软考中级信息安全工程师历年经典真题及解析part17.docx
- 文档编号:4842051
- 上传时间:2022-12-10
- 格式:DOCX
- 页数:11
- 大小:96.23KB
软考中级信息安全工程师历年经典真题及解析part17.docx
《软考中级信息安全工程师历年经典真题及解析part17.docx》由会员分享,可在线阅读,更多相关《软考中级信息安全工程师历年经典真题及解析part17.docx(11页珍藏版)》请在冰豆网上搜索。
软考中级信息安全工程师历年经典真题及解析part17
第1题
单选题
SM4是一种分组密码算法,其分组长度和密钥长度分别为()。
A.64位和128位
B.128位和128位
C.128位和256位
D.256位和256位
【解析】正确答案:
B。
SM4是一种分组密码算法,其分组长度和密钥长度分别为128位和128位。
第2题
单选题
甲收到一份来自乙的电子订单后,将订单中的货物送达到乙时,乙否认自己曾经发送过这份订单,为了解除这种纷争,采用的安全技术是()。
A.数字签名技术
B.数字证书
C.消息认证码
D.身份认证技术
【解析】正确答案:
A。
数字签名技术能使签名者事后不能抵赖自己的签名,任何其他人不能伪造签名以及能在公正的仲裁者面前通过验证签名来确认其真伪。
第3题
单选题
面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题,致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护。
从数据挖掘的角度看,不属于隐私保护技术的是()。
A.基于数据失真的隐私保护技术
B.基于数据匿名化的隐私保护技术
C.基于数据分析的隐私保护技术
D.基于数据加密的隐私保护技术
【解析】正确答案:
C。
从数据挖掘的角度,目前的隐私保护技术主要可以分为三类:
(1)基于数据失真的隐私保护技术;
(2)基于数据加密的隐私保护技术;(3)基于数据匿名化的隐私保护技术。
第4题
案例题
阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
研究密码编码的科学称为密码编码学,研究密码破译的科学称为密码分析学,密码编码学和密码分析学共同组成密码学。
密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。
【问题1】(9分)
密码学的安全目标至少包括哪三个方面?
具体内涵是什么?
【问题2】(3分)
对下列违规安全事件,指出各个事件分别违反了安全目标中的哪些项?
(1)小明抄袭了小丽的家庭作业。
(2)小明私自修改了自己的成绩。
(3)小李窃取了小刘的学位证号码、登陆口令信息,并通过学位信息系统更改了小刘的学位信息记录和登陆口令,将系统中小刘的学位信息用一份伪造的信息替代,造成小刘无法访问学位信息系统。
【问题3】(3分)
现代密码体制的安全性通常取决于密钥的安全,为了保证密钥的安全,密钥管理包括哪些技术问题?
【问题4】(5分)
在图1-1给出的加密过程中,Mi,i=1,2,…,n表示明文分组,Ci,i=1,2,…,n表示密文分组,Z表示初始序列,K表示密钥,E表示分组加密过程。
该分组加密过程属于哪种工作模式?
这种分组密码的工作模式有什么缺点?
