2022年职业考证-软考-信息安全工程师考试名师押题精选卷I（带答案详解）试卷号36

住在富人区的她2022年职业考证-软考-信息安全工程师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

网络安全控制技术指致力于解决诸多如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段。以下不属于网络安全控制技术的是（

）。

问题1选项

A.VPN技术

B.容灾与备份技术

C.入侵检测技术

D.信息认证技术

【答案】B

【解析】本题考查网络安全控制技术方面的基础知识。

容灾备份实际上是两个概念。容灾是为了在遭遇灾害时能保证信息系统正常运行，帮助企业实现业务连续性的目标;备份是为了应对灾难来临时造成的数据丢失问题，其最终目标是帮助企业应对人为误操作、软件错误、病毒入侵等“软”性灾害以及硬件故障、自然灾害等“硬”性灾害。显然，容灾与备份技术不属于网络安全控制技术。

答案选B。

2.单选题

密码学的基本安全目标主要包括：保密性、完整性、可用性和不可抵赖性。其中确保信息仅被合法用户访问，而不被泄露给非授权的用户、实体或过程，或供其利用的特性是指（

）。

问题1选项

A.保密性

B.完整性

C.可用性

D.不可抵赖性

【答案】A

【解析】本题主要考查网络信息安全基本属性相关内容。

保密性，即机密性是指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息。

完整性是指网络信息或系统未经授权不能进行更改的特性。

可用性是指合法许可的用户能够及时获取网络信息或服务的特性。

抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。

答案选A。

3.单选题

APT攻击是一种以商业或者政治目的为前提的特定攻击，其中攻击者采用口令窃听、漏洞攻击等方式尝试进一步入侵组织内部的个人电脑和服务器，不断提升自己的权限，直至获得核心电脑和服务器控制权的过程被称为（

）。

问题1选项

A.情报收集

B.防线突破

C.横向渗透

D.通道建立

【答案】C

【解析】本题考查APT攻击相关知识。

一般APT攻击过程可概括为3个阶段：攻击前准备阶段、攻击入侵阶段和持续攻击阶段，又可细分为5个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。

1.情报收集：在实施攻击之前，攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样，通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站，甚至通过某些渠道购买相关信息（如公司通讯录等）。

2.防线突破：攻击者在完成情报收集和技术准备后，开始采用木马/恶意代码攻击特定员工的个人电脑，攻击方法主要有：

①社会工程学方法，如电子邮件攻击，攻击者窃取与特定员工有关系的人员（如领导、同事、朋友等）电子邮箱，冒充发件人给该员工发送带有恶意代码附件的邮件，一旦该员工打开邮件，员工电脑便感染了恶意软件。

②远程漏洞攻击方法，如网站挂马攻击，攻击者在员工常访问的网站上放置木马，当员工再次访问该网站时，个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理，因此现有的杀毒软件和防火墙均无法察觉，攻击者便能逐渐获取个人电脑权限，最后直至控制个人电脑。

3.通道建立：攻击者在突破防线并控制员工电脑后，在员工电脑与入侵服务器之间开始建立命令控制通道。通常，命令控制通道采用HTTP/HTTPS等协议构建，以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立，攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀，并在恶意软件被安全软件检测到前，对恶意软件进行版本升级，以降低被发现的概率。

4.横向渗透：入侵和控制员工个人电脑并不是攻击者的最终目的，攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权。

5.信息收集及外传：攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识别，并做出最终的判断，甚至实施网络攻击破坏。

故本题选C。

点播：高级持续威胁（简称APT）通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档，或单机某个指向恶意站点的连接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图。

4.单选题

下列关于公钥密码体制说法不正确的是（

）。

问题1选项

A.在一个公钥密码体制中，一般存在公钥和私钥两个密钥

B.公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是可行的

C.公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的

D.公钥密码体制中的私钥可以用来进行数字签名

【答案】B

【解析】本题考查公钥密码体制相关知识

公钥密码体制中，一般存在公钥和私钥两种密钥；

公钥密码体制中仅根据密码算法和加密密钥去确定解密密钥在计算上是不可行的，因为计算量过于庞大；

公钥密码体制中的公钥可以以明文方式发送；

公钥密码体制中的私钥可以用来进行数字签名。

故本题选B。

5.单选题

2016年11月7日，十二届全国人大常委会第二十四次会议以154票赞成、1票弃权，表决通过了《中华人民共和国网络安全法》。该法律第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经（

）决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

问题1选项

A.国务院

B.国家网信部门

C.省级以上人民政府

D.网络服务提供商

【答案】A

【解析】本题考查《中华人民共和国网络安全法》。

《中华人民共和国网络安全法》第五十八条：因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。故本题选A。

点播：《中华人民共和国网络安全法》已于2017年6月1日起实施。为加强网络安全教育，网络空间安全已被增设为一级学科。

6.单选题

SM4算法是国家密码管理局于2012年3月21日发布的一种分组密码算法，在我国商用密码体系中，SM4主要用于数据加密。SM4算法的分组长度和密钥长度分别为（

）。

问题1选项

A.128位和64位

B.128位和128位

C.256位和128位

D.256位和256位

【答案】B

【解析】本题考查我国国密算法方面的基础知识。

SM4算法的分组长度为128位，密钥长度为128位。加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密算法与加密算法的结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序。

