2021年中国工业互联网安全大赛(福建省选拔赛) 暨首届福建省工业互联网创新大赛

理论

单选题

ip地址分为全球地址（公有地址）和专用地址（私有地址），在文档rfc1918中，不属于专用地址的是 （D ）。

A 172. 16. 0. 0 到 172. 31. 255. 255

B 10. 0. 0. 0 到 10. 255. 255. 255

C 192. 168. 0. 0 到 192. 168. 255. 255

D 255. 0. 0. 0 到 255. 255. 255. 255

在非对称加密算法中，涉及到的密钥个数是？（D）

A 三个以上

B 一个

C 三个

D 两个

相邻的路由器在满足一定条件时才能成为邻居，以下不属于必要条件的是（B）。

A 位于相同网段

B 相同型号

C 相同 Hello 间隔

D 位于相同区域

数据备份通常可分为完全备份、增量备份、差分备份和渐进式备份几种方式。其中将系统中所有选择的数据对象进行一次全面的备份，而不管数据对象自上次备份之后是否修改过的备份方式是（ A ）。

A 完全备份

B 差分备份

C 渐进式备份

D 增量备份

你有一个共享文件夹，你将它的NTFS权限设置为sam用户可以修改，共享权限设置为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有什么样的权限？（B）

A 写入

B 读取

C 修改

D 完全控制

VTP 修剪的命令是（C）。

A vtp brief

B vtp domain

C vtp pruning

D vtp status

在 P2DR2 安全模型中，“Rt”代表（A）。

A 系统做出响应所需时间

B 系统检测到攻击行为所需时间

C 安全体系建设所需时间

D 攻击成功所需时间

下列有关工业控制系统策略与过程的脆弱性描述有误的一项是：（A）

A 发生硬件或软件错误以及设备损毁时，功能安全产品起到必要的防护作用，不需要制定灾难恢复机制来应对；

B 不适当的配置或缺少特别适用于控制系统信息安全的策略通常导致工业控制系统的受到黑客攻击；

C 必须为工业控制系统开发专用的、总体性的信息安全流程，该流程是其他所有信息安全措施的基础；

D 控制系统工程师一般缺乏信息安全方面的专业培训，不可能维护安全可靠的工业控制系统；

身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。目前，计算机及网络系统中常用的身份认证技术主要有：用户名/密码方式、智能卡认证、动态口令、生物特征认证等。其中能用于身份认证的生物特征必须具有（C ）。

A 稳定性和完整性

B 保密性和完整性

C 唯一性和稳定性

D 唯一性和保密性

设置了交换机端口安全时，违反规则后的处理策略不包括以下哪一条（B）。

A shutdown

B restart

C protect

D restrict

入侵检测对网络、系统运行状态进行监视，在发现入侵后及时作出相应，不包括下列哪个（A）。

A 复原变更文件

B 报警

C 切断网络连接

D 记录事件

MD5 密文认证的时候，密码最多支持为（D）个字符。

A 64

B 8

C 32

D 16

电子邮件系统的邮件协议有发送协议smtp和接收协议p0p3/imap4。smtp发送协议中，发送身份标识的指令是（A ）。

A helo

B help

C send

D saml

假设使用一种加密算法，它的加密方法很简单：将每一个字母加 5，即 a加密成 f。这种算法的密钥就是 5，那么它属于（B ）

A 单项函数密码技术

B 对称加密技术

C 分组加密技术

D 公钥加密技术

下列关于工业SCADA系统信息安全基础技术错误的是：（D）。

A 防火墙使用和二次编程开发都不太方便

B 审计日志使用方便，但不支持二次编程开发

C 生物特征因子使用方便，但不支持二次编程开发

D 入侵检测系统使用和二次编程开发都很方便

含有两个密钥的3重des加密： ,其中k1≠k2，则其有效的密钥长度为（ B）。

A 56 位

B 112 位

C 168 位

D 128 位

无线局域网鉴别和保密体系wapi是一种安全协议，也是我国无线局域网安全强制性标准，以下关于wapi的描述中，正确的是（D ）。

A wapi从应用模式上分为单点式、分布式和集中式

B wapi中，wpi采用rsa算法进行加解密操作

C wapi与wifi认证方式类似，均采用单向加密的认证技术

D wapi系统中，鉴权服务器as负责证书的颁发、验证和撤销

人为的安全威胁包括主动攻击和被动攻击。主动攻击是攻击者主动对信息系统实施攻击，导致信息或系统功能改变。被动攻击不会导致系统信息的篡改，系统操作与状态不会改变。以下属于被动攻击的是 （B ）。

