2022软件水平考试-中级信息安全工程师考试全真模拟卷10（附答案带详解）

2022软件水平考试-中级信息安全工程师考试全真模拟卷（附答案带详解）1. 问答题：（2）网站安全策略要求网站的默认服务端口改成8081，远程计算机的IP地址为192.168.0.2，若要其可以访问网站服务器/www/admin资源。如何配置Apache相关文件以符合安全策略要求。答案： 本题解析：1.在httpd.conf文件中修改为：listen 80812.在access.conf中加入目录控制段。1.httpd.conf文件中修改http服务器的端口为8081.配置的基本语法是：语法：Listen IP-address:portnumber protocol默认的配置：Listen 80 修改为：Listen 80812.为了保证web服务器/www/admin目录的访问权限，需要在access.conf中加一个类似下面的目录控制段。注意不要将document root的位置设置为这个目录。这样，对于/www/admin只允许192.168.0.2可以访问，其他地址的访问都被拒绝。2. 问答题：某天，公司有一台电脑感染“勒索”病毒，网络管理员应采取（1）、（2）、（3）措施。（1）（3）备选答案：A.断开已感染主机的网络连接B.更改被感染文件的扩展名C.为其他电脑升级系统漏洞补丁D.网络层禁止 135/137/139/445 端口的 TCP 连接E.删除已感染病毒的文件答案： 本题解析：（1）（3）A、C、D合适的做法包括A、C、D3. 问答题：1.在信息安全规划和设计时，一般通过划分安全域实现业务的正常运行和安全的有效保障，结合该公司实际情况，数据中心应该合理地划分为 （1） （2）（3） 三个安全域。2.为了实现不同区域的边界防范和隔离，在图3-1的设备处应部署 （4） 设备，通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护，对攻击进行检测和阻断；在设备处应部署（5）设备，通过有效的访问控制策略，对数据库区域进行安全防护；在设备处应部署（6）设备，定期对数据中心内服务器等关键设备进行扫描，及时发现安全漏洞和威胁，可供修复和完善。答案： 本题解析：（1）核心数据域（2）核心业务域（3）安全管理域 注：（1）（3）不分位置。（4）WAF （5）防火墙（6）漏洞扫描或者威胁感知4. 问答题：公司为了防止生产网受到外部的网络安全威胁，安全策略要求生产网和外部网之间部署安全隔离装置，隔离强度达到接近物理隔离。请问:X最有可能代表的安全设备是什么？简要描述该设备的工作原理。答案： 本题解析：网闸网闸由两套各自独立的系统分别连接安全和非安全的网络，两套系统之间通过网闸进行信息摆渡，保证两套系统之间没有直接的物理通路。要达到生产网和外部网之间部署安全隔离装置，隔离强度达到接近物理隔离，只有部署网闸了。网闸和船闸类似，采用了“代理+摆渡”的方式。摆渡的思想是内网和外网物理隔离，分时读写网闸中的缓存区，间接实现信息交换；内/外网没有直接的网络连接，并且不能通过网络协议互相访问。网闸的“代理”可看成数据“拆卸”，拆除应用协议的“包头和包尾”，只保留数据部分，在内/外网之间只传递净数据。网闸由两套各自独立的系统分别连接安全和非安全的网络，两套系统之间通过网闸进行信息摆渡，保证两套系统之间没有直接的物理通路。在通信过程中，当存储介质与安全的网络连通时，断开与非安全网络连接；当与非安全网络连通时，断开与安全网络的连接；通过分时地使用两套系统中的数据通路进行数据交换，以达到隔离与交换的目的。5. 问答题：简述上述验证机制中，可能存在哪些安全风险？答案： 本题解析：1.认证协议中对票据有有效时间问题，因此要求各个设备时间同步。2.该协议没有考虑抗拒绝服务攻击的问题，因此可能遭受Dos类的攻击认证系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。如果某台主机的时间被更改，那么这台主机就无法使用Kerberos认证协议，如果服务器的时间发生了错误，那么整个Kerberos认证系统将会瘫痪。6. 问答题：公司拟购买云计算服务，并租用虚拟主机，请列举云计算的服务安全风险类型。答案： 本题解析：云服务安全风险有：云平台物理安全威胁、云平台服务安全威胁、云平台资源滥用威胁、云平台运维及内部威胁、数据残留、过度依赖、利用共享技术漏洞攻击等。7. 问答题：该协议中，用于给S服务和客户端通信提供会话密钥的是（2），用于各客户端和应用服务器端提供会话密钥的是（3）。答案： 本题解析：（2）AS服务器（3）TGS服务器AS服务器在验证用户的身份之后，生成随机密钥用于客户端与TGS之间的会话加密。TGS服务器在获得AS发过来的票据后，确认客户端与应用服务器之间的关系，生成随机密钥用于客户端与应用服务器之间的会话加密。8. 问答题：用户的身份认证是许多应用系统的第一道防线，身份识别对确保系统和数据的安全保密极及其重要。以下过程给出了实现用户B对用户A身份的认证过程。