2019年上半年计算机软考信息安全工程师试题解析

1、《中华人民共和国网络安全法》第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经（ ）决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

A.国务院 B.国家网信部门 C.省级以上人民政府 D.网络服务提供商

【答案】A

【解析】第五十八条 因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

2、2018年10月，含有我国SM3杂凑算法的IS0/IEC10118-3: 2018《信息安全技术杂凑函数第3部分：专用杂凑函数》由国际标准化组织(ISO)发布，SM3算法正式成为国际标准。SM3的杂凑值长度为（ ）。

A. 8字节 B. 16字节 C. 32字节 D. 64字节

【答案】C

【解析】SM3杂凑算法经过填充和迭代压缩，生成杂凑值，与sha-256安全性相当。杂凑值长度为256比特。

3、 BS7799标准是英国标准协会制定的信息安全管理体系标准，它包括两个部分：《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。依据该标准可以组织建立、实施与保持信息安全管理体系，但不能实现（ ）。

A.强化员工的信息安全意识，规范组织信息安全行为

B.对组织内关键信息资产的安全态势进行动态监测

C.促使管理层坚持贯彻信息安全保障体系

D.通过体系认证就表明体系符合标准，证明组织有能力保障重大信息

【答案】B

【解析】标准BS7799标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性。组织建立、实施与保持信心安全管理体系将会产生如下作用：如果通过体系认证，表明体系符合标准，证明组织有能力保障重大信息，提高组织的知名度与信任度；促使管理层坚持贯彻信息安全保障体系。对组织的关键信息资产进行全面体统的保护，维持竞争优势。

4、为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则，其中在信息系统中，应该对所有权限进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使它们之间相互制约、相互监督，共同保证信息系统安全的是 （ ）。

A.最小化原则 B.安全隔离原则 C.纵深防御原则 D.分权制衡原则

【答案】D

【解析】为了达到信息安全目标，信息系统需遵循分权制衡原则。该原则通过权限划分使各授权主体仅拥有部分权限，通过权限分散与相互制约共同保障系统安全。

5、等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。以下关于我国信息安全等级保护内容描述不正确的是（ ）。

A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

B.对信息系统中使用的信息安全产品实行按等级管理

C.对信息系统中发生的信息安全事件按照等级进行响应和处置

D.对信息安全从业人员实行按等级管理，对信息安全违法行为实行按等级惩处

【答案】D

【解析】国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，国家对信息安全产品的使用实行分等级管理。对信息安全从业人员并不施行分等级管理。

6、研究密码破译的科学称为密码分析学。密码分析学中，根据密码分析者可利用的数据资源，可将攻击密码的类型分为四种，其中适于攻击公开密钥密码体制，特别是攻击其数字签名的是 （ ）。

A.仅知密文攻击 B.已知明文攻击 C.选择密文攻击 D.选择明文攻击

【答案】C

【解析】所谓选择密文攻击是指密码分析者能够选择密文并获得相应的明文。这也是对密码分析者十分有利的情况。这种攻击主要攻击公开密钥密码体制，特别是攻击其数字签名。

7、基于MD4和MD5设计的S/Key口令是一种一次性口令生成方案，它可以对访问者的身份与设备进行综合验证，该方案可以对抗（ ）。

A.网络钓鱼 B.数学分析攻击 C.重放攻击 D.穷举攻击

【答案】C

【解析】一次一密指在流密码当中使用与消息长度等长的随机密钥，密钥本身只使用一次。重放攻击是指攻击者发送一个目的主机已接收过的包，特别是在认证的过程中，用于认证用户身份所接收的包，达到欺骗系统的目的。一次一密这样的密钥形式可以对抗重放攻击。

8、对于提高人员安全意识和安全操作技能来说，以下所列的安全管理方法最有效的是 （ ）。

A.安全检查 B.安全教育和安全培训 C.安全责任追究 D.安全制度约束

【答案】B

【解析】对于提高人员安全意识和安全操作技能来说，以下所列的安全管理方法最有效的是安全教育和安全培训。

9、访问控制是对信息系统资源进行保护的重大措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。信息系统访问控制的基本要素不包括（ ）。

A.主体 B.客体 C.授权访问 D.身份认证

【答案】D

【解析】访问控制涉及到三个基本概念，即主体、客体和授权访问。

10、下面对国家秘密定级和范围的描述中，不符合《中华人民共和国保守国家秘密法》要求的是（ ）。

A.对是否属于国家和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案

B.各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具 体范围的规定确定密级，同时确定保密期限和知悉范围

C.国家秘密及其密级的具体范围，由国家行政管理部门分别会同外交、公安、 国家安全和其他中央有关机关规定

D.对是否属于国家和属于何种密级不明确的事项，由国家保密行政管理部门， 或省、自治区、直辖市的保密行政管理部门确定

【答案】A

【解析】对是否属于国家秘密和属于何种密级不明确的事项，产生该事项的机关、单位应及时拟定密级和保密期限，并在十日内依照下列规定申请确定：（一）属于主管业务方面的事项，应报有权确定该事项密级的上级主管业务部门确定。（二）属于其他方面的事项，经同级政府保密工作部门审核后，拟定为绝密级的，须报国家保密工作部门确定；拟定为机密极的，由省、自治区、直辖市的或者其上级的保密工作部门确定；拟定为秘密级的，由省、自治区政府所在地的市和国务院批准的较大的市或者其上级的保密工作部门确定。

11、数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程。数字签名标准DSS中使用的签名算法DSA是基于ElGamal和 Schnorr两个方案而设计的。当DSA对消息m的签名验证结果为True,也不能说明（ ）。

