信息安全技術(shù)HCIASecurity劉洪亮 課后參考答案

ADDINCNKISM.UserStyle第1章信息安全基礎(chǔ)概念信息安全的基本屬性（D）保密性完整性可用性、可控性、可靠性以上都是信息安全三要素包括（ABC）（多選）A.機密性B.完整性C.可用性D.安全性信息安全的重要性主要體現(xiàn)在以下幾方面？（ABC）（多選）A.信息安全是國家安全的需要B信息安全是組織持績發(fā)展的需要C.信息安全是保護個人隱私與財產(chǎn)的需要D.信息安全是維護企業(yè)形象的需要網(wǎng)絡(luò)安全主要包括兩大部分，一是網(wǎng)絡(luò)系統(tǒng)安全，二是網(wǎng)絡(luò)上的信息安全一個可稱為安全的網(wǎng)絡(luò)應(yīng)該具有保密性，完整性，可用性，不可否認性和可控性信息安全發(fā)展的歷程？答：信息安全發(fā)展歷程包括三個階段，分別是通信保密階段、信息安全階段信、息保障階段。信息安全涉及的風(fēng)險有哪些？答：信息安全涉及的風(fēng)險有物理風(fēng)險、信息風(fēng)險、系統(tǒng)風(fēng)險、應(yīng)用風(fēng)險、網(wǎng)絡(luò)風(fēng)險、管理風(fēng)險等。信息安全風(fēng)險中的信息風(fēng)險包括哪些？答：信息安全風(fēng)險中的信息風(fēng)險包括信息存儲安全、信息傳輸安全、信息訪問安全。新增1、“對信息和信息系統(tǒng)實施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)”，是為了實現(xiàn)信息安全中的哪個特性？（B）A.保密性B.可控性C.不可否認性D.完整性2、下列選項中對信息安全管理體系（ISMS）四個階段的順序描述正確的是哪項？（C）A.Plan->Check->Do->ActionB.Check->Plan->Do->ActionC.Plan->Do->Check->ActionD.Plan->Check->Action->Do3、信息安全等級保護是國家信息安全保障工作的基本制度。（A）A.對B.錯4、下列哪些選項屬于與信息安全標(biāo)準化有關(guān)的國際組織？（ABC）A.InternationalOrganizationforStandardization（ISO）國際標(biāo)準化組織B.InternationalElectrotechnicalCommission（IEC）國際電工委員會C.InternationalTelecommunicationUnion（ITU）國際電信聯(lián)盟D.Wi-FiAllianceWi-Fi聯(lián)盟組織5、在信息安全等級保護系統(tǒng)定級中，下列哪幾個級別定義了如果信息系統(tǒng)被破壞，會對社會秩序和公共利益造成損壞？（BCD）A.第一級用戶自主保護級B.第二級系統(tǒng)審計保護級C.第三級安全標(biāo)記保護D.第四級結(jié)構(gòu)化保護6、信息安全等級保護是為了提高國家整體保障水平，同時對安全資源的分配進行合理的優(yōu)化，使其發(fā)回最大的安全經(jīng)濟效益。（A）A.對B.錯7、在等保2.0中，哪一項規(guī)定了“應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾防護機制的升級和更新”？（A）A.惡意代碼防范B.通信傳輸C.集中管控D.邊界防護ADDINCNKISM.UserStyle信息安全規(guī)范簡介國際知名的制定信息安全標(biāo)準的組織有哪些？（BCD）（多選）SOIECITUIETF等級保護發(fā)展歷程？答：1994-2003起步階段、2004-2006發(fā)展階段、2007-至今推廣階段。等級保護定義是什么？答：等級保護定義是對信息和信息載體按照重要性等級分級別進行保護的一種工作。等級保護關(guān)鍵技術(shù)要求？答：邊界防護、訪問控制、通信傳輸、入侵防范、惡意代碼防范、集中控制。等級保護流程是什么？答：等級保護流程分為定級、備案、測評、整改、監(jiān)督。ADDINCNKISM.UserStyle第3章網(wǎng)絡(luò)基本概念OSI模型在設(shè)計時遵循了以下原則？（ABCD）（多選）各個層之間有清晰的邊界，便于理解每個層實現(xiàn)特定的功能，且相互不影響。層次的劃分有利于國際標(biāo)準協(xié)議的制定層次的數(shù)目應(yīng)該足夠多，以避免各個層功能重復(fù)。以下哪個不屬于TCP/IP協(xié)議簇？（C）數(shù)據(jù)鏈路層傳輸層會話層應(yīng)用層以下哪個報文是TCP三次握手的首包？（B）SYN+ACKSYNACKFIN下面關(guān)于TCP/IP協(xié)議棧數(shù)據(jù)包解封裝描述正確的是：（AD）A.數(shù)據(jù)包先送至數(shù)據(jù)鏈路層，經(jīng)過解析后數(shù)據(jù)鏈路層信息被剝離，并根據(jù)解析信息知道網(wǎng)絡(luò)層信息，比如為IPB．