2022年11月信息安全工程师 下午试卷答案及解析 - 详解版（24题）

本资料由小桨备考整理，仅供学习参考，非官方发布2022年11月信息安全工程师下午试卷答案及解析主观题（共24题，共24分）1.【问题1】(2分)为了防止生产网受到外部的网络安全威胁，安全策略要求生产网和其他网之间部署安全隔离装置，隔离强度达到接近物理隔离。请问图中X最有可能代表的安全设备是什么?参考答案网闸解析：根据题目描述，为了防止生产网受到外部的网络安全威胁，需要部署安全隔离装置，且隔离强度要达到接近物理隔离。在这种情况下，最有可能代表的安全设备是网闸。安全隔离网闸是一种网络安全设备，它通过带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换，从而实现生产网和其他网之间的安全隔离。因此，图中X最有可能代表的安全设备是网闸。2.【问题2】(2分)防火墙是网络安全区域边界保护的重要技术，防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型?参考答案基于屏蔽子网的防火墙解析：：根据题目描述和图1-1拓扑图，可以看到存在防火墙1、DMZ网络和防火墙2等部分，这种布局属于屏蔽子网的防火墙结构。屏蔽子网防火墙是一种较为安全的网络架构，通过独立的子网来隔离不同的网络区域，增强网络安全性和数据保护。因此，根据题目中的网络结构和常见的防火墙体系结构，可以判断图1-1拓扑图中的防火墙布局属于基于屏蔽子网的防火墙。3.【问题3】(2分)通常网络安全需要建立四道防线，第一道是保护，阻止网络入侵；第二道是监测，及时发现入侵和破坏；第三道是响应，攻击发生时确保网络打不垮；第四道是恢复，使网络在遭受攻击时能以最快速度起死回生。请问拓扑图1-1中防火墙1属于第几道防线?参考答案第一道防线解析：根据纵深防御模型的理念，网络安全的四道防线分别对应不同的安全防护措施。第一道防线是安全保护，主要任务是阻止网络入侵。在提供的拓扑图1-1中，防火墙1位于最外层，其职责就是阻止互联网对内网的入侵和危害，因此防火墙1属于第一道防线。4.【问题4】(6分)图1-1中防火墙1和防火墙2都采用Ubuntu系统自带的iptables防火墙，其默认的过滤规则如图1-2所示。(1)请说明上述防火墙采取的是白名单还是黑名单安全策略。(2)图1-2显示的是iptables哪个表的信息，请写出表名。(3)如果要设置iptables防火墙默认不允许任何数据包进入，请写出相应命令。[题目图片]参考答案（1）黑名单（2）Filter（3）iptables-PFORWARDDROP或者iptables-tfilter-PFORWARDDROP（DROP更改为REJECT也符合题意）解析：(1)根据提供的图示和信息，防火墙的默认策略是ACCEPT，这意味着只有当数据包匹配规则中的特定条件时才会被允许通过，未匹配的数据包将被接受。这种策略是黑名单安全策略，因为它默认拒绝未知来源的数据包。(2)在iptables中，图1-2显示的是filter表的信息。filter表是iptables默认的规则表，包含input、forward和output三个规则链，用于数据包过滤。(3)为了设置iptables防火墙默认不允许任何数据包进入，需要修改FORWARD规则链的默认策略为DROP或REJECT。命令为“iptables-PFORWARDDROP”或“iptables-tfilter-PFORWARDDROP”均可实现这一设置。DROP表示直接丢弃数据包，而REJECT会在丢弃数据包的同时发送拒绝报文给发送方。因此，将DROP更改为REJECT也符合题意。5.【问题5】(8分)DMZ区的网站服务器是允许互联网进行访问的，为了实现这个目标，王工需要对防火墙1进行有效配置。同时王工还需要通过防火墙2对网站服务器和数据库服务器进行日常运维。(1)防火墙1应该允许哪些端口通过?(2)请编写防火墙1上实现互联网只能访问网站服务器的iptables过滤规则。(3)请写出王工电脑的子网掩码。(4)为了使王工能通过SSH协议远程运维DMZ区中的服务器，请编写防火墙2的iptables过滤规则。