A 伪装

B 嗅探

C 重放攻击

D 越权访问

在入侵检测的基础上，锁定涉嫌非法使用的用户，并限制和禁止该用户的使用。这种访问安全控制是？（B）

A 权限控制

B 网络检测控制

C 防火墙控制

D 入网访问控制

移位密码的加密对象为英文字母，移位密码采用对明文消息的每一个英文字母向前推移固定化y位的方式实现加密。设key=3，则对应明文math的密文为(D )。

A qexl

B rfym

C ocvj

D pdwk

为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则，其中在信息系统中，应该对所有权限进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使它们之间相互制约、相互监督，共同保证信息系统安全的是 （B ）。

A 纵深防御原则

B 最小化原则

C 分权制衡原则

D 安全隔离原原则

无论是哪一种web服务器，都会受到http协议本身安全问题的困扰，这样的信息系统安全漏洞属于（C ）。

A 开发型漏洞

B 验证型漏洞

C 运行型漏洞

D 设计型漏洞

为了防止一些漏洞（例如跨站脚本），需要对一些特殊字符进行HTML编码，例如：对特殊字符&进行 HTML 转码后为（A）

A &

B <

C >

D “

由于攻击者可以借助某种手段，避开 DBMS以及应用程序而直接进入系统访问数据，我们通常采取以下哪种方式来防范？( A )

A 数据库加密

B 使用集合法

C 修改数据库用户的密码，将之改得更为复杂

D 使用修改查询法，使用户在查询数据库时需要满足更多的条件

pki是一种标准的公钥密码密钥管理平台。在pki中，认证中心ca是整个pki体系中各方都承认的一个值得信赖的、公正的第三方机构。ca的功能不包括（D ）。

A 证书的备份

B 证书的审批

C 证书的颁发

D 证书的加密

在 IPSec中，（B ）是两个通信实体经过协调建立起来的一种协定，觉得用来保护数据包安全的 IPSec协议、密码算法、密钥等信息。

A ESP

B SA

C SP

D SPI

下面哪类访问控制模型是基于安全标签实现的？（D）

A 基于身份的访问控制

B 自主访问控制

C 基于规则的访问控制

D 强制访问控制

已知BX=2000H，SI=1234H，则指令MOV AX，[BX+SI+2]的源操作在 （ D ）中

A 附加段中偏移量为3236H的字节

B 数据段中偏移量为3234H的字节

C 附加段中偏移量为3234H的字节

D 数据段中偏移量为3236H的字节

AO和AI分别表示（C）正确答案

A 模拟量输出和数字量输入

B 数字量输出和数字量输入

C 模拟量输出和模拟量输入

D 模拟量输出和数字量输出

Profibus的通信参考模型中不包括下面那一项（D）

A 数据链路层

B 物理层

C 应用层

D 网络层

下列哪些行为不能加固SCADA系统：（C）

A 卸载不必要的软件

B 断开未认证的访问接口

C 不能通过端口扫描对系统环境进行测试

D 禁止不使用的端口

ipsec协议可以为数据传输提供数据源验证、无连接数据完整性、数据机密性、抗重播等安全服务。其实现用户认证采用的协议是（ D ）。

A esp协议

B skip协议

C ike协议

D ah协议

snort是一款开源的网络入侵检测系统，它能够执行实时流量分析和ip协议网络的数据包记录。以下不属于snort配置模式的是（ B ）。

A 包记录

B 分布式入侵检测

C 嗅探

D 网络入侵检测

apt攻击是一种以商业或者政治目的为前提的特定攻击，其中攻击者采用口令窃听、漏洞攻击等方式尝试进一步入侵组织内部的个人电脑和服务器，不断提升自己的权限，直至获得核心电脑和服务器控制权的过程被称为（ D ）。

