信息安全工程师-案例分析（2016-2023真题）

BRAVE_YAYA

已于 2024-12-25 17:12:05 修改

阅读量1.1k

点赞数 31

文章标签：网络安全密码学安全 web安全

于 2024-12-23 13:56:14 首次发布

本文链接：https://blog.youkuaiyun.com/m0_56010012/article/details/144658792

版权

文章为真题案题型分类，方便归纳章节知识点，部分简单真题没有相关答案解析，后续需要，可以更新答案版解析。

密码学应用

2016（基本概念）

【说明】

研究密码编码的科学称为密码编码学，研究密码破译的科学称为密码分析学，密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。

【问题1】(9分)

密码学的安全目标至少包括哪三个方面?具体内涵是什么?

【问题2】(3分)

对下列违规安全事件，指出各个事件分别违反了安全目标中的哪些项?

(1)小明抄袭了小丽的家庭作业。

(2)小明私自修改了自己的成绩,

(3)小李窃取了小刘的学位证号码、登录口令信息，并通过学位信息系统更改了小刘的学位信息记录和登录口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。

【问题3】(3分)

现代密码体制的安全性通常取决于密钥的安全，为了保证密钥的安全，密钥管理包括哪些技术问题?

生成、存储、分发、使用、更新、撤销、备份、恢复、销毁、审计

【问题4】(5分)

在图1-1给出的加密过程中，Mi，i=1，2，…，n表示明文分组，Ci，i=1，2，…，n表示密文分组，Z表示初始序列，K表示密钥，E表示分组加密过程。该分组加密过程属于哪种工作模式?这种分组密码的工作模式有什么缺点?

明密文链接模式

缺点:当Mi或Ci中发生一位错误时，自此以后的密文全都发生错误，即具有错误传播无界的特性，不利于磁盘文件加密。并且要求数据的长度是密码分组长度的整数倍，否则最后一个数据块将是短块，这时需要特殊处理。

2017（基本概念）

【说明】

安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信息类型的安全分类有以下表达形式:

{ (机密性，影响等级)， (完整性，影响等级)， (可用性，影响等级) }

在上述表达式中，“影响等级”的值可以取为低（L）、中（M）、高（H）三级以及不适用（NA）。

【问题1】（6分）

请简要说明机密性、完整性和可用性的含义。

【问题2】（2分）

对于影响等级“不适用”通常只针对哪个安全要素？

【问题3】（3分）

如果一个普通人在他的个人Web服务器上管理其公开信息。请问这种公开信息的安全分类是什么？

2019（仿射密码+基本概念）

【说明】密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类:对称密码算法和非对称密码算法。此外，密码技术还用于信息鉴别数据完整性检验、数字签名等。

【问题1】(6分)信息安全的基本目标包括真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。密码学的三大安全目标C.I.A分别表示什么?

【问题2】(5分)

仿射密码是一种典型的对称密码算法。仿射密码体制的定义如下：

令明文和密文空间 $M=C=$ $Z_{26}$ ，密钥空间 $K=\{(k_1,k_2) \in Z_{26} \times Z_{26} \colon gcd(k_1,26) =1 \}$ 。对任意的密钥 $key=(k_1,k_2)\in K,x\in M,y\in C$ ,定义加密和解密的过程如下:

其中 $k_1^{-1}$ 表示 $k_1$ 在 $Z_{26}$ 中的乘法逆元，即 $k_1^{-1}$ 乘以 $k_1$ 对26 取模等于1， $gcd(k_1,26)=1$ 表示 $k_1$ 与 26 互素设已知仿射密码的密钥 Key=(11，3)，英文字符和整数之间的对应关系如表 2.1。则:

(1)整数 11 在 $Z_{26}$ 中的乘法逆元是多少?
(2)假设明文消息为“SEC”，相应的密文消息是什么?
【问题3】(2分)
根据表 2.1的对应关系，仿射密码中，如果已知明文“E”对应密交“℃"，明文“T”对应密文“F”，则相应的 $key=(k_1,k_2)$ 等于多少?

2020(基础概念+RSA)

【说明】密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类:对称密码算法和非对称密码算法。此外，密码技术还用于信息鉴别、数据完整性检验、数字签名等。

【问题1】(3分)信息安全的基本目标包括:真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。密码学的三大安全目标C.1.A分别表示什么?

【问题2】(3分)RSA公钥密码是一种基于大整数因子分解难题的公开密钥密码。对于RSA密码的参数:p,q,n,p(n),e,d，哪些参数是可以公开的?

【问题3】(2分)

如有RSA密码算法的公钥为(55，3)，请给出对小王的年龄18进行加密的密文结果。

【问题4】(2分)

对于RSA密码算法的公钥(55，3)，请给出对应私钥。

【问题5】(2分)

在RSA公钥算法中，公钥和私钥的关系是什么?

【问题6】(2分)

在RSA密码中，消息m的取值有什么限制?

【问题7】(3 分)

是否可以直接使用RSA密码进行数字签名?如果可以，请给出消息m的数字签名计算公式。如果不可以，请给出原因。

【问题8】(3分)

上述RSA签名体制可以实现问题1所述的哪三个安全基本目标?

答案：

2017（DES）

【说明】

DES是一种分组密码，已知DES加密算法的某个S盒如表4-1所示。

【问题1】(4分)

请补全该S盒，填补其中的空(1)-(4)，将解答写在答题纸的对应栏内。

【问题 2】(2分)

如果该 S 盒的输入为 110011，请计算其二进制输出。

【问题3】(6分)

DES加密的初始置换表如下

置换时，从左上角的第一个元素开始，表示输入的铭文的第58位置换成输出的第1位，输入明文的第50位置换成输出的第2位，从左至右，从上往下，依次类推。DES加密时，对输入的64位明文首先进行初始置换操作。若置换输入的明文M=0123456789ABCDEF(16进制)，请计算其输出(16进制表示)。

【问题4】(2分)

如果有简化的DES版本，其明文输入为8比特，初始置换表IP如下:

IP:26314857

请给出其逆初始置换表。

【问题5】(2分)

DES加密算法存在一些弱点和不足，主要有密钥太短和存在弱密钥。请问，弱密钥的定义是什么?

