试卷详情

《信息安全工程师》案例分析真题汇编

开始做题

试卷预览

问答题

假设用户A和用户B为了互相验证对方的身份,设计了如下通信协议:

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

其中:中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编是随机数,是双方事先约定并共享的口令,“||”表示连接操作。f是哈希函数。

【问题1】(2分)

身份认证可以通过用户知道什么、用户拥有什么和用户的生理特征等方法来验证。请问上述通信协议是采用哪种方法实现的?

【问题2】(2分)

根据身份的互相验证需求,补充协议第3步的空白内容。

【问题3】(2分)

通常哈希函数f需要满足下列性质:单向性、抗弱碰撞性、抗强碰撞性。如果某哈希函数f具备:找到任何满足f(x)=f(y)的偶对(x,y)在计算上是不可行的,请说明其满足哪条性质。

【问题4】(2分)

上述协议不能防止重放攻击,以下哪种改进方式能使其防止重放攻击?

(1)在发送消息加上时间参量。

(2)在发送消息加上随机数。

【问题5】(4分)

如果将哈希函数替换成对称加密函数,是否可以提高该协议的安全性?为什么?

查看答案开始考试

正确答案:

本题解析:

【问题1】

口令是接收双方预先约定的秘密数据,它用来验证用户知道什么。

【问题2】

第3步中用户A将共享口令和随机值 用hash函数加密后,发送给用户B,以便用户B对其身份进行验证。

【问题3】

Hash 函数满足以下性质:

单向性:对任何给定的 hash 函数值 h, 找到满足 H(x)等于h的 x 在计算上是不可行的。

抗弱碰撞性:对任何给定的分组 x, 找到满足y不等于x 且 H(x)=H(y)的 y 在计算上是不可行的。

抗强碰撞性:找到任何满足 H(x)=H(y)的偶对(x,y)在计算上是不可行的。

【问题4】

重放攻击是指入侵者从网络上截取主机A发送给主机B的报文,并把由A加密的报文发送给B,使主机B误以为入侵者就是主机A,然后主机B向伪装成A的入侵者发送应当发送给A的报文。防止重放攻击的方法是使用不重数;如加随机数、加时间戳、加流水号等。

【问题5】

对称加密体制中,密钥的管理和分发非常困难,不够安全。在数据传送前,发送方和接收方必须商定好密钥,然后双方都必须要保存好密钥,如果一方的密钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一密钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。

问答题

访问控制是保障信息系统安全的主要策略之一,其主要任务是保证系统资源不被非法使用和非常规访问。访问控制规定了主体对客体访问的限制,并在身份认证的基础上,对用户提出的资源访问请求加以控制。当前,主要的访问控制模型包括:自主访问控制(DAC)模型和强制访问控制(MAC)模型。

【问题1】(6分)

针对信息系统的访问控制包含哪三个基本要素?

【问题2】(4分)

BLP模型是一种强制访问控制模型,请问:

(1)BLP模型保证了信息的机密性还是完整性?

(2)BLP模型采用的访问控制策略是上读下写还是下读上写?

【问题3】(4分)

Linux系统中可以通过Is命令查看文件的权限,例如:文件net.txt的权限属性如下所示:

-rwx-------1 root root 5025 May 25 2019 /home/abc/net.txt

请问:

(1)文件net.txt属于系统的哪个用户?

(2)文件net.txt权限的数字表示是什么?

查看答案开始考试

正确答案:

本题解析:

【问题1】

访问控制的三个要素,即主体、客体和授权访问。

主体:一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户、用户组、终端、主机或一个应用,主体可议访问客体。

客体:指一个包含或接受信息的被动实体,对客体的访问要受控。它可以是一个字节、字段、记录、程序、文件,或者是一个处理器、存储器、网络节点等。

授权访问:指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的,决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。对用户的授权访问是由系统的安全策略决定的。

【问题2】

(1)BLP模型是最早的一种安全模型,也是最著名的多级安全策略模型,属于状态机模型,采用线性排列安全许可的分类形式来保证信息的保密性。

(2)上读一下写方式保证了数据的完整性;上写一下读方式则保证了信息的秘密性。

【问题3】

Linux系统是一种典型的多用户系统,不同的用户处于不同的地位,拥有不同的权限。为了保护系统的安全性,Linux系统对不同的用户访问同一文件(包括目录文件)的权限做了不同的规定。