A 横向渗透

B 防线突破

C 通道建立

D 情报收集

在信息系统上工作，保证安全的技术措施包括( B )。

A 授权，备份，测试

B 授权，备份，验证

C 授权，调试，验证

D 调试，备份，验证

基于md4和md5设计的s/key口令是一种一次性口令生成方案，它可以对访问者的身份与设备进行综合验证，该方案可以对抗（ C ）。

A 穷举攻击

B 网络钓鱼

C 重放攻击

D 数学分析攻击

在 RIP的 MD5认证报文中，经过加密的密钥是放在哪里的？（ B ）

A 报文头里

B 报文的第二个表项里

C 报文的第一个表项里

D 报文的第二个表项里

如果对一个密码体制的破译依赖于对某一个经过深入研究的数学难题的解决，就认为相应的密码体制是（ D ）的。

A 计算安全

B 绝对安全

C 无条件安全

D 可证明安全

CDP 数据包结构中主要不包括以下哪一个（A）。

A STP

B LLC

C DLC

D CDP

$HOME/.netrc文件包含下列哪种命令的自动登录信息？（D）

A rlogin

B rsh

C ssh

D ftp

工业防火墙是防火墙是建立在可信任、安全的内部网络和不安全或不被信任的外部网络之间的一个电子栅栏，工业防火墙技术是一种（B）安全模型

A 以上都不是

B 被动式

C 主动式

D 混合式

请求片段：MOVE /fileserver/shell.jsp，是以下哪个服务漏洞的典型利用特征？（C）

A nginx

B apache

C activemq

D IIS

IDS和IPS设备检查网络数据包中的恶意代码标志或漏洞利用程序的特征量，下列有关IDS和IPS 配置策略有误的是：（A）

A IDS和IPS设备不能识别工业控制系统网络协议关键功能代码；

B IDS和IPS设备告警任何针对工业控制系统网络的端口扫描；

C IPS设备应阻止任何跨安全域边界的未定义的流量；

D IDS设备记录安全域内正常或合法活动，有助于合规性检测报告；

Radius协议包是采用 ( A )作为其传输模式的。

A UDP

B 以上两者均可

C 其他

D TCP

源 IP为 100.1.1.1，目的 IP为 100.1.1.255，这个报文属于什么攻击？（ D ）（假设该网段掩码为 255.255.255.0）

A FRAGGLE攻击

B WINNUKE攻击

C LAND攻击

D SMURF攻击

外部渗透团队正在给客户的网络实施渗透测试。测试团队只能根据从Web上获取的信息来实施攻击。客户网络的员工知道将要进行测试，但渗透测试团队只能使用公开获得的信息和一些客户给的信息。测试团队认识的程度和测试的类型是什么？（D）

A 零了解；目标测试

B 部分了解；双盲测

C 完全了解；盲测

D 部分了解；盲测

下列说法不属于工业控制系统硬件脆弱性的是：（D）

A 工业控制系统中的关键部位没有安装备用电源，系统的掉电事故将关闭整个工业控制系统并可能触发进入不安全状态，系统掉电事故还可能引起系统恢复不安全的缺省配置；

B 控制系统中的硬件存在无线电频率和电磁脉冲方面的脆弱性，可以引发控制指令的短暂中断，甚至导致电路板的永久破坏；

C 缺少对关键部件的冗余备份，将使单点故障引发整个系统瘫痪；

D 长期未升级打补丁的操作系统和应用程序，可能隐藏新的、未被发现且极易造成破坏的脆弱性，需对工业控制系统信息安全补丁操作及维护过程制定规范；

对于自动化扫描工具，一般需要登录后进行检测，以获得更多的结果，下列认证方式错误的是？（B）

A 使用录入功能录入用户名密码

B 复制存活页面的url并进行配置代理

C 在工具中直接输入用户名密码

D 复制存活页面的cookies并配置代理

外部网关协议bgp是不同自治系统的路由器之间交换路由信息的协议，bgp-4使用四种报文:打开报文、更新报文、保活报文和通知报文。其中用来确认打开报文和周期性地证实邻站关系的是（C ）。

