2026年上半年信息安全工程师考试应用技术真题

2026年上半年信息安全工程师考试应用技术真题试题一：网络安全架构与防火墙配置【场景描述】某大型跨国企业“未来视界科技”为了适应全球化业务需求，正在对其总部及分支机构的网络架构进行安全升级。该企业网络拓扑结构设计如下：1.总部网络：包含核心交换机、数据中心区、办公区、DMZ区（非军事化区）以及远程接入区。2.数据中心区：存放核心数据库服务器、财务系统服务器及文件服务器，仅允许授权的内部管理和特定应用访问。3.DMZ区：部署对外提供服务的Web服务器、邮件网关及VPN网关。4.分支机构：通过IPSecVPN隧道与总部连接。5.互联网接入：总部边界部署了两台高性能下一代防火墙（NGFW）采用HA（高可用）模式部署，分别连接ISP1和ISP2。网络安全管理员小李负责制定防火墙的安全策略及VPN配置方案。为了确保业务连续性与数据机密性，需要配置严格的访问控制列表（ACL）和加密隧道。在配置过程中，小李定义了以下安全需求：默认拒绝所有流量。允许内部办公网段（/16）访问互联网（HTTP/HTTPS/DNS）。允许互联网用户访问DMZ区的Web服务器（公网IP：0）的HTTP（80）和HTTPS（443）端口。仅允许分支机构网段（/24）通过VPN隧道访问总部数据中心区的数据库服务器（0）的TCP3306端口。管理员需从特定管理主机（）通过SSH（TCP22）管理所有网络设备。【问题】1.在NGFW上配置安全策略时，策略的匹配顺序通常遵循什么原则？如果小李创建了两条策略：策略A允许/16访问任何服务，策略B拒绝00访问特定网站。假设策略A排在策略B前面，00的流量能否被策略B拦截？请说明原因。（5分）2.请根据场景描述，补全防火墙针对DMZ区Web服务器的NAT配置规则（假设Web服务器私网IP为0，公网IP为0）。（5分）源地址：Any目的地址：[填空1]转换类型：DestinationNAT转换后地址：[填空2]3.在IPSecVPN配置中，IKE（InternetKeyExchange）协议负责建立安全关联（SA）。IKE分两个阶段，请简述IKE第一阶段和第二阶段的主要作用。（4分）4.分支机构与总部建立IPSecVPN连接时，通常需要配置感兴趣流。请写出本场景中分支机构侧的感兴趣流配置内容（源地址、目的地址、协议）。（6分）5.为了进一步提升VPN传输的安全性，小李决定启用完美前向保密（PFS）。请解释PFS的技术原理及其在密钥泄露后的安全作用。（5分）试题二：Web应用安全与代码审计【场景描述】某电商平台“易购网”近期对其核心交易系统进行了版本迭代。在上线前的安全代码审计中，安全团队发现开发人员在编写用户订单查询功能和商品评论功能时，存在多处安全隐患。以下是用户订单查询模块的后端伪代码（使用PHP语言编写）：```php<?phpus$conn=mysqli_connect("localhost","user","pass","eshop");//获取用户输入的订单IDorqurewhile(roecho"OrderID:".$row['order_id']."";echo"Product:".$row['product_name']."";echo"Amount:".$row['amount']."";}?>```此外，在商品评论页面，系统直接将用户提交的评论内容存储并在未经过滤的情况下显示在页面上。【问题】1.请分析上述订单查询代码中存在的安全漏洞名称，并说明攻击者如何利用该漏洞获取其他用户的订单信息。（5分）2.请给出修复该漏洞的具体代码方案（可以使用预处理语句或参数化查询）。（5分）3.针对商品评论功能存在的跨站脚本攻击（XSS）隐患，请区分反射型XSS、存储型XSS和DOM型XSS的区别。本场景属于哪种类型？（6分）4.