計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)試卷全含答案

1、計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)安全試卷一、單項(xiàng)選擇題（每小題1 分，共30 分）在下列每小題的四個(gè)備選答案中選出一個(gè)正確的答案，并將其字母標(biāo)號(hào)填入題干的括號(hào)內(nèi)。1.非法接收者在截獲密文后試圖從中分析出明文的過(guò)程稱為（A ）A. 破譯B. 解密C. 加密D. 攻擊2.以下有關(guān)軟件加密和硬件加密的比較，不正確的是（B ）硬件加密對(duì)用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫(xiě)入加密程序硬件加密的兼容性比軟件加密好硬件加密的安全性比軟件加密好硬件加密的速度比軟件加密快3. 下面有關(guān) 3DES 的數(shù)學(xué)描述，正確的是（B ）A. C=E(E(E(P, K 1), K 1), K1)B. C=E(D(

2、E(P, K1), K 2), K 1)C. C=E(D(E(P, K 1),K1),K1)D. C=D(E(D(P, K1), K 2), K 1)PKI 無(wú)法實(shí)現(xiàn)（D ）A. 身份認(rèn)證B. 數(shù)據(jù)的完整性C. 數(shù)據(jù)的機(jī)密性D. 權(quán)限分配5. CA 的主要功能為（D）確認(rèn)用戶的身份為用戶提供證書(shū)的申請(qǐng)、下載、查詢、注銷(xiāo)和恢復(fù)等操作定義了密碼系統(tǒng)的使用方法和原則負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū)6. 數(shù)字證書(shū)不包含（B）A. 頒發(fā)機(jī)構(gòu)的名稱B. 證書(shū)持有者的私有密鑰信息C. 證書(shū)的有效期D. CA簽發(fā)證書(shū)時(shí)所使用的簽名算法7. “在因特網(wǎng)上沒(méi)有人知道對(duì)方是一個(gè)人還是一條狗”這個(gè)故事最能說(shuō)明（A）A. 身份認(rèn)

3、證的重要性和迫切性B.網(wǎng)絡(luò)上所有的活動(dòng)都是不可見(jiàn)的C. 網(wǎng)絡(luò)應(yīng)用中存在不嚴(yán)肅性D.計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)虛擬的世界8.以下認(rèn)證方式中，最為安全的是（D）A. 用戶名 + 密碼B. 卡+密鑰C. 用戶名 +密碼 + 驗(yàn)證碼D. 卡+指紋9. 將通過(guò)在別人丟棄的廢舊硬盤(pán)、U 盤(pán)等介質(zhì)中獲取他人有用信息的行為稱為（D ）A. 社會(huì)工程學(xué)B. 搭線竊聽(tīng)C. 窺探D. 垃圾搜索10. ARP 欺騙的實(shí)質(zhì)是（A）A. 提供虛擬的 MAC 與 IP 地址的組合B. 讓其他計(jì)算機(jī)知道自己的存在C. 竊取用戶在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)D. 擾亂網(wǎng)絡(luò)的正常運(yùn)行11. TCP SYN 泛洪攻擊的原理是利用了（A）A. TCP 三

4、次握手過(guò)程B. TCP 面向流的工作機(jī)制C. TCP 數(shù)據(jù)傳輸中的窗口技術(shù)D. TCP 連接終止時(shí)的FIN 報(bào)文12.DNSSEC 中并未采用（ C）A.數(shù)字簽名技術(shù)B.公鑰加密技術(shù)C. 地址綁定技術(shù)D. 報(bào)文摘要技術(shù)13.當(dāng)計(jì)算機(jī)上發(fā)現(xiàn)病毒時(shí)，最徹底的清除方法為（A ）A.格式化硬盤(pán)B.用防病毒軟件清除病毒C.刪除感染病毒的文件D.刪除磁盤(pán)上所有的文件14.木馬與病毒的最大區(qū)別是（B ）木馬不破壞文件，而病毒會(huì)破壞文件木馬無(wú)法自我復(fù)制，而病毒能夠自我復(fù)制木馬無(wú)法使數(shù)據(jù)丟失，而病毒會(huì)使數(shù)據(jù)丟失木馬不具有潛伏性，而病毒具有潛伏性15.經(jīng)常與黑客軟件配合使用的是（C）A.病毒B. 蠕蟲(chóng)C. 木馬D

5、.間諜軟件16.目前使用的防殺病毒軟件的作用是（C）檢查計(jì)算機(jī)是否感染病毒，并消除已感染的任何病毒杜絕病毒對(duì)計(jì)算機(jī)的侵害檢查計(jì)算機(jī)是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒17.死亡之 ping 屬于（ B）A.冒充攻擊B. 拒絕服務(wù)攻擊C. 重放攻擊D. 篡改攻擊18.淚滴使用了 IP 數(shù)據(jù)報(bào)中的（A）A.段位移字段的功能B. 協(xié)議字段的功能C.標(biāo)識(shí)字段的功能D. 生存期字段的功能ICMP 泛洪利用了（ C）A. ARP 命令的功能B. tracert 命令的功能C. ping 命令的功能D. route 命令的功能20. 將利用虛假 IP 地址進(jìn)行ICM