A.接收的消息m无伪造 B.接收的消息m无篡改 C.接收的消息m无错误 D.接收的消息m无泄密

【答案】C

【解析】数字签名只能保证消息不被伪造、无篡改、无泄密。但不能保证传输的消息的正确性。

12、IP地址分为全球地址（公有地址）和专用地址（私有地址），在文档RFC1918中，不属于专用地址的是 （ ）。

A. 10. 0. 0. 0 到 10. 255. 255. 255 B. 255. 0. 0. 0 到 255. 255. 255. 255

C. 172. 16. 0. 0 到 172. 31. 255. 255 D. 192. 168. 0. 0 到 192. 168. 255. 255

【答案】B

【解析】ACD三个范围是RFC1918规定的地址范围。

13、人为的安全威胁包括主动攻击和被动攻击。主动攻击是攻击者主动对信息系统实施攻击，导致信息或系统功能改变。被动攻击不会导致系统信息的篡改，系统操作与状态不会改变。以下属于被动攻击的是 （ ）。

A.嗅探 B.越权访问 C.重放攻击 D.伪装

【答案】A

【解析】被动攻击只是窥探、窃取、分析重大信息，但不影响网络、服务器的正常工作。

14、确保信息仅被合法实体访问，而不被泄露给非授权的实体或供其利用的特性是指信息的（ ）。

A.完整性 B.可用性 C.保密性 D.不可抵赖性

【答案】C

【解析】保密性是指信息仅被合法用户访问，不被泄露给非授权的用户、实体或过程。

15、安全模型是一种对安全需求与安全策略的抽象概念模型，安全策略模型一般分为自主访问控制模型和强制访问控制模型。以下属于自主访问控制模型的是 （ ）。

A. BLP模型 B.基于角色的存取控制模型 C. BN模型 D.访问控制矩阵模型

【答案】D

【解析】自主访问控制模型的典型代表有HRU模型（Harrison、Ruzzo、Ullman访问控制矩阵模型）。

16、认证是证实某事是否名副实则或者是否有效的一个过程。以下关于认证的叙述中， 不正确的是（ ）。

A.认证能够有效阻止主动攻击

B.认证常用的参数有口令、标识符、生物特征等

C.认证不允许第三方参与验证过程

D.身份认证的目的是识别用户的合法性，阻止非法用户访问系统

【答案】C

【解析】有第三方认证的形式。

17、虚拟专用网VPN是一种新型的网络安全传输技术，为数据传输和网络服务提供安全通道。VPN架构采用的多种安全机制中，不包括（ ）。

A.隧道技术 B.信息隐藏技术 C.密钥管理技术 D.身份认证技术

【答案】B

【解析】实现VPN的关键技术主要有隧道技术、加/解密技术、密钥管理技术和身份认证技术。

18、 Android系统是一种以Linux为基础的开放源代码操作系统，主要用于便携智能终端设备。Android采用分层的系统架构，其从高层到低层分别是（ ）。

A.应用程序层、应用程序框架层、系统运行库层和Linux核心层

B.Linux核心层、系统运行库层、应用程序框架层和应用程序层

C.应用程序框架层、应用程序层、系统运行库层和Linux核心层

D.Linux核心层、系统运行库层、应用程序层和应用程序框架层

【答案】A

【解析】从高到低分别是Android应用层、Android应用框架层、Android系统运行层和Linux内核层。

19、文件加密就是将重大的文件以密文形式存储在媒介上，对文件进行加密是一种有效的数据加密存储技术。基于Windows系统的是（ ）。

A. AFS B. TCFS C. CFS D. EFS

【答案】D

【解析】Encrypting File System（EFS，加密文件系统）是Windows内置的一套基于公共密钥的加密机制，可以加密NTFS分区上的文件和文件夹，能够实时、透明地对磁盘上的数据进行加密。

20、数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记，可以有效实现对数字多媒体数据的版权保护功能。以下关于数字水印的描述中，不正确的是（ ）。

A.隐形数字水印可应用于数据侦测与跟踪

B.在数字水印技术中，隐藏水印的数据量和鲁棒性是一对矛盾

C.秘密水印也称盲化水印，其验证过程不需要原始秘密信息

D.视频水印算法必须满足实时性的要求

【答案】C

【解析】水印分类：秘密水印（非盲化水印）；半秘密水印（半盲化水印）；公开水印（盲化或健忘水印）。

21、（ ）是指采用一种或多种传播手段，将大量主机感染bot程序，从而在控制者和被感染主机之间形成的一个可以一对多控制的网络。

A.特洛伊木马 B.僵尸网络 C. ARP欺骗 D.网络钓鱼

【答案】B

【解析】僵尸网络（Botnet）：是指采用一种或多种手段（主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马）使大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可以一对多控制的网络。

22、计算机取证是指能够为法庭所接受的、存在于计算机和相关设备中的电子证据的确认、保护、提取和归档的过程。以下关于计算机取证的描述中，不正确的是（ ）。

A.为了保证调查工具的完整性，需要对所有工具进行加密处理

B.计算机取证需要重构犯罪行为

C.计算机取证主要是围绕电子证据进行的

D.电子证据具有无形性

【答案】A

【解析】加密工具可能影响取证工具的实时性和功能性，实际操作中仅需校验工具完整性（如哈希值），而非强制加密。

23、强制访问控制(MAC)可通过使用敏感标签对所有用户和资源强制执行安全策略。 MAC中用户访问信息的读写关系包括下读、上写、下写和上读四种，其中用户级别高于文件级别的读写操作是 （ ）。

