信息安全工程考试

关键词： 简答题 用户 网络 考试

信息安全工程考试（精选6篇）

篇1：信息安全工程考试

电子对抗在战争中的地位与作用

1.获取军事情报

通过电子侦察，可以获取到地方无线电通信的内容、敌方电子设备的有关技术参数以及地方兵器属性、类别、数量、配置和位置等情报，从而判断敌方兵力部署和行动企图。2.破坏敌方作战指挥

在陆、海、空军协同作战，坦克集群突防，飞机或舰艇编队行动，空降作战，海上登陆作战以及军队被围时，无线电通信是唯一的通信手段。3.保卫重要目标

使用伪装器材对机场、桥梁、炮阵地、坦克集群等目标进行反可见光、反红外、反雷达的伪装，可以隐真示假，减少被敌人打击摧毁的机会。电子侦察与反电子侦察

（一）无线电通信侦察与反侦察 1.侦收与识别

要侦收敌方无线电通信，己方接收机就必须在工作频率上和敌方相同，在解调方式上和敌方电台调制方式相适应。

2.测向与定位

用无线点定向接收设备来测定正在工作的无线点发射台的方位，称为测向。其接收设备称为无线电测向机。3.反侦察

反侦察的方法有以下几种

（1）使用异常通信活其他通信手段。

(2)采用保密通信设备或进行无线电台伪装，实施佯动和欺骗。（3）使用定向天线、适当控制发射功率。（4）使用新的调制方式。雷达侦察机的组成

雷达侦察机由天线、天线控制设备、接收机和终端设备4部分组成 雷达侦察机的作用

1.发现敌方带雷达的目标。现代化兵器多数是由无线电子设备控制发射和制导的。这些兵器在工作时都要发射电磁波，从而给雷达对抗侦查创造了条件。

2.测定敌方雷达的主要参数，确定雷达和目标的性质。3.引导干扰机和引导干扰杀伤武器。电子干扰与反干扰

电子干扰就是通过干扰电磁波或使用其他器材吸收、反射电磁波，达到干扰和欺骗敌方电子设备，使其不能正常工作的目的。无线电通信干扰

无线电通信干扰的基本原理是：当干扰信号的频率与通信信号相同或接近时，接收设备就会同时收到干扰与通信信号，从而扰乱接收设备对正常信号的接收。无线电通信反干扰的措施

无线电通信反干扰的主要措施有增大发射功率、缩短通信距离、提高信号与干扰的强度比，是信号强度超过干扰强度。如果发射机功率不能改变，可以增设通信中继站，缩短通信距离，提高收信端的通信强度。雷达干扰与反干扰

（一）雷达干扰

（1）有源干扰。利用雷达干扰设备(干扰机）发射无线电波对敌雷达造成的干扰，称为有源干扰。有源干扰常用的有压制性干扰和欺骗性干扰。

（2）无源干扰。无源干扰与有源干扰的区别在于它不是通过发射无线电波对敌方造成干扰，而是利用反射无线电波或衰减“吸收”无线电波的器材造成干扰。(二）雷达反干扰的主要方法有

（1）增大雷达的发射功率。（2）改变雷达的工作频率。（3）扩展雷达的工作频率。（4）提高雷达天线的方向性、（5）动目标显示。

一、考试作弊事件及其中的信息安全

1、吉林四平考研作弊事件

吉林四平考研作弊事件经媒体曝光后，引发社会极大关注相关负责人表示，其中使用的作弊器更涵盖了一些高科技的手段，如“作弊手表”“作弊耳机”等。考试时从考场外发射答案，考生戴上特殊的手表、耳机等在考场内就能收到答案。这些作弊器常做成黄豆大小的东西，并且能藏在衣服里，由于多是碳棒，由于是炭棒，金属探测仪探测不出来。

为调查作弊事件，CCTV记者联系了一个卖家。她约记者在四平市加州旅馆见面。来到约定的房间，记者发现里面进进出出有好几个人，似乎有不同的分工。这个女孩也拿出一套无线耳机设备，指导着记者戴上。在这里，记者意外看到了传送答案的发射设备。这是个类似电台的设备，看上去体积不大，携带方便，在窗台上还连着一根天线。这个小伙子正是用这个器材为记者戴着的无线耳机发送信息。经过记者的调查，这些设备在考试是能够成功逃过考场的信号屏蔽，为作弊考生传输正确率极高的答案。

其中所涉及的作弊仪器包括反屏蔽手表短信接收器、反探测手表式信息接收机、隐形无线耳机等等。

2、松源高考作弊事件

据四川新闻网报道，吉林省松原市扶余县第一中学两位老师刘艳华和何淑杰由于向毕业生家长出售高考作弊器材，在高考前的6月4日被警方抓获，至今在押。

刘艳华交代，她先后向考生家长兜售了27套作弊设备，并向考生家长许诺，到高考时自己能给考生传答案。在扶余县公安局，陈国庆副局长将收缴的作弊设备展示给记者：“这是发射器，能够通过这个将答案发送出去。”他拿起一块橡皮：“这是接收器。”正在记者疑惑时，他抽开橡皮，露出一块液晶显示器：“这样的橡皮和这样花生大小的耳机，他们一共卖出去了27套。”随着科技的发展，作弊器材也在与时俱进。现在的作弊方式多是通过在考场外架设无线电台，向考场内发射信号，考生利用无线耳机接听，或者是通过光电密显类的接收屏偷看。手表、橡皮、直尺袋都成了伪装的对象。在考场，一块普通的手表也许都是暗藏玄机，令人意想不到的是眼镜、橡皮擦、矿泉水、笔、钱包、背心、腰带等，这些不太引人注意的物品经过高科技包装，都成了隐蔽性极强的作弊器材。以尺子型作弊工具为例，其外形和普通尺子一模一样，看上去没有显示屏、按键或充电孔，但这些“机关”真实存在。这种尺子配有一支笔，当笔触到尺子的指定位置时，隐藏在尺子内的液晶显示屏就会显示数字、字符，按动笔上的机关，屏幕就可以前后翻页，用以接收考试答案。

二、手机信息安全

1、敌方通过窃听手机获取情报

通过卫星传输的移动电话很容易被窃听,许多发达国家的情报部门、军方和重要政府部门,都禁止在办公场所使用移动电话,即使是关闭的手机也不允许带入。美国等军事强国已经建立起覆盖全球的电子监听网络系统,广泛地收集对手或潜在对手的电子情报。情报专家直言,即使不使用手机,也可通过简单的电信暗码,遥控打开手机,窃听任何谈话。比如美国国家安全局建立的“梯队系统”,全世界95 %的通信信息都要经过这一系统的过滤,包括电话、文传、电子邮件等。手机通信是一个开放的系统,只要有相应的接收设备,就能够截获任何时间、任何地点、任何人的通话信息。在伊拉克战争中,美军特种部队和中央情报局特工都采取手机窃听战术,截获了伊拉克高官的重要通信信息,掌握他们的行踪。2 手机蓝牙的漏洞

越来越多的蓝牙功能手机,面临一个蓝牙安全的问题。用一个带有蓝牙设备的笔记本,这上面运行着内置了蓝牙支持的SuSE Linux 9.3(目前大部分的蓝牙安全工具包括故事中出现的工具都运行于Linux 之上)。通过一些方法(比如Linux 系统所提供的hcitool 工具集进行探测)就可以扫描到周围的蓝牙设备, 然后通过检测的设备名识别其型号,或通过地址识别制造商,再验证蓝牙设备的指纹进而确定手机的型号。然后就可以利用手机的安全漏洞进行攻击。这种攻击是基于这样一种原理:通过连接到蓝牙设备的OPP(对象交换传输规格)可以在设备之间交换各种信息,例如电话簿等等,由于厂商的原因,一些型号的蓝牙设备存在脆弱点,使攻击者可以在无须认证的情况下连接到这些设备上,下载设备中的资料(电话簿、日程安排信息、图片或其他数据文件)。除此之外还可以操纵手机进行拨号、短信发送和互联网访问等活动,这种攻击被称之为BlueBug 攻击。