6、P 報(bào)文傳輸?shù)墓舴椒ǚQ為（D）A. ICMP 泛洪B. LAND攻擊C. 死亡之 pingD. Smurf攻擊21. 以下哪一種方法無(wú)法防范口令攻擊（A ）A. 啟用防火墻功能B. 設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C. 關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D. 修改系統(tǒng)默認(rèn)的認(rèn)證名稱22 以下設(shè)備和系統(tǒng)中，不可能集成防火墻功能的是（A）A. 集線器B. 交換機(jī)C. 路由器D. Windows Server 2003操作系統(tǒng)23. 對(duì)“防火墻本身是免疫的”這句話的正確理解是（B）防火墻本身是不會(huì)死機(jī)的防火墻本身具有抗攻擊能力防火墻本身具有對(duì)計(jì)算機(jī)病毒的免疫力防火墻本身具有清除計(jì)算機(jī)病毒的能力24. 以下關(guān)于傳統(tǒng)防火墻的

7、描述，不正確的是（A）即可防內(nèi)，也可防外存在結(jié)構(gòu)限制，無(wú)法適應(yīng)當(dāng)前有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)并存的需要工作效率較低，如果硬件配置較低或參數(shù)配置不當(dāng)，防火墻將成形成網(wǎng)絡(luò)瓶頸容易出現(xiàn)單點(diǎn)故障25. 下面對(duì)于個(gè)人防火墻的描述，不正確的是（C）個(gè)人防火墻是為防護(hù)接入互聯(lián)網(wǎng)的單機(jī)操作系統(tǒng)而出現(xiàn)的個(gè)人防火墻的功能與企業(yè)級(jí)防火墻類似，而配置和管理相對(duì)簡(jiǎn)單所有的單機(jī)殺病毒軟件都具有個(gè)人防火墻的功能為了滿足非專業(yè)用戶的使用，個(gè)人防火墻的配置方法相對(duì)簡(jiǎn)單26.VPN 的應(yīng)用特點(diǎn)主要表現(xiàn)在兩個(gè)方面，分別是（A）A. 應(yīng)用成本低廉和使用安全B.便于實(shí)現(xiàn)和管理方便C. 資源豐富和使用便捷D.高速和安全27.如果要實(shí)現(xiàn)用戶在家中

8、隨時(shí)訪問(wèn)單位內(nèi)部的數(shù)字資源，可以通過(guò)以下哪一種方式實(shí)現(xiàn)（C）A.外聯(lián)網(wǎng) VPNB. 內(nèi)聯(lián)網(wǎng) VPNC. 遠(yuǎn)程接入 VPND. 專線接入28.在以下隧道協(xié)議中，屬于三層隧道協(xié)議的是（D）A. L2FB. PPTPC. L2TPD. IPSec29.以下哪一種方法中，無(wú)法防范蠕蟲(chóng)的入侵。（B）及時(shí)安裝操作系統(tǒng)和應(yīng)用軟件補(bǔ)丁程序?qū)⒖梢舌]件的附件下載等文件夾中，然后再雙擊打開(kāi)設(shè)置文件夾選項(xiàng)，顯示文件名的擴(kuò)展名不要打開(kāi)擴(kuò)展名為 VBS 、 SHS、 PIF 等郵件附件30. 以下哪一種現(xiàn)象，一般不可能是中木馬后引起的（B）計(jì)算機(jī)的反應(yīng)速度下降，計(jì)算機(jī)自動(dòng)被關(guān)機(jī)或是重啟計(jì)算機(jī)啟動(dòng)時(shí)速度變慢，硬盤(pán)不斷發(fā)出“

9、咯吱，咯吱”的聲音在沒(méi)有操作計(jì)算機(jī)時(shí)，而硬盤(pán)燈卻閃個(gè)不停在瀏覽網(wǎng)頁(yè)時(shí)網(wǎng)頁(yè)會(huì)自動(dòng)關(guān)閉，軟驅(qū)或光驅(qū)會(huì)在無(wú)盤(pán)的情況下讀個(gè)不停31. 下面有關(guān)DES 的描述，不正確的是（ A ）A. 是由 IBM 、Sun 等公司共同提出的B. 其結(jié)構(gòu)完全遵循Feistel 密碼結(jié)構(gòu)C. 其算法是完全公開(kāi)的D. 是目前應(yīng)用最為廣泛的一種分組密碼算法32 “信息安全”中的“信息”是指（ A ）A 、以電子形式存在的數(shù)據(jù)B 、計(jì)算機(jī)網(wǎng)絡(luò)C、信息本身、信息處理過(guò)程、信息處理設(shè)施和信息處理都D、軟硬件平臺(tái)33. 下面不屬于身份認(rèn)證方法的是（ A）A. 口令認(rèn)證B. 智能卡認(rèn)證C. 姓名認(rèn)證D. 指紋認(rèn)證34.數(shù)字證書(shū)不包含（

