接将数据包或信息丢弃，并且不通知信息源。【问题4】防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面或层次的内容：（1）服务控制：决定哪些服务可以被访问，无论这些服务是在内部网络还是在外部网络。常见的网络服务有邮件服务、网页服务、代理服务、文件服务等，这些服务往往是系统对外的功能。在计算机网络中，服务往往就是指 TCP/IP协议中的端口值，如 25 是指 SMTP 服务，110是指 POP3 服务，80是指网页服务等。当然，服务控制也包括服务的位置控制，如 E 地址。（2）方向控制：决定在哪些特定的方向上服务请求可以被发起并通过防火墙，也就是服务是位于内部网络还是外部网络。通过规则控制，可以限定一个方向的服务，也可以同时限定两个方向的服务。（3）用户控制：决定哪些用户可以访问特定服务。该技术既可以应用于防火墙网络内部的用户（本地用户），也可以被应用到来自外部用户的访问。可以采用用户名、主机的 IP、主机的 MAC 等标识用户。（4）行为控制：决定哪些具体的服务内容是否符合安全策略。如防火墙可以通过过滤邮件来清除垃圾邮件，以及网络流量中是否含有计算机病毒、木马等恶意代码。规则A只规定了内部网访问外部网络的80端口的特定服务的过滤规则，设计服务控制和方向控制。7. 案例题阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】代码安全漏洞往往是系统或者网络被攻破的头号杀手。在C语言程序开发中，由于C语言自身语法的一些特性，很容易出现各种安全漏洞。因此，应该在C程序开发中充分利用现有开发工具提供的各种安全编译选项，减少出现漏洞的可能性。【问题1】(4分)图5-1给出了一段有漏洞的C语言代码（注：行首数字是代码行号），请问，上述代码存在哪种类型的安全漏洞？该漏洞和C语言数组的哪一个特性有关？【问题2】(4分)图5-2给出了C程序的典型内存布局，请回答如下问题。（1）请问图5-1的代码中第9行的变量authenticated保存在图5-2所示的哪个区域中?（2）请问stack的两个典型操作是什么?（3）在图5-2中的stack区域保存数据时，其地址增长方向是往高地址还是往低地址增加?（4）对于图5-1代码中的第9行和第10行代码的两个变量，哪个变量对应的内存地址更高?【问题3】(6分)微软的Visual Studio 提供了很多安全相关的编译选项，图5-3给出了图5-1中代码相关的工程属性页面的截图。请回答以下问题。（1）请问图5-3中哪项配置可以有效缓解上述代码存在的安全漏洞?（2）如果把图5-1中第10行代码改为charbuffer4;图5-3的安全编译选项是否还起作用?（3）模糊测试是否可以检测出上述代码的安全漏洞?【答案】【问题1】缓冲区（栈） 溢出。不对数组越界进行检查。【问题2】（1）stack（2）push和pop或者压栈和弹栈（3）高地址（4）第9行或者authenticated变量【问题3】（1）Enable Security Check(/GS)（2）不起作用（3）可以检测出漏洞【解析】本题考查软件安全的漏洞类型以及安全开发的知识，是关于代码安全的问题。【问题1】这类漏洞是由于函数内的本地变量溢出造成的，而本地变量都位于堆栈区域，因此这类漏洞一般称为栈溢出漏洞。主要是因为C语言编译器对数组越界没有进行检查导致的。【问题2】第9行的变量authenticated同样是本地变量，因此位于堆栈(stack) 区域。堆栈结构常见的操作就是push和pop。在数据往堆栈区域写时，都是往高地址写的。在入栈时，则是第9行的变量先入栈在高地址，后续的第10行代码对应的变量buffer后入栈在低地址，因此第9行的变量在高地址。只有这样在往buffer 数组拷贝过多的数据时，才会覆盖掉后续的authenticated变量。【问题3】微软的Visual Studio编译器提供了很多的安全编译选项，可以对代码进行安全编译，例如图中Enable Security Check(/GS)可以在栈中添加特殊值，使得一旦被覆盖就会导致异常，从而增加漏洞利用难度。该编译选项针对小于等于4个字节的数组不起保护作用。模糊测试通过发送不同长度的数据给buffer, 可能导致覆盖后续变量和指针值，导致程序异常从而触发监测，因此采用模糊测试的方法是可以检测出此类漏洞的。8. 单选题2019年10月26日，十三届全国人大常委会第十四次会议表决通过了中华人民共和国密码法，该法律自（ ）起施行。