7.单选题

操作系统的安全机制是指在操作系统中利用某种技术、某些软件来实施一个或多个安全服务的过程。操作系统的安全机制不包括（

）。

问题1选项

A.标识与鉴别机制

B.访问控制机制

C.密钥管理机制

D.安全审计机制

【答案】C

【解析】本题考查操作系统安全机制方面的基础知识。

操作系统的安全机制包括安全审计机制、可信路径机制、标识与鉴别机制、客体重用机制、访问控制机制。

答案选C。

8.单选题

域名系统DNS的功能是把Internet中的主机域名解析为对应的IP地址，目前顶级域名（TLD

）有国家顶级域名、国际顶级域名、通用顶级域名三大类。最早的顶级域名中，表示非营利组织域名的是（

）。

问题1选项

A.net

B.org

C.mil

D.biz

【答案】B

【解析】本题考查域名系统方面的基础知识。

COM：商业性的机构或公司

ORG：非盈利的组织、团体

GOV：政府部门

MIL：军事部门

EDU：教育机构

NET：从事Internet相关的的机构或公司

BIZ：网络商务向导，适用于商业公司

答案选B。

9.单选题

2019年10月26日，十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》，该法律自（

）起施行。

问题1选项

A.2020年10月1日

B.2020年12月1日

C.2020年1月1日

D.2020年7月1日

【答案】C

【解析】本题考查网络安全法律法规的相关知识。

《中华,人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过，自2020年1月1日起施行。

答案选C。

10.单选题

无线Wi-Fi网络加密方式中，安全性最好的是WPA-PSK/WPA2-PSK，其加密过程采用了TKIP和（

）。

问题1选项

A.AES

B.DES

C.IDEA

D.RSA

【答案】A

【解析】本题考查无线局域网的安全知识。

WPA-PSK和WPA2-PSK既可以使用TKIP加密算法也可以使用AES加密算法。

答案选A。

11.单选题

以下关于网络流量监控的叙述中，不正确的是（

）。

问题1选项

A.网络流量监控分析的基础是协议行为解析技术

B.数据采集探针是专门用于获取网络链路流量数据的硬件设备

C.流量监控能够有效实现对敏感数据的过滤

D.流量监测中所监测的流量通常采集自主机节点、服务器、路由器接口、链路和路径等

【答案】C

【解析】本题考查网络流量监控相关知识。

流量监控指的是对数据流进行的监控。流量监控的内容：流量大小；吞吐量；带宽情况；时间计数；延迟情况；流量故障。不能过滤敏感数据。故本题选C。

12.单选题

不属于物理安全威胁的是（

）。

问题1选项

A.电源故障

B.物理攻击

C.自然灾害

D.字典攻击

【答案】D

【解析】本题考查物理攻击相关知识。

物理安全是指在物理媒介层次上对存储和传输的信息加以保护，它是保护计算机网络设备、设施免遭地震、水灾、火灾等环境事故以及人为操作错误或各种计算机犯罪行为而导致破坏的过程。字典攻击属于网络服务的暴力破解，不属于物理安全威胁。故本题选D。

13.单选题

在我国，依据《中华人民共和国标准化法》可以将标准划分为：国家标准、行业标准、地方标准和企业标准4个层次。《信息安全技术

信息系统安全等级保护基本要求》（GB/T22239-2008）属于（

）。

问题1选项

A.国家标准

B.行业标准

C.地方标准

D.企业标准

【答案】A

【解析】本题考查我国的标准体系相关知识。

GB属于国家标准。

我国标准体制目前分为四级：国家标准、行业标准、地方标准和企业标准。国家标准的代号是GB，国家推荐性标准为GB/T，其他级别的推荐性标准类似。行业标准有70个左右，代号都是两个（拼音）字母。地方标准的代号是DBXX，如DB44是广东地方标准，DB35/T是福建推荐性标准等。企业标准代号的标准格式是Q/XX，XX也可以是三位，一般不超过四位，由企业自己定。故本题选A。

点播：

国家强制标准：GB

国家推荐标准：GB/T

国家指导标准：GB/Z

国家实物标准：GSB

14.单选题

PKI是一种标准的公钥密码密钥管理平台。在PKI中，认证中心CA是整个PKI体系中各方都承认的一个值得信赖的、公正的第三方机构。CA的功能不包括（

）。

问题1选项

A.证书的颁发

B.证书的审批

C.证书的加密

D.证书的备份

【答案】C

【解析】本题考查PKI和实体CA方面知识。

CA（CertificationAuthority）：证书授权机构，主要进行证书的颁发、废止和更新；认证机构负责签发、管理和撤销一组终端用户的证书。简而言之CA的功能包括证书的颁发、证书的审批、证书的备份等。故本题选C。

点播：公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系。PKI可以解决公钥可信性问题。基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说，PKI涉及多个实体之间的协商和操作，主要实体包括CA、RA、终端实体（EndEntity）、客户端、目录服务器。

15.单选题

下面对国家秘密定级和范围的描述中，不符合《中华人民共和国保守国家秘密法》要求的是（

）。

问题1选项

A.对是否属于国家和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案

B.各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围

C.国家秘密及其密级的具体范围，由国家行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定

D.对是否属于国家和属于何种密级不明确的事项，由国家保密行政管理部门，或省、自治区、直辖市的保密行政管理部门确定

【答案】A

【解析】本题考查《中华人民共和国保守国家秘密法》相关知识。

国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定。各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级。对是否属于国家秘密和属于何种密级不明确的事项，产生该事项的机关、单位无相应确定密级权的，应当及时拟定密级，并在拟定密级后的十日内依照下列规定申请确定密级：（一）属于主管业务方面的事项，逐级报至国家保密工作部门审定的有权确定该事项密级的上级机关；（二）其他方面的事项，逐级报至有权确定该事项密级的保密工作部门。故本题选A。

点播：《中华人民共和国保守国家秘密法》于1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过，2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订通过，现将修订后的《中华人民共和国保守国家秘密法》公布，自2010年10月1日起施行。旨在保守国家秘密，维护国家安全和利益，保障改革开放和社会主义建设事业的顺利进行。