10、 B）A.頒發(fā)機(jī)構(gòu)的名稱B. 證書(shū)持有者的私有密鑰信息C.證書(shū)的有效期D. CA 簽發(fā)證書(shū)時(shí)所使用的簽名算法35.套接字層（ Socket Layer ）位于（ B）A.網(wǎng)絡(luò)層與傳輸層之間B. 傳輸層與應(yīng)用層之間C.應(yīng)用層D. 傳輸層36.下面有關(guān) SSL 的描述，不正確的是（ D）A. 目前大部分Web 瀏覽器都內(nèi)置了SSL 協(xié)議B. SSL 協(xié)議分為 SSL 握手協(xié)議和 SSL 記錄協(xié)議兩部分C. SSL 協(xié)議中的數(shù)據(jù)壓縮功能是可選的D. TLS 在功能和結(jié)構(gòu)上與SSL 完全相同37.在基于 IEEE 802.1x與 Radius 組成的認(rèn)證系統(tǒng)中，Radius 服務(wù)器的功能不包括（D ）

11、A.驗(yàn)證用戶身份的合法性B.授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)資源C. 對(duì)用戶進(jìn)行審計(jì)D. 對(duì)客戶端的 MAC 地址進(jìn)行綁定38.在生物特征認(rèn)證中，不適宜于作為認(rèn)證特征的是（D ）A.指紋B. 虹膜C. 臉像D. 體重39.防止重放攻擊最有效的方法是（B）A.對(duì)用戶賬戶和密碼進(jìn)行加密B. 使用“一次一密”加密方式C.經(jīng)常修改用戶賬戶名稱和密碼D. 使用復(fù)雜的賬戶名稱和密碼40.計(jì)算機(jī)病毒的危害性表現(xiàn)在（B ）A.能造成計(jì)算機(jī)部分配置永久性失效B. 影響程序的執(zhí)行或破壞用戶數(shù)據(jù)與程序C.不影響計(jì)算機(jī)的運(yùn)行速度D. 不影響計(jì)算機(jī)的運(yùn)算結(jié)果41.下面有關(guān)計(jì)算機(jī)病毒的說(shuō)法，描述不正確的是（B ）A.計(jì)算機(jī)病毒是一個(gè)MI

12、S 程序計(jì)算機(jī)病毒是對(duì)人體有害的傳染性疾病計(jì)算機(jī)病毒是一個(gè)能夠通過(guò)自身傳染，起破壞作用的計(jì)算機(jī)程序計(jì)算機(jī)病毒是一段程序，只會(huì)影響計(jì)算機(jī)系統(tǒng)，但不會(huì)影響計(jì)算機(jī)網(wǎng)絡(luò)42計(jì)算機(jī)病毒具有（ A）A.傳播性、潛伏性、破壞性B. 傳播性、破壞性、易讀性C.潛伏性、破壞性、易讀性D. 傳播性、潛伏性、安全性43.目前使用的防殺病毒軟件的作用是（C ）檢查計(jì)算機(jī)是否感染病毒，并消除已感染的任何病毒杜絕病毒對(duì)計(jì)算機(jī)的侵害檢查計(jì)算機(jī)是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒44 在 DDoS 攻擊中，通過(guò)非法入侵并被控制，但并不向被攻擊者直接發(fā)起攻擊的計(jì)算機(jī)稱為（B）A. 攻擊

13、者B.主控端C. 代理服務(wù)器D. 被攻擊者45.對(duì)利用軟件缺陷進(jìn)行的網(wǎng)絡(luò)攻擊，最有效的防范方法是（A ）A.及時(shí)更新補(bǔ)丁程序B. 安裝防病毒軟件并及時(shí)更新病毒庫(kù)C.安裝防火墻D. 安裝漏洞掃描軟件46.在 IDS 中，將收集到的信息與數(shù)據(jù)庫(kù)中已有的記錄進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為，這類操作方法稱為（A）A. 模式匹配B. 統(tǒng)計(jì)分析C. 完整性分析D. 不確定47. IPS 能夠?qū)崟r(shí)檢查和阻止入侵的原理在于IPS 擁有眾多的（C）A. 主機(jī)傳感器B. 網(wǎng)絡(luò)傳感器C. 過(guò)濾器D. 管理控制臺(tái)48.將利用虛假I(mǎi)P 地址進(jìn)行 ICMP 報(bào)文傳輸?shù)墓舴椒ǚQ為（D）A. ICMP 泛洪B. LA

14、ND攻擊C. 死亡之 pingD. Smurf攻擊49.以下哪一種方法無(wú)法防范口令攻擊（C）A.啟用防火墻功能B. 設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D. 修改系統(tǒng)默認(rèn)的認(rèn)證名稱50.在分布式防火墻系統(tǒng)組成中不包括（D）A. 網(wǎng)絡(luò)防火墻B. 主機(jī)防火墻C. 中心管理服務(wù)器D. 傳統(tǒng)防火墻51 下面對(duì)于個(gè)人防火墻未來(lái)的發(fā)展方向，描述不準(zhǔn)確的是（D）與 xDSL Modem 、無(wú)線 AP 等網(wǎng)絡(luò)設(shè)備集成與防病毒軟件集成，并實(shí)現(xiàn)與防病毒軟件之間的安全聯(lián)動(dòng)將個(gè)人防火墻作為企業(yè)防火墻的有機(jī)組成部分與集線器等物理層設(shè)備集成52.在以下各項(xiàng)功能中，不可能集成在防火墻上的是（D ）A. 網(wǎng)絡(luò)地址轉(zhuǎn)

