網(wǎng)絡安全與防護-筆試題答案

1、長春職業(yè)技術學院專業(yè)課程試題庫第一部分:理論題一選擇題學習情境1-任務1-基于Sniffer進行協(xié)議模擬攻擊分析(1/22)1ARP協(xié)議工作過程中，當一臺主機A向另一臺主機B發(fā)送ARP查詢請求時，以太網(wǎng)幀封裝的目的MAC地址是（D）。A. 源主機A的MAC地址 B. 目標主機B的MAC地址 C. 任意地址：000000000000 D02. 廣播地址：FFFFFFFFFFFF 2在下面的命令中，用來檢查通信對方當前狀態(tài)的命令是（B）。 A. telnet B. ping C. tcpdump D. traceroute3在進行協(xié)議分析時，為了捕獲到網(wǎng)絡有全部協(xié)議數(shù)據(jù)，可以在交換機上配置（A）功

2、能。 A. 端口鏡像 B. VLAN C. Trunk D. MAC地址綁定 4在進行協(xié)議分析時，為了捕獲到流經(jīng)網(wǎng)卡的全部協(xié)議數(shù)據(jù)，要使網(wǎng)卡工作在（C）模式下?。 A. 廣播模式 B. 單播模式 C. 混雜模式 D. 多播模式 5在計算機中查看ARP緩存記錄的命令是（A）。 A. “arp -a” B. “arp -d” C. “netstat -an” D. “ipconfig /all” 6在計算機中清除ARP緩存記錄的命令是（B）。 A. “arp -a” B. “arp -d” C. “netstat -an” D. “ipconfig /all” 7一幀ARP協(xié)議數(shù)據(jù)中，如果其中顯示

3、操作代碼（Opcode）值為1,表示此數(shù)據(jù)幀為ARP的什么幀？(D) A. 單播幀 B. 應答幀 C. 多播幀 D. 請求幀 8在廣播式網(wǎng)絡中，發(fā)送報文分組的目的地址有（C）地址多站（播）地址和廣播地址三種。 A. 本地 B. 遠程 C. 單一物理（單播） D. 邏輯 9網(wǎng)絡安全的基本屬性是（ B）。 A. 機密性 B. 其它三項均是 C. 完整性 D. 可用性 10小李在使用super scan對目標網(wǎng)絡進行掃描時發(fā)現(xiàn)，某一個主機開放了25和110端口，此主機最有可能是（B） A. 文件服務器 B. 郵件服務器 C. WEB服務器 D. DNS服務器 11協(xié)議分析技術可以解決以下哪個安全問題

4、？ （C） A. 進行訪問控制 B. 清除計算機病毒 C. 捕獲協(xié)議數(shù)據(jù)并進行分析定位網(wǎng)絡故障點 D. 加密以保護數(shù)據(jù) 12什么是DoS攻擊?（B） A. 針對DOS操作系統(tǒng)的攻擊 B. 拒絕服務攻擊 C. 一種病毒 D. 地址欺騙攻擊 13你想發(fā)現(xiàn)到達目標網(wǎng)絡需要經(jīng)過哪些路由器，你應該使用什么命令？（D） A. ping B. nslookup C. ipconfig D. tracert 14TELNET和FTP協(xié)議在進行連接時要用到用戶名和密碼，用戶名和密碼是以什么形式傳輸?shù)模浚–） A. 對稱加密 B. 加密 C. 明文 D. 不傳輸密碼 15假如你向一臺遠程主機發(fā)送特定的數(shù)據(jù)包，卻不

5、想遠程主機響應你的數(shù)據(jù)包。這時你使用哪一種類型的進攻手段？ （B） A. 緩沖區(qū)溢出 B. 地址欺騙 C. 拒絕服務 D. 暴力攻擊 學習情境2-任務1-利用PGP實施非對稱加密(2/22) 16 DES加密算法的密鑰長度是多少？ (B) A. 64位 B. 56位 C. 168位 D. 40位 17RSA屬于(B ) A. 秘密密鑰密碼 B. 公用密鑰密碼 C. 對稱密鑰密碼 D. 保密密鑰密碼 18DES屬于( A) A. 對稱密鑰密碼 B. 公用密鑰密碼 C. 保密密鑰密碼 D. 秘密密鑰密碼 19MD5算法可以提供哪種數(shù)據(jù)安全性檢查(C ) A. 可用性 B. 機密性 C. 完整性 D

6、. 以上三者均有 20 SHA算法可以提供哪種數(shù)據(jù)安全性檢查(A ) A. 完整性 B. 機密性 C. 可用性 D. 以上三者均有 21 數(shù)字簽名技術提供哪種數(shù)據(jù)安全性檢查(B ) A. 機密性 B. 源認證 C. 可用性 D. 完整性 22在以下認證方式中，最常用的認證方式是(D ) A. 基于摘要算法認證 B. 基于PKI認證 C. 基于數(shù)據(jù)庫認證 D. 基于賬戶名口令認證 23在公鑰密碼體制中，不公開的是(B ) A. 公鑰 B. 私鑰 C. 加密算法 D. 數(shù)字證書 24數(shù)字簽名中，制作簽名時要使用(D ) A. 用戶名 B. 公鑰 C. 密碼 D. 私鑰 25在公鑰密碼體制中，用于加

7、密的密鑰為( B) A. 私鑰 B. 公鑰 C. 公鑰與私鑰 D. 公鑰或私鑰 26計算機網(wǎng)絡系統(tǒng)中廣泛使用的3DES算法屬于( C) A. 不對稱加密 B. 不可逆加密 C. 對稱加密 D. 公開密鑰加密 273DES使用的密鑰長度是多少位？(C) A. 64 B. 56 C. 168 D. 128 28有一種原則是對信息進行均衡全面的防護，提高整個系統(tǒng)的“安全最低點”的安全性能，該原則是(D ) A. 整體原則 B. 等級性原則 C. 動態(tài)化原則 D. 木桶原則 29對系統(tǒng)進行安全保護需要一定的安全級別，處理敏感信息需要的最低安全級別是(C ) A. A1 B. D1 C. C2 D. C

