2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)
一.综合题(共15题)
1.
单选题
研究密码破译的科学称为密码分析学。密码分析学中,根据密码分析者可利用的数据资源,可将攻击密码的类型分为四种,其中适于攻击公开密钥密码体制,特别是攻击其数字签名的是 ( )。
问题1选项
A.仅知密文攻击
B.已知明文攻击
C.选择密文攻击
D.选择明文攻击
【答案】C
【解析】本题考查公钥密码体制和数字签名相关知识。
已知明文攻击:攻击者不仅可以得到一些消息的密文,而且也知道对应的明文。
仅知密文攻击:攻击者有一些消息的密文,这些密文都是用相同的加密算法进行加密得到。
选择明文攻击:攻击者不仅可以得到一些消息的密文和相应的明文,而且还可以选择被加密的明文。
选择密文攻击:攻击者能够选择一些不同的被加密的密文并得到与其对应的明文信息,攻击者的任务是推算出加密密钥。
使用选择密文攻击的攻击者掌握对解密机的访问权限,可构造任意密文所对应的明文。在此种攻击模型中,密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻击的加密算法解密,透过未知的密钥获得解密后的明文。故本题选C。
点播:数字签名是指签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果。该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。数字签名具有手写签名一样的特点,是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的。
2.
单选题
僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序,从而在控制者和被感染主机之间形成的一个可以一对多控制的网络。以下不属于僵尸网络传播过程常见方式的是( )。
问题1选项
A.主动攻击漏洞
B.恶意网站脚本
C.字典攻击
D.邮件病毒
【答案】C
【解析】本题考查僵尸网络方面的基础知识。
僵尸网络在传播过程中有如下几种手段:主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马。
答案选C。
3.
单选题
( )是指采用一种或多种传播手段,将大量主机感染bot程序,从而在控制者和被感染主机之间形成的一个可以一对多控制的网络。
问题1选项
A.特洛伊木马
B.僵尸网络
受到arp攻击C.ARP欺骗
D.网络钓鱼
【答案】B
【解析】本题考查恶意代码和僵尸网络相关知识。
特洛伊木马:是恶意代码的一种类型,具有伪装能力、隐蔽执行非法功能的恶意程序。简单来说就是伪装成有用的软件,诱骗用户下载执行。
僵尸网络:指采用一种或多种传播手段,将大量主机感染bot程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
ARP欺骗:攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存,进行地址欺骗,干扰交换机的正常运行。
网络钓鱼:是一种通过假冒可信方(银行、信用卡公司等)提供上网服务,以欺骗手段获取敏感个人信息(如信用卡详细信息等)的攻击方式。
故本题选B。
点播:僵尸网络是指攻击者利用入侵手段将僵尸程序植入目标计算机上,进而操控受害机执行恶意活动的网络。僵尸网络的工作过程分为传播阶段、加入阶段、控制阶段。
Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE
Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE
4.
单选题
目前网络安全形势日趋复杂,攻击手段和攻击工具层出不穷,攻击工具日益先进, 攻击者需要的技能日趋下降。以下关于网络攻防的描述中,不正确的是( )。
问题1选项
A.嗅探器Sniffer工作的前提是网络必须是共享以太网
B.加密技术可以有效抵御各类系统攻击
C.APT的全称是高级持续性威胁
D.同步包风暴(SYN Flooding)的攻击来源无法定位
【答案】B
【解析】本题考查网络攻防相关知识。
加密用以确保数据的保密性,阻止对手的被动攻击,如截取,窃听等,而对于各类主动攻击,
如篡改、冒充、重播等却是无能为力的。故本题选B。
点播:加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用。世界上没有绝对安全的密码体制,自然也不存在某种加密技术能抵挡所有攻击。
5.
案例题
阅读下列说明,回答问题1至问题8,将解答填入答题纸的对应栏内。
【说明】
密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。密码学中,根据加密和解密过程所采用密钥的特点可以将密码算法分为两类:对称密码算法和非对称密码算法。此外,密码技术还用于信息鉴别、数据完整性检验、数字签名等。
【问题1】(3分)
信息安全的基本目标包括:真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。密码学的三大安全目标C.I.A分别表示什么?
