信管网试题库
信息安全工程师 - 试题库 导航

2022年下半年信息安全工程师案例分析真题模拟试题及答案(4)

2022年10月22日来源:信管网 作者:cnitpm

2022年下半年信息安全工程师案例分析真题模拟试题及答案(4)
  • 试题一:阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。
    【说明】
    用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要,以下过程给出了实现用户B对用户A身份的认证过程。
    1.B –> B:A
    2.B –> A:{B,Nb}pk(A)
    3.A –> B:b(Nb)
    此处A和B是认证实体,Nb是一个随机值,pk(A)表示实体A的公钥、{B,Nb}pk(A)表示用A的公钥对消息BNb进行加密处理,b(Nb)表示用哈希算法h对Nb计算哈希值。
    【问题1】(5分)
    认证和加密有哪些区别?
    【问题2】(6分)
    (1)包含在消息2中的“Nb”起什么作用?
    (2)“Nb”的选择应满足什么条件?
    【问题3】(3分)
    为什么消息3中的Nb要计算哈希值?
    【问题4】(4分)
    上述协议存在什么安全缺陷?请给出相应的解决思路。

    查看答案

    参考答案:

    参考解析:www.cnitpm.com/st/2851829992.html

    信管网考友试题答案分享:

    信管网cnitpm576656876858:
    1.认证验证发送方的身份,而加密保护信息的保密性,不被非授权用户截获; 2.用户给a的私钥进行解密,验证a的身份; 具有高度的随机性和保密性,不能被其他人猜到或是非法获取到; 3.无法验证b的身份,无法防范中间人攻击

    信管网dgjdyyh:
    问题1、认证是对用户的身份进行识别,加密是对数据进行进行保密化处理。 问题2、(1)nb是挑战信息,通过传递nb来确认身份 (2)nb的选择应满足随机生成的条件 问题3、计算哈希后nb不以明文传播且无法通过hash值反推nb。 问题4、存在中间人攻击和重放攻击的问题。可以通过加入时间戳的机制来解决。

    信管网cnitpm559307559123:
    问题1 认证是对用户的身份进行确认,确认他是否为合法用户,是指验证方式 加密是文件、数据内容进行加工包裹,不直接暴露在外面,是一种对数据的处理方式 问题2 (1)作用: (2)满足条件 问题3 计算哈希值 问题4 安全缺陷

    信管网cnitpm12214541607:
    1.加密是保证信息的保密性 认证是保证用户的真实性 2.防止重放攻击 一次性,随机 3.防止中间人攻击 4.重放攻击 加时间戳

    信管网whitewater:
    1.认证是确认身份:加密是用公钥加密,私钥解密,防止其他人查看。<br>2.防止重放攻击<br>3.防止篡改<br>4.假冒,加数字签名

  • 试题二:阅读下列说明和图,回答问题1至问题4,讲解答填入答题纸的对应栏内
    【说明】近期,按照网络安全审查工作安排,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻某出行科技有限公司,开展网络安全审查,移动APP安全检测和个人数据安全再次成为关往焦点。
    [问题1] (4分)
    为保护Android系统及应用终端平台安全,Android 系统在内核层、系统运行层、应用框架层以及应用程序层采取了相应的安全措施,以尽可能地保护移动用户数据、应用程序和设备安全。
    在Android系统提供的安全措施中有安全沙箱、应用程序签名机制;权限声明机制、地址空间布局随机化等,请将上述四种安全措施按照其所在层次分填入表4-1的空(1)-(4)

    【问题2】(6分)
    权限声明机制为操作权限和对象之间设定了一些限制,只有把权限和对象进行绑定,才可以有权操作对象(1)请问Android系统应用程序权限声明信息都在哪个配置文件中?给出该配置文件名。
    (2)Android 系统定义的权限组包括 CALENDAR、CAMERA、CONTACTS、LOCATION、 MICROPHONE、PHONE、SENSORS,SMS、STORAGE.按照《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》,运行在Android9.0系统中提供网络约车服务的某出行App可以有的最小必要权限是以上权限组的哪几个?
    (3)假如有移动应用A提供了 AService服务,对应的权限描述如下:

    如果其他应用B要访问该服务,应该申明使用该服务,将以下申明语句补充完整。
    11.< android:name='com.demo. AService">
    【问题3】(3分)
    应用程序框架层集中了很多Android开发需要的组件,其中最主要的就是Activities. BroadcastReceiver. Services以及Content Providers这四大组件,围绕四大组件存在很多的攻击方法,请说明以下三种攻击分别是针对哪个组件。
    (1)目录遍历攻击。
    (2)界面劫持攻击。
    (3)短信拦截攻击。
    【问题4] (2分)
    移动终端设备常见的数据存储方式包括:①SharedPreferences;②文件存储;③SQLite数据库;④ContentProvider;⑤网络存储。
    从以上5种方式中选出Android系统支持的数据存储方式,给出对应存储方式的编号。

    查看答案

    参考答案:

    参考解析:www.cnitpm.com/st/5229618782.html

    信管网考友试题答案分享:

    信管网hellotiantianxiangshang:
    一、(1)权限声明机制(2)应用程序签名机制(3)安全沙箱(4)地址空间布局随机化 二、(1)mianfest.xml (2)location、microphone、phone、sms、storage (3)service 三、(1)content providers (2)activities (3)broadcastreceiver 四、(1)(2)(3)(4)(5)

    信管网dgjdyyh:
    问题1:(1)权限声明机制 (2)应用程序签名机制 (3)安全沙箱 (4)地址空间布局随机化 问题2:(1)manifest.xml (2)contacts、location、phone、sms、storage (3)android:permission="com.demo.permission.b" 问题3:(1)broadcastreceiver (2)services,activities (3)content providers 问题4:①②③④⑤

    信管网大南瓜乐乐叻:
    应用程序签名机制 权限声明机制 安全沙箱 地址空间布局随机化 mainsafe location phone con 目录 broad 界面 短信 act 12345

    信管网echogin:
    权限声明机制、应用程序签名机制、安全沙箱、地址空间布局随机化 xxx location、microphone、phone、sms service content \ braod \ activi 1\2\3\4\5

    信管网cnitpm549068742002:
    权限声明机制 应用签名机制 安全沙箱 地址空间布局随机化 manifest.xml m sms l p storage service contentproviders activites. broadcastreceiver 12345

备考刷题推荐:

【估分/对答案收藏】2022年下半年信息安全工程师真题答案解析(综合+案例)

信息安全工程师历年真题[答题及pdf下载]

软题库在线刷题[章节习题/模拟试题/每日一练]

软题库app/信管网app随时随地在线刷题

报信管网信息安全工程师培训课程享有报名首次邮送内部学习资料及用品 +全科目系统精讲课程+课程课后配套习题练习+ 软题库免费刷题等服务。【点击了解详情

温馨提示:因考试政策、内容不断变化与调整,信管网提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!

分享至:

信管网 - 信息系统项目管理专业网站

下载APP-在线学习

培训课程

0元畅享

考试题库

免费资料

客服咨询