网络安全员考题(含答案)

信息安全管理试题
一、填空题
1.1949年Shannon发表的“保密系统的信息理论”一文为私钥密码系统建立
了理论基础。

2.密码学是研究密码系统或通信安全的一门科学。

它主要包括两个分支，即
密码编码学和密码分析学。

3.根据密码分析者破译时已具备的前提条件，通常人们将攻击类型分为：唯
密文攻击、已知明文攻击、选择明文攻击和选择密文攻击。

4.安全电子邮件基于公钥密码体制，DES属于对称密码体制。

5.计算机病毒虽然种类很多，通过分析现有的计算机病毒，几乎所有的计算
机病毒都具备三种机制，即传染机制、触发机制和破坏机制。

6.病毒按传染方式可分为引导型病毒、文件型病毒和混合型病毒3种。

7.木马植入技术可以大概分为主动植入与被动植入两类。

8.信息安全风险的三要素是威胁、资产和脆弱性。

二、多项选题
1、攻击密码的方式通常有：（ABC）
A．穷举攻击
B．统计分析攻击
C．数学分析攻击
D．对比分析攻击
2、密钥管理的主要内容包括（ABD）
A．密钥生成
B．密钥分配
C．密钥加密
D．密钥销毁
3、HASH算法可应用在（ABCD）
A．数字签名
B．文件校验
C．鉴权协议
D．数据加密
4、恶意代码的主要功能是（ABCD）
A．窃取文件
B．主机监控
C．诱骗访问恶意网站
D．隐藏踪迹
5、木马主动植入技术主要包括：（ABD）
A．利用系统自身漏洞植入
B．利用第三方软件漏洞植入
C．利用Autorun文件传播
D．利用电子邮件发送植入木马
6、威胁评估的手段有（AD）
A、问卷调查
B、渗透测试
C、安全策略分析
D、IDS取样分析
7、PDR模型指的是基于的安全模型。

（BCD）
A：策略B防护C：检测D：响应
8、包过滤防火墙主要是对数据包头部进行过滤，数据包头部主要包含有：（ABCD）
A：源和目的地址
B：源和目的端口
C：协议类型
D：ICMP消息类型
9、按业务分，VPN类型有：（ABD）
A：内联网VPN
B：外联网VPN
C：内部访问VPN
D：远程访问VPN
10、火墙体系结构有：（ACD）
A：双宿／多宿主机模式
B：单机堡垒模式
C：屏蔽主机模式
D：屏蔽子网模式
11、入侵检测系统按数据检测方式分有：（BC）
A：集中式IDS
B：基于误用检测的IDS
C：基于异常检测的IDS
D：分布式IDS
12、IPS 的特点：（ABCD）
A：深层防御
B：精确阻断
C：高效可靠
D：防御及时
13、下列哪些是PKI系统所用的机构或协议：（ABCD）
A：RA B：CA C：LDAP D：OCSP
三、判断题
1.根据密钥之间的关系，可以将密码算法分为序列密码和分组密码。

（）
2.可以从数据复杂度和处理复杂度两个方面来衡量密码攻击复杂度。

（正确）
3.从理论上讲，安全的HASH函数的存在性依赖于单向函数的存在性。

（正
确）
4.在信息安全风险评估过程中，组织的声誉、形象以及员工都不是资产评估
需要考虑的内容。

（）
5.残余风险是从技术上无法解决的风险，需要密切监视，因为可能会诱发新
的事件。

（）
四、问答题
1、阐述保密通信系统模型及密码体制。

答案：
如图所示，从数学的角度来讲，一个密码系统就是一族映射，它在密钥的控制下将明文空间中的每一个元素映射到密文空间上的某个元素。

这族映射由密码方案确定，具体使用哪一个映射由密钥决定。

在该通信模型中，还存在一个密码攻击者或破译者可从普通信道上拦截到的密文c，其工作目标就是要在不知道密钥k的情况下，试图从密文c恢复出明文m或密钥k。

如果密码分析者可以仅由密文推出明文或密钥，或者可以由明文和密文推出密钥，那么就称该密码系统是可破译的。

相反地，则称该密码系统不可破译。

密码体制通常由五元组{ M，C，K，E，D }来描述，具有含义如下：
–消息空间M（又称明文空间）：所有可能明文m的集合；
–密文空间C：所有可能密文c的集合；
–密钥空间K：所有可能密钥k的集合，其中每一密钥k由加密密钥ke和解密密钥kd组成，即k＝（ke，kd）；
–加密算法E：一簇由加密密钥控制的、从M到C的加密变换；
–解密算法D: 一簇由解密密钥控制的、从C到M的解密变换。

2、什么是Kerckhoff原则，如何理解？该假设对我们设计密码系统时有什么启示？
答案：
Kerckhoff原则指出：“密码算法必须公开，只有密钥需要保密。

”这个原则体现了一个思想：让入侵者知道密码算法没有关系，所有的秘密都隐藏在密钥中。

把保密性寄托在密码算法的保密性上是不明智的，因为密码算法的设计很困难，一旦算法原理泄露了，必须得花费大量精力重新设计，但密钥可以随时更换。

该原则告诉我们在设计密码系统时可以基于那些数学中公认的难题，使得解密过程的复杂度能够满足保密需要，同时需要加强密钥的产生、传递等全生命周期中的安全保护。

3、假定移位密码的密钥k=11，明文为we will meet at midnight.请推倒出该明文所对应的密文（需要写出步骤）。

答案：
首先将明文转化为数字，结果如下：
22 4 22 8 11 11 12 4 4 19 0 19 12 8 3 13 8 6 7 19;
对上述数字进行(m+11)mod26运算，其中m为明文的数字，运算结果如下：
7 15 7 19 22 22 23 15 15 4 11 4 23 19 14 24 19 17 18 4；
参照表格翻译成字母，即为所得的密文，结果如下：
HPHTWWXPPELEXTOYTRSE。

