2019年上半年信息安全工程师上午试卷(答案与详细解析)Word文档格式.docx
《2019年上半年信息安全工程师上午试卷(答案与详细解析)Word文档格式.docx》由会员分享,可在线阅读,更多相关《2019年上半年信息安全工程师上午试卷(答案与详细解析)Word文档格式.docx(22页珍藏版)》请在冰豆网上搜索。
A
2、2018年10月,含有我国SM3杂凑算法的IS0/IEC10118-3:
2018《信息安全技术杂凑函数第3部分:
专用杂凑函数》由国际标准化组织(ISO)发布,SM3算法正式成为国际标准。
SM3的杂凑值长度为()。
A、8字节B、16字节C、32字节D、64字节
C解析:
SM3是中华人民共和国政府采用的一种密码散列函数标准,由国家密码管理局于2010年12月17日发布。
相关标准为“GM/T0004-2012《SM3密码杂凑算法》”。
在商用密码体系中,SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等,其算法公开。
据国家密码管理局表示,其安全性及效率与SHA-256相当。
3、BS7799标准是英国标准协会制定的信息安全管理体系标准,它包括两个部分:
《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。
依据该标准可以组织建立、实
施与保持信息安全管理体系,但不能实现()。
A、强化员工的信息安全意识,规范组织信息安全行为B、对组织内关键信息资产的安全态势进行动态监测C、促使管理层坚持贯彻信息安全保障体系
D、通过体系认证就表明体系符合标准,证明组织有能力保障重要信息
B机构实施BS7799的目的是按照先进的信息安全管理标准建立完整的信息安全管理体系,达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,获得较高的信息安全水平,从根本上保证业务的连续性。
所以B项不对。
P55
4、为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本原则,其中在信息系统中,应该对所有权限进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使它们之间相互制约、相互监督,共同保证信息系统安全的是()。
A、最小化原则
B、安全隔离原原则C、纵深防御原则D、分权制衡原则
D解析:
分权制衡原则:
在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。
如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
最小化原则:
受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。
仅被授予其访问信息的适当权限,称为最小化原则。
敏感信息的知情权一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。
可以将最小化原则细分为知所必须和用所必须的原则。
安全隔离原则:
隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。
信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
纵深防御原则:
是指不能只靠单一的安全机制,而应该通过多种机制互相支撑以实现安全的目的。
5、等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。
以下关于我国信息安全等级保护内容描述不正确的是()。
A、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
B、对信息系统中使用的信息安全产品实行按等级管理
C、对信息系统中发生的信息安全事件按照等级进行响应和处置
D、对信息安全从业人员实行按等级管理,对信息安全违法行为实行按等级惩处
6、研究密码破译的科学称为密码分析学。
密码分析学中,根据密码分析者可利用的数据资源,可将攻击密码的类型分为四种,其中适于攻击公开密钥密码体制,特别是攻击其数字签名的是()。
A、仅知密文攻击B、已知明文攻击C、选择密文攻击D、选择明文攻击
C解析:
仅知密文攻击是指密码分析者仅根据截获的密文来破译密码。
已知明文攻击是指密码分析者根据已经知道的某些明文—密文来对破译密码。
选择明文攻击是指密码分析者能够选择明文并获得相应的密文。
选择密文攻击是指密码分析者能够选择密文并获得相应的明文。
P78
7、基于MD4和MD5设计的S/Key口令是一种一次性口令生成方案,它可以对访问者的身份与设备进行综合验证,该方案可以对抗()。
A、网络钓鱼
B、数学分析攻击C、重放攻击
D、穷举攻击
C 解析:
S/Key口令协议:
运行于客户机/服务器环境中,是基于MD4和MD5的一次性口令生成方案。
S/KEY协议的认证过程是怎样的1.客户向需要身份认证的服务器提出连接请求;
2.服务器返回应答,带两个参数seed、seq;
3.客户输入口令,系统将口令与seed连接,做sed次Hash计算(MD4或MD5),产生一次性口令,传给服务器;
