2016年下半年-信息安全工程师-答案详解

2016年11月第1题以下有关信息安全管理员职责的叙述，不正确的是(1)。(1)A.信息安全管理员应该对网络的总体安全布局进行规划B.信息安全管理员应该对信息系统安全事件进行处理C.信息安全管理员应该负责为用户编写安全应用程序D.信息安全管理员应该对安全设备进行优化配置【答案】C【解析】信息安全管理员的职责包括对网络的总体安全布局进行规划，对信息系统安全事件进行处理，对安全设备进行优化配置等职责。为用户编写安全应用程序不属于信息安全管理员的职责范围。2016年11月第2题国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”，其中规定密钥协商算法应使用的是(2).(2)A.DHB.ECDSAC.ECDHD.CPK【答案】C【解析】国家密码管理局于2006年发布了无线局域网产品须使用的系列密码算法;，包括对称密码算法：SMS4；签名算法：ECDSA；密钥协商算法：ECDH；杂凑算法：SHA-256；随机数生成算法等。2016年11月第3题以下网络攻击中，(3)属于被动攻击。(3)A.拒绝服务攻击B.重放C.假冒D.流量分析【答案】D【解析】流量分析是指通过一定的技术手段，实时监测用户网络七层结构中各层的流量分布，进行协议、流量的综合分析，从而有效的发现、预防网络流量和应用上的瓶颈，为网络性能的优化提供依据，属于被动攻击。2016年11月第4题(4)不属于对称加密算法。(4)A.IDEAB.DESC.RC5D.RSA【答案】D【解析】IDEA、DES、RC5都属于对称加密算法，RSA属于非对称加密算法。2016年11月第5题面向身份信息的认证应用中，最常用的认证方式是(5).(5)A.基于数据库认证B.基于摘要算法认证C.基于PKI认证D.基于账户名和口令认证【答案】D【解析】在面向身份信息认证应用中最常用的方式是基于账户名和口令认证，比如日常常用的操作系统登录，邮件系统登录等都需要输入对应的用户名和密码才能进入系统。2016年11月第6题如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为(6).(6)A.公钥加密系统B.单密钥加密系统C.对称加密系统D.常规加密系统【答案】A【解析】公钥加密系统又称之为非对称加密系统，其使用的加密密钥和解密密钥不同，从其中的一个密钥难以推出另一个密钥。2016年11月第7题SiKey口令是一种一次性口令生成方案，它可以对抗(7).(7)A.恶意代码木马攻击B.拒绝服务攻击C.协议分析攻击D.重放攻击【答案】D【解析】一次一密指在流密码当中使用与消息长度等长的随机密钥,密钥本身只使用一次。重放攻击又称重播攻击或回放攻击，是指攻击者发送一个目的主机已接收过的包，特别是在认证的过程中，用于认证用户身份所接收的包，来达到欺骗系统的目的。一次一密这样的密钥形式可以对抗重放攻击。2016年11月第8题防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制,它不能阻止(8).(8)A.内部威胁和病毒威胁B.外部攻击C.外部攻击、外部威胁和病毒威胁D.外部攻击和外部威胁【答案】A【解析】防火墙是一种位于内部网络与外部网络之间的网络安全系统，内外网络通信时，依照特定的规则，允许或是限制传输的数据通过。它不能防范内部威胁及病毒威胁。2016年11月第9题以下行为中，不属于威胁计算机网络安全的因素是(9).(9)A.操作员安全配置不当而造成的安全漏洞B.在不影响网络正常工作情况下，进行截获、窃取、破译以获得重要机密信息C.安装非正版软件D.安装蜜罐系统【答案】D【解析】蜜罐好比是情报收集系统。好比是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。它是一种防御手段。2016年11月第10题电子商务系统除了面临一般的信息系统所涉及的安全威胁之外，更容易成为不法分子的攻击目标，其安全性需求普遍高于一般的信息系统。电子商务系统中的电子交易安全需求不包括(10).(10)A.交易的真实性B.交易的保密性和完整性C.交易的可撤销性D.交易的不可抵赖性【答案】C【解析】电子商务交易安全需求包括交易的保密性、完整性、真实性、不可抵赖性。交易的可撤销性不属于电子商务交易安全需求。2016年11月第11题以下关于认证技术的叙述中，错误的是(11).(11)A.指纹识别技术的利用可以分为验证和识别B.数字签名是十六进制的字符串C.身份认证是用来对信息系统中实体的合法性进行验证的方法D.消息认证能够确定接收方收到的消息是否被篡改过【答案】B【解析】数字签名与手写签名类似，只不过手写签名是模拟的，因人而异。数字签名是0和1的数字串，因消息而异。2016年11月第12题有一种原则是对信息进行均衡、全面的防护，提高整个系统的“安全最低点”的安全性能，该原则称为(12).(12)A.动态化原则B.木桶原则C.等级性原则D.整体原则【答案】B【解析】“木桶原则”，即，对信息均衡、全面地进行保护。“木桶的最大容积取决于最短的一块木板”，攻击者必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测（包括模拟攻击），是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段；根本目标是提高整个系统的“安全最低点”的安全性能。“整体性原则”，即，安全防护、监测和应急恢复。没有百分之百的网络系统信息安全，因此要求在网络被攻击、破坏事件的情况下，必须尽可能快地恢复网络的服务，减少损失。所以信息安全系统应该包括三种机制：安全防护机制；安全监测机制；安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度。“等级性”，即，安全层次和安全级别。