软考中级习题与解答——第九章_信息安全(2)
例题11
1、知识点总结
网络安全攻击通常分为两大类:主动攻击和被动攻击。区分它们的关键在于攻击者是否会篡改或中断数据流。
被动攻击
特点:攻击者只窃听或监控网络通信,并不篡改数据或破坏系统。其目的是获取信息,因此非常难以检测(因为没有任何数据被改变)。
目标:破坏信息的机密性。
典型例子:
C. 监听 (Sniffing / Eavesdropping):使用抓包工具(如Wireshark)捕获网络流量以获取敏感信息(如密码、邮件内容)。
流量分析 (Traffic Analysis):分析通信的模式、频率、长度等,即使数据被加密。
主动攻击
特点:攻击者主动操纵、伪造或中断数据流或系统服务。这种攻击容易被发现,但难以防止。
目标:破坏信息的完整性(Integrity)、认证(Authentication) 和可用性(Availability)。
典型例子:
A. 中断:实施拒绝服务攻击(DoS/DDoS),使系统或网络服务不可用,破坏可用性。
B. 篡改 :在数据传输过程中修改、插入或删除数据包,破坏完整性。
D. 伪造:冒充合法用户或设备发送虚假信息(如重放攻击、网络钓鱼),破坏认证性。
2、最终选项:C
例题12
1、知识点总结
业务流控制
作用:通过填充冗余的业务流量,使得网络上的数据流量更加平稳,难以被窃听者分析出真正的通信模式和行为规律。
保护的属性:虽然它间接有助于保密性(防止流量分析),但其主要目的是保证关键业务的带宽和畅通,防止网络拥塞导致的服务中断,从而确保服务的可用性。
路由选择控制
作用:允许发送方在传输数据时选择特定的、安全的物理路径,以绕过不安全或不可靠的网络节点。
保护的属性:这直接是为了避免通信线路被中断或破坏,确保数据能够成功到达目的地,是保障可用性的典型手段。
审计跟踪
作用:记录和审查用户和系统的活动日志。虽然审计常用于事后追责(与不可抵赖性相关)和检测篡改(与完整性相关),但其一个非常重要的功能是监测系统的性能和状态。
保护的属性:通过分析日志,可以及时发现系统故障、性能瓶颈或资源耗尽的征兆,从而在问题影响服务之前进行干预,保证系统的持续可用性。
2、选项分析
A. 保密性:不匹配。保密性主要通过加密技术来实现,防止信息被未授权访问。题目中的技术不直接涉及数据的加密解密。
B. 可用性:正确。上述所有技术(业务流控制、路由选择控制、审计跟踪)的核心共同点在于它们都致力于确保信息系统和网络服务在需要时能够被正常访问和使用,防止服务中断或拒绝服务,这正是“可用性”的定义。
C. 完整性:不匹配。完整性主要通过哈希校验、数字签名等技术来实现,防止数据被未授权篡改。题目中的技术不直接用于验证数据的正确与否。
D. 不可抵赖性:不匹配。不可抵赖性主要通过数字签名等技术来实现,确保用户不能否认其行为。审计跟踪虽然为此提供证据,但题目中列举的其他两项技术(业务流控制、路由选择)与此属性关系不大。
3、最终选项:B
例题13
1、知识点总结
入侵检测系统(Intrusion Detection System, IDS)是一种监控网络或系统中是否存在违反安全策略的行为或攻击迹象的安全设备/软件。
IDS的核心特性:
检测对象:既检测外部入侵者,也检测内部用户的滥用行为(如选项A所述)。
数据源:IDS的数据源非常广泛,包括网络流量(NIDS)、主机日志(HIDS)、系统调用等。它并不完全依赖于传统意义上的“安全审计系统”。
功能:通过实时分析,识别恶意行为并发出警报或采取响应措施(如选项D所述)。
2、选项分析
A. IDS可用于发现合法用户是否滥用特权:正确。这是IDS的一个重要功能,称为内部威胁检测。例如,一个数据库管理员如果在其正常工作时间外异常地大量下载敏感数据,IDS可以检测到这种特权滥用行为。
B. IDS需要配合安全审计系统才能应用,后者为前者提供审计分析资料:不正确(这是本题答案)。
