软考中级信息安全工程师历年经典真题及解析part9.docx

1、软考中级信息安全工程师历年经典真题及解析part9第1题单选题计算机犯罪是指利用信息科学技术且以计算机为犯罪对象的犯罪行为，与其他类型犯罪相比，具有明显的特征，下列说法中错误的是（ ）。A.计算机犯罪具有隐蔽性B.计算机犯罪具有高智能性，罪犯可能掌握一些高科技手段C.计算机犯罪具有很强的破坏性D.计算机犯罪没有犯罪现场【解析】 正确答案：D。计算机犯罪现场是指计算机犯罪嫌疑人实施犯罪行为的地点和遗留有与计算机犯罪有关的痕迹、物品（包括电子数据、电子设备等）或其他物证的场所。第2题单选题以下对OSI（开放系统互联）参考模型中数据链路层的功能叙述中描述最贴切的是（ ）。A.保证数据正确的顺序、无差

2、错和完整B.控制报文通过网络的路由选择C.提供用户与网络的接口D.处理信号通过介质的传输【解析】 正确答案：A。数据链路层最基本的服务是将源计算机网络层来的数据可靠的传输到相邻节点的目标计算机的网络层。为达到这一目的，数据链路层必须具备一系列相应的功能，主要有：1、如何将数据组合成数据块（在数据链路层中将这种数据块称为帧，帧是数据链路层的传送单位）；2、如何控制帧在物理信道上的传输，包括如何处理传输差错，如何调节发送速率以使之与接收方相匹配；3、在两个网路实体之间提供数据链路通路的建立、维持和释放管理。第3题单选题利用公开密钥算法进行数据加密时,采用的方式是（ ）。A.发送方用公开密钥加密,接

3、收方用公开密钥解密B.发送方用私有密钥加密,接收方用私有密钥解密C.发送方用公开密钥加密,接收方用私有密钥解密D.发送方用私有密钥加密,接收方用公开密钥解密【解析】 正确答案：C。在进行加密时，发送方用对方的公钥加密，接收方用自己的私钥解密。第4题单选题Linux系统的运行日志存储的目录是（ ）。A./var/logB./usr/logC./etc/logD./tmp/log【解析】 正确答案：A。Linux系统所有的日志文件都在/var/log目录下。第5题单选题网络蜜罐技术是一种主动防御技术，是入侵检测技术的一个重要发展方向，以下有关蜜罐说法不正确的是（ ）。A.蜜罐系统是一个包含漏洞的诱

4、骗系统，它通过模拟一个或者多个易受攻击的主机和服务，给攻击者提供一个容易攻击的目标B.使用蜜罐技术，可以使目标系统得以保护，便于研究入侵者的攻击行为C.如果没人攻击，蜜罐系统就变得毫无意义D.蜜罐系统会直接提高计算机网络安全等级，是其他安全策略不可替代的【解析】 正确答案：D。蜜罐系统是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络，通常不会提高计算机网络安全等级。第6题单选题在访问因特网时,为了防止Web页面中恶意代码对自己计算机的损害,

5、可以采取的防范措施是（ ）。A.将要访间的Web站点按其可信度分配到浏览器的不同安全区域B.利用SSL访问Web站点C.在浏览器中安装数字证书D.利用IP安全协议访问Web站点【解析】 正确答案：A。本题考查点是因特网中防止Web页面的恶意代码对自己计算机的损害而采取的防范措施。为了防止Web页面中恶意代码对自己计算机的损害，可以将要访问的Web站点按其可信度分配到浏览器的不同安全区域。划分不同安全区域是浏览器为保护用户计算机免受恶意代码的危害而采取的一种技术。通常浏览器将Web站点按其可信度分配到不同的区域，针对不同的区域指定不同的文件下载方式。第7题单选题依据国家信息安全等级保护相关标准，

6、军用不对外公开的信息系统的安全等级至少应该属于（ ）。A.二级及二级以上B.三级及三级以上C.四级及四级以上D.五级【解析】 正确答案：B。信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重

7、损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。对国家安全造成损害的至少在三级及三级以上。第8题单选题物理安全是计算机信息系统安全的前提，物理安全主要包括场地安全、设备安全和介质安全。以下属于介质安全的是（ ）。A.抗电磁干扰B.防电磁信息泄露C.磁盘加密技术D.电源保护【解析】 正确答案：C。介质安全是指介质数据和介质本身的安全，其目的是保护存储在介质上的信息，包括介质的防盗、介质的防毁（防霉、防砸）等；磁盘的安全防护包括磁盘信息加密技术和磁盘信息清除技术第9题单选题Kerberos是一种常用的身份认证协议,它采用的加密算法是（ ）。A.ElgamalB.DESC.MD5D