2022(法规+RSA)

网络安全侧重于防护网络和信息化的基础设施，特别重视重要系统和设施、关键信息基础设施以及新产业、新业务和新模式的有序和安全。数据安全侧重于保障数据在开放、利用、流转等处理环节的安全以及个人信息隐私保护。网络安全与数据安全紧密相连，相辅相成。数据安全要实现数据资源异常访问行为分析，高度依赖网络安全日志的完整性。随着网络安全法和数据安全法的落地，数据安全已经进入法制化时代。

【问题1】(6分)

2022年7月21日国家互联网信息办公室公布了对滴滴全球股份有限公司依法做出网络安全审查相关行政处罚的决定，开出了80.26 亿的罚单，请分析一下，滴滴全球股份有限公司违反了哪些网络安全法律法规?

【问题2】(2分)

根据《中华人民共和国数据安全法》，数据分类分级已经成为企业数据安全治理的必选题般企业按数据敏感程度划分,数据可以分为一级公开数据、二级内部数据、三级秘密数据四级机密数据。请问一般员工个人信息属于几级数据?

【问题3】(2分)

隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类，请问员工的薪水属于哪一类隐私?

【问题4】(2分)

隐私保护常见的技术措施有抑制、泛化、置换、扰动和裁剪等。若某员工的月薪为8750元经过脱敏处理后，显示为 5k-10k，这种处理方式属于哪种技术措施?

【问题5】(5分)

密码学技术也可以用于实现隐私保护,利用加密技术阻止非法用户对隐私数据的未授权访问和滥用。若某员工的用户名为

“admin”，计划用RSA 对用户名进行加密，假设选取的两个素数 p=47，q=71，公钥加密指数e=3。请问:

1)上述 RSA加密算法的私钥是多少?

2)请给出上述用户名的16进制表示的整数值,

3)直接利用(1)中的公钥对(2)中的整数值进行加密是否可行?请简述原因

4)请写出对该用户名进行加密的计算公式。

2016(认证—抗重放攻击)。

用户的身份认证是许多应用系统的第一道防线，身份识别对确保系统和数据的安全保密极其重要。以下过程给出了实现用户B对用户A身份的认证过程。
1.A->B：A
2.B->A：{B,Nb}pk(A)
3.A->B：h(Nb)
此处A和B是认证的实体，Nb是一个随机值，pk(A)表示实体A的公钥，{B,Nb}pk(A)表示用A的公钥对消息B，Nb进行加密处理，h(Nb)表示用哈希算法h对Nb计算哈希值。

[问题1] (5分)认证和加密有哪些区别?

答：认证与加密的区别在于:加密用以确保数据的保密性,预防攻击者的被动攻击;而认证用以确保报文发送者和接收者的身份真实性以及报文的完整性,预防攻击者的主动攻击。

[问题2] (6分)

(1)包含在消息2中的“Nb”起什么作用?

(2)“Nb”的选择应满足什么条件?

重放攻击（Replay Attacks）又称重播攻击、回放攻击或新鲜性攻击（Freshness Attacks），是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

(1)Nb是一个随机值,只有发送方B和A知道,起到抗重放攻击作用

(2)Nb的取值应当随机和不可预测

[问题3]为什么消息3中的Nb要计算哈希值?

计算哈希值是为了使中间人无法知道Nb的产生信息

上述协议存在什么安全缺陷? 请给出相应的解决思路

存在重放攻击和中间人攻击的安全缺陷。针对重放攻击的解决思路是加入时间戳、验证码等信息:针对中间人攻击的解决思路是加入针对身份的双向验证。

【问题4】（4分）

上述协议存在什么安全缺陷？请给出相应的解决思路。

存在重放攻击和中间人攻击的安全缺陷；

针对重放攻击的解决思路是加入时间戳、验证码等信息；

针对中间人攻击的解决思路是加入身份的双向验证。

2017（认证）

在公钥体制中，每一用户 U都有自己的公开密钥 PKu 和私钥 SKu。如果任意两个用户 A和 B 按以下方式通信:

A发给B消息 [EpKB (m)，A]。

其中 Ek(m)代表用密钥 K对消息m进行加密。

B收到以后，自动向A返回消息【EpKA(m)，B】，以使A知道B确实收到消息m。

【问题 1】(4分)

用户 C 怎样通过攻击手段获取用户 A发送给用户 B 的消息 m。

【问题 2】(6 分)

若通信格式变为

A给B发消息:EpKB(ESKA(m)，m，A)

B给A发消息:EpKA(EsKB(m)，m，B)这时的安全性如何?请分析 A，B此时是如何相互认证并传递消息的。

2018（认证）

[说明]

密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A和B)之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。

在以下描述中,M表示消息,H表示Hash函数,E表示加密算法,D表示解密算法,K表示密钥,SKA表示A的私钥,PKA表示A的公钥.SKB表示B的私钥,PKB表示B的公钥，||表示连接操作.

【问题1】（6分）
用户AB双方采用的保密通信的基本过程如图2-1所示。

请问图2-1所设计的保密通信模型能实现信息的哪些安全目标？图2-1中的用户A侧的H和E能否互换计算顺序？如果不能互换请说明原因：如果能互换请说明对安全目标的影响。

【问题2】（4分）

图2-2给出了另一种保密通信的基本过程：

请问图2-2设计的保密通信模型能实现信息安全的哪些特性？
【问题3】（5分）
为了在传输过程中能够保障信息的保密性、完整性和不可否认性，设计了一个安全通信模型结构如图2-3所示：

请问图2-3中（1），（2）分别应该填什么内容？

2019（认证）

【问题1】(2分)

身份认证可以通过用户知道什么、用户拥有什么和用户的生理特征等方法来验证。请问上述通信协议是采用哪种方法实现的?

【问题2】(2分)

根据身份的互相验证需求，补充协议第3步的空白内容

【问题4】(2分)

上述协议不能防止重放攻击，以下哪种改进方式能使其防止重放攻击?

(1)在发送消息加上时间参量。

(2)在发送消息加上随机数。

【问题5】(4分)

如果将哈希函数替换成对称加密函数，是否可以提高该协议的安全性?为什么?

网络安全工程

2016（防火墙）

防火墙是一种广泛应用的网络安全防御技术，它阻挡对网络的非法访问和不安全的数据传递，保护本地系统和网络免于受到安全威胁。

图3-1给出了一种防火墙的体系结构。

[问题1] (6分)

防火墙的体系结构主要有

(1)双重宿主主机体系结构；

(2) (被)屏蔽主机体系结构;

(3) (被)屏蔽子网体系结构；

请简要说明这三种体系结构的特点。

[问题1]

(1)双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。

(2)被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。

(3)被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包裹起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。

[问题2] (5分)

(1)图3-1描述的是哪一种防火墙的体系结构?

(2)其中内部包过滤器和外部包过滤器的作用分别是什么?

