1、2018上半年信息安全工程師考試案例分析真題（總分：75.00 ,做題時間：150分鐘）一、案例分析（總題數：5,分數：75.00）閱讀下列說明，回答問題1至問題4,將解答填入答題紙的對應欄內。【說明】惡意代碼是指為達到惡意目的專門設計的程序或者代碼。常見的惡意代碼類型有特洛伊木馬、蠕蟲、病毒、后門、Rootkit、僵尸程序、廣告軟件。2017年5月，勒索軟件 WanaCry席卷全球，國內大量高校及企事業單位的計算機被攻擊，文件及數據被加密后無法使用，系統或服務無法正常運行，損失巨大。（分數：15）.按照惡意代碼的分類，此次爆發的惡意軟件屬于哪種類型 ？（分數：2）正確答案：（屬于蠕蟲類型。）

2、解析：.此次勒索軟件針對的攻擊目標是Windows還是Linux類系統？（分數：2）正確答案：（攻擊目標是 Windows系統。）解析：.惡意代碼具有的共同特征是什么？（分數：6）正確答案：（惡意代碼具有如下共同特征:（1）惡意的目的；（2）本身是計算機程序；（3）通過執行發生作用。）解析：.由于此次勒索軟件需要利用系統的SMEW務漏洞(端口號445)進行彳釗番，我們可以配置防火墻過濾規則來阻止勒索軟件的攻擊，請填寫表1-1中的空(1) - (5),使該過濾規則完整。注：假設本機IP地址為:1.2.3.4, *”表示通配符。(分數：5)正確答案：(*1024445TCP0)解析：閱讀下列說明和

3、圖，回答問題5至問題7,將解答填入答題紙的對應欄內。【說明】密碼學的基本目標是在有攻擊者存在的環境下，保證通信雙方(A和B)之間能夠使用不安全的通信信道實現安全通信。密碼技術能夠實現信息的保密性、完整性、可用性和不可否認性等安全目標。一種實用的保密通信模型往往涉及對稱加密、公鑰密碼、Hash函數、數字簽名等多種密碼技術。在以下描述中,M表不消息，H表小Hash函數,E表不加密算法,D表不解密算法,K表不密鑰，SKA表小A的私 鑰,PKA表示A的公鑰,SKB表示B的私鑰,PKB表示B的公鑰,|表示連接操作。(分數：15).用戶AB雙方采用的保密通信的基本過程如圖2-1所示。請問圖2-1所設計的保

4、密通信模型能實現信息的哪些安全日標？圖2-1中的用戶A側的H和E能否互換計算順序？如果不能互換請說明原因：如果能互換請說明對安全目標的影響。(分數：6)正確答案：(實現完整性的驗證。通過對明文 M生成摘要信息，然后加密摘要信息附到明文后發送給對方，對方收到后 運用同樣的hash函數生成摘要信息，與解密得到的摘要信息對比，可以實現完整性的驗證。不可以互換。因為只調整 A用戶的處理方式，B用戶的處理方式不變，B接收到的信息解密不了，所以完不 成對比工作。)解析:.圖2-2給出了另一種保密通信的基本過程:請問圖2-2設計的保密通信模型能實現信息安全的哪些特性？(分數：4)正確答案：（能實現保密性和完

5、整性。與保密通信模型一不同的是，通信模型二對明文和消息摘要進行加密，傳送給對方的是密文，對方收到密 文后首先解密，得到明文和摘要信息，然后再用明文生成摘要信息，與解密出來的摘要信息進行比較，驗 證完整性。所以即保證了機密性，也提供了完整性驗證。）解析：.為了在傳輸過程中能夠保障信息的保密性、完整性和不可否認性，設計了一個安全通信模型結構如圖2-3所示：請問圖2-3中（1） , （2）分別應該填什么內容？（分數：5）正確答案：（BM|E skaH（M）PKA）解析：閱讀下列說明，答問題8至問題10,將解答填入答題紙的對應欄內。【說明】在Linux系統中，用戶賬號是用戶的身份標志，它由用戶名和用戶

6、口令組成。（分數：15）（1）.Linux 系統將用戶名和口令分別保存在哪些文件中？（分數：4）正確答案：（用戶名是存放在/etc/passwd 文件； 口令存放在/etc/shadow 文件。）解析：.Linux系統的用戶名文件通常包含如下形式的內容：root:x:0:0:root:root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologinhujw:x:500:500:hujianwei:/home/hujw:/bin/bash文件中的一行記錄對應著一個用戶，每行記錄用冒號（:）分隔為7個字段，請問第1個冒號（第二列）和第二個冒號（第三列）的含義是什么？上述