A 更新报文

B 通知报文

C 保活报文

D 打开报文

对称加密又称为（D）或单密钥加密。

A 特殊密钥加密

B 密钥加密

C 简单密钥加密

D 常规加密

IDS入侵检测系统一般有几种类型。哪种类型建立了一个场景中正常行为的概况，并根据这个给出一个数据包的异常值。（A）

A 基于统计异常的

B 基于状态的

C 误用检测系统

D 基于协议特征

pdr模型是一种体现主动防御思想的网络安全模型，该模型中d表示（ A ）。

A detection（检测）

B defense（防御）

C defend（保护）

D design（设计）

对使用堡垒主机区域时，下列对于配置防火墙规则错误的是：（D）

A 只允许通过必要的服务和通信

B 从源地址、目的地址、服务和端口进行限制

C 禁止从内部流量到控制系统的连接

D 允许穿越堡垒主机，对控制网络的访问

SQL注入攻击可通过何种方式进行防护（ D ）

A 购买硬件防火墙，并只开放特定端口

B 将密码设置为12位的特别复杂密码

C 安装最新的系统补丁

D 使用web应用防火墙进行防护

在传输模式 IPSec应用情况中，以下哪个区域数据报文可受到加密安全保护？（B）

A 新 IP头

B 传输层及上层数据报文

C 整个数据报文

D 原 IP头

下列关于EFS说法错误的是（ A ）

A EFS加密后的文件不可删除

B EFS加密文件系统只在NTFS分区下有效

C EFS加密后的文件可删除

D EFS对文件有效,文件夹无效

工业控制系统网络和与之相连的其他的网络的缺陷、错误配置或不完善的网络管理过程可能导致工业控制系统的脆弱性，下列描述错误的是：（B）

A 使用出厂设备的缺省配置通常导致开放不安全、不必要的端口，并暴露出主机上可被利用的服务。

B 工业控制系统中的基础设施网络环境经常随着运行的需求改变而不断修改和完善，不用担心考虑这些变化对系统的潜在的安全方面的影响。

C 不安全的通用串行总线（USB）和PS/2端口均可以允许非授权连接外围设备；

D 很多工业控制系统专用协议中没有完整性校验机制，为了确保完整性，工业控制系统可以使用较低层次的协议(如IPsec)为数据提供完整性保护能力

ICMP 协议的目的是（A）。

A 发送控制消息，提供通信环境的问题反馈

B 在主机间建立连接，提供可靠数 据传输

C 快速发送数据包，不追求数据可靠性

D 定位目的主机，寻找合适的传输路 径

什么方式能够从远程绕过防火墙去入侵一个网络？（A）

A Modem banks

B Identified network topology

C Active ports

D IP services_

以下各种加密算法中属于双钥制加密算法的是（ B ）

A Vigenere算法加密

B Diffe-Hellman加密

C Caesar替代法

D DES加密算法

针对特定工业系统目标的进行长时间持续性的网络攻击被称为（D）

A CC

B DDOS

C LTMT

D APT

关于《工业控制系统信息安全防护指南》，描述错误的是：（D）

A 由工业和信息化部印发

B 重点指导工业企业开展安全防护活动

C 注重防护要求的可执行性，从管理、技术两方面明确工业企业工控安全防护要求

D 主要涉及工控系统功能安全

metasploit中，搜索cve2019-0708的指令是（C）？

A show cve 2019-0708

B find cve2019-0708

C search cve:2019-0708

D search cve2019-0708

在 DES 中，数据以（D）比特分组进行加密。

A 128

B 32

C 16

D 64

已知des算法s盒如下:

如果该s盒的输入110011,则其二进制输出为( B )。

A 1001

B 1110

C 0100

D 0101

防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通 知信息源该信息被禁止的处理方式是（ D ）。

A accept

B drop

C refuse

D reject

明文认证的时候，密码最多支持（A）个字符。

A 8

B 64

C 32

D 16

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，下列哪一个是工控蜜罐：（D）

A Beeswarm；

B shhipot；

C T-Pot；

D Conpot；

Linux中，向系统中某个特定用户发送信息，用什么命令？（B）

A wall

B write

C net send

D mesg

ssl协议（安全套接层协议）是netscape公司推出的一种安全通信协议，以下服务中，ssl协议不能提供的是（ B ）。

A 用户和服务器的合法性认证服务

B 基于udp应用的安全保护

C 维护数据的完整性

D 加密数据服务以隐藏被传输的数据

用一个特别打造的SYN数据包，它的原地址和目标地址都被设置成某一个服务器地址。这样将导致接收服务器向他自己的地址发送SYN-ACK信息，结果这个地址又发回ACK信息并创建一个空连接，被攻击的服务器每接收到一个这样的连接就将其保存，直到超时，这种拒绝服务攻击是下列中的（B）。

A SYN Flooding 攻击

B Land攻击

C UDP Storm 攻击

D Teardrop 攻击

交换机的地址学习是采用 MAC 地址表来存储 MAC 地址与（C）的映射关系实现的。

A 硬件插槽

B LLC 地址

C 端口

D IP 地址

工控协议缺乏保密和验证机制，特别缺乏验证一个主站和从站之间发送的消息的完整性技术，下面攻击不属于利用工业协议脆弱性的是：（B）

A 攻击者重复发送合法的工业工控系统消息，并将它们发送到从站设备，从而造成设备损毁、过程关闭等破坏；

B 外部人员非法访问网络设备将导致工业控制系统设备硬件和敏感数据遗失；

C 向RTU发送无意义的信息，消耗控制网络的处理器资源和带宽资源；

D 向控制操作人员发送虚假的、欺骗信息，导致操作中心不能正确了解生产控制现场的实际工况，诱使其执行错误操作；

如果希望本交换机上对 vlan 所做的创建、删除、修改，被管理域中其他交换机同步， 则应该设置本交换机为（B）模式。

A 非透明

B 服务器

C 透明

D 客户

IOT恶意软件增长趋势最快得的家族，是以下哪个？（C）

A Mirai

B bitcoin

C Gafgyt

D Tsunami

攻击者可能利用不必要的 extproc外部程序调用功能获取对系统的控制权，威胁系统安全。关闭 Extproc功能需要修改 TNSNAMES.ORA和 LISTENER.ORA文件删除一下条目，其中有一个错误的请选择出来（A）。