-rwx------ 1 root root 5025 May 25 2019 /home/abc/net.txt

在Linux中第一个字符代表这个文件是目录、文件或链接文件等等。

当为[ d ]则是目录

当为[ - ]则是文件;

若是[ l ]则表示为链接文档(link file);

若是[ b ]则表示为装置文件里面的可供储存的接口设备(可随机存取装置);

若是[ c ]则表示为装置文件里面的串行端口设备,例如键盘、鼠标(一次性读取装置)。

接下来的字符中,以三个为一组,且均为『rwx』 的三个参数的组合。其中,[ r ]代表可读(read)、[ w ]代表可写(write)、[ x ]代表可执行(execute),[ - ]代表没有权限。

每个文件的属性由左边第一部分的10个字符来确定,如下图所示:

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

从左至右用0-9这些数字来表示。

第0位确定文件类型,第1-3位确定属主(该文件的所有者)拥有该文件的权限。

第4-6位确定属组(所有者的同组用户)拥有该文件的权限,第7-9位确定其他用户拥有该文件的权限。其中,第1、4、7位表示读权限,如果用"r"字符表示,则有读权限,如果用"-"字符表示,则没有读权限;

第2、5、8位表示写权限,如果用"w"字符表示,则有写权限,如果用"-"字符表示没有写权限;第3、6、9位表示可执行权限,如果用"x"字符表示,则有执行权限,如果用"-"字符表示,则没有执行权限。

在以上实例中,文件/net.txt的属主和属组都为root用户。

Linux文件属性有两种设置方法,一种是数字,一种是符号;文件的权限字符为:『-rwx------』, 这九个权限是三个三个一组的,也可以使用数字来代表各个权限,各权限的分数对照表如下:

R:4

W:2

X:1

-:0

每种身份(owner/group/others)各自的三个权限(r/w/x)分数是需要累加的,例如当权限为: [-rwx--- ---] 分数则是:

owner = rwx = 4+2+1 = 7

group = ---= 0+0+0 = 0

others= --- = 0+0+0 = 0

所以设定权限的变更时,该文件的权限数字就是700。

问答题

防火墙类似于我国古代的护城河,可以阻挡敌人的进攻。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙通过使用各种安全规则来实现网络的安全策略。

防火墙的安全规则由匹配条件和处理方式两个部分共同构成。网络流量通过防火墙时,根据数据包中的某些特定字段进行计算以后如果满足匹配条件,就必须采用规则中的处理方式进行处理。

【问题1】(5分)

假设某企业内部网(202.114.63.0/24)需要通过防火墙与外部网络互连,其防火墙的过滤规则实例如表4.1所示。

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

表中“*”表示通配符,任意服务端口都有两条规则。

请补充表4.1中的内容(1)和(2),并根据上述规则表给出该企业对应的安全需求。

【问题2】(4分)

一般来说,安全规则无法覆盖所有的网络流量。因此防火墙都有一条默认(缺省)规则,该规则能覆盖事先无法预料的网络流量。请问缺省规则的两种选择是什么?

【问题3】(6分)

请给出防火墙规则中的三种数据包处理方式。

【问题4】(4分)

防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面的内容:服务控制、方向控制、用户控制和行为控制。请问表4.1中,规则A涉及访问控制的哪几个方面的内容?

查看答案开始考试

正确答案:

本题解析:

【问题1】

规则 A 和 B 允许内部用户访问外部网络的网页服务器。 规则 C 和 D 允许外部用户访问内部网络的网页服务器。 规则 E 和 F 允许内部用户访问域名服务器。 规则 G 是缺省拒绝的规则。规则E中目的端口为53;规则G中动作为Drop。

其安全需求为: ①允许内部用户访问外部网络的网页服务器;②允许外部用户访问内部网络的网页服务器 (202.114.64.125); ③除 1 和 2 外,禁止其他任何网络流量通过该防火墙。

【问题2】

缺省规则有两种选择:默认拒绝或者默认允许。默认拒绝是指一切未被允许的就是禁止的,其安全规则的处理方式一般为 Accept;默认允许是指一切未被禁止的就是允许的。其安全规则的处理方式一般为 Reject 或 Drop。

【问题3】

防火墙规则中的处理方式主要包括以下几种:

(1)Accept: 允许数据包或信息通过。

(2)Reject: 拒绝数据包或信息通过,并且通知信息源该信息被禁止。

(3)Drop: 直接将数据包或信息丢弃,并且不通知信息源。

【问题4】

防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面或层次的内容:

(1)服务控制:决定哪些服务可以被访问,无论这些服务是在内部网络还是在外部网络。常见的网络服务有邮件服务、网页服务、代理服务、文件服务等,这些服务往往是系统对外的功能。在计算机网络中,服务往往就是指 TCP/IP协议中的端口值,如 25 是指 SMTP 服务, 110 是指 POP3 服务, 80 是指网页服务等。当然,服务控制也包括服务的位置控制,如 E 地址。

(2)方向控制:决定在哪些特定的方向上服务请求可以被发起并通过防火墙,也就是服务是位于内部网络还是外部网络。通过规则控制,可以限定一个方向的服务,也可以同时限定两个方向的服务。

(3)用户控制:决定哪些用户可以访问特定服务。该技术既可以应用于防火墙网络内部的用户(本地用户),也可议被应用到来自外部用户的访问。可以采用用户名、主机的 IP、主机的 MAC 等标识用户。

(4)行为控制:决定哪些具体的服务内容是否符合安全策略。如防火墙可以通过过滤邮件来清除垃圾邮件,以及网络流量中是否含有计算机病毒、木马等恶意代码。

规则A只规定了内部网访问外部网络的80端口的特定服务的过滤规则,设计服务控制和方向控制。

问答题

扫描技术是网络攻防的一种重要手段,在攻和防当中都有其重要意义。nmap 是一个 开放源码的网络扫描工具,可以查看网络系统中有哪些主机在运行以及哪些服务是开放 的。 namp 工具的命令选项: sS 用于实现 SYN 扫描,该扫描类型是通过观察开放端口和关闭端口对探测分组的响应来实现端口扫描的。

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

请根据图 3-1 回答下列问题

【问题1】 (2分)

此次扫描的目标主机的IP地址是多少?

【问题2】(2 分)

SYN 扫描采用的传输层协议名字是什么?

【问题 3】 (2分)

SYN 的含义是什么?

【问题 4】 (4分)

目标主机开放了哪几个端口?简要说明判断依据。

【问题 5】(3分)

每次扫描有没有完成完整的三次握手?这样做的目的是什么?

【问题 6】(5分)

补全表 3-1 所示的防火墙过滤器规则的空(1) - (5),达到防火墙禁止此类扫描流量进入和处出网络 ,同时又能允许网内用户访问外部网页服务器的目的。

表 3-1 防火墙过滤器规则表

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

【问题 7】 (2 分)

简要说明为什么防火墙需要在迸出两个方向上对据数据包进行过滤。

查看答案开始考试

正确答案:

本题解析:

问题1解析:

TCP SYN扫描,也叫半打开扫描。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接。从图中可以看出,源主机地址为192.168.220.129;目标主机为192.168.220.1。

问题2解析:

TCP SYN扫描是基于TCP协议的三次握手机制进行的。

问题3解析:

SYN(synchronous):同步信号,是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。

问题4解析:

TCP SYN扫描,也叫半打开扫描。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接,如果收到一个来自服务器的 SYN/ACK 应答,那么可以推断该端口处于监听状态。如果收到一RST/ACK 分组则认为该端口不在监听。而客户端不管收到的是什么样的分组,都向服务器发送一个 RST/ACK 分组,这样并没有建立一个完整的 TCP 连接。

问题5解析:

半连接(SYN)扫描是端口扫描没有完成一个完整的TCP连接,在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手,在第三步时,扫描主机中断了本次连接,使连接没有完全建立起来。这样即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多;这样做的目的是防止对方主机的系统和防火墙记录此类扫描行为。

问题6解析:

第1条规则,拒绝从外网往内网发送的请求连接信息,所以ACK=0;

第2、3、4条规则,配置允许内网用户访问外部网页服务器。

第2条规则,允许内网往外网服务器80端口发送的请求连接和应答信息,所以目的端口为80;

第3条规则,允许内网向外网域名服务器发送的请求连接和应答信息,所以协议为UDP;

第4条规则,允许外网域名服务器发往内网的应答信息,所以ACK=1;

第5条规则,其他流量一律不允许进出内外部网络,所以协议为*。

问题7解析:

防火墙是一种位于内部网络与外部网络之间的网络安全系统,依照特定的规则,允许或是限制传输的数据通过,需要在进出两个方向对防火墙进行过滤设置,在进入方向过滤是为了防止被人攻击,而在出口方向过滤则是为了防止自己成为攻击的源头或者跳板。

问答题

密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A和B)之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。

在以下描述中,M表示消息,H表示Hash函数,E表示加密算法,D表示解密算法,K表示密钥,SKA表示A的私钥,PKA表示A的公钥,SKB表示B的私钥,PKB表示B的公钥,||表示连接操作。

【问题1】(6分)

用户AB双方采用的保密通信的基本过程如图2-1所示。

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

请问图2-1所设计的保密通信模型能实现信息的哪些安全目标?图2-1中的用户A侧的H和E能否互换计算顺序?如果不能互换请说明原因:如果能互换请说明对安全目标的影响。

【问题2】(4分)

图2-2给出了另一种保密通信的基本过程:

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

请问图2-2设计的保密通信模型能实现信息安全的哪些特性?

【问题3】(5分)

为了在传输过程中能够保障信息的保密性、完整性和不可否认性,设计了一个安全通信模型结构如图2-3所示:

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编请问图2-3中(1),(2)分别应该填什么内容?

查看答案开始考试

正确答案:

本题解析:

【问题1】解析

通过以上保密通信方式,接收方可以相信报文未被修改。如果攻击者改变了报文,因为己假定攻击者不知道密钥K,所以他不知道如何对Ek[H(M)]作相应修改。这将使接收方计算出的 H(M)将不等于接收到的 H(M)。

如果只调整A用户的处理机制,B用户的处理方式不变,也就是说,接收方接收到H[Ek(M)]后再使用共享密钥对其解密得到的结果,与H(M)无论怎样都不可能相同,也就无法判断信息传输过程中有无被篡改,这样则不能互换计算顺序;

如果B用户的处理机制也做相应调整,接收方对接收到的明文也采用同样的方式,先用共享密钥加密,再对其进行hash运算,得到的结果与接收到的H[Ek(M)]进行对比;如此改变其计算顺序,因攻击者不知道密钥K,且hash函数的单向性和抗弱碰撞性,攻击者也很难对H[Ek(M)]作相应修改;这样则可以互换计算顺序,通过互换同样也可达到以上安全目标。

【问题2】解析

通过双方共享的密钥K对M和H(M)进行加密后,可以在保证信息完整性的基础上进一步实现信息的保密性。

【问题3】解析

其安全通信模型基本流程为:发送方先对明文M进行hash运算,对结果H(M)进行签名,即SKA(H(M),接着用收发双方的共享密钥K对明文M和签名摘要SKA(H(M))进行加密,得到Ek[ M||SKA(H(M)) ],将其传送给接收方;接收方接收该内容后,首先使用同样的共享密钥K进行解密,得到明文M和签名摘要SKA(H(M),然后再使用A的公钥PKA对签名摘要SKA(H(M))进行验证,若验证成功,则得到H(M),接着对接收到的明文M进行同样的Hash运算,将其结果与接收到的H(M)进行对比,以验证信息的完整性。

问答题

基于 Windows32 位系统分析下列代码,回答相关问题 。

void Challenge(char *str)

{

char temp[9]={0};

strncpy(temp,str,8);

printf("temp=%s\n",temp);

if(strcmp(temp"Please!@")==0){

printf("KEY: ****");

}

}

int main(int argc,char *argv[ ])

{

Char buf2[16]

Int check=1;

Char buf[8]

Strcpy (buf2, "give me key! !");

strcpy(buf,argv[1]);

if(check==65) {

Challenge(buf);

}

else {

printf("Check is not 65 (%d) \n Program terminated!!\n",check);

}

Return 0;

}

【问题 1】(3 分)

main 函数内的三个本地变量所在的内存区域称为什么?它的两个最基本操作是什么?