16.单选题

为了保护用户的隐私，需要了解用户所关注的隐私数据。当前，个人隐私信息分为一般属性、标识属性和敏感属性，以下属于敏感属性的是（

）。

问题1选项

A.姓名

B.年龄

C.肖像

D.财物收入

【答案】D

【解析】本题考查用户隐私方面的基础的知识。

敏感属性包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息等。

答案选D。

17.单选题

无线传感器网络WSN是由部署在监测区域内大量的廉价微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统。以下针对WSN安全问题的描述中，错误的是（

）。

问题1选项

A.通过频率切换可以有效抵御WSN物理层的电子干扰攻击

B.WSN链路层容易受到拒绝服务攻击

C.分组密码算法不适合在WSN中使用

D.虫洞攻击是针对WSN路由层的一种网络攻击形式

【答案】C

【解析】本题考查无线传感器网络WSN的相关知识。

WSN是一种节点资源受限的无线网络，其链路层安全策略的轻量化研究适合于各种应用环境的WSN系统，且效果显著。结合序列密码和分组密码各自的优势，提出了一种新型轻量的WSN链路层加密算法——TinySBSec，该协议采用的是对称分组密码。加密算法可以是RC5或是Skipjack算法。其加密算法的工作模式为CBC模式，是一种拥有反馈机制的工作模式。故本题选C。

点播：无线传感器网络WSN是由部署在监测区域内大量的廉价微型传感器节点组成，通过无线通信方式形成的一个多跳的自组织网络系统。WSN通过频率切换可以有效抵御WSN物理层的电子干扰攻击，链路层容易受到拒绝服务攻击，虫洞是针对WSN路由层的一种网络攻击形式。

18.单选题

问题1选项

A.ECB

B.CTR

C.CFB

D.PCBC

【答案】D

【解析】本题考查分组密码相关知识。

图为明密文链接工作原理图，即PCBC。官方教材（第一版）P109。

电码本模式ECB直接利用分组密码对明文的各分组进行加密。

计数模式（CTR模式）加密是对一系列输入数据块（称为计数）进行加密，产生一系列的输出块，输出块与明文异或得到密文。

密文反馈模式（CFB模式）。在CFB模式中，前一个密文分组会被送回到密码算法的输入端。

故本题选D。

点播：明密文链接方式具有加密错误传播无界的特性，而磁盘文件加密通常希望解密错误传播有界，这时可采用密文链接方式。

19.单选题

以下关于网络欺骗的描述中，不正确的是（

）。

问题1选项

A.Web欺骗是一种社会工程攻击

B.DNS欺骗通过入侵网站服务器实现对网站内容的篡改

C.邮件欺骗可以远程登录邮件服务器的端口25

D.采用双向绑定的方法可以有效阻止ARP欺骗

【答案】B

【解析】本题考查网络欺骗相关知识。

DNS欺骗：是一种攻击者冒充域名服务器的欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。并不会对原网页内容进行篡改。故本题选B。

点播：网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。

20.单选题

研究密码破译的科学称为密码分析学。密码分析学中，根据密码分析者可利用的数据资源，可将攻击密码的类型分为四种，其中适于攻击公开密钥密码体制，特别是攻击其数字签名的是（

）。

问题1选项

A.仅知密文攻击

B.已知明文攻击

C.选择密文攻击

D.选择明文攻击

【答案】C

【解析】本题考查公钥密码体制和数字签名相关知识。

已知明文攻击：攻击者不仅可以得到一些消息的密文，而且也知道对应的明文。

仅知密文攻击：攻击者有一些消息的密文，这些密文都是用相同的加密算法进行加密得到。

选择明文攻击：攻击者不仅可以得到一些消息的密文和相应的明文，而且还可以选择被加密的明文。

选择密文攻击：攻击者能够选择一些不同的被加密的密文并得到与其对应的明文信息，攻击者的任务是推算出加密密钥。

使用选择密文攻击的攻击者掌握对解密机的访问权限，可构造任意密文所对应的明文。在此种攻击模型中，密码分析者事先任意搜集一定数量的密文，让这些密文透过被攻击的加密算法解密，透过未知的密钥获得解密后的明文。故本题选C。

点播：数字签名是指签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果。该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。数字签名具有手写签名一样的特点，是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的。

21.单选题

计算机取证是指能够为法庭所接受的、存在于计算机和相关设备中的电子证据的确认、保护、提取和归档的过程。以下关于计算机取证的描述中，不正确的是（

）。

问题1选项

A.为了保证调查工具的完整性，需要对所有工具进行加密处理

B.计算机取证需要重构犯罪行为

C.计算机取证主要是围绕电子证据进行的

D.电子证据具有无形性

【答案】A

【解析】本题考查计算机取证技术相关知识。

计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。计算机取证是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。从技术上讲，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。因此计算机取证并不要求所有工具进行加密处理。故本题选A。

点播：调查工具需确保其完整性，要在合法和确保安全的机器上制作这些工具盘，并且还需要制作出所有程序的文件散列值（如MD5、SHA）校验列表。以便于事后在必要时（如在法庭上）证明所使用取证工具的合法性和唯一性。同样，对初始收集到的电子证据也应该有文件散列值记录，必要时可以采用多种散列值，以确保证据的完整性。计算机取证主要是围绕电子证据进行的，电子证据具有高科技性、无形性和易破坏性等特点。计算机取证可归纳为以下几点：是一门在犯罪进行过程中或之后收集证据的技术；需要重构犯罪行为；将为起诉提供证据；对计算机网络进行取证尤其困难，且完全依靠所保护的犯罪场景的信息质量。其目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。

