2021年信息安全工程師案例分析真題與答案完整版（下午題）

1、試題一（共20分）

閱讀下列說明和圖，回答問題1至問題5，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】在某政府單位信息中心工作的李工要負(fù)責(zé)網(wǎng)站的設(shè)計(jì)、開發(fā)工作。為了確保部門新業(yè)務(wù)的順利上線，李工邀請信息安全部門的王工按照等級保護(hù)2.0的要求對其開展安全測評。李工提供網(wǎng)站的 網(wǎng)絡(luò)拓?fù)鋱D如圖1-1示。圖中，網(wǎng)站服務(wù)器的IP地址是192.168.70.140，數(shù)據(jù)庫服務(wù)器的IP地址是 192.168.70.141。

王工接到網(wǎng)站安全測評任務(wù)以后，決定在內(nèi)網(wǎng)辦公區(qū)的信息安全部開展各項(xiàng)運(yùn)維工作，王工使用的辦公電腦IP地址為192.168.11.2。
【問題1】（2分）
按照等級保護(hù)2.0的要求，政府網(wǎng)站的定級不應(yīng)低于幾級？該等級的測評每幾年開展一次？
【問題2】（6分）
按照網(wǎng)絡(luò)安全測評的實(shí)施方式，測評主要包括安全功能檢測、安全管理檢測、代碼安全審查、安全滲透、信息系統(tǒng)攻擊測試等。王工調(diào)閱了部分網(wǎng)站后臺處理代碼，發(fā)現(xiàn)網(wǎng)站某頁面的數(shù)據(jù)庫査詢代碼存在安全漏洞，代碼如下：


（1）請問上述代碼存在哪種漏洞?
（2）為了進(jìn)一步驗(yàn)證自己的判斷，王工在該頁而的編紺權(quán)中輸入了漏洞測試語句，發(fā)起測試。請問王工最有可能輸入的測試語句對應(yīng)以下哪個(gè)選項(xiàng)？
A. or 1 = 1--order by 1 B. I or ‘1’=’1’= I order by I#
C. 1’ or 1 = 1 order by I# D. I'and'1'=’2’ order by I#
（3）根據(jù)上述代碼，網(wǎng)站后臺使用的哪種數(shù)據(jù)庫系統(tǒng)？
（4）王工對數(shù)據(jù)庫中保存口令的數(shù)據(jù)表進(jìn)行檢查的過程中，發(fā)現(xiàn)口令為明文保存，遂給出整改建議，建議李工對源碼進(jìn)行修改，以加強(qiáng)口令的安全防護(hù)，降低敏感信息泄露風(fēng)險(xiǎn)。下而給出四種在數(shù)據(jù)庫中保存口令信息的方法，李工在安全實(shí)踐中應(yīng)釆用哪一種方法？
A. Basc64 B. MD5 C.哈希加鹽 D.加密存儲
【問題3】（2分）
按照等級保護(hù)2.0的要求，系統(tǒng)當(dāng)中沒有必要開放的服務(wù)應(yīng)當(dāng)盡量關(guān)閉。王工在命令行窗口運(yùn)行了一條命令，査詢端口開放請況。請給出王工所運(yùn)行命令的名字。
【問題4】（2分）
防火墻是網(wǎng)絡(luò)安全區(qū)域邊界保護(hù)的重要技術(shù)，防火墻防御體系結(jié)構(gòu)有基于雙宿主機(jī)防火墻、基于代理型防火墻和基于屏蔽子網(wǎng)的防火墻。圖1 -1拓?fù)鋱D中的防火墻布局屬于哪種體系結(jié)構(gòu)類型？
【問題5】（8分）
根據(jù)李工提供的網(wǎng)絡(luò)拓?fù)鋱D，王工建議部署開源的Snort入侵檢測系統(tǒng)以提高整體的安全檢測和態(tài)勢感知能力。
（1）針對王工建議，李工査閱了入侵檢測系統(tǒng)的基本組成和技術(shù)原理等資料。請問以下有關(guān)Snort 入侵檢測系統(tǒng)的描述哪兩項(xiàng)是正確的？ （2分）
A.基于異常的檢測系統(tǒng) B.基于誤用的檢測系統(tǒng)
C.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) D.基于主機(jī)的入侵檢測系統(tǒng)
（2）為了部署Snort入侵檢測系統(tǒng)，李工應(yīng)該把入侵檢測系統(tǒng)連接到圖1-1網(wǎng)絡(luò)拓?fù)渲械哪呐_交換機(jī)？（1分）
（3）李工還需要把網(wǎng)絡(luò)流量導(dǎo)入入侵檢測系統(tǒng)才能識別流才中的潛在攻擊。圖1-1中使用的均為華為交換機(jī)，李工要將交換機(jī)網(wǎng)口 GigabitEthernet1/0/2的流量鏡像到部署Snort的網(wǎng)口GigabitEthernet1/0/1上，他應(yīng)該選擇下列選項(xiàng)中哪一個(gè)配置? （2分）

