信息安全工程师下午习题记忆点.docx
- 文档编号:29239373
- 上传时间:2023-07-21
- 格式:DOCX
- 页数:39
- 大小:2.32MB
信息安全工程师下午习题记忆点.docx
《信息安全工程师下午习题记忆点.docx》由会员分享,可在线阅读,更多相关《信息安全工程师下午习题记忆点.docx(39页珍藏版)》请在冰豆网上搜索。
信息安全工程师下午习题记忆点
试题一(共20分)
【说明】
密码编码学是研究把信息(明文)变换成没有密钥就不能解读或很难解读的密文的方法,密码分析学的任务是破译密码或伪造认证密码。
【问题1】(10分)
通常一个密码系统简称密码体制,请简述密码体制的构成。
密码体制由以下五个部分组成:
(1)明文空间M:
全体明文的集合。
(2)密文空间C:
全体密文的集合。
(3)加密算法E:
一组明文M到密文C的加密变换。
(4)解密算法D:
一组密文C到明文M的加密变换。
(5)密钥空间K:
包含加密密钥Ke和解密密钥Kd的全体密钥集合。
【问题2】(3分)
根据所基于的数学基础的不同,非对称密码体制通常分为
(1)、
(2)、(3)。
(1)基于因子分解。
(2)基于离散对数。
(3)基于椭圆曲线离散对数。
【问题3】(2分)
根据密文数据段是否和明文数据段在整个明文中的位置有关,可以将密码体制分为(4)体制和(5)体制。
(4)分组密码。
(5)序列密码。
【问题4】(5分)
在下图给出的加密过程中,mi(i=1,2,...,n)表示明文分组,ci(i=1,2,...,n)表示密文分组,K表示密钥,E表示分组加密过程。
该分组加密过程属于哪种工作模式?
这种分组密码的工作模式有什么缺点?
该加密过程属于CBC的密文链接方式。
CBC的密文链接方式下:
加密会引发错误传播无界,解密引发错误传播有界。
CBC不利于并行计算。
拓展:
密码分组链接模式(CBC)可以分为密文链接方式和明密文链接方式。
(1)CBC的密文链接方式。
密文链接方式中,输入是当前明文组和前一密文组的异或。
CBC的密文链接方式下:
加密会引发错误传播无界,解密引发错误传播有界,CBC不利于并行计算。
(2)CBC的明密文链接方式。
明密文链接方式中,输入是前一组密文和前一组明文异或之后,再和当前明文组异或。
CBC的明密文链接方式下:
加密和解密均会引发错误传播无界。
试题二(共15分)
【说明】
RSA是典型的非对称加密算法,该算法基于大素数分解。
核心是模幂运算。
利用RSA密码可以同时实现数字签名和数据加密。
【问题1】(3分)
简述RSA的密钥生成过程。
选出两个大质数p和q,使得p≠q
计算p×q=n
计算φ(n)=(p-1)×(q-1)
选择e,使得1 计算解密密钥,使得ed=1mod(p-1)×(q-1) 公钥=e,n 私钥=d,n 公开n参数,n又称为模 消除原始质数p和q 【问题2】(4分) 简述RSA的加密和解密过程。 设定C为密文,M为明文: 加密: C=Memodn 解密: M=Cdmodn 【问题3】(4分) 简述RSA的数字签名过程。 设M为明文,M的签名过程为: 签名: Mdmodn 验证签名: (Md)emodn 【问题4】(4分) 在RSA中,已获取用户密文C=10,该用户的公钥e=5,n=35,求明文M。 M=5 解: 已知n=35,得到p和q分别为5和7; 计算φ(n)=(p-1)×(q-1)=24 已知公钥e=5,又由于私钥d满足ed=1mod(p-1)×(q-1),因此d=5 明文M=Cdmodn=105mod35=5 试题三(英10分) 【说明】 阅读下面程序,回答问题1至问题3。 【问题1】(3分) 上述代码能否输出“Thisisatest”? 上述代码存在什么类型的隐患? 不能。 (1分) 代码存在缓冲区溢出错误。 (2分) 【问题2】(4分) 造成上述隐患的原因是? (1)function()函数将长度为128字节的字符串拷贝到只有16字节的缓冲区中去。 (2分) (2)strcpy()函数进行字符串拷贝时,没有进行缓冲区越界检查。 (2分) 【问题3】(3分) 给出消除该安全隐患的思路。 防范缓冲溢出的策略有: ·系统管理防范策略: 关闭不必要的特权程序、及时打好系统补丁。 (1分) ·软件开发的防范策略: 正确编写代码、缓冲区不可执行、改写C语言函数库、程序指针完整性检查、堆栈向高地址方向增长等。 (2分) 试题分析 C语言程序在内存中分为三个部分: 程序段、数据段和堆栈。 程序段里存放程序的机器码和只读数据;数据段存放程序中的静态数据;动态数据则通过堆栈来存放。 在内存中,它们的位置如下图所示。 