1、2018上半年信息安全工程师考试案例分析真题及答案解析(总分:75.00,做题时间:150 分钟)一、案例分析(总题数:5,分数:75.00)阅读下列说明,回答问题 1至问题 4,将解答填入答题纸的对应栏内。【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年 5月,勒索软件 WanaCry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后无法使用,系统或服务无法正常运行,损失巨大。(分数:15)(1).按照恶意代码的分类,此次爆发的恶意软件属于哪种类型?(分数:2)_(2)
2、.此次勒索软件针对的攻击目标是 Windows还是 Linux类系统?(分数:2)_(3).恶意代码具有的共同特征是什么?(分数:6)_(4).由于此次勒索软件需要利用系统的 SMB服务漏洞(端口号 445)进行传播,我们可以配置防火墙过滤规则来阻止勒索软件的攻击,请填写表 1-1中的空(1)-(5),使该过滤规则完整。注:假设本机 IP地址为:1.2.3.4,”*”表示通配符。(分数:5)_阅读下列说明和图,回答问题 5至问题 7,将解答填入答题纸的对应栏内。【说明】密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A 和 B)之间能够使用不安全的通信信道实现安全通信。密码技术能够实现
3、信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash 函数、数字签名等多种密码技术。在以下描述中,M 表示消息,H 表示 Hash函数,E 表示加密算法,D 表示解密算法,K 表示密钥,SKA 表示 A的私钥,PKA 表示 A的公钥,SKB 表示 B的私钥,PKB 表示 B的公钥,|表示连接操作。(分数:15)(1).用户 AB双方采用的保密通信的基本过程如图 2-1所示。请问图 2-1所设计的保密通信模型能实现信息的哪些安全日标?图 2-1中的用户 A侧的 H和 E能否互换计算顺序?如果不能互换请说明原因:如果能互换请说明对安全目标的
4、影响。(分数:6)_(2).图 2-2给出了另一种保密通信的基本过程:请问图 2-2设计的保密通信模型能实现信息安全的哪些特性?(分数:4)_(3).为了在传输过程中能够保障信息的保密性、完整性和不可否认性,设计了一个安全通信模型结构如图2-3所示:请问图 2-3中(1),(2)分别应该填什么内容?(分数:5)_阅读下列说明,答问题 8至问题 10,将解答填入答题纸的对应栏内。【说明】在 Linux系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。(分数:15)(1).Linux系统将用户名和口令分别保存在哪些文件中?(分数:4)_(2).Linux系统的用户名文件通常包含如下形式的
5、内容:root:x:0:0:root:root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologinhujw:x:500:500:hujianwei:/home/hujw:/bin/bash文件中的一行记录对应着一个用户,每行记录用冒号(:)分隔为 7个字段,请问第 1个冒号(第二列)和第二个冒号(第三列)的含义是什么?上述用户名文件中,第三列的数字分别代表什么含义?(分数:7)_(3).Linux系统中用户名文件和口令字文件的默认访问权限分别是什么?(分数:4)_阅读下列说明和 C语言代码,回答问题 11至问题 14,将解答写在答题纸的对应栏内。【说明】在客户服
6、务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。某系统采用的请求和应答两种类型的心跳包格式如图 4-1所示。心跳包类型占 1个字节,主要是请求和响应两种类型;心跳包数据长度字段占 2个字节,表示后续数据或者负载的长度。接收端收到该心跳包后的处理函数是 process_heartbeat(),其中参数 p指向心跳包的报文数据,s 是对应客户端的 socket网络通信套接字。(分数:15)(1).(1)心跳包数据长度字段的最大取值是多少?(
7、2)心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致?(分数:4)_(2).(1)上述接收代码存在什么样的安全漏洞?(2)该漏洞的危害是什么?(分数:5)_(3).模糊测试(Fuzzing)是一种非常重要的信息系统安全测评方法,它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报?(分数:2)_(4).模糊测试技术能否测试出上述代码存在的安全漏洞?为什么?(分数:4)_阅读下列说明和图,回答问题 15至问题 19,将解答写在答题纸的对应栏内。【说明】入侵检测系统(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,