(1)该图描述的是(被)屏蔽子网体系结构

(2)外部包过滤器主要用于保护周边网路和内部网络,是屏蔽子网体系结构的第一道屏障。内部包过滤器主要用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。

【问题3】(8分)

设图3-1中外部包过滤器的外部IP地址为10.20.100.1，内部IP地址为10.20.100.2;内部包过滤器的外部IP地址为10.20.100.3，内部IP地址为192.168.0.1，DMZ中Web服务器IP为10.20.100.6，SMTP服务器IP为10，20.100.8关于包过滤器，要求实现以下功能:不允许内部网络用户访问外网和DMZ，外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2，将对应空缺表项的答案填入答题纸对应栏内。

协议相关：SMTP 端口号（25） SMTP是属于TCP/IP协议簇里面的 SMTP建立于FTP传输服务之上；DNS协议运行在UDP协议之上，使用端口号53。

2019（防火墙）

防火墙类似于我国古代的护城河，可以阻挡敌人的进攻。在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙通过使用各种安全规则来实现网络的安全策略。

防火墙的安全规则由匹配条件和处理方式两个部分共同构成。网络流量通过防火墙时，根据数据包中的某些特定字段进行计算以后如果满足匹配条件，就必须采用规则中的处理方式进行处理。

【问题1】(5分)

假设某企业内部网(202.114.63.0/24)需要通过防火墙与外部网络互连，其防火墙的过滤规则实例如表4.1所示。

表中“*”表示通配符，任意服务端口都有两条规则。

请补充表4.1中的内容(1)和(2)，并根据上述规则表给出该企业对应的安全需求。

【问题2】(4分)一般来说，安全规则无法覆盖所有的网络流量。因此防火墙都有一条默认(缺省)规则，该规则能覆盖事先无法预料的网络流量。请问缺省规则的两种选择是什么?

【问题3】(6分)

请给出防火墙规则中的三种数据包处理方式。

【问题4】(4分)

防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面的内容:服务控制、方向控制、用户控制和行为控制。请问表4.1中，规则A涉及访问控制的哪几个方面的内容?

2021（防火墙）

阅读下列说明和图，回答问题1至问题5，将解答填入答题纸的对应栏内。

在某政府单位信息中心工作的李工要负青网站的设计、开发工作，为了确保部门新业务的顺利上线，李工邀请信息安全只部门的王工按照等级保护2.0的要求对其开展安全测评。李工提供网站的网络拓扑图如图1-1示。图中，网站服务器的IP地址是192.168.70.140，数据库服务器的IP地址是 192.168.70.141。

王工接到网站安全测评任务以后，决定在内网办公区的信息安全部开展各项运维工作，王工使用的办公电脑IP地址为192.168.11.2.

【问题1】(2分)

按照等级保护2.0的要求，政府网站的定级不应低于几级?该等级的测评每几年开展一次?

【问题2】(6分)

按照网络安全测评的实施方式，测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。王工调阅了部分网站后台处理代码，发现网站某页面的数据库查询代码存在安全漏洞，代码如下:

【问题2】(6分)

(1)请问上述代码存在哪种漏洞?

(2)为了进一步验证自己的判断，王工在该页面的编辑框中输入了洞测试语句，”发起测试。请问王工最有可能输入的测试语句对应以下哪个选项?

B.1 or '1'='1'=1 order by )#

A. or 1=1--order by1

D.1' and '1'='2'order by 1#

C.1' or 1=1 order by 1#

(3)根据上述代码，网站底台使用的哪种数据库系统?

(4)王工对数据库中保存口令的数据表进行检查的过程中，发现口令为明文保存，遂给出整改建议建议李工对源码进行修改，以加强口令的安全防护，降低敏感信息泄露风险。下面给出四种在数据库中保存口令信息的方法，李工在安全实践中应采用哪一种方法?

C.哈希加盐

A.Base64

B.MD5

D.加密存储

【问题3】(2分)

按照等级保护2.0的要求，系统当中没有必要开放的服务应当尽量关闭。王工在命令行窗口运行了一条命令，查询端口开放情况。请给出王工所运行命令的名字。

【问题4】(2分)

防火墙是网络安全区域边界保护的重要技术，防火墙防御体系结构主有基于双宿主机防火墙、基于代理型防火增和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型?

【问题5】(8分)

根据李工提供的网络拓扑图，王工建议部署开源的Snort入侵检测系统以提高整体的安全检测和态势感知能力。

(1)针对王工建议，李工查阅了入侵检测系统的基本组成和技术原理等资料。请问以下有关Snort入侵检测系统的描述哪两项是正确的?(2分)

A.基于异常的检测系统B.基于误用的检测系统

C.基于网络的入侵检测系统D.基于主机的入侵检测系统

(2)为了部署Snort入侵检测系统，李工应该把入侵检测系统连接到图1-1网络拓扑中的哪台交换机?(1分)

(3)李工还需要把网络流量导入入侵检测系统才能识别流量中的潜在攻击。图1-1中使用的均为华为交换机李工要将交换机网口GigabitEthernet1/0/2的流量镜像到部署Snort的网口GigabitEthernet1/0/1上，他应该选择下列选项中哪一个配置?(2分)

A.observe-port 1 interface GigabitEthernet1/0/2interface GigabitEthemet1/0/1port-mirroring to observe-port 1 inbound/outbound/both

B.observe-port 2 interface GigabitEthernet1/0/2 .

interface GigabitEthemet1/0/1

port-mirroring to observe-port 1 inbound/outbound/both

C.port-mirroring to observe port 1 inbound/outbound/bothobserve-port 1interfaceGigabiEthenet1/0/2interface GigabitEthenet1/0/1

D.observe-port 1 interface GigabitEthernet1/0/1interface GigabitEthemet1/0/2

port-mirroring to observe port 1 inbound/outbound/both

(4)Snort入侵检测系统部署不久，就发现了一起网络攻击。李工打开攻击分组查看，发现很多字符看起来不像是正常字母，如图1-2所示，请问该用哪种编码方式去解码该网络分组内容?(1分)

(5)针对图1-2所示的网络分组，李工查看了该攻击对应的Snort检测规则，以更好地掌握Snort入侵检测系统的工作机制。请完善以下规则，填充空(a)、(b)处的内容。(2分)

(a)tcp any any ->any any(msg:"XXX";content:"(b)";nocase;sid:1106;)

2022（防火墙）

已知某公司网络环境结构主要由三个部分组成，分别是DMZ区、内网办公区和生产区，其拓扑结构如图1-1所示。信息安全部的王工正在按照等级保护2.0的要求对部分业务系统开展安全配置。图1-1当中，网站服务器的IP地址是192.168.70.140,数据库服务器的IP地址是192.168.70.141，信息安全部计算机所在网段为192.168.11.1/24,王工所使用的办公电脑IP地址为192.168.11.2。

问题1(2分)为了防止生产网受到外部的网络安全威胁，安全策略要求生产网和其他网之间部署安全隔离装置，隔离强度达到接近物理隔离。请问图中X最有可能代表的安全设备是什么?