Function()函数将长度为128字节的字符串拷贝到只有16字节的缓冲区中去;而调用strcpy()函数进行字符串拷贝时,没有进行缓冲区越界检查。 下图中可以看到执行function()函数前后的堆栈情况。 程序执行function()函数完毕时,由于缓冲区溢出,子程序的返回地址被覆盖,变成了0x41414141(AAAA的ASCII码表示,A的ASCI码为0x41)。 因此无法执行print("Thisisatest\n")语句。 此时,返回地址已经不正常,也无法预计会执行什么指令。 试题四(送15分) 【说明】 某公司通过PIX防火墙接入Internet,网络拓扑如下图所示。 在防火墙上利用show命令查询当前配置信息如下: PIX#showconfig nameifeth0outsidesecurity0 nameifeth1insidesecurity100 nameifeth2dmzsecurity40 fixupprotocolftp21 (1) fixupprotocolhttp80 ipaddressoutside61.144.51.42255.255.255.248 ipaddressinside192.168.0.1255.255.255.0 ipaddressdmz10.10.0.1255.255.255.0 global(outside)161.144.51.46 nat(inside)10.0.0.00.0.0.0 routeoutside0.0.0.00.0.0.061.144.51.451 (2) 【问题1】(4分) 解释 (1)、 (2)处画线语句的含义。 (1)启用FTP服务(2分) (2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1(2分) 【问题2】(6分) 根据配置信息填写以下表格。 习题用表 域名称 接口名称 IP地址 IP地址掩码 Inside Eth1 (3) 255.255.255.0 Outside Eth0 61.144.51.42 (4) Dmz (5) (6) 255.255.255.0 (3)192.168.0.1(1.5分) (4)255.255.255.248(1.5分) (5)eth2(1.5分) (6)10.10.0.1(1.5分) 【问题3】(2分) 根据所显示的配置信息,由inside域发往Internet的IP分组在到达路由器R1时的源IP地址是(7)。 (7)61.144.51.46 【问题4】(3分) 如果需要dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。 PIX(config)#static(dmz,outside)(8)(9) PIX(contig)#conduitpermittcphost(10)eqwwwany (8)61.144.51.43(1分) (9)10.10.0.100(1分) (10)61.144.51.43(1分) 试题分析 Fixup命令可以启用或者禁止特定的服务、协议。 题干出现的PIX配置语句含义解释如下: PIX#showconfig nameifeth0outsidesecurity0//eth0接口命名为outside,安全级别设置为0 nameifeth1insidesecurity100//eth1接口命名为inside,安全级别设置为100 nameifeth2dmzsecurity40//eth2接口命名为dmz,安全级别设置为40 fixupprotocolftp21//启动FTP协议,允许21端口的数据通过 fixupprotocolhttp80//启动HTTP协议,允许80端口的数据通过 ipaddressoutside61.144.51.42255.255.255.248//配置outside接口IP地址和掩码 ipaddressinside192.168.0.1255.255.255.0//配置inside接口IP地址和掩码 ipaddressdmz10.10.0.1255.255.255.0//配置dmz接口IP地址和掩码 global(outside)161.144.51.46//经outside接口去外网的数据,地址转换为61.144.51.46,全局地址池标志为1,所以由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是61.144.51.46 nat(inside)10.0.0.00.0.0.0//所有地址按地址池1定义进行地址转换 routeoutside0.0.0.00.0.0.061.144.51.451//设定默认路由,所有数据通过61.144.51.45转发 使用static命令配置静态地址映射,使得内外部地址一一对应。 