2021年11月计算机技术与软件《中级信息安全工程师（下午卷）》试题真题及答案.docxVIP

2021年11月计算机技术与软件《中级信息安全工程师（下午卷）》试题真题及答案

[问答题]1.在某政府单位信息中心工作的李工要负责网站的设计、开发工作。为了确保部门新业务的顺利上线，李工邀请信息安全部门的王工按（江南博哥）照等级保护2.0的要求对其开展安全测评。李工提供网站的网络拓扑图如图1-1示。图中，网站服务器的IP地址是40，数据库服务器的IP地址是41。

王工接到网站安全测评任务以后，决定在内网办公区的信息安全部开展各项运维工作，王工使用的办公电脑IP地址为。

1.按照等级保护2.0的要求，政府网站的定级不应低于几级？该等级的测评每几年开展一次？

2.按照网络安全测评的实施方式，测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。王工调阅了部分网站后台处理代码，发现网站某页面的数据库查询代码存在安全漏洞，代码如下：

（1）请问上述代码存在哪种漏洞？（2）为了进一步验证自己的判断，王工在该页面的编辑框中输入了漏洞测试语句，发起测试。请问王工最有可能输入的测试语句对应以下哪个选项？A.or1=1--orderby1?B.1or‘1’=‘1’=1orderby1#C.l’or1=1orderby1#?D.1and‘1’=‘2’orderby1#（3）根据上述代码，网站后台使用的哪种数据库系统？（4）王工对数据库中保存口令的数据表进行检查的过程中，发现口令为明文保存，遂给出整改建议，建议李工对源码进行修改，以加强口令的安全防护，降低敏感信息泄露风险。下面给出四种在数据库中保存口令信息的方法，李工在安全实践中应采用哪一种方法？A.Base64B.MD5C.哈希加盐?D.加密存储

3.按照等级保护2.0的要求，系统当中没有必要开放的服务应当尽量关闭。王工在命令行窗口运行了一条命令，查询端口开放情况。请给出王工所运行命令的名字。

4.防火墙是网络安全区域边界保护的重要技术，防火墙防御体系结构主有基于双宿主机防火墙、基于代理型防火增和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型？

正确答案：详见解析

参考解析：1.三级；每年

分析：等保2.0要求关键信息基础设施“定级原则上不低于三级”的指导，测评分数的要求由60分提升至75分以上。政府站群系统属于关键信息基础设施，所以应定级为三级。依据《信息安全等级保护管理办法》（公通字200743号文）第三级信息系统应当每年至少进行一次等级测评。

2.（1）SQL注入漏洞（2）C（3）mysql（4）C

分析：第（1）空在上述代码中可以看到，PHP后台直接从前端获取参数ID，并且将该ID用于拼装成一条SQL语句，这条语句中的Where部分没有经过任何过滤和条件限制，直接使用了参数ID，因此这部分代码存在SQL注入攻击的问题。如果考生对PHP代码不是很熟悉，实际上也可以根据上下文，从第（2）空的提问以及提供的选项可以联想到是使用了SQL注入。第（2）空是对SQL注入攻击的进一步考察。将用户名设置为l’or1=1orderby1#之后，后台执行的SQL语句就变为：SELECTfirst_name,last_nameFROMusersWHRERuser_id=‘l’or1=1orderby1#由于，1=1恒成立，因此可以做到不用输入正确用户名和密码，就能完全跳过登录验证。因此正确答案选择C。第（3）空，从PHP代码中可以发现最终执行SQL语句时使用的是mySQL_query($getid)，由此可以判断系统所使用的后台数据库是MySQL。第（4）空，由题目可知数据库保存口令的数据表存放了明文口令，这是极不安全的。解决的方法是将口令进行哈希加密后再存入数据库，但攻击者知道哈希值后，可以通过查表法倒推出原始的口令。所以这种方式仍然具有较大的安全隐患。为了解决上述问题就是加盐（Salt），就是加随机值。即在口令后面加一段随机值（salt），然后再进行Hash运算。

3.netstat

分析：题目中并没有指定所使用的系统是Windows、Linux还是Unix，但是这些操作系统都可以运行netstat指令，用不同的参数查看本机开放的所有服务端口。这样也就知道开放了哪些服务。

4.屏蔽子网的防火墙

本题中可以明显地看到防火墙存在有外部路由器、DMZ网络和内部路由器等部分，因此是属于屏蔽子网的防火墙。

分析：常见的防火墙体系结构有基于双宿主机防火墙、基于代理型防火增和基于屏蔽子网的防火墙，其典型特点如表1所示。表1常见的防火墙体系结构

[问答题]3.通常由于机房电磁环境复杂，运维人员很少在现场进行运维工作，在出现安全事件需要紧急处理时，需要运维人员随时