傳輸層（TCP）接收數(shù)包后，經(jīng)過解析后傳輸層信息被剝離，并根據(jù)解析信息知道上層處理協(xié)議，比如UDPC．網(wǎng)絡(luò)層接收數(shù)據(jù)包后，經(jīng)過解析后網(wǎng)絡(luò)層信息被離，并根據(jù)解析信息知道上層處理協(xié)議，比如HTPD應(yīng)用層接收到數(shù)據(jù)包后，經(jīng)過解折后應(yīng)用層信息被判離，最終展示的用戶數(shù)據(jù)與發(fā)送方主機發(fā)送的數(shù)據(jù)完全相同下列TCPP協(xié)議棧中的協(xié)議，工作在應(yīng)用層的有（CD）ARPIGMPTELNETHTTPOSI參考模型有幾層？（C）A.5B.6C.7D.8TCP協(xié)議大致可以分為幾層？（B）A.3B.4C.5D.61、HTTP報文使用UDP進行承載，而HTTPS協(xié)議基于TCP三次握手，所以HTTPS比較安全，更推薦使用HTTPS。（B）A.對B.錯2、以下哪個選項不屬于五元組范圍？（B）A.源IPB.源MACC.目的IPD.目的端口3、OSPF比RIP更普遍使用的原因是OSPF具備設(shè)備認證功能，更具有安全性。（B）A.對B.錯4、SNMP協(xié)議有哪些版本？（ACD）A.SNMPv1B.SNMPv2bC.SNMPv2cD.SNMPv3ADDINCNKISM.UserStyle第4章常見網(wǎng)絡(luò)設(shè)備采用默認web方式登錄時，默認登錄的地址為（A）/24/24/16/16關(guān)于防火墻的描述不正確的是：（C）A、防火墻不能防止內(nèi)部攻擊。B、如果一個公司信息安全制度不明確，擁有再好的防火墻也沒有用。C、防火墻可以防止偽裝成外部信任主機的IP地址欺騙。D、防火墻可以防止偽裝成內(nèi)部信任主機的IP地址款騙。如果與不完整的關(guān)鍵字匹配的關(guān)鍵字唯一，Tab鍵可以補全。路由器的功能有哪些？答：是連接\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"因特網(wǎng)中各\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"局域網(wǎng)、\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"廣域網(wǎng)的設(shè)備，能夠在不同的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)包常見的網(wǎng)絡(luò)設(shè)備有哪些？交換機、路由器、防火墻。防火墻的作用有哪些？答：它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，主要用于保護一個網(wǎng)絡(luò)區(qū)域免受來自另一個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為設(shè)備登錄管理有分別有哪幾種方式？答：通過Console口登錄、通過Telnet登錄、通過SSH登錄、通過Web登錄。新增1、關(guān)于華為的路由器和文換機，以下哪些說法是正確的?(多選）（ABC）A.路由器可以實現(xiàn)部分安全功能，部分路由器可以通過增加安全插板實現(xiàn)更多安全功能B.路由器的主要功能是轉(zhuǎn)發(fā)數(shù)據(jù)，當(dāng)企業(yè)有安全需求時，有時防火墻可能是個更合適的選擇C.交換機具備部分安全功能，部分交換機可以通過增加安全插板實現(xiàn)更多安全功能D.交換機不具備安全功能2、MAC泛洪攻擊利用了以下哪些機制實現(xiàn)的？（多選）（ABD）A.交換機的MAC學(xué)習(xí)機制B.交換機的轉(zhuǎn)發(fā)機制C.ARP學(xué)習(xí)機制D.MAC表項的數(shù)目限制3、關(guān)于配置防火墻安全區(qū)域，以下哪些選項是正確的？（多選）(AD)A.防火墻缺省有四個安全區(qū)域，且該四個安全區(qū)域優(yōu)先級不支持修改B.防火墻最多可以有12個安全區(qū)域C.防火墻可以創(chuàng)建兩個相同優(yōu)先級的安全區(qū)域D.當(dāng)不同安全區(qū)域之間發(fā)生數(shù)據(jù)流動時，會觸發(fā)設(shè)備的安全檢查，并實施相應(yīng)的安全策略4、以下哪些選項屬于華為防火墻默認的安全區(qū)域？（多選）（CD）A.Zone區(qū)域B.Trust區(qū)域C.Untrust區(qū)域D.Security區(qū)域5、在華為USG系列設(shè)備上，管理員希望擦除配置文件，下列哪項命令是正確的?（B）A.clearsaved-configurationB.resetsaved-configurationC.resetcurrent-configurationD.resetrunning-configurationADDINCNKISM.UserStyle第5章常見信息安全威脅1、以下關(guān)于DOS攻擊的描述，哪句話是正確的？