8、IDS 注重的是网络安全状况的监管,IPS 则注重对入侵行为的控制。(分数:15)(1).网络安全防护可以分为主动防护和被动防护,请问 IDS和 IPS分别属于哪种防护?(分数:2)_(2).入侵检测是动态安全模型(P2DR)的重要组成部分。请列举 P2DR模型的 4个主要组成部分。(分数:4)_(3).假如某入侵检测系统记录了如图 5-1所示的网络数据包:图 5-1 IDS 记录的网络数据包请问图中的数据包属于哪种网络攻击?该攻击的具体名字是什么?(分数:2)_(4).入侵检测系统常用的两种检测技术是异常检测和误用检测,请问针对图中所描述的网络攻击应该采用哪种检测技术?请简要说明原因。(分数
9、:4)_(5).Snort是一款开源的网络入侵检测系统,它能够执行实时流量分析和 IP协议网络的数据包记录。Snort的配置有 3种模式,请给出这 3种模式的名字。(分数:3)_2018上半年信息安全工程师考试案例分析真题答案解析(总分:75.00,做题时间:150 分钟)一、案例分析(总题数:5,分数:75.00)阅读下列说明,回答问题 1至问题 4,将解答填入答题纸的对应栏内。【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年 5月,勒索软件 WanaCry席卷全球,国内大量高校及企事业
10、单位的计算机被攻击,文件及数据被加密后无法使用,系统或服务无法正常运行,损失巨大。(分数:15)(1).按照恶意代码的分类,此次爆发的恶意软件属于哪种类型?(分数:2)_正确答案:(属于蠕虫类型。)解析:(2).此次勒索软件针对的攻击目标是 Windows还是 Linux类系统?(分数:2)_正确答案:(攻击目标是 Windows系统。)解析:(3).恶意代码具有的共同特征是什么?(分数:6)_正确答案:(恶意代码具有如下共同特征:(1)恶意的目的;(2)本身是计算机程序;(3)通过执行发生作用。)解析:(4).由于此次勒索软件需要利用系统的 SMB服务漏洞(端口号 445)进行传播,我们可以
11、配置防火墙过滤规则来阻止勒索软件的攻击,请填写表 1-1中的空(1)-(5),使该过滤规则完整。注:假设本机 IP地址为:1.2.3.4,”*”表示通配符。(分数:5)_正确答案:((1)*(2)1024(3)445(4)TCP(5)0)解析:阅读下列说明和图,回答问题 5至问题 7,将解答填入答题纸的对应栏内。【说明】密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A 和 B)之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash 函数、数字签名等多种密码技术。在以下描述
12、中,M 表示消息,H 表示 Hash函数,E 表示加密算法,D 表示解密算法,K 表示密钥,SKA 表示 A的私钥,PKA 表示 A的公钥,SKB 表示 B的私钥,PKB 表示 B的公钥,|表示连接操作。(分数:15)(1).用户 AB双方采用的保密通信的基本过程如图 2-1所示。请问图 2-1所设计的保密通信模型能实现信息的哪些安全日标?图 2-1中的用户 A侧的 H和 E能否互换计算顺序?如果不能互换请说明原因:如果能互换请说明对安全目标的影响。(分数:6)_正确答案:(实现完整性的验证。通过对明文 M生成摘要信息,然后加密摘要信息附到明文后发送给对方,对方收到后运用同样的 hash函数生
13、成摘要信息,与解密得到的摘要信息对比,可以实现完整性的验证。不可以互换。因为只调整 A用户的处理方式,B 用户的处理方式不变,B 接收到的信息解密不了,所以完不成对比工作。)解析:(2).图 2-2给出了另一种保密通信的基本过程:请问图 2-2设计的保密通信模型能实现信息安全的哪些特性?(分数:4)_正确答案:(能实现保密性和完整性。与保密通信模型一不同的是,通信模型二对明文和消息摘要进行加密,传送给对方的是密文,对方收到密文后首先解密,得到明文和摘要信息,然后再用明文生成摘要信息,与解密出来的摘要信息进行比较,验证完整性。所以即保证了机密性,也提供了完整性验证。)解析:(3).为了在传输过程
14、中能够保障信息的保密性、完整性和不可否认性,设计了一个安全通信模型结构如图2-3所示:请问图 2-3中(1),(2)分别应该填什么内容?(分数:5)_正确答案:((1)E KM|ESKAH(M)(2)PK A)解析:阅读下列说明,答问题 8至问题 10,将解答填入答题纸的对应栏内。【说明】在 Linux系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。(分数:15)(1).Linux系统将用户名和口令分别保存在哪些文件中?(分数:4)_正确答案:(用户名是存放在/etc/passwd 文件;口令存放在/etc/shadow 文件。)解析:(2).Linux系统的用户名文件通常包含如下