淘汰的旧手机泄密

人们喜欢把各种敏感信息贮存手机里,而手机信息都存储在闪存上,但要永久删除其中的信息很缓慢,手机厂商为了不至于手机删除信息显得慢就采用不彻底的方法来弥补这一缺点。这就带来一个安全问题。当你更换手机时,原有手机的信息就可以通过互联网上的廉价的专门软件得以恢复。这样手机中的信息就会造成泄密。

手机面临的信息安全威胁: 手机分为功能手机和智能手机，它们所面临的安全威胁是不同的，功能手机采用的是扩展性比较小，手机出厂后用户不能进行软件安装，智能手机有一个开放的操作系统平台如Windows等，有更大的安全威胁。目前手机软件向开放化、智能化的方向发展。手机后装应用软件成为一个主流，后面应用软件给用户带来便利的同时，也会给病毒的传播带来一个可乘之机，手机集成的很多的用户应用，丰富了用户的体验，也可能成为病毒传播的一个途径。还有一些应用，比如说手机支付，这个业务对手机安全性提出了一个更高的要求，只有基于安全的使用环境，类似的业务才能更好的发展。外部接口提供了与外界接触的渠道，这么多的外部接口，也是危险的途径，外界接口的信息没有特殊的保护，病毒会从外界接口进行入侵。

3、通信技术我们现在不断地发展，从2.5到4G，我们可以看到接入网络的速度是越来越高。高带宽的情况下，给用户带来了很多方便，但同时也给用户手机带来更大范围的信息威胁。技术发展有两面性，一方面让手机的能力增强，另外一方面让手机出现了很多漏洞。还有一些特殊应用，对手机的信息安全提出了更高的要求，没有安全环境无法施展拳脚，手机存储的私秘信息越多，对安全的要求也就随着增加。

手机信息安全事件 手机监听。即宣称只要告诉别人电话号码，就可以提前听到电话号码，插入一个卡，进行远距离无限制的监听。

病毒。病毒非常的多样，影响非常广泛的，不知道上面有的弹性病毒，短信炸弹，躲猫猫病毒等等，有些病毒是利用了手机本身存在的漏洞，有的利用了是手机开放的接口。

不良信息。如骚扰电话、促销广告、诈骗短信等。

 网上支付的安全问题

网上支付的安全问题：交易支付信息被篡改、截获、盗取。交易信息假冒。交易抵赖。7.1.2 网上支付安全的主要内容

电子商务安全从整体上分为两大部分：计算机网络安全和商务交易安全。

计算机网络安全的内容主要包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特点是针对计算机网络本身可能存在的安全问题问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全是指在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，实现电子商务交易支付结算的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。包括交易支付过程中的各种交易安全技术，如SET、SSL、安全认证手段和CA体系等。7．3 金融安全认证

05年：银监会国内各银行的网银业务拥有的用户中懂得使用中国金融认证中心安全证书的用户不到三成。能窃取账号、密码和验证码的黑客软件“网银大盗” ；“假银行网站事件”

在网银信誉面临考验的情况下，中国金融认证中心联合全国16家商业银行一起发起了“放心安全用网银”宣传活动

中国金融认证中心总经理李晓峰指出，除了最易被攻破的“账号加密码”的简单方式外，网上身份认证机制还有更好的选择——数字证书认证机制，不法分子即使窃取了账号和密码也取不到钱。已在工行、建行、交行、中信实业等20多家商业银行建立了证书注册审批系统。

如果发生安全问题，中国金融认证中心承诺对网银用户进行赔付：对企业高级证书用户赔付上限为人民币80万元，对企业普通用户赔付上限为50万元，对个人用户赔付上限为2万元。1)数字签名 数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同，数字签名的目的是为了保证信息的完整性和真实性。数字签名必须保证以下3点：

（1）接受者能够核实发送者对消息的签名；（2）发送者事后不能低赖对消息的签名；（3）接受者不能伪造对消息的签名。2)数字证书

（1）Digital Certificate,又称公开密钥证书或“数字标识（Digital ID）”，是由权威的、可信赖的、公正的第三方机构――认证中心颁发给网上用户的一段包含用户身份信息、密钥信息以及认证中心数字签名的数据，它把第一个特定的公开密钥与它的所属者的描述信息进行绑定，其包含的信息可建立使用者在网络上进行交易或从事活动时的身份识别功能，所以常把它比喻为电子身份证。3)认证中心（CA）

（2）在电子商务交易过程中，无论是数字签名还是数字证书的发放都不是由交易双方自己来完成的，必须有一个具有权威性和公开性的第三方来完成。

（3）CA（Certificate Authority），承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心是PKI体系中的核心，是由一组计算机硬件、软件以及管理人员组成的，扮演着如同现实世界中的派出所的户藉管理机构这样的角色。

网上支付哪里存在安全隐患？

人们对任何事物关注点与该事物发展阶段变化而变化。在事物的不同发展阶段，风险点发生变化，社会对此的关注点可能发生变化。对于网上支付，当前的主流方式是通过银行卡（包括信用卡、借记卡和支付卡等）这种支付工具，通过浏览器输入必要的支付认证信息，经发卡行认证授权后扣款完成在线支付。现阶段的支付风险主要存在于：

●支付密码泄漏。一旦攻击者通过某种方式得到支付密码，可以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。这是人们对网上支付安全的主要担心所在。

●支付数据被篡改。在缺乏必要的安全防范措施情况下，攻击者可以通过修改互联网传输中的支付数据。譬如，攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等，达到谋利目的并制造互联网支付事件。

●否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作，若付款人否认发出资金划出指令，商业银行将处于被动局面；对于资金划入操作，若商业银行否认资金划入操作，收款人将处于不利境地。如何减少支付风险？

降低风险需要根据风险点的不同特征采取不同的风险控制措施。我们先来看看怎样“看护”好我们的支付密码。攻击者通常用哪些手段得到得到支付密码呢？

●骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信（邮件）。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗，乖乖地向其泄漏自己的银行卡支付密码。

●支付终端截取。攻击者可以在持卡人电脑上发布恶意软件（如木马软件）。这些软件能在持卡人输入支付密码时悄无声息地捕获，并偷偷地发送出去。

●网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。

●暴力攻击。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机，攻击者可以采用密码词典（密码词典包含了0－9数字不同字长的各种数字串组合）方式逐个试探。

●其它途径获取。攻击者趁持卡人不注意，在银行柜台、ATM或POS终端记下持卡人的支付密码。

支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出，我们首先要具有安全意识和基本防范技能。持卡人应注意：

识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此，持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商，熟悉其域名，并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式，可以帮助持卡人识别假网站。

虚假短信（邮件）相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后，应确认短信发送者的真实身份或短信内容。

密码保护还需要持卡人注意不要设置简单的密码。如不要采用类似“123456”的简单数字组合、自己或亲人的生日信息、电话号码。此外，还注意支付终端的安全性，如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时，还要注意在其它场所支付输入密码时不轻易为他人偷窥、摄像等，不要将密码记录在被人容易看到的纸片上。

支付密码能轻易为攻击者骗取、窃取或破解，更为一个重要的原因是支付密码本身缺乏一定的防攻击、防窃取能力。由于密码通常是字母、数字的简单组合，属于低安全强度的保护机制。如采用数字证书代替或补充支付密码就是一种更有效方式。因此，持卡人进行网上支付最好选择使用采用数字证书安全机制的支付方式。

篇2：信息安全工程考试

考试科目：2017年注册安全工程师考试将分为公共科目和专业科目。

安全工程师执业将根据行业领域安全声场特点，划分为煤矿安全、金属与非金属矿山安全、危险物品安全、工程建设安全、金属冶炼安全、交通运输安全、机械制造安全、安全评价检测、职业健康等专业类别;

注册安全工程师考试也将分为煤矿、金属与非金属矿山、危险物品、建筑施工、金属冶炼、道路运输、其他(通用)七个安全专业类别。

也就是2017年开始您报考的科目将是这样的：

报名时间：预计2017年7月陆续开始报名

考试周期：考试成绩由2年调整为4年为一个滚动周期，预计考后两个月后即可查分;

考试级别：注册安全工程师将划分三个等级：高级安全工程师、中级安全工程师(以前的安全工程师直接为中级)、初级安全工程师(以前的助理安全工程师直接为初级)三个级别。类似我们熟知的一级建造师、二级建造师。

报考条件: 原报考条件中的工程经济类专业调整为工程工学类;报考的最低学历要求由中专提高至大专;取得初级注册安全工程师执业资格注册登记执业满3年的可以报考中级注册安全工程师。高级安全工程师报考办法另行通知。

免考条件：

凡符合一级注册安全工程师执业资格考试报名条件，符合下述条件之一者，可免试《安全生产管理》和《安全生产通用技术》2个科目，只参加《安全生产相关法律法规》和《安全生产专业实务》2个科目的考试。

1.截止2013年12月31日之前已评聘高级工程师专业技术职务，并从事安全生产相关业务工作满10年的专业人员;

2.安全工程专业经中国工程教育认证。

增项考试：三年内通过一个方向的四门考试，成绩合格后，可以增项其他任一专业方向，考试通过后可以申请注册两个专业类别。注册办法另行规定。执业证有效期由3年调整为6年。

2015年及以前通过部分科目考试的考生成绩如何保留?

答：若2017年考试成绩调为四年滚动，2015年及以前通过部分科目考试的考生成绩预计会保留，2017年必须完成剩余科目考试，如2017年没有通过四科目，2018年起必须重新报考四科目内容;2017年首次报考的学员在连续的4个考试年度内通过全部科目即可(具体以当地人考中心公布政策为准)。

1.2017年注册安全工程师考试教材

2.安全工程师考试六大复习技巧

3.2016安全工程师考试复习方略

4.2017安全工程师考试包括条件及方式

5.安全工程师考试科目、时间及合格标准

6.2016年安全工程师考试复习方略

7.2017年安全工程师考试做题技巧

8.2017福建安全工程师考试报考流程

篇3：工程训练安全考试平台的实现

一网上安全考试平台的系统结构

网上安全考试平台的系统总体结构如图1所示, 主要分为学生考试系统、教师管理系统两个子系统。

二网上安全考试系统设计

该系统可供学生参加安全考试、查询考试成绩以及教师进行考试管理、学生管理的ASP应用程序。系统主要采用动态网站编程语言ASP内嵌VBScript脚本及通用SQL查询语句和Dream Weaver软件来实现, 选用微软的ACCESS完成后台数据库。

在进行整个网上安全考试系统的设计时, 为方便老师与学生的操作, 同时为使系统具备一定的发展空间, 主要考虑了以下几个条件: (1) 系统简易明了, 操作方便。系统开发的初衷是为了检查学生安全培训的效果, 同时培养学生的安全意识, 因此系统要操作方便, 界面一目了然。 (2) 从节省资源的角度出发, 学生账户由任课教师根据当次实际选课名单制定。用户名使用学生的学号, 密码使用学生身份证后6位, 为方便操作, 系统具备账户导入功能。 (3) 考试题目分为选择、判断、简答、问答四种类型共计100分, 由系统在题库中随机抽题。其中选择、判断题共60分由系统自动打分, 简答、问答题共40分由评分老师根据学生作答情况手动打分。合格分数线定为90分。 (4) 考试设定有时间限制, 要求每位学生在规定时间内完成考试, 超出时间的自动提交试卷。 (5) 考试分数提供多种条件的查询方式, 同时具备成绩导出的功能。 (6) 考试系统应具备一定的安全性、平台通用性。

1. 学生考试系统

学生通过学生考试系统进行登录、在线考试 (及补考) 、查询成绩的操作。

第一, 登录。学生选择学生账户输入用户名和密码后, 提交系统在数据库中查询该用户是否存在, 如存在则进入考试界面, 不存在则提示错误。

第二, 在线考试。在线考试是本系统最重要的部分之一, 学生登录成功后由系统在各类型题库中随机调取试题形成一份试卷, 其客观题答题通过单选按钮的选择来反映, 主观题答题由学生在答题框内输入答案。在整个考试界面的右上角为剩余考试时间提示, 考试结束由自主交卷和限定时间自动交卷有机结合的方式来完成。

第三, 查询成绩。完成考试的学生需在评分老师完成主观题打分后再次登录自己账户, 已通过的学生即可查询自己的考试成绩且最终完成考试, 未通过的学生则重新进入在线考试环节。

2. 教师管理系统

教师通过教师管理系统进行登录、考题管理、批改成绩、用户管理等操作。

第一, 考试管理。教师在登录系统后, 在考试管理模块中进行考试安排及试卷的批改工作。 (1) 考试安排。在完成安全培训后教师需要在此进行考试安排, 安排考试时需要指明考试名称, 最迟完成日期及考试限时。 (2) 试卷批改。教师管理系统的核心部分, 在学生完成在线考试后, 评分老师即可点击评分按钮对学生的主观题部分进行评分。在评分完成后系统自动计算学生得分并提示是否通过, 对于未通过的学生试卷由评分教师手动删除以便于学生在再次登录后直接进入在线考试环节。为了便于成绩查询及管理, 全部成绩可以按已通过、未通过、未做等条件进行查询, 也可直接输入学生学号查询成绩。

第二, 考题管理针对不同的题型进行题库的整理, 可以创建、删除、修改试题, 供教师根据发展需要进行。

第三, 用户管理。用于添加、修改用户, 添加学生用户除了用户名和密码外, 还需指定学生参加的具体考试。为了提高工作效率, 教师可利用标准格式的Excel表格进行内容的批量导入。当使用唯一管理员账号登录系统时, 可以进行用户的删除。

三结束语

在网上安全考试平台的使用过程中, 虽然还存在各种不足, 如未通过学生需要评分老师手动删除试卷方可补考、用户管理不能批量删除用户等问题, 但该系统的使用促进了工程训练中心安全培训的进步, 进一步加强了学生的安全意识, 同时减轻了教师的工作量, 具有较大的实际意义, 从长远发展的角度上看, 一定会收到良好的效果。

参考文献

[1]邹卫放.工程训练中心教学中的安全教育[J].实验室研究与探索, 2010 (2) :182～184

[2]肖昆明.ASP.NET2.0环境下Web应用程序的部署[J].电脑与信息技术, 2012 (4)

[3]易朝湘、聂元铭、杨眉.专家门诊:ASP开发答疑200问[M].北京:人民邮电出版社, 2005

[4]谭锋、蔡丰.基于ADO技术动态创建SQL Server数据库[J].计算机时代, 2007 (3) :60～62

[5]杜宏毅、郑去宣.完全接触ASP之VBScript[M].北京:电子工业出版社, 2002

篇4：信息工程安全监理物联网技术研究

【关键词】信息工程；安全监理；物联网技术

0.前言

伴随物联网技术的飞速发展，物联网整体安全问题逐步成为未来广泛应用、持续优化进程中一类不容忽视的重要问题。物联网发展至高级水平，其场景中各类实体均包含一定程度的感知、运算、分析以及执行功能。倘若该类感知设备普遍应用，便会对我国的基础建设、社会活动以及个人机密信息安全形成全新的影响威胁。为此做好信息工程安全监理尤为重要，只有科学应用物联网技术，构建信息安全交互模型、体系架构，方能激发物联网技术核心优势，确保安全应用实践，提升综合安全水平，并实现全面、持续发展。

1.物联网技术内涵

物联网技术在信息工程安全监理系统中发挥了重要的应用价值，为系统网络化的重要核心。该项技术借助网络平台，应用统一一致物品编码手段、射频识别处理技术以及无线通信手段，可对广阔范畴之中，甚至是全球范围中的各类单件产品进行追溯以及有效跟踪。应用物联网技术手段，可由工程项目的招标环节开始直至工程管理验收环节，对各类应用设施器具设置EPC标志，并应用无线射频手段，传输发布信息工程各个阶段的价值化咨询信息至网络系统中，进而令监理人员仅依据EPC标签，便可获取产品各阶段包含的信息，进而判定其生产加工直至成品的流程阶段中包含的潜在威胁以及不安全因素。由此可见借助射频识别技术，进行有用信息数据的全面采集分析与汇总，科学应用移动计算手段以及数据库系统设计便可有效对信息工程进行安全管控监理，并做好数据判断辨析，提升综合安全水平，强化实践工作效率。

2.信息工程安全监理科学创建物联网架构体系

信息工程安全监理主要负责信息化工程建设服务、运行升级与优化改造阶段中从事的信息安全有关监督管理活动。

目前，我国信息工程监理框架体系的创建基于IT市场构成了独立体系中的两个层次。应用物联网现代化技术可令信息工程发展建设中包含的安全隐患问题以及存在的风险事项快速的传达至业主，并有效的疏导业主方以及承建方的相关争议与矛盾问题。核心工作内容便是对包含的信息安全相关问题实施风险分析并做好优化管控。信息工程安全监理创建物联网体系架构应涵盖四类组成内容。具体包括物联网系统架构、安全监理平台、监督管理系统以及中间结构体系。信息工程安全监督管理物联网体系架构主体就信息化应用发展过程中安全监督管理涉及范畴广泛、管控指标内容丰富、需连续性实践等具体特征，采用物联网手段技术完成对信息化项目工程的优化改造、建设调节，并实施安全问题管理监视。具体工作内容则涵盖对生产实践场景、环境做好检测监督、进行生产员工安全行为测试管控，并就特定生产物品的整体安全性进行管理监督，重点监视控制人流相对密集的方位，同时做好重要生产设施、以及设备的管理，完善安全事故应急管理阶段中各类场景资讯、人员与物品综合信息的汇总搜集等。

3.物联网技术信息交互安全问题

伴随物联网技术应用服务范畴的持续拓宽，感知网络应对处理的信息呈现出更为多元化的态势，甚至涵盖政府管理、国防建设、军事服务以及金融市场等较多领域。

由此引发的信息安全问题则需要我们重点关注，有效解决。基于网络以及节点有限资源的总量限制，相对来讲较为成熟应用的安全监理措施方案常常不能直接用在物联网感知系统中。为此，研究人员探讨了更为丰富的安全管理方案。例如应用加密技术、安全路由管理协议、管控存取以及数据融合技术等，提升物联网技术应用安全水平。数据加密应用阶段中，基于网络节点存储、分析以及能量的有限，较多手段应用相对简单加密算法。数据加密应用技术中密钥管理尤为重要，其担负着密钥的形成、分发以及保管、更新与处理等任务，在全局预制应用方案的基础上，我们可依据无线感知系统网络结构体系、节点规划以及安全管理需求，创建更为丰富的密钥管理策略。

例如应用预分布处理方案，可在脱机状态下形成一定容量密钥池，各个节点则可随机由其中获取密钥成为密钥环，完成网络系统的规划部署之后，则只需节点包含同对密钥便可应用其组建安全通道。为优化提升物联网架构体系安全能力水平，可进一步优化更新技术方案。可将节点公钥数量扩充，进而令网络攻击影响变得更为困难，进而确保信息安全，优化监理管控。另外，可配设安全路由，科学应对节点、汇聚方位安全问题，确保高效准确的实现信息数据的传输应用。基于无线感知系统网络体现了节点对等以及多跳传输的实践特征，倘若攻击方进行恶意节点布设，便较易形成路由篡改、选择转发影响，导致黑洞以及蠕虫病毒感染问题。为此，应依据无线感知体系网络特征以及物联网技术应用需要，分析制定合理的安全路由应用协议，可应用冗余路由同相关认证机制预防网络不良攻击影响，提升物联网系统技术综合安全水平。

数据融合为物联网交互以及信息感知的核心手段，倘若其中节点被不良俘获，便较易导致融合节点无法分清正常信息以及恶意数据的问题。尤其对融合节点影响攻击，不仅会对下游节点信息形成不良破坏，还会对发送至汇聚节点信息形成负面影响。为此，物联网数据融合阶段中应全面考量信息安全应用问题。可创建良好的融合管理机制，通过随机抽样以及数据信息的互相验证，令用户位于节点遭遇捕获状况，仍旧可判定汇聚节点信息数据安全有效性。

基于节点隐私的暴露，会对检测管理目标整体安全性形成不良影响。为此应创建物联网有效安全保护以及信息存储管控机制。可应用定位协议，利用可信定位确保节点获取正确位置信息，预防不准确定位导致的负面影响，进而全面提升物联网交互以及感知信息综合安全水平，创建优质发展环境。

4.结语

总之，信息工程安全监理物联网技术的应用尤为重要，我们只有明确技术内涵，开创安全信息交互、感知环境，方能激发物联网技术核心优势，提升安全监理水平，实现持续发展与优化提升。 [科]

【参考文献】

[1]钱志鸿，王义君.物联网技术与应用研究[J].电子学报，2012，40（5）.

篇5：信息安全工程考试

一、单项选择

1、以下有关信息安全管理员职责的叙述，不正确的是（）A、信息安全管理员应该对网络的总体安全布局进行规划 B、信息安全管理员应该对信息系统安全事件进行处理 C、信息安全管理员应该负责为用户编写安全应用程序 D、信息安全管理员应该对安全设备进行优化配置

2、国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”，其中规定密钥协商算法应使用的是（）

A、DH B、ECDSA C、ECDH D、CPK

3、以下网络攻击中，（）属于被动攻击

A、拒绝服务攻击 B、重放 C、假冒 D、流量分析

4、（）不属于对称加密算法

A、IDEA B、DES C、RCS D、RSA

5、面向身份信息的认证应用中，最常用的认证方法是（）

A、基于数据库的认证 B、基于摘要算法认证 C、基于PKI认证 D、基于账户名/口令认证

6、如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为（）

A、公钥加密系统 B、单密钥加密系统 C、对称加密系统 D、常规加密系统

7、S/Key口令是一种一次性口令生产方案，它可以对抗（）

A、恶意代码木马攻击 B、拒绝服务攻击 C、协议分析攻击 D、重放攻击

8、防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止（）A、内部威胁和病毒威胁 B、外部攻击

C、外部攻击、外部威胁和病毒威胁 D、外部攻击和外部威胁

9、以下行为中，不属于威胁计算机网络安全的因素是（）A、操作员安全配置不当而造成的安全漏洞

B、在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息 C、安装非正版软件 D、安装蜜罐系统

10、电子商务系统除了面临一般的信息系统所涉及的安全威胁之外，更容易成为黑客分子的攻击目标，其安全性需求普遍高于一般的信息系统，电子商务系统中的信息安全需求不包括（）

A、交易的真实性 B、交易的保密性和完整性 C、交易的可撤销性 D、交易的不可抵赖性

11、以下关于认证技术的叙述中，错误的是（）

A、指纹识别技术的利用可以分为验证和识别 B、数字签名是十六进制的字符串 C、身份认证是用来对信息系统中实体的合法性进行验证的方法 D、消息认证能够确定接收方收到的消息是否被篡改过