（A）A．導(dǎo)致目標(biāo)系統(tǒng)無法處理正常用戶的請求B．不需要侵入受攻擊的系統(tǒng)C．以竊取目標(biāo)系統(tǒng)上的機密信息為目的D．如果目標(biāo)系統(tǒng)沒有漏洞，遠程攻擊就不可能成功2、以下哪些屬于應(yīng)用安全威脅？（AB）注入攻擊跨站腳本攻擊IP地址欺騙攻擊端口掃描3、以下哪些屬于終端安全隱患？（ABD）服務(wù)器存在漏洞用戶使用弱密碼數(shù)據(jù)傳輸加密程度不夠用戶身份未經(jīng)驗證4、信息安全的基本屬性是？（D）A.保密性B.完整性C.可用性、可控性、可靠性D.以上都是5、DDos的攻擊形式主要有：流量攻擊和資源耗盡攻擊6、安全威脅分類有哪幾種？答：網(wǎng)絡(luò)安全威脅、應(yīng)用安全威脅、數(shù)據(jù)傳輸與終端安全威脅7、惡意代碼是什么？答：惡意代碼是指故意編制或設(shè)置的、對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機代碼。8、什么是中間人攻擊？答：中間人攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”新增1、下列哪項不屬于計算機犯罪的主要形式？（C）A.向目標(biāo)主機植入木馬B.向目標(biāo)主機進行黑客攻擊C.使用計算機進行個人問卷調(diào)查D.未經(jīng)允許，利用掃描工具收集網(wǎng)絡(luò)信息2、DDos攻擊屬于下列哪種攻擊類型？（D）A.窺探掃描攻擊B.畸形報文攻擊C.特殊報文攻擊D.流量型攻擊3、以下哪個攻擊不屬于特殊報文攻擊？（C）A.ICMP重定向報文攻擊B.ICMP不可達報文攻擊C.IP地址掃描攻擊D.超大ICMP報文攻擊4、安全防范技術(shù)在不同技術(shù)層次和領(lǐng)域有著不同的方法。以下哪些設(shè)備可以用于網(wǎng)絡(luò)層安全防范？（多選）（BCD）A.漏洞掃描設(shè)備B.防火墻C.Anti-DDoS設(shè)備D.IPS/IDS設(shè)備5、UDP端口掃描是指攻擊者發(fā)送零字節(jié)長度UDP報文到目標(biāo)主機的特定端口，如果該端口是開放的，將會返回一個ICMP端口可達數(shù)據(jù)報文。（B）A.對B.錯6、攻擊者通過發(fā)送ICMP應(yīng)答請求，并將請求包的目的地址設(shè)為受害網(wǎng)絡(luò)的廣播地址。這種行為屬于哪一種攻擊？（B）A.IP欺騙攻擊B.Smurf攻擊C.ICMP重定向攻擊D.SYNflood攻擊7、以下哪種攻擊不屬于網(wǎng)絡(luò)攻擊？（C）A.IP欺騙攻擊

B.Smurf攻擊

C.MAC地址欺騙攻擊

D.ICMP攻擊8、針對IP欺騙攻擊（IPSpoofing）的描述，以下哪項是錯誤？（C）A.IP欺騙攻擊是利用了主機之間正常的基于IP地址的信任關(guān)系來發(fā)動的

B.IP欺騙攻擊成功后，攻擊者可使用偽造的任意IP地址模仿合法主機訪問關(guān)鍵信息

C.攻擊者需要把源IP地址偽裝成被信任主機，并發(fā)送帶有SYN標(biāo)注的數(shù)據(jù)段請求連接

D.基于IP地址的信任關(guān)系的主機之間無需輸入口令驗證就可以直接登錄9、針對ARP欺騙攻擊的描述，以下哪項是錯誤的?（B）A.ARP實現(xiàn)機制只考慮正常業(yè)務(wù)交互，對非正常業(yè)務(wù)交互或惡意行為不做任何驗證B.ARP欺騙攻擊只能通過ARP應(yīng)答來實現(xiàn)，無法通過ARP請求實現(xiàn)C.當(dāng)某主機發(fā)送正常ARP請求時，攻擊者會搶先應(yīng)答，導(dǎo)致主機建立一個錯誤的IP和MAC映射關(guān)系D.ARP靜態(tài)綁定是解決ARP欺騙攻擊的一種方案，主要應(yīng)用在網(wǎng)絡(luò)規(guī)模不大的場景10、DHCPSnooping可以防止以下哪些攻擊？（多選）（ABD）A.DHCPServer仿冒者攻擊

B.中間人與IP/MACspoofing攻擊

C.IP欺騙攻擊

D.利用option82字段的仿冒DHCP續(xù)租報文攻擊11、社會工程學(xué)是一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。（A）A.對B.錯ADDINCNKISM.UserStyle第6章威脅防范與信息安全發(fā)展趨勢信息安全防范關(guān)鍵要素有哪些（ACD）安全運維與管理監(jiān)控安全產(chǎn)品與技術(shù)人員下列哪一種密碼設(shè)置相對更加安全？（D）。僅數(shù)字密碼 僅字母密碼 數(shù)字+字母組合密碼 數(shù)字+字母+特殊符號組合密碼3、安全防御未來發(fā)展趨勢？安全服務(wù)化、終端檢測重要性凸顯、流量管控由IP向應(yīng)用演進、軟件定義安全防御方案4、數(shù)據(jù)模型是數(shù)據(jù)庫系統(tǒng)的核心和基礎(chǔ)5、信息安全防范關(guān)鍵要素有哪些？