A.下读 B.上写 C.下写 D.上读

【答案】C

【解析】用户级别高于文件级别时的合法操作是“下写”，即高安全级用户向低安全级文件写入数据（允许信息向下流动）。MAC通过“下读上写”原则（低读高写）保障信息单向流动，防止敏感信息泄露。

24、恶意代码是指为达到恶意目的而专门设计的程序或代码。以下恶意代码中，属于脚本病毒的是 （ ）。

A. Worm. Sasser, f B. Trojan. Huigezi. a C. Harm. formatC. f D. Script. Redlof

【答案】D

【解析】Script开头的就是脚本病毒。

25、蜜罐是一种在互联网上运行的计算机系统，是专门为吸引并诱骗那些尝试非法闯入他人计算机系统的人而设计的。以下关于蜜罐的描述中，不正确的是（ ）。

A.蜜罐系统是一个包含漏洞的诱骗系统 B.蜜罐技术是一种被动防御技术

C.蜜罐可以与防火墙协作使用 D.蜜罐可以查找和发现新型攻击

【答案】B

【解析】网络蜜罐技术是一种主动防御技术，是入侵检测技术的一个重大发展方向。

26、已知DES算法S盒如下:

如果该S盒的输入110011,则其二进制输出为( )。

A. 1110 B. 1001 C. 0100 D. 0101

【答案】A

【解析】110011对应的行为11，列为1001，也就是3行9列。查表得到14，二进制为1110。

27、外部网关协议BGP是不同自治系统的路由器之间交换路由信息的协议，BGP-4使用四种报文:打开报文、更新报文、保活报文和通知报文。其中用来确认打开报文和周期性地证实邻站关系的是（ ）。

A.打开报文 B.更新报文 C.保活报文 D.通知报文

【答案】C

【解析】BGP常见四种报文：OPEN报文、KEEPALIVE报文、UPDATE报文和NOTIFICATION报文。其中OPEN报文建立邻居关系，KEEPALIVE报文保持活动状态，周期性确认邻居关系，对OPEN报文回应。

28、电子邮件系统的邮件协议有发送协议SMTP和接收协议P0P3/IMAP4。SMTP发送协议中，发送身份标识的指令是（ ）。

A. SEND B. HELP C. HELO D. SAML

【答案】C

【解析】HELO是SMTP协议中用于身份标识的指令，用于建立连接并确认服务器身份。

29、（ ）能有效防止重放攻击。

A.签名机制 B.时间戳机制 C.加密机制 D.压缩机制

【答案】B

【解析】一般来说，加入时间量或者使用一次性口令等，可以抵御重放攻击。

30、智能卡的片内操作系统COS —般由通信管理模块、安全管理模块、应用管理摸块和文件管理模块四个部分组成。其中数据单元或记录的存储属于 （ ）。

A.通信管理模块 B.安全管理模块 C.应用管理模块 D.文件管理模块

【答案】D

【解析】数据单元或记录的存储属于文件管理模块的职责，该模块负责数据的组织、存取及权限控制，而其他模块分别处理通信协议、安全机制和应用逻辑。

31、PKI是一种标准的公钥密码密钥管理平台。在PKI中，认证中心CA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方机构。CA的功能不包括（ ）。

A.证书的颁发 B.证书的审批 C.证书的加密 D.证书的备份

【答案】C

【解析】认证中心CA（Certificate Authority）是PKI体系的核心信任机构，主要负责数字证书的签发、管理和撤销。CA不直接参与证书内容加密操作，用户证书的加密由客户端本地完成。

32、SM2算法是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法，在我们国家商用密码体系中被用来替换（ ）算法。

A. DES B. MD5 C. RSA D. IDEA

【答案】C

【解析】SM2算法和RSA算法都是公钥密码算法，SM2算法是一种更先进安全的算法，在我们国家商用密码体系中被用来替换RSA算法。

33、数字证书是一种由一个可信任的权威机构签署的信息集合。PKI中的X. 509数字证书的内容不包括（ ）。

A.版本号 B.签名算法标识 C.证书持有者的公钥信息 D.加密算法标识

【答案】D

【解析】X.509数字证书是PKI体系中用于身份认证的核心凭证，包含版本号、序列号等标准化字段。根据RFC 5280标准，X.509证书内容不包括加密算法标识（D选项），仅包含签名算法标识（B选项）。证书通过公钥信息（C选项）和签名实现实体身份与密钥的绑定。

34、下列关于数字签名说法正确的是（ ）。

A.数字签名不可信 B.数字签名不可改变 C.数字签名可以否认 D.数字签名易被伪造

【答案】B

【解析】签名不可改变。

35、含有两个密钥的3重DES加密：,其中K1≠K2，则其有效的密钥长度为（ ）。

A. 56 位 B. 112 位 C. 128 位 D. 168 位

【答案】B

【解析】在 3 重 DES 加密中，当两个密钥不同时，其有效密钥长度为 2×56 = 112 位。由于标准 DES 密钥长度是 56 位，本题中两个不同密钥参与运算，所以有效密钥长度为 112 位。

36、 PDR模型是一种体现主动防御思想的网络安全模型，该模型中D表明（ ）。

A. Design（设计） B. Detection（检测） C. Defense（防御） D. Defend（保护）

【答案】B

【解析】在网络安全领域，PDR 模型是常见的概念。其中，D 代表 Detection（检测）。主动防御思想中，检测是发现潜在威胁和异常的关键环节，能及时察觉网络中的安全状况，以便采取后续的防御和响应措施。

37、无线传感器网络WSN是由部署在监测区域内大量的廉价微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统。以下针对WSN安全问题的描述中，错误的（ ）。