A sys_ertproc

B PLSExtproc

C extproc

D icache_extproc

当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看（C）

A 用户账户和权限的设置

B 访问控制列表

C 审计记录

D 系统服务配置情况

简单的攻击也由很多步骤组成，为探测一个安全事故，需要观测多个事件并在其中寻找 规律，然而，目前设计成型的事件关联系统并不适合在控制系统中使用，因此在工业控制系统网络中探测更加高级的攻击威胁是巨大的挑战，下列不属于工业控制系统信息高级威胁探测技术的是：（B）

A IT与OT系统的关联性；

B 异常行为探测；

C 数据丰富过程；

D 事件关联机制；

工业控制系统体系架构的脆弱性直接源自工业控制系统的基本架构，现代工业系统所使用的工控架构，与20世纪80年代和90年代使用的架构相比，原则上是没有太大区别。下面哪一项不属于工业控制系统系统架构脆弱性：（D）

A 在工业控制系统系统架构中，工控系统的活动组件之间缺乏认证；

B 在工业控制系统系统架构中，管理网络与控制网络之间的弱分离；

C 在工业控制系统系统架构中，对网络负载均衡和冗余的较少关注；

D 在工业控制系统系统架构中，经常使用安全设备的缺省配置；

通配符掩码（C）等价于关键字“any”。

A 1.1.1.1

B 255.1.1.1

C 255.255.255.255

D 0.0.0.0

DNS由于其在Internet上的战略角色，容易成为黑客攻击的目标。下面哪种攻击使用递归查询来毒化DNS服务器的缓存？（A）

A DNS欺骗

B 社会工程

C 操纵主机文件

D 域名诉讼

示例代码展示了哪一种漏洞？ charptr=(char)malloc(SIZE); … if(abrt){ free(ptr); } … free(ptr);（B）

A 空指针引用

B 双重释放

C 释放后使用

D 内存泄露

针对Mysql的SQL注入，可以使用什么函数来访问系统文件？（B）

A load file infile

B load_file

C load file

D load file_infile

在下图给出的加密过程中mi,i=1,2,…,n表示明文分组，ci,i=1,2,…,n表示密文分组，iv表示初始序列，k表示密钥，e表示分组加密。该分组加密过程的工作模式是（ A ）。

A pcbc

B ctr

C cfb

D ecb

下面哪个不是控制系统的基本要素？（B）

A 调节器

B 被控对象

C 控制器

D 传感器

在 UNIX 操作系统中，把输入／输出设备看作是？（B）

A 目录文件

B 特殊文件

C 索引文件

D 普通文件

应用网关防火墙的逻辑位置处在 OSI中的哪一层？（C）

A 物理层

B 链路层

C 应用层

D 传输层

SG-I6000系统中安全管理模块，安全监测的指标不包括（ C ）。

A 保密检测系统安装率

B 敏感信息检查执行率

C 日待办接收总数

D 感染病毒客户端数

下列不属于监测工业控制系统信息安全域的途径是：（C）

A 推测型监视

B 直接监视

C 间接监视

D 日志采集

ipsec属于（ C ）的安全解决方案。

A 传输层

B 应用层

C 网络层

D 物理层

作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？（C）

A 最小特权（Least Privilege）

B 强制访问控制（MAC）

C 基于角色访问控制（RBAC）

D 自主访问控制（DAC）

如下代码会导致什么样的安全问题？ char*stored_password=””; readPassword(stored_password); if(safe_strcmp(stored_password,user_password)) //Accessprotectedresources } （A）