12、有一种原则是对信息进行均衡、全面的防护，提高整个系统的安全性能，该原则称为（）A、动态化原则 B、木桶原则 C、等级性原则 D、整体原则

13、在以下网络威胁中，（）不属于信息泄露

A、数据窃听 B、流量分析 C、偷窃用户账户 D、暴力破解

14、未授权的实体得到了数据的访问权，这属于对安全的（）A、机密性 B、完整性 C、合法性 D、可用性

15、按照密码系统对明文的处理方法，密码系统可以分为（）

A、置换密码系统和易位密码 B、密码学系统和密码分析学系统 C、对称密码系统和非对称密码系统 D、分级密码系统和序列密码系统

16、数字签名最常见的实现方法是建立在（）的组合基础之上

A、公钥密码体制和对称密码体制 B、对称密码体制和MD5摘要算法 C、公钥密码体制和单向安全散列函数算法 D、公证系统和MD4摘要算法 / 14

17、以下选项中，不属于生物识别方法的是（）

A、指纹识别 B、声音识别 C、虹膜识别 D、个人标记号识别

18、计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。以下关于计算机取证的描述中，错误的是（）

A、计算机取证包括对以磁介质编码信息方式存储的计算机证据的提取和归档 B、计算机取证围绕电子证据进行，电子证据具有高科技性等特点

C、计算机取证包括保护目标计算机系统，确定收集和保存电子证据，必须在开计算机的状态下进行 D、计算机取证是一门在犯罪进行过程中或之后手机证据

19、注入语句：http：//xxx.xxx.xxx/abc.asp?p=YYanduser>0不仅可以判断服务器的后台数据库是否为SQL-SERVER，还可以得到（）

A、当前连接数据库的用户数据 B、当前连接数据库的用户名 C、当前连接数据库的用户口令 D、当前连接的数据库名

20、数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记，可以有效地对数字多媒体数据的版权保护等功能。以下各项工，不属于数字水印在数字版权保护必须满足的基本应用需求的是（）A、安全性 B、隐蔽性 C、鲁棒性 D、可见性

21、有一种攻击是不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪。这种攻击叫做（）

A、重放攻击 B、拒绝服务攻击 C、反射攻击 D、服务攻击

22、在访问因特网时，为了防止Web页面中恶意代码对自己计算机的损害，可以采取的防范措施是（）A、将要访问的Web站点按其可信度分配到浏览器的不同安全区域

B、在浏览器中安装数字证书 C、利用IP安全协议访问Web站点 D、利用SSL访问Web站点

23、下列说法中，错误的是（）

A、服务攻击是针对某种特定攻击的网络应用的攻击 B、主要的渗入威胁有特洛伊木马和陷阱 C、非服务攻击是针对网络层协议而进行的

D、对于在线业务系统的安全风险评估，应采用最小影响原则

24、依据国家信息安全等级保护相关标准，军用不对外公开的信息系统至少应该属于（）A、二级及二级以上 B、三级及三级以上 C、四级及四级以上 D、无极

25、电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码的攻击，用（）方式阅读电子邮件

A、网页 B、纯文本 C、程序 D、会话

26、已知DES算法的S盒如下：

如果该S盒的输入110011，则其二进制输出为（）A、0110 B、1001 C、0100 D、0101 / 14

27、在IPv4的数据报格式中，字段（）最适合于携带隐藏信息 A、生存时间 B、源IP地址 C、版本 D、标识

28、Kerberos是一种常用的身份认证协议，它采用的加密算法是（）A、Elgamal B、DES C、MD5 D、RSA

29、以下关于加密技术的叙述中，错误的是（）

A、对称密码体制的加密密钥和解密密钥是相同的 B、密码分析的目的就是千方百计地寻找密钥或明文 C、对称密码体制中加密算法和解密算法是保密的 D、所有的密钥都有生存周期

30、移动用户有些属性信息需要受到保护，这些信息一旦泄露，会对公众用户的生命财产安全构成威胁。以下各项中，不需要被保护的属性是（）

A、用户身份（ID）B、用户位置信息 C、终端设备信息 D、公众运营商信息

31、以下关于数字证书的叙述中，错误的是（）

A、证书通常有CA安全认证中心发放 B、证书携带持有者的公开密钥 C、证书的有效性可以通过验证持有者的签名 D、证书通常携带CA的公开密钥

32、密码分析学是研究密码破译的科学，在密码分析过程中，破译密文的关键是（）A、截获密文 B、截获密文并获得密钥

C、截获密文，了解加密算法和解密算法 D、截获密文，获得密钥并了解解密算法

33、利用公开密钥算法进行数据加密时，采用的方法是（）A、发送方用公开密钥加密，接收方用公开密钥解密 B、发送方用私有密钥加密，接收方用私有密钥解密 C、发送方用公开密钥加密，接收方用私有密钥解密 D、发送方用私有密钥加密，接收方用公开密钥解密

34、数字信封技术能够（）

A、对发送者和接收者的身份进行认证 B、保证数据在传输过程中的安全性 C、防止交易中的抵赖发送 D、隐藏发送者的身份

35、在DES加密算法中，密钥长度和被加密的分组长度分别是（）

A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位

36、甲不但怀疑乙发给他的被造人篡改，而且怀疑乙的公钥也是被人冒充的，为了消除甲的疑虑，甲和乙决定找一个双方都信任的第三方来签发数字证书，这个第三方为（）

A、国际电信联盟电信标准分部（ITU-T）B、国家安全局（NSA）C、认证中心（CA）D、国家标准化组织（ISO）

37、WI-FI网络安全接入是一种保护无线网络安全的系统，WPA加密模式不包括（）A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK

38、特洛伊木马攻击的威胁类型属于（）

A、授权侵犯威胁 B、渗入威胁 C、植入威胁 D、旁路控制威胁

39、信息通过网络进行传输的过程中，存在着被篡改的风险，为了解决这一安全问题，通常采用的安全防护技术是（）

A、加密技术 B、匿名技术 C、消息认证技术 D、数据备份技术

40、甲收到一份来自乙的电子订单后，将订单中的货物送达到乙时，乙否认自己曾经发送过这份订单，为了解除这种纷争，采用的安全技术是（）

A、数字签名技术 B、数字证书 C、消息认证码 D、身份认证技术

41、目前使用的防杀病毒软件的作用是（）

A、检查计算机是否感染病毒，清除已感染的任何病毒 B、杜绝病毒对计算机的侵害 C、查出已感染的任何病毒，清除部分已感染病毒 D、检查计算机是否感染病毒，清除部分已感染病毒

42、IP地址分为全球地址和专用地址，以下属于专用地址的是（）

A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 / 14

43、下列报告中，不属于信息安全风险评估识别阶段的是（）

A、资产价值分析报告 B、风险评估报告 C、威胁分析报告 D、已有安全威胁分析报告

44、计算机犯罪是指利用信息科学技术且以计算机跟踪对象的犯罪行为，与其他类型的犯罪相比，具有明显的特征，下列说法中错误的是（）A、计算机犯罪具有隐蔽性 B、计算机犯罪具有高智能性，罪犯可能掌握一些其他高科技手段 C、计算机犯罪具有很强的破坏性 D、计算机犯罪没有犯罪现场

45、以下对OSI（开放系统互联）参考模型中数据链路层的功能叙述中，描述最贴切是（）A、保证数据正确的顺序、无差错和完整 B、控制报文通过网络的路由选择 C、提供用户与网络的接口 D、处理信号通过介质的传输

46、深度流检测技术就是以流为基本研究对象，判断网络流是否异常的一种网络安全技术，其主要组成部分通常不包括（）

A、流特征选择 B、流特征提供 C、分类器 D、响应

47、一个全局的安全框架必须包含的安全结构因素是（）

A、审计、完整性、保密性、可用性 B、审计、完整性、身份认证、保密性、可用性 C、审计、完整性、身份认证、可用性 D、审计、完整性、身份认证、保密性

48、以下不属于网络安全控制技术的是（）

A、防火墙技术 B、访问控制 C、入侵检测技术 D、差错控制

49、病毒的引导过程不包含（）

A、保证计算机或网络系统的原有功能 B、窃取系统部分内存 C、使自身有关代码取代或扩充原有系统功能 D、删除引导扇区 50、网络系统中针对海量数据的加密，通常不采用（）