问题1选项A.2020年10月1日B.2020年12月1日C.2020年1月1日D.2020年7月1日【答案】C【解析】本题考查网络安全法律法规的相关知识。中华,人民共和国密码法由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过，自2020年1月1日起施行。答案选C。9. 单选题分组密码常用的工作模式包括：电码本模式（ECB模式）、密码反馈模式（CFB模式），密码分组链接模式（CBC模式），输出反馈模式（OFB模式）。下图描述的是（ ）模式（图中Pi表示明文分组，Ci表示密文分组）问题1选项A.ECB模式B.CFB模式C.CBC模式D.OFB模式【答案】B【解析】本题考查分组密码操作模式相关知识。分组加密算法中，有ECB，CBC，CFB，OFB这几种算法模式。ECB（电子密本方式）其实非常简单，就是将数据按照8个字节一段进行DES加密或解密得到一段8个字节的密文或者明文，最后一段不足8个字节，按照需求补足8个字节进行计算，之后按照顺序将计算所得的数据连在一起即可，各段数据之间互不影响。CBC（密文分组链接方式）有点麻烦，它的实现机制使加密的各段数据之间有了联系。不容易主动攻击，安全性好于ECB。CFB（密文反馈模式 ）类似于CBC，可以将块密码变为自同步的流密码；工作过程亦非常相似，CFB的解密过程几乎就是颠倒的CBC的加密过程。OFB（输出反馈模式 ）可以将块密码变成同步的流密码。它产生密钥流的块，然后将其与平文块进行异或，得到密文。与其他流密码一样，密文中一个位的翻转会使平文中同样位置的位也产生翻转。这种特性使得许多错误校正码，例如奇偶校验位，即使在加密前计算而在加密后进行校验也可以得出正确结果。（详见信息安全工程师教程第一版P108）故本题选B。10. 单选题在我国，依据中华人民共和国标准化法可以将标准划分为：国家标准、行业标准、地方标准和企业标准4个层次。信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）属于（ ）。问题1选项A.国家标准B.行业标准C.地方标准D.企业标准【答案】A【解析】本题考查我国的标准体系相关知识。GB属于国家标准。我国标准体制目前分为四级：国家标准、行业标准、地方标准和企业标准。国家标准的代号是GB，国家推荐性标准为GB/T，其他级别的推荐性标准类似。行业标准有70个左右，代号都是两个（拼音）字母。地方标准的代号是DBXX，如DB44是广东地方标准，DB35/T是福建推荐性标准等。企业标准代号的标准格式是 Q/XX，XX也可以是三位，一般不超过四位，由企业自己定。故本题选A。点播：国家强制标准：GB国家推荐标准：GB/T国家指导标准：GB/Z国家实物标准：GSB11. 单选题Web服务器也称为网站服务器，可以向浏览器等Web客户端提供文档，也可以放置网站文件和数据文件。目前最主流的三个Web服务器是Apache. Nginx. IIS。Web服务器都会受到HTTP协议本身安全问题的困扰，这种类型的信息系统安全漏洞属于（ ）。问题1选项A.设计型漏洞B.开发型漏洞C.运行型漏洞D.代码型漏洞【答案】A【解析】本题考查信息系统安全漏洞方面的基础知识。一般设计人员制定协议时，通常首先强调功能性，而安全性问题则是到最后一刻、甚至不列入考虑范围。上述漏洞是由HTTP协议本身设计上所存在的安全问题，所以它是设计型漏洞。答案选A。12. 单选题文件加密就是将重要的文件以密文形式存储在媒介上，对文件进行加密是一种有效的数据加密存储技术。以下文件加密系统，基于Windows系统的是（ ）。问题1选项A.AFSB.TCFSC.CFSD.EFS【答案】D【解析】本题考查文件加密的相关知识。加密文件系统（Encrypting File System，EFS）是Windows2000及以上Windows版本中，磁盘格式为NTFS的文件加密。CFS、TCFS、AFS都是基于Linux系统的文件加密系统。故本题选D。点播：加密技术是恶意代码进行自我保护的手段之一，再配合反跟踪技术的使用，让分析者不能正常调试和阅读恶意代码，无法获得恶意代码的工作原理，自然也不能抽取特征串。从加密的内容上划分，加密手段有三种，即信息加密、数据加密和程序代码加密。 Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE 13. 单选题从网络安全的角度看，网络安全防护系统的设计与实现必须遵守一些基本原则，其中要求网络安全防护系统是一个多层安全系统，避免成为网络中的“单失效点”，要部署有多重防御系统，该原则是（ ）。