8、1 30截取是指未授權的實體得到了資源的訪問權，這是對下面哪種安全性的攻擊(D ) A. 可用性 B. 機密性 C. 完整性 D. 合法性 31數(shù)字信封技術采用了對稱與非對稱加密技術的結合，其中非對稱加密的對象是什么？(B) A. 公鑰 B. 對稱加密密鑰 C. 數(shù)據(jù) D. 以上都不對學習情境2-任務3-利用數(shù)字證書保護通信(3/22)32SSL（HTTPS）安全套接字協(xié)議所使用的端口是：( D ) A. 80 B. 3389 C. 1433 D. 443 33用戶從CA安全認證中心申請自己的證書，并將該證書裝入瀏覽器的主要目的是(B ) A. 避免他人假冒自己 B. 防止第三方偷看傳輸?shù)男畔?/p>

9、 C. 保護自己的計算機免受病毒的危害 D. 驗證Web服務器的真實性 34關于數(shù)字證書，以下那種說法是錯誤的( A) A. 數(shù)字證書包含有證書擁有者的私鑰信息 B. 數(shù)字證書包含有證書擁有者的公鑰信息 C. 數(shù)字證書包含有證書擁有者的基本信息 D. 數(shù)字證書包含有CA的簽名信息 35管理數(shù)字證書的權威機構CA是( C) A. 加密方 B. 解密方 C. 可信任的第三方 D. 雙方 36利用SSL安全套接字協(xié)議訪問某個網(wǎng)站時，不再使用HTTP而是使用(A ) A. https B. ftp C. tftp D. IPSec 37數(shù)字證書上的簽名是由CA使用什么制作的？(B) A. CA的公鑰

10、B. CA的私鑰 C. 證書持有者的私鑰 D. 證書持有者的公鑰 38數(shù)字簽名中，制作簽名時要使用(D ) A. 用戶名 B. 密碼 C. 公鑰 D. 私鑰 39數(shù)字摘要，可以通過以下哪種算法制作(C ) A. DH B. DES C. MD5 D. RSA 40數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進行( B) A. 加密 B. 安全認證 C. 解密 D. 加密解密 41數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的(B ) A. 私人密鑰 B. 公開密鑰 C. 解密密鑰 D. 加密密鑰 42CA指的是：(C ) A. 虛擬專用網(wǎng) B. 加密認證 C. 證書授權 D. 安全

11、套接層 43以下關于數(shù)字簽名說法正確的是：(B ) A. 數(shù)字簽名是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關系的數(shù)字信息 B. 數(shù)字簽名能夠解決篡改偽造等安全性問題 C. 數(shù)字簽名一般采用對稱加密機制 D. 數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸，即安全傳輸問題 44以下關于CA認證中心說法正確的是：(D ) A. CA認證是使用對稱密鑰機制的認證方法 B. CA認證中心只負責簽名，不負責證書的產(chǎn)生 C. CA認證中心不用保持中立，可以隨便找一個用戶來做為CA認證中心 D. CA認證中心負責證書的頒發(fā)和管理并依靠證書證明一個用戶的身份 45關于CA和數(shù)字證書的關系，以下說法不正確的是：(C ) A.

12、 數(shù)字證書是保證雙方之間的通訊安全的電子信任關系，他由CA簽發(fā) B. 在電子交易中，數(shù)字證書可以用于表明參與方的身份 C. 數(shù)字證書一般依靠CA中心的對稱密鑰機制來實現(xiàn) D. 數(shù)字證書能以一種不能被假冒的方式證明證書持有人身份 學習情境2-任務3-利用隧道技術連接企業(yè)與分支(4/22) 46 JOE是公司的一名業(yè)務代表，經(jīng)常要在外地訪問公司的財務信息系統(tǒng)，他應該采用的安全廉價的通訊方式是（D ） A. PPP連接到公司的RAS服務器上 B. 與財務系統(tǒng)的服務器PPP連接 C. 電子郵件 D. 遠程訪問VPN 47IPSec在哪種模式下把數(shù)據(jù)封裝在一個IP包傳輸以隱藏路由信息（A ） A. 隧道

13、模式 B. 管道模式 C. 傳輸模式 D. 安全模式 48有關L2TP（Layer 2 Tunneling Protocol)協(xié)議說法有誤的是（A ） A. L2TP只能通過TCT/IP連接 B. L2TP可用于基于Internet的遠程撥號訪問 C. 為PPP協(xié)議的客戶建立撥號連接的VPN連接 D. L2TP是由PPTP協(xié)議和Cisco公司的L2F組合而成 49針對下列各種安全協(xié)議，最適合使用外部網(wǎng)VPN上，用于在客戶機到服務器的連接模式的是（B ） A. IPsec B. SOCKS v5 C. PPTP D. L2TP 50下列各種安全協(xié)議中使用包過濾技術，適合用于可信的LAN到LAN之

14、間的VPN，即內部網(wǎng)VPN的是（D ） A. PPTP B. L2TP C. SOCKS v5 D. Ipsec 51屬于第三層的VPN隧道協(xié)議有（ C） A. L2TP B. PPTP C. GRE D. 以上都不是 52 IPSec協(xié)議和以下哪個VPN隧道協(xié)議處于同一層(B) A. PPTP B. GRE C. L2TP D. 以上皆是 53下列協(xié)議中，哪個協(xié)議的數(shù)據(jù)可以受到IPSec的保護(B) A. ARP B. TCPUDPIP C. RARP D. 以上皆可以 54以下關于VPN說法正確的是：（ C） A. VPN指的是用戶自己租用線路，和公共網(wǎng)絡物理上完全隔離的安全的線路 B.