问题2(2分)防火墙是网络安全区域边界保护的重要技术，防火墙都御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型?

问题3(2分)通常网络安全需要建立四道防线，第一道是保护，阳止网络入侵，第二道是监测，及时发现入侵和破坏，第三道是响应攻击发生时确保网络打不垮，第四道是恢复，使网络在遭受攻击时能以最快速度起死回生。请问拓扑图1-1中防火墙1属于第几道防线?

问题4(6分)图1-1中防火墙1和防火墙2都采用Ubuntu系统自带的iptables防火墙，其默认的过滤规则如图1-2所示。

Chain INPUT(policy ACCEPT)

Target prot opt source destination

Chain FORWARD (policy ACCEPT)

Target prot opt source destination

Chain OUTPUT (policy ACCEPT)

Target prot opt source destination

(1)请说明上述防火墙采取的是白名单还是黑名单安全策略

默认的是接受

那后面就是黑名单

(2)图1-2显示的是iptables 哪个表的信息，请写出表名。

(3)如果要设置 iptables 防火墙默认不允许任何数据包进入，请写出相应命令

默认策略只能通过-P这个参数设置，不能是小写的p.

【问题5】(8分)

DMZ 区的网站服务器是允许互联网进行访问的，为了实现这个目标，王工需要对防火墙进行有效配置。同时王工还需要通过防火墙2对网站服务器和数据库服务器进行日常运维

防火墙1应该允许哪些端口通过?

80(http)

443(https)

请编写防火墙1上实现互联网只能访问网站服务器的iptables过滤规则

iptables -t filter -P FORWARD -p tcp -dport 80,443 -j Accept

iptables -t filter -P FORWARD -p tcp -sport 80,443 -j Accept

请写出王工电脑的子网掩码

255.255.255.0

4)为了使王工能通过SSH协议远程运维DMZ区中的服务器请编写防火墙2的iptables滤规则。

iptables -t filter -A FPRWARD -p tcp -s 192.168.11.2 -d 192.168.70.0/24 –dport 22 -j Accept

-A 添加规则

-P修改规则

答案：

问题一：网闸

问题二:基于屏蔽子网的防火墙

问题4:iptables -t filter -P FORWARD -j DROP

2020（防火墙）

【说明】

防火墙作为网络安全防护的第一道屏障，通常用一系列的规则来实现网络攻击数据包的过滤。

【问题1】(3分)

图3-1给出了某用户Windows系统下的防火墙操作界面，请写出Windows下打开以下界面的操作步骤。

【问题2】(4分)

Smurf拒绝服务攻击结合IP欺骗和ICMP回复方法使大量网络数据包充斥目标系统，引起目标系统拒绝为正常请求提供服务。请根据图3-2回答下列问题。

(1)上述攻击针对的目标IP地址是多少?

(2)在上述攻击中，受害者将会收到ICMP协议的哪一种数据包?

【问题3】(2分)

如果要在Windows系统中对上述Smurf攻击进行过滤设置，应该在图3-1中“允许应用或功能通过WindowsDefender防火墙”下面的选项中选择哪一项?

【问题4】(2分)

要对入站的ICMP协议数据包设置过滤规则，应选择图3-3的哪个选项?

【问题5】(4分)

在图3-4的端口和协议设置界面中，请分别给出“协议类型(P)”“协议号(U)”“本地端口(L)”“远程端口(R)”的具体设置值。

2017（扫描+流量分析+防火墙）

扫描技术是网络攻防的一种重要手段，在攻和防当中都有其重要意义。nmap是一个开放源码的网络扫描工具，可以查看网络系统中有哪些主机在运行以及哪些服务是开放的。namp 工具的命令选项:sS 用于实现SYN 扫描，该扫描类型是通过观察开放端口和关闭端口对探测分组的响应来实现端口扫描的。

请根据图 3-1 回答下列问题

【问题1】(2分)

此次扫描的目标主机的IP地址是多少?

【问题2】(2 分)

SYN扫描采用的传输层协议名字是什么?

【问题 3】(2分)

SYN 的含义是什么?

【问题 4】 (4分)

目标主机开放了哪几个端口?简要说明判断依据。

【问题5】(3分)

每次扫描有没有完成完整的三次握手?这样做的目的是什么?

【问题6】(5分)

补全表 3-1 所示的防火墙过滤器规则的空(1)-(5)，达到防火墙禁止此类扫描流量进入和处出网络，同时又能允许网内用户访问外部网页服务器的目的。

【问题 7】(2 分)

简要说明为什么防火墙需要在进出两个方向上对据数据包进行过滤。

2018（入侵检测+流量分析）

入侵检测系(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段，IDS注重的是网络安全状况的监管，IPS则注重对入侵行为的控制。

【问题1】（2分）
网络安全防护可以分为主动防护和被动防护，请问IDS和IPS分别属于哪种防护？
【问题2】（4分）
入侵检测是动态安全模型（P2DR）的重要组成部分。请列举P2DR模型的4个主要组成部分。
【问题3】（2分）
假如某入侵检测系统记录了如图5-1所示的网络数据包：

请问图中的数据包属于哪种网络攻击?该攻击的具体名字是什么?

【问题4】(4分)

入侵检测系统常用的两种检测技术是异常检测和误用检测，请问针对图中所描述的网络攻击应该采用哪种检测技术?请简要说明原因。

【问题5】(3分)

Snort是一款开源的网络入侵检测系统，它能够执行实时流量分析和IP协议网络的数据包记录。

Snort的配置有3种模式，请给出这3种模式的名字。

2022（流量分析）

试题三(18分)

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹有一天，王工在夜间的例行安全巡检过程中，发现有异常日志告警，通过查看NTA全流量分析设备，找到了对应的可疑流量，请分析其中可能的安全事件。

【问题1】(3 分)

访问 windows 系统中的日志记录有多种方法，请问通过命令行窗口快速访问日志的命令名字(事件査看器)是什么?

