53、入侵检测系统放置在防火墙内部所带来的好处是() A、减少对防火墙的攻击 B、降低入侵检测
C、增加对低层次攻击的检测D、增加检测能力和检测范围 解析:
ids 实时检测可以及时发现一些防火墙没有发现的入侵行为,发行入侵行为的规律,这样防火墙就可以将这些规律加入规则之中,提高防火墙的防护力度,降低入侵检测系统的误报率。
参考答案:B
54、智能卡是指粘贴或嵌有集成电路芯片的一种便携式卡片塑胶,智能卡的片内操作系统(COS)是智能卡芯片内的一个监控软件,以下不属于 COS 组成部分的是()
A、通讯管理模块(Transmission Manager) B、数据管理模块 C、安全管理模块
D、文件管理模块(File Manager) 解析: 四大模块:通信管理、命令解析、文件管理、安全管理 参考答案:B
55、以下关于 IPSec 协议的叙述中,正确的是() A、IPSec 协议是解决 IP 协议安全问题的一种方案B、IPSec 协议不能提供完整性(HASH 函数)
C、IPSec 协议不能提供机密性保护
D、IPSec 协议不能提供认证功能(AH,ESP 都提供认证) 解析:
ipsec 协议是一种开放标准的框架结构,通过使用加密的安全服务以确保在internet 协议网络上进行保密而安全的通讯,是解决 ip 协议安全问题的一种方案,它能提供完整性、保密性、反重播性、不可否认性、认证等功能。
参考答案:A
56、不属于物理安全威胁的是() A、自然灾害 B、物理攻击C、硬件故障
D、系统安全管理人员培训不够 解析:
物理安全是指在物理媒介层次上对存储和传输的信息加以保护,它是保护计算机网络设备、设施免遭地震、
水灾、火灾等环境事故以及人为操作错误或各种计算机犯罪行为而导致破坏的过程。 参考答案:D
57、以下关于网络钓鱼的说法中,不正确的是() A、网络钓鱼融合了伪装、欺骗等多种攻击方式
B、网络钓鱼与 Web 服务没有关系
C、典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上D、网络钓鱼是“社会工程攻击”是一种形式
解析:
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 id 、atm pin 码或信用卡详细信息)的一种攻击方式,最典型的的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个过程不会让受害者警觉,它是“社会工程攻击”的一种形式。
参考答案:B
58、以下关于隧道技术说法不正确的是()
A、隧道技术可以用来解决 TCP/IP 协议的某种安全威胁问题 B、隧道技术的本质是用一种协议来传输另外一种协议
C、IPSec 协议中不会使用隧道技术(IPsec 有隧道和传输两种模式) D、虚拟专用网中可以采用隧道技术 解析:
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,使用隧道传递的数据(或负载) 可以是不同协议的数据帧或包,隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。协议包括: pptp 协议、l2tp 协议、ipsec 协议、vpn 协议等。
参考答案:C
59、安全电子交易协议 SET 是有 VISA 和 MasterCard 两大信用卡组织联合开发的电子商务安全协议。以下关于 SET 的叙述中,正确的是()
A、SET 是一种基于流密码的协议(公钥算法 RSA,对称密码算法是 DES) B、SET 不需要可信的第三方认证中心的参与(第三方:支付网关)
C、SET 要实现的主要目标包括保障付款安全,确定应用的互通性和达到全球市场的可接受性
D、SET 通过向电子商务各参与方发放验证码来确认各方的身份,保证网上支付的安全性
(数字签名、身份认证的过程)
解析:
set 协议是应用层的协议,是一种基于消息流的协议,一个基于可信的第三方认证中心的方案。set 改变了支付系统中各个参与者之间交互的方式,电子支付始于持卡人。
参考答案:C
60、在 PKI 中,不属于 CA 的任务是()