除了SQL注入和XSS，Web应用还常面临CSRF（跨站请求伪造）攻击。请简述CSRF攻击的原理，并列举两种有效的防御措施。（4分）5.为了保障Web应用的通信安全，该系统部署了HTTPS。在SSL/TLS握手过程中，服务器需要发送证书给客户端。请简述证书验证过程中客户端主要验证哪些内容以确保服务器的合法性？（5分）试题三：密码学与PKI应用【场景描述】某金融机构“信安银行”建立了完善的PKI（公钥基础设施）系统以保障网上银行系统的安全。该系统包含CA（证书颁发机构）、RA（注册机构）以及密钥管理中心等组件。企业客户A需要向企业客户B发送一份经过数字签名和加密的电子合同。双方使用的加密算法为RSA，哈希算法为SHA-256。假设客户A的RSA公钥为(,)，私钥为；客户B的RSA公钥为(,)待发送的电子合同明文为M。在签名过程中，客户A首先计算合同摘要h=H(在加密过程中，客户A利用客户B的公钥对明文M和签名值S进行加密。此外，该银行内部系统采用混合密码体制进行大规模数据传输。系统使用AES-256算法进行数据加密，使用RSA算法加密AES的会话密钥。【问题】1.请写出客户A生成数字签名S的计算公式，以及客户B验证签名时的计算公式。（使用给定的符号表示）（4分）2.在公钥密码体制中，计算模幂运算非常耗时。如果RSA模数n的长度为2048位，请简述为什么通常不直接使用RSA加密长文件，而需要结合对称加密算法（如AES）使用？（5分）3.在混合加密体制中，假设AES会话密钥为。请写出发送方加密的密文的计算公式，以及接收方解密的计算过程。（4分）4.PKI系统中，X.509v3数字证书包含版本号、序列号、签名算法标识符、颁发者、有效期、主体、主体公钥信息等字段。请解释CRL（证书撤销列表）和OCSP（在线证书状态协议）在证书撤销检查中的区别与联系。（6分）5.设p=61，q=53，计算RSA模数n和欧拉函数ϕ(n)试题四：安全审计与应急响应【场景描述】某互联网公司的核心业务服务器（操作系统为CentOS7）遭遇了异常攻击。安全运维团队接到了监控系统发出的告警，显示服务器的CPU利用率持续维持在100%，且对外发起大量异常的TCP连接。运维人员立即登录服务器进行排查，收集了以下日志和系统状态信息：1.系统进程信息：发现名为`./kpsd`的异常进程，PID为13579，该进程运行在`/tmp`目录下，且父进程PID为1（init进程）。2.网络连接：使用`netstat-antp`命令发现PID13579正在向大量随机IP地址的443端口发送数据包。3.开机启动项：在`/etc/rc.d/rc.local`文件中发现了`nohup/tmp/kpsd&`的配置。4.用户信息：在`/etc/passwd`文件末尾发现了一个新添加的用户`hack:x:1001:1001::/home/hack:/bin/bash`。【问题】1.根据上述现象，判断该服务器遭受了哪种类型的攻击（如僵尸网络、勒索软件、挖矿病毒等）？并说明判断依据。（5分）2.针对发现的异常进程`./kpsd`，请给出Linux系统下至少两种查看该进程打开的文件或网络连接的命令。（4分）3.应急响应中，遏制阶段的主要目标是防止攻击扩散。针对本场景，请列出至少4项立即采取的遏制措施。（6分）4.在取证分析阶段，为了确保电子数据的法律效力，对内存镜像、磁盘镜像等证据的获取和处理必须遵循特定的原则。请简述“证据完整性保护”的重要性及其常用技术手段（如哈希校验）。（5分）5.为了防止此类攻击再次发生，安全团队计划加固系统。请从账号安全、文件系统权限、日志审计三个方面，分别给出一条具体的加固建议。（5分）参考答案与解析试题一：网络安全架构与防火墙配置1.【答案】匹配原则：防火墙策略匹配通常遵循“自上而下”的顺序，即按照策略列表的排列顺序进行匹配，一旦找到匹配的策略就执行相应的动作（允许或拒绝），并停止后续策略的匹配。