问题1选项A.纵深防御原则B.木桶原则C.最小特权原则D.最小泄露原则【答案】A【解析】本题考查网络安全的基本设计原则。纵深防御原则要求将安全性应用于网络的不同层，其工作原理是为每个层提供不同类型和程度的保护，以提供多点攻击防护。木桶原理”是指整体安全水平由安全级别最低的部分所决定。最小特权原则是指应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。最小泄露原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权利。答案选A。14. 单选题蠕虫是一类可以独立运行、并能将自身的一个包含了所有功能的版本传播到其他计算机上的程序。网络蠕虫可以分为:漏洞利用类蠕虫、口令破解类蠕虫、电子邮件类蠕虫、P2P类蠕虫等。以下不属于漏洞利用类蠕虫的是（ ）。问题1选项A.CodeRedB.SlammerC.MSBlasterD.IRC-worm【答案】D【解析】本题考查恶意代码中蠕虫方面的基础知识。漏洞利用类蠕虫包括2001年的红色代码(CodeRed)和尼姆达(Nimda)、 2003 年的蠕虫王(Slammer)和冲击波(MSBlaster). 2004年的震荡波( Sasser).2005年的极速波(Zotob)、2006年的魔波(MocBot)、2008 年的扫荡波(Saodangbo). 2009年的飞客(Conficker)、 2010年的震网(StuxNet) 等。IRC-worm 属于IRC类蠕虫。15. 单选题在PKI中，关于RA的功能，描述正确的是（ ）。问题1选项A.RA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方机构B.RA负责产生，分配并管理PKI结构下的所有用户的数字证书，把用户的公钥和用户的其他信息绑在一起，在网上验证用户的身份C.RA负责证书废止列表CRL的登记和发布D.RA负责证书申请者的信息录入，审核以及证书的发放等任务，同时，对发放的证书完成相应的管理功能【答案】D【解析】本题考查CA机构相关知识。CA（Certification Authority）是一个可信赖的第三方认证机构，也是证书授权机构。主要负责证书的颁发、废止和更新。证书中含有实体名、公钥以及实体的其他身份信息。RA（Registration Authority），数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作（安全审计）。同时，对发放的证书完成相应的管理功能（安全管理）。故本题选D。16. 单选题蜜罐技术是一种主动防御技术，是入侵检测技术的一个重要发展方向。蜜罐有四种不同的配置方式：诱骗服务、弱化系统、强化系统和用户模式服务器，其中在特定IP服务端口进行侦听，并对其他应用程序的各种网络请求进行应答，这种应用程序属于（ ）。问题1选项A.诱骗服务B.弱化系统C.强化系统D.用户模式服务器【答案】A【解析】本题考查蜜罐安全技术。诱骗服务：是指在特定IP服务端口上进行侦听，并像其他应用程序那样对各种网络请求进行应答的应用程序。通常只有攻击者才会去访问蜜罐，正常用户是不知道蜜罐的存在的。弱化系统：配置有已知弱点的操作系统，恶意攻击者更容易进入系统，系统可以收集有关攻击的数据。强化系统：对弱化系统配置的改进。用户模式服务器：是一个用户进程运行在主机上，并模拟成一个功能健全的操作系统，类似用户通常使用的操作系统。答案选A。17. 单选题PKI中撤销证书是通过维护一个证书撤销列表CRL来实现的。以下不会导致证书被撤销的是（ ）。问题1选项A.密钥泄漏B.系统升级C.证书到期D.从属变更【答案】B【解析】本题考查PKI相关知识。每个证书都有一个有效使用期限，有效使用期限的长短由 CA 的政策决定。有效使用期限到期的证书应当撤销。证书的公钥所对应的私钥泄露，或证书的持证人死亡，证书的持证人严重违反证书管理的规章制度等情况下也要撤销证书。故本题选B。点播：公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台，它提供了一种系统化的、可扩展的、统一的、可控制的公钥分发方法。和证书的签发一样， 证书的撤销也是一个复杂的过程。证书的撤销要经过申请、批准、撤销三个过程。18. 单选题APT攻击是一种以商业或者政治目的为前提的特定攻击，其中攻击者采用口令窃听、漏洞攻击等方式尝试进一步入侵组织内部的个人电脑和服务器，不断提升自己的权限，直至获得核心电脑和服务器控制权的过程被称为（ ）。