2019上半年信息安全工程師下午應(yīng)用技術(shù)（案例分析）題型舉例

試題一

閱讀下列說(shuō)明,回答問(wèn)題1至問(wèn)題4,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】惡意代碼是指為達(dá)到惡意目的專(zhuān)門(mén)設(shè)計(jì)的程序或者代碼。常見(jiàn)的惡意代碼類(lèi)型有特洛伊木馬、蠕蟲(chóng)、病毒、后門(mén)、rootkit、僵尸程序、廣告軟件。

2017年5月,勒索軟件wanacry席卷全球,國(guó)內(nèi)大量高校及企事業(yè)單位的計(jì)算機(jī)被攻擊,文件及數(shù)據(jù)被加密后無(wú)法使用,系統(tǒng)或服務(wù)無(wú)法正常運(yùn)行,損失巨大。

【問(wèn)題1】（2分）

按照惡意代碼的分類(lèi),此次爆發(fā)的惡意軟件屬于哪種類(lèi)型?

【問(wèn)題2】（2分）

此次勒索軟件針對(duì)的攻擊目標(biāo)是windows還是linux類(lèi)系統(tǒng)?

【問(wèn)題3】（6分）

惡意代碼具有的共同特征是什么?

【問(wèn)題4】（5分）

由于此次勒索軟件需要利用系統(tǒng)的smb服務(wù)漏洞(端口號(hào)445)進(jìn)行傳播,我們可以配置防火墻過(guò)濾規(guī)則來(lái)阻止勒索軟件的攻擊,請(qǐng)?zhí)顚?xiě)表1-1中的空（1）-（5）,使該過(guò)濾規(guī)則完整。

注:假設(shè)本機(jī)ip地址為:1.2.3.4,”*”表示通配符。

試題二

閱讀下列說(shuō)明,答問(wèn)題1至問(wèn)題3,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】在linux系統(tǒng)中,用戶(hù)賬號(hào)是用戶(hù)的身份標(biāo)志,它由用戶(hù)名和用戶(hù)口令組成。

【問(wèn)題1】（4分）

linux系統(tǒng)將用戶(hù)名和口令分別保存在哪些文件中?

【問(wèn)題2】（7分）

linux系統(tǒng)的用戶(hù)名文件通常包含如下形式的內(nèi)容:root:x:0:0:root:root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

hujw:x:500:500:hujianwei:/home/hujw:/bin/bash

文件中的一行記錄對(duì)應(yīng)著一個(gè)用戶(hù),每行記錄用冒號(hào)(:)分隔為7個(gè)字段,請(qǐng)問(wèn)第1個(gè)冒號(hào)(第二列)和第二個(gè)冒號(hào)(第三列)的含義是什么?上述用戶(hù)名文件中,第三列的數(shù)字分別代表什么含義?

【問(wèn)題3】（4分）

linux系統(tǒng)中用戶(hù)名文件和口令字文件的默認(rèn)訪(fǎng)問(wèn)權(quán)限分別是什么?

試題四

閱讀下列說(shuō)明和c語(yǔ)言代碼,回答問(wèn)題1至問(wèn)題4,將解答寫(xiě)在答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

在客戶(hù)服務(wù)器通信模型中,客戶(hù)端需要每隔一定時(shí)間向服務(wù)器發(fā)送數(shù)據(jù)包,以確定服務(wù)器是否掉線(xiàn),服務(wù)器也能以此判斷客戶(hù)端是否存活,這種每隔固定時(shí)間發(fā)一次的數(shù)據(jù)包也稱(chēng)為心跳包。心跳包的內(nèi)容沒(méi)有什么特別的規(guī)定,一般都是很小的包。

某系統(tǒng)采用的請(qǐng)求和應(yīng)答兩種類(lèi)型的心跳包格式如圖4-1所示。

心跳包類(lèi)型占1個(gè)字節(jié)，主要是請(qǐng)求和響應(yīng)兩種類(lèi)型；

心跳包數(shù)據(jù)長(zhǎng)度字段占2個(gè)字節(jié)，表示后續(xù)數(shù)據(jù)或者負(fù)載的長(zhǎng)度。

接收端收到該心跳包后的處理函數(shù)是process_heartbeat(),其中參數(shù)p指向心跳包的報(bào)文數(shù)據(jù),s是對(duì)應(yīng)客戶(hù)端的socket網(wǎng)絡(luò)通信套接字。

【問(wèn)題1】（4分）

（1）心跳包數(shù)據(jù)長(zhǎng)度字段的最大取值是多少?

（2）心跳包中的數(shù)據(jù)長(zhǎng)度字段給出的長(zhǎng)度值是否必須和后續(xù)的數(shù)據(jù)字段的實(shí)際長(zhǎng)度一致？

【問(wèn)題2】（5分）

（1）上述接收代碼存在什么樣的安全漏洞?

（2）該漏洞的危害是什么?

【問(wèn)題3】（2分）

模糊測(cè)試(fuzzing)是一種非常重要的信息系統(tǒng)安全測(cè)評(píng)方法,它是一種基于缺陷注入的自動(dòng)化測(cè)試技術(shù)。請(qǐng)問(wèn)模糊測(cè)試屬于黑盒測(cè)試還是白盒測(cè)試?其測(cè)試結(jié)果是否存在誤報(bào)?

【問(wèn)題4】（4分）

模糊測(cè)試技術(shù)能否測(cè)試出上述代碼存在的安全漏洞?為什么?

試題五

閱讀下列說(shuō)明和圖,回答問(wèn)題1至問(wèn)題5,將解答寫(xiě)在答題紙的對(duì)應(yīng)欄內(nèi)。

【說(shuō)明】

入侵檢測(cè)系統(tǒng)(ids)和入侵防護(hù)系統(tǒng)(ips)是兩種重要的網(wǎng)絡(luò)安全防御手段,ids注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管,ips則注重對(duì)入侵行為的控制。

【問(wèn)題1】（2分）

網(wǎng)絡(luò)安全防護(hù)可以分為主動(dòng)防護(hù)和被動(dòng)防護(hù),請(qǐng)問(wèn)ids和ips分別屬于哪種防護(hù)?

【問(wèn)題2】（4分）

入侵檢測(cè)是動(dòng)態(tài)安全模型(p2dr)的重要組成部分。請(qǐng)列舉p2dr模型的4個(gè)主要組成部分。

【問(wèn)題3】（2分）

假如某入侵檢測(cè)系統(tǒng)記錄了如圖5-1所示的網(wǎng)絡(luò)數(shù)據(jù)包：

請(qǐng)問(wèn)圖中的數(shù)據(jù)包屬于哪種網(wǎng)絡(luò)攻擊?該攻擊的具體名字是什么?

【問(wèn)題4】（4分）

入侵檢測(cè)系統(tǒng)常用的兩種檢測(cè)技術(shù)是異常檢測(cè)和誤用檢測(cè),請(qǐng)問(wèn)針對(duì)圖中所描述的網(wǎng)絡(luò)攻擊應(yīng)該采用哪種檢測(cè)技術(shù)?請(qǐng)簡(jiǎn)要說(shuō)明原因。

【問(wèn)題5】（3分）

snort是一款開(kāi)源的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),它能夠執(zhí)行實(shí)時(shí)流量分析和ip協(xié)議網(wǎng)絡(luò)的數(shù)據(jù)包記錄.

snort的配置有3種模式,請(qǐng)給出這3種模式的名字。