一、[材料型]问答题
试题一(共20分)
阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
已知某公司网络环境结构主要由三个部分组成,分别是DMZ区、内网办公区和生产区,其拓扑结构如图1-1所示。信息安全部的王工正在按照等级保护2.0的要求对部分业务系统开展安全配置。图1-1当中,网站服务器的IP地址是192.168.70.140,数据库服务器的IP地址是192.168.70.141,信息安全部计算机所在网段为192.168.11.1/24,王工所使用的办公电脑IP地址为192.168.11.2。
1、【问题1】(2分)
为了防止生产网受到外部的网络安全威胁,安全策略要求生产网和其他网之间部署安全隔离装置,隔离强度达到接近物理隔离。请问图中X最有可能代表的安全设备是什么?
参考答案:网闸
解析:
根据题目描述,为了防止生产网受到外部的网络安全威胁,需要部署安全隔离装置,且隔离强度要达到接近物理隔离。在这种情况下,最有可能代表的安全设备是网闸。安全隔离网闸是一种网络安全设备,它通过带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换,从而实现生产网和其他网之间的安全隔离。因此,图中X最有可能代表的安全设备是网闸。
2、【问题2】(2分)
防火墙是网络安全区域边界保护的重要技术,防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型?
参考答案:基于屏蔽子网的防火墙
解析:
:根据题目描述和图1-1拓扑图,可以看到存在防火墙1、DMZ网络和防火墙2等部分,这种布局属于屏蔽子网的防火墙结构。屏蔽子网防火墙是一种较为安全的网络架构,通过独立的子网来隔离不同的网络区域,增强网络安全性和数据保护。因此,根据题目中的网络结构和常见的防火墙体系结构,可以判断图1-1拓扑图中的防火墙布局属于基于屏蔽子网的防火墙。
3、【问题3】(2分)
通常网络安全需要建立四道防线,第一道是保护,阻止网络入侵;第二道是监测,及时发现入侵和破坏;第三道是响应,攻击发生时确保网络打不垮;第四道是恢复,使网络在遭受攻击时能以最快速度起死回生。请问拓扑图1-1中防火墙1属于第几道防线?
参考答案:第一道防线
解析:
根据纵深防御模型的理念,网络安全的四道防线分别对应不同的安全防护措施。第一道防线是安全保护,主要任务是阻止网络入侵。在提供的拓扑图1-1中,防火墙1位于最外层,其职责就是阻止互联网对内网的入侵和危害,因此防火墙1属于第一道防线。
4、【问题4】(6分)
图1-1中防火墙1和防火墙2都采用Ubuntu系统自带的iptables防火墙,其默认的过滤规则如图1-2所示。
(1)请说明上述防火墙采取的是白名单还是黑名单安全策略。
(2)图1-2显示的是iptables哪个表的信息,请写出表名。
(3)如果要设置iptables防火墙默认不允许任何数据包进入,请写出相应命令。
参考答案:
(1)黑名单
(2)Filter
(3)iptables -P FORWARD DROP或者iptables -t filter -P FORWARD DROP
(DROP更改为REJECT也符合题意)
解析:
(1)根据提供的图示和信息,防火墙的默认策略是ACCEPT,这意味着只有当数据包匹配规则中的特定条件时才会被允许通过,未匹配的数据包将被接受。这种策略是黑名单安全策略,因为它默认拒绝未知来源的数据包。
(2)在iptables中,图1-2显示的是filter表的信息。filter表是iptables默认的规则表,包含input、forward和output三个规则链,用于数据包过滤。
(3)为了设置iptables防火墙默认不允许任何数据包进入,需要修改FORWARD规则链的默认策略为DROP或REJECT。命令为“iptables -P FORWARD DROP”或“iptables -t filter -P FORWARD DROP”均可实现这一设置。DROP表示直接丢弃数据包,而REJECT会在丢弃数据包的同时发送拒绝报文给发送方。因此,将DROP更改为REJECT也符合题意。
5、【问题5】(8分)
DMZ区的网站服务器是允许互联网进行访问的,为了实现这个目标,王工需要对防火墙1进行有效配置。同时王工还需要通过防火墙2对网站服务器和数据库服务器进行日常运维。
(1)防火墙1应该允许哪些端口通过?