【解析】正确答案:
【问题一】
(1)保密性:
保密性是确保信息仅被合法用户访问,而不被地露给非授权的用户、实体或过程,或供其利用的特性。
即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。
(2)完整性:
完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息XX不能进行改变的特性。
信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
(3)可用性:
可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。
信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
【问题二】
(1)保密性
(2)完整性
(3)可用性、完整性、保密性
【问题三】
答:
密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。
【问题四】
明密文链接模式。
缺点:
当Mi或Ci中发生一位错误时,自此以后的密文全都发生错误,即具有错误传播无界的特性,不利于磁盘文件加密。
并且要求数据的长度是密码分组长度的整数倍,否则最后一个数据块将是短块,这时需要特殊处理。
。
1、密码学作为信息安全的关键技术,其安全目标主要包括三个非常重要的方面:
保密性、完整性和可用性。
保密性:
保密性是确保信息仅被合法用户访问,而不被地露给非授权的用户、实体或过程,或供其利用的特性。
即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。
完整性:
完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息XX不能进行改变的特性。
信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
可用性:
可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。
信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
2、根据保密性、完整性及可用性分析,抄袭作业是属于违反保密性,修改成绩是属于违反完整性,更改信息记录和登录口令导致无法访问属于违反可用性、完整性、保密性。
3、密码体制的安全应当只取决于密钥的安全,而不取决于对密码算法的保密。
密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。
每个密钥都有其生命周期,要对密钥的整个生命周期的各个阶段进行全面管理。
明密文链接模式:
设明文M=(M1,M2,…,Mn),相应的密文C=(C1,C2,…,Cn),而
其中Z为初始化向量。
根据上式可知,即使Mi=Mj,但因一般都有Mi-1⊕Ci-1≠Mj-1⊕Cj-1,从而
使Ci≠Cj,从而掩盖了名文中的数据模式。
同样根据上式可知加密时,当Mi或Ci中发生一位错误时,自此以后的密文全都发生错误。
这种现象称为错误传播无界。
解密时有
同样,解密时也是错误传播无界。
其缺点:
当Mi或Ci中发生一位错误时,自此以后的密文全都发生错误,即具有错误传播无界的特性,不利于磁盘文件加密。
并且要求数据的长度是密码分组长度的整数倍,否则最后一个数据块将是短块,这时需要特殊处理。
第5题
单选题
凯撒密码体制是一种代表性的古典密码算法,在凯撒密码体制中,设置钥参数k=3,一次对密文“zhongguo”进行加密,则相应的密文为()。
A.ckrqjjxr
B.cdrqijxr
C.akrajjxr
D.ckrqiixr
【解析】正确答案:
A。
将明文“zhongguo”中的字母依次往后移3位,得到密文“ckrqjjxr”
第6题
案例题
阅读下列说明和图,回答问题1至问题2,将解答填入答题纸的对应栏内。
【说明】
访问控制是对信息系统资源进行保护的重要措施。
适当的访问控制能够阻止XX的用户有意或者无意地获取资源。
访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许用户对资源的访问。
图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。
【问题1】(3分)
针对信息系统的访问控制包含哪些基本要素?
【问题2】(7分)
分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表和访问控制矩砗下的访问控制规则。
【解析】正确答案:
【问题1】
主体、客体、授权访问
【问题2】
能力表:
(主体)Administrator<(客体)traceroute.mpg:
读取,运行>
访问控制表:
(客体)traceroute.mpg<(主体)Administrator:
读取,运行>
访问控制矩阵:
。
1、访问控制的三个要素,即主体、客体和授权访问。
主体:
一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户、用户组、终端、主机或一个应用,主体可议访问客体。
客体:
指一个包含或接受信息的被动实体,对客体的访问要受控。
它可以是一个字节、字段、记录、程序、文件,或者是一个处理器、存储器、网络节点等。
授权访问:
指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的,决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。
例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。
对用户的授权访问是由系统的安全策略决定的。
2、能力表:
以用户为中心建立权能表,表中规定了该用户可访问的文件名及访问能力。
利用权能表可以很方便查询一个主体的所有授权访问。
即:
(主体)Administrator<(客体)traceroute.mpg:
读取,运行>
访问控制表:
访问控制表是以文件为中心建立访问权限表。
表中登记了该文件的访问用户名及访问权隶属关系。
利用访问控制表,能够很容易地判断出对于特定客体的授权访问,哪些主体可以访问并有哪些访问权限。
即:
(客体)traceroute.mpg<(主体)Administrator:
读取,运行>
访问控制矩阵:
利用二维矩阵规定了任意主体和任意客体间的访问权眼。
矩辞中的行代表主体的访问权限属性,矩阵中的列代表客体的访问权限属性,矩阵中的每一格表示所在行的主体对所在列的客体的访问授权。
即:
第7题
单选题
恶意软件是目前移动智能终端上被不法分子利用最多、对用户造成危害和损失最大的安全威胁类型。
数据显示,目前安卓平台恶意软件主要有()四种类型。
A.远程控制木马、话费吸取类、隐私窃取类和系统破坏类
B.远程控制木马、话费吸取类、系统破坏类和硬件资源消耗类
C.远程控制木马、话费吸取类、隐私窃取类和恶意推广
D.远程控制木马、话费吸取类、系统破坏类和恶意推广
【解析】正确答案:
A。
恶意软件是目前移动智能终端上被不法分子利用最多、对用户造成危害和损失最大的安全威胁类型。
智能终端操作系统的多任务特性,为恶意软件在后台运行提供了条件,而用户对恶意软件的运行毫不知情。
数据显示目前Android平台恶意软件主要有四种类型:
远程控制木马、话费吸取类、隐私窃取类和系统破坏类。
第8题
单选题
计算机犯罪是指利用信息科学技术且以计算机为犯罪对象的犯罪行为,与其他类型犯罪相比,具有明显的特征,下列说法中错误的是()。
A.计算机犯罪具有隐蔽性
B.计算机犯罪具有高智能性,罪犯可能掌握一些高科技手段
C.计算机犯罪具有很强的破坏性
D.计算机犯罪没有犯罪现场
【解析】正确答案:
D。
计算机犯罪现场是指计算机犯罪嫌疑人实施犯罪行为的地点和遗留有与计算机犯罪有关的痕迹、物品(包括电子数据、电子设备等)或其他物证的场所。
第9题
单选题
()是指采用一种或多种传播手段,将大量主机感染bot程序,从而在控制者和被感染主机之间形成的一个可以一对多控制的网络。
A.特洛伊木马
B.僵尸网络
C.ARP欺骗
D.网络钓鱼
【解析】正确答案:
B。
僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
第10题
单选题
对无线网络的攻击可以分为:
对无线接口的攻击、对无线设备的攻击和对无线网络的攻击。
以下属于对无线设备攻击的是()。
A.窃听
B.重放
C.克隆
D.欺诈
【解析】正确答案:
C。
无线网络由于自身特点,面临着比有线网络更多更严重的安全威胁,主要可划分为对无线接口的攻击、对无线设备的攻击以及对无线网络本身的攻击。
根据攻击手段和目标,对无线接口的攻击可以分为物理攻击和密码学攻击,包括窃听、篡改、重放、干扰和欺诈等等。
攻击无线网络是指针对网络基础设施进行攻击,也包括内部人员破坏和泄密。
针对无线设备的攻击包括克隆、盗窃等等。
第11题
单选题
以下关于认证技术的叙述中,错误的是()。
A.指纹识别技术的利用可以分为验证和识别
B.数字签名是十六进制的字符串
C.身份认证是用来对信息系统中实体的合法性进行验证的方法
D.消息认证能够确定接收方收到的消息是否被篡改过
【解析】正确答案:
B。
数字签名与手写签名类似,只不过手写签名是模拟的,因人而异。
数字签名是0和1的数字串,因消息而异。
第12题
单选题
研究密码破译的科学称为密码分析学。
密码分析学中,根据密码分析者可利用的数据资源,可将攻击密码的类型分为四种,其中适于攻击公开密钥密码体制,特别是攻击其数字签名的是()。
A.仅知密文攻击
B.已知明文攻击
C.选择密文攻击
D.选择明文攻击
【解析】正确答案:
C。
在密码分析中,选择密文攻击指的是一种攻击方式。
攻击者掌握对解密机的访问权限,可构造任意密文所对应的明文。
在此种攻击模型中,密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻击的加密算法解密,透过未知的密钥获得解密后的明文。
第13题
单选题
近些年,基于标识的密码技术受到越来越多的关注,标识密码算法的应用也得到了快速发展,我国国密标准中的标识密码算法是()。
A.SM2