答：人員、安全運維與管理、安全產(chǎn)品與技術(shù)。6、信息安全防范方法有哪些？答：安全意識、運維管理、安全產(chǎn)品與技術(shù)。7、安全防御未來發(fā)展趨勢是什么樣的？答：安全服務(wù)化、終端檢測重要性日益凸顯、流量管控由IP向應(yīng)用演進、軟件定義安全防御方案（華為SDSec）。ADDINCNKISM.UserStyle第七章操作系統(tǒng)簡介操作系統(tǒng)的主要功能中存儲器管理包括以下幾個方面？（ABC）內(nèi)存分配內(nèi)存保護內(nèi)存擴充內(nèi)存檢測操作系統(tǒng)的主要功能中設(shè)備管理包括以下幾個方面？（ABC）緩沖管理設(shè)備分配虛擬設(shè)備設(shè)備安裝操作系統(tǒng)的主要功能中作業(yè)管理包括以下幾個方面？（ABCD）任務(wù)、界面管理人機交互圖形界面語言控制操作系統(tǒng)的根據(jù)應(yīng)用領(lǐng)域來劃分，可以分為那幾種？（ACD）桌面操作系統(tǒng)單機操作系統(tǒng)服務(wù)器操作系統(tǒng)嵌入式操作系統(tǒng)因為服務(wù)器是計算機的一種，所以我們完全可以在企業(yè)使用我們的個人電腦當(dāng)服務(wù)器來用（B）。對錯關(guān)于windows和linux的對比，以下哪個說法是錯誤的？（D）。linux新手入門較困難，需要一些學(xué)習(xí)和指導(dǎo)windows下可以兼容絕大部分的軟件，玩大部分的游戲linux是開放的源代碼，你想怎么做就怎么做windows是開放源代碼，你想怎么做就怎么做以下哪些選項屬于windows系統(tǒng)和LINUX系統(tǒng)的相同特點？（ABD）。支持多任務(wù)支持圖形化界面操作開源的系統(tǒng)支持多種終端平臺ADDINCNKISM.UserStyle第八章常見服務(wù)器種類與威脅章節(jié)測試題服務(wù)器按應(yīng)用層次劃分可以分為那幾類？（ABCD）入門級服務(wù)器工作組服務(wù)器部門級服務(wù)器企業(yè)級服務(wù)器一臺在網(wǎng)絡(luò)上提供文件傳輸和訪問服務(wù)的一臺計算機是什么服務(wù)器。（A）FTP服務(wù)器DNS服務(wù)器NTP服務(wù)器數(shù)據(jù)庫服務(wù)器服務(wù)器常見的安全威脅有哪些？（ABCD）惡意破解黑客暴力破解SQL注入攻擊DDOS攻擊服務(wù)器在使用過程中，存在著各種各樣的安全威脅。以下哪個選項不屬于服務(wù)器安全威脅？（A）。自然災(zāi)害DDos攻擊黑客攻擊惡意程序漏洞的常見危害有哪些？（ABCD）權(quán)限繞過和權(quán)限提升拒絕服務(wù)攻擊數(shù)據(jù)泄露執(zhí)行非授權(quán)指令以下哪些是系統(tǒng)漏洞存在的原因？（ABCD）軟件或協(xié)議設(shè)計時的瑕疵軟件編寫存在Bug系統(tǒng)和網(wǎng)絡(luò)的不當(dāng)配置安全意識薄弱以下哪些選項屬于流量型攻擊的危害？（AB）。A. 網(wǎng)絡(luò)癱瘓B. 服務(wù)器宕機C. 數(shù)據(jù)被竊取D. 網(wǎng)頁被篡改ADDINCNKISM.UserStyle第九章主機防火墻和殺毒軟件Windows防火墻屬于以下哪些分類（B）硬件防火墻軟件防火墻單機防火墻網(wǎng)絡(luò)防火墻Linux防火墻的名稱是（C）FirewallSelinuxIptablesWFCIptables包含五條規(guī)則鏈，分別是：（ABCDE）PREROUTING(路由前)INPUT(數(shù)據(jù)包流入口)FORWARD(轉(zhuǎn)發(fā)關(guān)卡)OUTPUT(數(shù)據(jù)包出口)POSTROUTING（路由后）iptables包含四個表，分別是：（ABCD）Filter表NAT表Mangle表Raw表以下哪些是殺毒軟件的組成部分（ABC）掃描器病毒庫虛擬機防火墻以下哪些是殺毒軟件是國產(chǎn)軟件（ABD）360殺毒金山毒霸熊貓殺毒江民殺毒軟件的基本功能有哪些（ABC）防范病毒查找病毒清除病毒制造病毒殺毒軟件的關(guān)鍵技術(shù)有哪些（ABCDE）脫殼技術(shù)自我保護技術(shù)修復(fù)技術(shù)實時升級技術(shù)主動防御技術(shù)以下哪些選項可以再windows防火墻的高級設(shè)置中進行操作？（ABCD）。還原默認值更改通知規(guī)則設(shè)置連接安全規(guī)則設(shè)置出入站規(guī)則關(guān)于windows防火墻的描述，下列哪些選項是正確的？（BCD）。