A.通过频率切换可以有效抵御WSN物理层的电子干扰攻击

B.WSN链路层容易受到拒绝服务攻击

C.分组密码算法不适合在WSN中使用

D.虫洞攻击是针对WSN路由层的一种网络攻击形式

【答案】C

【解析】WSN的媒体访问控制子层就很容易受到拒绝服务攻击。虫洞攻击一般是由两个以上的恶意节点共同合作发动攻击，两个处于不同位置的恶意节点会相互把收到的绕路讯息，经由私有的通讯管道传给另一个恶意节点。WSN是一种节点资源受限的无线网络，其链路层的轻量化适合俞各种应用环境的WSN系统。结合序列密码和分组密码实现安全。

38、有一些信息安全事件是由于信息系统中多个部分共同作用造成的，人们称这类事件为“多组件事故”，应对这类安全事件最有效的方法是（ ）。

A.配置网络入侵检测系统以检测某些类型的违法或误用行为

B.使用防病毒软件，并且保持更新为最新的病毒特征码

C.将所有公共访问的服务放在网络非军事区（DMZ）

D.使用聚焦的日志审计工具和事件关联分析软件

【答案】D

【解析】最有效的方法是使用聚焦的日志审计工具和事件关联分析软件，由于这类工具能整合多个组件的日志数据，通过关联分析快速定位跨组件的异常交互，从而精准识别复杂攻击链。其他选项虽能解决单点问题，但无法系统性应对多组件协同引发的安全事件。

39、数据备份一般可分为完全备份、增量备份、差分备份和渐进式备份几种方式。其中将系统中所有选择的数据对象进行一次全面的备份，而不管数据对象自上次备份之后是否修改过的备份方式是（ ）。

A.完全备份 B.增量备份 C.差分备份 D.渐进式备份

【答案】A

【解析】完全备份会对所有选定数据进行完整复制，增量备份仅备份自上次备份后发生变化的数据，两者核心区别在于备份范围与效率。

40、IPSec协议可以为数据传输提供数据源验证、无连接数据完整性、数据机密性、抗重播等安全服务。实则现用户认证采用的协议是（ ）。

A. IKE协议 B. ESP协议 C. AH协议 D. SKIP协议

【答案】C

【解析】IPSec 协议包含多种子协议，其中 AH 协议主要用于为数据传输提供数据源验证等安全服务，包括用户认证。IKE 协议用于密钥交换，ESP 协议侧重数据机密性，SKIP 协议并非 IPSec 中用于用户认证的协议。

41、网页木马是一种通过攻击浏览器或浏览器外挂程序的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段，为了要安全浏览网页，不应该 （ ）。

A.定期清理浏览器缓存和上网历史记录 B.禁止使用ActiveX控件和_Java脚本

C.在他人计算机上使用“自动登录”和“记住密码”功能 D.定期清理浏览器Cookies

【答案】C

【解析】网页木马利用浏览器漏洞植入恶意程序，“在他人计算机上使用自动登录和记住密码功能”会直接暴露账户凭证，是明确禁止的高风险行为。

42、包过滤技术防火墙在过滤数据包时，一般不关心（ ）。

A.数据包的源地址 B.数据包的目的地址 C.数据包的协议类型 D.数据包的内容

【答案】D

【解析】数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的，不检查数据包的内容。

43、信息安全风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量，是对威胁、脆弱点以及由此带来的风险大小的评估。在信息安全风险评估中，以下说法正确的是（ ）。

A.安全需求可通过安全措施得以满足，不需要结合资产价值思考实施成本

B.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分思考与这些基本要素相关的各类属性

C.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分思考与这些基本要素相关的各类属性

D.信息系统的风险在实施了安全措施后可以降为零

【答案】C

【解析】风险评估旨在判断资产面临的风险，而要做到准确评估，就必须充分思考资产相关要素的各类属性。A 选项未思考实施成本不合理；B 选项不思考相关属性错误；D 选项安全措施无法将风险降为零。所以 C 选项正确，强调了评估中充分思考各类属性的重大性。

44、入侵检测技术包括异常入侵检测和误用入侵检测。以下关于误用检测技术的描述中，正确的是（ ）。

A.误用检测根据对用户正常行为的了解和掌握来识别入侵行为

B.误用检测根据掌握的关于入侵或攻击的知识来识别入侵行为

C.误用检测不需要建立入侵或攻击的行为特征库

D.误用检测需要建立用户的正常行为特征轮廓

【答案】B

【解析】误用检测一般由安全专家根据对攻击特征、系统漏洞进行分析，然后手工的编写相应的检测规则、特征模型。误用检测假定攻击者会按某种规则、针对同一弱点进行再次攻击。

45、身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。目前，计算机及网络系统中常用的身份认证技术主要有：用户名/密码方式、智能卡认证、动态口令、生物特征认证等。其中能用于身份认证的生物特征必须具有（ ）。

A.唯一性和稳定性 B.唯一性和保密性 C.保密性和完整性 D.稳定性和完整性

【答案】A

【解析】能用于身份认证的生物特征必须具备唯一性，即每个人的生物特征（如指纹、虹膜等）具有不可复制的独有标识，这是区分个体身份的核心依据，且这些特征具有稳定性不会随时间等条件的变化而变化。