（4）Snort入侵檢測系統(tǒng)部署不久，就發(fā)現(xiàn)了一起網(wǎng)絡(luò)攻擊。李工打開攻擊分組査看，發(fā)現(xiàn)很字符看起來不像是正常字母，如圖1-2所示，請問該用哪種編碼方式去解碼該網(wǎng)絡(luò)分組內(nèi)容？ （I分）

（5）針對圖1-2所示的網(wǎng)絡(luò)分組，李工查看了該攻擊對應(yīng)的Snort檢測規(guī)則，以更好地掌握Snort 入侵檢測系統(tǒng)的工作機(jī)制。請完善以下規(guī)則，填充空（a）、（b）處的內(nèi)容。（2分）
（a） tcp any any -> any any （msg:"XXX";content:" （b）";nocase;sid:1106;）
信管網(wǎng)參考答案：

查看解析：m.xiexiliangjiufa.com/st/5229321394.html

2、試題二（共20分）
閱讀下列說明，回答問題1至問題5，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】通常由于機(jī)房電磁環(huán)境復(fù)雜，運(yùn)維人員很少在現(xiàn)場進(jìn)行運(yùn)維工作，在出現(xiàn)安全事件需要緊急處理時(shí)，需要運(yùn)維人員隨時(shí)隨地運(yùn)程開展處置工作。
SSH （安全外殼協(xié)議）是一種加密的網(wǎng)絡(luò)傳輸協(xié)議，提供安全方式訪問遠(yuǎn)程計(jì)算機(jī)。李工作為公司的安全運(yùn)維工程師，也經(jīng)常使用SSH遠(yuǎn)程登錄到公司的Ubuntu 18.04服務(wù)器中進(jìn)行安全維護(hù)。
【問題1】（2分）
SSH協(xié)議默認(rèn)工作的端口號是多少？
【問題2】（2分）
網(wǎng)絡(luò)設(shè)備之間的遠(yuǎn)程運(yùn)維可以釆用兩種安全通信方式：一種是SSH，還有一種是什么？
【間題3】（4分）
日志包含設(shè)備、系統(tǒng)和應(yīng)用軟件的各種運(yùn)行信息，是安全運(yùn)維的重點(diǎn)關(guān)注對象。李工在定期巡檢服務(wù)器的SSHH志時(shí)，發(fā)現(xiàn)了以下可疑記錄：


（1）請問李工打開的系統(tǒng)日志文律的路徑和名稱是什么？
（2）李工懷疑有黑客在攻擊該系統(tǒng)，請給出判斷攻擊成功與否的日志以便李工評估攻擊的影響。
【問題4] （10分）
經(jīng)過上次SSH的攻擊事件之后，李工為了加強(qiáng)口令安全，降低遠(yuǎn)程連接風(fēng)險(xiǎn)，考慮釆用免密證書登錄。
（1） Linux系統(tǒng)默認(rèn)不允許證書方式登錄，李工需要實(shí)現(xiàn)免密證書登錄的功能，應(yīng)該修改哪個(gè)配置件？請給出文件名。
（2）李工在創(chuàng)建證書后需要拷貝公鑰信息到服務(wù)器中。他在終端輸入了以下拷貝命令，請說明命令中“>>"的含義。
ssh xiaoming@server cat/home/xiaoming/.ssh/id_rsa.pub> >authorized_keys
（3）服務(wù)器中的authorized_keys文件詳細(xì)信息如下，請給出文件權(quán)限的數(shù)字表示。