15、形式的内容:root:x:0:0:root:root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologinhujw:x:500:500:hujianwei:/home/hujw:/bin/bash文件中的一行记录对应着一个用户,每行记录用冒号(:)分隔为 7个字段,请问第 1个冒号(第二列)和第二个冒号(第三列)的含义是什么?上述用户名文件中,第三列的数字分别代表什么含义?(分数:7)_正确答案:(第一个冒号(第二列)代表用户口令;第二个冒号(第三列)代表用户标识号。第三列数字是用户标识号,用来识别用户身份,root 用户 id为 0,表示它为超级用户;bin 用
16、户 id为1,表示它为管理用户;hujw 用户 id为 500,表示它为普通用户。)解析:(3).Linux系统中用户名文件和口令字文件的默认访问权限分别是什么?(分数:4)_正确答案:()解析:阅读下列说明和 C语言代码,回答问题 11至问题 14,将解答写在答题纸的对应栏内。【说明】在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。某系统采用的请求和应答两种类型的心跳包格式如图 4-1所示。心跳包类型占 1个字节,主要是请求和
17、响应两种类型;心跳包数据长度字段占 2个字节,表示后续数据或者负载的长度。接收端收到该心跳包后的处理函数是 process_heartbeat(),其中参数 p指向心跳包的报文数据,s 是对应客户端的 socket网络通信套接字。(分数:15)(1).(1)心跳包数据长度字段的最大取值是多少?(2)心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致?(分数:4)_正确答案:(最大取值为 65535。 (unsigned int 型数据范围是 065535)心跳包中的给出数据长度字段与实际数据长度必须保持一致。)解析:(2).(1)上述接收代码存在什么样的安全漏洞?(2)该
18、漏洞的危害是什么?(分数:5)_正确答案:((1)HeartBleed 漏洞。(2)由于没有对实际数据载荷长度进行检测,导致攻击者可读出内存中其它重要数据内容。)解析:(3).模糊测试(Fuzzing)是一种非常重要的信息系统安全测评方法,它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报?(分数:2)_正确答案:(模糊测试属于黑盆测试。不存在误报问题。)解析:(4).模糊测试技术能否测试出上述代码存在的安全漏洞?为什么?(分数:4)_正确答案:(可以测试出上述代码存在的安全漏洞。通过测试发送的请求数据包的大小、内容,和响应数据包的大小、内容,进
19、行比较分析,可以发现上述代码存在的漏洞。)解析:阅读下列说明和图,回答问题 15至问题 19,将解答写在答题纸的对应栏内。【说明】入侵检测系统(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,IDS 注重的是网络安全状况的监管,IPS 则注重对入侵行为的控制。(分数:15)(1).网络安全防护可以分为主动防护和被动防护,请问 IDS和 IPS分别属于哪种防护?(分数:2)_正确答案:(多数 IDS属于被动防护,IPS 属干主动防护。)解析:(2).入侵检测是动态安全模型(P2DR)的重要组成部分。请列举 P2DR模型的 4个主要组成部分。(分数:4)_正确答案:(P2DR棋型包括
20、四个部分:Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。)解析:(3).假如某入侵检测系统记录了如图 5-1所示的网络数据包:图 5-1 IDS 记录的网络数据包请问图中的数据包属于哪种网络攻击?该攻击的具体名字是什么?(分数:2)_正确答案:(拒绝服务攻击。具体名称为 SYN flood。)解析:(4).入侵检测系统常用的两种检测技术是异常检测和误用检测,请问针对图中所描述的网络攻击应该采用哪种检测技术?请简要说明原因。(分数:4)_正确答案:(应该采用异常检测技术。异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。误用检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件。误用检测的优点是检测的误报率低,检测快,但误用检测通常不能发现攻击特征库中役有事先指定的攻击行为。所以无法检测层出不穷的新攻击。)解析:(5).Snort是一款开源的网络入侵检测系统,它能够执行实时流量分析和 IP协议网络的数据包记录。Snort的配置有 3种模式,请给出这 3种模式的名字。(分数:3)_正确答案:(Snort三种工作模式:嗅探器模式;包记录模式与网络入侵检测模式。)解析:
