《2022年软考-信息安全工程师考前模拟强化练习题94(附答案详解)》由会员分享,可在线阅读,更多相关《2022年软考-信息安全工程师考前模拟强化练习题94(附答案详解)(25页珍藏版)》请在金锄头文库上搜索。
1、2022年软考-信息安全工程师考前模拟强化练习题(附答案详解)1. 单选题数据备份通常可分为完全备份、增量备份、差分备份和渐进式备份几种方式。其中将系统中所有选择的数据对象进行一次全面的备份,而不管数据对象自上次备份之后是否修改过的备份方式是( )。问题1选项A.完全备份B.增量备份C.差分备份D.渐进式备份【答案】A【解析】 Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE本题考查数据备份方式。完全备份:指将系统中所有选择的数据对象进行一次全面的备份。是最基本也是最简单的备份方式;增量备份:指只把最近新生成的或者新修改的文件拷贝到
2、备份设备上;差异备份:对上次备份后所有发生改变的文件都进行备份(包括删除文件的信息);渐进式备份:也称为“只有增量备份”或“连续增量备份”;它是指系统排除完全备份,数据对象只有当发生改变时才被写入到存储介质上;渐进式备份只在初始时做所有数据文件的全部备份,以后只备份新建或改动过的文件,比上述三种备份方式有更少的数据移动;减少了备份时间和所需的存储容量,减轻了网络负担;降低潜在的人为错误。故本题选A。点播:数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。数据备份通常可以分为完全备份,增量备份,差异备份
3、和渐进式备份。2. 单选题物理安全是计算机信息系统安全的前提,物理安全主要包括场地安全、设备安全和介质安全。以下属于介质安全的是( )。问题1选项A.抗电磁干扰B.防电磁信息泄露C.磁盘加密技术D.电源保护【答案】C【解析】本题考查物理环境安全和介质安全相关知识。介质安全是指介质数据和介质本身的安全,其目的是保护存储在介质上的信息,包括介质的防盗、介质的防毁(防霉、防砸)等。磁盘的安全防护包括磁盘信息加密技术和磁盘信息清除技术。故本题选C。设备安全的安全技术要素主要有设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护以及设备震动、碰撞、冲击适应性等方面。故本题选C。点播:存储介质的安全防
4、护包括:强化存储安全管理、数据存储加密保存、容错容灾存储技术。3. 单选题无论是哪一种Web服务器,都会受到HTTP协议本身安全问题的困扰,这样的信息系统安全漏洞属于( )。问题1选项A.开发型漏洞B.运行型漏洞C.设计型漏洞D.验证型漏洞【答案】C【解析】本题考查安全漏洞方面的知识。信息安全漏洞主要分为以下三种:设计型漏洞:这种漏洞不以存在的形式为限制,只要是实现了某种协议、算法、模型或设计,这种安全问题就会存在,而不因其他因素而变化,例如无论是哪种Web服务器,肯定存在HTTP协议中的安全问题。开发型漏洞:这种安全漏洞是广泛被传播和利用的,是由于产品的开发人员在实现过程中的有意或者无意引入
5、的缺陷,这种缺陷会在一定的条件下被攻击者所利用,从而绕过系统的安全机制,造成安全事件的发生,这种漏洞包含在国际上广泛发布的漏洞库中。运行型漏洞:这种类型漏洞的出现是因为信息系统的组件、部件、产品或者终端由于存在的相互关联性和配置、结构等原因,在特定的环境运行时,可以导致违背安全策略的情况发生。这种安全问题一般涉及到不同的部分,是一种系统性的安全问题。Web服务器受到HTTP协议本身安全问题的困扰,这样的信息系统安全漏洞属于设计型漏洞。故本题选C。点播:安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。4. 单选题为了保护用户的
6、隐私,需要了解用户所关注的隐私数据。当前,个人隐私信息分为一般属性、标识属性和敏感属性,以下属于敏感属性的是( )。问题1选项A.姓名B.年龄C.肖像D.财物收入【答案】D【解析】本题考查用户隐私方面的基础的知识。敏感属性包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息等。答案选D。5. 单选题SM2算法是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法,在我们国家商用密码体系中被用来替换( )算法。问题1选项A.DESB.MD5C.RSAD.IDEA【答案】C【解析】本题考查我国商用密码管理方面的知识。DES算法、IDEA算法都属于分组密码
7、算法;MD5算法是一种Hash算法,也叫杂凑算法;SM2算法和RSA算法都属于非对称加密算法。SM2算法是一种更先进更安全的算法,随着密码技术和计算机技术的发展,目前常用的1024位RSA算法面临严重的安全威胁,我们国家密码管理部门经过研究,决定采用SM2椭圆曲线算法替换RSA算法。故本题选C。点播:SM1:对称加密分组长度和密钥长度都为128比特;SM2:非对称加密,用于公钥加密算法、密钥交换协议、数字签名算法,国家标准推荐使用素数域256位椭圆曲线;SM3:杂凑算法,杂凑值长度为256比特;SM4:对称加密,分组长度和密钥长度都为128比特;SM9:标识密码算法。6. 单选题移位密码的加密