问题1选项A.情报收集B.防线突破C.横向渗透D.通道建立【答案】C【解析】本题考查APT攻击相关知识。一般APT攻击过程可概括为3个阶段：攻击前准备阶段、攻击入侵阶段和持续攻击阶段，又可细分为 5 个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。1.情报收集：在实施攻击之前，攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样，通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站，甚至通过某些渠道购买相关信息（如公司通讯录等）。2.防线突破：攻击者在完成情报收集和技术准备后，开始采用木马/恶意代码攻击特定员工的个人电脑，攻击方法主要有：社会工程学方法，如电子邮件攻击，攻击者窃取与特定员工有关系的人员（如领导、同事、朋友等）电子邮箱，冒充发件人给该员工发送带有恶意代码附件的邮件，一旦该员工打开邮件，员工电脑便感染了恶意软件。远程漏洞攻 击方法，如网站挂马攻击，攻击者在员工常访问的网站上放置木马，当员工再次访问该 网站时，个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理，因此现有的杀毒软件和防火墙均无法察觉，攻击者便能逐渐获取个人电脑权限，最后直至控制个人电脑。3.通道建立：攻击者在突破防线并控制员工电脑后，在员工电脑与入侵服务器之间开始建立命令控制通道。通常，命令控制通道采用 HTTP/HTTPS 等协议构建，以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立，攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀，并在恶意软件被安全软件检测到前，对恶意软件进行版本升级，以降低被发现的概率。4. 横向渗透：入侵和控制员工个人电脑并不是攻击者的最终目的，攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权。5. 信息收集及外传：攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服 务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识别，并做出最终的判断，甚至实施网络攻击破坏。故本题选C。点播：高级持续威胁（简称APT）通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档，或单机某个指向恶意站点的连接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图。19. 单选题等级保护制度已经被列入国务院关于加强信息安全保障工作的意见之中。以下关于我国信息安全等级保护内容描述不正确的是（ ）。问题1选项A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护B.对信息系统中使用的信息安全产品实行按等级管理C.对信息系统中发生的信息安全事件按照等级进行响应和处置D.对信息安全从业人员实行按等级管理，对信息安全违法行为实行按等级惩处【答案】D【解析】本题考查等级保护制度的基础知识。国家通过制定统一的信息安全等级保护管理规范和技术指标，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。因此等级保护制度是对信息进行分级管理，并没有对人员进行按等级管理，包括违法行为也是一样的。故本题选D。点播：信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。20. 单选题重放攻击是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。下列技术中，不能抵御重放攻击的是（ ）。问题1选项A.序号B.明文填充C.时间戳D.Nonce【答案】B【解析】本题考查网络协议重放攻击方面的基础知识。Nonce是Number used once的缩写，Nonce 是一个只被使用一次的任意 或非重复的随机数值，它与时间戳、序号都是能够预防重放攻击的。明文填充方式不能抵御重放攻击。答案选B。