7、用戶名文件中，第三列的數字分別代表什么含義？（分數：7）正確答案：（第一個冒號(第二列)代表用戶口令；第二個冒號(第三列)代表用戶標識號。第三列數字是用戶標識號，用來識別用戶身份，root用戶id為0,表示它為超級用戶；bin用戶id為1,表示它為管理用戶；hujw用戶id為500,表示它為普通用戶。)解析：(3).Linux 系統中用戶名文件和口令字文件的默認訪問權限分別是什么？(分數：4)正確答案：()解析: 閱讀下列說明和C語言彳碼，回答問題11至問題14,將解答寫在答題紙的對應欄內。【說明】在客戶服務器通信模型中，客戶端需要每隔一定時間向服務器發送數據包 ，以確定服務器是否掉線，服務器

8、 也能以此判斷客戶端是否存活，這種每隔固定時間發一次的數據包也稱為心跳包。 心跳包的內容沒有什么特 別的規定，一般都是很小的包。某系統采用的請求和應答兩種類型的心跳包格式如圖4-1所示。心跳包類型占1個字節，主要是請求和響應兩種類型；心跳包數據長度字段占2個字節，表示后續數據或者負載的長度。接收端收到該心跳包后的處理函數是 process_heartbeat(),其中參數p指向心跳包的報文數據，s是對應客戶端的socket網絡通信套接字。(分數：15). (1)心跳包數據長度字段的最大取值是多少？4)(2)心跳包中的數據長度字段給出的長度值是否必須和后續的數據字段的實際長度一致？(分數:正確答

9、案：(最大取值為65535。(unsigned int型數據范圍是065535)心跳包中的給出數據長度字段與實際數據長度必須保持一致。)解析：. (1)上述接收代碼存在什么樣的安全漏洞？(2)該漏洞的危害是什么？(分數：5)正確答案：（1） HeartBleed 漏洞。（2）由于沒有對實際數據載荷長度進行檢測，導致攻擊者可讀出內存中其它重要數據內容。）解析：.模糊測試（Fuzzing）是一種非常重要的信息系統安全測評方法，它是一種基于缺陷注入的自動化測試技術。請問模糊測試屬于黑盒測試還是白盒測試？其測試結果是否存在誤報 ？（分數：2）正確答案：（模糊測試屬于黑盆測試。不存在誤報問題。）解析：.

10、模糊測試技術能否測試出上述代碼存在的安全漏洞？為什么？（分數：4）正確答案：（可以測試出上述代碼存在的安全漏洞。通過測試發送的請求數據包的大小、內容，和響應數據包的大小、內容，進行比較分析，可以發現上述代碼存在的漏洞。）解析：閱讀下列說明和圖，回答問題15至問題19,將解答寫在答題紙的對應欄內。【說明】入侵檢測系統（IDS）和入侵防護系統（IPS）是兩種重要的網絡安全防御手段 ，IDS注重的是網絡安全狀況的監 管,IPS則注重對入侵行為的控制。（分數：15）.網絡安全防護可以分為主動防護和被動防護，請問IDS和IPS分別屬于哪種防護？（分數：2）正確答案：（多數IDS屬于被動防護，IPS屬干主

11、動防護。）解析：.入侵檢測是動態安全模型（P2DR）的重要組成部分。請列舉P2D磁型的4個主要組成部分。（分數：4）正確答案：（P2D礎型包括四個部分：Policy（安全策略）、Protection（防護）、Detection（檢測）和Response（響應）解析：.假如某入侵檢測系統記錄了如圖5-1所示的網絡數據包：圖5-1 IDS記錄的網絡數據包請問圖中的數據包屬于哪種網絡攻擊？亥攻擊的具體名字是什么 ？（分數：2）正確答案：（拒絕服務攻擊。具體名稱為 SYN flood o）解析：.入侵檢測系統常用的兩種檢測技術是異常檢測和誤用檢測，請問針對圖中所描述的網絡攻擊應該采用哪種檢測技術？請簡要說明原因。（分數：4）正確答案：（應該采用異常檢測技術。異常檢測的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”， 將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認為該活動可能是“入侵”行為。 誤用檢測是指通過攻擊行為的特征庫，采用特征匹配的方法確定攻擊事件。誤用檢測的優點是