15、VPN不能做到信息認證和身份認證 C. VPN指的是用戶通過公用網(wǎng)絡建立的臨時的安全的連接 D. VPN只能提供身份認證不能提供加密數(shù)據(jù)的功能 55關于vpn以下說法中正確的是（B ） A. vpn技術上只支持PPTP和L2TP協(xié)議 B. vpn客戶機可以是一臺路由器 C. 通過vpn需要為每一臺pc單獨建立連接 D. 連接到企業(yè)網(wǎng)絡的客戶機肯定是一臺計算機 56下列哪種操作系統(tǒng)不能作為vpn客戶機？（ D） A. WIN NT3.0 B. LINUX C. WIN XP D. DOS 57以下設備中不可以作為VPN服務器的是（ D） A. 路由器 B. 防火墻 C. PC D. 交換機 58

16、在身份識別中哪種協(xié)議具有更好的安全性？（B ） A. TCP/IP B. EAP-TLS C. MS-CHAP D. IP-SEC 學習情境2-任務4-基于Windows實現(xiàn)VPN連接(5/22) 59下面哪個方式是屬于三層VPN的（D） A. L2TP B. MPLS C. IPSec D. PP2P 60在加密和解密的過程中，下面哪種算法是采用不對稱方式的 （C） A. DES B. 3DES C. RSA D. AES學習情境3-任務1-基本防火墻功能配置(7/22) 61嚴格的口令策略不包括（D ） A. 滿足一定的長度，比如8位以上 B. 同時包含數(shù)字，字母和特殊字符 C. 系統(tǒng)強制

17、要求定期更改口令 D. 用戶可以設置空口令 62以下關于防火墻的設計原則說法正確的是（B ） A. 不單單要提供防火墻的功能，還要盡量使用較大的組件 B. 保持設計的簡單性 C. 保留盡可能多的服務和守護進程，從而能提供更多的網(wǎng)絡服務 D. 一套防火墻就可以保護全部的網(wǎng)絡 63包過濾是有選擇地讓數(shù)據(jù)包在內部與外部主機之間進行交換，根據(jù)安全規(guī)則有選擇的路由某些數(shù)據(jù)包。下面不能進行包過濾的設備是（A ） A. 交換機 B. 一臺獨立的主機 C. 路由器 D. 網(wǎng)橋 64防火墻中地址翻譯NAT的主要作用是（C ） A. 提供代理服務 B. 進行入侵檢測 C. 隱藏內部網(wǎng)絡地址 D. 防止病毒入侵 6

18、5可以通過哪種安全產(chǎn)品劃分網(wǎng)絡結構，管理和控制內部和外部通訊（B ） A. CA中心 B. 防火墻 C. 加密機 D. 防方病毒產(chǎn)品 66包過濾工作在OSI模型的哪一層？（ D） A. 表示層 B. 傳輸層 C. 數(shù)據(jù)鏈路層 D. 網(wǎng)絡層 67為控制企業(yè)內部對外的訪問以及抵御外部對內部網(wǎng)的攻擊,最好的選擇是（C ） A. IDS B. 殺毒軟件 C. 防火墻 D. 路由器 學習情境4-任務1-IDS基礎（11/22） 68以下哪一項不屬于入侵檢測系統(tǒng)的功能：(D ) A. 監(jiān)視網(wǎng)絡上的通信數(shù)據(jù)流 B. 捕捉可疑的網(wǎng)絡活動 C. 提供安全審計報告 D. 過濾非法的數(shù)據(jù)包 69入侵檢測系統(tǒng)的第一步

19、是：( B) A. 信號分析 B. 信息收集 C. 數(shù)據(jù)包過濾 D. 數(shù)據(jù)包檢查 70入侵檢測系統(tǒng)在進行信號分析時，一般通過三種常用的技術手段，以下哪一種不屬于通常的三種技術手段：(C ) A. 模式匹配 B. 統(tǒng)計分析 C. 密文分析 D. 完整性分析 71以下哪一種方式是入侵檢測系統(tǒng)所通常采用的：( A) A. 基于網(wǎng)絡的入侵檢測 B. 基于IP的入侵檢測 C. 基于服務的入侵檢測 D. 基于域名的入侵檢測 72以下哪一項屬于基于主機的入侵檢測方式的優(yōu)勢：(B ) A. 監(jiān)視整個網(wǎng)段的通信 B. 適應交換和加密 C. 不要求在大量的主機上安裝和管理軟件 D. 具有更好的實時性 73能夠在網(wǎng)

20、絡通信中尋找符合網(wǎng)絡入侵模式的數(shù)據(jù)包而發(fā)現(xiàn)攻擊特征的入侵檢測方式是：(B ) A. 基于文件的入侵檢測方式 B. 基于網(wǎng)絡的入侵檢測方式 C. 基于主機的入侵檢測方式 D. 基于系統(tǒng)的入侵檢測方式 學習情境5-任務2-安裝配置防病毒系統(tǒng)(15/22) 74以下關于計算機病毒的特征說法正確的是（D ） A. 計算機病毒只具有破壞性，沒有其他特征 B. 計算機病毒只具有破壞性，沒有其他特征 C. 計算機病毒只具有傳染性，不具有破壞性 D. 破壞性和傳染性是計算機病毒的兩大主要特征 75以下關于宏病毒說法正確的是（B ） A. 宏病毒主要感染可執(zhí)行文件 B. 宏病毒僅向辦公自動化程序編制的文檔進行傳

21、染 C. 宏病毒主要感染軟盤硬盤的引導扇區(qū)或主引導扇區(qū) D. CIH病毒屬于宏病毒 76以下哪一項不屬于計算機病毒的防治策略（A ） A. 禁毒能力 B. 查毒能力 C. 解毒能力 D. 防毒能力 77在以下操作中，哪項不會傳播計算機病毒（B ） A. 將別人使用的軟件復制到自己的計算機中 B. 通過計算機網(wǎng)絡與他人交流軟件 C. 在自己的計算機上使用其他人的U盤 D. 將自己的U盤與可能有病毒的U盤存放在一起 78計算機病毒通常是（C ） A. 一條命令 B. 一個文件 C. 一段程序代碼 D. 一個標記 79在下列4 項中，不屬于計算機病毒特征的是（B ） A. 潛伏性 B. 免疫性 C.

