20260622

答案

✅ A

解析

本题考查计算机取证相关知识。

核心错误点：选项 A 中“必须在开机的状态下进行”这一表述是绝对化且错误的。

为了帮助你透彻理解，我们从计算机取证的实际操作原则和法律特性来逐一拆解：

1. 为什么 A 是错误的（关键解析）

计算机取证绝不是必须在开机状态下进行。实际操作中分为两种情况：

• 静态取证（最常见）：针对关闭的计算机，取证人员会直接关机或拔掉电源，然后拆下硬盘，通过只读设备（写保护锁）挂载到取证工作站上进行镜像复制。这样做是为了防止操作系统在运行过程中自动写入日志、修改文件访问时间（Access Time，简称 Atime），从而破坏原始证据的完整性。
• 动态取证（特殊情况）：只有当证据存在于易失性数据（如内存中的进程、网络连接、正在运行的加密密钥）中时，才会选择在开机状态下进行内存转储（Memory Dump）。但这绝非“必须”，而是一种按需使用的补充手段。

因此，A 选项的“必须”二字违背了计算机取证中“无损取证”和“先保全、后分析”的基本原则。

2. 对其他选项的理解（巩固知识）

• B 选项（正确）：计算机取证的核心确实是电子证据。电子证据具有高科技性（依赖软硬件）、无形性（肉眼不可见，需解码）和易破坏性（轻微的电磁干扰或操作失误即可导致数据灭失）等特点。正因如此，取证流程对“证据监管链（Chain of Custody）”要求极高。
• C 选项（正确）：这是对计算机取证标准流程的准确描述。它以磁介质（如机械硬盘，也包括现在的固态硬盘）编码存储的信息为对象，涵盖了对证据的保护（物理隔离）、确认（哈希值校验）、提取（数据恢复或解密）和归档（制作证据副本）全过程。
• D 选项（正确）：计算机取证属于事后响应技术，主要是在犯罪进行中（实时监控）或犯罪发生后（痕迹分析）收集证据。它区别于事前预防（如防火墙）和事中阻断（如入侵检测）。

总结记忆口诀

遇到计算机取证题目，记住 “先镜像，后分析；能关机，不开机”。只要是含有“必须开机”、“必须联网”等绝对字眼的选项，大概率是错误的，因为取证的第一要义是 不改变原始数据。

答案

✅ C

解析

本题考查网页木马的防范。

核心错误点：在他人计算机上使用“自动登录”和“记住密码”功能，相当于把家门钥匙复制一份留给陌生人。

为了让你彻底理解，我们从隐私泄露风险和木马攻击原理两个维度来拆解：

1. 为什么 C 是绝对错误且“不应该”做的（关键解析）

• 凭证物理泄露：浏览器的“记住密码”功能通常将加密后的密码存储在本地。在他人电脑上开启此功能，意味着任何后续使用这台电脑的人（或电脑上的其他恶意软件）都可以直接通过浏览器的设置界面查看明文密码（很多浏览器只需点击“显示密码”即可）。
• Cookie 会话劫持风险：“自动登录”依赖存储在本地的会话 Cookie（Session Cookie，即会话令牌）。如果他人电脑中招了网页木马（本题背景），木马程序可以轻松复制这些 Cookie 文件并发送给攻击者，攻击者无需知道你的密码，就能直接免密登录你的邮箱、网银等账户，这叫 “会话劫持”。
• 被动遗留：即使你退出了浏览器，如果未清除该电脑上的保存密码记录，凭证会永久留存在该硬盘中。