8、.RSA【解析】 正确答案：B。Kerberos是一种常用的身份认证协议，它采用数据加密标准（DES）加密算法进行加密。第10题单选题以下关于TCP协议的描述,错误的是（ ）。A.TCP是Internet传输层的协议,可以为应用层的不同协议提供服务B.TCP是面向连接的协议,提供可靠、全双工的、面向字节流的端到端的服务C.TCP使用二次握手来建立连接,具有很好的可靠性D.TCP每发送一个报文段,就对这个报文段设置一次计时器【解析】 正确答案：C。TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议，使用三次握手协议建立连接。第11题单选题DSS数字签名标准的核心是数字签名算法DSA，该签

9、名算法中杂凑函数采用的是（ ）。A.SHA1B.MDSC.MD4D.SHA2【解析】 正确答案：A。DSS数字签名标准的核心是数字签名算法DSA，该签名算法中杂凑函数采用的是SHA1算法。第12题单选题WI-FI网络安全接入是一种保护无线网络安全的系统,WPA加密的认证方式不包括（ ）。A.WPA和WPA2B.WEPC.WPA-PSKD.WPA2-PSK【解析】 正确答案：B。WPA有WPA和WPA2两个标准，是一种保护无线电脑网络（Wi-Fi）安全的系统，有四种认证方式：WPA、WPA-PSK、WPA2和WPA2-PSK。第13题单选题目前使用的防杀病毒软件的作用是（ ）。A.检查计算机是否

10、感染病毒；清除己感染的任何病毒B.杜绝病毒对计算机的侵害C.查出已感染的任何病毒，清除部分已感染病毒D.检查计算机是否感染病毒，清除部分已感染病毒【解析】 正确答案：D。防杀毒软件的作用是检查计算机是否感染已知病毒并清除它们，而对于那未知的或者是更高级的病毒无能为力。第14题单选题攻击者通过对目标主机进行端口扫描可以直接获得（ ）。A.目标主机的操作系统信息B.目标主机开放端口服务信息C.目标主机的登录口令D.目标主机的硬件设备信息【解析】 正确答案：B。端口扫描，顾名思义，就是逐个对一段端口或指定的端口进行扫描。通过扫描结果可以知道一台计算机上都提供了哪些服务，然后就可以通过所提供的这些服务

11、的已知漏洞就可进行攻击。第15题案例题阅读下列说明和C语言代码,回答问题1至问题4,将解答写在答题纸的对应栏内。【说明】在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。某系统采用的请求和应答两种类型的心跳包格式如图4-1所示。图4-1 协议包格式心跳包类型占1个字节，主要是请求和响应两种类型；心跳包数据长度字段占2个字节，表示后续数据或者负载的长度。接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数

12、p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字。void process_heartbeat(unsigned char *p, SOCKET s) unsigned short hbtype; unsigned int payload; hbtype=*p+; /心跳包类型 n2s(p, payload); /心跳包数据长度 pl=p; /pl指向心跳包数据 if（hbtype=HB_REQUEST） unsigned char *buffer, *bp; buffer=malloc(1+2+payload); *bp+=HB_RESPONSE; /填充1 byte的心跳

13、包类型 s2n(payload, bp); /填充2 bytes的数据长度 memcpy(bp,pl,payload); /*将构造好的心跳响应包通过socket s返回客户端 */ r=write_bytes(s, buffer,3+payload); 【问题1】（4分）（1）心跳包数据长度字段的最大取值是多少?（2）心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致？【问题2】（5分）（1）上述接收代码存在什么样的安全漏洞?（2）该漏洞的危害是什么?【问题3】（2分）模糊测试(Fuzzing)是一种非常重要的信息系统安全测评方法,它是一种基于缺陷注入的自动化测试技术。

14、请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报?【问题4】（4分）模糊测试技术能否测试出上述代码存在的安全漏洞?为什么?【解析】 正确答案：【问题1】（1）心跳包数据长度的最大取值为65535。（2）必须是一致的。【问题2】存在溢出安全漏洞。接收端处理代码在组装响应包时，心跳包数据长度字段(payload) 采用的是客户端发送的请求包中使用的长度字段，由于心跳包数据长度字段完全由客户端控制，当payload大于实际心跳包数据的长度时，将导致越界访问接收端内存，从而泄露内存信息。(2分)造成的危害:在正常的情况下，response 报文中的data就是request报文中的data

15、数据，但是在异常情况下，payload 的长度远大于实际数据的长度，这样就会发生内存的越界访问，但这种越界访问并不会直接导致程序异常，(因为这里直接memcpy后，服务器端并没有使用copy后的数据，而只是简单的进行了回复报文的填充，如果服务端使用了copy的数据也许就可能发现问题)这里使用了memcpy函数，该函数会直接根据长度把内存中数据复制给另一个变量。这样就给恶意的程序留下了后门，当恶意程序给data的长度变量赋值为65535时，就可以把内存中64KB的内存数据通过Response报文发送给客户端，这样客户端程序就可以获取到一些敏感数据泄露。【问题3】属于黑盒测试；不存在误报。【问题4

