2016年下半年信息安全工程师真题及答案解析（上午）

2016 年下半年信息安全工程师真题及答案解析（上午）

1、以下有关信息安全管理员职责的叙述，不正确的是（） A、信息安全管理员应该对网络的总体安全布局进行规划

B、信息安全管理员应该对信息系统安全事件进行处理 C、信息安全管理员应该负责为用户编写安全应用程序 D、信息安全管理员应该对安全设备进行优化配置 解析：

信息安全管理员的职责包括对网络的总体安全布局进行规划，对信息系统安全事件进行处理，对安全设备进行优化配置等职责。为用户编写安全应用程序不属于信息安全管理员的职责范围。

参考答案：C

2、国家密码管理局于 2006 年发布了“无线局域网产品须使用的系列密码算法”，其中规定密钥协商算法应使用的是（）

A、DH

B、ECDSA C、ECDH D、CPK 解析：

国家密码管理局公告（2016 年第 7 号）：

一、无线局域网产品须采用下列经批准的密码算法： 1、对称密码算法：SMS4； 2、签名算法：ECDSA; 3、密钥协商算法：ECDH； 4、杂凑算法：SHA-256； 5、随机数生成算法：自行选择。 其中， ECDSA 和 ECDH 密码算法须采用我局指定的椭圆曲线和参数。 二、无线局域网产品使用的 SMS4 密码算法编制文本以及 ECDSA、ECDH 密码算法的椭圆曲线和参数，授权由国家商用密码管理办公室网站

（www.oscca.gov.cn）发布。 心承担。

参考答案：C

3、以下网络攻击中，（）属于被动攻击 A、拒绝服务攻击 B、重放C、假冒 D、流量分析 解析：

主动攻击被动攻击的区别：干扰还是不干扰？被动一般都是窃听

三、无线局域网产品的密码检测指定商用密码检测中

信息安全攻击类型：主动攻击和被动攻击： 参考答案：D

4、（）不属于对称加密算法A、IDEA B、DES C、RCS D、RSA 解析：

idea、des、rc5 都属于对称加密算法，rsa 属于非对称加密算法。 参考答案：D

5、面向身份信息的认证应用中，最常用的认证方法是（） A、基于数据库的认证 B、基于摘要算法认证C、基于 PKI 认证 D、基于账户名/口令认证 解析：

在面向身份信息认证应用中最常用的方式是基于账户名和口令认证，比如日常常用的操作系统登录，邮件系统登录等都需要输入对应的用户名和密码才能进入系统。

参考答案：D

6、如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为（）

A、公钥加密系统 B、单密钥加密系统C、对称加密系统 D、常规加密系统 解析： 公钥加密系统又称之为非对称加密系统，其使用的加密密钥和解密密钥不同，从其中的一个密钥难以推出另一个密钥。

参考答案：A

7、S/Key 口令是一种一次性口令生产方案，它可以对抗（） A、恶意代码木马攻击B、拒绝服务攻击 C、协议分析攻击D、重放攻击

解析：

服务端发送过来一个随机数，客户端使用共享密码多次 hash，服务端同样的操作。 参考答案：D

8、防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止（） A、内部威胁和病毒威胁

B、外部攻击

C、外部攻击、外部威胁和病毒威胁D、外部攻击和外部威胁 解析：

防火墙是一种位于内部网络与外部网络之间的网络安全系统，内外网络通信时，依照特定的规则，允许或是限制传输的数据通过。它不能防范内部威胁及病毒威胁。

参考答案：A

9、以下行为中，不属于威胁计算机网络安全的因素是（） A、操作员安全配置不当而造成的安全漏洞

B、在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息C、安装非正版软件

D、安装蜜罐系统 解析：

蜜罐好比是情报收集系统。好比是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。它是一种防御手段。

参考答案：D

10、电子商务系统除了面临一般的信息系统所涉及的安全威胁之外，更容易成为黑客分子的攻击目标，其安全性需求普遍高于一般的信息系统，电子商务系统中的信息安全需求不包括（）

A、交易的真实性

B、交易的保密性和完整性C、交易的可撤销性 D、交易的不可抵赖性 解析：

电子商务交易安全需求包括交易的保密性、完整性、真实性、不可抵赖性。交易的可撤销性不属于电子商务交易安全需求。

参考答案：C

11、以下关于认证技术的叙述中，错误的是（）：做例子分析，答题技巧：很多题目都有技巧

A、指纹识别技术的利用可以分为验证和识别B、数字签名是十六进制的字符串

C、身份认证是用来对信息系统中实体的合法性进行验证的方法D、消息认证能够确定接收方收到的消息是否被篡改过

解析：

A 选项：（没毛病，或者说有点小瑕疵）

B 选项：（字符串两个字有瑕疵，也没有这么说的）

C 选项：（是一种验证方法没错，对信息系统中试题这瑕疵就老大了，但是再仔细一想，这里可能是个错别字：实体，这样就通顺了对吧）

D 选项：（没毛病） 参考答案：B

12、有一种原则是对信息进行均衡、全面的防护，提高整个系统的安全性能，该原则称为（） A、动态化原则

B、木桶原则 C、等级性原则D、整体原则 解析：

整体原则是对信息进行均衡、全面的防护，提高整个系统的“安全最低点”的安全性能。 参考答案：D

13、在以下网络威胁中，（）不属于信息泄露 A、数据窃听 B、流量分析

C、偷窃用户账户D、暴力破解 解析：

暴力破解的基本思想是根据题目的部分条件确定答案的大致范围，并在此范围内对所有可能的情况逐一验证，直到全部情况验证完毕。它不属于信息泄露。

参考答案：D

14、未授权的实体得到了数据的访问权，这属于对安全的（） A、机密性 B、完整性C、合法性D、可用性 解析：

保密性是指网络信息不被泄露给非授权的用户、实体或过程，即信息只为授权用户使用。

参考答案：A

15、按照密码系统对明文的处理方法，密码系统可以分为（） A、置换密码系统和易位密码

B、密码学系统和密码分析学系统 C、对称密码系统和非对称密码系统D、分组密码系统和序列密码系统 解析：

按照密码系统对明文的处理方法，密码系统可以分为分组密码系统和序列密码系统。 参考答案：A

16、数字签名最常见的实现方法是建立在（）的组合基础之上A、公钥密码体制和对称密码体制

B、对称密码体制和MD5 摘要算法

C、公钥密码体制和单向安全散列函数算法（排除法） D、公证系统和 MD4 摘要算法 解析：

数字签名可以利用公钥密码体制、对称密码体制或者公证系统来实现。最常见的的实现方法是建立在公钥密码体制和单向安全散列函数算法的组合基础之上。

参考答案：C

17、以下选项中，不属于生物识别方法的是（） A、指纹识别 B、声音识别C、虹膜识别 D、个人标记号识别 解析：

指纹识别、声音识别、虹膜识别都属于生物识别方法，个人标记号不属于生物识别方法。 参考答案：D

18、计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。以下关于计算机取证的描述中，错误的是（）

A、计算机取证包括对以磁介质编码信息方式存储的计算机证据的提取和归档B、计算机取证围绕电子证据进行，电子证据具有高科技性等特点

C、计算机取证包括保护目标计算机系统，确定收集和保存电子证据，必须在开计算机的状态下进行D、计算机取证是一门在犯罪进行过程中或之后收集证据