22、 傳播性 D. 激發(fā)性 80Internet 病毒主要通過（C ）途徑傳播。 A. 光盤 B. 軟盤 C. 電子郵件下載文件 D. Word 文檔 81病毒造成的影響不包括（D ） A. 數(shù)據(jù)文件的丟失 B. 計算機運行速度下降 C. 主機系統(tǒng)軟件損毀 D. 顯視器產(chǎn)生壞點82不屬于計算機病毒防治的策略的是（C ） A. 確認您手頭常備一張真正干凈的引導盤 B. 及時，可靠升級反病毒產(chǎn)品 C. 整理磁盤 D. 新購置的計算機軟件也要進行病毒檢測83使用防病毒軟件時，一般要求用戶每隔2周進行升級，這樣做的目的是（D ） A. 對付最新的病毒，因此需要下載最新的程序 B. 程序中有錯誤，所以要不斷

23、升級，消除程序中的BUG C. 每兩周將有新的病毒出現(xiàn) D. 新的病毒在不斷出現(xiàn)，因此需要用及時更新病毒的特征碼資料庫84計算機病毒是指（ B） A. 帶細菌的磁盤 B. 具有破壞性的特制程序 C. 已損壞的磁盤 D. 被破壞了的程序85多數(shù)蠕蟲病毒發(fā)作的特征是什么（C ） A. 破壞PC游戲程序 B. 攻擊個人PC終端 C. 大量消耗網(wǎng)絡帶寬 D. 攻擊手機網(wǎng)絡學習情境6-任務1-數(shù)據(jù)備份與恢復(17/22)86哪種原因不會造成數(shù)據(jù)的丟失(A ) A. 正常關機 B. 電腦病毒 C. 系統(tǒng)硬件故障 D. 黑客入侵87為了防止發(fā)生不可預測的災難，一般會如何處理數(shù)據(jù)(B ) A. 存在保險柜里一

24、份 B. 在遠離數(shù)據(jù)中心的地方備份 C. 安裝災害預測系統(tǒng) D. 常做備份 88主要備份類型不包括( D) A. 全備份 B. 差分備份 C. 增量備份 D. 選擇備份 89重做系統(tǒng)前什么文件沒有必要備份(C ) A. 我的文檔 B. 收藏夾 C. 郵箱中的郵件 D. 桌面的文件 90以下哪個說法是對的（C） A. 清空回收站中刪除的文件后，文件將無法恢復 B. U盤快速格式化后，文件將無法恢復 C. 清空回收站中刪除的文件U盤快速格式化后文件都可以恢復 D. 清空回收站中刪除的文件后文件可以恢復U盤快速格式化后文件無法恢復 學習情境6-任務2-磁盤冗余配置與實現(xiàn)(18/22) 91下列哪種R

25、AID類型的讀取速度最快？(D ) A. RAID5 B. RAID3 C. RAID1 D. RAID0 92以下哪一項不是RAID設計的目的？( B) A. 提高磁盤性能 B. 提高磁盤轉速 C. 提高磁盤可靠性 D. 提高磁盤容錯性93下列哪種RAID類型的安全性最好？( A) A. RAID2 B. RAID1 C. RAID3 D. RAID5 94RAID1的磁盤利用率為( C) A. 100% B. 75% C. 50% D. 33% 95下列哪種RAID類型的空間利用率最高？( B) A. RAID1 B. RAID0 C. RAID5 D. RAID3 96以下錯誤的是。(D

26、 ) A. RAID是獨立冗余磁盤陣列的縮寫 B. IDE硬盤也可以使用RAID C. RAID0的磁盤利用率最高 D. RAID5的存儲速度最快 97下列哪種RAID類型的空間利用率最低？( C) A. RAID0 B. RAID3 C. RAID1 D. RAID5 98下列哪種RAID類型的安全性最差？( B) A. RAID1 B. RAID0 C. RAID5 D. RAID3 99RAID5最少需要( C)塊磁盤才能實現(xiàn) A. 5 B. 4 C. 3 D. 2 100不屬于RAID硬件故障的是( D) A. 硬盤數(shù)據(jù)線損壞 B. RAID卡損壞 C. RAID出現(xiàn)壞道，導致數(shù)據(jù)丟失

27、 D. 磁盤順序出錯，系統(tǒng)不能識別 101以下正確的是( B) A. 只能在windows系統(tǒng)的pc中使用磁盤陣列 B. 磁盤陣列的的容錯性是有限的 C. 小型企業(yè)不需要磁盤陣列技術 D. 磁盤陣列的技術已經(jīng)達到完美 102以下不是HSRP（熱備份路由器協(xié)議）的特點(D ) A. 能夠保護第一跳路由器不出故障 B. 主動路由器出現(xiàn)故障將激活備份路由器取代主動路由器 C. 負責轉發(fā)數(shù)據(jù)包的路由器稱之為主動路由器 D. HSRP 運行在 UDP 上，采用端口號2085 103一個用戶通過驗證登錄后,系統(tǒng)需要確定該用戶可以做些什么,這項服務是？（B ） A. 認證 B. 訪問控制 C. 不可否定性

28、D. 數(shù)據(jù)完整性學習情境6-任務6-基于SNMP協(xié)議實現(xiàn)網(wǎng)絡管理(22/22) 104SNMP 不是設計用于哪種網(wǎng)絡節(jié)點的標準協(xié)議？( D) A. 服務器 B. 工作站 C. 交換機 D. 網(wǎng)卡 105SNMP是屬于哪層的協(xié)議？(B) A. 網(wǎng)絡層 B. 應用層 C. 傳輸層 D. 物理層106下列哪個不是SNMP的主要組成部分？( A) A. DNS服務器 B. 代理 C. 管理的設備 D. 網(wǎng)絡管理系統(tǒng) 107被管理設備也被稱為什么？( C) A. 控制中心 B. 控制單元 C. 管理單元 D. 網(wǎng)管系統(tǒng) 108被管理系統(tǒng)不包括？( A) A. 虛擬機 B. 路由器 C. 交換機 D. 訪

29、問服務器109SNMP共有幾個版本？( B) A. 4 B. 3 C. 2 D. 1 110SNMP報文使用什么協(xié)議傳送？( D) A. TCP B. FTP C. HTTP D. UDP 111當網(wǎng)絡元素使用的是另一種網(wǎng)絡管理協(xié)議時，可使用( C) A. 網(wǎng)橋 B. 協(xié)議轉換 C. 委托代理 D. NAT 112SNMP的網(wǎng)絡管理構成不包括(B ) A. 管理信息庫 B. 管理信息接口 C. 管理信息結構 D. SNMP本身 113不是對象命名樹的頂級對象的是( B) A. ISO B. B的分支 C. ITU-T D. AC的聯(lián)合體 114ISO定義的系統(tǒng)管理功能域中，( )包括的功能有發(fā)