22.单选题

SM3密码杂凑算法的消息分组长度为（

）比特。

问题1选项

A.64

B.128

C.512

D.1024

【答案】C

【解析】本题考查SM3算法相关知识。23.单选题

数字证书是一种由一个可信任的权威机构签署的信息集合。PKI中的X.509数字证书的内容不包括（

）。

问题1选项

A.版本号

B.签名算法标识

C.证书持有者的公钥信息

D.加密算法标识

【答案】D

【解析】本题考查PKI中X.509数字证书。

在PKI/CA架构中，拥有一个重要的标准就是X.509标准，数字证书就是按照X.509标准制作的。本质上，数字证书是把一个密钥对（明确的是公钥，而暗含的是私钥）绑定到一个身份上的被签署的数据结构。整个证书有可信赖的第三方签名。目前，X.509有不同的版本，但都是在原有版本（X.509V1）的基础上进行功能的扩充，其中每一版本必须包含下列信息。

・版本号：用来区分X.509的不同版本号。

・序列号：由CA给每一个证书分配唯一的数字型编号。

・签名算法标识符：用来指定用CA签发证书时所使用的签名算法。

・认证机构：即发出该证书的机构唯一的CA的X.500名字。

・有效期限：证书有效的时间。

・主题信息：证书持有人的姓名、服务处所等信息。

・认证机构的数字签名：以确保这个证书在发放之后没有被改过。

・公钥信息：包括被证明有效的公钥值和加上使用这个公钥的方法名称。

・一个证书主体可以有多个证书。

・证书主体可以被多个组织或社团的其他用户识别。

・可按特定的应用名识别用户。

・在不同证书政策和使用不会发放不同的证书，这就要求公钥用户要信赖证书。

故本题选D。

点播：数字证书也称公钥证书，是由证书认证机构（CA）签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。

24.单选题

PKI中撤销证书是通过维护一个证书撤销列表CRL来实现的。以下不会导致证书被撤销的是（

）。

问题1选项

A.密钥泄漏

B.系统升级

C.证书到期

D.从属变更

【答案】B

【解析】本题考查PKI相关知识。

每个证书都有一个有效使用期限，有效使用期限的长短由CA的政策决定。有效使用期限到期的证书应当撤销。证书的公钥所对应的私钥泄露，或证书的持证人死亡，证书的持证人严重违反证书管理的规章制度等情况下也要撤销证书。故本题选B。

点播：公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台，它提供了一种系统化的、可扩展的、统一的、可控制的公钥分发方法。和证书的签发一样，证书的撤销也是一个复杂的过程。证书的撤销要经过申请、批准、撤销三个过程。

25.单选题

数据库恢复是在故障引起数据库瘫痪以及状态不一致以后，将数据库恢复到某个正确状态或一致状态。数据库恢复技术一般有四种策略：基于数据转储的恢复、基于日志的恢复、基于检测点的恢复、基于镜像数据库的恢复，其中数据库管理员定期地将整个数据库复制到磁带或另一个磁盘上保存起来，当数据库失效时，取最近一次的数据库备份来恢复数据的技术称为（

）。

问题1选项

A.基于数据转储的恢复

B.基于日志的恢复

C.基于检测点的恢复

D.基于镜像数据库的恢复

【答案】A

【解析】本题考查数据库恢复方面的基础知识。

数据转储是数据库恢复中采用的基本技术。所谓转储，即DBA定期将整个数据库复制到磁带或另一个磁盘上保存起来的过程，这些备用的数据成为后备副本或后援副本。

基于检测点的恢复是在日志文件中增加一类新的记录一一检查点记录，增加一个重新开始文件，并使恢复子系统在登录日志文件期间动态地维护日志。检查点记录的内容包括：建立检查点时刻所有正在执行的事务清单和这些事务最近一个日志记录的地址。重新开始文件用来记录各个检查点记录在日志文件中的地址。

基于日志的恢复是指，运行时将对数据库每一次更新操作，都应优先记录到日志文件中。当系统出现故障，导致事务中断，反向扫描文件日志，查找该事务的更新操作，然后对该事务的更新操作执行逆操作。即将日志记录中"更新前的值"写入数据库。如此反复处理下去，直至读到此事务的开始标记，事务故障恢复就完成了。

基于镜像数据库的恢复就是在另一个磁盘上作数据库的实时副本。当主数据库更新时，DBMS自动把更新后的数据复制到镜像数据，即DBMS始终自动保持镜像数据和主数据保持一致性。一旦当主库出现故障时，可由镜像磁盘继续提供使用，同时DBMS自动利用镜像磁盘数据进行数据库的恢复。

26.单选题

以下关于IPSec协议的叙述中，正确的是（

）。

问题1选项

A.IPSec协议是IP协议安全问题的一种解决方案

B.IPSec协议不提供机密性保护机制

C.IPSec协议不提供认证功能

D.IPSec协议不提供完整性验证机制

【答案】A

【解析】本题考查IPSec协议相关知识。

IPSec协议是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议网络上进行保密而安全的通讯，是解决IP协议安全问题的一种方案，它能提供完整性、保密性、反重播性、不可否认性、认证等功能。

IPSec工作组制定了IP安全系列规范：认证头（AH）、封装安全有效负荷（ESP）以及密钥交换协议。

IPAH是一种安全协议，又称为认证头协议。其目的是保证IP包的完整性和提供数据源认证，为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。

IPESP也是一种安全协议，其用途在于保证IP包的保密性，而IPAH不能提供IP包的保密性服务。

故本题选A。

27.案例题

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。

2017年5月，勒索软件WanaCry席卷全球，国内大量高校及企事业单位的计算机被攻击，文件及数据被加密后无法使用，系统或服务无法正常运行，损失巨大。

【问题1】（2分）

按照恶意代码的分类，此次爆发的恶意软件属于哪种类型？

【问题2】（2分）

此次勒索软件针对的攻击目标是Windows还是Linux类系统？

【问题3】（6分）

恶意代码具有的共同特征是什么？

【问题4】（5分）

由于此次勒索软件需要利用系统的SMB服务漏洞（端口号445）进行传播，我们可以配置防火墙过滤规则来阻止勒索软件的攻击，请填写表1-1中的空（1）-（5），使该过滤规则完整。

