2016年下半年信息安全工程師真題及答案

2016試題一（共20分）閱讀下列說明和圖，回答問題1至問題4,將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】研究密碼編碼的科學稱為密碼編碼學，研究密碼破譯的科學稱為密碼分析學，密碼編碼學和密碼分析學共同組成密碼學。密碼學作為信息安全的關(guān)鍵技術(shù)，在信息安全領(lǐng)域有著廣泛的應(yīng)用。問題1】（9分）密碼學的安全目標至少包括哪三個方面？具體內(nèi)涵是什么？1）保密性：保密性是確保信息僅被合法用戶訪問，而不被地露給非授權(quán)的用戶、實體或過程，或供其利用的特性。即防止信息泄漏給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性?；蜻^程，或供其利用的特性。即防止信息泄漏給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。2）完整性：完整性是指所有資源只能由授權(quán)方或以授權(quán)的方式進行修改，2）完整性：完整性是指所有資源只能由授權(quán)方或以授權(quán)的方式進行修改，即信息未經(jīng)授權(quán)不能進行改變的特性。信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。3）可用性：可用性是指所有資源在適當?shù)臅r候可以由授權(quán)方訪問，3）可用性：可用性是指所有資源在適當?shù)臅r候可以由授權(quán)方訪問，即信息可被授權(quán)實體訪問并按需求使用的特性信息服務(wù)在需要時，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級使用時，仍能為授權(quán)用信息服務(wù)在需要時，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)的特性?！締栴}2】（3分）對下列違規(guī)安全事件，指出各個事件分別違反了安全目標中的哪些項？（1）小明抄襲了小麗的家庭作業(yè)。（2）小明私自修改了自己的成績。（3）小李竊取了小劉的學位證號碼、登陸口令信息，并通過學位信息系統(tǒng)更改了小劉的學位信息記錄和登陸口令，將系統(tǒng)中小劉的學位信息用一份偽造的信息替代，（1）保密性（2）完整性（3）可用性【問題3】（3分）現(xiàn)代密碼體制的安全性通常取決于密鑰的安全，為了保證密鑰的安全，密鑰管理包括哪些技術(shù)問題？答：密鑰管理包括密鑰的產(chǎn)生、存儲、分配、組織、使用、停用、更換、銷毀等一系列技術(shù)問題。 造成小劉無法訪問學位信息系統(tǒng)【問題4】（5分）在圖1-1給出的加密過程中，Mi，z=1，2，表示明文分組，Ci，f=1，2，表示密文分組，Z表示初始序列，K表示密鑰，E表示分組加密過程。該分組加密過程屬于哪種工作模式？這種分組密碼的工作模式有什么缺點？明密文鏈接模式。缺點：當Mi或Ci中發(fā)生一位錯誤時，自此以后的密文全都發(fā)生錯誤，即具有錯誤傳播無界的特性，不利于磁盤文件加密。并且要求數(shù)據(jù)的長度是密碼分組長度的整數(shù)否后一個數(shù)據(jù)塊將是短塊，這時需要特殊處理。試題二（共10分）閱讀下列說明和圖，回答問題1至問題2，將解答填入答題紙的對應(yīng)欄內(nèi)。【說明】訪問控制是對信息系統(tǒng)資源進行保護的重要措施，適當?shù)脑L問控制能夠阻止未經(jīng)授權(quán)的用戶有意或者無意地獲取資源。訪問控制一般是在操作系統(tǒng)的控制下，按照事先確定的規(guī)則決定是否允許用戶對資源的訪問。圖2-1給出了某系統(tǒng)對客體traceroute.mpg實施的訪問控制規(guī)則。II【問題1】（3分）針對信息系統(tǒng)的訪問控制包含哪些基本要素？【問題1】主體、客體、授權(quán)訪問問題2】（7分）分別寫出圖2-1中用戶Administrator對應(yīng)三種訪問控制實現(xiàn)方法，即能力表、訪問控制表、訪問控制矩陣下的訪問控制規(guī)試題三（共19分）閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)【說明】防火墻是一種廣泛應(yīng)用的網(wǎng)絡(luò)安全防御技術(shù)，它阻擋對網(wǎng)絡(luò)的非法訪問和不安全的數(shù)據(jù)傳遞，保護本地系統(tǒng)和網(wǎng)絡(luò)免于受到安全威脅。圖3-1給出了一種防火墻的體系結(jié)構(gòu)則?！