30、現(xiàn)安全漏洞，設計和改進安全策略等（C） A. 配置管理 B. 故障管理 C. 安全管理 D. 性能管理 115SNMP網(wǎng)絡管理中，一個管理站可以管理(B )代理。 A. 0個 B. 多個 C. 2個 D. 1個 116要在RMON表中增加新行，管理站用的命令是(D ) A. Get B. TrAp C. Set D. GetNext 117SNMP網(wǎng)絡管理中，被管理設向管理工作站發(fā)送TRAP消息時使用的是什么端口號(C ) A. UDP161 B. TCP161 C. UDP162 D. TCP162 118下列哪種不是SNMP中規(guī)定的協(xié)議數(shù)據(jù)單元PDU(D ) A. trap B. set-

31、request C. get-response D. get-ack 119下列哪項不是SNMP報文的組成部分(B ) A. 公共SNMP首部 B. trap尾部 C. get/set首部trap首部 D. 變量綁定 120以下協(xié)議中哪個協(xié)議不是網(wǎng)絡管理協(xié)議（D） A. SNMP B.CMIS/CMIP C.LMMP D. ARP二、判斷題1VPN的主要特點是通過加密使信息能安全的通過Internet傳遞。T2L2TP與PPTP相比,加密方式可以采用Ipsec加密機制以增強安全性。T3計算機信息系統(tǒng)的安全威脅同時來自內外兩個方面。 T4用戶的密碼一般應設置為8位以上。T5密碼保管不善屬于操作失

32、誤的安全隱患。 F6漏洞是指任何可以造成破壞系統(tǒng)或信息的弱點。T7公共密鑰密碼體制在密鑰管理上比對稱密鑰密碼體制更為安全。T8安全審計就是日志的記錄。F9計算機病毒是計算機系統(tǒng)中自動產(chǎn)生的。F10對于一個計算機網(wǎng)絡來說,依靠防火墻即可以達到對網(wǎng)絡內部和外部的安全防護。F11國際標準化組織ISO對網(wǎng)絡管理功能域定義了五方面功能：配置管理性能管理計費管理故障管理安全管理。T12AAA（Authentication認證/Authorization授權/Accounting計費）是網(wǎng)絡安全的一種管理機制，提供了認證授權計費（也稱為審計）三種安全功能。T13認證（Authentication）的過程是請

33、求方證明自己身份，認證服務器驗證其真實性的過程。T14常用的AAA客戶端與AAA服務器之間的通信協(xié)議是RADIUS。T15當誤刪除文件后，向文件所在分區(qū)寫入新文件，會給文件的恢復帶來困難。T16熱備份路由協(xié)議（HSRP，Hot Standby Router Protocol ）與VRRP功能類似，用于數(shù)據(jù)備份。F17目前應用最為廣泛的集群技術可以分為三大類：高可用性集群技術高性能計算集群技術和高可擴展性集群技術。T18當利用5塊磁盤配置RAID5，磁盤的最大利用率為75%，磁盤數(shù)量越多利用率越低。F19計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能

34、自我復制的一組計算機指令或者程序代碼。T20就當前的防病毒技術的軟硬件還無法處理未知的病毒，也不能處理所有已經(jīng)存在但未被發(fā)現(xiàn)的病毒。T21查殺病毒后不能確?；謴捅徊《靖腥酒茐牡奈募⒍拒浖嬖谡`報和漏報問題殺毒軟件需要經(jīng)常更新升級。T22根據(jù)系統(tǒng)應用，關閉不需要的服務與端口，可以強化對主機的保護。T23操作系統(tǒng)漏洞是可以通過重新安裝系統(tǒng)來修復。F24為了防御入侵，可以采用是殺毒軟件實現(xiàn)。F25入侵檢測（Intrusion Detection）是對入侵行為的發(fā)覺，進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)IDS。T26入侵檢測系統(tǒng)IDS可以取代防火墻，實現(xiàn)對入侵及網(wǎng)絡攻擊的防范。F27入侵檢

35、測系統(tǒng)包括三個功能部件：信息收集信息分析結果處理。T28對收集到的信息的分析方法主要有：模式匹配統(tǒng)計分析完整性分析（往往用于事后分析）。T29防火墻可以對流經(jīng)它的數(shù)據(jù)進行控制，對于不經(jīng)過它的訪問行為，它一般不能進行控制。T30防火墻可以檢查進出內部網(wǎng)的通信量。T31防火墻可以使用應用網(wǎng)關技術在應用層上建立協(xié)議過濾和轉發(fā)功能。T32防火墻可以使用過濾技術在網(wǎng)絡層對數(shù)據(jù)包進行選擇或控制。T33防火墻可以阻止來自內部的威脅和攻擊。F34防火墻可以防范病毒防火墻自身不會被攻破。F35防火墻無法防范數(shù)據(jù)驅動型的攻擊，如防火墻不能防止內部用戶下載被病毒感染的計算機程序打開帶有病毒的電子郵件的附件加密或壓縮

36、的數(shù)據(jù)的傳輸?shù)?。T36防火墻不能防備全部的威脅，防火墻只實現(xiàn)了粗粒度的訪問控制。T37防火墻的配置與管理較復雜，可能存在錯誤的配置應用。T38很難為用戶在防火墻內外提供一致的安全策略。T39任何軟件及系統(tǒng)在設計時都可能存在缺陷，防火墻也不例外。T40DMZ一般稱之為非軍事化區(qū)，也叫停火區(qū)。T41虛擬專用網(wǎng)絡（VPN）能夠利用Internet或其它公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡一樣的安全和功能保障。T三、填空題1在進行協(xié)議分析與入侵檢測時，網(wǎng)卡的工作模式應處于 混雜 模式。2一個正常的ARP請求數(shù)據(jù)幀的二層頭部中的目的MAC地址是： FFFFFFFFFFFF 。3在一個正