（4）李工完成SSH配置修改后需要重啟服務(wù)，請給出 systemctl重啟SSH服務(wù)的命令。
（5）在上述服務(wù)配置過程中，配置命令中可能包含各種敏感信息，因此在配翼結(jié)束后應(yīng)及時(shí)清除歷史命令信息，請給出清除系統(tǒng)歷史記錄應(yīng)執(zhí)行的命令。
【問題5】 （2分）
SSH之所以可以實(shí)現(xiàn)安全的遠(yuǎn)程訪問，歸根結(jié)底還是密碼技術(shù)的有效使用。對于SSH協(xié)議，不管是李工剛開始使用的基于口令的認(rèn)證還是后來的基于密鑰的免密認(rèn)證，都是密碼算法和密碼協(xié)議在為李工的遠(yuǎn)程訪問保駕護(hù)航。請問上述安全能力是基于對稱密碼體制還是非對稱密碼體制來實(shí)現(xiàn)的？
信管網(wǎng)參考答案：

查看解析：m.xiexiliangjiufa.com/st/5229428662.html

3、試題三（共20分）
閱讀下列說明和圖，回答問題1至問題5，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】域名系統(tǒng)是網(wǎng)絡(luò)空間的中樞神經(jīng)系統(tǒng)，其安全性影響范圍大，也是網(wǎng)絡(luò)攻防的重點(diǎn)。李工在日常的流量監(jiān)控中，發(fā)現(xiàn)如圖3-1所示的可疑流量，請協(xié)助分析其中可能的安全事件。
【問題1】（4分）
域名系統(tǒng)釆用授權(quán)的分布式數(shù)據(jù)査詢系統(tǒng)，完成域名和IP地址的解析。李工通過上述流量可以判斷域名解析是否正常、有無域名劫持攻擊等安全事件發(fā)生。
（1）域名系統(tǒng)的服務(wù)端程序工作在網(wǎng)絡(luò)的哪一層？
（2）圖3-1中的第一個(gè)網(wǎng)絡(luò)分組要解析的域名是什么？
（3）給出上述域名在DNS查詢包中的表示形式（16進(jìn)制）。
（4）由圖3-1可知李工所在單位的域名服務(wù)器的IP地址是什么？

【問題2】 (2分)
簽于上述DNS協(xié)議分組包含大量奇怪的子域名，如想知道是哪個(gè)應(yīng)用程序發(fā)送的上述網(wǎng)絡(luò)分組，請問在Windows系統(tǒng)下，李工應(yīng)執(zhí)行哪條命令以確定上述DNS流量來源?
【問題3】（6分）
通過上述的初步判斷，李工認(rèn)為192.168.229.I的計(jì)算機(jī)可能已經(jīng)被黑客所控制（CC攻擊）。黑客慣用的手法就是建立網(wǎng)絡(luò)隱蔽通道，也就是指利用網(wǎng)絡(luò)協(xié)議的某些字段秘密傳輸信息，以掩蓋惡意程序的通信內(nèi)容和通信狀態(tài)。
（1）請問上述流量最有可能對應(yīng)的惡意程序類型是什么？
（2）上述流量中隱藏的異常行為是什么？請簡要說明。
（3）信息安全目標(biāo)包括保密性、完整性、不可否認(rèn)性、可用性和可控性，請問上述流量所對應(yīng)的網(wǎng)絡(luò)攻擊違反了信息安全的哪個(gè)目標(biāo)？
【問題4】（6分）
通過上述的攻擊流分析，李工決定用防火墻隔離該計(jì)算機(jī)，李工所運(yùn)維的防火墻是Ubuntu系統(tǒng)自帶的iptables防火墻。
（1）請問iptables默認(rèn)實(shí)現(xiàn)數(shù)據(jù)包過濾的表是什么？該表默認(rèn)包含哪幾條鏈？
（2）李工首先要在ipables防火墻中査看現(xiàn)有的過濾規(guī)則，請給出該命令。
（3）李工要禁止該計(jì)算機(jī)繼續(xù)發(fā)送DNS數(shù)據(jù)包，請給出相應(yīng)過濾規(guī)則。
【問題5】（2分）
在完成上述處置以后，李工需要分析事件原因，請說明導(dǎo)致DNS成為CC攻擊的首選隱蔽傳輸通道協(xié)議的原因。
信管網(wǎng)參考答案：