2. 对其他选项的理解（为什么它们“应该”做）

• A 选项（定期清理缓存和历史记录）—— 应该做：缓存和历史记录虽然不包含密码，但包含你访问过的具体 URL（统一资源定位符，即网址）和页面快照。网页木马可能会读取这些历史记录来了解你的习惯（如网银地址），同时清理缓存可以防止他人通过浏览器历史窥探你的隐私。
• B 选项（禁止使用 ActiveX 控件和 Java 脚本）—— 应该做（且安全级别较高）：这是防御网页木马的最有效手段之一。历史上绝大多数网页挂马都是利用 ActiveX（主要在老旧 IE 浏览器中，权限极大）和 Java 脚本（浏览器插件）的缓冲区溢出漏洞来执行恶意代码。禁止它们虽然可能导致部分网页功能无法显示，但能大幅切断木马植入的入口。> 注：现今主流浏览器已默认禁用 NPAPI（网景插件应用程序编程接口，Netscape Plugin Application Programming Interface）插件和 ActiveX，且 JavaScript（注意区分：题干“Java 脚本”通常指 Java Applet 或插件脚本）也受到沙盒限制，但禁用老旧插件依然是安全常识。
• D 选项（定期清理 Cookies）—— 应该做：Cookies 中存储着用户的会话标识符（SessionID）。一旦被网页木马窃取，攻击者就能冒充你的身份。定期清理可以缩短 Cookie 的有效作用时间，减少被重放攻击（即攻击者利用截获的有效凭据冒充用户身份进行非法操作）的风险。

总结与安全建议（考场记忆点）

遇到“安全浏览”类题目，记住 “三不”原则：

1. 不在他人设备存密码（对应本题 C）；
2. 不随意启用高危插件（对应本题 B，即防御性禁止）；
3. 不留痕迹在本地（对应本题 A 和 D，即清理痕迹）。

额外提醒：如果真的需要在公共或他人电脑上登录账号，请务必使用浏览器的 “无痕/隐私模式”，并在关闭窗口前，手动在设置中清除该时间段内的所有“Cookie 和站点数据”。

答案

✅ C

解析

本题考查 BGP 相关知识。

1. 为什么选 C（关键解析）

• 确认打开报文：在 BGP 建立连接的过程中，双方互发 Open（打开）报文协商参数（如版本号、AS 号、Hold Time）。当收到对方的 Open 报文并确认参数无误后，必须回复 Keepalive（保活）报文作为确认，表示“我同意建立邻居关系”。
• 周期性地证实邻站关系：BGP 协议设计为不依赖底层 TCP 的保活机制，而是由应用层自行维护。在邻居关系建立后，路由器会周期性地（默认为 60 秒）向对端发送 Keepalive 报文，用来告诉对方“我还在运行，链路正常”。如果在 Hold Time（通常为 180 秒）内没收到对方发来的 Keepalive，就判定邻居已断开。

2. 其他三种报文的功能（巩固记忆）

• A. 打开报文（Open）：邻居建立的第一步。在 TCP 连接建立成功后，双方交换的第一个报文就是 Open。它用于协商协议版本、声明自己的 AS 号（自治系统号）、路由器 ID 以及保持时间（Hold Time），但不负责周期性的确认。
• B. 更新报文（Update）：路由信息的传递者。用于向邻居通告新的可达路由（包含路径属性），或者撤销已经不可达的路由。它不参与邻居关系的维护。
• D. 通知报文（Notification）：错误报告与连接终止者。当 BGP 检测到差错（如报文格式错误、AS 环路等）时，发送此报文，并随即关闭连接。它属于异常机制，不是周期性的确认。

3. 考场速记口诀

为了让你在考场上秒选，记住这个口诀：

“打开建邻，保活续命，更新传路，通知报错。”

• 打开 = 建邻居参数协商；
• 保活 = 持续“续命”+ 确认回复（对应本题）；
• 更新 = 传递路由表；
• 通知 = 遇到错误“说拜拜”。

答案

✅ D

解析

本题考查智能卡片内操作系统 COS。

1. 为什么选 D（关键解析）

• 文件管理模块是 COS 的“数据仓库管理员”。智能卡中的数据是以文件（DF/EF）、**记录（Record）或数据单元（Data Unit）**的形式组织存储在 EEPROM（电可擦除可编程只读存储器）或 Flash 中的。其中 DF 指专用文件（Dedicated File），EF 指基本文件（Elementary File）。
• 该模块专门负责创建、删除、打开、关闭文件，以及执行读记录（Read Record）、写记录（Write Record）、修改数据单元、查找定位等底层存储操作。题目中提到的“数据单元或记录的存储”属于典型的文件读写操作，因此归文件管理模块管辖。