参考答案（1）80和443（2）iptables-tfilter-PFORWARDDROP（DROP更改为REJECT也符合题意）iptables-tfilter-AFORWARD-d40-ptcp--dport80-jACCEPTiptables-tfilter-AFORWARD-d40-ptcp--dport443-jACCEPT（3）（4）iptables-tfilter-AFORWARD-s-d40/24-ptcp--dport22-jACCEPTiptables-tfilter-AFORWARD-s40/24-d-ptcp--sport22-jACCEPT解析：本题主要考察了对防火墙配置和子网掩码的理解。(1)网站服务器提供的是web服务，使用HTTP和HTTPS，对应的默认端口是80和443，所以为了实现互联网访问网站服务器的目标，需要允许端口80和443通过防火墙1。(2)配置防火墙1时，首先需要设置iptables防火墙默认不允许任何数据包进入，即采用白名单策略。然后，为了允许互联网访问网站服务器，需要添加规则允许目标端口80和443的TCP服务通过。(3)王工IP地址位于信息安全部计算机所在网段为/24，子网掩码即为该网段的掩码，因此王工电脑的子网掩码为。(4)为了通过SSH协议远程运维DMZ区中的服务器，需要在防火墙2上设置iptables过滤规则。规则需要允许源地址为网工办公电脑的IP地址、目标地址为DMZ区域所使用的IP地址、协议是TCP协议、目标端口是22的数据流通过，同时还需要允许反向连接的数据流通过。试题二(共20分)阅读下列说明，回答问题1至问题5，将解答填入答题纸的对应栏内。6.【问题1】(2分)请问执行上述命令的用户是普通用户还是超级用户?参考答案普通用户解析：根据题目描述，LinuxUbuntu系统中打开一个终端窗口时，会显示用户登录名、机器名、当前工作目录和提示符号。对于普通用户，提示符号为"$“，而超级用户的提示符号为”#"。题目中给出的命令是在用户名为hujianwei的情况下执行的，这是一个普通用户的用户名，因此执行上述命令的用户是普通用户。7.【问题2】(3分)(1)请给出图2-1中属于普通文件的文件名。(2)请给出图2-1中的目录文件名。(3)请给出图2-1中的符号链接文件名。参考答案（1）crond.pid、abc（2）openvpn（3）shm->/dev/shm解析：第一问，根据文件类型判断，图2-1中权限位第1位为“-”的文件为普通文件，故属于普通文件的文件名为crond.pid和abc。第二问，目录文件在Linux中的权限位第1位为“d”，因此，图2-1中的目录文件名为openvpn。第三问，符号链接文件在Linux中的权限位第1位为“l”，所以图2-1中的符号链接文件名为shm，它链接到/dev/shm，即shm是一个指向/dev/shm的符号链接。8.【问题3】(2分)符号链接作为Linux系统中的一种文件类型，它指向计算机上的另一个文件或文件夹。符号链接类似于Windows中的快捷方式。如果要在当前目录下，创建图2-1中所示的符号链接，请给出相应命令。参考答案ln-s/dev/shmshm解析：在Linux系统中创建符号链接的命令是ln，符号链接类似于Windows中的快捷方式。根据题目描述和提供的图片，需要创建一个指向"/dev/shm"的符号链接，名为"shm"。因此，正确的命令是"ln-s/dev/shmshm"，所以答案为A。9.【问题4】(3分)当源文件(或目录)被移动或者被删除时，指向它的符号链接就会失效。(1)请给出命令，实现列出/home目录下各种类型(如：文件、目录及子目录)的所有失效链接。(2)在(1)基础上，完善命令以实现删除所有失效链接。参考答案（1）find/home-xtypel-print（2）find/home-xtypel-execrm{};Creati解析：第一问，当源文件或目录被移动或删除时，指向它的符号链接会失效。为了列出/home目录下所有失效的符号链接，可以使用find命令。find命令的格式为：findpath-option[-print]。在这个问题中，路径应为/home，选项参数使用-xtypel来指定类型为失效链接文件。-print参数将文件或目录名称列出到标准输出。