A、链路加密 B、会话加密 C、公钥加密 D、端对端加密

51、安全备份的策略不包括（）

A、所有网络基础设施设备的配置和软件 B、所有提供网络服务的服务器配置 C、网络服务 D、定期验证备份文件的正确性和完整性

52、以下关于安全套接层协议（SSL）的叙述中，错误的是（）

A、是一种应用层安全协议 B、为TCP/IP连接提供数据加密 C、为TCP/IP连接提供服务器认证 D、提供数据安全机制

53、入侵检测系统放置在防火墙内部所带来的好处是（）A、减少对防火墙的攻击 B、降低入侵检测

C、增加对低层次攻击的检测 D、增加检测能力和检测范围

54、智能卡是指粘贴或嵌有集成电路芯片的一种便携式卡片塑胶，智能卡的片内操作系统（COS）是智能卡芯片内的一个监控软件，以下不属于COS组成部分的是（）

A、通讯管理模块 B、数据管理模块 C、安全管理模块 D、文件管理模块

55、以下关于IPSec协议的叙述中，正确的是（）

A、IPSec协议是解决IP协议安全问题的一 B、IPSec协议不能提供完整性 C、IPSec协议不能提供机密性保护 D、IPSec协议不能提供认证功能

56、不属于物理安全威胁的是（）

A、自然灾害 B、物理攻击 C、硬件故障 D、系统安全管理人员培训不够

57、以下关于网络钓鱼的说法中，不正确的是（）

A、网络钓鱼融合了伪装、欺骗等多种攻击方式 B、网络钓鱼与Web服务没有关系 C、典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上 D、网络钓鱼是“社会工程攻击”是一种形式

58、以下关于隧道技术说法不正确的是（）

A、隧道技术可以用来解决TCP/IP协议的某种安全威胁问题 B、隧道技术的本质是用一种协议来传输另外一种协议 C、IPSec协议中不会使用隧道技术 D、虚拟专用网中可以采用隧道技术 / 14

59、安全电子交易协议SET是有VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议。以下关于SET的叙述中，正确的是（）

A、SET是一种基于流密码的协议 B、SET不需要可信的第三方认证中心的参与

C、SET要实现的主要目标包括保障付款安全，确定应用的互通性和达到全球市场的可接受性 D、SET通过向电子商务各参与方发放验证码来确认各方的身份，保证网上支付的安全性 60、在PKI中，不属于CA的任务是（）

A、证书的办法 B、证书的审改 C、证书的备份 D、证书的加密 61、以下关于VPN的叙述中，正确的是（）

A、VPN指的是用户通过公用网络建立的临时的、安全的连接

B、VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路 C、VPN不能做到信息认证和身份认证

D、VPN只能提供身份认证，不能提供数据加密的功能 62、扫描技术（）

A、只能作为攻击工具 B、只能作为防御工具

C、只能作为检查系统漏洞的工具 D、既可以作为工具，也可以作为防御工具 63、包过滤技术防火墙在过滤数据包时，一般不关心（）

A、数据包的源地址 B、数据包的协议类型 C、数据包的目的地址 D、数据包的内容 64、以下关于网络流量监控的叙述中，不正确的是（）

A、流量检测中所检测的流量通常采集自主机节点、服务器、路由器接口和路径等 B、数据采集探针是专门用于获取网络链路流量的硬件设备 C、流量监控能够有效实现对敏感数据的过滤 D、网络流量监控分析的基础是协议行为解析技术

65、两个密钥三重DES加密：C=CK1[DK2[EK1[P]]],K1≠K2，其中有效的密钥为（）A、56 B、128 C、168 D、112 66、设在RSA的公钥密码体制中，公钥为（c，n）=（13,35），则私钥为（）A、11 B、13 C、15 D、17 67、杂凑函数SHAI的输入分组长度为（）比特 A、128 B、258 C、512 D、1024 68、AES结构由以下4个不同的模块组成，其中（）是非线性模块 A、字节代换 B、行移位 C、列混淆 D、轮密钥加 69、67mod119的逆元是（）

A、52 B、67 C、16 D、19 70、在DES算法中，需要进行16轮加密，每一轮的子密钥长度为（）A、16 B、32 C、48 D、64 / 14 71-75（1）isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic（2）thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas:

Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl（3）Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore（4）thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled（5）signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.（1）A、Cryptography

B、Geography

C、Stenography

D、Steganography（2）A、methods

B、software

C、tools

D、services（3）A、Member

B、Management

C、Message

D、Mail（4）A、powerful

B、sophistication

C、advanced

D、easy（5）A、least

B、most

C、much

D、less / 14

二、案例分析

试题一（共20分）

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】

研究密码编码的科学称为密码编码学，研究密码破译的科学称为密码分析学，密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。【问题1】（9分）

密码学的安全目标至少包括哪三个方面？具体内涵是什么？ 【问题2】（3分）

对下列违规安全事件，指出各个事件分别违反了安全目标中的哪些项？（1）小明抄袭了小丽的家庭作业。（2）小明私自修改了自己的成绩。

（3）小李窃取了小刘的学位证号码、登录口令信息、并通过学位信息系统更改了小刘的学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。【问题3】（3分）

现代密码体制的安全性通常取决于密钥的安全，文了保证密钥的安全，密钥管理包括哪些技术问题？ 【问题4】（5分）

在图1-1给出的加密过程中，Mi，i=1，2，„，n表示明文分组，Ci，i=1,2，„，n表示密文分组，Z表示初始序列，K表示密钥，E表示分组加密过程。该分组加密过程属于哪种工作模式？这种分组密码的工作模式有什么缺点？ / 14

试题二（共10分）

阅读下列说明和图，回答问题1至问题2，将解答填入答题纸的对应栏内。【说明】

访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。

【问题1】（3分）

针对信息系统的访问控制包含哪些基本要素？ 【问题2】（7分）

分别写出图2-1中用户Administrator对应三种访问控制实现方法，即能力表、访问控制表、访问控制矩阵下的访问控制规则。/ 14 试题三（共19分）

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】

防火墙是一种广泛应用的网络安全防御技术，它阻挡对网络的非法访问和不安全的数据传递，保护本地系统和网络免于受到安全威胁。

图3-1改出了一种防火墙的体系结构。

【问题1】（6分）

防火墙的体系结构主要有：（1）双重宿主主机体系结构；（2）（被）屏蔽主机体系结构；（3）（被）屏蔽子网体系结构； 请简要说明这三种体系结构的特点。【问题2】（5分）

（1）图3-1描述的是哪一种防火墙的体系结构？

（2）其中内部包过滤器和外部包过滤器的作用分别是什么？ 【问题3】（8分）

设图3-1中外部包过滤器的外部IP地址为10.20.100.1，内部IP地址为10.20.100.2，内部包过滤器的外部IP地址为10.20.100.3，内部IP地址为192.168.0.1，DMZ中Web服务器IP为10.20.100.6，SMTP服务器IP为10.20.100.8.关于包过滤器，要求实现以下功能，不允许内部网络用户访问外网和DMZ，外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2，将对应空缺表项的答案填入答题纸对应栏内。/ 14 / 14 试题四（共18分）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。【说明】

用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。1.B–>B：A 2.B–>A：{B，Nb}pk（A）3.A–>B：b（Nb）

此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。【问题1】（5分）

认证和加密有哪些区别？ 【问题2】（6分）

（1）包含在消息2中的“Nb”起什么作用？（2）“Nb”的选择应满足什么条件？ 【问题3】（3分）

为什么消息3中的Nb要计算哈希值？ 【问题4】（4分）

上述协议存在什么安全缺陷？请给出相应的解决思路。/ 14 试题五（共8分）

阅读下列说明和代码，回答问题1和问题2，将解答卸载答题纸的对应栏内。【说明】

某一本地口令验证函数（C语言环境，X86_32指令集）包含如下关键代码：某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

【问题1】（4分）

用户在调用gets()函数时输入什么样式的字符串，可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制？ 【问题2】（4分）