【问题2】(2分)

Windows 系统通过事件D来记录不同的系统行为，图3-1的事件ID为4625，请结合任务类别，判断导致上述日志的最有可能的情况。备选项:

A、本地成功登录 B、网络失败登录 C、网络成功登录 D、本地失败登录

【问题3】(2 分)

王工通过对攻击流量的关联分析定位到了图3-2所示的网络分组，请指出上述攻击针对的是哪一个端口。

【问题4】(3分)

如果要在Wireshark当中过滤出上述流量分组请写出在显示过滤框中应输入的过滤表达式【问题5】(3分)

Windows 系统为了实现安全的远程登录使用了 tls 协议，请问图 3-2 中，服务器的数字证书是在哪一个数据包中传递的?通信双方是从哪一个数据包开始传递加密数据的?请给出对应数据包的序号。

【问题6】(3分)

网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。请问上述攻击属于哪一种网络安全事件?

【问题7】(2 分)

此类攻击针对的是三大安全目标即保密性、完整性、可用性中的哪一个?

2021（DNS+流量分析+防火墙+CC攻击）

该题目类似于网工的题目

【说明】域名系统是网络空间的中枢神经系统，其安全性影响范围大，也是网络攻防的重点。李工在日常的流量监控中，发现以下可疑流量，请协助分析其中可能的安全事件。域名系统采用授权的分布式数据查询系统，完成域名和IP地址的解析。李工通过上述流量可以判断域名解析是否正常、有无域名劫持攻击等安全事件发生。

(1)域名系统的服务端程序工作在网络的哪一层?

(2)图3-1中的第一个网络分组要解析的域名是什么?

(3)给出上述域名在DNS查询包中的表示形式(16进制)

解题思路：点中test.human.com。一个点对应两个16进制。在标黑的右边部分中，human.com前面有18位。A---65 a--97

在左边部分，数18个数，后面的16进制为human.com

Human.com=05 68 75 6d 65 6e 03 63 6f 00

w的编码为77

u(75),v(76),w(77)

所以答案为77 77 77 05.。。。

(4)由图3-1可知李工所在单位的域名服务器的IP地址是什么?

DNS 6种记录A记录…

鉴于上述DNS协议分组包含大量奇怪的子域名如想知道是哪个应用程序发送的上述网络分组请问在Windows系统下，李工应执行哪条命令以确定上述DNS流量来源?

Netstat -b

通过上述的初步判断，李工认为192.168.229.1的计算机可能已经被黑客所控制(cc攻击)。黑客惯用的手法就是建立网络隐蔽通道，也就是指利用网络协议的某些字段秘密传输信息，以掩盖恶意程序的通信内容和通信状态。

(1)请问上述流量最有可能对应的恶意程序类型是什么?

(2)上述流量中隐藏的异常行为是什么?请简要说明。

(3)信息安全目标包括保密性、完整性、不可否认性、可用性和可控性，请问上述流量所对应的网络攻击违反了信息安全的哪个目标?

通过上述的攻击流分析，李工决定用防火墙隔离该计算机)李工所运维的防火墙是Ubuntu系统自带的iptables防火墙。

请问iptables默认实现数据包过滤的表是什么?该表默认包含哪几条链?

Filter表做包过滤

李工首先要在ipables防火墙中查看现有的过滤规则，请给出该命令。

Iptables -L

李工要禁止该计算机继续发送DNS数据包，请给出相应过滤规则。

Iptables -a input-s 192.168.229.1/32 -p udp –dport 53 -j DROP

在完成上述处置以后，李工需要分析事件原因，请说明导致DNS成为CC攻击的首选隐蔽传输通道协议的原因。

信息系统安全工程

2018（Linux）

[说明]在Linux系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。

[问题1](4分)Linux系统将用户名和口令分别保存在哪些文件中?

用户名保存在/etc/passwd文件内。

口令保存在/etc/shadow文件内。
Linux所有的用户组名都记录在/etc/group内。

【问题2】（7分）
Linux系统的用户名文件通常包含如下形式的内容：
root:x:0:0:root:root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
hujw:x:500:500:hujianwei:/home/hujw:/bin/bash
文件中的一行记录对应着一个用户，每行记录用冒号（：）分隔为7个字段，请问第1个冒号（第二列）和第二个冒号（第三列）的含义是什么？上述用户名文件中，第三列的数字分别代表什么含义？

在Linux系统的用户名文件（通常是`/etc/passwd`）中，每行记录包含七个字段，字段之间用冒号(`:`)分隔。以下是这些字段的含义：

1. 第一个冒号（第二列）：这个字段是用户的登录名（username），用于标识用户。登录名是用户在系统中的唯一标识符。例如，`root`、`bin`、`hujw`都是登录名。

2. 第二个冒号（第三列）：这个字段通常为空，或者可以包含一个代表密码哈希的占位符。在过去，Linux系统中的用户密码哈希存储在这个字段中，但现在通常会存储在`/etc/shadow`文件中，以增加安全性。如果这个字段包含`x`或`*`，那么密码信息通常存储在`/etc/shadow`中。

上述用户名文件中，第三列的数字分别代表以下含义：

- `0`：这是用户的UID（User ID），也称为用户标识号。UID 0通常分配给系统管理员，也就是root用户。root用户具有最高的系统权限。

- `1`：这也是一个UID，对应于`bin`用户。通常，系统中会有一些特殊的用户，如`bin`、`daemon`等，它们用于运行系统服务。

- `500`：这是一个普通用户的UID。每个用户都有一个唯一的UID，用于区分用户。

总结一下，用户名文件中的字段含义如下：

1. 登录名（username）

2. 密码哈希或占位符（通常存储在`/etc/shadow`中）

3. 用户ID（UID）

4. 组ID（GID）：用户所属的主要用户组的ID

5. 用户描述信息

6. 用户主目录路径

7. 用户使用的默认Shell（命令解释器）路径

注意：这只是用户名文件的基本格式和字段含义，实际系统中可能包含其他字段或配置。

【问题3】（4分）

Linux系统中用户名文件和口令字文件的默认访问权限分别是什么？

在Linux系统中，用户名文件通常是`/etc/passwd`，而口令字文件通常是`/etc/shadow`。它们的默认访问权限如下：

1. `/etc/passwd` 文件的默认权限通常是：

- `-rw-r--r--` 或 `744`

这表示只有系统管理员和拥有这个文件的用户可以读取它，但任何用户都无法修改它。

2. `/etc/shadow` 文件的默认权限通常是：

- `-r--------` 或 `400`

600（rw--------）

这表示只有系统管理员（root用户）可以读取和写入该文件。普通用户无法直接读取或修改`/etc/shadow`文件，这是为了保护用户密码的安全性。

这些权限确保了用户密码的安全性，因为密码哈希存储在`/etc/shadow`中，只有特权用户才能够访问它，这有助于减少潜在的安全风险。用户信息通常存储在`/etc/passwd`中，这个文件的权限允许系统中的用户查看其他用户的基本信息，但不包括密码信息。请注意，实际的权限设置可能会因Linux发行版和系统配置而有所不同。

2020（linux）

【说明】Linux系统通常将用户名相关信息存放在/etc/passwd文件中，假如有/etc/passwd文件的部分内容如下，请回答相关问题。

【问题1】(2分)

口令字文件/etc/passwd是否允许任何用户访问?