windows防火墻只能允許或禁止預(yù)置的程序或功能和安裝在系統(tǒng)上的程序，不能夠自己根據(jù)協(xié)議或端口號自定義放行規(guī)則windows防火墻不僅能允許或禁止預(yù)置的程序或功能和安裝在系統(tǒng)上的程序，還支持自己根據(jù)協(xié)議或端口號自定義放行規(guī)則如果在設(shè)置windows防火墻過程中，導(dǎo)致無法上網(wǎng)，可以使用還原默認值功能快速恢復(fù)防火墻至初始狀態(tài)windows防火墻在關(guān)閉狀態(tài)下也能夠更改通知規(guī)則關(guān)于windows防火墻高級設(shè)置的描述，以下哪些選項是錯誤的？（BD）。設(shè)置入棧規(guī)則的時候，只能限制本地端口，無法限制遠程端口設(shè)置入棧規(guī)則的時候，既能限制本地端口，又能限制遠程端口設(shè)置出棧規(guī)則的時候，只能限制本地端口，無法限制遠程端口設(shè)置出棧規(guī)則的時候，既能限制本地端口，又能限制遠程端口用iptables寫一條規(guī)則不允許/16的網(wǎng)段訪問本設(shè)備，以下哪項規(guī)則寫法是正確的？（A）。iptables–tfilter–AINPUT–s/16–pall–jDROPiptables–tfilter–PINPUT–s/16–pall–jDROPiptables–tfilter–AINPUT–s/16–pall–jACCEPTiptables–tfilter–PINPUT–s/16–pall–jACCEPT關(guān)于數(shù)據(jù)包在iptables傳輸過程中的描述，以下哪個選項是錯誤的?（BD）。當(dāng)一個數(shù)據(jù)包進入網(wǎng)卡時，它首先去匹配PREROUTING鏈如果數(shù)據(jù)包的目的地址是本機，則系統(tǒng)會將該數(shù)據(jù)包發(fā)往INPUT鏈。如果數(shù)據(jù)包的目的地址不是本機，系統(tǒng)把數(shù)據(jù)包發(fā)往OUTPUT鏈如果數(shù)據(jù)包的目的地址不是本機，系統(tǒng)把數(shù)據(jù)包發(fā)往FORWARD鏈。ADDINCNKISM.UserStyle第十章防火墻介紹配置安全策略時，一條安全策略可以引用地址集或配置多個目的IP地址（A）。對錯以下哪個選項不屬于五元組范圍（B）？源IP源MAC目的IP目的端口關(guān)于防火墻安全策略的說法，以下選項錯誤的是（A）？如果該安全策略是permit，則被丟棄的報文不會累加“命中次數(shù)”配置安全策略名稱時，不可以重復(fù)使用同一個名稱調(diào)整安全策略的順序，不需要保存配置文件，立即生效華為USG系列防火墻的安全策略條目都不能超過128條按照保護對象對防火墻進行劃分，windows防火墻屬于（C）?軟件防火墻硬件防火墻單機防火墻網(wǎng)絡(luò)防火墻關(guān)于配置防火墻安全區(qū)域，以下哪些選項是正確的（AD）？（多選）防火墻缺省有四個安全區(qū)域，且該四個安全區(qū)域優(yōu)先級不支持修改防火墻最多可以有12個安全區(qū)域防火墻可以創(chuàng)建兩個相同優(yōu)先級的安全區(qū)域當(dāng)不同安全區(qū)域之間發(fā)生數(shù)據(jù)流動時，會觸發(fā)設(shè)備的安全檢查，并實施相應(yīng)的安全策略防火墻GE1/0/1和GE1/0/2口都屬于DMZ區(qū)域，如果要實現(xiàn)GE1/0/1所連接的區(qū)域能夠訪問GE1/0/2所連接的區(qū)域，以下哪項是正確的（B）？需要配置Local到DMZ的安全策略無需做任何配置需要配置域間安全策略需要配置DMZ到local的安全策略關(guān)于安全策略的動作和安全配置文件的描述，以下哪些選項是正確的（AC）？（多選）如果安全策略的動作為“禁止”，則設(shè)備會丟棄此流量，后續(xù)不再進行內(nèi)容安全檢查安全配置文件可以不應(yīng)用在動作為允許的安全策略下也能生效安全配置文件必須應(yīng)用在動作為允許的安全策略下才能生效如果安全策略動作為“允許”，則流量不會去匹配安全配置文件關(guān)于安全策略的匹配條件，以下哪些選項是正確的（ABCD）？（多選）匹配條件中“源安全區(qū)域”是可選參數(shù)匹配條件中“時間段”是可選參數(shù)匹配條件中“應(yīng)用”是可選參數(shù)匹配條件中“服務(wù)”是可選參數(shù)ASPF（ApplicationSpecificPacketFilter）是一種基于應(yīng)用層的包過濾技術(shù)，并通過server-map表實現(xiàn)了特殊的安全機制。關(guān)于ASPF和server-map表的說法，以下哪些是正確的（ABC）？（多選）ASPF監(jiān)視通信過程中的報文ASPF可以動態(tài)創(chuàng)建server-map表ASPF通過server-map表實現(xiàn)動態(tài)允許多通道協(xié)議數(shù)據(jù)通過五元組server-map表項實現(xiàn)了和會話表類似的功能關(guān)于安全策略配置命令，以下哪項是正確的（C）？