8、对象为英文字母,移位密码采用对明文消息的每一个英文字母向前推移固定key位的方式实现加密。设key=6,则明文“SEC对应的密文为( )。问题1选项A.YKIB.ZLIC.XJGD.MYW【答案】A【解析】7. 单选题中间人攻击就是在通信双方毫无察觉的情况下,通过拦截正常的网络通信数据,进而对数据进行嗅探或篡改。以下属于中间人攻击的是( )。问题1选项A.DNS欺骗B.社会工程攻击C.网络钓鱼D.旁注攻击【答案】A【解析】本题考查中间人攻击相关知识。DNS欺骗:是一种攻击者冒充域名服务器的欺骗行为。原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能
9、看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。社会工程攻击:是一种利用“社会工程学”来实施的网络攻击行为。在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。网络钓鱼:是一种通过假冒可信方提供网上服务,以欺骗手段获取敏感个人信息的攻击方式。与社会工程攻击类似。旁注攻击:旁注攻击就是说在攻击目标时,对目标网站“无法下手”找不到目标网站的漏洞,那么攻击者就可以通过在与目标站点同一服务器下的站点渗透,从而获取目标站点的权限,这过程就是旁
10、注攻击。故本题选A。点播:DNS欺骗,是中间人攻击的一种惯用手法。攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器,这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上,这时攻击者就可以监听甚至修改数据,从而收集到大量的信息。如果攻击者只是想监听双方会话的数据,他会转发所有的数据到真正的目标机器上,让目标机器进行处理,再把处理结果发回到原来的受害者机器;如果攻击者要进行彻底的破坏,他会伪装目标机器返回数据,这样受害者接收处理的就不再是原来期望的数据,而是攻击者所期望的了。如此说来,这种攻击理应是最强大最危险的,然而实际上它却很少派
11、上大用场,为什么,因为DNS欺骗的攻击模型太理想了。在实际生活中,大部分用户的DNS解析请求均是通过自己的ISP服务器进行的,换句话说,就是系统在连接网络时会获取到ISP服务器提供的DNS服务器地址,所有解析请求都是直接发往这个DNS服务器的,攻击者根本无处入手,除非他能入侵更改ISP服务器上DNS服务的解析指向。所以这种手法在广域网上成功的几率不大。8. 单选题信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害,按照计算机信息系统安全等级保护相关要求,应定义为( )。问题1选项A.第一级B.第二级C.第三级D.第四级【答案】D【解析】9. 单选题强制访问控
12、制(MAC)可通过使用敏感标签对所有用户和资源强制执行安全策略。MAC中用户访问信息的读写关系包括下读、上写、下写和上读四种,其中用户级别高于文件级别的读操作是 ( )。问题1选项A.下读B.上写C.下写D.上读【答案】A【解析】本题考查强制访问控制相关知识。强制访问控制(MAC)是指系统根据主体和客体的安全属性,以强制的方式控制主体对客体的访问,是一种不允许主体干涉的访问控制类型。根据MAC的安全级别,用户与访问的信息的读写关系有四种:即:下读(read down):用户级别高于文件级别的读操作。上写(write up):用户级别低于文件级别的写操作。下写(write down):用户级别高
13、于文件级别的写操作。上读(read up):用户级别低于文件级别的读操作。其中用户级别高于文件级别的读写操作是下读。故本题选A。点播:访问控制的目标有两个:防止非法用户进入系统; 阻止合法用户对系统资源的非法使用,即禁止合法用户的越权访问。访问控制类型可分为:自主访问控制、强制访问控制、基于角色的访问控制和基于属性的访问控制。10. 单选题基于MD4和MD5设计的S/Key口令是一种一次性口令生成方案,它可以对访问者的身份与设备进行综合验证,该方案可以对抗( )。问题1选项A.网络钓鱼B.数学分析攻击C.重放攻击D.穷举攻击【答案】C【解析】本题考查Hash算法中的MD4、MD5算法。网络钓鱼
14、:是一种通过假冒可信方(知名银行、信用卡公司等)提供网上服务,以欺骗手段获取敏感个人信息(如口令、银行卡信息等)的攻击方式。数学分析攻击:是指密码分析者针对加解密算法的数学基础和某些密码学特性,通过数学求解的方法来破译密码。数学分析攻击是对基于数学难题的各种密码的主要威胁。为了对抗这种数学分析攻击,应当选用具有坚实数学基础和足够复杂的加解密算法。重放攻击:也被叫做是重播攻击、回放攻击或者是新鲜性攻击,具体是指攻击者发送一个目的主机已经接收过的包来达到欺骗系统的目的。重放攻击主要是在身份认证的过程时使用,它可以把认证的正确性破坏掉。穷举攻击:亦称“暴力破解”。对密码进行逐个推算,直到找出真正的密码为止的一种攻击方式。理论上可破解任何一种密码,问题在于如何缩短破解时间。S/key口令是一种一次性口令生成方案,可以有效对抗重放攻击。故本题选C。点播:此类题目不需要完全了解MD4、MD5等算法原理,只需抓住题干中关键字“一次性口令”,再结合选项的理解分析,即可快速找到答案。11. 单选题密码学根据研究内容可以分为密码编制学和密码分析学。研究密码编制的科学称为密码编制学,研究密码破译的科学称为密码分析学。密码分析学中,根据密码分析者可利用的数据资源,可将攻击密码的类型分为四类