能否被拦截：不能。原因：因为策略A排在策略B前面，且策略A允许/16网段（包含00）访问任何服务。当来自00的流量到达防火墙时，首先匹配到策略A，防火墙执行允许动作并终止匹配过程，流量因此被放行，不会到达策略B进行判断。2.【答案】[填空1]：0（或Any，视具体防火墙实现，通常配置为对外发布的公网IP）[填空2]：0解析：这是典型的目的NAT（DNAT）或静态映射（StaticMap），将访问公网IP的流量转发至内部服务器。3.【答案】IKE第一阶段：主要用于建立ISAKMPSA（安全关联），对通信双方进行身份认证，并协商出用于保护IKE第二阶段消息的加密算法、完整性算法和密钥材料。它建立一个安全的通信通道。IKE第二阶段：在第一阶段建立的ISAKMPSA保护下，用于快速协商IPSecSA，具体确定用于保护用户数据（IP载荷）的加密参数、密钥和生命周期。4.【答案】源地址：/24（分支机构内网网段）目的地址：0（总部数据库服务器私网IP）协议：TCP（或具体服务端口）解析：感兴趣流定义了需要通过IPSecVPN加密传输的流量范围。5.【答案】PFS原理：完美前向保密通过在每次IKE第二阶段协商或密钥重协商时，生成一次性的临时Diffie-Hellman密钥对，不使用长期密钥直接推导会话密钥。安全作用：即使攻击者破解了主密钥或长期私钥，也无法解密之前截获的VPN通信流量，因为过去的会话密钥是通过未保存的临时DH参数计算得出的，无法通过长期私钥反推。试题二：Web应用安全与代码审计1.【答案】漏洞名称：SQL注入漏洞。利用方式：代码直接将用户输入的`$order_id`拼接到SQL查询语句中，未进行任何过滤或参数化处理。攻击者可以构造恶意的输入，例如`1OR1=1`，或者利用联合查询`UNIONSELECT...`。当攻击者输入`1UNIONSELECTusername,password,1FROMusers`时，可以绕过`user_id`的限制（假设`user_id`未被严格验证或通过注入修改逻辑），从而查询出`orders`表之外的其他数据，或者通过修改逻辑（如`1OR1=1`）获取所有订单信息。2.【答案】修复方案（使用预处理语句）：```php<?phpusor$conn=mysqli_connect("localhost","user","pass","eshop");//使用预处理语句st//绑定参数，"ii"表示两个参数均为整数类型st$stmt->execute();rewhile(roecho"OrderID:".htmlspecialchars($row['order_id'])."";echo"Product:".htmlspecialchars($row['product_name'])."";echo"Amount:".htmlspecialchars($row['amount'])."";}$stmt->close();$conn->close();?>```解析：通过预处理语句将数据与代码分离，数据库引擎会将输入视为数据而非可执行代码，从而有效防止SQL注入。3.【答案】区别：反射型XSS：恶意脚本作为请求的一部分发送给服务器，服务器将脚本“反射”回客户端浏览器执行，脚本不存储在服务器上。常见于搜索、错误页面。存储型XSS：恶意脚本被永久存储在服务器数据库中，当其他用户访问包含该恶意内容的页面时触发。危害最大，常见于评论区、留言板。DOM型XSS：恶意脚本修改页面的DOM结构，攻击完全在客户端完成，Payload不需要经过服务器。取决于客户端JavaScript代码的解析逻辑。本场景类型：存储型XSS。因为评论内容被“存储”在数据库中，并在其他用户浏览时显示。4.