因此，命令为：find/home-xtypel-print。第二问，基于第一问的答案，要删除所有失效链接，可以在find命令中同时使用exec选项。exec选项后面跟着要执行的命令或脚本。在这里，删除的shell命令是rm。因此，可以在第一问的基础上加上“-execrm{};”来完成删除失效链接的操作。所以命令为：find/home-xtypel-execrm{};。10.【问题5】(10分)Linux系统的权限模型由文件的所有者、文件的组、所有其他用户以及读(r)、写(w)、执行(x)组成。(1)请写出第一个文件的数字权限表示；(2)请写出最后一个文件的数字权限表示；(3)请写出普通用户执行最后一个文件后的有效权限；(4)请给出去掉第一个文件的‘x’权限的命令。(5)执行(4)给出的命令后，请说明root用户能否进入该文件。参考答案（1）755（2）755（3）可读、不可写、可执行（4）chmoda-xopenvpn或者chmod644openvpn（5）执行（4）命令后，第一个文件的所有者root权限为可读、可写、不可执行，不可执行即不能进入该文件。解析：(1)根据题目说明和参考答案，第一个文件的权限是drwxr-xr-x，转换为数字权限表示即为755。其中，rwx对应数字7，r-x对应数字5，所以第一个文件的数字权限表示为755。(2)同理，最后一个文件的权限是-rwxr-xr-x，转换为数字权限也表示即为755。(3)普通用户执行最后一个文件的有效权限对应的是文件的读、执行权限，因为普通用户没有写权限。所以普通用户执行最后一个文件后的有效权限为可读、不可写、可执行。(4)去掉文件的执行（x）权限，可以使用chmod命令进行权限修改。命令格式为：chmoda-x文件名，其中a表示所有用户，-表示去掉权限，x表示执行权限。另外，也可以使用数字权限来设定，即chmod644文件名，其中6表示拥有者读写权限，4表示组用户只读权限，4表示其他用户只读权限。(5)执行(4)给出的命令后，第一个文件的权限由drwxr-xr-x变为drw-r–r–。此时，文件的所有者root的权限为可读、可写、不可执行。对于文件夹而言，执行权限代表能否进入文件夹。因此，即使文件的所有者是root用户，由于文件夹没有执行权限，root用户也无法进入该文件。试题三(共18分)阅读下列说明和图，回答问题1至问题9，将解答填入答题纸的对应栏内。11.【问题1】(2分)Windows系统提供的日志有三种类型，分别是系统日志、应用程序日志和安全日志，请问图3-1的日志最有可能来自哪种类型的日志?参考答案安全日志解析：Windows系统提供的日志有三种类型：系统日志、应用程序日志和安全日志。根据题目中给出的图3-1的事件来源“MicrosoftWindowssecurityauditing”安全审计，可以判断该日志最有可能来自安全日志。安全日志记录的是与安全相关的事件，包括登录、退出、系统资源使用等事件。因此，根据事件来源可以确定是安全日志。12.【问题2】(2分)请选择Windows系统所采用的记录日志信息的文件格式后缀名。备选项：A.logB.txtC.xmlD.evt参考答案D解析：Windows系统日志文件的格式后缀名是evt。在Windows系统中，有三种类型的日志：系统日志、应用程序日志和安全日志。这些日志文件的后缀名都是evt。因此，正确答案是D。13.【问题3】(2分)访问Windows系统中的日志记录有多种方法，请问通过命令行窗口快速访问日志的命令名字(事件查看器)是什么?参考答案eventvwr解析：在Windows系统中，通过命令行窗口快速访问日志记录的方法之一是使用命令“eventvwr”，该命令会打开事件查看器。此外，用户还可以在开始菜单的运行中输入“eventvwr.msc”来访问事件查看器。因此，答案是“eventvwr”。14.【问题4】(2分)Windows系统通过事件ID来记录不同的系统行为，图3-1的事件ID为4625，请结合任务类别，判断导致上述日志的最有可能的情况。备选项：A.本地成功登录B.网络失败登录C.网络成功登录D.本地失败登录参考答案B解析：根据任务类别为logon，表示这是关于登录事件的日志。事件ID4625通常表示登录失败。