禁止從trust區(qū)域訪問untrust區(qū)域且目的地址為0主機的ICMP報文禁止從trust區(qū)域訪問untrust區(qū)域且目的地址為/16網(wǎng)段的所有主機ICMP報文禁止從trust區(qū)域訪問untrust區(qū)域且源地址為/16網(wǎng)段來的所有主機ICMP報文禁止從trust區(qū)域訪問untrust區(qū)域且源地址為0主機來的所有主機ICMP報文ADDINCNKISM.UserStyle第十一章網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）在USG系列防火墻上配置NATServer時，會產(chǎn)生server-map表，以下哪項不屬于該表現(xiàn)中的內(nèi)容（D）？目的IP目的端口號協(xié)議號源IPNAPT技術(shù)可以實現(xiàn)一個公網(wǎng)IP地址給多個私網(wǎng)主機使用（A）。對錯在某些場景下，既要對源IP地址進行轉(zhuǎn)換，又要對目的IP地址進行轉(zhuǎn)換，該場景使用以下哪項技術(shù)（A）？雙向NAT源NATNAT-ServerNATALG以下哪項配置能實現(xiàn)NATALG功能（D）?natalgprotocolalgprotocolnatprotocoldetectprotocol關(guān)于NAT地址池的配置命令如下：其中，no-pat參數(shù)的含義是：（C）不做地址轉(zhuǎn)換進行端口復(fù)用不轉(zhuǎn)換源端口不轉(zhuǎn)換目的端口以下哪些屬于地址轉(zhuǎn)換技術(shù)的功能（ABD）？(多選）地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)用戶（私有IP地址）訪問Internet地址轉(zhuǎn)換可以使內(nèi)部局域網(wǎng)的許多主機共享一個IP地址上網(wǎng)地址轉(zhuǎn)換能夠處理加密的IP報頭地址轉(zhuǎn)換可以屏蔽內(nèi)部網(wǎng)絡(luò)的用戶，提高內(nèi)部網(wǎng)絡(luò)的安全性關(guān)于NAT地址轉(zhuǎn)換，以下哪項說法是錯誤的（D）?源NAT技術(shù)中配置NAT地址池，可以在地址池中只配置一個IP地址地址轉(zhuǎn)換可以按照用戶的需要，在局域網(wǎng)內(nèi)向外提供FTP、WWW、Telnet等服務(wù)有些應(yīng)用層協(xié)議在數(shù)據(jù)中攜帶IP地址信息，對它們作NAT時還要修改上層數(shù)據(jù)中的IP地址信息對于某些非TCP、UDP的協(xié)議（比如ICMP、PPTP），無法做NAT轉(zhuǎn)換關(guān)于NAT配置的說法，以下哪項是錯誤的（D）？在透明模式下配置源NAT，防火墻不支持easy-ip方式地址池中的IP地址可以與NATserver的公網(wǎng)IP地址重疊網(wǎng)絡(luò)中有VoIP業(yè)務(wù)時，不需要配置NATALG防火墻不支持對ESP和AH報文進行NAPT轉(zhuǎn)換ADDINCNKISM.UserStyle第十二章防火墻雙機熱備技術(shù)以下哪些屬于HRP（HuaweiRedundancyProtocol）協(xié)議可以備份的狀態(tài)信息（ABC）？（多選）會話表ServerMap表項動態(tài)黑名單路由表關(guān)于HRP主備配置一致性檢查內(nèi)容不包括下列哪個選項（C）？NAT策略是否配置了相同序號的心跳接口靜態(tài)路由的下一跳和出接口認證策略關(guān)于VRRP/VGMP/HRP的關(guān)系和作用，下列哪些說法是正確的（ABC）？（多選）VRRP負責(zé)在主備倒換時發(fā)送免費ARP把流量引導(dǎo)新的主設(shè)備上VGMP負責(zé)監(jiān)控設(shè)備的故障并控制設(shè)備的快速切換HRP負責(zé)在雙機熱備運行過程中的數(shù)據(jù)備份處于Active狀態(tài)的VGMP組中可能包含處于standby狀態(tài)的VRRP組在防火墻上部署雙機熱備時，為實現(xiàn)VRRP備份組整體狀態(tài)切換，需要使用以下哪個協(xié)議（B）？VRRPVGMPHRPOSPF關(guān)于防火墻雙機熱備的描述，下列哪些選項是正確的（ABD）？（多選）當(dāng)防火墻上多個區(qū)域需要提供雙機備份功能時，需要在防火墻上配置多個VRRP備份組要求同一臺防火墻上同一VGMP管理組所有VRRP備份組狀態(tài)保持一致防火墻雙機熱備需要進行會話表、MAC表、路由表等信息在主設(shè)備和從設(shè)備間同步備份VGMP用于保證所有VRRP備份組切換的一致性在VRRP（VirtualRouterRedundancyProtocol）組中，主防火墻定期向備份防火墻發(fā)送通告報文，備份防火墻則只負責(zé)監(jiān)聽通告報文，不會進行回應(yīng)（A）。對錯華為USG防火墻VRRP通告報文為組播報文，所以要求備份組中的各防火墻必須能夠?qū)崿F(xiàn)直接的二層互通（A）。對錯ADDINCNKISM.UserStyle第十三章防火墻用戶管理以下哪些屬于遠端認證方式（AC）？