注：假设本机IP地址为：，”*”表示通配符。

【答案】【问题1】蠕虫类型

【问题2】Windows操作系统

【问题3】恶意代码具有如下共同特征：（1）恶意的目的（2）本身是计算机程序（3）通过执行发生作用。

【问题4】（1）*

（2）*

（3）445

（4）TCP

（5）*【解析】【问题1】

WannaCry，一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。该恶意软件会扫描电脑上的TCP445端口（ServerMessageBlock/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。

【问题2】

主要是利用windows操作系统中存在的漏洞。

【问题3】

恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。具有如下共同特征：

（1）恶意的目的

（2）本身是计算机程序

（3）通过执行发生作用。

【问题4】

针对该勒索软件的攻击和传播特点，需要对SMB服务所在的445端口进行过滤，只要网外对网内445端口的所有连接请求予以过滤。需要注意的是SMB服务是基于TCP协议的。

28.单选题

VPN即虚拟专用网，是一种依靠ISP和其他NSP在公用网络中建立专用的、安全的数据通信通道的技术。以下关于虚拟专用网VPN的描述中，错误的是（

）。

问题1选项

A.VPN采用隧道技术实现安全通信

B.第2层隧道协议L2TP主要由LAC和LNS构成

C.IPSec可以实现数据的加密传输

D.点对点隧道协议PPTP中的身份验证机制包括RAP、CHAP、MPPE

【答案】D

【解析】本题考查虚拟专用网(VPN)方面的基础知识。

VPN的隧道协议主要有PPTP、L2TP和IPSec三种，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为第二层隧道协议;IPSec是第三层隧道协议。PPTP通常可以搭配PAP、CHAP、MS-CHAPv1/v2或EAP-TLS来进行身份验证。

答案选D。

29.单选题

以下关于BLP安全模型的表述中，错误的是（

）。

问题1选项

A.BLP模型既有自主访问控制，又有强制访问控制

B.BLP模型是-一个严格形式化的模型，并给出了形式化的证明

C.BLP模型控制信息只能由高向低流动

D.BLP是一种多级安全策略模型

【答案】C

【解析】本题考查BLP安全模型方面的基础知识。

BLP是安全访问控制的一种模型，是基于自主访问控制和强制访问控制两种方式实现的。它是一种严格的形式化描述，控制信息只能由低向高流动。它反映了多级安全策略的安全特性。

30.单选题

强制访问控制（MAC）可通过使用敏感标签对所有用户和资源强制执行安全策略。MAC中用户访问信息的读写关系包括下读、上写、下写和上读四种，其中用户级别高于文件级别的读操作是（

）。

问题1选项

A.下读

B.上写

C.下写

D.上读

【答案】A

【解析】本题考查强制访问控制相关知识。

强制访问控制（MAC）是指系统根据主体和客体的安全属性，以强制的方式控制主体对客体的访问，是一种不允许主体干涉的访问控制类型。根据MAC的安全级别，用户与访问的信息的读写关系有四种：即：下读（readdown）：用户级别高于文件级别的读操作。上写（writeup）：用户级别低于文件级别的写操作。下写（writedown）：用户级别高于文件级别的写操作。上读（readup）：用户级别低于文件级别的读操作。其中用户级别高于文件级别的读写操作是下读。故本题选A。

点播：

访问控制的目标有两个：防止非法用户进入系统；阻止合法用户对系统资源的非法使用，即禁止合法用户的越权访问。

访问控制类型可分为：自主访问控制、强制访问控制、基于角色的访问控制和基于属性的访问控制。

31.单选题

资产管理是信息安全管理的重要内容，而清楚地识别信息系统相关的财产，并编制资产清单是资产管理的重要步骤。以下关于资产清单的说法中，错误的是（

）。

问题1选项

A.资产清单的编制是风险管理的一个重要的先决条件

B.信息安全管理中所涉及的信息资产，即业务数据、合同协议、培训材料等

C.在制定资产清单的时候应根据资产的重要性、业务价值和安全分类，确定与资产重要性相对应的保护级别

D.资产清单中应当包括将资产从灾难中恢复而需要的信息，如资产类型、格式、位置、备份信息、许可信息等

【答案】B

【解析】本题考查资产管理方面的基础知识。

信息资产包括数据库和数据文件、合同协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档的信息，不包括业务数据。

答案选B。

32.单选题

IPSec协议可以为数据传输提供数据源验证、无连接数据完整性、数据机密性、抗重播等安全服务。其实现用户认证采用的协议是（

）。

问题1选项

A.IKE协议

B.ESP协议

C.AH协议

D.SKIP协议

【答案】C

【解析】

IPSec提供了两种安全机制：认证（采用ipsec的AH）和加密（采用ipsec的ESP）。

AH是一种安全协议，又称为认证头协议。其安全目的是保证IP包的完整性和提供数据源认证，为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。

ESP也是一种安全协议，其用途在于保证IP包的保密性，而IPAH不能提供IP包的保密性服务。

IKE：密钥交换协议IKE是用于交换和管理在VPN中使用的加密密钥的协议。

SKIP：SKIP协议是一种简单的重点互联网协议。（此协议无需记忆）

故本题选C。

点播：IPSec是InternetProtocolSecurity的缩写。IPSec工作组制定了相关的IP安全系列规范：认证头AH、封装安全有效负荷ESP以及密钥交换协议IKE。AH和ESP都有两种工作模式，即透明模式和隧道模式。透明模式只保护IP包中的数据域，而隧道模式则保护IP包的包头和数据域。