1.A-B：A2.B-A：B,Nbpk(A)3.A-B：h(Nb)此处A和B是认证的实体，Nb是一个随机值，pk(A)表示实体A的公钥，B,Nbpk(A)表示用A的公钥对消息B娜进行加密处理，h(Nb)表示用哈希算法h对Nb计算哈希值。【问题1】（5分）认证与加密有哪些区别？【问题2】（6分）（1）包含在消息2中的“Nb”起什么作用？（2）“Nb“的选择应满足什么条件？【问题3】（3分） 为什么消息3中的Nb要计算哈希值？ 【问题4】（4分） 上述协议存在什么安全缺陷？请给出相应的的解决思路。 答案： 本题解析：【问题一】认证和加密的区别在于：加密用以确保数据的保密性，阻止对手的被动攻击，如截取，窃听等；而认证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。 【问题二】（1） Nb是一个随机值，只有发送方B和A知道，起到抗重放攻击作用。（2） 应具备随机性，不易被猜测。 【问题三】哈希算法具有单向性，经过哈希值运算之后的随机数，即使被攻击者截获也无法对该随机数进行还原，获取该随机数Nb的产生信息。 【问题四】存在重放攻击和中间人攻击的安全缺陷；针对重放攻击的解决思路是加入时间戳、验证码等信息；针对中间人攻击的解决思路是加入身份的双向验证。9. 填空题：There are different ways to perform IP based DoS Attacks.The most common IP based DoS attack is that an attacker sends an extensive amount of connection establishment（）(e.g.TCP SYN requests)to establish hanging connections with the controller or a DPS.Such a way,the attacker can consume the network resources which should be available for legitimate users.In other（）,the attacker inserts a large amount of（）packets to the data plane by spoofing all or part of the header fields with random values.These incoming packets will trigger table-misses and send lots of packet-in flow request messages to the network controller to saturate the controller resources.In some cases,an（）who gains access to DPS can artificially generate lots of random packet-in flow request messages to saturate the control channel and the controller resources.Moreover,the lack of diversity among DPSs fuels fuels the fast propagation of such attacks. Legacy?mobile backhaul devices are inherently protected against the propagation of attacks due to complex and vendor specific equipment.Moreover,legacy backhaul devices do not require frequent communication with core control devices in a manner similar to DPSs communicating with the centralized controller.These features minimize both the impact and propagation of DoS attacks.Moreover,the legacy backhaul devices are controlled as a joint effort of multiple network element.For instance,a single Long Term Evilution（LTE）eNodeB?is connected up to 32 MMEs.Therefore,DoS/DDoS attack on a single core element will not terminate the entire operation of a backhaul device（）the network.