Firewall(config)#static(internal_interface_name,external_mterface_name)outside_ip_addressinside_ip_address 其中internal_interface_name表示内部网络接口,安全级别较高,如inside; external_interface_name表示外部网络接口,安全级别较低,如outside; outside_ip_address表示共有IP地址: inside_ip_address表示被转换的IP地址。 如果需要dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),就需要完成两步工作: 1将10.10.0.100和61.144.51.43建立映射关系。 PIX(config)#static(dmz,outside)61.144.51.4310.10.0.100可以完成这种映射。 2防火墙上放开外网地址61.144.51.43的80端口。 PIX(config)#conduitpermittcphost61.144.51.43eqwwwany可以完成端口放开的任务。 试题五(站15分) 【说明】 某企业在公司总部和分部之间采用两台WindowsServer2003服务器部署企业IPSecVPN,将总部和分部的两个子网通过Internet互连,如下图所示。 【问题1】(3分) 隧道技术是VPN的基本技术,隧道是由隧道协议形成的,常见隧道协议有IPSec、PPTP和L2TP,其中 (1)和 (2)属于第二层隧道协议,(3)属于第三层隧遣协议。 (1)PPTP (2)L2TP(1、2顺序可调换) (3)IPSec 【问题2】(3分) IPSec安全体系结构包括AH,ESP和ISAKMP/Oakley等协议。 其中,(4)为IP包提供 信息源验证和报文完整性验证,但不支持加密服务;(5)提供加密服务;(6)提供密钥管理服务。 (4)AH (5)ESP (6)ISAKMP/Oakley 【问题3】(6分) 设置ServerA和ServerB之间通信的“筛选器属性”界面如图1所示,在ServerA的IPSec安全策略配置过程中,当源地址和目标地址均设置为“一个特定的IP子网”时,源子网IP地址应设为(7),目标子网IP地址应设为(8)。 如图2所示的隧道设置中的隧道终点IP地址应设为(9)。 (7)192.168.1.0 (8)192.168.2.0 (9)202.113.111.1 【问题4】(3分) 在ServerA的IPSec安全策略配置过程中,ServerA和ServerB之间通信的IPSec筛选器“许可”属性设置为“协商安全”,并且安全措施为“加密并保持完整性”,如图3所示。 根据上述安全策略填写图4中的空格,表示完整的IPSec数据包格式。 新IP头 (10) (11) TCP头 数据 (12) 图10-4数据包格式 (10)~(12)备选答案: A.AH头B.ESP头C.旧 IP头D.新TCP头 E.AH尾F.ESP尾G.旧IP尾H.新TCP尾 (10)B或ESP头 (11)C或旧IP头 (12)F或ESP尾 试题分析 【问题1】(3分,各1分) 常见的隧道协议 数据链路层: L2TP、PPTP、L2F 网络层: IPsec 传输层和应用层之间: SSL 【问题2】(3分,各1分) IPSec安全体系结构包括AH、ESP和ISAKMP/Oakley等协议。 其中,AH为IP包提供信息源验证和报文完整性验证,但不支持加密服务;ESP提供加密服务;ISAKMP/Oakley提供密钥管理服务。 【问题3】(6分,各2分) “筛选器属性”界面配置源子网IP地址(内网地址)和目的子网IP地址(内网地址)。 针对ServerA,源子网IP地址(内网地址)为192.168.1.2/32,所以“筛选器属性”界面源子网IP地址应设为192.168.1.0;目的子网IP地址(内网地址)为192.168.1.2/32,所以“筛选器属性”界面目标子网IP地址应设为192.168.2.0。 “编辑规则属性”界面的隧道地址应该配置隧道对端(公网地址)。 针对ServerA隧道对端(公网地址)为202.113.111.1,所以隧道设置中的隧道终点IP地址应设为202.113.111.1。 【问题4】(3分,各1分) 本题要求“加密并保持完整性”,由于AH协议不支持加密,因此采用ESP封装。 