(2)请编写防火墙1上实现互联网只能访问网站服务器的iptables过滤规则。
(3)请写出王工电脑的子网掩码。
(4)为了使王工能通过SSH协议远程运维DMZ区中的服务器,请编写防火墙2的iptables过滤规则。
参考答案:
(1)80和443
(2)
iptables -t filter -P FORWARD DROP(DROP更改为REJECT也符合题意)
iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 443 -j ACCEPT
(3)255.255.255.0
(4)
iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2 -p tcp --sport 22 -j ACCEPT
解析:
本题主要考察了对防火墙配置和子网掩码的理解。
(1)网站服务器提供的是web服务,使用HTTP和HTTPS,对应的默认端口是80和443,所以为了实现互联网访问网站服务器的目标,需要允许端口80和443通过防火墙1。
(2)配置防火墙1时,首先需要设置iptables防火墙默认不允许任何数据包进入,即采用白名单策略。然后,为了允许互联网访问网站服务器,需要添加规则允许目标端口80和443的TCP服务通过。
(3)王工IP地址位于信息安全部计算机所在网段为192.168.11.1/24,子网掩码即为该网段的掩码,因此王工电脑的子网掩码为255.255.255.0。
(4)为了通过SSH协议远程运维DMZ区中的服务器,需要在防火墙2上设置iptables过滤规则。规则需要允许源地址为网工办公电脑的IP地址、目标地址为DMZ区域所使用的IP地址、协议是TCP协议、目标端口是22的数据流通过,同时还需要允许反向连接的数据流通过。
试题二(共20分)
阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
Linux系统中所有内容都是以文件的形式保存和管理的,即一切皆文件。普通文本、音视频、二进制程序是文件,目录是文件,硬件设备(键盘、监视器、硬盘、打印机)是文件,就连网络套接字等也都是文件。在Linux Ubuntu系统下执行ls -l命令后显示的结果如图2-1所示。
6、【问题1】(2分)
请问执行上述命令的用户是普通用户还是超级用户?
参考答案:普通用户
解析:
根据题目描述,Linux Ubuntu系统中打开一个终端窗口时,会显示用户登录名、机器名、当前工作目录和提示符号。对于普通用户,提示符号为"$“,而超级用户的提示符号为”#"。题目中给出的命令是在用户名为hujianwei的情况下执行的,这是一个普通用户的用户名,因此执行上述命令的用户是普通用户。
7、【问题2】(3分)
(1)请给出图2-1中属于普通文件的文件名。
(2)请给出图2-1中的目录文件名。
(3)请给出图2-1中的符号链接文件名。
参考答案:
(1)crond.pid、abc
(2)openvpn
(3)shm->/dev/shm
解析:
第一问,根据文件类型判断,图2-1中权限位第1位为“-”的文件为普通文件,故属于普通文件的文件名为crond.pid和abc。
第二问,目录文件在Linux中的权限位第1位为“d”,因此,图2-1中的目录文件名为openvpn。
第三问,符号链接文件在Linux中的权限位第1位为“l”,所以图2-1中的符号链接文件名为shm,它链接到/dev/shm,即shm是一个指向/dev/shm的符号链接。
8、【问题3】(2分)
符号链接作为Linux系统中的一种文件类型,它指向计算机上的另一个文件或文件夹。符号链接类似于Windows中的快捷方式。如果要在当前目录下,创建图2-1中所示的符号链接,请给出相应命令。
参考答案:ln -s /dev/shm shm
解析:
在Linux系统中创建符号链接的命令是ln,符号链接类似于Windows中的快捷方式。根据题目描述和提供的图片,需要创建一个指向"/dev/shm"的符号链接,名为"shm"。因此,正确的命令是"ln -s /dev/shm shm",所以答案为A。
9、【问题4】(3分)
当源文件(或目录)被移动或者被删除时,指向它的符号链接就会失效。
(1)请给出命令,实现列出/home目录下各种类型(如:文件、目录及子目录)的所有失效链接。
(2)在(1)基础上,完善命令以实现删除所有失效链接。
参考答案:
(1)find /home -xtype l -print