A 登录绕过，攻击者只要提供一个空字符串的user_password，就可以绕过该验证

B 信息泄密，因为stored_password没有加密

C 缓冲区溢出，字符串user_password没有长度校验

D readPassword存在漏洞，没有对用户输入进行过滤

蠕虫、木马、黑客攻击会利用工业控制系统的脆弱性对系统发动攻击，下列哪种工业控制系统脆弱性不可被利用发动包重放攻击：（B）

A 工业控制系统的通信协议的脆弱性；

B 工业控制系统运维管理的脆弱性；

C 工业控制系统网络的脆弱性；

D 工业控制系统应用软件脆弱性的脆弱性；

VTP 修剪的作用不包括（D）。

A 减少不必要的组播信息

B 减少不必要的广播信息

C 节约链路带宽

D 减少VLAN数量

包过滤技术防火墙在过滤数据包时，一般不关心（ C ）。

A 数据包的协议类型

B 数据包的目的地址

C 数据包的内容

D 数据包的源地址

采用 debug ip ospf packet 命令可以显示收到的 ospf 包的信息，其中 ospf 认证类型 字段不包括以下的（A）。

A 3-ip 认证

B 0-不认证

C 2-MD5 认证

D 1-明文认证

下面哪个选项属于目前SACDA系统网络的现状：（A）

A 网络边界不够清晰

B 原有IP数据网信息安全技术能满足要求

C 网络之间都不能互相访问

D 系统漏洞不多

syslog 机制主要依据两个重要的文件:syslogd 和（D）。

A log

B sys.conf

C conf

D syslog.conf

ICMP 协议工作在（C）。

A 传输层

B 应用层

C 网际层

D 控制层

用 show cdp neighbors detail 命令，不能看到以下哪种信息（B）。

A 对端设备 IOS 版本

B 本设备 IP 地址

C 对端设备 IP 地址

D 对端设备 ID

在 P2DR2 安全模型中，“Dt”代表（D）。

A 系统做出响应所需时间

B 攻击成功所需时间

C 安全体系建设所需时间

D 系统检测到攻击行为所需时间

下述哪个迹象发生时，工业控制系统不用向有关人员或角色发出警报：（A）

A 预期之内的用户发起了资源或服务请求

B 日志记录在无法解释的情况下被删除或修改

C 审计功能被禁止或修改

D 当发生异常资源消耗

如下代码的作用是什么（C）disable_functions=phpinfo,eval,passthru,exec,system

A 限定系统可访问目录范围

B 过滤敏感字符，预防SQL注入攻击

C 限制这些函数的运行，降低命令执行攻击的风险

D 限制文件操作，保护系统关键配置文件

tomcat后台数据包中认证的字段是（A）

A Authorization：Basic XXX

B user-Agent

C auth-oa

D author：Basic XXX

基于公开密钥的数字签名算法对消息进行签名和验证时，正确的签名和验证方式是（A）。

A 发送方用自己的私有密钥签名，接收方用发送方的公开密钥验证

B 发送方用接收方的公开密钥签名，接收方用自己的私有密钥验证

C 发送方用自己的公开密钥签名，接收方用发送方的公开密钥验证

D 发送方用自己的私有密钥签名，接收方用自己的私有密钥验证

采用 TFTP 命令对交换机配置进行安全备份时，需要（B）、配置文件名等参数。

A 源 IP 地址

B TFTP 服务器 IP 地址

C 源 MAC 地址

D 物理地址

多选题

防火墙 trust域中的客户机通过 nat访问 untrust中的服务器的 ftp服务，已经允许客户机访问服务器的 tcp21端口，但只能登陆到服务器，却无法下载文件，以下解决办法中可能的是：（ CDA ）

A 在 trust untrust域间配置中启用 detect ftp

B FTP工作方式为 passive模式时，修改 untrust trust域间 in方向的默认访问策略为允许

C 修改 trust untrust域间双向的默认访问策略为允许

D FTP工作方式为 port模式时，修改 untrust trust域间 in方向的默认访问策略为允许

为了防止SQL注入，下列特殊字符（BDAC）需要进行转义。

A ；（分号）

B ‘（单引号）

C ”（双引号）

D %（百分号）

攻击者提交请求http://www.xxxyzz.com/displaynews.asp?id=772’，网站反馈信息 为 Microsoft OLE DB Provider for ODBC Drivers错误 ‘80040e14’，能够说明该网 站（ABDC）