2. 其他三个模块的“专属地盘”（帮你彻底区分）

为了应对同类题目，你可以用“对外通信、对内管文件、中间管安全、上层跑应用”来记忆：

• A. 通信管理模块：相当于 COS 的“外交官”。负责智能卡与外部读卡器之间的数据收发，处理 T=0（异步半双工字符传输协议）或 T=1（异步半双工块传输协议）通信协议，确保 APDU（应用协议数据单元，Application Protocol Data Unit）命令能完整地传进来，应答能发出去。它只负责“搬运”数据，不负责“存放”数据。
• B. 安全管理模块：相当于 COS 的“门卫与加密师”。负责卡的身份认证（如外部认证、内部认证）、PIN 码验证、访问权限控制（判定当前操作是否有权读写某个文件），以及加密解密和 MAC（消息认证码）校验。它决定“能不能存”，但不负责“怎么存”。
• C. 应用管理模块：相当于 COS 的“业务经理”。主要负责多应用的管理（即在支持 Java Card 或 Multi-OS 的卡中，管理不同 Applet 的安装、卸载、选择和生命周期切换）。它侧重于逻辑业务的执行，而非原始数据的物理存储。

3. 考场抢分小贴士

在考试中，只要题干提到 “文件”、“记录”、“数据单元”、“读写/存储/查找” 等关键词，直接锁定 文件管理模块。

答案

✅ D

解析

本题考查包过滤防火墙的相关知识。

1. 为什么选 D（关键解析）

• 包过滤防火墙工作在网络层（第三层）和传输层（第四层），它就像机场安检的“证件查验员”——只核对“证件”（数据包头），不拆开“行李箱”（数据包内容）。
• 它检查的是数据包的 头部信息，具体包括：
  • 源地址（谁发的）；
  • 目的地址（发给谁）；
  • 协议类型（TCP、UDP、ICMP 等）；
  • 以及 源端口/目的端口（访问什么服务，如 80 端口是网页）。
• 数据包的内容（载荷/Payload）属于应用层（第七层）的数据。包过滤防火墙根本不关心也不查看内容里是否包含 SQL 注入代码、恶意脚本或敏感词汇，因为它没有能力解析应用层协议。

2. 对另外三个选项的验证（为什么它们被关心）

• A. 数据包的源地址：防火墙通过源地址判断数据包来自哪个网段或 IP（互联网协议地址），用于决定是否允许该来源的主机通过（如封禁某个恶意 IP）。
• B. 数据包的协议类型：防火墙需要识别是 TCP（传输控制协议，需三次握手）还是 UDP（用户数据报协议，无连接），因为不同协议的连接状态跟踪方式不同。
• C. 数据包的目的地址：防火墙通过目的地址和端口决定将数据包路由到内部哪台服务器，或者判断是否属于允许访问的外网地址。

3. 考点延伸（帮你避开陷阱）

在网络安全考试中，务必区分包过滤防火墙与应用层防火墙（代理防火墙/深度包检测 WAF）：

• 包过滤防火墙（本题主角）：速度快，但安全性低，只看头不看内容，无法防御应用层攻击（如 SQL 注入）。
• 应用层防火墙（代理型/下一代防火墙）：才会检查 数据包内容，能识别 HTTP（超文本传输协议）请求中的恶意参数，但性能开销较大。

总结一句记忆口诀：

“包过滤查身份证（头），应用墙查行李（内容）。”

答案

✅ D

解析

本题考查无线网络安全相关知识。

WPKI（无线公开密钥体系，Wireless Public Key Infrastructure）是传统 PKI 技术在无线环境下的优化扩展。它之所以采用 优化的椭圆曲线加密算法（ECC），主要基于以下考虑：

1. 适应无线环境限制：无线终端（如手机）的计算能力、存储空间和电池续航有限，且无线网络的带宽相对较低。
2. ECC 的自身优势：与传统的 RSA 算法相比，ECC 在 相同的安全强度下，所需的密钥长度更短。这意味着：
   • 计算量更小：加密解密速度更快，消耗的电量更少。
   • 存储空间更少：占用的内存更小。
   • 带宽要求更低：传输的数据量更小，适合无线网络。