33.单选题

已知DES算法S盒如下，如果该S盒的输入为001011，则其二进制输出为（

）。

问题1选项

A.1011

B.1100

C.0011

D.1101

【答案】B

【解析】本题考查分组密码算法DES的S盒。

S盒的输入长度等于6，6个比特的第一和第六比特代表行，题中所给为01(十进制为1)，中间4个比特代表列，题中所给为0101(十进制为5)，因此对应上述S盒中的元素值为12，表示为二进制即为1100。

答案选B。

34.单选题

当防火墙在网络层实现信息过滤与控制时，主要针对TCP/IP协议中的数据包头制定规则匹配条件并实施过滤，该规则的匹配条件不包括（

）。

问题1选项

A.IP源地址

B.源端口

C.IP目的地址

D.协议

【答案】B

【解析】本题考查防火墙相关知识。

当防火墙在网络层实现信息过滤与控制时，主要是针对TCP/IP协议中的IP数据包头部制定规则的匹配条件并实施过滤，其规则的匹配条件包括以下内容：IP源地址，IP数据包的发送主机地址；IP目的地址，IP数据包的接收主机地址；协议，IP数据包中封装的协议类型，包括TCP、UDP或ICMP包等。

故本题选B。

35.单选题

雪崩效应指明文或密钥的少量变化会引起密文的很大变化。下列密码算法中不具有雪崩效应的是（

）。

问题1选项

A.AES

B.MD5

C.RC4

D.RSA

【答案】D

【解析】本题考查密码设计雪崩效应方面的基础知识。

雪崩效应是指当输入发生最微小的改变（例如，反转一个二进制位）时，也会导致输出的不可区分性改变（输出中每个二进制位有50%的概率发生反转）；雪崩效应通常发生在块密码和加密散列函数中，RSA为公钥密码。

答案选D。

36.案例题

阅读下列说明，回答问题1至问题8，将解答填入答题纸的对应栏内。

【说明】

密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类:对称密码算法和非对称密码算法。此外，密码技术还用于信息鉴别、数据完整性检验、数字签名等。

【问题1】(3分)

信息安全的基本目标包括：真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。密码学的三大安全目标C.I.A分别表示什么?

【问题2】(3分)

RSA公钥密码是一种基于大整数因子分解难题的公开密钥密码。对于RSA密码的参数：p,q,n,p(n),e,d，哪些参数是可以公开的?

【问题3】(2分)

如有RSA密码算法的公钥为（55，3），请给出对小王的年龄18进行加密的密文结果。

【问题4】(2分)

对于RSA密码算法的公钥（55，3），请给出对应私钥。

【问题5】(2分)

在RSA公钥算法中，公钥和私钥的关系是什么?

【问题6】(2分)

在RSA密码中，消息m的取值有什么限制?

【问题7】(3分)

是否可以直接使用RSA密码进行数字签名？如果可以，请给出消息m的数字签名计算公式。如果不可以，请给出原因。

【问题8】(3分)

上述RSA签名体制可以实现问题1所述的哪三个安全基本目标?

【答案】【问题1】

保密性、完整性、可用性。

【问题2】

n,e

【问题3】

【问题4】

（55，27

）

【问题5】

eXd=1modφ(n)；一个加密另一个可以解开；从一个密钥无法推导出另一个。

【问题6】

消息m的十进制表示值小于n的值。

【问题7】

可以。

签名：用私钥加密；验证：用公钥解密。

签名=memodn

【问题8】

真实性、保密性、完整性

【解析】本题考查公钥密码算法RSA的基本原理及其加解密过程。

此类题目要求考生对常见的密码算法及其应用有清晰的了解。

【问题1】

CIA分别表示单词Confidentiality、Integrity和Availability,也就是保密性、完整性和可用性三个安全目标的缩写。

【问题2】

RSA密码是基于大数分解难题，RSA密码的参数主要有:p,q,n,p(n),e,d,其中模数n=pXq,q(m)=(p-1)X(q-1),eXd=lmodo(n),由这些关系，只有n和e作为公钥是可以公开的，其他的任何一个参数泄露，都会导致私钥泄露。

【问题3】

根据RSA加密算法，密文c=183mod55=2。

【问题4】

根据n=55，可知p=lI,g=5，o(n)=-40，由e=3，可得到d=27时满足eXd=lmod40,因此私钥为(55,27)。

【问题5】

公钥密码体制有两个密钥，一个是公钥，一个是私钥。其中一个用于加密，可以用另一个解密。

【问题6】

消息m所表示的10进制值不能大于模数n的值，否则将导致解密有误。

【问题7】

使用RSA可以进行数字签名，直接用私钥对消息进行加密即可，其他人可以用对应的公钥进行解密并验证签名。签名公式就是消息的加密公式。

签名=mmodn

【问题8】

RSA签名体制的私钥签名确保消息的真实性，RSA加密提高保密性，哈希计算提高完整性。

37.单选题

包过滤技术防火墙在过滤数据包时，一般不关心（

）。

问题1选项

A.数据包的源地址

B.数据包的目的地址

C.数据包的协议类型

D.数据包的内容

【答案】D

【解析】本题考查包过滤的原理。

包过滤是在IP层实现的防火墙技术，包过滤根据包的源IP地址、目的地址、源端口、目的端口及包传递方向、传输协议类型等包头信息判断是否允许包通过。一般不关心数据包的内容。故本题选D。

点播：发送数据包可以粗略地类比生活中的寄快递包。只需要知道邮寄方地址（源地址）、接收方地址（目的地址）、以及发哪家（顺丰、圆通等）快递（协议类型），即可发送快递，不需要详细了解包裹的内容。