46、无论是哪一种Web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于（ ）。

A.开发型漏洞 B.运行型漏洞 C.设计型漏洞 D.验证型漏洞

【答案】C

【解析】无论是哪一种Web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于设计型漏洞。

47、互联网上通信双方不仅需要知道对方的地址，也需要知道通信程序的端口号。以下关于端口的描述中，不正确的是（ ）。

A.端口可以泄露网络信息 B.端口不能复用

C.端口是标识服务的地址 D.端口是网络套接字的重大组成部分

【答案】B

【解析】端口复用是网络通信中常见的技术，例如HTTP和HTTPS一般使用同一个IP地址的不同端口（如80和443）来区分服务类型。

48、安全电子交易协议SET中采用的公钥密码算法是RSA,采用的私钥密码算法是DES，其所使用的DES有效密钥长度是（ ）。

A. 48 位 B. 56 位 C. 64 位 D. 128 位

【答案】B

【解析】DES分组长度为64比特，使用56比特密钥对64比特的明文串进行16轮加密，得到64比特的密文串。其中，使用密钥为64比特，实际使用56比特，另8比特用作奇偶校验。

49、Windows系统的用户管理配置中，有多项安全设置，其中密码和帐户锁定安全选项设置属于（ ）。

A.本地策略 B.公钥策略 C.软件限制策略 D.帐户策略

【答案】D

【解析】Windows系统的用户管理配置中，有多项安全设置，其中密码和账户锁定安全选项设置属于账户策略。

50、中间人攻击就是在通信双方毫无察觉的情况下，通过拦截正常的网络通信数据，进而对数据进行嗅探或篡改。以下属于中间人攻击的是（ ）。

A.DNS欺骗 B.社会工程攻击 C.网络钓鱼 D.旁注攻击

【答案】A

【解析】DNS欺骗属于中间人攻击。

51、APT攻击是一种以商业或者政治目的为前提的特定攻击，其中攻击者采用口令窃听、漏洞攻击等方式尝试进一步入侵组织内部的个人电脑和服务器，不断提升自己的权限，直至获得核心电脑和服务器控制权的过程被称为（ ）。

A.情报收集 B.防线突破 C.横向渗透 D.通道建立

【答案】C

【解析】在 APT 攻击中，横向渗透指攻击者在获取部分权限后，进一步入侵更多设备以提升权限。

52、无线局域网鉴别和保密体系WAPI是一种安全协议，也是我国无线局域网安全强制性标准，以下关于WAPI的描述中，正确的是（ ）。

A. WAPI系统中，鉴权服务器AS负责证书的颁发、验证和撤销

B.WAPI与WIFI认证方式类似，均采用单向加密的认证技术

C.WAPI中，WPI采用RSA算法进行加解密操作

D.WAPI从应用模式上分为单点式、分布式和聚焦式

【答案】A

【解析】WAPI系统中，鉴权服务器AS的确 负责证书的颁发、验证和撤销，这是其基于公钥基础设施（PKI）的双向认证体系的关键组成部分。WiFi一般采用单向认证（如WPA2-PSK），而WAPI强制要求双向认证，安全性更高。WAPI的WPI（WLAN Privacy Infrastructure）采用国家密码管理局批准的SM4对称加密算法，而非RSA非对称算法。WAPI分为证书模式和预共享密钥模式。

53、Snort是一款开源的网络入侵检测系统，它能够执行实时流量分析和IP协议网络的数据包记录。以下不属于Snort配置模式的是（ ）。

A.嗅探 B.包记录 C.分布式入侵检测 D.网络入侵检测

【答案】C

【解析】Snort的配置有3个主要模式：嗅探、包记录和网络入侵检测。

54、 SSL协议（安全套接层协议）是Netscape公司推出的一种安全通信协议，以下服务中，SSL协议不能提供的是（ ）。

A.用户和服务器的合法性认证服务 B.加密数据服务以隐藏被传输的数据

C.维护数据的完整性 D.基于UDP应用的安全保护

【答案】D

【解析】SSL处于应用层和传输层之间，是一个两层协议，所以不能保证UDP的应用。

55、 IPSec属于（ ）的安全解决方案。

A.网络层 B.传输层 C.应用层 D.物理层

【答案】A

【解析】IPSec 主要用于为 IP 数据包提供加密和认证等安全服务，它工作在网络层。网络层负责数据包的路由和转发，IPSec 在此对数据包进行处理以保障安全。

56、物理安全是计算机信息系统安全的前提，物理安全主要包括场地安全、设备安全和介质安全。以下属于介质安全的是（ ）。

A.抗电磁干扰 B.防电磁信息泄露 C.磁盘加密技术 D.电源保护

【答案】C

【解析】介质安全指介质数据和介质本身的安全。包括磁盘信息加密技术和磁盘信息清除技术。

57、以下关于网络欺骗的描述中，不正确的是（ ）。

A. Web欺骗是一种社会工程攻击

B.DNS欺骗通过入侵网站服务器实现对网站内容的篡改

C.邮件欺骗可以远程登录邮件服务器的端口 25

D.采用双向绑定的方法可以有效阻止ARP欺骗

【答案】B

【解析】DNS 欺骗并非通过入侵网站服务器篡改内容，而是通过篡改 DNS 解析结果实现。

58、在我国，依据《中华人民共和国标准化法》可以将标准划分为：国家标准、行业 标准、地方标准和企业标准4个层次。《信息安全技术信息系统安全等级保护基本要求》 （GB/T 22239-2008）属于( )。

A.国家标准 B.行业标准 C.地方标准 D.企业标准

【答案】A

【解析】我国国家标准代号：强制性标准代号为GB、推荐性标准代号为GB/T。

59、安全电子交易协议SET是由VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议。以下关于SET的叙述中，不正确的是（ ）。

