《2018年上半年信息安全工程师真题(下午案例题&答案分析)》由会员分享,可在线阅读,更多相关《2018年上半年信息安全工程师真题(下午案例题&答案分析)(10页珍藏版)》请在金锄头文库上搜索。
1、信息安全工程师信息安全工程师 2018 年上半年下午案例题年上半年下午案例题 1、阅读下列说明,回答问题 1 至问题 4,将解答填入答题纸的对应栏内。 【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。 2017 年 5 月,勒索软件 WanaCry 席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后无法使用,系统或服务无法正常运行,损失巨大。 【问题 1】 (2 分) 按照恶意代码的分类,此次爆发的恶意软件属于哪种类型? 【问题 2】 (2 分) 此次勒索软件针对的攻击目标是 Wi
2、ndows 还是 Linux 类系统? 【问题 3】 (6 分) 恶意代码具有的共同特征是什么? 【问题 4】 (5 分) 由于此次勒索软件需要利用系统的 SMB 服务漏洞(端口号 445)进行传播,我们可以配置防火墙过滤规则来阻止勒索软件的攻击, 请填写表 1-1 中的空 (1) - (5) ,使该过滤规则完整。 注:假设本机 IP 地址为:1.2.3.4,”*”表示通配符。 2、阅读下列说明和图,回答问题 1 至问题 3,将解答填入答题纸的对应栏内。 【说明】 密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A 和 B)之间能够使用不安全的通信信道实现安全通信。 密码技术能够实现信
3、息的保密性、 完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash 函数、数字签名等多种密码技术。 在以下描述中,M 表示消息,H 表示 Hash 函数,E 表示加密算法,D 表示解密算法,K 表示密钥,SKA 表示 A 的私钥,PKA 表示 A 的公钥,SKB 表示 B 的私钥,PKB表示 B 的公钥,|表示连接操作。 【问题 1】 (6 分) 用户 AB 双方采用的保密通信的基本过程如图 2-1 所示。 请问图 2-1 所设计的保密通信模型能实现信息的哪些安全日标?图 2-1 中的用户A 侧的 H 和 E 能否互换计算顺序?如果不能互换请说明原因
4、: 如果能互换请说明对安全目标的影响。 【问题 2】 (4 分) 图 2-2 给出了另一种保密通信的基本过程: 请问图 2-2 设计的保密通信模型能实现信息安全的哪些特性? 【问题 3】 (5 分) 为了在传输过程中能够保障信息的保密性、完整性和不可否认性,设计了一个安全通信模型结构如图 2-3 所示: 请问图 2-3 中(1) , (2)分别应该填什么内容? 3、阅读下列说明,答问题 1 至问题 3,将解答填入答题纸的对应栏内。 【说明】在 Linux 系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。 【问题 1】 (4 分) Linux 系统将用户名和口令分别保存在哪些文件中?