38.单选题

重放攻击是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。下列技术中，不能抵御重放攻击的是（

）。

问题1选项

A.序号

B.明文填充

C.时间戳

D.Nonce

【答案】B

【解析】本题考查网络协议重放攻击方面的基础知识。

Nonce是Numberusedonce的缩写，Nonce是一个只被使用一次的任意或非重复的随机数值，它与时间戳、序号都是能够预防重放攻击的。明文填充方式不能抵御重放攻击。

答案选B。

39.案例题

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

密码学的基本目标是在有攻击者存在的环境下，保证通信双方（A和B）之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。

在以下描述中，M表示消息，H表示Hash函数，E表示加密算法，D表示解密算法，K表示密钥，SKA表示A的私钥，PKA表示A的公钥，SKB表示B的私钥，PKB表示B的公钥，||表示连接操作。

【问题1】（6分）

用户AB双方采用的保密通信的基本过程如图2-1所示。

请问图2-1所设计的保密通信模型能实现信息的哪些安全目标？图2-1中的用户A侧的H和E能否互换计算顺序？如果不能互换请说明原因：如果能互换请说明对安全目标的影响。

【问题2】（4分）

图2-2给出了另一种保密通信的基本过程：

请问图2-2设计的保密通信模型能实现信息安全的哪些特性？

【问题3】（5分）

为了在传输过程中能够保障信息的保密性、完整性和不可否认性，设计了一个安全通信模型结构如图2-3所示：

请问图2-3中（1），（2）分别应该填什么内容？

【答案】【问题1】

实现完整性。【解析】【问题1】解析

通过以上保密通信方式，接收方可以相信报文未被修改。如果攻击者改变了报文，因为已假定攻击者不知道密钥K，所以他不知道如何对Ek[H（M）]作相应修改。这将使接收方计算出的H（M）将不等于接收到的H（M）。40.案例题

阅读下列说明和C语言代码，回答问题1至问题4，将解答写在答题纸的对应栏内。

【说明】

在客户服务器通信模型中，客户端需要每隔一定时间向服务器发送数据包，以确定服务器是否掉线，服务器也能以此判断客户端是否存活，这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定，一般都是很小的包。

某系统采用的请求和应答两种类型的心跳包格式如图4-1所示。

图4-1协议包格式

心跳包类型占1个字节，主要是请求和响应两种类型；

心跳包数据长度字段占2个字节，表示后续数据或者负载的长度。

接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据，s是对应客户端的socket网络通信套接字。

voidprocess_heartbeat(unsignedchar*p,SOCKETs)

{

unsignedshorthbtype;

unsignedintpayload;

hbtype=*p++;

//心跳包类型

n2s(p,payload);

//心跳包数据长度

pl=p;

//pl指向心跳包数据

if（hbtype=HB_REQUEST）{

unsignedchar*buffer,*bp;

buffer=malloc(1+2+payload);

*bp++=HB_RESPONSE;

//填充1byte的心跳包类型

s2n(payload,bp);

//填充2bytes的数据长度

memcpy(bp,pl,payload);

/*将构造好的心跳响应包通过sockets返回客户端*/

r=write_bytes(s,buffer,3+payload);

}

}

【问题1】（4分）

（1）心跳包数据长度字段的最大取值是多少？

（2）心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致？

【问题2】（5分）

（1）上述接收代码存在什么样的安全漏洞？

（2）该漏洞的危害是什么？

【问题3】（2分）

模糊测试（Fuzzing）是一种非常重要的信息系统安全测评方法，它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试？其测试结果是否存在误报？

【问题4】（4分）

模糊测试技术能否测试出上述代码存在的安全漏洞？为什么？

【答案】【问题1】

（1）心跳包数据长度的最大取值为65535。

（2）必须是一致的。

【问题2】

存在溢出安全漏洞。

接收端处理代码在组装响应包时，心跳包数据长度字段（payload）采用的是客户端。

发送的请求包中使用的长度字段，由于心跳包数据长度字段完全由客户端控制，当payload大于实际心跳包数据的长度时，将导致越界访问接收端内存，从而泄露内存信息。（2分）

造成的危害：在正常的情况下，response报文中的data就是request报文中的data数据，但是在异常情况下，payload的长度远大于实际数据的长度，这样就会发生内存的越界访问，但这种越界访问并不会直接导致程序异常，（因为这里直接memcpy后，服务器端并没有使用copy后的数据，而只是简单的进行了回复报文的填充，如果服务端使用了copy的数据也许就可能发现问题）这里使用了memcpy函数，该函数会直接根据长度把内存中数据复制给另一个变量。这样就给恶意的程序留下了后门，当恶意程序给data的长度变量赋值为65535时，就可以把内存中64KB的内存数据通过Response报文发送给客户端，这样客户端程序就可以获取到一些敏感数据泄露。

【问题3】

属于黑盒测试；不存在误报。

【问题4】

不能。

因为不会产生异常，模糊测试器就无法监视到异常，从而无法检测到该漏洞。

【解析】【问题1】

已知表示心跳包的数据长度值为2字节，则其最大长度为216-1=65535。

心跳包中的数据长度字段给出的长度值必须与后续的数据字段的实际长度一致；如果不一致会产生“心脏出血”漏洞，造成有用数据泄露。

【问题2】

心脏出血漏洞主要通过攻击者模拟向服务器端发送自己编写的Heartbeat心跳数据包，主要是HeartbeatMessage的长度与payload的length进行匹配，若payload_lenght长度大于HeartbeatMessage的length，则会在服务器返回的response响应包中产生数据溢出，造成有用数据泄露。

