信息安全工程师考试

关键词：大纲科目工程师考试

信息安全工程师考试（通用6篇）

篇1：信息安全工程师考试

考试教材：2017年上半年(预计5月)完成注册安全工程师考试大纲修订工作，6月会发售，各科目教材、考试大纲等均出现较大调整，增强安全技术考核的针对性，满足不同行业领域对安全专业技术人员的需求。

考试科目：2017年注册安全工程师考试将分为公共科目和专业科目。

安全工程师执业将根据行业领域安全声场特点，划分为煤矿安全、金属与非金属矿山安全、危险物品安全、工程建设安全、金属冶炼安全、交通运输安全、机械制造安全、安全评价检测、职业健康等专业类别;

注册安全工程师考试也将分为煤矿、金属与非金属矿山、危险物品、建筑施工、金属冶炼、道路运输、其他(通用)七个安全专业类别。

也就是2017年开始您报考的科目将是这样的：

报名时间：预计2017年7月陆续开始报名

考试周期：考试成绩由2年调整为4年为一个滚动周期，预计考后两个月后即可查分;

考试级别：注册安全工程师将划分三个等级：高级安全工程师、中级安全工程师(以前的安全工程师直接为中级)、初级安全工程师(以前的助理安全工程师直接为初级)三个级别。类似我们熟知的一级建造师、二级建造师。

报考条件: 原报考条件中的工程经济类专业调整为工程工学类;报考的最低学历要求由中专提高至大专;取得初级注册安全工程师执业资格注册登记执业满3年的可以报考中级注册安全工程师。高级安全工程师报考办法另行通知。

免考条件：

凡符合一级注册安全工程师执业资格考试报名条件，符合下述条件之一者，可免试《安全生产管理》和《安全生产通用技术》2个科目，只参加《安全生产相关法律法规》和《安全生产专业实务》2个科目的考试。

1.截止2013年12月31日之前已评聘高级工程师专业技术职务，并从事安全生产相关业务工作满10年的专业人员;

2.安全工程专业经中国工程教育认证。

增项考试：三年内通过一个方向的四门考试，成绩合格后，可以增项其他任一专业方向，考试通过后可以申请注册两个专业类别。注册办法另行规定。执业证有效期由3年调整为6年。

2015年及以前通过部分科目考试的考生成绩如何保留?

答：若2017年考试成绩调为四年滚动，2015年及以前通过部分科目考试的考生成绩预计会保留，2017年必须完成剩余科目考试，如2017年没有通过四科目，2018年起必须重新报考四科目内容;2017年首次报考的学员在连续的4个考试年度内通过全部科目即可(具体以当地人考中心公布政策为准)。

1.2017年注册安全工程师考试教材

2.安全工程师考试六大复习技巧

3.2016安全工程师考试复习方略

4.2017安全工程师考试包括条件及方式

5.安全工程师考试科目、时间及合格标准

6.2016年安全工程师考试复习方略

7.2017年安全工程师考试做题技巧

8.2017福建安全工程师考试报考流程

9.安全工程师考试条件

篇2：信息安全工程师考试

1.获取军事情报

通过电子侦察，可以获取到地方无线电通信的内容、敌方电子设备的有关技术参数以及地方兵器属性、类别、数量、配置和位置等情报，从而判断敌方兵力部署和行动企图。2.破坏敌方作战指挥

在陆、海、空军协同作战，坦克集群突防，飞机或舰艇编队行动，空降作战，海上登陆作战以及军队被围时，无线电通信是唯一的通信手段。3.保卫重要目标

使用伪装器材对机场、桥梁、炮阵地、坦克集群等目标进行反可见光、反红外、反雷达的伪装，可以隐真示假，减少被敌人打击摧毁的机会。电子侦察与反电子侦察

（一）无线电通信侦察与反侦察 1.侦收与识别

要侦收敌方无线电通信，己方接收机就必须在工作频率上和敌方相同，在解调方式上和敌方电台调制方式相适应。

2.测向与定位

用无线点定向接收设备来测定正在工作的无线点发射台的方位，称为测向。其接收设备称为无线电测向机。3.反侦察

反侦察的方法有以下几种

（1）使用异常通信活其他通信手段。

(2)采用保密通信设备或进行无线电台伪装，实施佯动和欺骗。（3）使用定向天线、适当控制发射功率。（4）使用新的调制方式。雷达侦察机的组成

雷达侦察机由天线、天线控制设备、接收机和终端设备4部分组成雷达侦察机的作用

1.发现敌方带雷达的目标。现代化兵器多数是由无线电子设备控制发射和制导的。这些兵器在工作时都要发射电磁波，从而给雷达对抗侦查创造了条件。

2.测定敌方雷达的主要参数，确定雷达和目标的性质。3.引导干扰机和引导干扰杀伤武器。电子干扰与反干扰

电子干扰就是通过干扰电磁波或使用其他器材吸收、反射电磁波，达到干扰和欺骗敌方电子设备，使其不能正常工作的目的。无线电通信干扰

无线电通信干扰的基本原理是：当干扰信号的频率与通信信号相同或接近时，接收设备就会同时收到干扰与通信信号，从而扰乱接收设备对正常信号的接收。无线电通信反干扰的措施

无线电通信反干扰的主要措施有增大发射功率、缩短通信距离、提高信号与干扰的强度比，是信号强度超过干扰强度。如果发射机功率不能改变，可以增设通信中继站，缩短通信距离，提高收信端的通信强度。雷达干扰与反干扰

（一）雷达干扰

（1）有源干扰。利用雷达干扰设备(干扰机）发射无线电波对敌雷达造成的干扰，称为有源干扰。有源干扰常用的有压制性干扰和欺骗性干扰。

（2）无源干扰。无源干扰与有源干扰的区别在于它不是通过发射无线电波对敌方造成干扰，而是利用反射无线电波或衰减“吸收”无线电波的器材造成干扰。(二）雷达反干扰的主要方法有

（1）增大雷达的发射功率。（2）改变雷达的工作频率。（3）扩展雷达的工作频率。（4）提高雷达天线的方向性、（5）动目标显示。

一、考试作弊事件及其中的信息安全

1、吉林四平考研作弊事件

吉林四平考研作弊事件经媒体曝光后，引发社会极大关注相关负责人表示，其中使用的作弊器更涵盖了一些高科技的手段，如“作弊手表”“作弊耳机”等。考试时从考场外发射答案，考生戴上特殊的手表、耳机等在考场内就能收到答案。这些作弊器常做成黄豆大小的东西，并且能藏在衣服里，由于多是碳棒，由于是炭棒，金属探测仪探测不出来。

为调查作弊事件，CCTV记者联系了一个卖家。她约记者在四平市加州旅馆见面。来到约定的房间，记者发现里面进进出出有好几个人，似乎有不同的分工。这个女孩也拿出一套无线耳机设备，指导着记者戴上。在这里，记者意外看到了传送答案的发射设备。这是个类似电台的设备，看上去体积不大，携带方便，在窗台上还连着一根天线。这个小伙子正是用这个器材为记者戴着的无线耳机发送信息。经过记者的调查，这些设备在考试是能够成功逃过考场的信号屏蔽，为作弊考生传输正确率极高的答案。

其中所涉及的作弊仪器包括反屏蔽手表短信接收器、反探测手表式信息接收机、隐形无线耳机等等。

2、松源高考作弊事件

据四川新闻网报道，吉林省松原市扶余县第一中学两位老师刘艳华和何淑杰由于向毕业生家长出售高考作弊器材，在高考前的6月4日被警方抓获，至今在押。

刘艳华交代，她先后向考生家长兜售了27套作弊设备，并向考生家长许诺，到高考时自己能给考生传答案。在扶余县公安局，陈国庆副局长将收缴的作弊设备展示给记者：“这是发射器，能够通过这个将答案发送出去。”他拿起一块橡皮：“这是接收器。”正在记者疑惑时，他抽开橡皮，露出一块液晶显示器：“这样的橡皮和这样花生大小的耳机，他们一共卖出去了27套。”随着科技的发展，作弊器材也在与时俱进。现在的作弊方式多是通过在考场外架设无线电台，向考场内发射信号，考生利用无线耳机接听，或者是通过光电密显类的接收屏偷看。手表、橡皮、直尺袋都成了伪装的对象。在考场，一块普通的手表也许都是暗藏玄机，令人意想不到的是眼镜、橡皮擦、矿泉水、笔、钱包、背心、腰带等，这些不太引人注意的物品经过高科技包装，都成了隐蔽性极强的作弊器材。以尺子型作弊工具为例，其外形和普通尺子一模一样，看上去没有显示屏、按键或充电孔，但这些“机关”真实存在。这种尺子配有一支笔，当笔触到尺子的指定位置时，隐藏在尺子内的液晶显示屏就会显示数字、字符，按动笔上的机关，屏幕就可以前后翻页，用以接收考试答案。

二、手机信息安全

1、敌方通过窃听手机获取情报

通过卫星传输的移动电话很容易被窃听,许多发达国家的情报部门、军方和重要政府部门,都禁止在办公场所使用移动电话,即使是关闭的手机也不允许带入。美国等军事强国已经建立起覆盖全球的电子监听网络系统,广泛地收集对手或潜在对手的电子情报。情报专家直言,即使不使用手机,也可通过简单的电信暗码,遥控打开手机,窃听任何谈话。比如美国国家安全局建立的“梯队系统”,全世界95 %的通信信息都要经过这一系统的过滤,包括电话、文传、电子邮件等。手机通信是一个开放的系统,只要有相应的接收设备,就能够截获任何时间、任何地点、任何人的通话信息。在伊拉克战争中,美军特种部队和中央情报局特工都采取手机窃听战术,截获了伊拉克高官的重要通信信息,掌握他们的行踪。2 手机蓝牙的漏洞

越来越多的蓝牙功能手机,面临一个蓝牙安全的问题。用一个带有蓝牙设备的笔记本,这上面运行着内置了蓝牙支持的SuSE Linux 9.3(目前大部分的蓝牙安全工具包括故事中出现的工具都运行于Linux 之上)。通过一些方法(比如Linux 系统所提供的hcitool 工具集进行探测)就可以扫描到周围的蓝牙设备, 然后通过检测的设备名识别其型号,或通过地址识别制造商,再验证蓝牙设备的指纹进而确定手机的型号。然后就可以利用手机的安全漏洞进行攻击。这种攻击是基于这样一种原理:通过连接到蓝牙设备的OPP(对象交换传输规格)可以在设备之间交换各种信息,例如电话簿等等,由于厂商的原因,一些型号的蓝牙设备存在脆弱点,使攻击者可以在无须认证的情况下连接到这些设备上,下载设备中的资料(电话簿、日程安排信息、图片或其他数据文件)。除此之外还可以操纵手机进行拨号、短信发送和互联网访问等活动,这种攻击被称之为BlueBug 攻击。

淘汰的旧手机泄密

人们喜欢把各种敏感信息贮存手机里,而手机信息都存储在闪存上,但要永久删除其中的信息很缓慢,手机厂商为了不至于手机删除信息显得慢就采用不彻底的方法来弥补这一缺点。这就带来一个安全问题。当你更换手机时,原有手机的信息就可以通过互联网上的廉价的专门软件得以恢复。这样手机中的信息就会造成泄密。

手机面临的信息安全威胁: 手机分为功能手机和智能手机，它们所面临的安全威胁是不同的，功能手机采用的是扩展性比较小，手机出厂后用户不能进行软件安装，智能手机有一个开放的操作系统平台如Windows等，有更大的安全威胁。目前手机软件向开放化、智能化的方向发展。手机后装应用软件成为一个主流，后面应用软件给用户带来便利的同时，也会给病毒的传播带来一个可乘之机，手机集成的很多的用户应用，丰富了用户的体验，也可能成为病毒传播的一个途径。还有一些应用，比如说手机支付，这个业务对手机安全性提出了一个更高的要求，只有基于安全的使用环境，类似的业务才能更好的发展。外部接口提供了与外界接触的渠道，这么多的外部接口，也是危险的途径，外界接口的信息没有特殊的保护，病毒会从外界接口进行入侵。

3、通信技术我们现在不断地发展，从2.5到4G，我们可以看到接入网络的速度是越来越高。高带宽的情况下，给用户带来了很多方便，但同时也给用户手机带来更大范围的信息威胁。技术发展有两面性，一方面让手机的能力增强，另外一方面让手机出现了很多漏洞。还有一些特殊应用，对手机的信息安全提出了更高的要求，没有安全环境无法施展拳脚，手机存储的私秘信息越多，对安全的要求也就随着增加。

手机信息安全事件手机监听。即宣称只要告诉别人电话号码，就可以提前听到电话号码，插入一个卡，进行远距离无限制的监听。

病毒。病毒非常的多样，影响非常广泛的，不知道上面有的弹性病毒，短信炸弹，躲猫猫病毒等等，有些病毒是利用了手机本身存在的漏洞，有的利用了是手机开放的接口。

不良信息。如骚扰电话、促销广告、诈骗短信等。

 网上支付的安全问题

网上支付的安全问题：交易支付信息被篡改、截获、盗取。交易信息假冒。交易抵赖。7.1.2 网上支付安全的主要内容

电子商务安全从整体上分为两大部分：计算机网络安全和商务交易安全。

计算机网络安全的内容主要包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特点是针对计算机网络本身可能存在的安全问题问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全是指在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，实现电子商务交易支付结算的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。包括交易支付过程中的各种交易安全技术，如SET、SSL、安全认证手段和CA体系等。7．3 金融安全认证

05年：银监会国内各银行的网银业务拥有的用户中懂得使用中国金融认证中心安全证书的用户不到三成。能窃取账号、密码和验证码的黑客软件“网银大盗” ；“假银行网站事件”

在网银信誉面临考验的情况下，中国金融认证中心联合全国16家商业银行一起发起了“放心安全用网银”宣传活动

中国金融认证中心总经理李晓峰指出，除了最易被攻破的“账号加密码”的简单方式外，网上身份认证机制还有更好的选择——数字证书认证机制，不法分子即使窃取了账号和密码也取不到钱。已在工行、建行、交行、中信实业等20多家商业银行建立了证书注册审批系统。

如果发生安全问题，中国金融认证中心承诺对网银用户进行赔付：对企业高级证书用户赔付上限为人民币80万元，对企业普通用户赔付上限为50万元，对个人用户赔付上限为2万元。1)数字签名数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同，数字签名的目的是为了保证信息的完整性和真实性。数字签名必须保证以下3点：

（1）接受者能够核实发送者对消息的签名；（2）发送者事后不能低赖对消息的签名；（3）接受者不能伪造对消息的签名。2)数字证书

（1）Digital Certificate,又称公开密钥证书或“数字标识（Digital ID）”，是由权威的、可信赖的、公正的第三方机构――认证中心颁发给网上用户的一段包含用户身份信息、密钥信息以及认证中心数字签名的数据，它把第一个特定的公开密钥与它的所属者的描述信息进行绑定，其包含的信息可建立使用者在网络上进行交易或从事活动时的身份识别功能，所以常把它比喻为电子身份证。3)认证中心（CA）

（2）在电子商务交易过程中，无论是数字签名还是数字证书的发放都不是由交易双方自己来完成的，必须有一个具有权威性和公开性的第三方来完成。

（3）CA（Certificate Authority），承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心是PKI体系中的核心，是由一组计算机硬件、软件以及管理人员组成的，扮演着如同现实世界中的派出所的户藉管理机构这样的角色。

网上支付哪里存在安全隐患？

人们对任何事物关注点与该事物发展阶段变化而变化。在事物的不同发展阶段，风险点发生变化，社会对此的关注点可能发生变化。对于网上支付，当前的主流方式是通过银行卡（包括信用卡、借记卡和支付卡等）这种支付工具，通过浏览器输入必要的支付认证信息，经发卡行认证授权后扣款完成在线支付。现阶段的支付风险主要存在于：

●支付密码泄漏。一旦攻击者通过某种方式得到支付密码，可以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。这是人们对网上支付安全的主要担心所在。

●支付数据被篡改。在缺乏必要的安全防范措施情况下，攻击者可以通过修改互联网传输中的支付数据。譬如，攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等，达到谋利目的并制造互联网支付事件。

●否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作，若付款人否认发出资金划出指令，商业银行将处于被动局面；对于资金划入操作，若商业银行否认资金划入操作，收款人将处于不利境地。如何减少支付风险？

降低风险需要根据风险点的不同特征采取不同的风险控制措施。我们先来看看怎样“看护”好我们的支付密码。攻击者通常用哪些手段得到得到支付密码呢？

●骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信（邮件）。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗，乖乖地向其泄漏自己的银行卡支付密码。

●支付终端截取。攻击者可以在持卡人电脑上发布恶意软件（如木马软件）。这些软件能在持卡人输入支付密码时悄无声息地捕获，并偷偷地发送出去。

●网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。

●暴力攻击。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机，攻击者可以采用密码词典（密码词典包含了0－9数字不同字长的各种数字串组合）方式逐个试探。

●其它途径获取。攻击者趁持卡人不注意，在银行柜台、ATM或POS终端记下持卡人的支付密码。

支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出，我们首先要具有安全意识和基本防范技能。持卡人应注意：

识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此，持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商，熟悉其域名，并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式，可以帮助持卡人识别假网站。

虚假短信（邮件）相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后，应确认短信发送者的真实身份或短信内容。

密码保护还需要持卡人注意不要设置简单的密码。如不要采用类似“123456”的简单数字组合、自己或亲人的生日信息、电话号码。此外，还注意支付终端的安全性，如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时，还要注意在其它场所支付输入密码时不轻易为他人偷窥、摄像等，不要将密码记录在被人容易看到的纸片上。

篇3：网络考试系统中的信息安全管理

1 采用考试用户人体生物特征认证

生物特征识别技术是利用人的生理特征或行为特征,来进行个人身份的鉴定。传统的身份认证由于极易伪造和丢失,越来越难以满足社会的需求,目前最为便捷与安全的解决方案无疑就是生物识别技术。它不但简洁快速,而且利用它进行身份的认定,安全、可靠、准确。在网络考试系统中用到的生物特征认证主要包括指纹识别、人脸识别、虹膜识别、手掌纹理识别等。由于每个人的生物特征具有与其他人不同的唯一性和在一定时期内不变的稳定性,不易伪造和假冒,所以利用生物识别技术进行身份认定非常准确。在网络考试报名的时候,需要把用户的ID、密码和指纹同时录入到系统软件中,然后在每一台考试的计算机中安装一台生物特征识别机,用户通过考试ID号和独有的生物特征认证来登录系统进行考试,防止冒名替考的发生。

2 采用视频监控技术

视频监控是安全防范机制中的重要组成部分,在网络考试中,它可以随时采集图像,同时对图像进行自动识别、存储。在网络考试的视频监控中,可以采用多视频监控技术,服务端可以通过一个多屏显示画面同时观察考场情况。在考场中,设置一个带云台的专业摄像头,可以由考试系统总控制端对整个考场图像进行推进、移动观察,并实时保存采集数据,每个考试终端都有一个高清的固定摄像头正对考试用户,并实时采集考生考试视频上传至服务端,以此保证考试用户的真实性和安全性,也可防止考生打小抄、翻书等违规行为的发生。

3 采用考试数据缓存技术

考试系统中最重要的就是用户数据信息,必须要保证信息安全无误的传送到服务器,防止计算机因意外断电、死机或病毒等情况发生导致数据丢失。因此,可以在服务器端设置数据缓存,缓存的大小根据用户数据的增加而自动变化,就是当用户每进行一步操作后,用户的操作数据都会首先缓存到服务器端保存下来,最终当用户提交答案后,用户所有数据被保存到正常的数据库中,然后用户的缓存数据被清空。如果用户的计算机出现问题,可以通过重启计算机或者更换计算机重新登录,系统会自动将缓存数据发送给用户,以保证用户答过的题的信息都会被恢复。当然,服务端程序会自动计算出用户所使用的时间,以保证用户只能在规定的时间内完成考试。

4 建立考试用户数据云存储中心

云存储是一种新的网络存储技术,是可以通过集群应用、网络技术或分布式文件系统等功能,将网络中各种不同类型的存储设备通过各种应用软件联合起来协同工作,共同对外部系统提供数据存储和业务访问功能的一个应用系统。云存储其实是一个以数据存储和管理为核心的云计算系统。简单来说,云存储就是将储存资源放到云上供人存取的一种新兴方案。使用者可以在任何时间、任何地方,透过任何可连网的装置连接到云上方便地存取数据,因此,考试中用户的数据可以全部先保存到云存储中心,然后再传送到服务器控制端,这样对用户信息的安全又多增加了一层安全保障。

5 禁用客观端考试系统中计算机的各种应用程序以及切换键

针对WINDOWS系统中有许多固定的热键可以切换各种任务程序,需要利用系统底层函数来彻底屏蔽一些系统功能键。如常用的WIN键+E:快速打开资源管理器、Alt + F4:以最快的方式关闭应用程序、切换程序:Alt + Tab或Shift + Alt + Tab等等,这一类的功能键有很多,在客观端程序设计时都应该考虑到。我们可以在.NET中利用库函数来调用系统底层实现屏蔽,在实行了这些措施后还应该同时禁止除考试以外的应用程序启动传输信息,这样,考生就不能利用热键切换程序或查找答案等方法来进行作弊了。

6 考试用户试题多样性管理

这里说的多样性,主要是指试题组成多、试卷组成差异大。每次考生的考卷经过计算机按照一定的随机算法,再加上人为设置的随机因子数来产生试卷,而客观题的答案也采用随机数的方式出现。使每位考生的试卷信息和答案信息都完全不同,并且在试卷和答案以及考生答题信息中均使用特殊算法对信息加密,这使得信息即使泄漏也不会,在没有解密算法的前提下,别人也无法得知考生和试卷的情况。

7 禁止U盘和移动硬盘

通过禁止U盘和移动硬盘可以防止考生提前做好黑客程序插上计算机后通过自动运行,然后通过截屏或抓包等手段获取试卷信息。还可以在客户端程序中设置进程监控模块,一旦发现非常系统进程便强制终止,保证考试程序的安全性。

8 屏蔽手机信号

在考场中,可以增加手机信号屏蔽机,干扰手机信号。目前的电信、联通等信息都可以通过不同的频段进行干扰屏蔽,还可以架设大功率的信号干扰器,防止有考生通过高科技的设备传输信息,使考生不能通过手机发送答题和答案。

9 考场客户端应急机制

在远程考试中,很有可能会碰到一些不可预知的故障。这些故障可能会导致某个考生用户或者一批用户的信息出现问题,导致数据异常或丢失,这种情况也会偶有发生。我们可以一方面采用双服务器热备份技术,实时同步数据来增强服务器数据存储的安全性,另一方面,可以允许考生在另一场考试中完成答题过程。

通过以上的方法,基本能够保证网络考试系统中的信息安全性,同时也能完全防止考生的作弊行为的生。另外,考生的视频存档文件信息也可作为以后的证据使用,从而保证了网络考试系统的公平、公开、公正、安全、可靠。

摘要：在计算机网络考试中,用户的信息及答题数据的安全是最重要的,必须保证这些数据的正确性和安全性。该文通过一些在技术上的可行性方案来探讨考场中的信息安全管理方法,防止在网络考试系统中出现冒名、替考、作弊等行为的发生。

关键词：网络考试,信息安全

参考文献

[1]徐巧枝,刘东升.网络考试防作弊系统的研究与设计[J].计算机教育,2010(5).

[2]张萍,王建忠,佘堃,等.免疫网络安全考试系统[J].计算机应用研究,2007(8).

篇4：信息工程安全监理物联网技术研究

【关键词】信息工程；安全监理；物联网技术

0.前言

伴随物联网技术的飞速发展，物联网整体安全问题逐步成为未来广泛应用、持续优化进程中一类不容忽视的重要问题。物联网发展至高级水平，其场景中各类实体均包含一定程度的感知、运算、分析以及执行功能。倘若该类感知设备普遍应用，便会对我国的基础建设、社会活动以及个人机密信息安全形成全新的影响威胁。为此做好信息工程安全监理尤为重要，只有科学应用物联网技术，构建信息安全交互模型、体系架构，方能激发物联网技术核心优势，确保安全应用实践，提升综合安全水平，并实现全面、持续发展。

1.物联网技术内涵

物联网技术在信息工程安全监理系统中发挥了重要的应用价值，为系统网络化的重要核心。该项技术借助网络平台，应用统一一致物品编码手段、射频识别处理技术以及无线通信手段，可对广阔范畴之中，甚至是全球范围中的各类单件产品进行追溯以及有效跟踪。应用物联网技术手段，可由工程项目的招标环节开始直至工程管理验收环节，对各类应用设施器具设置EPC标志，并应用无线射频手段，传输发布信息工程各个阶段的价值化咨询信息至网络系统中，进而令监理人员仅依据EPC标签，便可获取产品各阶段包含的信息，进而判定其生产加工直至成品的流程阶段中包含的潜在威胁以及不安全因素。由此可见借助射频识别技术，进行有用信息数据的全面采集分析与汇总，科学应用移动计算手段以及数据库系统设计便可有效对信息工程进行安全管控监理，并做好数据判断辨析，提升综合安全水平，强化实践工作效率。

2.信息工程安全监理科学创建物联网架构体系

信息工程安全监理主要负责信息化工程建设服务、运行升级与优化改造阶段中从事的信息安全有关监督管理活动。

目前，我国信息工程监理框架体系的创建基于IT市场构成了独立体系中的两个层次。应用物联网现代化技术可令信息工程发展建设中包含的安全隐患问题以及存在的风险事项快速的传达至业主，并有效的疏导业主方以及承建方的相关争议与矛盾问题。核心工作内容便是对包含的信息安全相关问题实施风险分析并做好优化管控。信息工程安全监理创建物联网体系架构应涵盖四类组成内容。具体包括物联网系统架构、安全监理平台、监督管理系统以及中间结构体系。信息工程安全监督管理物联网体系架构主体就信息化应用发展过程中安全监督管理涉及范畴广泛、管控指标内容丰富、需连续性实践等具体特征，采用物联网手段技术完成对信息化项目工程的优化改造、建设调节，并实施安全问题管理监视。具体工作内容则涵盖对生产实践场景、环境做好检测监督、进行生产员工安全行为测试管控，并就特定生产物品的整体安全性进行管理监督，重点监视控制人流相对密集的方位，同时做好重要生产设施、以及设备的管理，完善安全事故应急管理阶段中各类场景资讯、人员与物品综合信息的汇总搜集等。

3.物联网技术信息交互安全问题

伴随物联网技术应用服务范畴的持续拓宽，感知网络应对处理的信息呈现出更为多元化的态势，甚至涵盖政府管理、国防建设、军事服务以及金融市场等较多领域。

由此引发的信息安全问题则需要我们重点关注，有效解决。基于网络以及节点有限资源的总量限制，相对来讲较为成熟应用的安全监理措施方案常常不能直接用在物联网感知系统中。为此，研究人员探讨了更为丰富的安全管理方案。例如应用加密技术、安全路由管理协议、管控存取以及数据融合技术等，提升物联网技术应用安全水平。数据加密应用阶段中，基于网络节点存储、分析以及能量的有限，较多手段应用相对简单加密算法。数据加密应用技术中密钥管理尤为重要，其担负着密钥的形成、分发以及保管、更新与处理等任务，在全局预制应用方案的基础上，我们可依据无线感知系统网络结构体系、节点规划以及安全管理需求，创建更为丰富的密钥管理策略。

例如应用预分布处理方案，可在脱机状态下形成一定容量密钥池，各个节点则可随机由其中获取密钥成为密钥环，完成网络系统的规划部署之后，则只需节点包含同对密钥便可应用其组建安全通道。为优化提升物联网架构体系安全能力水平，可进一步优化更新技术方案。可将节点公钥数量扩充，进而令网络攻击影响变得更为困难，进而确保信息安全，优化监理管控。另外，可配设安全路由，科学应对节点、汇聚方位安全问题，确保高效准确的实现信息数据的传输应用。基于无线感知系统网络体现了节点对等以及多跳传输的实践特征，倘若攻击方进行恶意节点布设，便较易形成路由篡改、选择转发影响，导致黑洞以及蠕虫病毒感染问题。为此，应依据无线感知体系网络特征以及物联网技术应用需要，分析制定合理的安全路由应用协议，可应用冗余路由同相关认证机制预防网络不良攻击影响，提升物联网系统技术综合安全水平。

数据融合为物联网交互以及信息感知的核心手段，倘若其中节点被不良俘获，便较易导致融合节点无法分清正常信息以及恶意数据的问题。尤其对融合节点影响攻击，不仅会对下游节点信息形成不良破坏，还会对发送至汇聚节点信息形成负面影响。为此，物联网数据融合阶段中应全面考量信息安全应用问题。可创建良好的融合管理机制，通过随机抽样以及数据信息的互相验证，令用户位于节点遭遇捕获状况，仍旧可判定汇聚节点信息数据安全有效性。

基于节点隐私的暴露，会对检测管理目标整体安全性形成不良影响。为此应创建物联网有效安全保护以及信息存储管控机制。可应用定位协议，利用可信定位确保节点获取正确位置信息，预防不准确定位导致的负面影响，进而全面提升物联网交互以及感知信息综合安全水平，创建优质发展环境。

4.结语

总之，信息工程安全监理物联网技术的应用尤为重要，我们只有明确技术内涵，开创安全信息交互、感知环境，方能激发物联网技术核心优势，提升安全监理水平，实现持续发展与优化提升。 [科]

【参考文献】

[1]钱志鸿，王义君.物联网技术与应用研究[J].电子学报，2012，40（5）.

篇5：信息安全工程师考试

一、单项选择

1、以下有关信息安全管理员职责的叙述，不正确的是（）A、信息安全管理员应该对网络的总体安全布局进行规划 B、信息安全管理员应该对信息系统安全事件进行处理 C、信息安全管理员应该负责为用户编写安全应用程序 D、信息安全管理员应该对安全设备进行优化配置

2、国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”，其中规定密钥协商算法应使用的是（）

A、DH B、ECDSA C、ECDH D、CPK

3、以下网络攻击中，（）属于被动攻击

A、拒绝服务攻击 B、重放 C、假冒 D、流量分析

4、（）不属于对称加密算法

A、IDEA B、DES C、RCS D、RSA

5、面向身份信息的认证应用中，最常用的认证方法是（）

A、基于数据库的认证 B、基于摘要算法认证 C、基于PKI认证 D、基于账户名/口令认证

6、如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为（）

A、公钥加密系统 B、单密钥加密系统 C、对称加密系统 D、常规加密系统

7、S/Key口令是一种一次性口令生产方案，它可以对抗（）

A、恶意代码木马攻击 B、拒绝服务攻击 C、协议分析攻击 D、重放攻击

8、防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止（）A、内部威胁和病毒威胁 B、外部攻击

C、外部攻击、外部威胁和病毒威胁 D、外部攻击和外部威胁

9、以下行为中，不属于威胁计算机网络安全的因素是（）A、操作员安全配置不当而造成的安全漏洞

B、在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息 C、安装非正版软件 D、安装蜜罐系统

10、电子商务系统除了面临一般的信息系统所涉及的安全威胁之外，更容易成为黑客分子的攻击目标，其安全性需求普遍高于一般的信息系统，电子商务系统中的信息安全需求不包括（）

A、交易的真实性 B、交易的保密性和完整性 C、交易的可撤销性 D、交易的不可抵赖性

11、以下关于认证技术的叙述中，错误的是（）

A、指纹识别技术的利用可以分为验证和识别 B、数字签名是十六进制的字符串 C、身份认证是用来对信息系统中实体的合法性进行验证的方法 D、消息认证能够确定接收方收到的消息是否被篡改过

12、有一种原则是对信息进行均衡、全面的防护，提高整个系统的安全性能，该原则称为（）A、动态化原则 B、木桶原则 C、等级性原则 D、整体原则

13、在以下网络威胁中，（）不属于信息泄露

A、数据窃听 B、流量分析 C、偷窃用户账户 D、暴力破解

14、未授权的实体得到了数据的访问权，这属于对安全的（）A、机密性 B、完整性 C、合法性 D、可用性

15、按照密码系统对明文的处理方法，密码系统可以分为（）

A、置换密码系统和易位密码 B、密码学系统和密码分析学系统 C、对称密码系统和非对称密码系统 D、分级密码系统和序列密码系统

16、数字签名最常见的实现方法是建立在（）的组合基础之上

A、公钥密码体制和对称密码体制 B、对称密码体制和MD5摘要算法 C、公钥密码体制和单向安全散列函数算法 D、公证系统和MD4摘要算法 / 14

17、以下选项中，不属于生物识别方法的是（）

A、指纹识别 B、声音识别 C、虹膜识别 D、个人标记号识别

18、计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。以下关于计算机取证的描述中，错误的是（）

A、计算机取证包括对以磁介质编码信息方式存储的计算机证据的提取和归档 B、计算机取证围绕电子证据进行，电子证据具有高科技性等特点

C、计算机取证包括保护目标计算机系统，确定收集和保存电子证据，必须在开计算机的状态下进行 D、计算机取证是一门在犯罪进行过程中或之后手机证据

19、注入语句：http：//xxx.xxx.xxx/abc.asp?p=YYanduser>0不仅可以判断服务器的后台数据库是否为SQL-SERVER，还可以得到（）

A、当前连接数据库的用户数据 B、当前连接数据库的用户名 C、当前连接数据库的用户口令 D、当前连接的数据库名

20、数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记，可以有效地对数字多媒体数据的版权保护等功能。以下各项工，不属于数字水印在数字版权保护必须满足的基本应用需求的是（）A、安全性 B、隐蔽性 C、鲁棒性 D、可见性

21、有一种攻击是不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪。这种攻击叫做（）

A、重放攻击 B、拒绝服务攻击 C、反射攻击 D、服务攻击

22、在访问因特网时，为了防止Web页面中恶意代码对自己计算机的损害，可以采取的防范措施是（）A、将要访问的Web站点按其可信度分配到浏览器的不同安全区域

B、在浏览器中安装数字证书 C、利用IP安全协议访问Web站点 D、利用SSL访问Web站点

23、下列说法中，错误的是（）

A、服务攻击是针对某种特定攻击的网络应用的攻击 B、主要的渗入威胁有特洛伊木马和陷阱 C、非服务攻击是针对网络层协议而进行的

D、对于在线业务系统的安全风险评估，应采用最小影响原则

24、依据国家信息安全等级保护相关标准，军用不对外公开的信息系统至少应该属于（）A、二级及二级以上 B、三级及三级以上 C、四级及四级以上 D、无极

25、电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码的攻击，用（）方式阅读电子邮件

A、网页 B、纯文本 C、程序 D、会话

26、已知DES算法的S盒如下：

如果该S盒的输入110011，则其二进制输出为（）A、0110 B、1001 C、0100 D、0101 / 14

27、在IPv4的数据报格式中，字段（）最适合于携带隐藏信息 A、生存时间 B、源IP地址 C、版本 D、标识

28、Kerberos是一种常用的身份认证协议，它采用的加密算法是（）A、Elgamal B、DES C、MD5 D、RSA

29、以下关于加密技术的叙述中，错误的是（）

A、对称密码体制的加密密钥和解密密钥是相同的 B、密码分析的目的就是千方百计地寻找密钥或明文 C、对称密码体制中加密算法和解密算法是保密的 D、所有的密钥都有生存周期

30、移动用户有些属性信息需要受到保护，这些信息一旦泄露，会对公众用户的生命财产安全构成威胁。以下各项中，不需要被保护的属性是（）

A、用户身份（ID）B、用户位置信息 C、终端设备信息 D、公众运营商信息

31、以下关于数字证书的叙述中，错误的是（）

A、证书通常有CA安全认证中心发放 B、证书携带持有者的公开密钥 C、证书的有效性可以通过验证持有者的签名 D、证书通常携带CA的公开密钥

32、密码分析学是研究密码破译的科学，在密码分析过程中，破译密文的关键是（）A、截获密文 B、截获密文并获得密钥

C、截获密文，了解加密算法和解密算法 D、截获密文，获得密钥并了解解密算法

33、利用公开密钥算法进行数据加密时，采用的方法是（）A、发送方用公开密钥加密，接收方用公开密钥解密 B、发送方用私有密钥加密，接收方用私有密钥解密 C、发送方用公开密钥加密，接收方用私有密钥解密 D、发送方用私有密钥加密，接收方用公开密钥解密

34、数字信封技术能够（）

A、对发送者和接收者的身份进行认证 B、保证数据在传输过程中的安全性 C、防止交易中的抵赖发送 D、隐藏发送者的身份

35、在DES加密算法中，密钥长度和被加密的分组长度分别是（）

A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位

36、甲不但怀疑乙发给他的被造人篡改，而且怀疑乙的公钥也是被人冒充的，为了消除甲的疑虑，甲和乙决定找一个双方都信任的第三方来签发数字证书，这个第三方为（）

A、国际电信联盟电信标准分部（ITU-T）B、国家安全局（NSA）C、认证中心（CA）D、国家标准化组织（ISO）

37、WI-FI网络安全接入是一种保护无线网络安全的系统，WPA加密模式不包括（）A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK

38、特洛伊木马攻击的威胁类型属于（）

A、授权侵犯威胁 B、渗入威胁 C、植入威胁 D、旁路控制威胁

39、信息通过网络进行传输的过程中，存在着被篡改的风险，为了解决这一安全问题，通常采用的安全防护技术是（）

A、加密技术 B、匿名技术 C、消息认证技术 D、数据备份技术

40、甲收到一份来自乙的电子订单后，将订单中的货物送达到乙时，乙否认自己曾经发送过这份订单，为了解除这种纷争，采用的安全技术是（）

A、数字签名技术 B、数字证书 C、消息认证码 D、身份认证技术

41、目前使用的防杀病毒软件的作用是（）

A、检查计算机是否感染病毒，清除已感染的任何病毒 B、杜绝病毒对计算机的侵害 C、查出已感染的任何病毒，清除部分已感染病毒 D、检查计算机是否感染病毒，清除部分已感染病毒

42、IP地址分为全球地址和专用地址，以下属于专用地址的是（）

A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 / 14

43、下列报告中，不属于信息安全风险评估识别阶段的是（）

A、资产价值分析报告 B、风险评估报告 C、威胁分析报告 D、已有安全威胁分析报告

44、计算机犯罪是指利用信息科学技术且以计算机跟踪对象的犯罪行为，与其他类型的犯罪相比，具有明显的特征，下列说法中错误的是（）A、计算机犯罪具有隐蔽性 B、计算机犯罪具有高智能性，罪犯可能掌握一些其他高科技手段 C、计算机犯罪具有很强的破坏性 D、计算机犯罪没有犯罪现场

45、以下对OSI（开放系统互联）参考模型中数据链路层的功能叙述中，描述最贴切是（）A、保证数据正确的顺序、无差错和完整 B、控制报文通过网络的路由选择 C、提供用户与网络的接口 D、处理信号通过介质的传输

46、深度流检测技术就是以流为基本研究对象，判断网络流是否异常的一种网络安全技术，其主要组成部分通常不包括（）

A、流特征选择 B、流特征提供 C、分类器 D、响应

47、一个全局的安全框架必须包含的安全结构因素是（）

A、审计、完整性、保密性、可用性 B、审计、完整性、身份认证、保密性、可用性 C、审计、完整性、身份认证、可用性 D、审计、完整性、身份认证、保密性

48、以下不属于网络安全控制技术的是（）

A、防火墙技术 B、访问控制 C、入侵检测技术 D、差错控制

49、病毒的引导过程不包含（）

A、保证计算机或网络系统的原有功能 B、窃取系统部分内存 C、使自身有关代码取代或扩充原有系统功能 D、删除引导扇区 50、网络系统中针对海量数据的加密，通常不采用（）

A、链路加密 B、会话加密 C、公钥加密 D、端对端加密

51、安全备份的策略不包括（）

A、所有网络基础设施设备的配置和软件 B、所有提供网络服务的服务器配置 C、网络服务 D、定期验证备份文件的正确性和完整性

52、以下关于安全套接层协议（SSL）的叙述中，错误的是（）

A、是一种应用层安全协议 B、为TCP/IP连接提供数据加密 C、为TCP/IP连接提供服务器认证 D、提供数据安全机制

53、入侵检测系统放置在防火墙内部所带来的好处是（）A、减少对防火墙的攻击 B、降低入侵检测

C、增加对低层次攻击的检测 D、增加检测能力和检测范围

54、智能卡是指粘贴或嵌有集成电路芯片的一种便携式卡片塑胶，智能卡的片内操作系统（COS）是智能卡芯片内的一个监控软件，以下不属于COS组成部分的是（）

A、通讯管理模块 B、数据管理模块 C、安全管理模块 D、文件管理模块

55、以下关于IPSec协议的叙述中，正确的是（）

A、IPSec协议是解决IP协议安全问题的一 B、IPSec协议不能提供完整性 C、IPSec协议不能提供机密性保护 D、IPSec协议不能提供认证功能

56、不属于物理安全威胁的是（）

A、自然灾害 B、物理攻击 C、硬件故障 D、系统安全管理人员培训不够

57、以下关于网络钓鱼的说法中，不正确的是（）

A、网络钓鱼融合了伪装、欺骗等多种攻击方式 B、网络钓鱼与Web服务没有关系 C、典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上 D、网络钓鱼是“社会工程攻击”是一种形式

58、以下关于隧道技术说法不正确的是（）

A、隧道技术可以用来解决TCP/IP协议的某种安全威胁问题 B、隧道技术的本质是用一种协议来传输另外一种协议 C、IPSec协议中不会使用隧道技术 D、虚拟专用网中可以采用隧道技术 / 14

59、安全电子交易协议SET是有VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议。以下关于SET的叙述中，正确的是（）

A、SET是一种基于流密码的协议 B、SET不需要可信的第三方认证中心的参与

C、SET要实现的主要目标包括保障付款安全，确定应用的互通性和达到全球市场的可接受性 D、SET通过向电子商务各参与方发放验证码来确认各方的身份，保证网上支付的安全性 60、在PKI中，不属于CA的任务是（）

A、证书的办法 B、证书的审改 C、证书的备份 D、证书的加密 61、以下关于VPN的叙述中，正确的是（）

A、VPN指的是用户通过公用网络建立的临时的、安全的连接

B、VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路 C、VPN不能做到信息认证和身份认证

D、VPN只能提供身份认证，不能提供数据加密的功能 62、扫描技术（）

A、只能作为攻击工具 B、只能作为防御工具

C、只能作为检查系统漏洞的工具 D、既可以作为工具，也可以作为防御工具 63、包过滤技术防火墙在过滤数据包时，一般不关心（）

A、数据包的源地址 B、数据包的协议类型 C、数据包的目的地址 D、数据包的内容 64、以下关于网络流量监控的叙述中，不正确的是（）

A、流量检测中所检测的流量通常采集自主机节点、服务器、路由器接口和路径等 B、数据采集探针是专门用于获取网络链路流量的硬件设备 C、流量监控能够有效实现对敏感数据的过滤 D、网络流量监控分析的基础是协议行为解析技术

65、两个密钥三重DES加密：C=CK1[DK2[EK1[P]]],K1≠K2，其中有效的密钥为（）A、56 B、128 C、168 D、112 66、设在RSA的公钥密码体制中，公钥为（c，n）=（13,35），则私钥为（）A、11 B、13 C、15 D、17 67、杂凑函数SHAI的输入分组长度为（）比特 A、128 B、258 C、512 D、1024 68、AES结构由以下4个不同的模块组成，其中（）是非线性模块 A、字节代换 B、行移位 C、列混淆 D、轮密钥加 69、67mod119的逆元是（）

A、52 B、67 C、16 D、19 70、在DES算法中，需要进行16轮加密，每一轮的子密钥长度为（）A、16 B、32 C、48 D、64 / 14 71-75（1）isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic（2）thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas:

Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl（3）Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore（4）thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled（5）signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.（1）A、Cryptography

B、Geography

C、Stenography

D、Steganography（2）A、methods

B、software

C、tools

D、services（3）A、Member

B、Management

C、Message

D、Mail（4）A、powerful

B、sophistication

C、advanced

D、easy（5）A、least

B、most

C、much

D、less / 14

二、案例分析

试题一（共20分）

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】

研究密码编码的科学称为密码编码学，研究密码破译的科学称为密码分析学，密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。【问题1】（9分）

密码学的安全目标至少包括哪三个方面？具体内涵是什么？【问题2】（3分）

对下列违规安全事件，指出各个事件分别违反了安全目标中的哪些项？（1）小明抄袭了小丽的家庭作业。（2）小明私自修改了自己的成绩。

（3）小李窃取了小刘的学位证号码、登录口令信息、并通过学位信息系统更改了小刘的学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。【问题3】（3分）

现代密码体制的安全性通常取决于密钥的安全，文了保证密钥的安全，密钥管理包括哪些技术问题？【问题4】（5分）

在图1-1给出的加密过程中，Mi，i=1，2，„，n表示明文分组，Ci，i=1,2，„，n表示密文分组，Z表示初始序列，K表示密钥，E表示分组加密过程。该分组加密过程属于哪种工作模式？这种分组密码的工作模式有什么缺点？ / 14

试题二（共10分）

阅读下列说明和图，回答问题1至问题2，将解答填入答题纸的对应栏内。【说明】

访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。

【问题1】（3分）

针对信息系统的访问控制包含哪些基本要素？【问题2】（7分）

分别写出图2-1中用户Administrator对应三种访问控制实现方法，即能力表、访问控制表、访问控制矩阵下的访问控制规则。/ 14 试题三（共19分）

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】

防火墙是一种广泛应用的网络安全防御技术，它阻挡对网络的非法访问和不安全的数据传递，保护本地系统和网络免于受到安全威胁。

图3-1改出了一种防火墙的体系结构。

【问题1】（6分）

防火墙的体系结构主要有：（1）双重宿主主机体系结构；（2）（被）屏蔽主机体系结构；（3）（被）屏蔽子网体系结构；请简要说明这三种体系结构的特点。【问题2】（5分）

（1）图3-1描述的是哪一种防火墙的体系结构？

（2）其中内部包过滤器和外部包过滤器的作用分别是什么？【问题3】（8分）

设图3-1中外部包过滤器的外部IP地址为10.20.100.1，内部IP地址为10.20.100.2，内部包过滤器的外部IP地址为10.20.100.3，内部IP地址为192.168.0.1，DMZ中Web服务器IP为10.20.100.6，SMTP服务器IP为10.20.100.8.关于包过滤器，要求实现以下功能，不允许内部网络用户访问外网和DMZ，外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2，将对应空缺表项的答案填入答题纸对应栏内。/ 14 / 14 试题四（共18分）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。【说明】

用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。1.B–>B：A 2.B–>A：{B，Nb}pk（A）3.A–>B：b（Nb）

此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。【问题1】（5分）

认证和加密有哪些区别？【问题2】（6分）

（1）包含在消息2中的“Nb”起什么作用？（2）“Nb”的选择应满足什么条件？【问题3】（3分）

为什么消息3中的Nb要计算哈希值？【问题4】（4分）

上述协议存在什么安全缺陷？请给出相应的解决思路。/ 14 试题五（共8分）

阅读下列说明和代码，回答问题1和问题2，将解答卸载答题纸的对应栏内。【说明】

某一本地口令验证函数（C语言环境，X86_32指令集）包含如下关键代码：某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

【问题1】（4分）

用户在调用gets()函数时输入什么样式的字符串，可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制？【问题2】（4分）

上述代码存在什么类型的安全隐患？请给出消除该安全隐患的思路。/ 14 2016下半年信息安全工程师考试真题答案

一、单项选择

1:C 2:C 3:D 4:D 5:D 6:A 7:D 8:A 9:D 10:C 11:B 12:D 13:D 14:A 15:A 16:C 17:D 18:C 19:B 20:D 21:B 22:A 23:B 24:B 25:B 26:C 27:D 28:C 30:D 31:D 32:D 33:C 34:B 35:A 36:C 37:C 38:C 39:C 40:A 41:D 42:B 43:B 44:D 45:A 46:D 47:B 48:D 49:D 50:C 51:C 52:A 53:B 54:B 55:A 56:D 57:B 58:C 59:C 60:D 61:A 62:D 63:D 64:C 65:D 66:B 67:C 68:A 69:C 70:C 71:A 72:A 73:C 74:B 75:A

二、案例分析

试题一（共20分）信管网参考答案：【问题一】

（1）保密性：保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。

（2）完整性：完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

（3）可用性：可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。【问题二】（1）保密性（2）完整性（3）可用性【问题三】

答：密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。【问题四】

明密文链接模式。

缺点：当Mi或Ci中发生一位错误时，自此以后的密文全都发生错误，即具有错误传播无界的特性，不利于磁盘文件加密。并且要求数据的长度是密码分组长度的整数倍，否则最后一个数据块将是短块，这时需要特殊处理。

试题二（共10分）信管网参考答案：【问题1】

主体、客体、授权访问【问题二】能力表：

（主体）Administrator<（客体）traceroute.mpg：读取，运行> 访问控制表：

（客体）traceroute.mpg<（主体）Administrator：读取，运行> 访问控制矩阵： / 14 试题三（共19分）信管网参考答案：【问题一】

双重宿主主机体系结构：双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。

被屏蔽主机体系结构：被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内外网络的隔离和对内网的保护。

被屏蔽子网体系结构：被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络，并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成，分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题二】

（1）屏蔽子网体系结构。

（2）内部路由器：内部路由器用于隔离周边网络和内部网络，是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划，对内部用户访问周边网络和外部网络进行限制。

外部路由器：外部路由器的主要作用在于保护周边网络和内部网络，是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则，该规则主要针对外网用户。【问题三】

（1）*（2）10.20.100.8（3）10.20.100.8（4）*（5）UDP（6）10.20.100.3（7）UDP（8）10.20.100.3 试题四（共18分）信管网参考答案：【问题一】

认证和加密的区别在于：加密用以确保数据的保密性，阻止对手的被动攻击，如截取，窃听等；而认证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。【问题二】

（1）Nb是一个随机值，只有发送方B和A知道，起到抗重放攻击作用。（2）应具备随机性，不易被猜测。【问题三】

哈希算法具有单向性，经过哈希值运算之后的随机数，即使被攻击者截获也无法对该随机数进行还原，获取该随机数Nb的产生信息。【问题四】

攻击者可以通过截获h（Nb）冒充用户A的身份给用户B发送h（Nb）。

解决思路：用户A通过将A的标识和随机数Nb进行哈希运算，将其哈希值h（A，Nb）发送给用户B，用户B接收后，利用哈希函数对自己保存的用户标识A和随机数Nb进行加密，并与接收到的h（A，Nb）进行比较。若两者相等，则用户B确认用户A的身份是真实的，否则认为用户A的身份是不真实的。试题五（共8分）信管网参考答案：【问题一】

只要输入长度为24的字符串，其前12个字符和后12个字符一样即可。【问题二】

篇6：信息安全考试题目

机构名称：所属部门：考生姓名：注意事项：本试卷满分100分，考试时间80分钟。

一、单选题（20题，每题2分，共40分）

1、为尽量防止通过浏览网页感染恶意代码，下列做法中错误的是（）。A.不使用IE浏览器，而使用FireFox（火狐）之类的第三方浏览器 B.关闭IE浏览器的自动下载功能 C.禁用IE浏览器的活动脚本功能 D.先把网页保存到本地再浏览

2、下列说法正确的是（）。

A.“灰鸽子”是一种很便捷的互联网通讯小工具 B.Nimda是一种蠕虫病毒

C.CIH病毒可以感染WINDOWS 98 也可以感染WINDOWS 2000 D.世界上最早的计算机病毒是小球病毒

3、下列不属于信息系统面临的威胁是（）。A.软硬件故障 B.制度未定期评审 C.拒绝服务 D.雷雨

4、如果你刚收到一封你同事转发过来的电子邮件，警告你最近出现了一个可怕的新病毒，你应先考虑做下面哪件事情？（）A.将这个消息传给你认识的每个人 B.用一个可信赖的信息源验证这个消息 C.将你的计算机从网络上断开 D.升级你的病毒库

5、下面哪项不属于黑客攻击的基本手法？（B）A.踩点

B.加固系统安全 C.扫描 D.安装后门

6、当面临一堆数据资产时，谁最有发言权决定面前这堆数据的该怎么分类？（）A.部门主管 B.高级管理层

C.运维和保护这堆数据的数据所有者 D.这堆数据的日常使用者

7、一般情况下，哪类群体容易诱发公司的信息安全风险？（）A.公司的雇员 B.社会上的黑客 C.恐怖分子

D.公司的服务商/集成商

8、当对数据进行分类时，数据所有者首先最应该考虑什么？（）A.首先考虑哪些雇员、客户、集成商/服务商都分别应该访问哪些数据 B.首先考虑清楚并确定这些数据的三性（机密性、完整性、可用性）C.首先考虑数据面临什么样的威胁 D.首先考虑数据的访问控制策略

9、在您所知的信息系统所有认证方式中，下列对于口令认证方式描述正确的是（）。

A.它是最便宜和提供最强安全防护能力的 B.它是最昂贵和提供最强安全防护能力的 C.它是最昂贵和提供最弱安全防护能力的 D.它是最便宜和提供最弱安全防护能力的

10、谁最终负责确定数据分类的正确性和保护措施的合理性？（A.客户 B.高级管理层

C.运维和保护这堆数据的数据所有者 D.这堆数据的日常使用者

11、什么时候可以决定不对某个风险项进行处置？（）A.不会发生这种情况的，我们公司会逐项确认并整改所有风险项B.因某方面的潜规则要求从而不确认某个风险项时 C.为了处置某一风险项而将要实施的整改措施较为复杂时 D.处置风险所付出的代价超过实际威胁造成的损失时

12、当公司机房发生火灾时，您觉得首先应该做什么？（A.关掉电闸并查看消防装置状态是否正常 B.辨别火势和起火原因

C.抢救机房内重要资产和贵重物品 D.向楼内所有员工发出告警并组织疏散

13、下面哪个不是实施风险分析的目的？（）A.分担责任

B.明晰威胁可能造成的影响 C.识别风险及其等级））D.明确风险的危害并找出各种对策

14、关于计算机网络访问安全不正确的描述是（）。A.系统管理员不必对其他用户的访问权限进行检查 B.访问控制基本原则：未经明确允许即为禁止访问 C.必须通过唯一注册的用户ID来控制用户对网络的访问 D.系统管理员必须确保用户访问基于最小特权原则而授权

15、对于“风险评估过程中，我们是否有必要让各个部门都参与进来”这句话的思考，下面哪项最为正确？（）

A.为了确保风险评估过程的公平，为了确保每个人员都未被排除在外，我们应该这样做。

B.我们不需要。我们只要让一部分风险评估的专业人员（如咨询公司）来做就行，风险评估使用的数据有用与否、偏颇与否不会影响风险分析的。C.公司面临风险的数据应从最理解公司业务和环境的人群中取得，而每个部门恰恰能很好的理解他们自己的资源和风险，并且他们很可能已经知道特定风险的解决方案。所以应该让大家参与进来。

D.因为各部门的雇员也可能是各类风险的诱发者，所以应该让他们参与进来。

16、人员安全不包括（）。A.背景检查 B.技能意识培训 C.系统测试流程 D.绩效考核和奖惩

17、下面的说法正确的是（）。A.信息的泄漏只在介质的传递过程中发生 B.信息的泄漏只在介质的存储过程中发生 C.信息的泄漏只在介质的传递和存储过程中发生 D.上面三个都不对

18、物理安全的管理应做到（）。A.访客进入内部需持临时卡并由相关人员陪同 B.办公区域应具备门禁设施

C.在重要场所的迸出口安装监视器，并对进出情况进行录像 D.以上均正确

19、信息不能被未授权的个人，实体或者过程利用或知悉的特性，指的是信息资产（）。A.可用性 B.保密性 C.完整性 D.源发性

20、含有重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时，以下存放方式错误的是（）。A.锁在文件柜 B.锁在保险柜 C.放在带锁的抽屉 D.随意放在桌子上

二、不定项选择题（15题，每题4分，共60分）

1、关于恶意代码防范策略描述正确的是（）。A.计算机必须部署指定的防病毒软件 B.防病毒软件必须持续更新

C.感染病毒的计算机不能从网络中断开，要先从网络中获取最新的病毒防范版本

D.发生任何病毒传播事件，相关人员自己先解决，解决不了再向IT管理部门汇报

2、关于口令的描述正确的是（）。A.用户名+口令是最简单也最常用的身份认证方式 B.口令是抵御攻击的第一道防线，防止冒名顶替 C.口令与个人隐私息息相关，必须慎重保护