【答案】CSRF原理：攻击者诱导已登录目标网站的受害者访问一个恶意链接（或加载恶意图片、脚本），由于受害者在浏览器中保留了目标网站的登录状态，浏览器会自动携带Cookie向目标网站发送请求，从而在受害者不知情的情况下以受害者身份执行非预期的操作（如转账、修改密码）。防御措施：1.使用CSRFToken（同步令牌）：在表单中嵌入服务器生成的随机令牌，服务器验证请求中的令牌是否正确。2.验证HTTPReferer字段：检查请求来源是否合法。3.设置SameSiteCookie属性：将Cookie设置为Strict或Lax，禁止第三方网站携带Cookie发送请求。4.自定义Header属性：在XMLHttpRequest或Fetch请求中添加自定义Header进行验证。5.【答案】客户端在验证服务器证书时，主要验证以下内容：1.信任链：检查服务器证书的颁发者是否在客户端受信任的根证书列表中，能够构建一条完整的信任链。2.有效期：检查当前系统时间是否在证书的`NotBefore`和`NotAfter`之间。3.域名匹配：检查证书的`CommonName`(CN)或`SubjectAlternativeName`(SAN)是否与用户正在访问的域名一致。4.证书状态：检查证书是否已被吊销（通过CRL或OCSP）。5.数字签名：验证证书上的签名是否由对应的颁发机构私钥签发，确保证书内容未被篡改。试题三：密码学与PKI应用1.【答案】签名公式：S验证公式：计算=(mod)2.【答案】原因：1.效率问题：RSA算法涉及大数模幂运算，计算复杂度高，处理速度远慢于对称加密算法（如AES）。直接加密长文件会导致极大的延迟和CPU资源消耗。2.明文长度限制：RSA加密的明文长度受限于模数n的长度（例如2048位RSA只能加密极短的数据，通常不超过245字节）。长文件必须分块加密，这会进一步降低效率并增加膨胀率。因此，实际应用中采用混合加密体制：使用RSA加密随机生成的对称密钥（会话密钥），使用对称密钥加密实际的长文件数据。3.【答案】加密会话密钥公式：=解密会话密钥过程：接收方（客户B）使用自己的私钥计算：=(4.【答案】区别与联系：CRL（证书撤销列表）：CA定期发布的包含所有已吊销证书序列号的列表。客户端下载CRL并在本地查询。缺点是下载和解析大文件可能延迟，撤销状态更新有延迟。OCSP（在线证书状态协议）：一种实时查询协议。客户端直接向OCSP服务器发送查询请求，服务器实时返回证书的状态（Good/Revoked/Unknown）。联系：两者都是用于检查证书有效性的机制，解决证书在有效期内提前失效的问题。OCSP通常被视为CRL的补充或替代方案，提供更实时的响应。5.【答案】计算步骤：1.计算模数n：n2.计算欧拉函数ϕ(ϕ3.计算私钥d：已知e=17，根据欧几里得扩展算法求d，使得计算3120÷3120179反向代入：1111即−367将−367d(验证：17×2753=46801，结果：n=3233，ϕ(试题四：安全审计与应急响应1.【答案】攻击类型：僵尸网络/僵尸主机。判断依据：1.异常网络行为：服务器向大量随机IP发起连接，典型的DDoS攻击（如DDoS僵尸网络参与攻击）或扫描行为。2.进程异常：进程名为`kpsd`伪装成系统守护进程（通常以d结尾），运行在`/tmp`目录（恶意软件常见藏身处），父进程为1（说明它是一个独立运行的守护进程，可能通过开机自启启动）。3.持久化机制：在`/etc/rc.d/rc.local`中添加启动项，确保重启后自动运行。4.账号异常：添加了未知用户`hack`，说明攻击者已获得root权限并建立了后门账号。2.【答案】命令1：`lsof-p13579`（查看指定PID打开的文件和网络连接）命令2：`ls-l/proc/13579/fd`（通过/proc文件系统查看文件描述符）命令3：`netstat-antp|grep13579`（查看该进程的网