締栴}1】（6分）防火墻的體系結(jié)構(gòu)主要有：（1）雙重宿主主機體系結(jié)構(gòu)；（2）（被）屏蔽主機體系結(jié)構(gòu)；（3）（被）屏蔽子網(wǎng)體系結(jié)構(gòu)；請簡要說明這三種體系結(jié)構(gòu)的特點。雙重宿主主機體系結(jié)構(gòu)：雙重宿主主機體系結(jié)構(gòu)是指以一臺雙重宿主主機作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的任務(wù)。雙宿主機網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。雙宿主機的兩塊網(wǎng)卡分別與受保護的內(nèi)部子網(wǎng)及Internet網(wǎng)絡(luò)連接，起著監(jiān)視和隔離應(yīng)用層信息流的作用，徹底隔離了所有的內(nèi)部主機與外部主機的可能連接。被屏蔽主機體系結(jié)構(gòu)：被屏蔽主機體系結(jié)構(gòu)是指通過于個單獨的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機共同構(gòu)成防火墻，主要通過數(shù)據(jù)包過濾實現(xiàn)內(nèi)外網(wǎng)絡(luò)的隔離和對內(nèi)網(wǎng)的保護。屏蔽主機型防火墻也叫主機過濾防火墻，由堡壘主機和包過濾路由器組成，所有的外部主機與一個堡壘主機相連接而不讓它們與內(nèi)部主機直接相連。通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機成為唯一可以從外部網(wǎng)絡(luò)直接到達的主機，符合規(guī)則的數(shù)據(jù)包被傳送到堡壘主機。堡壘主機的代理服務(wù)軟件將允許通過的信息傳輸?shù)绞鼙Ｗo的內(nèi)部網(wǎng)絡(luò)，這就確了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。被屏蔽子網(wǎng)體系結(jié)構(gòu)：被屏蔽子網(wǎng)體系結(jié)構(gòu)將防火墻的概念擴充至一個由滿谷路由包國起來的邊網(wǎng)絡(luò)，并且將容易受到攻擊的堡壘主機都置于這個周邊網(wǎng)絡(luò)中。其主要由四個部件構(gòu)成，分別為：周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機。子網(wǎng)過濾結(jié)構(gòu)是在主機過濾結(jié)構(gòu)中又增加一個額外的安全層次而構(gòu)成的。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。增加的安全層次包括一臺堡壘主機和一套路由器。兩臺路由器之間是一個被稱為周邊網(wǎng)絡(luò)或參數(shù)網(wǎng)絡(luò)的安全子網(wǎng)，也叫DMZ（隔離區(qū)或軍事區(qū)）。使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間有了兩層隔斷。統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的任務(wù)。被屏蔽主機體系結(jié)構(gòu)：被屏蔽主機體系結(jié)構(gòu)是指通過一個單獨的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機共同構(gòu)成防火墻，主要通過數(shù)據(jù)包過濾實現(xiàn)內(nèi)外網(wǎng)絡(luò)的隔離和對內(nèi)網(wǎng)的保護。被屏蔽子網(wǎng)體系結(jié)構(gòu)：被屏蔽子網(wǎng)體系結(jié)構(gòu)將防火墻的概念擴充至一個由兩臺路由器包圍起來的周邊網(wǎng)絡(luò)，并且將容易受到攻擊的堡壘主機都置于這個周邊網(wǎng)絡(luò)中。其主要由四個部件構(gòu)成，分別為 ：周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機?！締栴}2】(5分)圖3-1描述的是哪一種防火墻的體系結(jié)構(gòu)？其中內(nèi)部包過濾器和外部包過濾器的作用分別是什么？【問題3】(8分)設(shè)圖3-1中外部包過濾器的外部IP地址為10.20.100.1，內(nèi)部IP地址為10.20.100.2，內(nèi)部包過濾器的外部IP地址為10.20.100.3，內(nèi)部IP地址為192.168.0.1，DMZ中Web服務(wù)器IP為10.20.100.6，SMTP服務(wù)器IP為10.20.100.8.