37、常的ARP請求數(shù)據(jù)幀的三層頭部（ARP部分），被查詢的目標設備的MAC地址求知，則用全是 FFFFFFFFFFFF 的MAC地址表示。4查看ARP緩存記錄的命令是 arp -a ，清除ARP緩存記錄的命令是 arp -d ，防范ARP攻擊時要對網(wǎng)關的MAC與IP進行綁定的命令是 arp -s 。5在對網(wǎng)絡設備進行遠程管理時，網(wǎng)絡管理員經(jīng)常使用Telnet方式，但是這種方式的連接存在安全問題是，用戶名和密碼是以 明文 傳遞的。因此建議在進行遠程設備管理時使用SSH協(xié)議。6常見的加密方式有對稱加密、非對稱加密和不可逆加密，試分別舉例說出對稱加密的常用算法是 DES 、非對稱加密常用算法是 RSA

38、、不可逆加密（散列）常用算法是 MD5 。7對“CVIT”采用愷撒加密算法，密鑰為3，則得出的密文是“ FYLW ”；如果密鑰為5，得出的密文是“ HANY ”，這也就是說，相同加密算法不同的密鑰得出的密文是不同的。8數(shù)字摘要采用 單向 Hash函數(shù)對信息進行某種變換運算得到 固定 長度的摘要，并在傳輸信息時將之加入文件一同送給接收方；接收方收到文件后，用相同的方法進行變換運算得到另一個摘要；然后將自己運算得到的摘要與發(fā)送過來的摘要進行比較，如果一致說明數(shù)據(jù)原文沒有被修改過。這種方法可以驗證數(shù)據(jù)的 完整 性。9關于對稱密碼術和非對稱密碼術的討論表明：前者具有加密速度 快 、運行時占用資源 少

39、等特點，后者可以用于密鑰交換，密鑰管理 安全 。一般來說，并不直接使用非對稱加密算法加密明文，而僅用它保護實際加密明文的 對稱密鑰 ，即所謂的數(shù)字信封（Digital Envelope）技術。10CA的職能：證書 發(fā)放 、證書 更新 、證書 撤銷 和證書 驗證 。11CA創(chuàng)建證書并在上面用自己的 私鑰 進行數(shù)字簽名。由于CA在創(chuàng)建證書過程中的角色很重要， 因此它是PKI的核心。使用CA的公鑰，想要驗證證書真實性的任何人只要校驗CA的數(shù)字簽名就能確定證書內容的完整性和真實性（更為重要的是確認了證書持有者的 公鑰 和身份）。 12當一個站點要求通過安全方式（利用數(shù)字證書）連接時，用戶就不能再在瀏覽

40、器中輸入HTTP協(xié)議了，而要采用 HTTPS 協(xié)議進行安全連接，這時所使用的端口也不是TCP的80，而是TCP的 443 。13WIN2003的IIS下建立的CA證書服務器，CA的IP地址為，則證書申請的URL為： /Certsrv/| 。14CA的中文名可譯為： 證書簽發(fā)機構 。15PKI的中文名可譯為： 公鑰基礎 。16GRE (Generic Routing Encapsulation中文名： 通用路由封裝 ): 是對某些網(wǎng)絡層協(xié)議的數(shù)據(jù)報文進行封裝，使這些被封裝的數(shù)據(jù)報文能夠在另一個網(wǎng)絡層協(xié)議中傳輸，GRE在IP協(xié)議中的協(xié)議號為 47 。17GRE是一種 隧道 ，它規(guī)定了怎樣用一種網(wǎng)絡

41、層協(xié)議去封裝另一種網(wǎng)絡層協(xié)議的方法。但它并不是一種 安全 的隧道方法。18隧道技術是一種通過使用互聯(lián)網(wǎng)絡的基礎設施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新 封裝 在新的包頭中發(fā)送。新的包頭提供了 信息，從而使封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡傳遞。19VPN（Virtual Private Network中文名： 虛擬專用網(wǎng)絡 ）可以實現(xiàn)不同網(wǎng)絡的組件和資源之間的相互連接。虛擬專用網(wǎng)絡能夠利用Internet或其它公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建 隧道 ，并提供與專用網(wǎng)絡一樣的 安全 和功能保障。20 遠程接入 VPN

42、用于實現(xiàn)出差員工或家庭辦公用等移動用戶安全訪問企業(yè)網(wǎng)絡。21 Internet VPN用于組建跨地區(qū)的企業(yè)總部與分支機構內部網(wǎng)絡的安全互聯(lián)。22VPN利用隧道技術對原有協(xié)議進行重新封裝，并提供 加密 、 數(shù)據(jù)驗證 、 用戶驗證 等一系列安全防護措施，保證了數(shù)據(jù)通過不安全的公共網(wǎng)絡得到安全的傳輸。23DMZ一般稱之為 非軍事化區(qū) ，對于防火墻的DMZ口所連接的部分，一般稱這之為服務器群或服務器區(qū)，防火墻也可以進行策略的檢查與控制，只允許對特定的服務端口的訪問進入，如只開放Web服務則僅對內部服務訪問的目的端口為 80 時才允許。24網(wǎng)絡防火墻的工作任務主要是設置一個檢查站， 監(jiān)視 、 過濾 和

43、檢查 所有流經(jīng)的協(xié)議數(shù)據(jù)，并對其執(zhí)行相應的安全策略，如阻止協(xié)議數(shù)據(jù)通過或禁止非法訪問，能有效地過濾攻擊流量。25網(wǎng)絡層防火墻通過對流經(jīng)的協(xié)議數(shù)據(jù)包的頭部信息，如源地址、 目標地址 、 IP協(xié)議域 、源端口和 目標端口號 等信息進行規(guī)定策略的控制，也可以獲取協(xié)議數(shù)據(jù)包頭的一段數(shù)據(jù)。而應用層防火墻可以對協(xié)議數(shù)據(jù)流進行全部的檢查與分析，以確定其需執(zhí)行策略的控制。26不同公司的防火墻產(chǎn)品的缺省策略有所不同，有的公司的產(chǎn)品默認拒絕，沒有被允許的流量都要 拒絕 ；也有公司的產(chǎn)口是默認允許，沒有被拒絕的流量都可以 通過 。例如H3C的路由器的防火墻功能是默認允許，而思科的路由器的包過濾技術就是默認拒絕。27