【问题 2】(3分)

画出buf,check,buf2 三个变量在内存的布局图。

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

【问题 3】(2分)

应该给程序提供什么样的命令行参数值(通过argv变量传递)才能使程序执行流程进入判断语句 If(check=65)....然后调用challenge(  )函数。

【问题4】(4分)

上述代码所存在的漏洞名字是什么,针对本例代码,请简要说明如何修正上述代码以修补次漏洞。

查看答案开始考试

正确答案:

本题解析:

问题1解析:

一个程序在内存中分为程序段、数据段和堆栈三部分。程序段里放着程序的机器码和只读数据;数据段放程序中的静态数据;动态数据则通过堆栈来存放,也就是说,变量存在的内存区域是堆栈;堆栈的特性是后进先出 (LIFO) ,即先进入堆栈的对象最后出来,最后进入堆栈的对象最先出来。堆栈两个最重要的操作是 PUSH和POP将对象放入堆栈顶端(最外边,内存高端);POP 操作实现一个逆向过程,把顶端的对象取出来。

问题2解析:

首先根据3个变量定义的先后顺序,buf2先压入堆栈(在最底下),然后是check,最后是buf(最上面);空间大小根据C语言语法即可确定。buf2是16个字节,check是整型变量占用4个字节,buf是字符数组,有8个字符,每个字符占一个字节,共占用8个字节。所以buf、check、buf2三个变量在内存的布局图如下所示:

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

问题3解析:

该代码按正常流程走下来,因check的值为1,不满足check==65,所以会执行else语句,所以这道题的关键在于通过什么样的方式来改变check的值,使其等于65,满足条件然后调用Challenge()函数。

再来分析strcpy() 函数这个函数,该用来复制字符串,其原型为:char *strcpy(char *dest, const char *src);

【参数】dest 为目标字符串指针,src 为源字符串指针。

注意:src 和 dest 所指的内存区域不能重叠,且 dest 必须有足够的空间放置 src 所包含的字符串(包含结束符NULL)。

【返回值】成功执行后返回目标数组指针 dest。

strcpy() 把src所指的由NULL结束的字符串复制到dest 所指的数组中,返回指向 dest 字符串的起始地址。

注意:如果参数 dest 所指的内存空间不够大,可能会造成缓冲溢出。

主函数在执行时会接收用户输入信息放入指针数组argv中,而指针数组存放的信息又会通过strcpy复制到buf数组里面,buf数组的长度为8个字符,一旦用户输入数据长度大于8个字符就会溢出,溢出部分就会覆盖其他变量的值,从上面堆栈中的数据存储方式可以看出,buf数组一旦溢出,溢出部分就会覆盖check的值;根据题目意思,只要令溢出部分的值为65即可令check=65,从而满足条件。所以可以先任意输入8个字符堆满buf数组,再输入时就是溢出部分,可以输入大写字母A,因check为整形数据,所以将字符赋给整形变量时,会按其ASCII码值进行处理,即A的ASICC值为65,从而可以把check值变成65满足条件。

问题4解析:

前面分析strcpy() 函数,当其参数 dest 所指的内存空间不够大,可能会造成缓冲溢出。

而strncpy()用来复制字符串的前n个字符,其原型为: char * strncpy(char *dest, const char *src, size_t n);

【参数说明】dest 为目标字符串指针,src 为源字符串指针。 strncpy()会将字符串src前n个字符拷贝到字符串dest。

在编写程序时通常用strncpy()函数来取代strcpy()函数防止缓冲区溢出。

问答题

安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信息类型的安全分类有以下表达形式:

{ (机密性,影响等级), (完整性,影响等级), (可用性,影响等级) }

在上述表达式中,"影响等级"的值可以取为低 (L)、中(M)、高(H) 三级以及不适用 (NA)。

【问题1】。 (6分)

请简要说明机密性、完整性和可用性的含义。

【问题2】(2 分)

对于影响等级"不适用"通常只针对哪个安全要素?

【问题 3 】(3分)

如果一个普通人在它的个人 Web 服务器上管理其公开信息。请问这种公开信息的安全分类是什么?

查看答案开始考试

正确答案:

本题解析:

问题一解析:

(1)机密性:维护对信息访问和公开经授权的限制,包括保护个人隐私和私有的信息,机密性的缺失是指信息的非经授权的公开。

(2)完整性:防止信息不适当的修改和毁坏,包括保证信患的不可抵赖性和真实性。完整性的缺失是指信息未经授权的修改和毁坏。

(3)可用性:保证信息及时且可靠的访问和使用。可用性的缺失是指信息或信息系统的访问或使用被中断。

问题二解析:

对于公开信息类型,机密性的缺失并没有什么潜在的影响,因为公开的信息没有保密的需求,所以机密性在公开信息类型中并不适用。

问题三解析:

一个普通人在它的个人 Web 服务器上管理其公开信息。首先机密性在公开信息类型中并不适用,比如海滨老师在个人微博上发表了一篇博文,显然这是公开信息,机密性的缺失不受影响;其次,对于完整性的缺失是一个 Moderate 的影响;再次,对可用性的缺失也是一个 Moderate 的影响。这种类型的公开信息的安全分类表述如下:

{ (机密性, NA) , (完整性, M) , (可用性, M) }

问答题

恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。

2017年5月,勒索软件WanaCry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后无法使用,系统或服务无法正常运行,损失巨大。

【问题1】(2分)

按照恶意代码的分类,此次爆发的恶意软件属于哪种类型?

