软件水平考试(中级)信息安全工程师下午(应用技术)试题模拟试卷5
试题一
阅读下列说明和图,回答问题1至问题5。
【说明】
在某政府单位信息中心工作的李工主要负责网站的设计、开发工作。为了确保部门新业务的顺利上线,李工邀请信息安全部的王工按照等级保护2.0的要求对其开展安全测评。李工提供网站所在的网络拓扑图如图1-1所示。图中,网站服务器的IP地址是192.168.70.140,数据库服务器的IP地址是192.168.70.141。
1.按照等级保护2.0的要求,政府网站的定级不应低于几级?该等级的测评每几年开展一次?
二级,两年一次
解析:按照等级保护2.0要求,网站的等级保护备案分为五级,对于政府网站一般最低为二级,建议是两年考核一次。
2. 按照网络安全测评的实施方式,测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。王工调阅了部分网站后台处理代码,发现网站某页面的数据库查询代码存在安全漏洞,代码如下:
(1)SQL注入漏洞
(2)C
(3)MySQL
(4)C
解析:该问题给出了一段PHP代码,从中很容易能够找出数据库的查询操作(第7,8行),而且查询语句中的变量$id来自于用户输入(或者说受用户控制),这显然是一个典型的SQL注入漏洞。对于该漏洞的有效利用,首先需要有正确的引号闭合,or后面的条件必须为真,而且最后有#号作为注释符。从代码中的数据库查询语句可知数据库为MySOL。对于口令通常都不会明文保存在数据库中,常规做法是保存口令的哈希值,实现不可逆,只能穷举爆破。但是在安全实践中,为了进一步加强撞库攻击的难度,还会在计算哈希值时添加一个称为盐的字符串,从而实现相同口令因为盐的不同而有不同的哈希值,以在数据库被偷的情况下依然保证口令的安全性。
3.按照等级保护2.0的要求,系统当中没有必要开放的服务应当尽量关闭。王工在命令行窗口运行了一条命令,端口开放情况一目了然。请给出王工所运行命令的名字。
netstat
解析:不管是Windows系统还是Linux类系统,netstat命令都可以查看系统的端口开放情况,以及端口对应的进程名字,只不过在Windows系统下需要管理员权限。
4.防火墙是网络安全区域边界保护的重要技术,防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型?
基于屏蔽子网的防火墙
解析:根据图中的两个路由器,以及位于路由器中间的非军事区的布局,可知上述防火墙的体系结构属于屏蔽子网类型的防火墙。
5.根据李工提供的网络拓扑图,王工建议部署开源的Snort入侵检测系统以提高整体的安全检测和态势感知能力。
(1)针对王工建议,李工查阅了入侵检测系统的基本组成和技术原理等资料。请问以下有关Snort入侵检测系统的描述哪几项是正确的?A.基于异常的检测系统 B.基于误用的检测系统 C.基于网络的入侵检测系统 D.基于主机的入侵检测系统
(2)为了部署Snort入侵检测系统,李工应该把入侵检测系统连接到图1-1网络拓扑中的哪台交换机?
(3)李工还需要把网络流量导入入侵检测系统才能识别流量中的潜在攻击。图1-1中使用的均为华为交换机,李工要将交换机网口GigabitEthernet1/0/2的流量镜像到部署Snort的网口GigabitEthernet1/0/1上,他应该选择下列选项中哪一个配置? A. observe-port 1 interface GigabitEthernet1/0/2 interface GigabitEthernet1/0/1 port—mirroring to observe-port 1 inbound/outbound/both B. observe-port 2 interface GigabitEthernet1/0/2 interface GigabitEthernet1/0/1 port—mirroring to observe-port 1 inbound/outbound/both C.port—mirroring to observe—port 1 inbound/outbound/both observe-port 1 interface GigabitEthernet1/0/2 interface GigabitEthernet1/0/1 D. observe—port 1 interface GigabitEthernet1/0/1 interface GigabitEthernet1/0/2 port—mirroring to observe—port 1 inbound/outbound/both
(4)Snort入侵检测系统部署不久,就发现了一起网络攻击。李工打开攻击分组查看,发现很多字符看起来不像是正常字母,如图1-2所示,请问该用哪种编码方式去解码该网络分组内容?
(1)B、C
(2)交换机2
(3)D
(4)URL编码
(5)(a)alert
(b)union
解析:入侵检测系统从采用的技术来分类可以分为基于异常的检测系统和基于误用的检测系统,后者是基于已有攻击的签名规则来进行检测的,Snort就属于这一类。
如果从入侵检测数据的来源分类可以分为基于网络的入侵检测系统和基于主机的入侵检测系统,snort的检测来源是网络分组,因此属于基于网络的IDS。
由于网络拓扑中的DMZ区是对外开放的,任何人都可以访问,因此也最容易遭受攻击,因此应该将IDS布置在交换机2。
根据华为交换机的配置,顺序如下:
observe—port 1 interface GigabitEthernet1/0/1
interface GigabitEthernet1/0/2
port—mirroring to observe—port 1 inbound/outbound/both
HTTP协议的默认编码是URL编码。
根据Snort的规则语法,第一项是告警(alert),后续对应的数据包中的特征字符,最佳的就是反应攻击特征的字符串,因此取SQL查询关键词union。
试题二
阅读下列说明,回答问题1至问题5。
【说明】
通常由于机房电磁环境复杂,运维人员很少在现场进行运维工作,在出现安全事件需要紧急处理时,需要运维人员随时随地远程开展处置工作。
SSH(安全外壳协议)是一种加密的网络传输协议,提供安全方式访问远程计算机。李工作为公司的安全运维工程师,也经常使用SSH远程登录到公司的Ubuntu18.04服务器中进行安全维护。
6.SSH协议默认工作的端口号是多少?
22
解析:SSH服务的默认端口号是22。
7.网络设备之间的远程运维可以采用两种安全通信方式:一种是SSH,还有一种是什么?
VPN
解析:远程安全运维
本文档预览:3600字符,共12585字符,源文件无水印,下载后包含无答案版和有答案版,查看完整word版点下载