【问题2】(2分)

根据上述/etc/passwd显示的内容，给出系统权限最低的用户名字。

【问题3】(2分)

在Linux中，/etc/passwd 文件中每一行代表一个用户，每行记录又用冒号(:)分隔为7个字段，请问Linux操作系统是根据哪个字段来判断用户的?

【问题4】(3分)

根据上述/et/passwd显示的内容，请指出该系统中允许远程登录的用户名。

【问题5】(2分)

Linux系统把用户密码保存在影子文件中，请给出影子文件的完整路径及其名字。

【问题6】(3分)

如果使用1s-a1命令查看影子文件的详细信息，请给出数字形式表示的影子文件访问权限。

2022（Linux）

试题二(20分)

Linux 系统中所有内容都是以文件的形式保存和管理的，即一切皆文件。普通文本音视频二进制程序是文件，目录是文件，硬件设备(键盘、监视器、硬盘、打印机)是文件，就连网络套接字等也都是文件。在Linux Ubuntu 系统下执行ls-l命令后显示的结果如图2-1所示。

第2个字段：链接占用的节点/文件硬链接数

【问题1】(2分)

请问执行上述命令的用户是普通用户还是超级用户?

#--root

$---普通用户

【问题2】(3分)

1)请给出图2-1中属于普通文件的文件名

l---符号链接文件（symbolic link）（类似于快捷方式）

s—套接字文件-

b—块

c-字符设备文件

2)请给出图2-1中的目录文件名

3)请给出图2-1中的符号链接文件名

【问题3】(2分)

符号链接作为 Linux 系统中的一种文件类型，它指向计算机上的另一个文件或文件夹。符号链接类似于Windows 中的快捷方式。如果要在当前目录下,创建图2-1中所示的符号链接,

请给出相应命令

创建软连接:Ln -s(必须)源文件绝对路径连接文件名

Ln -s /dev/shm shm

【问题4】(3分)

当源文件(或目录)被移动或者被删除时，指向它的符号链接就会失效

请给出命令,实现列出/home 目录下各种类型(如:文件目录及子目录)的所有失效链接

find /home -xtype l

在(1)基础上，完善命令以实现删除所有失效链接

find /home -xtype l -delete

【问题5】(10 分)

Linux 系统的权限模型由文件的所有者、文件的组、其他用户以及读(R)、写(w)、执行(x)组成。1)请写出第一个文件的数字权限表示

2)请写出最后一个文件的数字权限表示

3)请写出普通用户执行最后一个文件后的有效权限(第三个普通用户ugo,u—user ,g—group ,o—other )

4)请给出去掉第一个文件的''X'权限的命令

Chmod[who] [+/-/=] = 文件名

chmod a-xopenvpn 或chmod ugo-xopenvpn

执行(4)给出的命令后，请说明root用户能否进入该文件

2021（Linux+协议）

【说明】通常由于机房电磁环境复杂，运维人员很少在现场进行运维工作在出现安全事件需要紧急需要运维人员随时随地远程开展处置工作。处理时，SSH/安全外壳协议)是一种加密的网络传输协议，提供安全方式访问程计算机。李工作为公司的安全运维工程师，也经常使用SSH远程登录到公司的Ubuntu18.04服务器中进行安全维护。

【问题1】SSH协议默认工作的端口号是多少?

【问题2】网络设备之间的远程运维可以采用两种安全通信方式:一种是SSH，还有一种是什么?

【问题3】日志包含设备、系统和应用软件的各种运行信息，是安全运维的重点关注对象。李工在定期巡检服务器的SSH日志时，发现了以下可疑记录:

(1)请问李工打开的系统日志文件的路径和名称?

(2)李工怀疑有黑客在攻击该系统，请给出判断攻击成功与否的命令以便李工评估攻击的影响。

【问题4】经过上次SSH的攻击事件之后，李工为了加强口令安全，降低远程连接风险，考虑采用免密证书登录

(1)Linux系统默认不允许证书方式登录，李工需要实现免密证书登录的功能，应该修改哪个配置文件?请给出文件名。

(2)李工在创建证书后需要拷贝公钥信息到服务器中。他在终端输入了以下拷贝命令，请说明命令中“>>”的含义。

ssh xiaoming@server cat/home/xiaoming/.ssh/id rsa.pub> >authorized keys

(3)服务器中的authorized keys文件详细信息如下，请给出文件权限的数字表示。

（4）李工完成SSH配置修改后需要重启服务，请给出 systemctl重启SSH服务的命令

（5）在上述服务配置过程中，配置命令中可能包含各种敏感信息，因此在配置结束后应及时清除历史命令信息，请给出清除系统历史记录应执行的命令。

【问题5】SSH之所以可以实现安全的远程访问，归根结底还是密码技术的有效使用。对于SSH协议，不管是李工刚开始使用的基于口令的认证还是后来的基于密钥的免密认证，都是密码算法和密码协议在为李工的远程访问保驾护航。请问上述安全能力是基于对称密码体制还是非对称密码体制来实现的?

2016（访问控制）

[说明]

访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。

[问题1] (3分)

针对信息系统的访问控制包含哪些基本要素?

[问题2]

分别写出图2-1中用户Administrator对应三种访问控制实现方法，即能力表、访问控制表、访问控制矩阵下的访问控制规则。

RX -读取和执行访问权限

r 可读。 w 可写。 x 可执行

2019（访问控制）

【说明】

访问控制是保障信息系统安全的主要策略之一，其主要任务是保证系统资源不被非法使用和非常规访问。访问控制规定了主体对客体访问的限制，并在身份认证的基础上，对用户提出的资源访问请求加以控制。当前，主要的访问控制模型包括:自主访问控制(DAC)模型和强制访问控制(MAC)模型。

【问题1】(6分)

针对信息系统的访问控制包含哪三个基本要素?

【问题2】(4分)

BLP模型是一种强制访问控制模型，请问:

(1)BLP模型保证了信息的机密性还是完整性?

(2)BLP模型采用的访问控制策略是上读下写还是下读上写?