因此，优化的 ECC 算法是 WPKI 体系的核心基础。

选项解析

• A. SM4：是我国自主设计的分组对称密码算法，主要用于数据加密，而非 WPKI 所依赖的公钥基础设施。
• B. 优化的 RSA 加密算法：RSA 是经典的公钥算法，但在无线环境下，其密钥长、计算开销大的缺点不如 ECC 更适合。
• C. SM9：是我国基于标识的密码算法（IBC），属于公钥密码体系，但并非 WPKI 采用的算法。

答案

✅ B

解析

本题考查网络保护机制的相关知识。

HTTPS 中的 “S” 代表 Security（安全），其全称是 HTTP over SSL/TLS（超文本传输安全协议）。当你在浏览器地址栏看到 https:// 时，意味着浏览器与网站服务器之间建立了一条 加密的安全通道。

具体来说，浏览时会进行以下处理：

1. 握手协商：浏览器和服务器先通过 SSL/TLS 协议进行握手，协商加密算法和交换密钥。
2. 数据加密：此后，所有传输的数据（包括你浏览的网页内容、提交的表单信息、Cookie 等）都会被 对称加密（如 AES）进行加密处理。即使数据在传输中途被黑客截获，看到的也只是一堆乱码，无法读取明文。

其他选项为什么不选

• A. 增加访问标记：通常指在数据包中添加特定的安全标签（如 IPsec 中的安全参数索引 SPI 或 MLS 安全级别），这不是 HTTPS 协议的功能。
• C. 身份隐藏：HTTPS 不会隐藏用户的身份（IP 地址）或访问的域名（在 TLS 1.3 之前，域名在握手阶段的 SNI（服务器名称指示）中是明文传输的）。它的作用是“加密内容”，而非“隐藏身份”。
• D. 口令验证：口令验证是应用层的登录逻辑（比如你输入账号密码后服务器去校验），而 HTTPS 工作在传输层/会话层。HTTPS 虽然能通过数字证书验证服务器的真实性，但这不是“口令验证”的概念。

考点延伸（助你避坑）

虽然 HTTPS 的核心是 加密，但它实际上提供了三大安全保障：

1. 机密性（Confidentiality）：通过加密实现（对应本题 B 选项）。
2. 完整性（Integrity）：防止数据在传输中被篡改（MAC 校验）。
3. 身份验证（Authentication）：通过 CA（证书颁发机构）签发的数字证书，验证你访问的网站确实是真实的目标网站（防钓鱼）。

HTTPS 与 HTTP 的主要区别

答案

✅ A

解析

本题考查网络攻击常见技术方法的相关内容。

核心解析（为什么 A 是错误的）

选项 A 的错误在于过于绝对化，将拒绝服务攻击（DoS）狭隘地限定在“特定网络应用”上。

实际上，拒绝服务攻击的目标是 耗尽目标系统的资源（如带宽、CPU、内存、连接数等），使其无法正常提供服务。它既可以是 针对特定应用 的攻击（如针对 Web 服务的 HTTP Flood，针对 DNS 服务的查询洪水），也可以是 针对网络层或传输层协议 的攻击（如 SYN Flood 攻击 TCP 协议栈，或 Ping of Death 利用 ICMP 协议漏洞）。因此，说它“必须针对某种特定的网络应用”是不全面的。