15、換（ NAT ）B. 虛擬專用網(wǎng)（ VPN ）C. 入侵檢測(cè)和入侵防御D. 過(guò)濾內(nèi)部網(wǎng)絡(luò)中設(shè)備的MAC 地址53.當(dāng)某一服務(wù)器需要同時(shí)為內(nèi)網(wǎng)用戶和外網(wǎng)用戶提供安全可靠的服務(wù)時(shí)，該服務(wù)器一般要置于防火墻的（ C）A. 內(nèi)部B. 外部C. DMZ 區(qū)D. 都可以54.以下關(guān)于狀態(tài)檢測(cè)防火墻的描述，不正確的是（D）所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個(gè)數(shù)據(jù)包之間存在一些關(guān)聯(lián)能夠自動(dòng)打開(kāi)和關(guān)閉防火墻上的通信端口其狀態(tài)檢測(cè)表由規(guī)則表和連接狀態(tài)表兩部分組成在每一次操作中，必須首先檢測(cè)規(guī)則表，然后再檢測(cè)連接狀態(tài)表55.在以下的認(rèn)證方式中，最不安全的是（A）A. PAPB. CHAPC. MS-CHAPD. SPAP

16、56.以下有關(guān) VPN 的描述，不正確的是（C ）A.使用費(fèi)用低廉B. 為數(shù)據(jù)傳輸提供了機(jī)密性和完整性C.未改變?cè)芯W(wǎng)絡(luò)的安全邊界D. 易于擴(kuò)展57.目前計(jì)算機(jī)網(wǎng)絡(luò)中廣泛使用的加密方式為（C ）A.鏈路加密B. 節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密C. 端對(duì)端加密D. 以上都是58.以下有關(guān)軟件加密和硬件加密的比較，不正確的是（B ）硬件加密對(duì)用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫(xiě)入加密程序硬件加密的兼容性比軟件加密好硬件加密的安全性比軟件加密好硬件加密的速度比軟件加密快對(duì)于一個(gè)組織，保障其信息安全并不能為其帶來(lái)直接的經(jīng)濟(jì)效益，相反還會(huì)付出較大的成本，那么組織為什么需要信息安全？（D ）A. 有多余的經(jīng)費(fèi)

17、B. 全社會(huì)都在重視信息安全，我們也應(yīng)該關(guān)注C. 上級(jí)或領(lǐng)導(dǎo)的要求D. 組織自身業(yè)務(wù)需要和法律法規(guī)要求得分評(píng)卷人復(fù)查人二、 填空題 （每空 1 分，共 20分）根據(jù)密碼算法對(duì)明文處理方式的標(biāo)準(zhǔn)不同，可以將密碼系統(tǒng)分為：序列密碼體制和分組密碼體制。32 . PKI 的技術(shù)基礎(chǔ)包括公開(kāi)密鑰體制和加密機(jī)制兩部分。33.零知識(shí)身份認(rèn)證分為交互式和非交互式兩種類型。34. DNS 同時(shí)調(diào)用了 TCP 和 UDP 的 53 端口，其中UDP 53端口用于 DNS 客戶端與 DNS 服務(wù)器端的通信，而TCP53端口用于 DNS 區(qū)域之間的數(shù)據(jù)復(fù)制。35.與病毒相比，蠕蟲(chóng)的最大特點(diǎn)是消耗計(jì)算機(jī)內(nèi)存和網(wǎng)絡(luò)寬帶。

18、36.在網(wǎng)絡(luò)入侵中，將自己偽裝成合法用戶來(lái)攻擊系統(tǒng)的行為稱為冒充 ；復(fù)制合法用戶發(fā)出的數(shù)據(jù)，然后進(jìn)行重發(fā)，以欺騙接收者的行為稱為重放；中止或干擾服務(wù)器為合法用戶提供服務(wù)的行為稱為 服務(wù)拒絕（拒絕服務(wù)）。37.在 LAND 攻擊中， LAND攻擊報(bào)文的源IP地址和目的 IP地址是相同的。38.防火墻將網(wǎng)絡(luò)分割為兩部分， 即將網(wǎng)絡(luò)分成兩個(gè)不同的安全域。對(duì)于接入Internet 的局域網(wǎng)，其中 局域網(wǎng)屬于可信賴的安全域，而Internet屬于不可信賴的非安全域。39.防火墻一般分為路由模式和透明模式兩類。當(dāng)用防火墻連接同一網(wǎng)段的不同設(shè)備時(shí)，可采用透明模式防火墻；而用防火墻連接兩個(gè)完全不同的網(wǎng)絡(luò)時(shí)，則