(2)find /home -xtype l -exec rm {} \;
Creati
解析:
第一问,当源文件或目录被移动或删除时,指向它的符号链接会失效。为了列出/home目录下所有失效的符号链接,可以使用find命令。find命令的格式为:find path -option [-print]。在这个问题中,路径应为/home,选项参数使用-xtype l来指定类型为失效链接文件。-print参数将文件或目录名称列出到标准输出。因此,命令为:find /home -xtype l -print。
第二问,基于第一问的答案,要删除所有失效链接,可以在find命令中同时使用exec选项。exec选项后面跟着要执行的命令或脚本。在这里,删除的shell命令是rm。因此,可以在第一问的基础上加上“-exec rm {} ;”来完成删除失效链接的操作。所以命令为:find /home -xtype l -exec rm {} ;。
10、【问题5】(10分)
Linux系统的权限模型由文件的所有者、文件的组、所有其他用户以及读(r)、写(w)、执行(x)组成。
(1)请写出第一个文件的数字权限表示;
(2)请写出最后一个文件的数字权限表示;
(3)请写出普通用户执行最后一个文件后的有效权限;
(4)请给出去掉第一个文件的‘x’权限的命令。
(5)执行(4)给出的命令后,请说明root用户能否进入该文件。
参考答案:
(1)755
(2)755
(3)可读、不可写、可执行
(4)chmod a-x openvpn或者chmod 644 openvpn
(5)执行(4)命令后,第一个文件的所有者root权限为可读、可写、不可执行,不可执行即不能进入该文件。
解析:
(1)根据题目说明和参考答案,第一个文件的权限是drwxr-xr-x,转换为数字权限表示即为755。其中,rwx对应数字7,r-x对应数字5,所以第一个文件的数字权限表示为755。
(2)同理,最后一个文件的权限是-rwxr-xr-x,转换为数字权限也表示即为755。
(3)普通用户执行最后一个文件的有效权限对应的是文件的读、执行权限,因为普通用户没有写权限。所以普通用户执行最后一个文件后的有效权限为可读、不可写、可执行。
(4)去掉文件的执行(x)权限,可以使用chmod命令进行权限修改。命令格式为:chmod a-x 文件名,其中a表示所有用户,-表示去掉权限,x表示执行权限。另外,也可以使用数字权限来设定,即chmod 644 文件名,其中6表示拥有者读写权限,4表示组用户只读权限,4表示其他用户只读权限。
(5)执行(4)给出的命令后,第一个文件的权限由drwxr-xr-x变为drw-r–r–。此时,文件的所有者root的权限为可读、可写、不可执行。对于文件夹而言,执行权限代表能否进入文件夹。因此,即使文件的所有者是root用户,由于文件夹没有执行权限,root用户也无法进入该文件。
试题三(共18分)
阅读下列说明和图,回答问题1至问题9,将解答填入答题纸的对应栏内。
【说明】
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
有一天,王工在夜间的例行安全巡检过程中,发现有异常日志告警,通过查看NTA全流量分析设备,找到了对应的可疑流量,请分析其中可能的安全事件。
11、【问题1】(2分)
Windows系统提供的日志有三种类型,分别是系统日志、应用程序日志和安全日志,请问图3-1的日志最有可能来自哪种类型的日志?
参考答案:安全日志
解析:
Windows系统提供的日志有三种类型:系统日志、应用程序日志和安全日志。根据题目中给出的图3-1的事件来源“Microsoft Windows security auditing”安全审计,可以判断该日志最有可能来自安全日志。安全日志记录的是与安全相关的事件,包括登录、退出、系统资源使用等事件。因此,根据事件来源可以确定是安全日志。
12、【问题2】(2分)
请选择Windows系统所采用的记录日志信息的文件格式后缀名。
备选项:
A.log B.txt C.xml D.evt
参考答案:D
解析:
Windows系统日志文件的格式后缀名是evt。在Windows系统中,有三种类型的日志:系统日志、应用程序日志和安全日志。这些日志文件的后缀名都是evt。因此,正确答案是D。
13、【问题3】(2分)
访问Windows系统中的日志记录有多种方法,请问通过命令行窗口快速访问日志的命令名字(事件查看器)是什么?