【问题2】(3分)
RSA公钥密码是一种基于大整数因子分解难题的公开密钥密码。对于RSA密码的参数:p,q,n,p(n),e,d,哪些参数是可以公开的?
【问题3】(2分)
如有RSA密码算法的公钥为(55,3) ,请给出对小王的年龄18进行加密的密文结果。
【问题4】(2分)
对于RSA密码算法的公钥(55,3),请给出对应私钥。
【问题5】(2分)
在RSA公钥算法中,公钥和私钥的关系是什么?
【问题6】(2分)
在RSA密码中,消息m的取值有什么限制?
【问题7】(3 分)
是否可以直接使用RSA密码进行数字签名?如果可以,请给出消息m的数字签名计算公式。如果不可以,请给出原因。
【问题8】(3分)
上述RSA签名体制可以实现问题1所述的哪三个安全基本目标?
【答案】【问题1】
保密性、完整性、可用性。
【问题2】
n, e
【问题3】
【问题4】
(55,27
)
【问题5】
eXd=1 mod φ(n);一个加密另一个可以解开;从一个密钥无法推导出另一个。
【问题6】
消息m的十进制表示值小于n的值。
【问题7】
可以。
签名:用私钥加密;验证:用公钥解密。
签名=memodn
【问题8】
真实性、保密性、完整性
【解析】本题考查公钥密码算法RSA的基本原理及其加解密过程。
此类题目要求考生对常见的密码算法及其应用有清晰的了解。
【问题1】
CIA分别表示单词Confidentiality、Integrity 和Availability,也就是保密性、完整性和可用性三个安全目标的缩写。
【问题2】
RSA密码是基于大数分解难题,RSA密码的参数主要有: p,q,n,p(n),e,d, 其中模数n=pXq, q(
m)=(p-1)X(q-1), eXd=lmod o(n),由这些关系,只有n和e作为公钥是可以公开的,其他的任何一个参数泄露,都会导致私钥泄露。
【问题3】
根据RSA加密算法,密文c= 183 mod 55=2。
【问题4】
根据n=55,可知p=lI, g=5,o(n)=-40, 由e=3,可得到d=27时满足eXd=lmod40,因此私钥为(55, 27)。
【问题5】
公钥密码体制有两个密钥,一个是公钥,一个是私钥。其中一个用于加密,可以用另一个解密。
【问题6】
消息m所表示的10进制值不能大于模数n的值,否则将导致解密有误。
【问题7】
使用RSA可以进行数字签名,直接用私钥对消息进行加密即可,其他人可以用对应的公钥进行解密并验证签名。签名公式就是消息的加密公式。
签名=m mod n
【问题8】
RSA签名体制的私钥签名确保消息的真实性,RSA加密提高保密性,哈希计算提高完整性。
6.
单选题
为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本原则,其中在信息系统中,应该对所有权限进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使它们之间相互制约、相互监督,共同保证信息系统安全的是 ( )。
问题1选项
A.最小化原则
B.安全隔离原则
C.纵深防御原则
D.分权制衡原则
【答案】D
【解析】本题考查网络权限管理相关知识。
最小化原则:受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的知情权一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须和用所必须的原则。
安全隔离原则:隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前
提下实施主体对客体的访问。
纵深防御原则:纵深防御是指不能只依赖单一安全机制,应该建立多种机制,互相支撑以达到比较满意的目的。
分权制衡原则:在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果一个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
点播:网络安全体系在建立过程中主要遵循以下原则:系统性和动态性原则、纵深防护与协作性原则、网络安全风险和分级保护原则、标准化与一致性原则、技术与管理相结合原则、安全第一,预防为主原则、安全与发展同步,业务与安全等同、人机物融合和产业发展原则。
7.
单选题
Web服务器也称为网站服务器,可以向浏览器等Web客户端提供文档,也可以放置网站文件和数据文件。目前最主流的三个Web服务器是Apache. Nginx. IIS。Web服务器都会受到HTTP协议本身安全问题的困扰,这种类型的信息系统安全漏洞属于( )。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论