问题1选项A.messageB.informationC.requestD.date问题2选项A.methodsB.casesC.handsD.sections问题3选项A.badB.casesC.fakeD.new问题4选项A.orB.administratorC.editorD.attacker问题5选项A.orB.ofC.inD.to答案：CBCDA 本题解析：暂无解析10. 问答题：只有系统验证用户的身份，而用户不能验证系统的身份，这种模式不全面。为确保安全，用户和系统应能相互平等的验证对方的身份。假设A和B是对等实体，需要进行双方身份验证。所以，需要事先约定好并共享双方的口令。但A要求与B通信时，B要验证A的身份，往往遇到如下限制：（1）首先A向B出示，表示自己身份的数据。（2）但A尚未验证B的身份（3）A不能直接将口令发送给B。反之，B要求与A通信也存在上述问题。【问题1】可以构建口令的双向对等验证机制解决上述问题，设PA、PB为A、B的共享口令，RA、RB为随机数，f为单向函数。假定A要求与B通信，则A和B可如下过程，进行双向身份认证：1. A B：RA（1）2. BA：f(PB|RA)| RB（2）3. A用f对自己保存的PB和RA 进行加密，与接收到的f (PB| RA)进行比较。如果两者相等，则A确认B的身份是真实的执行第4步，否则认为B的身份是不真实的。4. AB：f(PA|RB) （3）5. B用f对自己保存的PA和RB 进行加密，并与接收到的f (PA|RB)进行比较。若两者相等，则B确认A的身份是真实的，否则认为A的身份是不真实的。请对上述过程进行解释【问题2】简述上述验证机制中，单向函数f的作用。为了防止重放攻击，上述过程，还应该如何改进？【问题3】 执行以下两条语句HTTP:/xxx.xxx.xxx/abc.aspp=YYand (select count(*) from sysobjects)小于0 HTTP:/xxx.xxx.xxx/abc.aspp=YY and (select count(*) from msysobjects)小于0如果第一条语句访问abc.asp运行正常，第二条异常，则说明？【问题4】简述常见的黑客攻击过程。【问题5】Sniffer需要捕获到达本机端口的报文。如想完成监听，捕获网段上所有的报文，则需要将本机网卡设置为（1）。答案： 本题解析：【问题1】（1）A首先选择随机数RA并发送给B。（2）B收到RA后，产生随机数RB。使用单向函数f对PB和RA进行加密得到f (PB|RA)，并连同RB一起发送给A。（3）A利用单向函数f对PA和RB 进行加密，发送给B。【问题2】由于f是单向函数，黑客拿到f (PA|RA)和RA不能推导出PA ；拿到f (PB|RB)和RB也不能推导出PB。为了预防重放攻击，可在f (PB|RA)和f (PA|RB)中加入时间变量或者时间戳。【问题3】后台数据库为SQL-SERVER。【问题4】（1）目标探测和信息攫取：分析并确定攻击目标，收集目标的相关信息。（2）获得访问权：通过窃听或者攫取密码、野蛮攻击共享文件、缓冲区溢出攻击得到系统访问权限。（3）特权提升：获得一般账户后，提升并获得更高权限。（4）窃取：获取、篡改各类敏感信息。（5）掩盖踪迹：比如清除日志记录。（6）创建后门：部署陷阱或者后门，方便下次入侵。【问题5】混杂模式。【问题1】假定A要求与B通信，则A和B可如下过程，进行双向身份认证：1. AB：RAA首先选择随机数RA并发送给B2. B A：f(PB|RA)| RBB收到RA后，产生随机数RB。使用单向函数f对PB和RA进行加密得到f (PB|RA)，并连同RB一起发送给A。3. A用f对自己保存的PB和RA 进行加密，与接收到的f (PB |RA)进行比较。如果两者相等，则A确认B的身份是真实的执行第4步，否则认为B的身份是不真实的。4. AB：f(PA|RB) （3）A利用单向函数f对PA和RB进行加密，发送给B。5. B用f对自己保存的PA和RB 进行加密，并与接收到的f (PA |RB)进行比较。若两者相等，则B确认A的身份是真实的，否则认为A的身份是不真实的。【问题2】由于f是单向函数，黑客拿到f (PA| RA)和RA不能推导出PA ；拿到f (PB|RB)和RB也不能推导出PB。所以在上述双向口令验证机制中，出现假冒者的一方，也不能骗到对方的口令。为了预防重放攻击，可在f (PB|RA)和f (PA|RB)中加入时间变量或者时间戳。【问题3】利用系统表 ACCESS的系统表是msysobjects，且在Web环境下没有访问权限，而SQL-SERVER的系统表是sysobjects，在WEB环境下有访问权限。对于以下两条语句： HTTP:/xxx.xxx.xxx/abc.aspp=YY and (select count(*) from sysobjects)小于0 HTTP:/xxx.xxx.xxx/abc.aspp=YY and (select count(*) from msysobjects)小于0 若数据库是SQL-SERVER，则第一条，abc.asp一定运行正常，第二条则异常；若是ACCESS则两条都会异常。【问题5】Sniffer主要是捕获到达本机端口的报文。如果要想完成监听，即捕获网段上所有的报文，前提条件是： 网络必须是共享以太网。 把本机上的网卡设置为混杂模式。