【问题3】(4分)

Linux系统中可以通过ls命令查看文件的权限，例如:文件net.txt的权限属性如下所示-rwx-------1 root root 5025 May 25 2019 /home/abc/net.txt请问:

(1)文件net.txt属于系统的哪个用户?

(2)文件net.txt权限的数字表示是什么?

2017（账户+口令）

【说明】Windows 系统的用户管理配置中，有多项安全设置，如图2-1所示。

【问题1】(3分)

请问密码和账户锁定安全选项设置属于图中安全设置的哪一项?

账户策略

【问题 2】(3分)

Windows的密码策略有一项安全策略就是要求密码必须符合复杂性要求，如果启用此策略，那么请问:用户Administrator 拟选取的以下六个密码中的哪些符合此策略?

123456

Admin123

Abcd321

Admin@

test123!

123@host

试题解析：

【问题1】账户策略主要包括密码策略和账户锁定策略两种安全设置。

【问题2】密码必须符合复杂性要求：启用此策略，用户账户使用的密码必须符合复杂性的要求。

密码复杂性必须符合下列最低要求：

不能包含用户的账户名；

不能包含用户姓名中超过两个连续字符的部分；

至少有六个字符长；

密码总必须包含以下4类字符中的三类字符：

1、英文大写字母（A-Z）

2、英文小写字母（a-z）

3、10个基本数字（0-9）

4、特殊符号（！@#￥%等）

2020（安全服务）

【说明】ISO安全体系结构包含的安全服务有七大类，即:①认证服务;②访问控制服务;③数据保密性服务;④数据完整性服务:⑤抗否认性服务;⑥审计服务;⑦可用性服务，请问以下各种安全威胁或者安全攻击可以采用对应的哪些安全服务来解决或者缓解。请直接用上述编号①~⑦作答。

【问题1】(2分)

针对跨站伪造请求攻击可以采用哪些安全服务来解决或者缓解?

【问题2】(2分)

针对口令明文传输漏洞攻击可以采用哪些安全服务来解决或者缓解?

【问题3】(2分)

针对Smurf攻击可以采用哪些安全服务来解决或者缓解?（可用性+访问控制）

【问题4】(2分)

针对签名伪造攻击可以采用哪些安全服务来解决或者缓解?（）

【问题5】(2分)

针对攻击进行追踪溯源时，可以采用哪些安全服务?

【问题6】(2 分)

如果下载的软件被植入木马，可以采用哪些安全服务来进行解决或者缓解?

应用安全工程

2016（缓冲区溢出）

【说明】某一本地口令验证函数(C语言环境，X86 32指令集)包含如下关键代码: 某用户的口令保存在字符数组oriPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

strncmp()是一个标准库函数，用于比较两个字符串的前n个字符是否相等。

strncmp()函数通常用于比较两个字符串，以确定它们是否相等或哪个字符串在字典顺序上更小。

[问题1] (4分)

用户在调用gets0函数时输入什么样式的字符串，可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制?

[问题2] (4分)

上述代码存在什么类型的安全隐患? 请给出消除该安全隐患的思路。

答案：存在缓冲区溢出攻击的安全隐患。解决思路是检查用户输入的口令的长度信息

2017（缓冲区溢出）

【说明】

基于 Windows32 位系统分析下列代码，回答相关问题。

【问题 1】(3 分)

main 函数内的三个本地变量所在的内存区域称为什么?它的两个最基本操作是什么?

【问题 2】(3分)

画出buf，check，buf2 三个变量在内存的布局图。

【问题 3】(2分)

应该给程序提供什么样的命令行参数值(通过argv变量传递)才能使程序执行流程进入判断语句If(check=65)…..然后调用challenge( )函数。

【问题4】(4分)

上述代码所存在的漏洞名字是什么，针对本例代码，请简要说明如何修正上述代码以修补此次漏洞。

在编写程序时通常用strncpy()函数来取代strcpy()函数防止缓冲区溢出

2020（缓冲区溢出）

【说明】代码安全漏洞往往是系统或者网络被攻破的头号杀手。在C语言程序开发中，由于C语言自身语法的一些特性，很容易出现各种安全漏洞。因此，应该在C程序开发中充分利用现有开发工具提供的各种安全编译选项，减少出现漏洞的可能性。

【问题1】(4分)

图5-1给出了一段有漏洞的C语言代码(注:行首数字是代码行号)，请问，上述代码存在哪种类型的安全漏洞?该漏洞和C语言数组的哪一个特性有关?（缓冲区溢出，C语言不检查）

解题思路：password为用户输入的密码，内置的密码PASSWORD（1234567），如果一致，authenticed=0

没有限制输入的密码的位数，buffer的限制为8位。

Over flowed here 缓冲区溢出

【问题2】(4分)图5-2给出了C程序的典型内存布局，请回答如下问题

栈（stack）:编译器自动分配自动管理，程序员不用管理。在内存中是连续的，用于保存函数参数值和栈(stack)局部变量内存空间是从高地址从低地址分配。基本操作是入栈(PUSH)和出栈(POP)。

堆(heap):程序员管理和分配，通过malloc或new分配。需要手工释放，或程序运行结束时由操作系统回收。堆分配的是不连续内存空间，内存空间是从低地址从高地址分配。

(1)请问图5-1的代码中第9行的变量authenticated保存在图5-2所示的哪个区域中?

解题思路：栈中，堆会有那两个函数malloc或new

(2)请问stack的两个典型操作是什么?

(3)在图5-2中的stack区域保存数据时，其地址增长方向是往高地址还是往低地址增加?(从高地址往低地址增加)

(4)对于图5-1代码中的第9行和第10行代码的两个变量，哪个变量对应的内存地址更高?第九行

【问题3】(6分)

微软的Visual Studio 提供了很多安全相关的编译选项，图5-3给出了图5-1中代码相关的工程属性页面的截图。请回答以下问题。

(1)请问图5-3中哪项配置可以有效缓解上述代码存在的安全漏洞?

(2)如果把图5-1中第10行代码改为charbuffer[4];图5-3的安全编译选项是否还起作用?

不起作用，该编译选项针对小于等于4个字节的数组不起保护作用。

(3)模糊测试是否可以检测出上述代码的安全漏洞?