A 数据库为Access

B 网站服务程序没有对 id进行过滤

C 该网站可能存在 SQL注入漏洞

D 数据库表中有个字段名为id

你作为单位网站运维人员，近期发现网站页面经常被植入广告，此时你应采取（ CA ）技术措施。

A 检查Web应用程序是否存在SQL注入漏洞

B 将防火墙更换为更高性能的设备

C 分析Web服务器日志

D 检查Web应用程序是否存在跨站脚本漏洞

已知某单位的网站提供网上审批业务，则该网站服务器潜在的安全威胁是（ BDA ）。

A 社会工程攻击

B 口令暴力猜解

C Telnet服务会话猜测

D HTTP明文窃听

为了通过HTTP错误代码来显示不同错误页面，则需要修改WebLogic的web.xml中（DCB）元素。

A error-type

B location

C error-code

D error-page

如果服务器上的所有html页面都已经被挂马，以下哪些方法可以快速清除恶意代码？（BCD）

A 重新编写html页面

B 使用专门软件清除html页面中的代码

C 使用备份还原html页面

D 删除所有被修改过得html页面

用 THC组织的 Oracle的工具，通过 sniffer方式抓取数据库的认证信息可有效破解 Oracle密码，以下哪些数据是必须获取的？（CAB）

A AUTH_PASSWORD

B 用户名

C AUTH_SESSKEY

D 实例名

生产服务器通常都是 UNIX平台，资产价值最高，不直接连接外部网络，主要的安全需求是?（BAC）

A 账号口令

B 访问控制

C 权限管理和补丁管理

D 数据过滤

你是单位网络信息安全维护技术人员，网络一直运行良好。近期，不知什么原因，经常有用户报告网络变慢，有时网页刚刚打开一半便突然出错或不再返回剩余内容。以下措施可用于进一步追查原因的是（ CBA ）。

A 检查审计设备记录

B 检查是否有ARP地址欺骗

C 使用嗅探器查看网络数据包

D 检查防火墙ACL列表

在WebLogic中，Web应用的根目录一般由（CA）文件的context-root元素定义。

A weblogic.xml

B webapp.xml

C application.xml

D Web-application.xml

以下关于SYNFlood和SYNCookie技术的哪些说法是不正确的?( AD )

A SYNFlood攻击主要是通过发送超大流量的数据包来堵塞网络带宽

B SYNCookie技术在超大流量攻击的情况下可能会导致网关设备由于进行大量的计算而失效

C SYNCookie技术的原理是通过SYNCookie网关设备拆分TCP三次握手过程，计算每个TCP连接的Cookie值，对该连接进行验证

D 以上都正确

在OSPF协议中，对于DR的描述，下列正确的有哪些？( CDA )

A DR和BDR之间也要建立邻接关系

B 若两台路由器的优先级值不同，则选择优先级值较小的路由器作为DR

C 本广播网络中所有的路由器都将共同与DR选举

D 若两台路由器的优先级值相等，则选择Router ID大的路由器作为DR

APP源码安全漏洞主要有（DCAB）。

A so保护漏洞

B 调试设置漏洞

C Dex保护漏洞

D 代码混淆漏洞

用哪些技术措施可以有效地防御通过伪造保留IP地址而实施的攻击（BDC）

A 数据加密

B 边界路由器上设置ACLs

C 防火墙策略设置

D 入侵检测系统

如果数据库不需要远程访问，可以禁止远程 tcp/ip连接，以增强安全性。可选择的有效方法：( DB )

A 在/etc/my.cnf下添加 remoteConnnect=disable

B 在 mysqld服务器中参数中添加 –skip-networking启动参数来使 mysql

C 禁止 tcp/ip协议的使用

D 用防火墙封堵数据库侦听端口避免远程连接

当使用邮件程序如OUTLOOK、FOXMAIL收发邮件时，最有可能受到的攻击是（ AD ）。

A 网络窃听

B SQL注入

C 网络钓鱼

D 木马攻击

下列对于PAP协议描述正确的是？（ BD ）

A 使用三步握手方式完成验证

B 使用两步握手方式完成验证

C 使用加密密码进行验证

D 使用明文密码进行验证

有两个账号001和002；经检查发现002账号名被添加到/etc/cron.d/cron.deny文件中，那么下面说法正确的是（CBA）

A 删除/etc/cron.d/cron.deny文件后，001和002用户都不可以创建、编辑、显示和删除crontab文件

B 002用户可以创建、编辑、显示和删除crontab文件

C 001用户可以创建、编辑、显示和删除crontab文件

D 删除/etc/cron.d/cron.deny文件后，001和002用户都可以创建、编辑、显示和删除crontab文件

以下哪些服务严格禁止工业控制系统面向互联网开通？（BACD）

A FTP

B HTTP

C Telnet

D E-MAIL

驻留在多个网络设备上的程序在短时间内同时产生大量的请求消息冲击某 Web 服务器，导致该服务器不堪重负，无法正常响应其他合法用户的请求，这属于（C）

A 网上冲浪

B 中间人攻击

C DDoS攻击

D MAC攻击

为IPsec服务的总共有三个协议分别是？（DAC ）

A ESP协议

B SET协议

C IKE协议

D AH协议

Solarid系统中，攻击者在系统中增加账户会改变哪些文件？（CB）

A hosts

B passwd

C shadow

D inetd,conf

mimikatz是一款提取windows口令的工具，它不能从（DAB）进程中提取口令。

A iexplore

B svchost

C lsass

D explorer

IT系统软件设计中应当考虑并执行安全审计功能，详细记录访问信息的活动，包括（BACD ）。

A 应用系统应当配置单独的审计数据库，审计记录应单独存放，并设置严格的边界访问控制，只有安全管理人员才能够看到审计记录

B 记录的活动以是否有数据的修改、应用程序的异常关闭、异常删除触发

C 信息系统的审计功能包括：事件日期、时间、发起者信息、类型、描述和结果

D 应用系统的审计进程为后台处理，与应用系统运行同步进行，并且对于审计进程应当涉及相应的守护进程，一旦出现异常停止系统可重新启动审计进程，从而保障审计的“完整性”

