2021年信息安全工程師考試下午考試科目為應用技術，希賽小編將2021年信息安全工程師考試下午真題進行了整理，2021年信息安全工程師考試下午真題部分如下：（完整真題PDF版本可在本文文首或文末的資料下載處下載）

1、閱讀下列說明和圖，回答問題1至問題4,將解答填入答題紙的對應欄內。

【說明】

近期，按照網絡安全審查工作安排，國家網信辦會同公安部、國家安全部、自然資源部、 交通運輸部、稅務總局、市場監管總局等部門聯合進駐某出行科技有限公司，開展網絡安全 審查。移動App安全檢測和個人數據安全再次成為關注焦點。

【問題1】（4分）

為保護Android系統及應用終端平臺安全，Android系統在內核層、系統運行層、應用 框架層以及應用程序層采取了相應的安全措施，以盡可能地保護移動用戶數據、應用程序和 設備安全。

在Android系統提供的安全措施中有安全沙箱、應用程序簽名機制、權限聲明機制、地 址空間布局隨機化等。請將上述四種安全措施按照其所在層次劃分填入表4-1的空（1）-（4）。

【問題2】（6分）

權限聲明機制為操作權限和對象之間設定了一些限制，只有把權限和對象進行綁定，才 可以有權操作對象。

（1） 請問Android系統的應用程序權限信息聲明都在哪個配置文件中？給出該配置文件名。

（2） Android 系統定義的權限組包括:CALENDAR、CAMERA、CONTACTS、LOCATION、 MICROPHONE、PHONE、SENSORS、SMS、STORAGE。按照《信息安全技術移動互聯 網應用程序（App）收集個人信息基本規范》，運行在Android 9.0系統中提供網絡約車服務 的某某出行App可以有的最小必要權限是以上權限組的哪幾個？

（3） 假如有移動應用A提供了如下服務AService,對應的權限描述如下：

【問題3】（3分）

應用程序框架層集中了很多Android開發需要的組件，其中最主要的就是Activities、 Broadcast Receiver、Services以及Content Providers這四大組件。圍繞四大組件存在很多的攻 擊方法，請說明以下三種攻擊分別是針對哪個組件。

（1） 目錄遍歷攻擊；

（2） 界面劫持攻擊；

（3） 短信攔截攻擊。

【問題4】（2分）

移動終端設備常見的數據存儲方式包括：

① SharedPreferences ；

② 文件存儲；

③ SQLite數據庫；

④ ContentProvider；

⑤網絡存儲。

從以上5種方式中選出Android系統支持的數據存儲方式，給出對應存儲方式的編號。