查看解析：m.xiexiliangjiufa.com/st/522953774.html

4、試題四（共15分）
閱讀下列說明和圖，回答問題1至問題4，講解答填入答題紙的對應(yīng)欄內(nèi)
【說明】近期，按照網(wǎng)絡(luò)安全審查工作安排，國家網(wǎng)信辦會(huì)同公安部、國家安全部、自然資源部、交通運(yùn)輸部、稅務(wù)總局、市場監(jiān)管總局等部門聯(lián)合進(jìn)駐某出行科技有限公司，開展網(wǎng)絡(luò)安全審查，移動(dòng)APP安全檢測和個(gè)人數(shù)據(jù)安全再次成為關(guān)往焦點(diǎn)。
[問題1] (4分)
為保護(hù)Android系統(tǒng)及應(yīng)用終端平臺安全，Android 系統(tǒng)在內(nèi)核層、系統(tǒng)運(yùn)行層、應(yīng)用框架層以及應(yīng)用程序?qū)硬扇×讼鄳?yīng)的安全措施，以盡可能地保護(hù)移動(dòng)用戶數(shù)據(jù)、應(yīng)用程序和設(shè)備安全。
在Android系統(tǒng)提供的安全措施中有安全沙箱、應(yīng)用程序簽名機(jī)制；權(quán)限聲明機(jī)制、地址空間布局隨機(jī)化等，請將上述四種安全措施按照其所在層次分填入表4-1的空（1）-（4）

【問題2】（6分）
權(quán)限聲明機(jī)制為操作權(quán)限和對象之間設(shè)定了一些限制，只有把權(quán)限和對象進(jìn)行綁定，才可以有權(quán)操作對象（1）請問Android系統(tǒng)應(yīng)用程序權(quán)限聲明信息都在哪個(gè)配置文件中？給出該配置文件名。
（2）Android 系統(tǒng)定義的權(quán)限組包括 CALENDAR、CAMERA、CONTACTS、LOCATION、 MICROPHONE、PHONE、SENSORS，SMS、STORAGE.按照《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本規(guī)范》，運(yùn)行在Android9.0系統(tǒng)中提供網(wǎng)絡(luò)約車服務(wù)的某出行App可以有的最小必要權(quán)限是以上權(quán)限組的哪幾個(gè)？
（3）假如有移動(dòng)應(yīng)用A提供了 AService服務(wù)，對應(yīng)的權(quán)限描述如下：

如果其他應(yīng)用B要訪問該服務(wù)，應(yīng)該申明使用該服務(wù)，將以下申明語句補(bǔ)充完整。
11.< android:name='com.demo. AService">
【問題3】（3分）
應(yīng)用程序框架層集中了很多Android開發(fā)需要的組件，其中最主要的就是Activities. BroadcastReceiver. Services以及Content Providers這四大組件，圍繞四大組件存在很多的攻擊方法，請說明以下三種攻擊分別是針對哪個(gè)組件。
（1）目錄遍歷攻擊。
（2）界面劫持攻擊。
（3）短信攔截攻擊。
【問題4] （2分）
移動(dòng)終端設(shè)備常見的數(shù)據(jù)存儲方式包括：①SharedPreferences；②文件存儲；③SQLite數(shù)據(jù)庫；④ContentProvider；⑤網(wǎng)絡(luò)存儲。
從以上5種方式中選出Android系統(tǒng)支持的數(shù)據(jù)存儲方式，給出對應(yīng)存儲方式的編號。
信管網(wǎng)參考答案：
查看解析：m.xiexiliangjiufa.com/st/5229618782.html