2018上半年信息安全工程师考试
《案例分析》真题
(总分100, 考试时间150分钟)
一、案例分析
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。
2017年5月,勒索软件WanaCry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后无法使用,系统或服务无法正常运行,损失巨大。
1. 按照恶意代码的分类,此次爆发的恶意软件属于哪种类型? 答案:
属于蠕虫类型。
2. 此次勒索软件针对的攻击目标是Windows还是Linux类系统? 答案:
攻击目标是Windows系统。
3. 恶意代码具有的共同特征是什么? 答案:
恶意代码具有如下共同特征: (1)恶意的目的;
(2)本身是计算机程序; (3)通过执行发生作用。
4. 由于此次勒索软件需要利用系统的SMB服务漏洞(端口号445)进行传播,我们可以配置防火墙过滤规则来阻止勒索软件的攻击,请填写表1-1中的空(1)-(5),使该过滤规则完整。
注:假设本机IP地址为:1.2.3.4,\表示通配符。 答案: (1)* (2)>1024 (3)445 (4)TCP (5)0
阅读下列说明和图,回答问题5至问题7,将解答填入答题纸的对应栏内。 【说明】
密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A和B)之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。
在以下描述中,M表示消息,H表示Hash函数,E表示加密算法,D表示解密算法,K表示密钥,SKA表示A的私钥,PKA表示A的公钥,SKB表示B的私钥,PKB表示B的公钥,||表示连接操作。
5. 用户AB双方采用的保密通信的基本过程如图2-1所示。
请问图2-1所设计的保密通信模型能实现信息的哪些安全日标?图2-1中的用户A侧的H和E能否互换计算顺序?如果不能互换请说明原因:如果能互换请说明对安全目标的影响。
该问题分值: 5 答案:
实现完整性的验证。通过对明文M生成摘要信息,然后加密摘要信息附到明文后发送给对方,对方收到后运用同样的hash函数生成摘要信息,与解密得到的摘要信息对比,可以实现完整性的验证。
不可以互换。因为只调整A用户的处理方式,B用户的处理方式不变,B接收到的信息解密不了,
所以完不成对比工作。
6. 图2-2给出了另一种保密通信的基本过程:
请问图2-2设计的保密通信模型能实现信息安全的哪些特性? 该问题分值: 5 答案:
能实现保密性和完整性。
与保密通信模型一不同的是,通信模型二对明文和消息摘要进行加密,传送给对方的是密文,对方收到密文后首先解密,得到明文和摘要信息,然后再用明文生成摘要信息,与解密出来的摘要信息进行比较,验证完整性。所以即保证了机密性,也提供了完整性验证。
7. 为了在传输过程中能够保障信息的保密性、完整性和不可否认性,设计了一个安全通信模型结构如图2-3所示:
请问图2-3中(1),(2)分别应该填什么内容? 该问题分值: 5 答案:
(1)EK[M||ESKA[H(M)]] (2)PKA
阅读下列说明,答问题8至问题10,将解答填入答题纸的对应栏内。
【说明】在Linux系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。 8. Linux系统将用户名和口令分别保存在哪些文件中? 该问题分值: 5 答案:
用户名是存放在/etc/passwd文件; 口令存放在/etc/shadow文件。
9. Linux系统的用户名文件通常包含如下形式的内容:root:x:0:0:root:root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin
hujw:x:500:500:hujianwei:/home/hujw:/bin/bash
文件中的一行记录对应着一个用户,每行记录用冒号(:)分隔为7个字段,请问第1个冒号(第二列)和第二个冒号(第三列)的含义是什么?上述用户名文件中,第三列的数字分别代表什么含义?
该问题分值: 5 答案:
第一个冒号(第二列)代表用户口令;第二个冒号(第三列)代表用户标识号。
第三列数字是用户标识号,用来识别用户身份,root用户id为0,表示它为超级用户;bin用户id为1,表示它为管理用户;hujw用户id为500,表示它为普通用户。
10. Linux系统中用户名文件和口令字文件的默认访问权限分别是什么? 该问题分值: 5 答案:
阅读下列说明和C语言代码,回答问题11至问题14,将解答写在答题纸的对应栏内。 【说明】
在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。
某系统采用的请求和应答两种类型的心跳包格式如图4-1所示。 心跳包类型占1个字节,主要是请求和响应两种类型;
心跳包数据长度字段占2个字节,表示后续数据或者负载的长度。
接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字。
11. (1)心跳包数据长度字段的最大取值是多少?
(2)心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致?
答案:
最大取值为65535。 (unsigned int型数据范围是0~65535) 心跳包中的给出数据长度字段与实际数据长度必须保持一致。 12. (1)上述接收代码存在什么样的安全漏洞? (2)该漏洞的危害是什么? 答案:
(1)HeartBleed漏洞。
(2)由于没有对实际数据载荷长度进行检测,导致攻击者可读出内存中其它重要数据内容。 13. 模糊测试(Fuzzing)是一种非常重要的信息系统安全测评方法,它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报?
答案:
模糊测试属于黑盆测试。 不存在误报问题。
14. 模糊测试技术能否测试出上述代码存在的安全漏洞?为什么? 答案:
可以测试出上述代码存在的安全漏洞。
通过测试发送的请求数据包的大小、内容,和响应数据包的大小、内容,进行比较分析,可以发现上述代码存在的漏洞。
阅读下列说明和图,回答问题15至问题19,将解答写在答题纸的对应栏内。 【说明】
入侵检测系统(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,IDS注重的是网络安全状况的监管,IPS则注重对入侵行为的控制。
15. 网络安全防护可以分为主动防护和被动防护,请问IDS和IPS分别属于哪种防护? 答案:
多数IDS属于被动防护,IPS属干主动防护。
16. 入侵检测是动态安全模型(P2DR)的重要组成部分。请列举P2DR模型的4个主要组成部分。 答案:
P2DR棋型包括四个部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
17. 假如某入侵检测系统记录了如图5-1所示的网络数据包: 图5-1 IDS 记录的网络数据包
请问图中的数据包属于哪种网络攻击?该攻击的具体名字是什么? 答案:
拒绝服务攻击。具体名称为SYN flood。
18. 入侵检测系统常用的两种检测技术是异常检测和误用检测,请问针对图中所描述的网络攻击应该采用哪种检测技术?请简要说明原因。
答案:
应该采用异常检测技术。
异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的\活动简档\,将当前主体的活动状况与\活动简档\相比较,当违反其统计规律时,认为该活动可能是\入侵\行为。
误用检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件。误用检测的优点是检测的误报率低,检测快,但误用检测通常不能发现攻击特征库中役有事先指定的攻击行为。所以无法检测层出不穷的新攻击。
19. Snort是一款开源的网络入侵检测系统,它能够执行实时流量分析和IP协议网络的数据包记录。
Snort的配置有3种模式,请给出这3种模式的名字。 答案:
2018上半年信息安全工程师考试《案例分析》真题及答案