前面题目给出了总公司和子公司通信建立了隧道,因此采用隧道模式。 具体如下图所示。 这里IP数据加密后,密文可以看作旧IP头,ESP摘要可以看作ESP尾。 2016年下半年信息安全工程师考试真题(下午题) 试题一(共20分) 阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。 【说明】 研究密码编码的科学称为密码编码学,研究密码破译的科学称为密码分析学,密码编码学和密码分析学共同组成密码学。 密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。 【问题1】(9分) 密码学的安全目标至少包括哪三个方面? 具体内涵是什么? (1)保密性: 保密性是确保信息仅被合法用户访问,而不被泄露给非授权的用户、实体或过程,或供其利用的特性。 即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。 (2)完整性: 完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息XX不能进行改变的特性。 信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 (3)可用性: 可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。 信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。 【问题2】(3分) 对下列违规安全事件,指出各个事件分别违反了安全目标中的哪些项? (1)小明抄袭了小丽的家庭作业。 (2)小明私自修改了自己的成绩。 (3)小李窃取了小刘的学位证号码、登录口令信息、并通过学位信息系统更改了小刘的学位信息记录和登陆口令,将系统中小刘的学位信息用一份伪造的信息替代,造成小刘无法访问学位信息系统。 (1)保密性 (2)完整性 (3)可用性 【问题3】(3分) 现代密码体制的安全性通常取决于密钥的安全,为了保证密钥的安全,密钥管理包括哪些技术问题? 密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。 【问题4】(5分) 在图1-1给出的加密过程中,Mi,i=1,2,…,n表示明文分组,Ci,i=1,2,…,n表示密文分组,Z表示初始序列,K表示密钥,E表示分组加密过程。 该分组加密过程属于哪种工作模式? 这种分组密码的工作模式有什么缺点? 明密文链接模式。 缺点: 当Mi或Ci中发生一位错误时,自此以后的密文全都发生错误,即具有错误传播无界的特性,不利于磁盘文件加密。 并且要求数据的长度是密码分组长度的整数倍,否则最后一个数据块将是短块,这时需要特殊处理。 试题二(共10分) 阅读下列说明和图,回答问题1至问题2,将解答填入答题纸的对应栏内。 【说明】 访问控制是对信息系统资源进行保护的重要措施l适当的访问控制能够阻止XX的用户有意或者无意地获取资源。 访问控制一般是在操作系统的控制下,~按照事先确定的规则决定是否允许用户对资源的访问。 图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。 【问题1】(3分) 针对信息系统的访问控制包含哪些基本要素? 主体、客体、授权访问 【问题2】(7分) 分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表和访问控制矩砗下的访问控制规则。 能力表: (主体)Administrator<(客体)traceroute.mpg: 读取,运行> 访问控制表: (客体)traceroute.mpg<(主体)Administrator: 读取,运行> 访问控制矩阵: 试题三(共19分) 阅读下列说明和图,回答问题l至问题3,将解答填入答题纸的对应栏内。 【说明】 防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保护本地系统和网络免于受到安全威胁。 图3-1给出了一种防火墙的体系结构。 【问题1】(6分) 防火墙的体系结构主要有: (1)双重宿主主机体系结构; (2)(被)屏蔽主机体系结构; (3)(被)屏蔽子网体系结构; 请简要说明这三种体系结构的特点。 双重宿主主机体系结构: 双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。 