逐项验证（为什么 B、C、D 是正确的）

• B. 主要的渗入威胁有特洛伊木马和陷阱（正确）：“渗入威胁”指的是突破系统防护、非法进入系统的恶意手段。特洛伊木马伪装成合法软件诱导用户安装，**陷阱门（后门/Trapdoor）**是开发者留下的绕过正常认证的隐蔽入口，这两者都是典型的渗入威胁。
• C. 非服务攻击是针对网络层协议而进行的（正确）：在网络安全分类中，攻击可分为 服务攻击（针对特定应用，如邮件、Web）和 非服务攻击。非服务攻击不针对特定应用，而是利用 网络层协议（如 IP、ICMP、ARP） 的固有缺陷进行攻击（例如：IP 源路由欺骗、ICMP 重定向攻击、Smurf 放大攻击等）。
• D. 对于在线业务系统的安全风险评估，应采用最小影响原则（正确）：这是渗透测试和风险评估的 铁律。在线业务系统处于生产运行状态，任何扫描、探测或工具加载都可能导致系统崩溃或业务中断。因此，必须采用 最小影响原则（如使用轻量级扫描、避开业务高峰期、不执行具有破坏性的 Exploit 攻击），确保评估过程不影响系统正常运行。

考场避坑记忆点

遇到此类归类题，记住两类攻击的区别：

• 服务攻击：针对特定的 应用服务（如网页、邮件）。
• 非服务攻击：针对 网络底层协议（如 TCP/IP 协议栈）。

而 DoS/DDoS（分布式拒绝服务攻击） 可以同时横跨这两种分类（既可以针对应用层，也可以针对网络层），因此绝不能简单说它“针对特定的网络应用”。

答案

✅ B

解析

本题考查常见密码算法相关知识。

DES（数据加密标准，Data Encryption Standard） 是经典的 对称加密算法。它的核心特征是：加密和解密使用完全相同的密钥。发送方用密钥加密明文，接收方必须使用 同一个密钥 才能解密密文。

逐项解析（为什么其他选项不对）

• A. ELGamal（错误）：这是一种基于离散对数难题的 非对称加密算法。它使用一对密钥（公钥加密，私钥解密），通常用于数字签名和加密。
• C. MD5（错误）：这 不是加密算法，而是 消息摘要算法（哈希算法）。它是 单向不可逆 的，只能将任意长度的数据“压缩”成固定长度的散列值（128 位），用于校验完整性，无法 用来解密还原原文。
• D. RSA（错误）：这是最著名的 非对称加密算法。它基于大整数因子分解难题，同样使用公钥和私钥配对。

考场速记分类表

为了帮你快速区分，记住这个归类：

一句话记忆法：看到 DES 直接锁定“对称”；看到 RSA 和 ELGamal 锁定“非对称（公钥）”；看到 MD5 锁定“摘要（不可逆）”。

答案

✅ A

解析

本题考查数据备份方式。

题目描述中的关键词是“系统中所有选择的数据对象”以及“不管数据对象自上次备份之后是否修改过”。这完全符合 完全备份 的定义：

• 完全备份：无论数据是否发生变化，每次备份都会将选中的所有数据对象 完整地复制一遍。它的特点是恢复最简单（只需要恢复最后一次完全备份即可），但耗时长、占用存储空间最大。

逐项区分（帮你彻底分清这四种备份）

为了让你在考场上快速辨析，我们用“数据量变化”和“恢复依赖链”来对比：

• B. 增量备份（错误）：只备份 自上次任意备份（完全或增量）之后 被修改过的数据。它的备份速度最快、占用空间最小，但恢复时需要 依赖上一次完全备份和之后所有的增量备份链（依次恢复），链条一旦损坏，数据就无法完全恢复。
• C. 差分备份（错误）：只备份 自上次完全备份之后 被修改过的数据。它介于完全备份和增量备份之间，恢复时只需要 最后一次完全备份 + 最后一次差分备份 即可，比增量恢复简单，但备份的数据量会随着时间推移越来越大（因为从完全备份至今的变更都在累积）。
• D. 渐进式备份（错误）：这是一种较新的合成备份技术。它通常结合“完全备份 + 增量备份”的特点，在后台将最初的完全备份与后续的增量备份 合成 为一个新的“完全”映像，从而减少恢复时的链条长度。它 不是 传统意义上“不管是否修改都全部拷贝”的定义。

考场速记口诀

完全备份 = 全量复制（不管新旧，全部拷贝）； 增量备份 = 只存新增变化（针对上次所有备份）； 差分备份 = 存与上回完全备份的差异（针对上次完全备份）。