题中每条心跳包记录中包含一个类型域（type）、一个长度域（length）和一个指向记录数据的指针（data）。心跳包的第一个字节标明了心跳包的类型。宏n2s从指针p指向的数组中取出前两个字节，并把它们存入变量payload中——这实际上是心跳包载荷的长度域（length）。注意程序并没有检查这条心跳包记录的实际长度。变量pl则指向由访问者提供的心跳包数据。

buffer=malloc（1+2+payload）；程序将分配一段由访问者指定大小的内存区域，这段内存区域最大为（65535+1+2）个字节。变量bp是用来访问这段内存区域的指针。

代码中宏s2n与宏n2s干的事情正好相反：s2n读入一个16bit长的值，然后将它存成双字节值，所以s2n会将与请求的心跳包载荷长度相同的长度值存入变量payload。然后程序从pl处开始复制payload个字节到新分配的bp数组中——pl指向了用户提供的心跳包数据。最后，程序将所有数据发回给用户。如果用户并没有在心跳包中提供足够多的数据，比如pl指向的数据实际上只有一个字节，那么memcpy会把这条心跳包记录之后的数据（无论那些数据是什么）都复制出来。

分配的buffer是根据数据包给出的长度字段来分配的，并在memcpy函数实现内存数据拷贝，因此有可能越界读取额外的内存数据，造成信息泄露。

【问题3】

模糊测试是一种黑盒测试技术，它将大量的畸形数据输入到目标程序中，通过监测程序的异常来发现被崩程序中可能存在的安全漏洞。模糊测试是一种基于缺陷注入的自动化测试技术，没有具体的执行规则，旨在预测软件中可能存在的错误以及什么样的输入能够触发错误。其通过模糊器向目标应用发送大量的畸形数据并监视程序运行异常以发现软件故障，通过记录触发异常的输入数据来进一步定位异常位置。与基于源代码的白盒测试相比，模糊测试的测试对象是二进制目标文件，因而具有更好的适用性：模糊测试是一种自动化的动态漏洞挖掘技术，不存在误报，也不需要人工进行大量的逆向分析工作。

【问题4】

上述代码存在的信息泄露漏洞在模糊测试过程中，不管用什么样的数据包长度去测试，被测代码都是正常运行，没有出现异常情况，因此也就无法判断是否有漏洞，所以模糊测试无法测试出该代码存在的漏洞。

41.单选题

国家密码管理局发布的《无线局域网产品须使用的系列密码算法》，其中规定密钥协商算法应使用的是（

）。

问题1选项

A.PKI

B.DSA

C.CPK

D.ECDH

【答案】D

【解析】本题考查网络安全法律法规相关的知识点。

国家密码管理局于2006年1月6日发布公告，公布了《无线局域网产品须使用的系列密码算法》，包括：对称密码算法：SMS4；签名算法：ECDSA；密钥协商算法：ECDH；杂凑算法：SHA-256；随机数生成算法：自行选择。其中，ECDSA和ECDH密码算法须采用国家密码管理局指定的椭圆曲线和参数。

答案选D。

42.单选题

（

）能有效防止重放攻击。

问题1选项

A.签名机制

B.时间戳机制

C.加密机制

D.压缩机制

【答案】B

【解析】本题考查重放攻击相关知识。

签名机制：作为保障信息安全的手段之一，主要用于解决伪造、抵赖、冒充和篡改问题。

加密机制：保密通信、计算机密钥、防复制软盘等都属于加密技术，加密主要是防止重要信息被一些怀有不良用心的人窃听或者破坏。

压缩机制：压缩机制一般理解为压缩技术。变形器检测病毒体反汇编后的全部指令，可对进行压缩的一段指令进行同义压缩。一般用于使病毒体代码长度发生改变。提高恶意代码的伪装能力和防破译能力。

时间戳：主要目的在于通过一定的技术手段，对数据产生的时间进行认证，从而验证这段数据在产生后是否经过篡改。故时间戳机制可以有效防止重放攻击。

故本题选B。

点播：重放攻击是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者或拦截并重发该数据的地方进行。攻击者利用网络监听或其他方式盗取认证凭据，之后再将它重新发送给认证服务器。

43.单选题

片内操作系统COS是智能卡芯片内的一个监控软件，一般由通信管理模块、安全管理模块、应用管理模块和文件管理模块四个部分组成。其中对接收命令进行可执行判断是属于（

）。

问题1选项

A.通信管理模块

B.安全管理模块

C.应用管理模块

D.文件管理模块

【答案】C

【解析】本题考查片内操作系统方面的基础知识。

通信管理模块：该模块是COS与外界的半双工通信通道，接收读写器命令，并对接收信息进行正确性判断，有误则请求重发或添加标记，无误则将命令发送至安全管理模块。

安全管理模块：安全机制可按对象分为针对动态信息的安全性传输控制和针对卡内静态信息的内部安全控制管理两部分。安全管理模块是COS极重要组成部分，该模块提供高安全性保证。

应用管理模块：该模块主要是对接受命令进行可执行性判断。因智能卡的特性，它常常融于安全管理和文件管理之中。

文件管理模块：COS通过给每种应用建立对应文件的办法，实现对各项应用的存储及管理。用户通常不能创建或删除文件，但可酌情修改文件内容，对文件的记录和数据单元进行增加或删除。

答案选C。

44.单选题

目前网络安全形势日趋复杂，攻击手段和攻击工具层出不穷，攻击工具日益先进,攻击者需要的技能日趋下降。以下关于网络攻防的描述中，不正确的是（）。

问题1选项

A.嗅探器Sniffer工作的前提是网络必须是共享以太网

B.加密技术可以有效抵御各类系统攻击

C.APT的全称是高级持续性威胁

D.同步包风暴（SYNFlooding）的攻击来源无法定位

【答案】B

【解析】本题考查网络攻防相关知识。

加密用