关系颠倒:实际情况是,IDS本身就是一种实现安全审计目的的重要工具。它主动地、实时地收集和分析数据(如网络包、系统日志),其输出结果(警报、日志)构成了安全审计资料的一部分。
独立性:IDS可以独立部署和运行,它直接从网络或主机获取数据,并非必须依赖另一个独立的“安全审计系统”来提供资料。这个说法限制了IDS的适用范围和功能。
C. IDS主要用于检测来自外部的入侵行为:片面/不完全正确(但通常被认为是“正确”的常见描述,不过它不是本题最不正确的选项)。这个说法是不全面的。虽然检测外部入侵是IDS的主要用途之一,但如上所述,检测内部滥用同样重要。然而,与选项B的绝对错误相比,这个选项的片面性程度较轻。
D. IDS主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应:正确。这精准地概括了IDS的核心使命——“识别(Detection)”和“响应(Response)”。
3、最终选项:B
例题14
1、知识点总结
安全措施通常分为两大类:防护性策略和恢复性措施。这道题考察的是对这两者区别的理解。
防护性策略 (Protective Strategies)
目标:预防攻击的发生,或在攻击发生时立即进行对抗和阻止,从而保护系统的机密性、完整性和可用性。
特点:是主动的、预防性的措施。
典型手段:
A. 安全日志:记录系统活动,用于实时监控、事后审计和攻击分析,是检测和响应的基础,属于防护策略的支撑环节。
B. 入侵检测:主动地、实时地监控网络或系统,以发现违反安全策略的行为和攻击迹象,并发出警报或采取响应措施,是典型的对抗攻击的手段。
C. 漏洞扫描:主动地查找系统、网络或应用程序中的安全弱点,以便在攻击者利用之前进行修补,是一种“先发制人”的预防性安全策略。
恢复性措施 (Recovery Measures)
目标:在安全防护失败、攻击已经得逞并造成破坏后,将系统和数据恢复到正常状态。
特点:是被动的、补救性的措施。
典型手段:
D. 数据备份与恢复:这是最经典的恢复性措施。它的作用不是在攻击发生时进行“对抗”,而是在数据被破坏、加密(如勒索软件)或丢失后,提供一个恢复原状的机会。它本身并不阻止攻击的发生
2、最终选项:D
例题15
1、知识点总结
Internet Explorer(IE)浏览器引入了“安全区域”的概念,用于对不同来源的网站分配不同的安全设置(如是否允许运行ActiveX控件、执行脚本等)。虽然现代浏览器不再严格使用此模型,但其理念仍然存在。安全级别从低到高排序如下:
D. 受限站点 (Restricted Sites)
安全级别:最高。
含义:包含您不信任的网站。
默认设置:禁止几乎所有可能有害的操作,如禁用ActiveX控件、禁止脚本运行、不下载文件等。这是最严格的安全模式。
A. Internet
安全级别:中等。
含义:包含所有未分配到其他区域的网站(默认区域)。
默认设置:提供中等偏下的安全防护,允许大部分常见操作但会有提示,旨在平衡安全性和功能性。
B. 本地 Intranet (Local Intranet)
安全级别:中低。
含义:包含组织内部网络(Intranet)上的网站和服务器。
默认设置:安全级别低于Internet区域,允许更多的自动操作(如自动登录、运行一些控件),因为默认假设内部网络是可信的。
C. 可信站点 (Trusted Sites)
安全级别:最低。
含义:包含您完全信任的网站(如银行、大型科技公司官网)。
默认设置:安全限制最宽松,允许许多操作自动进行而不提示用户,以提供最佳用户体验。正因如此,其安全级别最低。
2、选项分析
A. Internet:错误。这是默认区域,安全级别中等,并非最高。
B. 本地 Intranet:错误。此区域的安全设置比Internet区域更宽松,级别更低。
C. 可信站点:错误。这是安全级别最低的区域,因为用户明确信任其中的网站,浏览器会施加最少的限制。
D. 受限站点:正确。这是安全级别最高的区域,浏览器会启用最严格的安全限制来防止任何潜在的攻击。
3、最终选项:D
例题16
1、知识点总结
计算机病毒是一种人为编制的、能够侵入计算机系统、破坏数据、影响计算机使用并能自我复制的特殊程序代码。其主要特征包括:
破坏性:任何病毒一旦侵入系统,都会对系统及应用程序产生不同程度的影响。
潜伏性:病毒在侵入系统后可能不会立即发作,而是潜伏起来,在满足特定条件(如特定日期、时间、用户操作)时才触发其破坏模块。
传染性:这是病毒最基本的特征。病毒会将自身代码复制到其他程序或存储介质中,以此进行传播。
隐蔽性:病毒通常附在正常程序中或藏在隐蔽的地方,难以被发现。
可触发性:病毒的发作需要一定的触发条件。
寄生性:病毒需要依附于其他载体(通常称为“宿主程序”)而存在。
2、选项分析
A. 计算机病毒有破坏性,破坏计算机中的软件和数据,但不会损害机器的硬件:错误。
前半句正确,病毒确实有破坏性。
后半句错误。某些病毒(如CIH病毒)可以通过向主板BIOS芯片中写入垃圾数据等方式,直接破坏硬件,导致主板报废。
B. 计算机病毒有潜伏性,可能会长时间潜伏,遇到一定条件才开始进行破坏活动:正确。
这准确地描述了病毒的潜伏性和可触发性。例如,“黑色星期五”病毒只在逢13号的星期五发作。
C. 计算机病毒有传染性,能通过软磁盘和光盘不断扩散,但不会通过网络进行传播:错误。
前半句正确,病毒可以通过移动存储介质传播。
后半句严重错误。网络是现代病毒最主要的传播途径。蠕虫病毒、木马等主要就是依靠网络(电子邮件、系统漏洞、恶意链接、共享资源)以极快的速度传播。
D. 它是开发程序时未经彻底测试而附带的一种寄生性的计算机程序,能在计算机系统中生存和传播:错误。
后半句正确,病毒具有寄生性和传播性。
前半句概念混淆。该描述更像是“软件缺陷(Bug)”或“后门(Backdoor)”的特征。计算机病毒是人为故意编制的恶意程序,而不是开发过程中无意产生的附带品。
3、最终选项:B
例题17
1、知识点总结
计算机病毒根据其感染和驻留的方式,可以分为以下几种主要类型:
引导型病毒
感染目标:硬盘的主引导记录(MBR) 或软盘/硬盘的引导扇区(Boot Sector)。
工作原理:计算机启动时,BIOS会首先读取并执行引导扇区中的代码。引导型病毒将自身的代码植入引导扇区,从而在操作系统加载之前就获得系统的控制权,随后将自己调入内存并常驻,再将控制权交还给真正的引导程序。
特点:具有很强的隐蔽性,因为它在操作系统之前运行。但随着软盘的淘汰,此类病毒已较少见。
文件型病毒
感染目标:主要感染可执行文件(如
.exe,.com,.dll文件)。工作原理:将病毒代码附加到正常程序中,当用户运行被感染的程序时,病毒代码首先被执行,进行传播和破坏活动。
特点:这是最常见的病毒类型。
混合型病毒
感染目标:兼具引导型病毒和文件型病毒的特点,既感染引导扇区,也感染可执行文件。
工作原理:具有双重攻击能力,传播能力和破坏性更强。
执行性病毒
非标准分类:此名称不是一个严格的学术分类。它可能是指文件型病毒,因为文件型病毒感染的就是可执行文件。题目中描述的特征与它不符。
2、选项分析
题目描述的关键词是:“感染引导扇区或主引导记录” 和 “在计算机启动时调入内存执行”。
A. 文件型病毒:错误。它感染的是文件,而不是引导扇区。它是在用户执行文件时被激活,而非系统启动时。
B. 引导型病毒:正确。这完全符合题目的描述。引导型病毒专门感染引导扇区,并在系统启动的最初阶段获得控制权。
C. 混合型病毒:不准确。虽然混合型病毒也感染引导区,但题目描述的特征是引导型病毒的专属特征。混合型病毒因为也感染文件,所以不能作为这个描述的最佳答案。
D. 执行性病毒:错误。这个描述不标准,且其含义更接近文件型病毒,与引导扇区无关。
3、最终选项:B
例题18
1、知识点总结
什么是宏病毒?
宏病毒是一种寄生在文档或模板的“宏”中的计算机病毒。
“宏”是一系列命令和指令的集合,用于自动执行文档处理中的复杂任务。
工作原理
它利用了一些办公软件(如Microsoft Office)提供的宏功能。
当用户打开一个感染了宏病毒的文档时,隐藏在宏中的病毒代码就会被执行。
病毒代码可以自我复制到其他文档中,并可能进行破坏活动(如删除文件、干扰操作)。
感染目标
宏病毒主要感染包含宏的文档文件,而不是传统的可执行程序。
经典感染对象:
C. DOC (Microsoft Word文档)
.XLS(Microsoft Excel电子表格).PPT(Microsoft PowerPoint演示文稿)其他支持宏的Office文件格式(如较新的
.docx若包含宏,则扩展名为.docm)。
2、选项分析
A. EXE:错误。这是可执行文件,通常由文件型病毒感染,而不是宏病毒。
B. COM:错误。这是另一种可执行文件(命令文件),也是文件型病毒的目标,与宏病毒无关。
C. DOC:正确。这是Microsoft Word文档的经典扩展名,是宏病毒最常见、最典型的感染目标。
D. DLL:错误。这是动态链接库文件,属于系统程序文件,通常由文件型病毒或蠕虫感染,不是宏病毒的目标
3、最终选项:C
例题19
1、知识点总结
为了快速识别病毒类型,反病毒软件公司通常采用统一的命名规则,其中包含一个类型前缀来指明病毒的类别。
| 病毒类型 | 正确的前缀 | 描述 |
|---|---|---|
| 系统病毒 | Win32, PE, W32 | 感染Windows可执行文件的病毒 |
| 木马病毒 | Trojan | 伪装成正常程序的恶意软件,不自我复制 |
| 宏病毒 | Macro | 寄生在Office文档宏中的病毒 |
| 蠕虫病毒 | Worm | 通过网络自我复制的恶意软件(正确答案) |
| 破坏性程序 | Harm | 表示具有破坏行为的程序(选项D的错误之处) |
| 后门程序 | Backdoor | 在系统中开辟后门,方便黑客控制 |
| 脚本病毒 | Script, VBS, JS | 用脚本语言(如VBScript, JavaScript)编写的病毒 |
2、选项分析
A. 系统病毒的前缀一般为 Win32、PE、Win95、W32、W95 等:正确。
这些前缀指的是感染Windows操作系统文件的病毒。
Win32、PE(Portable Executable)特指感染32位Windows可执行文件(.exe, .dll等)的病毒。Win95、W95、W32是这类病毒的旧称或变体。
B. 木马病毒其前缀是 Trojan:正确。
Trojan是木马病毒的标准前缀。木马的特点是伪装成有用程序,但暗中执行恶意操作(如窃取信息、开后门),但它不像病毒那样自我复制。
C. 宏病毒的前缀是 Macro:正确。
Macro是宏病毒的标准前缀。指寄生在文档宏中的病毒,主要感染Office文档(如.doc, .xls)。
D. 蠕虫病毒的前缀是 Harm:错误(这是本题答案)。
Harm(危害) 并不是蠕虫病毒的前缀。Harm是一个行为前缀,用于表示具有破坏性功能的病毒(如格式化硬盘、删除文件),它可以应用于任何类型的病毒(如Harm.Trojan, Harm.Worm)。蠕虫病毒的标准前缀是
Worm。蠕虫的特点是能够通过网络自我复制和传播,消耗系统资源。
3、最终选项:D
例题20
1、知识点总结
功能与层级对应:
- 网络层防火墙(包过滤):管IP、端口 -> 不管用户。
- 应用层防火墙(代理):管内容、用户 -> 能管用户。
安全性与复杂性排序(从低到高):
- 包过滤防火墙 -> 双宿主机/屏蔽主机 -> 屏蔽子网防火墙
- 安全性越低,功能越弱(如无用户认证);安全性越高,结构越复杂。
- 抓关键词:看到“用户认证”就要立刻想到这是应用层网关/代理防火墙的功能,与包过滤防火墙无关。
防火墙主要分为以下几类,其安全性和功能各不相同:
包过滤防火墙
工作层级:网络层、传输层。
工作原理:根据预先设定的规则(如源/目标IP、端口号、协议类型)检查每个数据包的头信息,决定允许或拒绝其通过。
双宿主机防火墙
工作原理:一台至少有两块网卡的主机,分别连接内网和外网。它充当路由器,并在其上运行防火墙软件。IP数据包转发功能被禁用,所有通信必须由防火墙代理完成。
屏蔽子网防火墙
工作原理:这是最复杂的防火墙体系结构。它使用两个包过滤路由器和一个周边网络(DMZ,非军事区)。 bastion host(堡垒主机)被放置在DMZ中,将内网与外网彻底隔开。
2、选项分析
选项C犯了两个关键错误:
夸大其可靠性:包过滤防火墙因其工作层次低,无法应对复杂攻击,可靠性是几种防火墙中较差的。
赋予其不可能的功能:用户认证(User Authentication) 需要识别具体的用户身份,这需要理解应用层协议(如HTTP、FTP)。包过滤防火墙仅检查IP和端口头信息,完全不具备用户认证的能力。