上述代码存在什么类型的安全隐患？请给出消除该安全隐患的思路。/ 14 2016下半年信息安全工程师考试真题答案

一、单项选择

1:C 2:C 3:D 4:D 5:D 6:A 7:D 8:A 9:D 10:C 11:B 12:D 13:D 14:A 15:A 16:C 17:D 18:C 19:B 20:D 21:B 22:A 23:B 24:B 25:B 26:C 27:D 28:C 30:D 31:D 32:D 33:C 34:B 35:A 36:C 37:C 38:C 39:C 40:A 41:D 42:B 43:B 44:D 45:A 46:D 47:B 48:D 49:D 50:C 51:C 52:A 53:B 54:B 55:A 56:D 57:B 58:C 59:C 60:D 61:A 62:D 63:D 64:C 65:D 66:B 67:C 68:A 69:C 70:C 71:A 72:A 73:C 74:B 75:A

二、案例分析

试题一（共20分）信管网参考答案： 【问题一】

（1）保密性：保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。

（2）完整性：完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

（3）可用性：可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。【问题二】（1）保密性（2）完整性（3）可用性 【问题三】

答：密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。【问题四】

明密文链接模式。

缺点：当Mi或Ci中发生一位错误时，自此以后的密文全都发生错误，即具有错误传播无界的特性，不利于磁盘文件加密。并且要求数据的长度是密码分组长度的整数倍，否则最后一个数据块将是短块，这时需要特殊处理。

试题二（共10分）信管网参考答案： 【问题1】

主体、客体、授权访问 【问题二】 能力表：

（主体）Administrator<（客体）traceroute.mpg：读取，运行> 访问控制表：

（客体）traceroute.mpg<（主体）Administrator：读取，运行> 访问控制矩阵： / 14 试题三（共19分）信管网参考答案： 【问题一】

双重宿主主机体系结构：双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。

被屏蔽主机体系结构：被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内外网络的隔离和对内网的保护。

被屏蔽子网体系结构：被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络，并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成，分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题二】

（1）屏蔽子网体系结构。

（2）内部路由器：内部路由器用于隔离周边网络和内部网络，是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划，对内部用户访问周边网络和外部网络进行限制。

外部路由器：外部路由器的主要作用在于保护周边网络和内部网络，是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则，该规则主要针对外网用户。【问题三】

（1）*（2）10.20.100.8（3）10.20.100.8（4）*（5）UDP（6）10.20.100.3（7）UDP（8）10.20.100.3 试题四（共18分）信管网参考答案： 【问题一】

认证和加密的区别在于：加密用以确保数据的保密性，阻止对手的被动攻击，如截取，窃听等；而认证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。【问题二】

（1）Nb是一个随机值，只有发送方B和A知道，起到抗重放攻击作用。（2）应具备随机性，不易被猜测。【问题三】

哈希算法具有单向性，经过哈希值运算之后的随机数，即使被攻击者截获也无法对该随机数进行还原，获取该随机数Nb的产生信息。【问题四】

攻击者可以通过截获h（Nb）冒充用户A的身份给用户B发送h（Nb）。

解决思路：用户A通过将A的标识和随机数Nb进行哈希运算，将其哈希值h（A，Nb）发送给用户B，用户B接收后，利用哈希函数对自己保存的用户标识A和随机数Nb进行加密，并与接收到的h（A，Nb）进行比较。若两者相等，则用户B确认用户A的身份是真实的，否则认为用户A的身份是不真实的。试题五（共8分）信管网参考答案： 【问题一】

只要输入长度为24的字符串，其前12个字符和后12个字符一样即可。【问题二】

篇6：信息安全考试重点

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全问题可以定位在五个层次：物理安全、网络安全、系统安全、应用安全和安全管理 信息安全具有三个目标：机密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。完整性：保证数据的一致性，防止数据被非法用户篡改。可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。

常用的网络命令

1、ping命令是DOS命令，一般用于检测网络是否通畅以及网络连接速度，其结果值越大，说明速度越慢。用法有以下：ping IP，ping URL，ping IP-t，ping IP-l 3000，ping IP-n count

2、ipconfig命令ipconfig 可用于显示当前的TCP/IP配置的设置值，这些信息一般用来检验人工配置的TCP/IP设置是否正确。用法有 ipconfig，ipconfig/all3、netstat命令 用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。用法有 netstat-a，netstat-n，netstat-r4、arp命令 用于确定对应IP地址的网卡物理地址。

5、net命令用于核查计算机之间的NetBIOS连接，可以查看管理网络环境、服务、用户、登录等信息内容。用法有 net share，net start

6、at命令是Windows系列操作系统中内置的命令。At命令可在指定时间和日期、在指定计算机上运行命令和程序。

7、tracert命令显示用于将数据包从计算机传递到目标位置的一组IP路由器，以及每个跃点所需的时间，用法有tracert IP或tracert URL，tracert IP-d或tracert URL-d

8、route命令是用来显示、添加和修改路由表项的，用法如下route print，route add，route change，route delete

9、nbtstat命令用来释放和刷新NetBIOS名称，用于提供关于NetBIOS的统计数据，用法如下 nbtstat-n，nbtstat-c，nbtstat-r，nbtstat-a IP

攻击是对系统安全策略的一种侵犯，是指任何企图破坏计算机资源的完整性、机密性以及可用性的活动。攻击的分类：按照威胁的来源分类1）外来人员攻击2）内部人员攻击，按照安全属性分类1)阻断攻击2）截取攻击3）篡改攻击4）伪造攻击，按照攻击方式分类1）被动攻击2）主动攻击，按照入侵者的攻击目的分类1）拒绝服务攻击2）利用型攻击3）信息收集型攻击4）假消息攻击

网络踩点也就是信息收集，踩点技巧归纳中收集的信息包括：域名，IP地址，TCP和UDP服务，系统体系结构，设备旗标，网络拓扑结构，认证控制

网络扫描是进行信息收集的一项必要工作，可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。安全漏洞是指计算机系统具有的某种可能被入侵者恶意利用的属性。为什么进行网络扫描：很多入侵者常常通过发现存活的目标及其存在的安全漏洞，然后通过漏洞入侵目标系统。为了解决安全问题，网络管理员也常借助于扫描器对所管辖的网络进行扫描，以发现自身系统中的安全隐患，然后修补漏洞排除隐患。为了解决安全隐患和提高扫描效率，很多公司和开源组织开发了各种各样的漏洞评估工具。发现目标的扫描有Ping扫描和ICMP查询两种，都是用来确定目标主机是否存活。端口扫描就是发送信息到目标计算机的所需要扫描的端口，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。端口扫描原理：端口扫描向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来贩毒案服务端口是打开还是关闭，从而得知端口提供的服务或消息。常见的端口扫描技术有TCP connect全连接扫描，TCP SYN半连接扫描，秘密扫描，间接扫描。扫描工具：Nmap-扫描器之王，Nessus-分布式扫描器，X-Scan扫描器。网络监听可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，但它又同时又带来了信息失窃等安全隐患。

网络监听工具：Sniffer Pro，Ethereal，Sniffit，Dsniff其中Sniffer Pro是NAI推出的图形化嗅探器。黑客攻击的一般流程是：踩点—扫描—入侵—获取权限—提升权限—清除日志信息 踩点：获得信息的过程。扫描：是进行信息收集的一项必要工作，可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。入侵：在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。攻击的方法与技术：密码破解攻击，缓冲区溢出攻击，欺骗攻击，Dos/DDos攻击，SQL注入攻击，网络蠕虫和社会工程攻击等。密码破解攻击有字典攻击，混合攻击，暴力攻击，专业攻击LC5

缓冲区溢出攻击主要是通过网程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而达到破坏程序的堆栈，是程序转而执行其他指令，以达到攻击的目的。欺骗攻击有：源IP地址欺骗攻击，源路由欺骗攻击。

SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。

木马是一种基于远程控制的黑客工具，具有隐蔽性和非法授权性的特点。其传播方式有：通过E-mail，通过软件下载。常见的木马攻击类型：密码发送型木马，键盘记录型木马，毁坏型木马，FTP型木马。