A. SET协议中定义了参与者之间的消息协议

B.SET协议能够解决多方认证问题

C.SET协议规定交易双方通过问答机制获取对方的公开密钥

D.在SET中使用的密码技术包括对称加密、数字签名、数字信封技术等

【答案】C

【解析】在SET协议中主要定义了以下内容：加密算法的应用；证书消息和对象格式；购买消息和对象格式；请款消息和对象格式；参与者之间的消息协议。

60、PKI中撤销证书是通过维护一个证书撤销列表CRL来实现的。以下不会导致证书被撤销的是（ ）。

A.密钥泄漏 B.系统升级 C.证书到期 D.从属变更

【答案】B

【解析】当用户个人身份信息发生变化或私钥丢失、泄露、疑似泄露时，证书用户应及时地向CA提出证书地撤销请求，CA也应及时地把此证书放入公开发布的证书撤销列表（Certification Revocation List，CRL）。系统升级不会导致证书被撤销。

61、以下关于虚拟专用网VPN描述错误的是（ ）。

A. VPN不能在防火墙上实现 B.链路加密可以用来实现VPN

C.IP层加密可以用来实现VPN D. VPN提供机密性保护

【答案】A

【解析】目前防火墙许多自带VPN功能。

62、常见的恶意代码类型有：特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、 广告软件。2017年5月爆发的恶意代码WannaCry勒索软件属于（ ）。

A.特洛伊木马 B.蠕虫 C.后门 D. Rootkit

【答案】B

【解析】WannaCry是一种蠕虫式的勒索病毒软件。

63、防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通知信息源该信息被禁止的处理方式是（ ）。

A. Accept B. Reject C. Refuse D. Drop

【答案】B

【解析】防火墙的安全规则中的处理方式主要包括以下几种：Accept允许数据包或信息通过；Reject拒绝数据包或信息通过，并且通知信息源该信息被静止；Drop直接将数据包或信息丢弃，并且不通知信息源。

64、网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量状况是网络中的重大信息，利用流量监测获得的数据，不能实现的目标是（ ）。

A.负载监测 B.网络纠错 C.日志监测 D.入侵检测

【答案】C

【解析】流量监控指的是对数据流进行的监控，一般包括出数据、入数据的速度、总流量。不能过滤敏感数据。网络流量状况是网络中的重大信息，利用流量监测获得的数据，不能实现的目标是日志监测。

65、在下图给出的加密过程中Mi,i=1,2,…,n表明明文分组，Ci,i=1,2,…,n表明密文分组，IV表明初始序列，K表明密钥，E表明分组加密。该分组加密过程的工作模式是（ ）。

A.ECB B.CTR C.CFB D.PCBC

【答案】D

【解析】属于明密文链接模式( PCBC)。

66、目前网络安全形势日趋复杂，攻击手段和攻击工具层出不穷，攻击工具日益先进, 攻击者需要的技能日趋下降。以下关于网络攻防的描述中，不正确的是（ ）。

A.嗅探器Sniffer工作的前提是网络必须是共享以太网

B.加密技术可以有效抵御各类系统攻击

C.APT的全称是高级持续性威胁

D.同步包风暴(SYN Flooding)的攻击来源无法定位

【答案】B

【解析】加密技术不能防止拒绝服务攻击。

67、（ ）攻击是指借助于客户机/服务器技术,将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

A.缓冲区溢出 B.分布式拒绝服务 C.拒绝服务 D. 口令

【答案】B

【解析】分布式拒绝服务攻击是指借助于客户机/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发起DoS攻击，从而成倍地提高拒绝服务攻击的威力。

68、如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决，就认为相应的密码体制是（ ）的。

A.计算安全 B.可证明安全 C.无条件安全 D.绝对安全

【答案】B

【解析】在密码学中，可证明安全的密码体制，其破译依赖于特定数学难题的解决。计算安全是基于计算难度，无条件安全则不依赖任何条件。本题中，依赖深入研究的数学难题解决来判断密码体制的安全性，符合可证明安全的特点。

69、移位密码的加密对象为英文字母，移位密码采用对明文消息的每一个英文字母向前推移固定化y位的方式实现加密。设key=3，则对应明文MATH的密文为( )。

A. OCVJ B. QEXL C. PDWK D. RFYM

【答案】C

【解析】移位密码中，当key=3时，明文MATH的密文是PDWK，这是通过将每个英文字母在字母表中向右移动3位（即加key值）并模26计算得出的标准结果。

70、基于公开密钥的数字签名算法对消息进行签名和验证时，正确的签名和验证方式是（ ）。

A.发送方用自己的公开密钥签名，接收方用发送方的公开密钥验证

B.发送方用自己的私有密钥签名，接收方用自己的私有密钥验证

C.发送方用接收方的公开密钥签名，接收方用自己的私有密钥验证

D.发送方用自己的私有密钥签名，接收方用发送方的公开密钥验证

【答案】D

【解析】基于公开密钥的数字签名算法对消息进行签名和验证时，正确的签名和验证方式是发送方用自己的私有密钥签名，接收方用发送方的公开密钥验证。

71-75、The modern study of symmetric-key ciphers relates mainly to the study of block ciphers and stream ciphers and to their applications. A block cipher is, in a sense, a modern embodiment of Alberti’s polyalphabetic cipher: block ciphers take as input a block of （71 ）and a key, and output a block of ciphertext of the same size. Since messages are almost always longer than a single block, some method of knitting together successive blocks is required. Several have been developed, some with better security in one aspect or another than others. They are the mode of operations and must be carefully considered when using a block cipher in a cryptosystem.