19、需要使用路由模式防火墻。40 .VPN 系統(tǒng)中的身份認(rèn)證技術(shù)包括用戶身份證明和信息認(rèn)證兩種類型。31 利用公鑰加密數(shù)據(jù)，然后用私鑰解密數(shù)據(jù)的過(guò)程稱為加密；利用私鑰加密數(shù)據(jù)，然后用公鑰解密數(shù)據(jù)的過(guò)程稱為數(shù)字簽名。32.在 PKI/PMI系統(tǒng)中， 一個(gè)合法用戶只擁有一個(gè)唯一的公鑰證書(shū)，但可能會(huì)同時(shí)擁有多個(gè)不同的屬性證書(shū)。33.計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的3A是指認(rèn)證、授權(quán)和審計(jì)。34.SSL 是一種綜合利用對(duì)稱密鑰和非對(duì)稱密鑰技術(shù)進(jìn)行安全通信的工業(yè)標(biāo)準(zhǔn)。35.掃描技術(shù)主要分為主機(jī)安全掃描和 網(wǎng)絡(luò)安全掃描兩種類型。36.在 IDS 的報(bào)警中， 可以分為錯(cuò)誤報(bào)警和正確的報(bào)警兩種類型。其中錯(cuò)誤報(bào)警中， 將 ID

20、S 工作于正常狀態(tài)下產(chǎn)生的報(bào)警稱為誤報(bào)；而將 IDS 對(duì)已知的入侵活動(dòng)未產(chǎn)生報(bào)警的現(xiàn)象稱為漏報(bào)。37.狀態(tài)檢測(cè)防火墻是在傳統(tǒng)包過(guò)濾防火墻的基礎(chǔ)上發(fā)展而來(lái)的，所以將傳統(tǒng)的包過(guò)濾防火墻稱為靜態(tài)包過(guò)濾防火墻，而將狀態(tài)檢測(cè)防火墻稱為動(dòng)態(tài)包過(guò)濾防火墻。38. VPN 是利用 Internet 等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過(guò)隧道技術(shù)，為用戶提供一條與專網(wǎng)相同的安全通道。39. VPN系統(tǒng)中的三種典型技術(shù)分別是隧道技術(shù)、身份認(rèn)證技術(shù)和加密技術(shù) 。40.目前身份認(rèn)證技術(shù)可分為PKI 和非 PKI 兩種類型，其中在 VPN 的用戶身份認(rèn)證中一般采用非 PKI認(rèn)證方式，而信息認(rèn)證中采用PKI認(rèn)證方式。得分評(píng)卷人復(fù)查人

21、三、 判斷題 （每小題1 分，共10 分）41 鏈路加密方式適用于在廣域網(wǎng)系統(tǒng)中應(yīng)用。（）42.“一次一密”屬于序列密碼中的一種。（）當(dāng)通過(guò)瀏覽器以在線方式申請(qǐng)數(shù)字證書(shū)時(shí)，申請(qǐng)證書(shū)和下載證書(shū)的計(jì)算機(jī)必須是同一臺(tái)計(jì)算機(jī)。（）44. PKI 和 PMI在應(yīng)用中必須進(jìn)行綁定，而不能在物理上分開(kāi)。（）45. 在網(wǎng)絡(luò)身份認(rèn)證中采用審計(jì)的目的是對(duì)所有用戶的行為進(jìn)行記錄，以便于進(jìn)行核查。（）由于在 TCP 協(xié)議的傳輸過(guò)程中，傳輸層需要將從應(yīng)用層接收到的數(shù)據(jù)以字節(jié)為組成單元?jiǎng)澐殖啥鄠€(gè)字節(jié)段，然后每個(gè)字節(jié)段單獨(dú)進(jìn)行路由傳輸，所以TCP 是面向字節(jié)流的可靠的傳輸方式。（）47.ARP 緩存只能保存主動(dòng)查詢獲得的I

22、P 和 MAC的對(duì)應(yīng)關(guān)系，而不會(huì)保存以廣播形式接收到的IP 和MAC 的對(duì)應(yīng)關(guān)系。（）48. 計(jì)算機(jī)病毒只會(huì)破壞計(jì)算機(jī)的操作系統(tǒng)，而對(duì)其他網(wǎng)絡(luò)設(shè)備不起作用。（）49.腳本文件和 ActiveX控件都可以嵌入在 HTML文件中執(zhí)行。（）50.要實(shí)現(xiàn) DDoS 攻擊，攻擊者必須能夠控制大量的計(jì)算機(jī)為其服務(wù)。（ ）11 Feistel 是密碼設(shè)計(jì)的一個(gè)結(jié)構(gòu)，而非一個(gè)具體的密碼產(chǎn)品。（）12.暴力破解與字典攻擊屬于同類網(wǎng)絡(luò)攻擊方式，其中暴力破解中所采用的字典要比字典攻擊中使用的字典的范圍要大。（）13. DHCP 服務(wù)器只能給客戶端提供IP 地址和網(wǎng)關(guān)地址，而不能提供DNS 服務(wù)器的 IP 地址。 （