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的特征：传染性，隐蔽性，潜伏性，破坏性。计算机病毒的命名格式<病毒前缀>.<病毒名>.<病毒后缀>，病毒前缀是指一个病毒的种类，是用来区别病毒的种族分类。病毒名是指一个病毒的家族特征，是用来区别和标志病毒家族的。病毒后缀是指一个病毒的变种特征，用来区别具体某个家族病毒的某个变种。

恶意软件也称为流氓软件，是对破坏系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间，同时具备正常功能和恶意行为，给用户带来实质性危害。恶意软件有以下特征：强制安装，难以卸载，浏览器劫持，广告弹出，恶意卸载，恶意捆绑等

网络的物理安全风险主要指由于网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用。比如设备被盗，设备老化，意外故障，无线电磁辐射泄密等。防火墙通常是运行在一台或多台计算机之上的一组特别的服务软件，用于对网络进行防护和通信控制。内部网络与外部网络所有通信的数据包都必须经过防火墙，防火墙只放行合法的数据包。防火墙的规则：1）接受—允许通过 2）拒绝—拒绝信息通过，通知发送信息的信息源 3）丢弃—直接丢弃信息，不通知信息源。防火墙的优点主要包括：1）可以完成整个网络安全策略的实施。2）可以限制对某种特殊对象的访问。3）具有出色的审计功能，对网络连接的记录、历史记录、故障记录等都具有很好的审计功能、4）可以对有关的管理人员发出警告。5）可以将内部网络结构隐藏起来。防火墙的缺点、弱点：1）不能防止不经过它的攻击，不能防止授权访问的攻击。2）只能对配置的规则有效，不能防止没有配置的访问。3）不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。4）不能防止针对一个设计上有问题的系统攻击。防火墙技术包括1）包过滤技术 是防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。2）应用网关技术接受内、外部网络的通信数据包，并根据自己的安全策略进行过滤，不符合安全协议的信息被拒绝或丢弃。3）电路级网关技术常被称为线路级网关，它工作在会话层，在两个主机首次建立TCP连接时创建一个电子屏障，它作为服务器接收外来请求、转发请求，与被保护主机连接时，则担当客户机的角色，起代理服务的作用。4）状态监测技术当数据包达到防火墙的接口时，防火墙判断数据包是不是属于一个已经存在的连接，如果是就对数据包进行特征检测，并判断策略是否允许通过，如果允许就转发到目的端口并记录日志，否则就丢掉数据包。5）代理服务器技术代理服务器防火墙作用在应用层，用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。6）网络地址转换技术（NAT）堡垒主机是网络上最容易遭到非法入侵的设备，构建堡垒主机应注意以下几点：1）选择合适的操作系统，它需要可靠性好，支持性好，可配置性好。2）堡垒主机的安装位置3）堡垒主机提供的服务4）保护系统日志5）进行监测和备份。防火墙的性能指标有：吞吐量、报文转发率、最大并发连接数、每秒新建连接数。

FDT指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。防火墙的常见产品：Check Point FireWall-1，Gauntlet，NetEye，天网防火墙，瑞星防火墙，Linux自带防火墙iptables。入侵检测技术包括异常检测技术和误用检测技术。异常检测也称基于行为的检测，是指根据使用者的行为或资源使用情况来判断是否发生了入侵，而不依赖于具体行为是否出现来检测。入侵检测有四种可能性：是入侵但非异常；非入侵但表现异常；非入侵且非异常；是入侵且异常。该技术包括的方法：1）用户行为概率统计模型2）预测模式生成3)神经网络。

误用检测技术也称基于知识的检测，它是指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。它通过分析入侵过程的特征、条件、排列以及事件间的关系来描述入侵行为的迹象。误用检测技术首先要定义违背安全策略事件的特征，判别所搜集到的数据特征是否在所搜集的入侵模式库中出现。该技术包括的方法：1）专家系统2）模型推理3）状态转换分析4）模式匹配5）键盘监控

是一种能够将物理上分布在不同地点的网络通过公共骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。它提供了通过公用网络安全地对企业内部网络进行远程访问的连接方式。VPN安全技术有：1）隧道技术2）加密技术3）身份认证技术：安全口令，PPP认证协议，使用认证机制的协议4）密钥管理技术

密码学是研究编制密码和破解密码的技术科学。密码体制的基本类型：1）错乱—安全规定的图形和线路，改变明文字母或数码等的位置成为密文。2）代替—用一个或多个代替表将明文字母或数码等代替密文3）密本—用预先编定的字母或数字密码组，代替一定的词组单词等变明文为密文4）加乱—用有限元素组成的一串序列作为乱数，按规定的算法，同明文序列等变明文为密文。进行明密变换的法则称为密码的体制，指示这种变换的参数称为密钥。密码体制的分类：对称密码体制和非对称密码体制。对称密码体制又称单钥或私钥或传统密码体制。非对称密码体制又称双钥或公钥密码体制。对密码的攻击类型有：1）唯密文攻击2）已知明文攻击3）选择明文攻击4）选择密文攻击。古典密码学有：古典加密方法，代替密码，换位密码。对称密码学有：DES加密算法 是一种常规密码体制的密码算法，是64位的比特。非对称加密算法是指用于加密的密钥与用于解密的密钥是不同的，而且从加密的密钥无法推导出解密的密钥。RSA算法是目前应用最为广泛的公钥密码算法。

散列函数也称为Hash函数、杂凑函数、哈希算法、散列算法。它通过把一个单向数学函数应用于数据，将任意长度的一块数据转换为一个定长的、不可逆的数据。可以敏感地检测到数据是否被篡改。散列函数的特点：1）接受的输入报文数据没有长度限制。2）对输入任何长度的报文数据能够生成该电文固定长度的摘要输出3）从报文能方便地算出摘要4）极难从指定的摘要生成一个报文，而由该报文又反推算出该指定的摘要5）两个不同的报文极难生成相同的摘要。Hash算法在信息安全反面主要体现在：1）文件校验2）数字签名3）鉴权协议。以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由4个32位分组组成，将这4个32位分组级联后将生成一个126位散列值。数字签名就是通过某种密码算法运算生成一系列字符及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可以进行技术验证，其验证的准确度是一般手工签名和图章的验证无法比拟的。数字签名目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。

利用数字证书标识密钥持有人的身份，通过对密钥的规范化管理，为管理机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保密性和完整性、杭抵赖等各种必要的安全保障，满足各种应用系统的安全需求。PKI是提供公钥加密和数字签名服务的系统，目的是为了自动管理密钥和证书，保证网上数字信息传输的机密性、真实性、完整性和不可否认性。PKI的作用：1）对身份合法性进行验证2）实现数据保密性和完整性 3）实现数据传输安全性4）实现数字签名和不可抵赖性

PKI的体系结构可以有三种情况：单个CA，分级（层次）结构的CA和网状结构的CA。PKI的组成：PKI公钥基础设施体系主要由密钥管理中心，CA认证机构，RA注册审核机构，证书/CRL发布系统和应用接口系统五部分组成。一个典型、完整、有效地PKI应用系统至少应具有以下部分：公钥密码证书管理，黑名单的发布和管理，密钥的备份和管理，自动更新密钥，自动管理历史密钥，支持交叉认证。PKI的标准：1）X.209ASN.1基本编码规则的规范2）X.500信息技术之开发系统互联：概念、模型及服务简述3）X.509信息技术之开放系统互联：鉴别框架4）PKCS系列标准5）OCSP在线证书状态协议6）LDAP轻量级目录访问协议

数字证书就是网络通信标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。数字证书的内容：1）证书数据：版本信息，证书序列号，CA所使用的签名算法，发行证书CA的名称，证书的有效期限，证书主题名称等2）发行证书的CA签名

SQL注入攻击的防范：（1）Web服务器的安全配置1）修改服务器初始配置2）及时安装服务器安全补丁3）关闭服务器的错误提示信息4）配置目录权限5）删除危险的服务器组件6）及时分析系统日志