被屏蔽主机体系结构: 被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。 被屏蔽子网体系结构: 被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。 其主要由四个部件构成,分别为: 周边网络、外部路由器、内部路由器以及堡垒主机。 拓展: 【问题2】(5分) (1)图3-1描述的是哪一种防火墙的体系结构? (2)其中内部包过滤器和外部包过滤器的作用分别是什么? (1)屏蔽子网体系结构。 (2)内部路由器: 内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。 在其上设置了针对内部用户的访问过滤规划,对内部用户访问周边网络和外部网络进行限制。 外部路由器: 外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。 在其上设置了对周边网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。 【问题3】(8分) 设图3-1中外部包过滤器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2,内部包过滤器的外部IP地址为10.20.100.3,内部IP地址为192.168.0.1,DMZ中Web服务器IP为10.20.100.6,SMTP服务器IP为10.20.100.8。 关于包过滤器,要求实现以下功能,不允许内部网络用户访问外网和DMZ,外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。 内部包过滤器规则如表3-1所示。 请完成外部包过滤器规则表3-2,将对应空缺表项的答案填入答题纸对应栏内。 表3-1内部包过滤器规则表 表3-2外部包过滤器规则表 (1)* (2)10.20.100.8 (3)10.20.100.8 (4)* (5)UDP (6)10.20.100.3 (7)UDP (8)10.20.100.3 试题四(共18分) 阅读下列说明,回答问题l至问题4,将解答填入答题纸的对应栏内。 【说明】 用户的身份认证是许多应用系统的第一道防线,身份识别对确保系统和数据的安全保密极其重要。 以下过程给出了实现用户B对用户A身份的认证过程。 1.A->B: A 2.B->A: {B,Nb}pk(A) 3.A->B: h(Nb) 此处A和B是认证的实体,Nb是一个随机值,pk(A)表示实体A的公钥,{B,Nb}pk(A)表示用A的公钥对消息B进行加密处理,h(Nb)表示用哈希算法h对Nb计算哈希值。 【问题1】(5分) 认证和加密有哪些区别? 认证和加密的区别在于: 加密用以确保数据的保密性,阻止黑客的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止黑客的主动攻击,如冒充、篡改、重播等。 【问题2】(6分) (1)包含在消息2中的“Nb”起什么作用? (2)“Nb”的选择应满足什么条件? (1)Nb是一个随机值,只有发送方B和A知道,起到抗重放攻击作用。 (2)应具备随机性,不易被猜测。 【问题3】(3分) 为什么消息3中的Nb要计算哈希值? 哈希算法具有单向性,经过哈希值运算之后的随机数,即使被攻击者截获也无法对该随机数进行还原,获取该随机数Nb的产生信息。 【问题4】(4分) 上述协议存在什么安全缺陷? 请给出相应的解决思路。 攻击者可以通过截获h(Nb)冒充用户A的身份给用户B发送h(Nb)。 解决思路: 用户A通过将A的标识和随机数Nb进行哈希运算,将其哈希值h(A,Nb)发送给用户B,用户B接收后,利用哈希函数对自己保存的用户标识A和随机数Nb进行加密,并和接收到的h(A,Nb)进行比较。 若两者相等,则用户B确认用户A的身份是真实的,否则认为用户A的身份是不真实的。 试题五(共8分) 阅读下列说明和代码,回答问题1和问题2,将解答写在答题纸的对应栏内。 【说明】 某本地口令验证函数(C语言环境,X8632指令集)包含如下关键代码;某用户的口令保存在字符数组origPassword中,用户输入的口令保存在字符数组userPassword中,如果两个数组中的内容相同则允许进入系统。 [...] CharorigPassword[12]=“lSecret” CharorigPassword[12]; [...] Get
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全工程师 下午 习题 记忆