23、 ）14.間諜軟件能夠修改計(jì)算機(jī)上的配置文件。（ ）蠕蟲(chóng)既可以在互聯(lián)網(wǎng)上傳播，也可以在局域網(wǎng)上傳播。而且由于局域網(wǎng)本身的特性，蠕蟲(chóng)在局域網(wǎng)上傳播速度更快，危害更大。（ ）16. 與 IDS 相比， IPS 具有深層防御的功能。（ ）當(dāng)硬件配置相同時(shí)，代理防火墻對(duì)網(wǎng)絡(luò)運(yùn)行性能的影響要比包過(guò)濾防火墻小。（）在傳統(tǒng)的包過(guò)濾、代理和狀態(tài)檢測(cè)3 類防火墻中，只有狀態(tài)檢測(cè)防火墻可以在一定程度上檢測(cè)并防止內(nèi)部用戶的惡意破壞。（）防火墻一般采用“所有未被允許的就是禁止的”和“所有未被禁止的就是允許的”兩個(gè)基本準(zhǔn)則，其中前者的安全性要比后者高。（）20 .在利用VPN連接兩個(gè)LAN時(shí)， LAN中必須使用四、名詞

24、解釋（每小題TCP/IP 協(xié)議。（4 分，共20 分）得分評(píng)卷人復(fù)查人61對(duì)稱加密與非對(duì)稱加密在一個(gè)加密系統(tǒng)中，加密和解密使用同一個(gè)密鑰，這種加密方式稱為對(duì)稱加密，也稱為單密鑰加密（2 分）。如果系統(tǒng)采用的是雙密鑰體系，存在兩個(gè)相互關(guān)聯(lián)的密碼，其中一個(gè)用于加密，另一個(gè)用于解密，這種加密方法稱為非對(duì)稱加密，也稱為公鑰加密（2 分）蜜罐：是一種計(jì)算機(jī)網(wǎng)絡(luò)中專門(mén)為吸引并“誘騙”那些試圖非法入侵他人計(jì)算機(jī)系統(tǒng)的人而設(shè)計(jì)的陷阱系統(tǒng) （ 2 分） 。設(shè)置蜜罐的目的主要是用于被偵聽(tīng)、被攻擊， 從而研究網(wǎng)絡(luò)安全的相關(guān)技術(shù)和方法。2）PKI ： PKI （公鑰基礎(chǔ)設(shè)施）是利用密碼學(xué)中的公鑰概念和加密技術(shù)為網(wǎng)上通

25、信提供的符合標(biāo)準(zhǔn)的一整套安全基礎(chǔ)平臺(tái)。 PKI 能為各種不同安全需求的用戶提供各種不同的網(wǎng)上安全服務(wù)所需要的密鑰和證書(shū)，這些安全服務(wù)主要包括身份識(shí)別與鑒別（認(rèn)證）、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性及時(shí)間戳服務(wù)等，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的（2 分）。 PKI 的技術(shù)基礎(chǔ)之一是公開(kāi)密鑰體制（1 分）； PKI 的技術(shù)基礎(chǔ)之二是加密機(jī)制（1 分）。64. DNSSEC ：DNSSEC （域名系統(tǒng)安全擴(kuò)展）是在原有的域名系統(tǒng)（DNS ）上通過(guò)公鑰技術(shù)，對(duì)DNS中的信息進(jìn)行數(shù)字簽名，從而提供DNS 的安全認(rèn)證和信息完整性檢驗(yàn)（2 分）。發(fā)送方首先使用Hash函數(shù)對(duì)要發(fā)

26、送的DNS 信息進(jìn)行計(jì)算，得到固定長(zhǎng)度的“信息摘要”，然后對(duì)“信息摘要”用私鑰進(jìn)行加密，此過(guò)程實(shí)現(xiàn)了對(duì)“信息摘要”的數(shù)字簽名；最后將要發(fā)送的DNS 信息、該DNS 信息的“信息摘要”以及該“信息摘要”的數(shù)字簽名，一起發(fā)送出來(lái)（1 分）。接收方首先采用公鑰系統(tǒng)中的對(duì)應(yīng)公鑰對(duì)接收到的“信息摘要”的數(shù)字簽名進(jìn)行解密，得到解密后的“信息摘要”；接著用與發(fā)送方相同的 Hash 函數(shù)對(duì)接收到的 DNS 信息進(jìn)行運(yùn)算，得到運(yùn)算后的“信息摘要”；最后，對(duì)解密后的“信息摘要”和運(yùn)算后的“信息摘要”進(jìn)行比較，如果兩者的值相同，就可以確認(rèn)接收到的DNS 信息是完整的，即是由正確的DNS 服務(wù)器得到的響應(yīng)（ 1 分）

27、。65. DoS 攻擊： DoS （拒絕服務(wù)）攻擊是一種實(shí)現(xiàn)簡(jiǎn)單但又很有效的攻擊方式。DoS 攻擊的目的就是讓被攻擊主機(jī)拒絕用戶的正常服務(wù)訪問(wèn)，破壞系統(tǒng)的正常運(yùn)行，最終使用戶的部分Internet 連接和網(wǎng)絡(luò)系統(tǒng)失效（ 2 分）。最基本的DoS 攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。（ 2 分）1、 DNS 緩存中毒： DNS為了提高查詢效率，采用了緩存機(jī)制，把用戶查詢過(guò)的最新記錄存放在緩存中，并設(shè)置生存周期（ Time To Live ，TTL ）。在記錄沒(méi)有超過(guò) TTL之前， DNS 緩存中的記錄一旦被客戶端查詢， DNS服務(wù)器（包括各級(jí)名字服務(wù)器）將