Oracle中如何设置 audit trail审计，正确的说法是：（ DCB ）

A Oracle不支持对 audit trail的审计

B 在设置 audit trail审计前，要保证已经打开 Oracle的审计机制

C 以 SYSDBA身份使用 AUDIT ALL ON SYS.AUD$ BY ACCESS，语句对 audit trail审计

D 在 init.ora文件中设置“audit_trail = true”或者“audit_trail = db”

如果 http://xxx.com/news.action?id=1 ?id=1 and 1=1 ?id=1 and len(‘a’)=1 ?id=1 and substring(‘ab’,0,1)=’a’ 返回结果均相同，可以判断出服务器 （DA）

A 使用了mysql数据库

B 使用了SQL server数据库

C 使用了Oracle数据库

D 使用了Strut2框架

判断题

通常情况下，后应用的组策略配置将覆盖之前先应用的组策略配置。

正确答案：对

P2DR2 安全模型包含安全策略、防护、检测、响应、恢复这五个环节。

正确答案：对

IP 头中需要指明发送方和接收方的源端口号和目的端口号。

正确答案：错

为了应用 VTP 协议，需要先创建一个 VTP 管理域，为了使管理域更安全，域中每个交 换机都需要配置域名和口令，并且域名和口令必须相同。

正确答案：对

RIP 协议中，路由器上配置被动接口，在被动接口上可以完全阻止发送路由更新,从而 节省网络带宽。

正确答案：对

RIP 协议是最早的距离矢量路由协议，由于更为高级路由协议的出现，它因为不具备 复杂的功能而被称为“即将被淘汰的协议”

正确答案：错

RIP 协议中，路由器上配置被动接口，在被动接口上可以完全阻止发送路由更新,从而 节省网络带宽。

正确答案：对

通常情况下，后应用的组策略配置将覆盖之前先应用的组策略配置。

正确答案：对

P2DR2 安全模型包含安全策略、防护、检测、响应、恢复这五个环节。

正确答案：对

ICMP 协议，又称互联网控制消息协议，其目的是用于 TCP/IP 网络中发送控制消息， 提供可能发生在通信环境中的问题反馈，属于 IP 层协议。

正确答案：对

CDP 协议是一种设备发现协议，它通过直连的两个设备之间定期发送 hello 信息来维 持邻居关系。

正确答案：对

为了应用 VTP 协议，需要先创建一个 VTP 管理域，为了使管理域更安全，域中每个交 换机都需要配置域名和口令，并且域名和口令必须相同。

正确答案：对

ECC 与 RSA 相比，可以用少得多的比特大小取得和 RSA 相等的安全性，因此可以减少 开销。

正确答案：对

通配符掩码中的“1”表示忽略 IP 地址中对应的位，而“0”则表示该位必须匹配。

正确答案：对

在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发 送一个 ICMP 重定向报文，请求主机改变路由。

正确答案：对

CTF

遭到黑客攻击

某工厂PLC遭受黑客攻击，工程师通过交换机捕获了这段攻击流量1.pcap，试分析流量中黑客攻击留下的flag 请将答案包裹flag{XXXX} 附件（提取码：08un）

根据题目我们先看看tcp流是否藏有什么有用信息，进而发现了一串可疑的莫斯码，解密得到flag：flag{HACKFUN}

工控网络遭到攻击

假如你是某攻击者入侵了菜工厂工控网络，并得到了scada与PLC交互的流量2.pcap，已知这段流量中float值125.5代表传送带转速，请分析出这个值所在寄存器的起始位置地址? 请将答案包卖flag{XXX} 附件（提取码：0gyl）

考察西门子S7通信协议底层原理及抓包分析 猜测解题思路应该是首先我们需要了解一下S7协议的原理是啥，第几位，对应的什么功能，然后找到数据传输位，那一位记录下来就是了…… 结果最后听说flag就在tcp第二个流里的那字符串flag{INGFORFUN}（这个就是S7流量里面？

工控协议分析

附件（提取码：jg8n）

去年的原题，甚至flag都没改，考察s7comm协议（但是去年基本全程摸鱼没啥印象导致比赛的时候没做出来.jpg 直接过滤s7comm，根据协议找到长度为91的那个字符就是对应的flag：flag{iloveS7Comm}