44、硬件防火墻產(chǎn)品的選擇的前提是要考慮企業(yè)網(wǎng)絡的現(xiàn)有條件、環(huán)境及需求，當然性能指標是要首先考慮的，主要的衡量指標包括 吞吐量 、轉發(fā)率、延遲、緩沖能力和丟包率等。一般網(wǎng)絡在選擇時多是從以下幾個方面考慮： 安全性 、高效性、配置便利性與 管理的難易度 等。28入侵檢測（Intrusion Detection）是對入侵行為的發(fā)覺。它通過從計算機網(wǎng)絡或計算機系統(tǒng)的關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的 機密性，完整性 、 和 可用性 。進行入侵檢測的軟件與硬件的組合便是 ID

45、S 。29作為防火墻的合理補充，入侵檢測技術能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、 攻擊識別 和 響應 ），提高了信息安全基礎結構的完整性。30入侵檢測系統(tǒng)包括三個功能部件：信息 收集 、信息分析、 結果處理 。31對收集到的信息的分析方法主要有：模式匹配、 統(tǒng)計分析 、完整性分析 （往往用于事后分析）。32入侵檢測性能關鍵參數(shù)： 誤報 (false positive)、漏報(false negative)。33入侵檢測系統(tǒng)按照數(shù)據(jù)來源：可分為 主機 型和 網(wǎng)絡 型。34按照分析方法（檢測方法）入侵檢測系統(tǒng)可分為異常檢測模型和 誤用 檢測模型。35部署隱

46、蔽模式的入侵檢測系統(tǒng)中，隱蔽模式是指把IDS Sensor不設置IP 地址，這樣入侵者就很難查覺到有IDS的存在了。36要實現(xiàn)對網(wǎng)絡中的數(shù)據(jù)包的抓取或入侵檢測中收集信息，就要把網(wǎng)卡設置為混雜模式，一般要在Windows系統(tǒng)中安裝 winpcap ，安裝后網(wǎng)卡即可捕獲目的MAC不是自己的數(shù)據(jù)幀了。37我國正式頒布實施的中華人民共和國計算機信息系統(tǒng)安全保護條例第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令 或者 程序代碼 。”此定義具有 法律 性、權威性。38當U盤感染病毒后，其中的文件夾“CEY”被設置

47、為系統(tǒng)隱藏了，此時可利用命令“ attrib s h cey ”，就可以將其系統(tǒng)隱藏屬性去除了。39RAID，為RAID-Redundant Array of Inexpensive/Independent Disks的簡稱，中文為 獨立冗余磁盤陣列 。40RAID 0是將多個磁盤并列起來，成為一個大磁盤。在存放數(shù)據(jù)時，其將數(shù)據(jù)按磁盤的個數(shù)來進行分塊，即把數(shù)據(jù)分成若干相等大小的小塊，并把它們寫到陣列上不同的硬盤上，這種技術又稱“Stripping”（即將數(shù)據(jù) 條帶化 ）， 冗余，并行I/O，所以，在所有的級別中，RAID 0的速度是 最快的 的。41RAID 1至少要有兩個（只能兩個）硬盤才能

48、組成，因此也稱為 （Mirroring）方式。42RAID 5具有和RAID 0相近似的數(shù)據(jù)讀取速度，只是多了一個 校驗 信息，寫入數(shù)據(jù)的速度比對單個磁盤進行寫入操作稍慢。同時由于多個數(shù)據(jù)對應一個奇偶校驗信息，RAID 5的磁盤空間利用率要比RAID 1 高 ，存儲成本相對較 低 。43AAA（Authentication 認證 /Authorization 授權 / Accounting 審計 ）服務器是網(wǎng)絡中非常重要的設施，是網(wǎng)絡運營商對數(shù)據(jù)、用戶進行控制和管理的重要環(huán)節(jié)。目前，隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡服務業(yè)務種類的增加，對AAA服務器的功能需求越來越多。44AAA功能一是 認證 （Aut

49、hentication），也就是辨別用戶；二是 （Authorization），也就是控制訪問、提供業(yè)務；三是 審計 （Accounting），就是跟蹤用戶所使用網(wǎng)絡資源，提供計費記錄。45國際標準化組織ISO對網(wǎng)絡管理功能域定義了五方面功能： 性能 管理、配置管理、計費管理、故障管理、 安全 管理。46網(wǎng)絡管理信息庫的作用是用于存儲被管理設備內部 對象 、 屬性 和對應 值 。通過SNMP訪問的管理信息保存在每個管理站和代理節(jié)點的MIB中。管理信息包含有簡單層次的對象結構，每一個對象都代表一個被管理資源的一些屬性。47網(wǎng)絡管理代理作用是對來自管理站對被管理設備的信息 查詢 請求(Get Re

50、quest)和 設置 請求(Set Request)動作作出響應。網(wǎng)絡管理代理也可以異步地向管理工作站提供一些重要的非請求信息，即 trap 消息，用于主動報告被管理設備的運行狀態(tài)等信息。48SNMP網(wǎng)絡管理工作站收集數(shù)據(jù)的方法： 輪詢 的方法、 中斷 的方法、面向自陷的輪詢方法。49在利用SNMP協(xié)議對網(wǎng)絡設備進行管理和信息收集時，由于管理工作站與被管理工作站之間是通過共同體名來進行權限驗證的。但SNMPv1和SNMPv2的共同體名在設備生產(chǎn)時默認是Public和Private，其中 public 是只讀權限， private 是讀寫權限，由于很多設備都已經(jīng)默認開啟SNMP并采用這Publi

51、c作為權限和身份認證，如果是攻擊者也利用管理軟件對網(wǎng)絡中的被管理設備進行信息獲取，則網(wǎng)絡設備的配置信息可能會被攻擊者獲取。50網(wǎng)絡管理協(xié)議：用于在網(wǎng)絡管理工作站上的管理程序和管理代理之間進行信息交換的協(xié)議。通過在被管理設備上開啟管理協(xié)議，實現(xiàn)管理端與被管理端的通信。如 SNMP 就是網(wǎng)絡管理協(xié)議的一種，它是TCP/IP協(xié)議中的應用層協(xié)議。四、單項技能（一）單元一（任選一）1如下圖所示，如果對網(wǎng)關（IP地址為54）發(fā)起ARP攻擊，使局域網(wǎng)無法正常訪問外網(wǎng)，以下圖中的數(shù)據(jù)幀為參照，說明ARP攻擊構造的協(xié)議數(shù)據(jù)幀如何實現(xiàn)的。（1）要將二層頭部中的源MAC地址修改為什么？0016 76be e7d0（