關(guān)于包過濾器，要求實現(xiàn)以下功能，不允許內(nèi)部網(wǎng)絡(luò)用戶訪問外網(wǎng)和 DMZ，夕卜部網(wǎng)絡(luò)用戶只允許訪問DMZ中的Web服務(wù)器和SMTP服務(wù)器。內(nèi)部包過濾器規(guī)則如表3-1所示。請完成外部包過濾器規(guī)則表3-2,將對應(yīng)空缺表項的答案填入答題紙對應(yīng)欄內(nèi)?！締栴}2】答案屏蔽子網(wǎng)體系結(jié)構(gòu)。內(nèi)部路由器：內(nèi)部路由器用于隔離周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第二道屏障。在其上設(shè)置了針對內(nèi)部用戶的訪問過濾規(guī)劃，對內(nèi)部用戶訪問周邊網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進行限制。外部路由器：外部路由器的主要作用在于保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第一道屏障。在其上設(shè)置了對周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)進行訪問的過濾規(guī)則，該規(guī)則主要針對外網(wǎng)用戶。)*)10.20.100.8)10.20.100.8)*)UDP)10.20.100.3)UDP)10.20.100.3試題四(共18分)四況I貝>叨，㈡口IT心I土|JJ心r,/|寸g-口決八！=1心二人口：以/I二If【說明】用戶的身份認證是許多應(yīng)用系統(tǒng)的第一道防線，戶B對身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密極及其重要。以下過程給出了實現(xiàn)用用戶A身份的認證過程。A->B:AB->A:{B,Nb}（A）A->B:h（Nb）此處A和B是認證的實體，Nb是一個隨機值，pk（A）表示實體A的公鑰，{B,Nb}pk（A）表示用A的公鑰對消息B娜進行加密處理，h（Nb）表示用哈希算法h對Nb計算哈希值?！締栴}1】（5分）認證與加密有哪些區(qū)別？認證和加密的區(qū)別在于：加密用以確保數(shù)據(jù)的保密性，阻止對手的被動攻擊，如截取，竊聽等；而認證用以確保報文發(fā)送者和接收者的真實性以及報文的完整性，阻止對手的主動攻擊，如冒充、篡改、重播等【問題2】（6分）（1） 包含在消息2中的“Nb”起什么作用？Nb是一個隨機值，只有發(fā)送方B和A知道，起到抗重放攻擊作用。（2） Nb“的選擇應(yīng)滿足什么條件？應(yīng)具備隨機性，不易被猜測?！締栴}3】（3分）為什么消息3中的Nb要計算哈希值？哈希算法具有單向性，經(jīng)過哈希值運算之后的隨機數(shù)，即使被攻擊者截獲也無法對該隨機數(shù)進行還原，獲取該隨機數(shù)Nb的產(chǎn)生信息。【問題4】（4分）上述協(xié)議存在什么安全缺陷？請給出相應(yīng)的的解決思路。攻擊者可以通過截獲h（Nb）冒充用戶A的身份給用戶 B發(fā)送h（Nb）。解決思路：用戶A通過將A的標識和隨機數(shù)Nb進行哈希運算，將其哈希值h（A，Nb）發(fā)送給用戶B，用戶B接收后，利用哈希函數(shù)對自己保存的用戶標識A和隨機數(shù)Nb進行加密，并與接收到的h（A，Nb）進行比較。若兩者相等，則用戶B確認用戶A的身份是真實的，否則認為用戶A的身份是不真實的。試題五（共8分）閱讀下列說明和代碼，回答問題1和問題2,將解答寫在答題紙的對應(yīng)欄內(nèi)?！菊f明】某本地口令驗證函數(shù)（C語言環(huán)境，X8632指令集）包含如下關(guān)鍵代碼；某用戶的口令保存在字符數(shù)組origPassword中，用戶輸入的口令保存在字符數(shù)組userPassword中，如果兩個數(shù)組中的內(nèi)容相同則允許進入系統(tǒng)。...CharorigPassword[12]="lSecret”CharorigPassword[12];[...]Gets（userPassword）;/*讀取用戶輸入的口令 */[...]If（strncmp（origPassword,userPassword,12）!=0）{Printf（"Password,domesantch!/n't”）;Exit（-1）;}[...]/*口令認證通過時允許用戶訪問 */[...]【問題1】（4分）用戶在調(diào)用gets（）函