4、假设某次军事行动中截获敌方一段情报，已知该情报采用行变换密码对明文进行加密，加密密钥为：（2 5 4 1 3），加密后的密文为：STIEH EMSLP STSOP EITLB SRPNA TOIIS XOXSN，请推导出该密文对应的明文。

答案：
根据加密密钥可推出解密密钥为：（4 1 5 3 2）
根据该密钥对密文进行分组、破解，所得结果如下：
THE SIMPLEST POSSIBLE TRANSPOSITIONS XX。

5、试描述好的HASH函数应该具备的特性。

答案：
Hash函数具备以下的性质：
(1)给定输入数据，很容易计算出它的哈希值；
(2)反过来，给定哈希值，倒推出输入数据则很难，计算上不可行。

这就是哈希
函数的单向性；
(3)给定哈希值，想要找出能够产生同样的哈希值的两个不同的输入数据，（这
种情况称为碰撞，Collision），这很难，计算上不可行，在技术上称为抗碰撞攻击性；
(4)哈希值不表达任何关于输入数据的信息。

6、阐述宏病毒的防御方法。

答案：
（1）禁止Word执行宏指令，方法是在Word窗口中点击“工具”菜单，选择“宏”→“安全性”菜单项，在弹出的的窗口中将其安全性设为“高”，这样，末经系统签署的宏指令将会被Word禁止执行；
（2）大部分宏病毒主要感染的是Word的摸板文件，因此我们可以将Word摸板设置为只读属性，这样一来病毒就不可能修改摸板文件，从而也就杜绝了宏病毒在系统内的传播。

7、某企业有项重要资产A1，已知：
资产A1面临主要威胁T1；
威胁T1可以利用的资产A1存在的一个脆弱性V1；
资产价值是：资产A1=4；
威胁发生频率分别是：威胁T1=1；
脆弱性严重程度是：脆弱性V1=3。

请使用《信息安全风险评估指南》标准中的相乘法计算该资产的风险等级。

表1 风险等级参照表
说明：
相乘法主要用于两个或多个要素值确定一个要素值的情形。

即),(y x f z =，函数f 可以采用相乘法。

相乘法的原理是： y x y x f z ⊗==),(。

当f 为增量函数时，⊗可以为直接相乘，也可以为相乘后取模等，例如： y x y x f z ⨯==),(等。

相乘法提供一种定量的计算方法，直接使用两个要素值进行相乘得到另一个要素的值。

相乘法的特点是简单明确，直接按照统一公式计算，即可得到所需结果。

答案：
（1）计算安全事件发生可能性
威胁发生频率：威胁T1=1；
脆弱性严重程度：脆弱性V1=3。

计算安全事件发生可能性，安全事件发生可能性=331=⨯。

（2）计算安全事件的损失
资产价值：资产A1=4；
脆弱性严重程度：脆弱性V1=3。

计算安全事件的损失，安全事件损失=1234=⨯。

（3）计算风险值
安全事件发生可能性=2；
安全事件损失=3。

安全事件风险值=6123=⨯。

对照表1，可知该资产的风险等级为2。

8、防火墙有哪些基本功能？
答案：
⏹ 过滤进出网络的数据包;
⏹ 管理进出网络的访问行为；
⏹ 防止不安全的协议和服务；
⏹ 记录通过防火墙的信息内容与活动；
⏹ 对网络攻击行为进行检测和告警。

9、网络管理员能够从防火墙中获取什么信息？ 答案：
⏹ 谁在使用网络
⏹ 他们在网络上做什么
⏹ 他们什么时间使用过网络
⏹ 他们上网去了何处
⏹谁要上网没有成功
10、防火墙地址翻译的目的是什么？
答案：
⏹解决IP地址空间不足问题
⏹向外界隐藏内部网结构
11、异常检测与误用检测的优缺点比较。

答案：
异常检测的优点：
⏹不需要获取攻击的特征
⏹能够识别出未知的攻击类型
异常检测的缺点：
⏹阈值难以设定
⏹检测错误率较高
⏹攻击者可以通过渐进的方式改变用户模型
⏹无法识别攻击类型，难以采取相应措施阻止攻击误用检测的优点：
⏹攻击检测准确率高
⏹能够识别攻击类型
误用检测的缺点：
⏹总是滞后于新出现的攻击
⏹难以检测攻击各种变形
⏹需要不断地更新攻击签名库
难以将具体入侵手段抽象成知识
五、实验题
1、某主机感染了Trojan.ThL.MR.jack病毒后，多了个进程为Mir0.dat，病毒在Windows目录（默认WinXP系统为C:\windows，Win2000系统为C:\WINNT）下生成mir0.dat和Hooks.dll文件，并修改了注册表，使用户即使设置了“查看所有文件”也看不到它们。

另外该病毒还会释放2个驱动到用户电脑中，并加载。

驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。

这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

针对上述现象，请给出该病毒的手工查杀和处置方法、步骤。

答案：
1）在任务管理器中找到“Mir0.dat”，单击鼠标右键，选择结束进程。

2）找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\NOHIDDEN一项，双击窗口右面的CheckedValue，将其值改为2。