A、证书的颁发B、证书的审改C、证书的备份D、证书的加密 解析:
ca 是 pki 的信任基础,ca 负责签发证书、管理和撤销证书,包括证书的审批及备份等。 参考答案:D
61、以下关于 VPN 的叙述中,正确的是()
A、VPN 指的是用户通过公用网络建立的临时的、安全的连接
B、VPN 指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路 C、VPN 不能做到信息认证和身份认证
D、VPN 只能提供身份认证,不能提供数据加密的功能 解析:
vpn 即虚拟专用网,是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个临时的、安全的私有连接。
参考答案:A
62、扫描技术()
A、只能作为攻击工具B、只能作为防御工具 C、只能作为检查系统漏洞的工具
D、既可以作为攻击工具,也可以作为防御工具 解析:
通常的扫描技术采用两种策略:被动式和主动式。被动式策略是基于主机的,主动式策略是基于网络的, 它通过网络对远程的目标主机建立连接,并发送请求,分析其返回信息,从而分析远程主机漏洞。既可以作为攻击工具,也可以作为防御工具。
参考答案:D
63、包过滤技术防火墙在过滤数据包时,一般不关心() A、数据包的源地址 B、数据包的协议类型C、数据包的目的地址D、数据包的内容 解析:
数据包过滤是通过对数据包的 ip 头和 tcp 头或 udp 头的检查来实现的,不检查数据包的内容。
参考答案:D
64、以下关于网络流量监控的叙述中,不正确的是()
A、流量检测中所检测的流量通常采集自主机节点、服务器、路由器接口和路径等B、数据采集探针是专门用于获取网络链路流量的硬件设备
C、流量监控能够有效实现对敏感数据的过滤
D、网络流量监控分析的基础是协议行为解析技术 解析:
流量监控指的是对数据流进行的监控,通常包括出数据、入数据的速度、总流量。不能过滤敏感数据。
参考答案:C
65、两个密钥三重 DES 加密:C=CK1[DK2[EK1[P]]],K1≠K2,其中有效的密钥为()应该是 EDE A、56
B、128 C、168 D、112 解析:
3des 的密钥长度为 168 位。 参考答案:D
66、设在 RSA 的公钥密码体制中,公钥为(c,n)=(13,35),则私钥为() A、11 B、13 C、15 D、17 解析:
N= p*q = 35 = 5*7 F = (5-1)*(7-1) = 24 e1 = 13
选择一对不同的、足够大的素数 p,q。 计算 n=pq。
计算 f(n)=(p-1)(q-1),同时对 p, q 严加保密,不让任何人知道。 找一个与 f(n)互质的数 e,且 1 计算 d,使得 de≡1 mod f(n)。这个公式也可以表达为 d ≡e-1 mod f(n) 参考答案:B 67、杂凑函数 SHAI 的输入分组长度为()比特 A、128 B、258 C、512 D、1024 解析: sha-1 算法对输入按 512 位进行分组,并以分组为单位进行处理。 参考答案:C 68、AES 结构由以下 4 个不同的模块组成,其中()是非线性模块 A、字节代换B、行移位 C、列混淆 D、轮密钥加 解析: SubBytes、ShiftRows、MixColumns、AddRoundKey 1.AddRoundKey — 矩阵中的每一个字节都与该次轮秘钥(round key)做 XOR 运算;每个子密钥由密钥生成方案产生。 2.SubBytes — 通过个非线性的替换函数,用查找表的方式把每个字节替换成对应的字节。 3.ShiftRows — 将矩阵中的每个横列进行循环式移位。 4.MixColumns — 为了充分混合矩阵中各个直行的操作。这个步骤使用线性转换来混合每列的四个字节。 参考答案:A 69、67mod119 的逆元是()乘法逆元 A、52 B、67 C、16 D、19 解析: 设 S 为一有二元运算 * 的集合。若 e 为(S,*)的单位元且 a*b=e,则 a 称为 b 的左逆元素且 b 称为 a 的右逆元素。 参考答案:C
2016年下半年信息安全工程师真题及答案解析(上午)
