2022软件水平考试-中级信息安全工程师考试全真模拟卷36（附答案带详解）

2022软件水平考试-中级信息安全工程师考试全真模拟卷（附答案带详解）1. 问答题：问题4】网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生，其常见的网络威胁包括拒绝服务、病毒、木马、 (18) 等， 常见的网络安全防范措施包括访问控制、身份认证、数字签名、 (19) 、 包过滤和检测等。(18)备选: A.数据完整性破坏 B.物理链路破坏 C.存储介质破坏 D.电磁干扰(19)备选: A.数据备份 B.电磁防护 C.违规外联控制 D.数据加密答案： 本题解析：（18）A （19）D=mso-spacerun:yes;font-family:宋体;mso-bidi-font-family:Times New Roman; font-size:10.5000pt;mso-font-kerning:1.0000pt; 小于18空根据题干的并列项都是针对数据的相关攻击，而BCD都是物理层的安全威胁。19空类似。2. 问答题：为了提升公司主机系统的安全性，可以检测网络上主机的开放端口号、主机的操作系统类型以及提供的网络服务等信息，可以是用的工具是（ ）。答案： 本题解析：网络扫描器网络扫描器是用于检测网络上主机的开放端口号、主机的操作系统类型以及提供的网络服务等信息，可以帮助管理员解决一些安全隐患，提升系统安全。典型的如NMAP、SuperScan等3. 问答题：公司的防火墙是否能有效地保护公司网络安全？为什么？答案： 本题解析：不能。理由：防火墙不能防止内部发起的攻击；防火墙不能防止应用层的攻击防火墙不能防止内部发起的攻击；防火墙不能防止应用层的攻击。4. 问答题：入侵检测系统常用的两种检测技术是异常检测和误用检测，请简述两种检测技术的原理答案： 本题解析：（1）异常检测：也称基于行为的检测，把用户习惯行为特征存入特征库，将用户当前行为特征与特征数据库中存放的特征比较，若偏差较大，则认为出现异常。（2）误用检测：通常由安全专家根据对攻击特征、系统漏洞进行分析形成攻击模式库，然后手工的编写相应的检测规则、特征模型异常检测方法是指通过计算机或网络资源统计分析，建立系统正常行为库，然后与系统运行行为相比较，判断是否入侵。误用入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。5. 填空题：There are different ways to perform IP based DoS Attacks.The most common IP based DoS attack is that an attacker sends an extensive amount of connection establishment（）(e.g.TCP SYN requests)to establish hanging connections with the controller or a DPS.Such a way,the attacker can consume the network resources which should be available for legitimate users.In other（）,the attacker inserts a large amount of（）packets to the data plane by spoofing all or part of the header fields with random values.These incoming packets will trigger table-misses and send lots of packet-in flow request messages to the network controller to saturate the controller resources.In some cases,an（）who gains access to DPS can artificially generate lots of random packet-in flow request messages to saturate the control channel and the controller resources.Moreover,the lack of diversity among DPSs fuels fuels the fast propagation of such attacks. Legacy?mobile backhaul devices are inherently protected against the propagation of attacks due to complex and vendor specific equipment.Moreover,legacy backhaul devices do not require frequent communication with core control devices in a manner similar to DPSs communicating with the centralized controller.These features minimize both the impact and propagation of DoS attacks.Moreover,the legacy backhaul devices are controlled as a joint effort of multiple network element.For instance,a single Long Term Evilution（LTE）eNodeB?is connected up to 32 MMEs.Therefore,DoS/DDoS attack on a single core element will not terminate the entire operation of a backhaul device（）the network.问题1选项A.messageB.informationC.requestD.date问题2选项A.methodsB.casesC.handsD.sections问题3选项A.badB.casesC.fakeD.new问题4选项A.orB.administratorC.editorD.attacker问题5选项A.orB.ofC.inD.to答案：CBCDA 本题解析：暂无解析6. 