28、把緩存區(qū)中的記錄直接返回給客戶端，而不需要進(jìn)行逐級(jí)查詢，提高了查詢速率。（2 分） DNS 緩存中毒利用了 DNS 緩存機(jī)制，在DNS 服務(wù)器的緩存中存入大量錯(cuò)誤的數(shù)據(jù)記錄主動(dòng)供用戶查詢。由于緩存中大量錯(cuò)誤的記錄是攻擊者偽造的，而偽造者可能會(huì)根據(jù)不同的意圖偽造不同的記錄。由于 DNS 服務(wù)器之間會(huì)進(jìn)行記錄的同步復(fù)制，所以在 TTL 內(nèi)，緩存中毒的 DNS 服務(wù)器有可能將錯(cuò)誤的記錄發(fā)送給其他的DNS 服務(wù)器，導(dǎo)致更多的DNS 服務(wù)器中毒。（2 分）2機(jī)密性、完整性、可用性、可控性機(jī)密性是確保信息不暴露給未經(jīng)授權(quán)的人或應(yīng)用進(jìn)程（1分）；完整性是指只有得到允許的人或應(yīng)用進(jìn)程才能修改數(shù)據(jù)，并且能夠判別

29、出數(shù)據(jù)是否已被更改（1分）；可用性是指只有得到授權(quán)的用戶在需要時(shí)才可以訪問(wèn)數(shù)據(jù)，即使在網(wǎng)絡(luò)被攻擊時(shí)也不能阻礙授權(quán)用戶對(duì)網(wǎng)絡(luò)的使用（1 分）；可控性是指能夠?qū)κ跈?quán)范圍內(nèi)的信息流向和行為方式進(jìn)行控制（1 分）。3 PMI ： PMI （授權(quán)管理基礎(chǔ)設(shè)施）是在PKI 發(fā)展的過(guò)程中為了將用戶權(quán)限的管理與其公鑰的管理分離，由 IETF 提出的一種標(biāo)準(zhǔn)。PMI 的最終目標(biāo)就是提供一種有效的體系結(jié)構(gòu)來(lái)管理用戶的屬性。PMI以資源管理為核心，對(duì)資源的訪問(wèn)控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理（2分）。同 PKI 相比，兩者主要區(qū)別在于 PKI 證明用戶是誰(shuí)，而PMI 證明這個(gè)用戶有什么權(quán)限、能干什么。PMI 需要 P

30、KI 為其提供身份認(rèn)證。 PMI 實(shí)際提出了一個(gè)新的信息保護(hù)基礎(chǔ)設(shè)施，能夠與PKI 緊密地集成，并系統(tǒng)地建立起對(duì)認(rèn)可用戶的特定授權(quán)，對(duì)權(quán)限管理進(jìn)行系統(tǒng)的定義和描述，完整地提供授權(quán)服務(wù)所需過(guò)程。（2 分）4防火墻：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合（2 分），通過(guò)監(jiān)測(cè)、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的入侵，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。5 VPN ： VPN （虛擬專用網(wǎng)）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過(guò)隧道技術(shù)，為用戶

31、提供一條與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道，實(shí)現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接（ 2 分）。從 VPN 的定義來(lái)看， 其中“虛擬” 是指用戶不需要建立自己專用的物理線路，而是利用Internet等公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實(shí)現(xiàn)與專用數(shù)據(jù)通道相同的通信功能；“專用網(wǎng)絡(luò)”是指這一虛擬出來(lái)的網(wǎng)絡(luò)并不是任何連接在公共網(wǎng)絡(luò)上的用戶都能夠使用的，而是只有經(jīng)過(guò)授權(quán)的用戶才可以使用。同時(shí)，該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過(guò)了加密和認(rèn)證，從而保證了傳輸內(nèi)容的完整性和機(jī)密性。（ 2 分）6 DDoS攻擊： DoS 攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使服務(wù)器無(wú)法處理合法

32、用戶的指令，一般是采用一對(duì)一方式。DDOS 是在 DOS 基礎(chǔ)上利用一批受控制的主機(jī)向一臺(tái)主機(jī)發(fā)起攻擊，其攻擊強(qiáng)度和造成的威脅要比DOS 嚴(yán)重的多。五、簡(jiǎn)答題（每小題10 分，共 20 分）66 簡(jiǎn)述 ARP 欺騙的實(shí)現(xiàn)原理及主要防范方法由于 ARP 協(xié)議在設(shè)計(jì)中存在的主動(dòng)發(fā)送ARP 報(bào)文的漏洞，使得主機(jī)可以發(fā)送虛假的ARP 請(qǐng)求報(bào)文或響應(yīng)報(bào)文，報(bào)文中的源IP 地址和源 MAC 地址均可以進(jìn)行偽造（2 分）。在局域網(wǎng)中，即可以偽造成某一臺(tái)主機(jī)（如服務(wù)器）的IP 地址和 MAC 地址的組合，也可以偽造成網(wǎng)關(guān)的IP 地址和 MAC地址的組合， ARP 即可以針對(duì)主機(jī)，也可以針對(duì)交換機(jī)等網(wǎng)絡(luò)設(shè)備（2