B.SM3
C.SM4
D.SM9
【解析】正确答案:
D。
SM9标识密码算法是一种基于双线性对的标识密码算法,它可以把用户的身份标识用以生成用户的公、私密钥对,主要用于数字签名、数据加密、密钥交换以及身份认证等;SM9密码算法的密钥长度为256位,SM9密码算法的应用与管理不需要数字证书、证书库或密钥库.该算法于2015年发布为国家密码行业标准(GM/T0044-2016)。
第14题
单选题
SSL协议(安全套接层协议)是Netscape公司推出的一种安全通信协议,以下服务中,SSL协议不能提供的是()。
A.用户和服务器的合法性认证服务
B.加密数据服务以隐藏被传输的数据
C.维护数据的完整性
D.基于UDP应用的安全保护
【解析】正确答案:
D。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
其主要提供:
(1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)加密数据以防止数据中途被窃取;(3)维护数据的完整性,确保数据在传输过程中不被改变。
第15题
单选题
SM2算法是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法,在我们国家商用密码体系中被用来替换()算法。
A.DES
B.MD5
C.RSA
D.IDEA
【解析】正确答案:
C。
随着密码技术和计算机技术的发展,目前常用的1024位RSA算法面临严重的安全威胁,我们国家密码管理部门经过研究,决定采用SM2椭圆曲线算法替换RSA算法。
第16题
单选题
未授权的实体得到了数据的访问权,这属于对安全的()的破坏。
A.机密性
B.完整性
C.合法性
D.可用性
【解析】正确答案:
A。
保密性是指网络信息不被泄露给非授权的用户、实体或过程,即信息只为授权用户使用。
第17题
案例题
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
访问控制是保障信息系统安全的主要策略之一,其主要任务是保证系统资源不被非法使用和非常规访问。
访问控制规定了主体对客体访问的限制,并在身份认证的基础上,对用户提出的资源访问请求加以控制。
当前,主要的访问控制模型包括:
自主访问控制(DAC)模型和强制访问控制(MAC)模型。
【问题1】(6分)
针对信息系统的访问控制包含哪三个基本要素?
【问题2】(4分)
BLP模型是一种强制访问控制模型,请问:
(1)BLP模型保证了信息的机密性还是完整性?
(2)BLP模型采用的访问控制策略是上读下写还是下读上写?
【问题3】(4分)
Linux系统中可以通过Is命令查看文件的权限,例如:
文件net.txt的权限属性如下所示:
-rwx-------1rootroot5025May252019/home/abc/net.txt
请问:
(1)文件net.txt属于系统的哪个用户?
(2)文件net.txt权限的数字表示是什么?
【解析】正确答案:
【问题1】
主体、客体、授权访问
【问题2】
(1)机密性
(2)下读上写
【问题3】
(1)root用户
(2)700。
【问题1】
访问控制的三个要素,即主体、客体和授权访问。
主体:
一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户、用户组、终端、主机或一个应用,主体可议访问客体。
客体:
指一个包含或接受信息的被动实体,对客体的访问要受控。
它可以是一个字节、字段、记录、程序、文件,或者是一个处理器、存储器、网络节点等。
授权访问:
指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的,决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。
例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。
对用户的授权访问是由系统的安全策略决定的。
【问题2】
(1)BLP模型是最早的一种安全模型,也是最著名的多级安全策略模型,属于状态机模型,采用线性排列安全许可的分类形式来保证信息的保密性。
(2)上读一下写方式保证了数据的完整性;上写一下读方式则保证了信息的秘密性。
【问题3】
Linux系统是一种典型的多用户系统,不同的用户处于不同的地位,拥有不同的权限。
为了保护系统的安全性,Linux系统对不同的用户访问同一文件(包括目录文件)的权限做了不同的规定。
-rwx------1rootroot5025May252019/home/abc/net.txt
在Linux中第一个字符代表这个文件是目录、文件或链接文件等等。
当为[d]则是目录
当为[-]则是文件;
若是[l]则表示为链接文档(linkfile);
若是[b]则表示为装置文件里面的可供储存的接口设备(可随机存取装置);
若是[c]则表示为装置文件里面的串行端口设备,例如键盘、鼠标(一次性读取装置)。
接下来的字符中,以三个为一组,且均为『rwx』的三个参数的组合。