4.服务器端必须存储有一个文件(UNIX系统中位于/etc/skeykeys),它存储每一个用户上次登录的一次性口令,服务器收到用户传过来的一次性口令后,再进行一次Hash运算,与先前存储的口令比较,匹配则通过身份认证,并用这次一次性口令覆盖原先的口令。
下次客户登录时,服务器将送出seq’=seq-1,这样,如果用户确实是原来的那个真实客户,那么口令的匹配应该没有问题。
一次一密指在流密码当中使用与消息长度等长的随机密钥,密钥本身只使用一次。
重放攻击又称重播攻击或回放攻击,是指攻击者发送一个目的主机已接收过的包,特别是在认证的过程中,用于认证用户身份所接受的包,来达到欺骗系统的目的。
一次一密这样的密钥形式可以对抗重放攻击。
与2018年上半年第7题类似。
8、对于提高人员安全意识和安全操作技能来说,以下所列的安全管理方法最有效的是( )。
A、安全检查
B、安全教育和安全培训C、安全责任追究
D、安全制度约束
【参考答案】B:
9、访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。
信息系统访问控制的基本要素不包括()。
A、主体B、客体
C、授权访问D、身份认证
D
解析:
访问控制涉及到三个基本概念,即主体、客体、和授权访问。
主体:
一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括用户、用户组、终端、主机或一个应用,主体可以访问客体。
客体:
指一个包含或接受信息的被动实体,对客体的访问要受控。
授权访问:
指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的,绝对了谁能够访问系统,能访问熊的何种资源以及如何使用这些资源。
10、下面对国家秘密定级和范围的描述中,不符合《中华人民共和国保守国家秘密法》要求的是()。
A、对是否属于国家和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,
然后报国家保密工作部门备案
B、各级国家机关、单位对所产生的秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级,同时确定保密期限和知悉范围
C、国家秘密及其密级的具体范围,由国家行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定
D、对是否属于国家和属于何种密级不明确的事项,由国家保密行政管理部门,或省、自治区、直辖市的保密行政管理部门确定
A 解析:
根据《中华人民共和国保守国家秘密法》C项为第十一条,B项为十四条,A、D由十七条判断D对。
11、数字签名是对以数字形式存储的消息进行某种处理,产生一种类似于传统手书签名功效的信息处理过程。
数字签名标准DSS中使用的签名算法DSA是基于ElGamal和Schnorr两个方案而设计的。
当DSA对消息m的签名验证结果为True,也不能说明()。
A、接收的消息m无伪造B、接收的消息m无篡改C、接收的消息m无错误D、接收的消息m无泄密
对消息m的签名验证结果为真,说明消息m是对的,没有没篡改,
但是不能保证没有泄密。
P148
12、IP地址分为全球地址(公有地址)和专用地址(私有地址),在文档RFC1918中,不属于专用地址的是()。
A、10.0.0.0
到
10.255.255.255
B、255.0.0.0
255.255.255.255
C、172.16.0.0
172.31.255.255
D、192.168.0.0
192.168.255.255
B解析:
10.0.0.0-10.255.255.255(或记为10/8),172.16.0.0-172.31.255.255
(或记为172.16/12),192.168.0.0-192.168.255.255(或记为192.168/16)为专用地址。
13、人为的安全威胁包括主动攻击和被动攻击。
主动攻击是攻击者主动对信息系统实施攻击,导致信息或系统功能改变。
被动攻击不会导致系统信息的篡改,系统操作与状态不会改变。
以下属于被动攻击的是()。
A.嗅探
B.越权访问C.重放攻击D.伪装
A解析:
因为Sniffer(嗅探)是一种被动攻击软件,它并不对任何主机发送数据包,而只是静静地运行着,等待要捕获的数据包经过。
P226。
14、确保信息仅被合法实体访问,而不被泄露给非授权的实体或供其利用的特性是指信息的()。
A.完整性B.可用性C.保密性
D.不可抵赖性
C
保密性是确保信息被合法用户访问,而不被泄露给非授权的用户、实体或过程。
完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息未经授权不能进行改变的特性。
可用性是指所有资源在适当的时候可以由授权访问,即信息可被授权实体访问并按需求使用的特性。
P75
15、安全模型是一种对安全需求与安全策略的抽象概念模型,安全策略模型一般分为自主
访问控制模型和强制访问控制模型。
以下属于自主访问控制模型的是()。
A.BLP模型
B.基于角色的存取控制模型C.BN模型
D.访问控制矩阵模型
BLP、BN、基于角色都是强制访问控制。
16、认证是证实某事是否名副其实或者是否有效的一个过程。
以下关于认证的叙述中,不正确的是()。
A.认证能够有效阻止主动攻击
B.认证常用的参数有口令、标识符、生物特征等C.认证不允许第三方参与验证过程
D.
升级会员 