参考答案:eventvwr
解析:
在Windows系统中,通过命令行窗口快速访问日志记录的方法之一是使用命令“eventvwr”,该命令会打开事件查看器。此外,用户还可以在开始菜单的运行中输入“eventvwr.msc”来访问事件查看器。因此,答案是“eventvwr”。
14、【问题4】(2分)
Windows系统通过事件ID来记录不同的系统行为,图3-1的事件ID为4625,请结合任务类别,判断导致上述日志的最有可能的情况。
备选项:
A.本地成功登录
B. 网络失败登录
C.网络成功登录
D. 本地失败登录
参考答案:B
解析:
根据任务类别为logon,表示这是关于登录事件的日志。事件ID 4625通常表示登录失败。由于题干中提到了通过查看NTA全流量分析设备找到的可疑流量,以及事件发生在远程桌面端口3389,这很可能是网络上的暴力密码攻击尝试。因此,最有可能的情况是网络失败登录,选项B是正确答案。
15、【问题5】(2分)
王工通过对攻击流量的关联分析定位到了图3-2所示的网络分组,请指出上述攻击针对的是哪一个端口。
参考答案:3389
解析:
根据图3-2所示的网络分组,王工发现IP地址192.168.69.69的主机与IP地址192.168.1.100的主机之间的通信。其中,由192.168.69.69向192.168.1.100发起了针对目标端口为3389的TCP链接。这个端口3389对应的是远程桌面RDP服务。结合图3-1中的登录失败事件频率较高的信息,可以判断这是一种暴力密码攻击。因此,上述攻击针对的是3389端口。
16、【问题6】(2分)
如果要在Wireshark当中过滤出上述流量分组,请写出在显示过滤框中应输入的过滤表达式。
参考答案:ip.addr == 192.168.69.69 and ip.addr == 192.168.1.100
解析:
根据题目描述和提供的参考解析,流量分组主要涉及两个IP地址之间的通信,即IP地址192.168.69.69和IP地址192.168.1.100。为了在Wireshark中过滤出这两个IP地址之间的通信流量,需要在显示过滤框中输入过滤表达式,即ip.addr == 192.168.69.69 and ip.addr == 192.168.1.100。这样,Wireshark将仅显示这两个IP地址之间的通信流量。
17、【问题7】(2分)
Windows系统为了实现安全的远程登录使用了tls协议,请问图3-2中,服务器的数字证书是在哪一个数据包中传递的?通信双方是从哪一个数据包开始传递加密数据的?请给出对应数据包的序号。
参考答案:
服务器数字证书在序号12162为的数据包中传递;
通信双方是从序号为12168的数据包开始传递加密数据。
解析:
根据SSL/TLS的四次握手过程,服务器在回应序号12162的数据包Server Hello时,会包含数字证书。因此,服务器数字证书是在序号12162的数据包中传递的。在完成四次握手后,通信双方开始传递加密数据,因此加密数据的传递从序号为12168的数据包开始。
18、【问题8】(2分)
网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。请问上述攻击属于哪一种网络安全事件?
参考答案:网络攻击事件
解析:
根据题干描述,攻击是通过网络技术对信息系统造成的安全事件,具有利用系统漏洞和协议对信息系统实施攻击的特点。根据网络安全事件的分类,这种攻击属于网络攻击事件。其他选项如有害程序事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件等,与题干描述不符。因此,正确答案是“网络攻击事件”。
19、【问题9】(2分)
此类攻击针对的是三大安全目标即保密性、完整性、可用性中的哪一个?
参考答案:保密性
解析:
根据题目描述,此类攻击针对的是保密性。攻击者利用3389端口进行暴力密码攻击,试图获取系统的登录权限,这种行为直接威胁到系统的保密性。因此,答案是A,即保密性。
试题四(共17分)
阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
网络安全侧重于防护网络和信息化的基础设施,特别重视重要系统和设施、关键信息
基础设施以及新产业、新业务和新模式的有序和安全。数据安全侧重于保障数据在开放、
利用、流转等处理环节的安全以及个人信息隐私保护。网络安全与数据安全紧密相连,相
辅相成。数据安全要实现数据资源异常访问行为分析,高度依赖网络安全日志的完整性。
随着网络安全法和数据安全法的落地,数据安全已经进入法制化时代。
20、【问题1】(6分)
2022年7月21日,国家互联网信息办公室公布的对滴滴全球股份有限公司依法做出
网络安全审查相关行政处罚的决定,开出了80.26亿的罚单,请分析一下,滴滴全球股份
有限公司违反了哪些网络安全法律法规?