The Data Encryption Standard (DES) and the Advanced Encryption Standard (AES) are( 72 )designs which have been designated cryptography standards by the US government (though DES’s designation was finally withdrawn after the AES was adopted). Despite its deprecation as an official standard, DES (especially its still-approved and much more secure triple-DES variant) remains quite popular; it is used across a wide range of applications, from ATM encryption to e-mail privacy and secure remote access. Many other block ciphers have been designed and released, with considerable variation in quality. Many have been thoroughly broken. See Category: Block ciphers.

Stream ciphers, in contrast to the ‘block’type, create an arbitrarily long stream of key material, which is combined ( 73 )the plaintext bit-by-bit or character-by-character, somewhat like the one-time pad. In a stream cipher, the output( 74 )is created based on an internal state which changes as the cipher operates. That state change is controlled by the key, and, in some stream ciphers, by the plaintext stream as well. RC4 is an example of a well-known, and widely used, stream cipher; see Category: Stream ciphers.

Cryptographic hash functions (often called message digest functions) do not necessarily use keys, but are a related and important class of cryptographic algorithms. They take input data (often an entire message), and output a short fixed length hash, and do so as a one-way function. For good ones, ( 75 ) (two plaintexts which produce the same hash) are extremely difficult to find.

Message authentication codes (MACs) are much like cryptographic hash functions, except that a secret key is used to authenticate the hash value on receipt. These block an attack against plain hash functions.

A.plaintext B.ciphertext C.data D.hash

A.stream cipher B.hash function C.Message authentication code D.Block cipher

A.of B.for C.with D.in

A.hash B.stream C.ciphertext D.plaintext

A.collisons B.image C.preimage D.solution

【答案】A D C B A

【解析】对称密钥密码的现代研究主要涉及分组密码和流密码及其应用的研究。从某种意义上说，分组密码是阿尔贝蒂多字母密码的现代体现：分组密码将（明文）块和密钥作为输入，并输出一样大小的密文块。由于消息几乎总是比单个块长，因此需要将连续的块编织在一起。已经开发了几种方法，其中一些方法在某个方面比其他方法具有更好的安全性。它们是操作模式，在密码系统中使用分组密码时必须仔细思考。

数据加密标准（DES）和高级加密标准（AES）是（分组密码）设计，已被美国政府指定为密码标准（尽管在采用AES后，DES的指定最终被撤销）。尽管作为官方标准被弃用，但DES（尤其是其依旧获得批准且更安全的三重DES变体）依旧超级受欢迎；它被广泛应用于从ATM加密到电子邮件隐私和安全远程访问的各种应用中。已经设计和发布了其他许多分组密码，质量差异很大。许多分组密码已被彻底破解。参见类别：分组密码。

与“块”类型相反，流密码创建了一个任意长的密钥材料流，它与明文逐位或逐字符组合在一起，有点像一次性密码本。在流密码中，输出（流）是基于密码操作时发生变化的内部状态创建的。这种状态变化由密钥控制，在某些流密码中，也由明文流控制。RC4是众所周知且广泛使用的流密码的一个例子；请参阅类别：流密码。

加密哈希函数（一般称为消息摘要函数）不必定使用密钥，但它们是一类相关且重大的加密算法。它们将输入数据（一般是整个消息）作为输入，并输出一个固定长度的短哈希值，并且作为一个单向函数来执行。对于好的哈希函数来说，找到（碰撞）（两个明文产生一样的哈希值）是超级困难的。

消息身份验证码（MAC）与加密哈希函数超级类似，除了在收到时使用密钥对哈希值进行身份验证。这些可以阻止对普通哈希函数的攻击。

试题一 阅读下列说明，回答问题1至问题3,将解答填入答题纸的对应栏内。

【说明】访问控制是保障信息系统安全的主要策略之一，其主要任务是保证系统资源不被非法使用和超级规访问。访问控制规定了主体对客体访向的限制，并在身份认证的碁础上，对用户提出的资源访问请求加以控制。当前,主要的访问控制模型包括：自主访问控制（DAC）模型和强制访问控制(MAC)模型。

【问题1】针对信息系统的访问控制包含哪三个基本要素？

【问题2】BLP模型是一种强制访问控制模型，请问：

（1）BLP模型保证了信息的机密性还是完整性？

（2）BLP模型采用的访问控制策略是上读下写还是下读上写？

【问题3】Linux系统中可以通过Is•命令查看文件的权限，例如：文件net.txt的权限属性如下所示：

-rwx——-1 root root 5025 May 25 2019 /home/abc/net.txt

请问：

（1）文件net.txt属于系统的哪个用户？

（2）文件net.txt权限的数字表明是什么？

【答案】

【问题1】主体、客体、授权访问

【问题2】（1）机密性（2）下读上写

【问题3】（1）root（2）700

试题二 阅读下列说明和表，回答问题1至问题3,将解答填入答题纸的对应栏内。

【说明】密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类：对称密码算法和非对称密码算法。此外，密码技术还用于信息鉴别、数据完整性检验、数字签名等。

【问题1】信息安全的基本目标包括真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。密码学的三大安全目标C.I.A分别表明什么？

【问题2】仿射密码是一种典型的对称密码算法。仿射密码体制的定义如下：

令明文和密文空间M= C =Z26，密钥空间

。对任意的密钥=（1，2）∈K，x∈M，y∈C。定义加密和解密的过程如下：

加密：ekey （x）=（k1x+k2）mod26
解密：dkey （y）=k1-1（y-k2）mod26

其中k1-1表明 k1 在Z26中的乘法逆元，即 k1-1乘以 k1对26取模等于1，gcd⁡(k1,26)= 1表明k1与26互素。

设已知仿射密码的密钥Key = (11，3)，英文字符和整数之间的对应关系如表2.1。则：

(1)整数11在Z26中的乘法逆元是多少?