（多選）RADIUSLocalHWTACACSLLDP防火墻除了支持內(nèi)置Portal認證外，還支持自定義Portal認證，當(dāng)采用自定義Portal認證時，不需要單獨部署外部Portal服務(wù)器（B）。對錯關(guān)于上網(wǎng)用戶管理的說法，以下哪項是錯誤的（B）？每個用戶組可以包括多個用戶和用戶組每個用戶組可以屬于多個父用戶組系統(tǒng)默認有一個default用戶組，該用戶組同時也是系統(tǒng)默認認證域每個用戶至少屬于一個用戶組，也可以屬于多個用戶組在USG系列防火墻上，配置了web重定向功能后，無法彈出認證頁面，以下哪項不屬于故障原因（D）？未配置認證策略或認證策略配置錯誤未開啟web認證功能瀏覽器SSL版本與防火墻認證頁面SSL版本不匹配認證頁面服務(wù)的端口號設(shè)為8887以下哪項不屬于USG防火墻中的用戶認證方式（D）？免認證密碼認證單點登錄指紋認證關(guān)于單點登錄，以下哪些說法是正確的（AD）？（多選）設(shè)備可以識別出身份認證系統(tǒng)認證通過的用戶AD域單點登錄只有一種部署模式雖然不需要輸入用戶密碼，但是認證服務(wù)器需要將用戶密碼和設(shè)備進行交互，用來保證認證通過AD域單點登錄可采用鏡像登錄數(shù)據(jù)流的方式同步到防火墻關(guān)于免認證方式的雙向綁定用戶不能訪問網(wǎng)絡(luò)資源的問題，以下哪些選項是可能的原因（BD）？（多選）免認證用戶和認證用戶處于同一安全區(qū)域免認證用戶沒有使用指定IP/MAC地址的PC認證策略中認證動作設(shè)置為“不認賬/免認證”在線用戶已經(jīng)達到最大值A(chǔ)DDINCNKISM.UserStyle第十四章入侵防御簡介DDoS攻擊屬于下列哪種攻擊類型（D）？窺探掃描攻擊畸形報文攻擊特殊報文攻擊流量型攻擊以下哪個攻擊不屬于特殊報文攻擊（C）？ICMP重定向報文攻擊ICMP不可達報文攻擊IP地址掃描攻擊超大ICMP報文攻擊以下哪種攻擊不屬于畸形報文攻擊（D）？Teardrop攻擊Smurf攻擊TCP分片攻擊ICMP不可達報文攻擊“善于觀察”和“保持懷疑”可以幫助我們在網(wǎng)絡(luò)世界中更好的辨別安全威脅（B）。對錯入侵防御系統(tǒng)（IPS,intrusionpreventionsystem）是在發(fā)現(xiàn)入侵行為時能實時阻斷的防御系統(tǒng)（A）。對錯關(guān)于防火墻網(wǎng)關(guān)針對HTTP協(xié)議的防病毒響應(yīng)方式，以下哪項說法是錯誤的（B）？當(dāng)網(wǎng)關(guān)設(shè)備阻斷HTTP連接后，向客戶端推送web頁面并產(chǎn)生日志響應(yīng)方式包括宣告和阻斷告警方式設(shè)備只產(chǎn)生日志，不對HTTP協(xié)議傳輸?shù)奈募M行處理就發(fā)送出去阻斷是指設(shè)備斷開與HTTP服務(wù)器的連接并阻斷文件傳輸表面上，病毒、漏洞、木馬等威脅是造成信息安全事件的原因，但究其根本，信息安全事件與人和信息系統(tǒng)本身也有很大關(guān)聯(lián)。（A）對錯以下哪些選項屬于惡意程序（ACD）？（多選）特洛伊木馬漏洞蠕蟲病毒ADDINCNKISM.UserStyle第十五章加密與解密原理數(shù)據(jù)加密模型三要素是那些？（ABC）信息明文密鑰信息密文加密算法加密技術(shù)的作用有哪些？（ABCD）完整性保密性鑒別性抗抵賴性最先有意識地使用加密技術(shù)是的那國人?（C）古印度人古巴比倫人古希臘人古中華人下面加密算法中，分組加密算法有那些?（BCD）RC4DES3DESAES下面加密算法中，流加密算法有那些?（B）RC2RC4RC5RC6下列算法中，那些屬于非對稱加密算法?（ABC）DHRSADSAIDEA下列算法中，那些屬于散列算法?（ABC）MD5SHASM3DES以下哪些屬于對稱加密算法？（CD）MD5RSADESAES以下哪項是數(shù)字信封采用的算法？（AB）。對稱加密算法非對稱加密算法散列算法同步算法加密技術(shù)可以分為以下哪幾種類型？（AB）。對稱加密分對稱加密指紋加密數(shù)據(jù)加密以下哪項是數(shù)字信封采用的加密技術(shù)？（B）。對稱加密算法非對稱加密算法散列算法流加密算法以下哪項不屬于對稱加密算法？（D）。DES3DESAESRSA甲乙通信雙方進行數(shù)據(jù)通信，若采用非對稱加密算法進行加密，甲發(fā)送數(shù)據(jù)給乙時，以下哪個密鑰將被用于進行數(shù)據(jù)加密？（C）。甲的公鑰甲的私鑰乙的公鑰乙的私鑰以下哪項不屬于非對稱加密算法？（B）。DHMD5DSARSA以下哪些選項屬于對稱加密算法的特點？（AC）。加密速度快機密速度慢密鑰分發(fā)不安全密鑰分發(fā)安全性高數(shù)據(jù)傳輸過程中加密技術(shù)對數(shù)據(jù)起到保障作用包括下列哪些選項？（ACD）。機密性可控性完整性源校驗以下哪項在數(shù)字簽名技術(shù)中用于對數(shù)字指紋進行加密？（B）。發(fā)送方公鑰發(fā)送方私鑰接收方公鑰接收方私鑰實際應(yīng)用中，非對稱加密主要用于對用戶數(shù)據(jù)進行加密（B）。對錯在使用數(shù)字信封的過程中，下列哪些信息會被加密？（AB）。對稱密鑰用戶數(shù)據(jù)接收方公鑰接收方私鑰加密技術(shù)可通過一定的方法將可讀信息轉(zhuǎn)換成為不可讀信息。（B）。對錯數(shù)字簽名技術(shù)通過對以下哪項數(shù)據(jù)進行了加密從而獲得數(shù)字簽名？（D）。用戶數(shù)據(jù)接收方公鑰發(fā)送方公鑰數(shù)字指紋以下哪個選項不屬于散列算法?（C）MD5SHA1SM1SHA2ADDINCNKISM.UserStyle第十六章PKI證書體系華為設(shè)備支持那幾種數(shù)據(jù)證書類型？（ABCD）自簽名證書CA證書本地證書設(shè)備本地證書以下哪個不屬于USG6000系列防火墻支持的證書格式？（D）PKCS#12DERPEMTXTPKI體系由哪幾個部分組成?（ABCD）終端實體證書認證機構(gòu)證書注冊機構(gòu)證書/CRL存儲庫下列那些不屬于PKI生命周期的內(nèi)容?（D）申請頒發(fā)存儲修改PKI實體向CA申請本地證書有那幾種方式?（AC）在線申請本人申請離線申請他人申請數(shù)字證書通過第三方機構(gòu)對公鑰進行公正，從而保證數(shù)據(jù)傳輸?shù)牟豢煞裾J性。因此確認公鑰的正確性只需要通信方的證書即可（B）。對錯以下哪個選項不是USG6000系列設(shè)備支持的證書保存文件格式？（D）。PKCS#12DERPEMPKCS#數(shù)字證書根據(jù)使用場景不同可以分為本地證書、CA證書、根證書和自簽名證書等。

（A）。對錯以下哪些選項屬于PKI體系架構(gòu)的組成部分？（ABCD）。終端實體證書認證機構(gòu)證書注冊機構(gòu)證書存儲機構(gòu)下表關(guān)于PKI工作過程的排序，以下哪項是正確的？（B）。1通信端申請CA證書2PKI回復(fù)CA證書3相互獲取對端證書并檢驗有效性4通信端安裝本地證書5PKI頒發(fā)本地證書6通信端申請本地證書7通信端安裝CA證書8互相通信1-2-6-5-7-4-3-81-2-7-6-5-4-3-86-5-4-1-2-7-3-86-5-4-3-1-2-7-8A關(guān)于根CA證書，以下哪個描述是錯誤的？（D）。頒發(fā)者是CA證書主體名是CA公鑰信息是CA的公鑰簽名是CA公鑰加密產(chǎn)生的ADDINCNKISM.UserStyle第十七章加密技術(shù)應(yīng)用密碼學(xué)的應(yīng)用主要有？（ABC）數(shù)字信封數(shù)字簽名數(shù)字證書設(shè)備本地證書以下哪些屬于L2VPN中所用到的協(xié)議？（BCD）GREPPTPL2FL2TPVPN按協(xié)議在OSI互聯(lián)參考模型中的位置可以分為?（ABC）L3VPNL2VPNSSLVPNIPSecVPNL2TPVPN主要有那幾種使用場景?（ABC）NAS-InitiatedVPNLAC自動撥號Client-InitiatedVPNClient-to-SiteVPNIPSec通過那些安全協(xié)議來實現(xiàn)IP報文的安全保護?（BC）DESESPAHAESIPSec安全聯(lián)盟由那些無組來唯一標(biāo)識?（ACD）安全參數(shù)索引SPI源IP地址使用的安全協(xié)議號目的IP地址IPSec封裝模式有那幾種?（AB）傳輸模式隧道模式加殼模式加花模式SSLVPN主要功能有哪些?（ABCD）用戶認證Web代理文件共享端口轉(zhuǎn)換與網(wǎng)絡(luò)擴展IPSecVPN采用的是非對稱加密算法對傳輸?shù)臄?shù)據(jù)進行加密（B）。對錯關(guān)于SSLVPN技術(shù)，以下哪個選項說法是錯誤的？（C）。SSLVPN技術(shù)可以完美適用于NAT穿越場景SSLVPN技術(shù)的加密只對應(yīng)用層生效SSLVPN需要撥號客戶端SSLVPN技術(shù)擴展了企業(yè)的網(wǎng)絡(luò)范圍IPSecVPN技術(shù)采用ESP安全協(xié)議封裝時不支持NAT穿越，因為ESP對報文頭部進行了加密（B）。對錯關(guān)于SSLVPN的描述，以下哪項是正確的？（A）?？梢栽跓o客戶端的情況下使用可以對IP層進行加密存在NAT穿越問題無需身份驗證在Client-InitiatedVPN配置中，一般建議把地址池和總部網(wǎng)絡(luò)地址規(guī)劃為不同網(wǎng)段，否則需要在網(wǎng)關(guān)設(shè)備上開啟代理轉(zhuǎn)發(fā)功能。（A）。對錯關(guān)于Client-Initialized的L2TPVPN，下列哪項說法是錯誤的？（D）。遠程用戶接入internet后，可通過客戶端軟件直接向遠端的LNS發(fā)起L2TP隧道連接請求LNS設(shè)備接收到用戶L2TP連接請求，可以根據(jù)用戶名、密碼對用戶進行驗證LNS為遠端用戶分配私有