5、 【问题 2】 (7 分) Linux 系统的用户名文件通常包含如下形式的内容:root:x:0:0:root:root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin hujw:x:500:500:hujianwei:/home/hujw:/bin/bash 文件中的一行记录对应着一个用户,每行记录用冒号(:)分隔为 7 个字段,请问第 1个冒号(第二列)和第二个冒号(第三列)的含义是什么?上述用户名文件中,第三列的数字分别代表什么含义? 【问题 3】 (4 分) Linux 系统中用户名文件和口令字文件的默认访问权限分别是什么? 4、阅读下列说明和 C
6、 语言代码,回答问题 1 至问题 4,将解答写在答题纸的对应栏内。 【说明】 在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。 某系统采用的请求和应答两种类型的心跳包格式如图 4-1 所示。 心跳包类型占 1 个字节,主要是请求和响应两种类型; 心跳包数据长度字段占 2 个字节,表示后续数据或者负载的长度。 接收端收到该心跳包后的处理函数是 process_heartbeat_ _(4)_ _,其中参数 p指向心跳包的报文数据,
7、s 是对应客户端的 socket 网络通信套接字。 【问题 1】 (4 分) (1)心跳包数据长度字段的最大取值是多少? (2)心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致? 【问题 2】 (5 分) (1) 上述接收代码存在什么样的安全漏洞? (2) 该漏洞的危害是什么? 【问题 3】 (2 分) 模糊测试(Fuzzing)是一种非常重要的信息系统安全测评方法,它是一种基于缺陷注入的自动化测试技术。 请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报? 【问题 4】 (4 分) 模糊测试技术能否测试出上述代码存在的安全漏洞?为什么? 5、阅读下列说明和图
8、,回答问题 1 至问题 5,将解答写在答题纸的对应栏内。 【说明】 入侵检测系统(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,IDS 注重的是网络安全状况的监管,IPS 则注重对入侵行为的控制。 【问题 1】 (2 分) 网络安全防护可以分为主动防护和被动防护, 请问IDS和IPS分别属于哪种防护? 【问题 2】 (4 分) 入侵检测是动态安全模型(P2DR)的重要组成部分。请列举 P2DR 模型的 4 个主要组成部分。 【问题 3】 (2 分) 假如某入侵检测系统记录了如图 5-1 所示的网络数据包: 图 5-1 IDS 记录的网络数据包 请问图中的数据包属于哪种网络攻击?
9、该攻击的具体名字是什么? 【问题 4】 (4 分) 入侵检测系统常用的两种检测技术是异常检测和误用检测, 请问针对图中所描述的网络攻击应该采用哪种检测技术?请简要说明原因。 【问题 5】 (3 分) Snort 是一款开源的网络入侵检测系统,它能够执行实时流量分析和 IP 协议网络的数据包记录。 Snort 的配置有 3 种模式,请给出这 3 种模式的名字。 试题一试题一(15 分)分) 问题 1(2 分) 属于蠕虫类型 问题 2(2 分) 攻击目标是 Windows 系统 问题 3(6 分) 恶意代码具有如下共同特征: (1) 恶意的目的 (2) 本身是计算机程序 (3) 通过执行发生作用
10、问题 4(5 分) (1)* (2)1024 (3)445 (4)TCP (5)0 试题试题二二(15 分)分) 问题 1(6 分) 实现完整性的验证。通过对明文 M 生成摘要信息,然后加密摘要信息附到明文后发送给对方,对方收到后运用同样的 hash 函数生成摘要信息,与解密得到的摘要信息对比,可以实现完整性的验证。 不可以互换,因为只调整 A 用户的处理方式,B 用户的处理方式不变,B 收到的信息解密不了,所以完成不了对比工作。 问题 2(4 分) 能实现保密性和完整性。 与保密通信模型一不同的是,通信模型二队明文和消息摘要进行加密,传送给对方的是密文,对方收到密文后首先解密,得到明文和摘要
11、信息,然后再用明文生产摘要信息,与解密出来的摘要信息进行比较,验证完整性,所以即保证的机密性,也提供了完整性验证。 问题 3(5 分) (1) EkM|ESKAH(M) (2) PKA 试题试题三三(15 分)分) 问题 1(4 分) 用户名是存放在/etc/password 文件 口令存放在/etc/shadow 文件 问题 2(7 分) 第一个冒号(第二列)代表用户口令;第二个冒号(第三列)代表用户标识号。第三列数字是用户标识号,用来识别用户身份,root 用户 id 为 0,表示它为超级用户;bin 用户 id 为 1,表示它为管理用户,hujw 用户 id 为 500,表示它为普通用户。 试题试题四四(15 分)分) 问题 1(4 分) 最大取值为 65535。 (unsigned int 型数据范围为 065535) 心跳包中给出数据长度字段与实际数据长度必须保持一致。 问题 2(5 分) HeartBleed 漏洞。由于没有对实际数据载荷长度进行检测,导致攻击者可读出内存中其它重要数据内容。 问题 3(2 分) 模糊测试属于黑盒测试。 不存在误报问题