16、】不能。因为不会产生异常，模糊测试器就无法监视到异常，从而无法检测到该漏洞。【问题1】解析已知表示心跳包的数据长度值为2字节，则其最大长度为216-1=65535。心跳包中的数据长度字段给出的长度值必须与后续的数据字段的实际长度一致； 如果不一致会产生“心脏出血”漏洞，造成有用数据泄露。【问题2】解析心脏出血漏洞主要通过攻击者模拟向服务器端发送自己编写的Heartbeat心跳数据包，主要是HeartbeatMessage的长度与payload的length进行匹配，若payload_lenght长度大于HeartbeatMessage的length，则会在服务器返回的response响应包中产

17、生数据溢出，造成有用数据泄露。题中每条心跳包记录中包含一个类型域(type)、一个长度域(length)和一个指向记录数据的指针(data)。心跳包的第一个字节标明了心跳包的类型。宏n2s从指针p指向的数组中取出前两个字节，并把它们存入变量payload中这实际上是心跳包载荷的长度域(length)。注意程序并没有检查这条心跳包记录的实际长度。变量pl则指向由访问者提供的心跳包数据。 buffer = malloc(1 + 2 + payload)；程序将分配一段由访问者指定大小的内存区域，这段内存区域最大为 (65535 + 1 + 2) 个字节。变量bp是用来访问这段内存区域的指针。代码中

18、宏s2n与宏n2s干的事情正好相反：s2n读入一个16 bit长的值，然后将它存成双字节值，所以s2n会将与请求的心跳包载荷长度相同的长度值存入变量payload。然后程序从pl处开始复制payload个字节到新分配的bp数组中pl指向了用户提供的心跳包数据。最后，程序将所有数据发回给用户。如果用户并没有在心跳包中提供足够多的数据，比如pl指向的数据实际上只有一个字节，那么memcpy会把这条心跳包记录之后的数据（无论那些数据是什么）都复制出来。分配的buffer是根据数据包给出的长度字段来分配的，并在memcpy函数实现内存数据拷贝，因此有可能越界读取额外的内存数据，造成信息泄露。【问题3】

19、解析模糊测试是一种黑盒测试技术，它将大量的畸形数据输入到目标程序中， 通过监测程序的异常来发现被崩程序中可能存在的安全漏洞。模糊测试是一种基于缺陷注入的自动化测试技术，没有具体的执行规则，旨在预测软件中可能存在的错误以及什么样的输入能够触发错误。其通过模糊器向目标应用发送大量的畸形数据并监视程序运行异常以发现软件故障，通过记录触发异常的输入数据来进一步定位异常位置。与基于源代码的自盒测试相比，模糊测试的测试对象是二进制目标文件，因而具有更好的适用性:模糊测试是一种自动化的动态漏洞挖据技术，不存在误报，也不需要人工进行大量的逆向分析工作。【问题4】解析上述代码存在的信息泄露漏洞在模糊测试过程中，

20、不管用什么样的数据包长度去测试，被测代码都是正常运行，没有出现异常情况，因此也就无法判断是否有漏洞，所以模糊测试无法测试出该代码存在的漏洞。第16题单选题证书授权中心（CA）的主要职责不包含（ ）。A.证书管理B.证书签发C.证书加密D.证书撤销【解析】 正确答案：C。CA的功能主要有证书管理、证书签发、证书验证、证书撤销等，不包括证书加密。第17题单选题利用公开密钥算法进行数据加密时，采用的方式是（ ）。A.发送方用公开密钥加密，接收方用公开密钥解密B.发送方用私有密钥加密，接收方用私有密钥解密C.发送方用公开密钥加密，接收方用私有密钥解密D.发送方用私有密钥加密，接收方用公开密钥解密【解析

21、】 正确答案：C。在进行加密时，发送方用对方的公钥加密，接收方用自己的私钥解密。第18题单选题电子邮件已经成为传播恶意代码的重要途径之一,为了有效防止电子邮件中的恶意代码,应该用（ ）的方式阅读电子邮件。A.应用软件B.纯文本C.网页D.在线【解析】 正确答案：B。文本文件通常不会受电子邮件中的恶意代码的感染或携带恶意代码。第19题单选题根据密码分析者可利用的数据资源来分类，可将密码攻击的类型分为四类，其中密码分析者能够选择密文并获得相应明文的攻击密码的类型属于（ ）。A.仅知密文攻击B.选择密文攻击C.已知密文攻击D.选择明文攻击【解析】 正确答案：B。选择密文攻击是指密码分析者能够选择密文并获得相应的明文。第20题单选题含有两个密钥的3重DES加密：，其中K1K2，则其有效的密钥长度为（ ）。A.56 位B.112 位C.128 位D.168 位【解析】 正确答案：B。 2个密钥的三重DES加密，其有效密钥长度为112bit。