33、 分），等等。目前，絕大部分 ARP 欺騙是為了擾亂局域網(wǎng)中合法主機(jī)中保存的ARP 表，使得網(wǎng)絡(luò)中的合法主機(jī)無(wú)法正常通信或通信不正常，如表示為計(jì)算機(jī)無(wú)法上網(wǎng)或上網(wǎng)時(shí)斷時(shí)續(xù)等。（2 分）針對(duì)主機(jī)的 ARP 欺騙的解決方法：主機(jī)中靜態(tài)ARP 緩存表中的記錄是永久性的，用戶可以使用TCP/IP 工具來(lái)創(chuàng)建和修改，如Windows操作系統(tǒng)自帶的ARP 工具，利用“ arp -s 網(wǎng)關(guān) IP 地址 網(wǎng)關(guān)MAC 地址”將本機(jī)中 ARP 緩存表中網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)（static ）。（ 2 分）針對(duì)交換機(jī)的ARP 欺騙的解決方法：在交換機(jī)上防范ARP 欺騙的方法與在計(jì)算機(jī)上防范ARP 欺騙的方法基本相

34、同，還是使用將下連設(shè)備的MAC地址與交換機(jī)端口進(jìn)行一一綁定的方法來(lái)實(shí)現(xiàn)。（2分）67 如下圖所示，簡(jiǎn)述包過(guò)濾防火墻的工作原理及應(yīng)用特點(diǎn)。包過(guò)濾（ Packet Filter ）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問(wèn)策略（過(guò)濾規(guī)則），檢查每一個(gè)數(shù)據(jù)包的源IP 地址、目的IP 地址以及IP 分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定是否允許該數(shù)據(jù)包通過(guò)防火墻（2 分）。包過(guò)濾防火墻中的安全訪問(wèn)策略（過(guò)濾規(guī)則）是網(wǎng)絡(luò)管理員事先設(shè)置好的，主要通過(guò)對(duì)進(jìn)入防火墻的數(shù)據(jù)包的源 IP 地址、目的IP 地址、協(xié)議及端口進(jìn)行設(shè)置，決定是否允許數(shù)據(jù)包通過(guò)防火墻。（2分）如圖所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了

35、過(guò)濾規(guī)則后，在防火墻中會(huì)形成一個(gè)過(guò)濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時(shí)，防火墻會(huì)將IP 分組的頭部信息與過(guò)濾規(guī)則表進(jìn)行逐條比對(duì)，根據(jù)比對(duì)結(jié)果決定是否允許數(shù)據(jù)包通過(guò)。（2 分）包過(guò)濾防火墻主要特點(diǎn)：過(guò)濾規(guī)則表需要事先進(jìn)行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的安全要求來(lái)定；防火墻在進(jìn)行檢查時(shí)，首先從過(guò)濾規(guī)則表中的第1 個(gè)條目開(kāi)始逐條進(jìn)行，所以過(guò)濾規(guī)則表中條目的先后順序非常重要；由于包過(guò)濾防火墻工作在OSI 參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過(guò)濾防火墻對(duì)通過(guò)的數(shù)據(jù)包的速度影響不大，實(shí)現(xiàn)成本較低。但包過(guò)濾防火墻無(wú)法識(shí)別基于應(yīng)用層的惡意入侵。另外，包過(guò)濾防火墻不能識(shí)別IP 地址的欺騙，內(nèi)部非授權(quán)的用戶可以通過(guò)偽裝成

36、為合法IP 地址的使用者來(lái)訪問(wèn)外部網(wǎng)絡(luò)，同樣外部被限制的主機(jī)也可以通過(guò)使用合法的IP 地址來(lái)欺騙防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)。（ 4 分）3 根據(jù)實(shí)際應(yīng)用，以個(gè)人防火墻為主，簡(jiǎn)述防火墻的主要功能及應(yīng)用特點(diǎn)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過(guò)監(jiān)測(cè)、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的入侵，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。（ 2分）個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對(duì)計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會(huì)報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對(duì)個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)。（ 2 分）個(gè)人防火墻是在企業(yè)防火墻的基礎(chǔ)上發(fā)展起來(lái)，個(gè)人防火墻采用的技術(shù)也與企業(yè)防火墻基本相同，但在規(guī)則的設(shè)置、 防火墻的管理等方面進(jìn)行了簡(jiǎn)化，使非專業(yè)的普通用戶能夠容易地安裝和使用。（2 分）為了防止安全威脅對(duì)個(gè)人計(jì)算機(jī)產(chǎn)生的破壞，個(gè)人防火墻產(chǎn)品