模糊测试为黑盒测试

模糊测试通过发送不同长度的数据给buffer, 可能导致覆盖后续变量和指针值，导致程序异常从而触发监测，因此采用模糊测试的方法是可以检测出此类漏洞的。

2018（心脏出血漏洞+溢出漏洞）

在客户服务器通信模型中，客户端需要每隔一定时间向服务器发送数据包，以确定服务器是否掉线，服务器也能以此判断客户端是否存活，这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定，一般都是很小的包。

某系统采用的请求和应答两种类型的心跳包格式如图4-1所示。

心跳包类型占1个字节，主要是请求和响应两种类型;心跳包数据长度字段占2个字节，表示后续数据或者负载的长度。接收端收到该心跳包后的处理函数是process heartbeat0),其中参数p指向心跳包的报文数据，s是对应客户端的socket网络通信套接字。

void process_heartbeat(unsigned char *p, SOCKET s)

{

unsigned short hbtype;

unsigned int payload;

hbtype=*p++; //心跳包类型

n2s(p, payload); //心跳包数据长度----指针p指的内容赋值给payload

pl=p; //pl指向心跳包数据----pl的内容就是数据的内容

if（hbtype=HB_REQUEST）{----hbtype是请求报文

unsigned char *buffer, *bp; ----手动创建为堆，从高往低地址

buffer=malloc(1+2+payload); ---创建一个内存空间

*bp++=HB_RESPONSE; //填充1byte的心跳包类型

s2n(payload, bp); //填充2bytes的数据长度

memcpy(bp,pl,payload);----内存拷贝函数， (strncpy(temp,str,8);2017年第六题，把str里面的8位拷贝到temp。)

/*将构造好的心跳响应包通过socket s返回客户端 */

r=write_bytes(s, buffer,3+payload);

}

【问题1】(4分)

心跳包数据长度字段的最大取值是多少?

0-65535

2的16次方为65536

(2)心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致?

是，必须一致

【问题2】(5分)

上述接收代码存在什么样的安全漏洞?

心脏出血漏洞

该漏洞的危害是什么?

【问题3】(2分)

模糊测试(Fuzzing)是一种非常重要的信息系统安全测评方法，它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报?

模糊测试是一种自动化的动态漏洞挖掘技术，不存在误报，也不需要人工进行大量的逆向分析工作。

【问题4】(4分)

模糊测试技术能否测试出上述代码存在的安全漏洞?为什么?

上述代码存在的信息泄露漏洞在模糊测试过程中，不管用什么样的数据包长度去测试，被测代码都是正常运行，没有出现异常情况，因此也就无法判断是否有漏洞，所以模糊测试无法测试出该代码存在的漏洞。

2019（缓冲区溢出+信息系统安全）

【说明】信息系统安全开发生命周期(Security Development Life Cycle(SDLC))是微软提出的从安全角度指导软件开发过程的管理模式，它将安全纳入信息系统开发生命周期的所有阶段，各阶段的安全措施与步骤如下图5-1所示。

【问题1】(4分)

在培训阶段，需要对员工进行安全意识培训，要求员工向弱口令说不，针对弱口令最有效的攻击方式是什么?以下口令中，密码强度最高的是()

A.security2019

B.2019Security

C.Security@2019

D.Security2019

【问题2】(6分)

在大数据时代，个人数据正被动地被企业搜集并利用。在需求分析阶段，需要考虑采用隐私保护技术防止隐私泄露。从数据挖掘的角度，隐私保护技术主要有:基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。

请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种?

(1)随机化过程修改敏感数据

(2)基于泛化的隐私保护技术

(3)安全多方计算隐私保护技术

【问题3】(4分)有下述口令验证代码:

其中main函数在调用verify_password函数进行口令验证时，堆栈的布局如图5.2所示

请问调用verify_password函数的参数满足什么条件，就可以在不知道真实口令的情况下绕过口令验证功能?

【问题4】(3分)

SDLC安全开发模型的实现阶段给出了3种可以采取的安全措施，请结合问题3的代码举例说明?

使用批准的工具来编写安全正确的程序，只要在所有拷贝数据的地方进行数据长度和有效性的检查，确保目标缓冲区中数据不越界并有效，则就可以避免缓冲区溢出，更不可能使程序跳转到恶意代码上。禁用不安全的函数来防范因数组没有边界检查而导致的缓冲区溢出，C 语言中存在缓冲区溢出攻击隐患的系统函数有很多。例如 gets（），sprintf（），strcpy（），strcat（ ），fscanf（ ），scanf（ ）， vsprintf（）等。可以禁用这些不安全函数。通过静态分析进行程序指针完整性检查，在每次在程序指针被引用之前先检测该指针是否已被恶意改动过，如果发现被改动，程序就拒绝执行。

恶意代码

2018（恶意代码—蠕虫）

恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。
2017年5月，勒索软件WanaCry席卷全球，国内大量高校及企事业单位的计算机被攻击，文件及数据被加密后无法使用，系统或服务无法正常运行，损失巨大。

【问题1】(2分)

按照恶意代码的分类，此次爆发的恶意软件属于哪种类型?

蠕虫—繁殖和传播的速度很快

典型蠕虫-震荡波、冲击波

【问题2】(2分)

此次勒索软件针对的攻击目标是Windows还是Linux类系统?

【问题3】(6分)

恶意代码具有的共同特征是什么?

【问题4】(5分)

由于此次勒索软件需要利用系统的SMB服务漏洞(端口号445)进行传播，我们可以配置防火墙过滤规则来阻止勒索软件的攻击，请填写表1-1中的空(1)-(5)，使该过滤规则完整。注:假设本机IP地址为:1.2.3.4，”*”表示通配符。

Android安全

2021（android安全）

【说明】近期，按照网络安全审查工作安排，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻某出行科技有限公司，开展网络安全审查，移动APP安全检测和个人数据安全再次成为关往焦点。

[问题1](4分)

为保护Android系统及应用终端平台安全，Android系统在内核层、系统运行层、应用框架层以及应用程序层采取了相应的安全措施，以尽可能地保护移动用户数据、应用程序和设备安全。在Android系统提供的安全措施中有安全沙箱、应用程序签名机制:权眼声明机制、地址空间布局随机化等，请将上述四种安全措施按照其所在层次分填入表4-1的空(1)-(4)。

【问题2】权限声明机制为操作权限和对象之间设定了一些限制，只有把权限和对象达行绑定，才可以有权操作对象。

(1)请问Android系统应用程序权限信息声明都在哪个配置文件中?给出该配置文件名。(2)Android系统定义的权限组包括CALENDAR、CAMERA、CONTACTS、LOCATION.MICROPHONE、PHONE、SENSORS、SMS、STORAGE。按照《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》，运行在Android9.0系统中提供网络约车服务的某某出行App可以有的最小必要权限是以上权限组的哪几个?

(3)假如有移动应用A提供了如下服务AService，对应的权限描述如下: