软考信息安全工程师考试中,下午的案例分析是您能否通过考试的关键,案例能通过则整体通过概率就很高,因为从21年考试来看,上午的基础知识考得很简单,下午的案例很难。
和软考文科类考试不一样,信安的案例不是靠背靠记,或者瞎写把卷子写满就能过的,会就是会,不会就是不会,所以打好基础,建立自己的知识体系很重要,至强老师有多年网络安全从业经验,同时熟悉软考的特点,大家有信安考试相关的疑难问题都可以进行咨询。
试题一(共20分)
阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】在某政府单位信息中心工作的李工要负责网站的设计、开发工作。为了确保部门新业务的顺利上线,李工邀请信息安全部门的王工按照等级保护2.0的要求对其开展安全测评。李工提供网站的网络拓扑图如图1-1所示。图中,网站服务器的IP地址是192.168.70.140,数据库服务器的IP地址是192.168.70.141。(至强老师专业软考信安辅导)
王工接到网站安全测评任务以后,决定在内网办公区的信息安全部开展各项运维工作,王工使用的办公电脑IP地址为192.168.11.2。
【问题1】(2分)
按照等级保护2.0的要求,政府网站的定级不应低于几级?该等级的测评每几年开展一次?
【问题2】(6分)
按照网络安全测评的实施方式,测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。王工调阅了部分网站后台处理代码,发现网站某页面的数据库查询代码存在安全漏洞,代码如下:
1 <?php
2 if(isset($_GET['Submit'])){
3
4 //Retrieve data
5 $id=$_GET['id'];
6
7$getid="SELECT first_name,last_name FROM users WHRER user_id='$id'";
8$result=mysql_query($getid)or die('<pre>’.mysql_error().'<pre>’);
9
10 $num=mysql_numrows($result);
11
12 $i=0;
13 while($i<$num){
14
15 $first=mysql_result($result,$i,"first_name");
16 $last=mysql_result($result,$i,"last_name");
17
18 ehco '<pre>’
19 ehco 'ID:'.$id.'<br>First name:'$first.'<br>Surname:'.$last;
20 ehco'<pre>'
21
22 $i++;
23 }
24 }
25 ?>
(1)请问上述代码存在哪种漏洞?
(2)为了进一步验证自己的判断,王工在该页面的编辑框中输入了漏洞测试语句,发起测试。请问王工最有可能输入的测试语句对应以下哪个选项?
A.or 1=1--order by 1 B.1 or'1'='1'=1 order by 1#
C.1'or 1=1 order by 1# D.1'and'1'='2'order by I#
(3)根据上述代码,网站后台使用的哪种数据库系统?
(4)王工对数据库中保存口令的数据表进行检查的过程中,发现口令为明文保存,遂给出整改建议,建议李工对源码进行修改,以加强口令的安全防护,降低敏感信息泄露风险。下面给出四种在数据库中保存口令信息的方法,李工在安全实践中应采用哪一种方法?
A.Base64 B.MD5 C.哈希加盐 D.加密存储
【问题3】(2分)
按照等级保护2.0的要求,系统当中没有必要开放的服务应当尽量关闭。王工在命令行窗口运行了一条命令,查询端口开放情况。请给出王工所运行命令的名字。
【问题4】(2分)
防火墙是网络安全区域边界保护的重要技术,防火墙防御体系结构有基于双宿主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型?
【问题5】(8分)
根据李工提供的网络拓扑图,王工建议部署开源的Snort入侵检测系统以提高整体的安全检测和态势感知能力。
(1)针对王工建议,李工查阅了入侵检测系统的基本组成和技术原理等资料。请问以下有关Snort入侵检测系统的描述哪两项是正确的?(2分)
A.基于异常的检测系统B.基于误用的检测系统C.基于网络的入侵检测系统D.基于主机的入侵检测系统
(2)为了部署Snort入侵检测系统,李工应该把入侵检测系统连接到图1-1网络拓扑中的哪台交换机?(1分)
(3)李工还需要把网络流量导入入侵检测系统才能识别流量中的潜在攻击。图1-1中使用的均为华为交换机,李工要将交换机网口GigabitEthernet1/0/2的流量镜像到部署Snort的网口GigabitEthemet1/0/1上,他应该选择下列选项中哪一个配置?(2分)
A.observe-port 1 interface GigabitEthernet1/0/2
interface GigabitEthemet1/0/1
port-mirroring to observe-port 1 inbound/outbound/both
B.observe-port 2 interface GigabitEthernet1/0/2
interface GigabitEthemet1/0/1
port-mirroring to observe-port 1 inbound/outbound/both
C.port-mirroring to observe-port 1 inbound/outbound/both
observe-port 1 interfaceGigabiEthenet1/0/2
interface GigabitEthenet1/0/1
D.observe-port 1 interface GigabitEthernet1/0/1
interface GigabitEthemet1/0/2
port-mirroring to observe-port 1 inbound/outbound/both
(4)Snort入侵检测系统部署不久,就发现了一起网络攻击。李工打开攻击分组查看,发现很多字符看起来不像是正常字母,如图1-2所示,请问该用哪种编码方式去解码该网络分组内容?(1分)