(2)假设明文消息为“SEC”，相应的密文消息是什么?

【问题3】根据表2.1的对应关系,仿射密码中,如果已知明文“E”对应密交“C”,明文“T”对应密文“F”,则相应的key=(k1,k2)等于多少？

【答案】

【问题1】保密性、完整性、可用性。

【问题2】（1）19（2）TVZ

【问题3】k1=21；k2=22

试题三 阅读下列说明，回答问题1至问题5，将解答填入答题纸的对应栏内。

【说明】假设用户A和用户B为了相互验证对方的身份，设计了如下通信协议：

其中：RA、RB是随机数，PAB是双方事先约定并共享的口令，“||”表明连接操作。f是哈希函数。

【问题1】身份认证可以通过用户知道什么、用户拥有什幺和用户的生理特征等方法来验证。请问上述通信协议是采用哪种方法实现的？

【问题2】根据身份的相互验证需求，补充协议第3步的空白内容。

【问题3】一般哈希函数f需要满足下列性质：单向性、抗弱碰撞性、抗强碰撞性。.如果某哈希函数f具备：找到任何满足f（x）=f（y）的偶对（x，y）在计算上是不可行的，请说明其满足哪条性质。

【问题4】上述协议不能防止重放攻击，以下哪种改善方式能使其防止重放攻击？

（1）在发送消息加上时间参量。

（2）在发送消息加上随机数。

【问题5】如果将哈希函数替换成对称加密函数，是否可以提高该协议的安全性？为什么？

【答案】

【问题1】通过用户知道什么来验证。

【问题2】RB

【问题3】抗强碰撞性。

【问题4】（1）和（2）

【问题5】不能。对称加密方式密钥存在分发和管理困难问题；同时不具备哈希函数的单向性。

试题四 阅读下列说明和表，回答问题1至问题4,将解答填入答题纸的对应栏内。

【说明】防火墙类似于我国古代的护城河，可以阻挡敌人的进攻。在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙通过使用各种安全规则来实现网络的 安全策略。

防火墙的安全规则由匹配条件和处理方式两个部分共同构成。网络流量通过防火墙时，根据数据包中的某些特定字段进行计算后来如果满足匹配条件，就必须采用规则中的处理方式进行处理。

【问题1】假设某企业内部网（202.114.63.0/24）需要通过防火墙与外部网络互连，其防火墙的过滤规则实例如表4.1所示。

表中“*”表明通配符，任意服务端口都有两条规则。

请补充表4.1中的内容（1）和（2），并根据上述规则表给出该企业对应的安全需求。

【问题2】一般来说，安全规则无法覆盖所有的网络流量。因此防火墙都有一条缺省（默认）规则，该规则能覆盖事先无法预料的网络流量。请问缺省规则的两种选择是什么？

【问题3】请给出防火墙规则中的三种数据包处理方式。

【问题4】防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面的内 容：服务控制、方向控制、用户控制和行为控制。请问表4.1中，规则A涉及访问控制的哪几个方面的内容？

【答案】

【问题1】（1）53 （2）Drop

企业对应的安全需求有：

（1）允许内部用户访问外部网络的网页服务器；

（2）允许外部用户访问内部网络的网页服务器（202.114.64.125）；

（3）除1和2外，禁止其他任何网络流量通过防火墙。

【问题2】两种缺省选择是，默认拒绝或者默认允许。

【问题3】Accept、Reject、Drop

【问题4】服务控制、方向控制和用户控制。

试题五 阅读下列说明和图，回答问题1至问题4,将解答填入答题纸的对应栏内。

【说明】信息系统安全开发生命周期（Security Development Life Cycle（SDLC））是微软提出的从安全角度指导软件开发过程的管理模式，它将安全纳入信息系统开发生命周期的所有阶段，各阶段的安全措施与步骤如下图5.1所示。

【问题1】在培训阶段，需要对员工进行安全意识培训，要求员工向弱口令说不！针对弱口令最有效的攻击方式是什么？以下口令中，密码强度最高的是（ ）。

A. security2019 B. 2019Security C. Security@2019 D. Security2019

【问题2】在大数据时代,个人数据正被动地被企业搜集并利用。在需求分析阶段,需要思考采用隐私保护技术防止隐私泄露。从数据挖掘的角度,隐私保护技术主要有:基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。

请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种?

（1）随机化过程修改敏感数据 （2）基于泛化的隐私保护技术 （3）安全多方计算隐私保护技术

【问题3】有下述口令验证代码：

请问调用verify_password函数的参数满足什么条件，就可以在不知道真实口令的情况下绕过口令验证功能？

【问题4】SDLC安全开发模型的实现阶段给出了 3种可以采取的安全措施，请结合问题3的代码举例说明？

【答案】

【问题1】针对弱口令最有效的攻击方式是穷举攻击。C

【问题2】（1）随机化过程修改敏感数据属于基于数据失真的隐私保护技术

（2）基于泛化的隐私保护技术基于数据失真匿名化的隐私保护技术

（3）安全多方计算隐私保护技术基于数据加密的隐私保护技术

【问题3】参数password的值满足的条件为：

password数组长度大于等于12 个字符，其中，password[8] ~password[11]这部分每个字符均为空字符。

【问题4】（1）使用批准工具：编写安全代码。

（2）禁用不安全函数：禁用C语言中有隐患的函数。

（3）静态分析：检测程序指针的完整性。