参考答案:《网络安全法》、《数据安全法》、《个人信息保护法》
解析:
根据提供的说明和参考答案,滴滴全球股份有限公司违反了《网络安全法》、《数据安全法》和《个人信息保护法》。这些法律法规在网络安全和数据保护方面规定了企业和个人的责任和义务。滴滴的违法违规行为包括在网络和数据安全方面的违规行为,以及个人信息的非法处理和泄露等。因此,国家互联网信息办公室依法对滴滴全球股份有限公司进行了行政处罚。
21、【问题2】(2分)
根据《中华人民共和国数据安全法》,数据分类分级已经成为企业数据安全治理的必选题。一般企业按数据敏感程度划分,数据可以分为一级公开数据、二级内部数据、三级秘密数据、四级机密数据。请问,一般员工个人信息属于几级数据?
参考答案:三级
解析:
根据题目描述,企业按数据敏感程度将数据分为一级公开数据、二级内部数据、三级秘密数据和四级机密数据。员工个人信息属于比较敏感的数据,通常会被归类为三级秘密数据。因此,一般员工个人信息属于三级数据。
22、【问题3】(2分)
隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类,请问员工的薪水属于哪一类隐私?
参考答案:属性隐私
解析:
员工的薪水属于属性隐私。属性隐私是指用于描述个人用户的属性特征,如用户年龄、性别、薪水、购物历史等。在这个问题中,员工的薪水是一个描述个人属性特征的隐私信息,因此属于属性隐私范畴。
23、【问题4】(2分)
隐私保护常见的技术措施有抑制、泛化、置换、扰动和裁剪等。若某员工的月薪为8750
元,经过脱敏处理后,显示为5k~10k,这种处理方式属于哪种技术措施?
参考答案:泛化
解析:
隐私保护常见的技术措施包括抑制、泛化、置换、扰动和裁剪等。其中,泛化是通过降低数据的精度来实现数据匿名。在这个例子中,员工的月薪原来是具体的数字8750元,但经过脱敏处理后显示为工资区间5k~10k,这降低了数据的精度,符合泛化的定义。因此,这种处理方式属于泛化的技术措施。
24、【问题5】(5分)
密码学技术也可以用于实现隐私保护,利用加密技术阻止非法用户对隐私数据的未授权访问和滥用。若某员工的用户名为“admin”,计划用RSA对用户名进行加密,假设选取的两个素数p=47,q=71,公钥加密指数e=3。
请问:
(1)上述RSA加密算法的公钥是多少?
(2)请给出上述用户名的16进制表示的整数值。
(3)直接利用(1)中的公钥对(2)中的整数值进行加密是否可行?请简述原因。
(4)请写出对该用户名进行加密的计算公式。
参考答案:
(1)(3,3220)
(2)0x61646D696E
(3)不行,因为明文长度不能超过模数n
(4)密文=明文^e mod n
解析:
(1)根据RSA算法的原理,公钥是由一对大素数p和q的乘积n以及一个加密指数e构成的。在这个问题中,已知p=47,q=71,计算得到模数n=p*q=3337。加密指数e已经给出为3。因此,RSA加密算法的公钥是(3,3337)。
(2)用户名为"admin",每个字母对应的ASCII码值需要转换为16进制表示。因此,"admin"的16进制表示的整数值是0x61646D696E。
(3)直接利用公钥对整数值进行加密是不可行的。因为RSA加密的明文长度必须小于模数n。在这个例子中,明文的长度(即用户名的16进制表示的整数值)大于模数n,所以不能直接进行加密。
(4)RSA加密的计算公式是:密文=明文^e mod n。其中,"明文"是需要加密的信息,"密文"是加密后的结果,e是加密指数,n是模数。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