由于题干中提到了通过查看NTA全流量分析设备找到的可疑流量，以及事件发生在远程桌面端口3389，这很可能是网络上的暴力密码攻击尝试。因此，最有可能的情况是网络失败登录，选项B是正确答案。15.【问题5】(2分)王工通过对攻击流量的关联分析定位到了图3-2所示的网络分组，请指出上述攻击针对的是哪一个端口。参考答案3389解析：根据图3-2所示的网络分组，王工发现IP地址9的主机与IP地址00的主机之间的通信。其中，由9向00发起了针对目标端口为3389的TCP链接。这个端口3389对应的是远程桌面RDP服务。结合图3-1中的登录失败事件频率较高的信息，可以判断这是一种暴力密码攻击。因此，上述攻击针对的是3389端口。16.【问题6】(2分)如果要在Wireshark当中过滤出上述流量分组，请写出在显示过滤框中应输入的过滤表达式。参考答案ip.addr==9andip.addr==00解析：根据题目描述和提供的参考解析，流量分组主要涉及两个IP地址之间的通信，即IP地址9和IP地址00。为了在Wireshark中过滤出这两个IP地址之间的通信流量，需要在显示过滤框中输入过滤表达式，即ip.addr==9andip.addr==00。这样，Wireshark将仅显示这两个IP地址之间的通信流量。17.【问题7】(2分)Windows系统为了实现安全的远程登录使用了tls协议，请问图3-2中，服务器的数字证书是在哪一个数据包中传递的?通信双方是从哪一个数据包开始传递加密数据的?请给出对应数据包的序号。参考答案服务器数字证书在序号12162为的数据包中传递；通信双方是从序号为12168的数据包开始传递加密数据。解析：根据SSL/TLS的四次握手过程，服务器在回应序号12162的数据包ServerHello时，会包含数字证书。因此，服务器数字证书是在序号12162的数据包中传递的。在完成四次握手后，通信双方开始传递加密数据，因此加密数据的传递从序号为12168的数据包开始。18.【问题8】(2分)网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。请问上述攻击属于哪一种网络安全事件?参考答案网络攻击事件解析：根据题干描述，攻击是通过网络技术对信息系统造成的安全事件，具有利用系统漏洞和协议对信息系统实施攻击的特点。根据网络安全事件的分类，这种攻击属于网络攻击事件。其他选项如有害程序事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件等，与题干描述不符。因此，正确答案是“网络攻击事件”。19.【问题9】(2分)此类攻击针对的是三大安全目标即保密性、完整性、可用性中的哪一个?参考答案保密性解析：根据题目描述，此类攻击针对的是保密性。攻击者利用3389端口进行暴力密码攻击，试图获取系统的登录权限，这种行为直接威胁到系统的保密性。因此，答案是A，即保密性。试题四(共17分)阅读下列说明，回答问题1至问题5，将解答填入答题纸的对应栏内。20.【问题1】(6分)2022年7月21日，国家互联网信息办公室公布的对滴滴全球股份有限公司依法做出网络安全审查相关行政处罚的决定，开出了80.26亿的罚单，请分析一下，滴滴全球股份有限公司违反了哪些网络安全法律法规?参考答案《网络安全法》、《数据安全法》、《个人信息保护法》解析：根据提供的说明和参考答案，滴滴全球股份有限公司违反了《网络安全法》、《数据安全法》和《个人信息保护法》。这些法律法规在网络安全和数据保护方面规定了企业和个人的责任和义务。滴滴的违法违规行为包括在网络和数据安全方面的违规行为，以及个人信息的非法处理和泄露等。因此，国家互联网信息办公室依法对滴滴全球股份有限公司进行了行政处罚。21.【问题2】(2分)根据《中华人民共和国数据安全法》，数据分类分级已经成为企业数据安全治理的必选题。一般企业按数据敏感程度划分，数据可以分为一级公开数据、二级内部数据、三级秘密数据、四级机密数据。请问，一般员工个人信息属于几级数据?参考答案三级解析：根据题目描述，企业按数据敏感程度将数据分为一级公开数据、二级内部数据、三级秘密数据和四级机密数据。员工个人信息属于比较敏感的数据，通常会被归类为三级秘密数据。因此，一般员工个人信