2017年信息安全工程师考试试题加答案(五)

信息安全工程师真题及答案引言信息安全工程师是一个备受关注的职业，随着信息技术的快速发展和互联网的普及，信息安全问题日益凸显。

为了应对这些问题，各大企业和组织纷纷设立信息安全团队，招聘和培养信息安全工程师。

而作为一名准备进入这个领域的人，了解一些真题和答案将有助于提升复习效果和应对能力。

本文将分享一些常见的信息安全工程师真题及答案，希望对您的准备和学习有所帮助。

真题1：密码学基础问：什么是对称加密和非对称加密？请分别描述它们的工作原理。

答：对称加密是指发送和接收方使用相同的密钥进行加密和解密的过程。

工作原理如下：发送方使用密钥对明文进行加密，生成密文，并将密文发送给接收方。

接收方使用相同的密钥对密文进行解密，从而得到原始的明文。

非对称加密则利用了公钥和私钥的组合。

公钥可以自由发布给任何人，而私钥则保密。

发送方使用接收方的公钥对明文进行加密，并将密文发送给接收方。

接收方使用自己的私钥对密文进行解密，获得原始的明文。

非对称加密的工作原理是依靠公钥和私钥之间的数学关系。

真题2：网络安全问：常见的网络攻击方式有哪些？请分别描述每种攻击方式以及防范措施。

答：常见的网络攻击方式包括以下几种：1.DDoS 攻击：分布式拒绝服务攻击，攻击者通过控制大量的僵尸主机向目标服务器发起海量请求，导致目标服务器无法正常响应正常用户的请求。

防范措施包括使用入侵检测和防御系统、设置流量限制和使用反向代理等。

2.SQL 注入攻击：攻击者通过在用户输入的数据中注入 SQL 代码，从而执行恶意的数据库查询和操作。

防范措施包括严格的输入验证、使用参数化查询和最小化数据库权限等。

3.社交工程：攻击者利用社交工具和技术对用户进行欺骗，以获取机密信息或执行恶意操作。

防范措施包括加强员工培训、建立有效的安全策略和保护用户敏感信息等。

4.恶意软件：包括病毒、木马、蠕虫等各种恶意软件，通过感染用户设备进行信息窃取、控制或破坏。

防范措施包括使用杀毒软件、及时更新操作系统和应用程序、不随意下载和点击可疑链接等。

2017年上半年信息安全工程师真题及答案信息安全在当今数字化时代的重要性不言而喻，它关乎着个人隐私、企业机密乃至国家安全。

对于信息安全工程师而言，深入了解和掌握相关知识与技能，并通过真题的演练来检验和提升自己的能力是至关重要的。

下面就让我们一起来回顾一下 2017 年上半年信息安全工程师的真题及答案。

在 2017 年上半年的信息安全工程师考试中，涵盖了多个重要的知识领域。

首先是密码学部分，这一直是信息安全的核心基础。

例如，有一道题考查了对称加密算法和非对称加密算法的特点及应用场景。

我们知道，对称加密算法加密和解密使用相同的密钥，速度快但密钥管理困难；而非对称加密算法使用公钥和私钥，密钥管理相对容易但速度较慢。

在实际应用中，常常结合两者的优点，比如用非对称加密算法来传输对称加密算法的密钥，然后用对称加密算法进行大量数据的加密。

网络安全也是考试的重点之一。

有题目涉及到网络攻击的类型和防范措施，比如常见的 DDoS 攻击，其通过大量的无效请求来阻塞网络服务。

防范 DDoS 攻击需要从多个方面入手，包括网络带宽的扩充、流量清洗设备的部署、攻击源的追溯等。

还有关于防火墙技术的题目，防火墙作为网络安全的第一道防线，可以根据预设的规则对网络流量进行过滤和控制。

操作系统安全也是不容忽视的部分。

比如考查了 Windows 和 Linux 系统中的用户权限管理、文件系统权限设置等内容。

在 Windows 系统中，管理员账户拥有最高权限，需要谨慎使用；而在 Linux 系统中，通过用户组和权限位的精细设置，可以实现更灵活的权限管理。

数据库安全方面，有题目涉及到数据备份与恢复策略、数据库访问控制等。

数据备份是防止数据丢失的重要手段，常见的备份方式有全量备份、增量备份和差异备份，根据不同的需求选择合适的备份策略至关重要。

另外，在应用安全领域，Web 应用安全是常考的内容。

比如 SQL注入攻击的防范、跨站脚本攻击的原理及防范等。

2017 年下半年信息安全工程师考试真题（下午）试题一( 共 11 分〉阅读下列说明，回答问题 1 至问题3，将解答写在答题纸的对应栏内。

【说明】安全目标的关键是实现安全的三大要素: 机密性、完整性和可用性。

对于一般性的信息类型的安全分类有以下表达形式:{ ( 机密性，影响等级 ) ， ( 完整性，影响等级 ) ， ( 可用性，影响等级) }在上述表达式中， " 影响等级 " 的值可以取为低(L) 、中(M)、高(H)三级以及不适用 (NA)。

【问题 1】。

(6 分)请简要说明机密性、完整性和可用性的含义。

【问题 2】(2 分）对于影响等级 " 不适用" 通常只针对哪个安全要素?【问题 3 】(3 分)如果一个普通人在它的个人Web服务器上管理其公开信息。

请问这种公开信息的安全分类是什么？试题二（共6分）阅读下列说明，回答问题1和问题2，将解答写在答题纸的对应栏内。

【说明】Windows系统的用户管理配置中，有多项安全设置，如图2-1所示。

【问题 1】(3 分）请问密码和帐户锁定安全选项设置属于图中安全设置的哪一项?【问题2】(3 分〉Windows的密码策略有一项安全策略就是要求密码必须符合复杂性要求，如果启用此策略，那么请问：用户Administrator拟选取的以下六个密码中的哪些符合此策略？123456 Admin123 Abcd321.Admin@test123！123@host试题三（共20分》阅读下列说明，回答问题1至问题7，将解答写在答题纸的对应栏内。

【说明】扫描技术是网络攻防的一种重要手段，在攻和防当中都有其重要意义。

nmap是一个开放源码的网络扫描工具，可以查看网络系统中有哪些主机在运行以及哪些服务是开放的。

namp工具的命令选项：sS用于实现SYN扫描，该扫描类型是通过观察开放端口和关闭端口对探测分组的响应来实现端口扫描的。

请根据图3-1回答下列问题。

2017年下半年信息安全工程师考试真题（下午）试题一（共ii 分〉阅读下列说明，回答问题1至问题 3,将解答写在答题纸的对应栏内。

【说明】安全目标的关键是实现安全的三大要素：机密性、完整性和可用性。

对于一般性的信 息类型的安全分类有以下表达形式：｛（机密性，影响等级），（完整性，影响等级），（可用性，影响等级）｝在上述表达式中，"影响等级"的值可以取为低 （L ）、中（M ）、高（H ）三级以及不适用（NA ）【问题1】。

（6 分）请简要说明机密性、完整性和可用性的含义。

【问题2】（2分）对于影响等级"不适用"通常只针对哪个安全要素？【问题 3 】（3分）如果一个普通人在它的个人 Web 艮务器上管理其公开信息。

请问这种公开信息的安全分类是什么？试题二（共6分）阅读下列说明，回答问题1和问题2,将解答写在答题纸的对应栏内。

【说明】Win dows 系统的用户管理配置中，有多项安全设置，如图 2-1所示。

【问题1】（3分）请问密码和帐户锁定安全选项设置属于图中安全设置的哪一项【问题 2】（3分〉Win dow 啲密码策略有一项安全策略就是要求密码必须符合复杂性要求，如果启用此策略，那么请问：用户的以下六个密码中的哪些符合此策略？123456 Admi n123 Abcd321.Admi n@ test123 ！ 123@host试题三（共20分》Admi nistrator 拟选取阅读下列说明，回答问题1至问题7,将解答写在答题纸的对应栏内【说明】扫描技术是网络攻防的一种重要手段，在攻和防当中都有其重要意义。

nma是一个开放源码的网络扫描工具，可以查看网络系统中有哪些主机在运行以及哪些服务是开放的。

nam工具的命令选项：sS用于实现SYN3描，该扫描类型是通过观察开放端口和关闭端口对探测分组的响应来实现端口扫描的。

请根据图3-1回答下列问题。

.14 疊呑执」J 乍nnwp * 1S那么请问：用户Admi nistrator 拟选取的以下六个密码中的哪些符合此策略？123456 Admin123 Abcd321 .Admin@ test123! 123@host试题三（共20分〉阅读下列说明，回答问题 1 至问题7，将解答写在答题纸的对应栏内。

========================================================== 信息安全工程师习题和答案==========================================================信息安全工程师习题和答案（一）一、单选题1、关于传统Ethernet的描述中，错误的是A)是一种典型的环型局域网B)传输的数据单元是Ethernet帧C)介质访问控制方法是CSMA/CD D)网络结点发送数据前需侦听总线答案：A传统Ethernet是一种总线型局域网，传输的数据单元是Ethernet帧，介质访问控制方法是CSMA/CD，网络结点发送数据前需侦听总线。

选项A错误，故选择A选项。

2、关于交换式以太网的描述中，正确的是A)核心设备是集线器B)需要执行IP路由选择C)数据传输不会发生冲突D)基本数据单元是IP分组答案：C交换式以太网的核心设备是以太网交换机，它可以在多个端口之间建立多个并发连接，实现多结点之间数据的并发传输，从而可以增加网络带宽，改善局域网的性能与服务质量，避免数据传输冲突的发生。

以太网交换机利用"端口/MAC地址映射表"进行数据帧交换。

根据分析知，选项C符合题意，故选择C选项。

3关于数据报交换方式的描述中，正确的是A)数据报交换过程中需要建立连接B)每个分组必须通过相同路径传输C)分组传输过程中需进行存储转发D)分组不需要带源地址和目的地址答案：C数据报是报文分组存储转发的一种形式，在数据报方式中，分组传输前不需要在源主机与目的主机之间预先建立"线路连接"。

源主机发送的每个分组都可以独立选择一条传输路径，且每个分组在传输过程中都必须带有目的地址与源地址。

根据分析，选项C 符合题意，故选择C选项。

4、在网络体系结构中，传输层的主要功能是A)不同应用进程之间的端-端通信B)分组通过通信子网时的路径选择C)数据格式变换、数据加密与解密D)MAC地址与IP地址之间的映射答案：A传输层的主要功能是为端到端连接提供可靠的传输服务；为端到端连接提供流量控制、差错控制、服务质量等管理服务。

2017年上半年信息安全工程师真题及答案在当今数字化的时代，信息安全成为了至关重要的领域。

无论是个人的隐私保护，还是企业的商业机密保障，都离不开信息安全技术的支撑。

而对于信息安全工程师来说，了解和掌握相关的知识与技能，通过专业的考试来检验自己的能力水平，是不断提升和发展的重要途径。

接下来，我们就来一起探讨 2017 年上半年信息安全工程师的真题及答案。

首先，我们来看一下单选题部分。

在这部分题目中，涵盖了信息安全领域的多个重要知识点。

比如，有关于密码学的题目。

密码学作为信息安全的基础，其重要性不言而喻。

题目中可能会问到某种加密算法的特点、应用场景，或者是密码破解的原理和方法。

例如，＿____算法是一种对称加密算法，具有加密速度快、效率高的特点。

答案就是 AES 算法。

再比如，网络安全方面的题目。

可能会涉及到网络攻击的类型、防范措施，以及网络拓扑结构的安全性等。

像常见的 DDoS 攻击，其原理是通过大量的无效请求来阻塞网络服务，那么有效的防范措施之一就是_____。

答案可能是部署流量清洗设备。

还有关于操作系统安全、数据库安全等方面的题目。

比如，在操作系统中，为了保障系统的安全性，应该及时更新补丁，限制用户权限等。

而在数据库安全中，数据备份和恢复策略是重要的考点之一。

接下来是多选题部分。

这部分题目相对来说难度更大一些，需要对知识点有更全面、深入的理解。

例如，在信息安全管理方面，可能会问到以下哪些措施属于有效的安全管理策略。

选项可能包括制定安全政策、进行安全培训、定期进行安全审计等。

再比如，关于安全漏洞的题目。

可能会给出几个漏洞类型，然后让选择哪些漏洞可能会导致严重的安全威胁。

在案例分析题中，通常会给出一个具体的场景，然后要求分析其中存在的安全问题，并提出解决方案。

比如，某公司的网络系统遭到了攻击，导致部分数据泄露。

题目会描述攻击的过程和现象，然后让考生分析可能的攻击手段，以及应该采取哪些措施来防止类似的攻击再次发生。

2017年信息安全工程师考试下午试题加答案（五）新开的信息安全工程师考试分属该考试“信息系统”专业，位处中级资格。

大家在找试题做练习的时候是否苦恼没有资源？希赛软考学院为大家整理了一些下午试题的练习，供大家参考，希望能有所帮助。

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】在Internet技术飞速演变、电子商务蓬勃发展的今天，开发的银多应用程序都是Web应用程序，随着微信、微博、网上银行等一系列的新型的W e b应用程序的诞生，Web应用越来越广泛。

然而Web应用程序及Web站点往往很容易遭受各种各样的入侵，Web数据在网络传输过程中也银容易被窃取或盗用。

如何能够使Web及数据传输更加安全，就显得尤为重要。

如今，Web业务平台己经在电子商务、企业信息化中得到广泛应用，很多企业部将应用架设在Web平台上，Web业务的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。

黑客利用网站操作系统的漏洞和Web服务程序的S Q L注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

国际权威机构Forrester的统计数据表明，67%的攻击是通过应用层的攻击。

即是，最简单的网页浏览也有可能造成威胁，比如，单击含有病毒的网址、隐秘的图片，或者，单击下载某些免费的软件、文件等，由于下载的软件或者文件中含有未知的恶意代码，当用户在运行程序或者打开这些文件时，恶意代码被启动就有可能造成用户个人信息丢失，甚至后台服务器系统出现漏洞给恶意攻击者窃取信息提供方便的大门。

【问题1】（5分）开源Web应用安全项目（OWASP）是一个开放的社区组织。

专注于讨论应用程序，代码开发的威胁讨论。

TOP 10项目的目标是通过找出企业组织所面临的最严重的十大风险来提高人们对应用程序安全的关注度。