【问题2】(2分)

此次勒索软件针对的攻击目标是Windows还是Linux类系统?

【问题3】(6分)

恶意代码具有的共同特征是什么?

【问题4】(5分)

由于此次勒索软件需要利用系统的SMB服务漏洞(端口号445)进行传播,我们可以配置防火墙过滤规则来阻止勒索软件的攻击,请填写表1-1中的空(1)-(5),使该过滤规则完整。

注:假设本机IP地址为:1.2.3.4,”*”表示通配符。

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

查看答案开始考试

正确答案:

本题解析:

【问题1】解析

WannaCry,一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。

【问题2】解析

主要是利用windows操作系统中存在的漏洞。

【问题3】解析

恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。具有如下共同特征:(1) 恶意的目的(2) 本身是计算机程序(3) 通过执行发生作用。

【问题4】解析

针对该勒索软件的攻击和传播特点,需要对SMB服务所在的445端口进行过滤,只要网外对网内445端口的所有连接请求予以过滤。需要注意的是SMB服务是基于TCP协议的。

问答题

Windows 系统的用户管理配置中,有多项安全设置,如图2-1 所示。

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

【问题1】(3分)

请问密码和帐户锁定安全选项设置属于图中安全设置的哪一项?

【问题 2】(3分)

Windows的密码策略有一项安全策略就是要求密码必须符合复杂性要求,如果启用此策略,那么请问:用户 Administrator 拟选取的以下六个密码中的哪些符合此策略?

123456 Admin123 Abcd321 Admin@ test123 ! 123@host

查看答案开始考试

正确答案:

本题解析:

问题一解析:

账户策略主要包括密码策略和账户锁定策略两种安全设置。

问题二解析:

密码必须符合复杂性要求:启用此策略,用户账户使用的密码必须符合复杂性的要求。

密码复杂性必须符合下列最低要求:

不能包含用户的账户名;

不能包含用户姓名中超过两个连续字符的部分;

至少有六个字符长;

密码总必须包含一下4类字符中的三类字符:

1、英文大写字母(A-Z)

2、英文小写字母(a-z)

3、10个基本数字(0-9)

4、特殊符号(!@#¥%等)

问答题

访问控制是对信息系统资源进行保护的重要措施。适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

【问题1】(3分)

针对信息系统的访问控制包含哪些基本要素?

【问题2】(7分)

分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表和访问控制矩砗下的访问控制规则。

查看答案开始考试

正确答案:

本题解析:

1、访问控制的三个要素,即主体、客体和授权访问。

主体:一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户、用户组、终端、主机或一个应用,主体可议访问客体。

客体:指一个包含或接受信息的被动实体,对客体的访问要受控。它可以是一个字节、字段、记录、程序、文件,或者是一个处理器、存储器、网络节点等。

授权访问:指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的,决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。对用户的授权访问是由系统的安全策略决定的。

2、能力表:以用户为中心建立权能表,表中规定了该用户可访问的文件名及访问能力。利用权能表可以很方便查询一个主体的所有授权访问。

即:(主体)Administrator <(客体)traceroute.mpg:读取,运行>

访问控制表:访问控制表是以文件为中心建立访问权限表。表中登记了该文件的访问用户名及访问权隶属关系。利用访问控制表,能够很容易地判断出对于特定客体的授权访问,哪些主体可以访问并有哪些访问权限。

即:(客体)traceroute.mpg<(主体)Administrator :读取,运行>

访问控制矩阵:利用二维矩阵规定了任意主体和任意客体间的访问权眼。矩辞中的行代表主体的访问权限属性,矩阵中的列代表客体的访问权限属性,矩阵中的每一格表示所在行的主体对所在列的客体的访问授权。

即:

中级信息安全工程师,历年真题,《信息安全工程师》案例分析真题汇编

其他考生还关注了更多 +