良好的信息安全系统必然是分为不同级别的，包括：对信息保密程度分级（绝密、机密、秘密、普密）；对用户操作权限分级（面向个人及面向群组），对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面的、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。“动态化”原则，即，整个系统内尽可能引入更多的可变因素，并具有良好的扩展性。被保护的信息的生存期越短、可变因素越多，系统的安全性能就越高。安全系统要针对网络升级保留一定的冗余度，整个系统内尽可能引入更多的可变因素。2016年11月第13题在以下网络威胁中(13)不属于信息泄露。(13)A.数据窃听B.流量分析C.偷窃用户帐号D.暴力破解【答案】D【解析】暴力破解的基本思想是根据题目的部分条件确定答案的大致范围，并在此范围内对所有可能的情况逐一验证，直到全部情况验证完毕。它不属于信息泄露。2016年11月第14题未授权的实体得到了数据的访问权，这属于对安全的(14)的破坏.(14)A.机密性B.完整性C.合法性D.可用性【答案】A【解析】保密性是指网络信息不被泄露给非授权的用户、实体或过程，即信息只为授权用户使用。2016年11月第15题按照密码系统对明文的处理方法，密码系统可以分为(15)。(15)A.置换密码系统和易位密码系统B.密码学系统和密码分析学系统C.对称密码系统和非对称密码系统D.分组密码系统和序列密码系统【答案】D【解析】按照密码系统对明文的处理方法，密码系统可以分为分组密码系统和序列密码系统。2016年11月第16题数字签名最常见的实现方法是建立在（16）的组合基础之上.(16)A.公钥密码体制和对称密码体制B.对称密码体制和MD5摘要算法C.公钥密码体制和单向安全散列函数算法D.公证系统和MD4摘要算法【答案】C【解析】数字签名可以利用公钥密码体制、对称密码体制或者公证系统来实现。最常见的实现方法是建立在公钥密码体制和单向安全散列函数算法的组合基础之上。2016年11月第17题以下选项中，不属于生物识别方法的(17).(17)A.指纹识别B.声音识别C.虹膜识别D.个人标记号识别【答案】D【解析】指纹识别、声音识别、虹膜识别都属于生物识别方法，个人标记号不属于生物识别方法。2016年11月第18题计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与提取。以下关于计算机取证的描述中，错误的是(18).(18)A.计算机取证包括对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档B.计算机取证围绕电子证据进行，电子证据具有高科技性、无形性和易破坏性等特点C.计算机取证包括保护目标计算机系统、确定收集和保存电子证据，必须在开机的状态下进行D.计算机取证是上门在犯罪进行过程中或之后收集证据的技术【答案】C【解析】计算机取证包括保护目标计算机系统、确定电子证据、收集电子证据和保存电子证据。对现场计算机的部分通用处理原则有：已经开机的计算机不要关机，关机的计算机不要开机。2016年11月第19题注入语句：http：//xxx.xxx.xxx/abc.asp?p=YYanduser0不仅可以判断服务器的后台数据库是否为SQL-SERVER，还可以得到（19）。(19)A.当前连接数据库的用户数量B.当前连接数据库的用户名C.当前连接数据库的用户口令D.当前连接的数据库名【答案】B【解析】注入语句：http：//xxx.xxx.xxx/abc.asp?p=YYanduser0，服务器运行“Select*from表名where字段=YYanduser0”显然，该语句不能正常执行会出错，从其错误信息中不仅可以获知该服务器的后台数据库是否为SQL-SERVER，还可以得到当前连接的数据库的用户名。2016年11月第20题数字水印技术通过在数字化多媒体数据中嵌入隐蔽的水印标志，可以有效实现对数字多媒体数据的版权保护等功能。以下各项中，不属于数字水印在数字版权保护中必须满足的其本应用需求的是(20).(20)A.安全性B.隐蔽性C.鲁棒性D.可见性【答案】D【解析】数字水印必须满足的基本应用需求是安全性、隐蔽性、鲁棒性。2016年11月第21题有一种攻击是不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪。这种攻击叫做(21)。(21)A.重放攻击B.拒绝服务攻击C.反射攻击D.服务攻击【答案】B【解析】拒绝服务攻击是不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪。2016年11月第22题在访问因特网时，为了防止Web页面中恶意代码对自己计算机的损害，可以采取的防范措施是(22).(22)A.将要访问的Web站点按其可信度分配到浏览器的不同安全区域B.在浏览器中安装数字证书C.利用IP安全协议访问Web站点D.利用SSL访问Web站点【答案】A【解析】本题考查点是因特网中防止Web页面的恶意代码对自己计算机的损害而采取的防范措施。为了防止Web页面中恶意代码对自己计算机的损害，可以将要访问的Web站点按其可信度分配到浏览器的不同安全区域。划分不同安全区域是浏览器为保护用户计算机免受恶意代码的危害而采取的一种技术。通常浏览器将Web站点按其可信度分配到不同的区域，针对不同的区域指定不同的文件下载方式。2016年11月第23题下列说法中，错误的是(23).(23)A.服务攻击是针对某种特定的网络应用的攻击B.主要的渗入威胁有特洛伊木马和陷阱C.非服务攻击是针对网络层协议而进行的D.对于在线业务系统的安全风险评估，应采用最小影响原则【答案】B【解析】主要的渗入威胁有假冒、旁路、授权侵犯，主要的植入威胁有特洛伊木马和陷阱。2016年11月第24题依据国家信息安全等级保护相关标准，军用不对外公开的信息系统的安全等级至少应该属于(24).(24)A.二级及二级