其中,[r]代表可读(read)、[w]代表可写(write)、[x]代表可执行(execute),[-]代表没有权限。
每个文件的属性由左边第一部分的10个字符来确定,如下图所示:
从左至右用0-9这些数字来表示。
第0位确定文件类型,第1-3位确定属主(该文件的所有者)拥有该文件的权限。
第4-6位确定属组(所有者的同组用户)拥有该文件的权限,第7-9位确定其他用户拥有该文件的权限。
其中,第1、4、7位表示读权限,如果用"r"字符表示,则有读权限,如果用"-"字符表示,则没有读权限;
第2、5、8位表示写权限,如果用"w"字符表示,则有写权限,如果用"-"字符表示没有写权限;第3、6、9位表示可执行权限,如果用"x"字符表示,则有执行权限,如果用"-"字符表示,则没有执行权限。
在以上实例中,文件/net.txt的属主和属组都为root用户。
Linux文件属性有两种设置方法,一种是数字,一种是符号;文件的权限字符为:
『-rwx------』,这九个权限是三个三个一组的,也可以使用数字来代表各个权限,各权限的分数对照表如下:
R:
4
W:
2
X:
1
-:
0
每种身份(owner/group/others)各自的三个权限(r/w/x)分数是需要累加的,例如当权限为:
[-rwx------]分数则是:
owner=rwx=4+2+1=7
group=---=0+0+0=0
others=---=0+0+0=0
所以设定权限的变更时,该文件的权限数字就是700。
第18题
单选题
在访问因特网时,为了防止Web页面中恶意代码对自己计算机的损害,可以采取的防范措施是()。
A.将要访间的Web站点按其可信度分配到浏览器的不同安全区域
B.利用SSL访问Web站点
C.在浏览器中安装数字证书
D.利用IP安全协议访问Web站点
【解析】正确答案:
A。
本题考查点是因特网中防止Web页面的恶意代码对自己计算机的损害而采取的防范措施。
为了防止Web页面中恶意代码对自己计算机的损害,可以将要访问的Web站点按其可信度分配到浏览器的不同安全区域。
划分不同安全区域是浏览器为保护用户计算机免受恶意代码的危害而采取的一种技术。
通常浏览器将Web站点按其可信度分配到不同的区域,针对不同的区域指定不同的文件下载方式。
第19题
单选题
面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题,致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护,从数据挖掘的角度,不属于隐私保护技术的是()。
A.基于数据分析的隐私保护技术
B.基于微据失真的隐私保护技术
C.基于数据匿名化的隐私保护技术
D.基于数据加密的隐私保护技术
【解析】正确答案:
A。
从数据挖掘的角度,目前的隐私保护技术主要可以分为三类:
(1)基于数据失真的隐私保护技术;
(2)基于数据加密的隐私保护技术;(3)基于数据匿名化的隐私保护技术。
第20题
单选题
BS7799标准是英国标准协会制定的信息安全管理体系标准,它包括两个部分:
《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。
依据该标准可以组织建立、实施与保持信息安全管理体系,但不能实现()。
A.强化员工的信息安全意识,规范组织信息安全行为
B.对组织内关键信息资产的安全态势进行动态监测
C.促使管理层坚持贯彻信息安全保障体系
D.通过体系认证就表明体系符合标准,证明组织有能力保障重要信息
【解析】正确答案:
B。
BS7799标准是英国标准协会(BSI)制定的信息安全管理体系标准。
它包括两部分,其第一部分《信息安全管理实施指南》于2001年2月被国际标准化组织(1S0)采纳为国际标准ISOIIEC17799,并于2005年6月15日发布了最新版本。
我国也于2004年完成该标准的转化工作。
这一部分主要提供了信息安全管理的一些通常做法,用于指导企业信息安全管理体系的建设。
第二部分BS7799-2《信息安全管理体系规范和应用指南》是一个认证标准,描述了信息安全管理体系各个方面需要达到的一些要求,可以以此为标准对机构的信息安全管理体系进行考核和认证。
ISOIIEC17799的目的是"为信息安全管理提供建议,旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信"。
机构实施BS7799的目的是按照先进的信息安全管理标准建立完整的信息安全管理体系,达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,获得较高的信息安全水平,从根本上保证业务的连续性。
BS7799作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息安全治理手段,该标准的最大意义在于可以为管理层提供一套可量体裁衣的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言,以及保护信息资产的制度框架。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中级 信息 安全工程师 历年 经典 解析 part17