问答题：用户的身份认证是许多应用系统的第一道防线，身份识别对确保系统和数据的安全保密极及其重要。以下过程给出了实现用户B对用户A身份的认证过程。1.A-B：A2.B-A：B,Nbpk(A)3.A-B：h(Nb)此处A和B是认证的实体，Nb是一个随机值，pk(A)表示实体A的公钥，B,Nbpk(A)表示用A的公钥对消息B娜进行加密处理，h(Nb)表示用哈希算法h对Nb计算哈希值。【问题1】（5分）认证与加密有哪些区别？【问题2】（6分）（1）包含在消息2中的“Nb”起什么作用？（2）“Nb“的选择应满足什么条件？【问题3】（3分） 为什么消息3中的Nb要计算哈希值？ 【问题4】（4分） 上述协议存在什么安全缺陷？请给出相应的的解决思路。 答案： 本题解析：【问题一】认证和加密的区别在于：加密用以确保数据的保密性，阻止对手的被动攻击，如截取，窃听等；而认证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。 【问题二】（1） Nb是一个随机值，只有发送方B和A知道，起到抗重放攻击作用。（2） 应具备随机性，不易被猜测。 【问题三】哈希算法具有单向性，经过哈希值运算之后的随机数，即使被攻击者截获也无法对该随机数进行还原，获取该随机数Nb的产生信息。 【问题四】存在重放攻击和中间人攻击的安全缺陷；针对重放攻击的解决思路是加入时间戳、验证码等信息；针对中间人攻击的解决思路是加入身份的双向验证。7. 问答题：简述入侵检测系统部署过程。答案： 本题解析：入侵检测系统部署过程如下：第一步，确定监测对象、网段；第二步，依据对应的安全需求，制定安全检测策略；第三步，依据安全检测策略，选定IDS结构；第四步，在检测对象、网段上，安装IDS探测器采集信息；第五步，配置IDS；第六步，验证安全检测策略是否正常；第七步，运维IDS入侵检测系统部署过程简单来说就是一个制订策略，部署配置设备、测试策略、运维设备的过程。8. 问答题：NMap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。【问题1】命令nmap -sS 10.0.0.1表示的含义是？（2分）【问题2】简述这类扫描的过程。（3分）简述这类扫描的优点。（3分）【问题3】如何检测SYN flooding攻击？（2分）答案： 本题解析：【问题1答案】nmap -sS 10.0.0.1表示对主机10.0.0.1进行SYN扫描。【问题2答案】TCP SYN扫描又称为半打开扫描。客户端首先向服务器发送SYN连接，如果收到一个来自服务器的SYNACK应答，那么可以推断该端口处于监听状态。如果收到一个RSTACK分组则认为该端口不在监听。TCP SYN扫描优点：发送SYN包到远程主机，但不会产生任何会话，目标主机几乎不会把连接记入系统日志。（防止对方判断为扫描攻击），扫描速度快，效率高，在工作中使用频率最高。【问题3答案】通过设备（防火墙等）检测一段时间内来自同一源地址的SYN分组超过一定阀值，可以认为受到了SYN-flooding攻击。9. 问答题：为适应不同应用场景的访问控制需求，访问控制参考模型不断演变，形成各种各样的访问控制模型，主要有自主访问控制模型、强制访问控制模型、基于角色的访问控制模型、基于属性的访问控制模型等。适合用于操作系统、数据库系统的资源访问的控制模型有( )；适合于分布式网络环境和Web服务的模型访问控制模型有（ ）答案： 本题解析：(1) 自主访问控制模型、强制访问控制模型、基于角色的访问控制模型(2)基于属性的访问控制自主访问控制模型、强制访问控制模型、基于角色的访问控制模型常用于操作系统、数据库系统的资源访问;基于属性的访问控制主要提供分布式网络环境和Web服务的模型访问控制;10. 问答题：某本地口令验证函数（C语言环境，X86 32指令集）包含如下关键代码；某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。.Char origPassword12=“lSecret”Char origPassword12;.Gets(userPassword); /* 读取用户输入的口令*/. If(strncmp(origPassword,userPassword,12)!=0)Printf(“Password,doesnt match!/n”);Exit(-1);./* 口令认证通过时允许用户访问*/.【问题1】（4分）用户在调用gets()函数时输入什么样式的字符串，可以在不知道的原始口令“Secret”的情况下绕过该口令验证函数的限制？【问题2】（4分）上述代码存在什么类型的安全隐患？请给出消除该安全隐患的思路。答案： 本题解析：1、函数strncmp（str1，str2，n）【参数】str1, str2 为需要比较的两个字符串，n为要比较的字符的数目。字符串大小的比较是以ASCII 码表上的顺序来决定，此顺序亦为字符的值。Strncmp（）首先将s1 第一个字符值减去s2 第一个字符值，若差值为0 则再继续比较下个字符，直到字符结束标志0，若差值不为0，则将差值返回。【返回值】若str1与str2的前n个字符相同，则返回0；若s1大于s2，则返回大于0的值；若s1 若小于s2，则返回小于0的值。程序中在定义两个数组时，会分配两个12位的地址空间，origPassword在前，userPassword在后，gets（）函数中，当userPassword输入位数大于12位时，就会溢出，多出来的字符将被写入到堆栈中，这就覆盖了堆栈原先的内容，根据函数的作用，只要userPassword的值和origPassword的值一致则可绕过该口令验证函数的机制；当输入的字符串样式满足其12个字符和后续12个字符一样，而中间的字串长度刚好可以填充userPassword和origPassword之间堆栈缓冲区的位置时，根据堆栈的后进先出原理，当读取userPassword的值时，溢出的后续12位会读取到userPassword中，而在读取origPassword的值时会读取到原先userPassword中的值，如此两个数组的值就会一致，从而绕过该口令验证函数的限制。 2、gets（）函数可以无上限的读取，而且不会判断上限，因此，gets（）函数必须保证输入长度不会超过缓冲区，一旦大于该缓冲区就会造成溢出。可以使用安全函数来代替gets（）函数，比如fgets（）函数，或者对用户输入进行检查和校对，可通过if条件语句判断用户输入是否越界。