52、2）要將三層ARP部分中的發(fā)送者的MAC修改為什么？0016 76be e7d0（3）要將三層ARP部分中的發(fā)送者的IP修改為什么？（4）要將三層ARP部分中的目標（被請求者）者的MAC修改為什么？0000 0000 0000（5）要將三層ARP部分中的目標（被請求者）者的IP修改為什么？2下圖為一個ARP數(shù)據(jù)幀，請看圖回答如下問題：（1）這個數(shù)據(jù)幀是ARP的請求還是應答？請求（2）這個數(shù)據(jù)幀的二層中的目的MAC是多少？FFFF FFFF FFFF（3）這個數(shù)據(jù)幀的二層中的源MAC分別是多少？0016 76BE E7D0（4）發(fā)送這個數(shù)據(jù)幀的計算機的MAC（源MAC）是什么？0016 76BE

53、 E7D0（5）這個數(shù)據(jù)幀的要請求哪個IP的MAC地址？3如下圖所示，是用Sniffer Pro軟件捕獲的一幀數(shù)據(jù)，試回答如下問題。（1）這個數(shù)據(jù)幀的傳輸層協(xié)議是什么？TCP（2）這個數(shù)據(jù)幀的目的端口號是什么，是哪種應用或服務的默認端口號？21（3）這個數(shù)據(jù)幀是哪個IP地址（源）向哪個IP地址（目的）發(fā)送的？向發(fā)送的（4）這個數(shù)據(jù)幀是TCP三次握手中的第幾次？第一次（5）這個數(shù)據(jù)包在傳輸層中的序列號是什么？4287719774如下圖所示，是用Sniffer Pro軟件捕獲的一幀數(shù)據(jù)，試回答如下問題。（1）發(fā)送這個數(shù)據(jù)幀的計算機的IP與MAC地址分別是什么？MAC:0050 56C0 0001（

54、2）根據(jù)IP頭部信息可以看出這個數(shù)據(jù)幀的上層（傳輸層）協(xié)議是什么？TCP（3）這個數(shù)據(jù)包的TTL值是多少？128（4）根據(jù)這個數(shù)據(jù)幀的二層-鏈路控制層DLC的哪個標可以判斷出三層的協(xié)議是IP協(xié)議？Ethertype=0800（5）這個數(shù)據(jù)幀的目的計算機的IP與MAC地址分別是什么？IMac:0011 3377 99ab（二）單元二（任選一）1、A用戶與B用戶通過互聯(lián)網(wǎng)進行通信，為了保證數(shù)據(jù)傳輸?shù)陌踩圆捎梅菍ΨQ加密（公鑰加密體制）進行保護。試回答如下問題：（1）A與B要先生成一對密鑰，分別是什么、同時要獲取對方的什么密鑰？分別是分解和私鑰，同時要獲取對方的公鑰。（2）為了保護A發(fā)送給B的數(shù)據(jù)不

55、被泄露（機密性保護），A可以用誰的哪個密鑰加密數(shù)據(jù)發(fā)給B，以防止數(shù)據(jù)被他人查看到？A可以用B的公鑰加密數(shù)據(jù)發(fā)給B。（3）為了檢查出A發(fā)送給B的數(shù)據(jù)在傳輸過程中是否已經(jīng)被黑客修改（完整性驗證），可以采用哪種技術或算法，并說明是如何實現(xiàn)的？Hash算法，對數(shù)據(jù)算出一個固定長度的摘要，B收到數(shù)據(jù)后再用同樣的算法算出摘要，與收到的摘要對比，是否一致。（4）為了B在接收到A發(fā)送給B的數(shù)據(jù)后，B能判斷出數(shù)據(jù)是由A發(fā)送的（真實性源認證），而不是其他人假冒的，A在發(fā)送數(shù)據(jù)前可以使用哪一方的哪一個密鑰實施哪種技術？用A的私鑰進行數(shù)字簽名（5）數(shù)字簽名與數(shù)據(jù)摘要分別是對哪個安全特性（機密性、完整性、真實性）的保護

56、？完整性與真實性2、在網(wǎng)上交易中，客戶C在訪問商家S網(wǎng)站時，為了保護客戶C發(fā)送給商家的信息是加密的，往往要使用商家S網(wǎng)站的數(shù)字證書。利用數(shù)字證書頒發(fā)機構CA的第三方認證機構可以保護客戶與商家的通信的安全性。試回答如下問題：（1）當客戶C在采用安全方式訪問商家S的網(wǎng)站時，采用的協(xié)議是什么、端口號是多少？https 443（2）客戶C初次通過IE瀏覽器采用安全方式訪問商家S網(wǎng)站時，會提示數(shù)據(jù)證書信息，這個證書是哪一方所持有的、是哪一方發(fā)放的（客戶C、商家S、CA）？S商家持有，CA發(fā)放的！（3）這張證書中包含有商家的什么密鑰？ 公鑰（4）這張證書中除包含有商家的信息外還包括哪一方做的數(shù)字簽名？CA

57、（5）客戶C為了驗證這張證書的真實性可以使用哪一方的公鑰對證書的頒發(fā)者進行驗證？CA3、如下圖所示A用戶與B用戶通過互聯(lián)網(wǎng)進行通信，為了保證大量數(shù)據(jù)傳輸?shù)目焖倥c安全性采用對稱（私鑰加密體制）與非對稱加密（公鑰加密體制）進行保護。試回答如下問題：（1）為了進行數(shù)字簽名，圖中處應該使用哪一方（A、B）的哪一個密鑰（公鑰、私鑰）來生成簽名？A的私鑰（2）為了將隨機成生的對稱密鑰D解密出來，在圖中處應該使用哪一方（A、B）的哪一個密解（公鑰、私鑰）來進行解密？B的私鑰（3）為了檢驗數(shù)字簽名，以確認發(fā)送方身份，圖中處應該使用哪一方（A、B）的哪一個密解（公鑰、私鑰）來檢驗簽名？A的公鑰（4）圖中摘要1與

58、摘要2對比如果不一致，則存在哪種可能？數(shù)據(jù)被修改了（5）根據(jù)圖中所示可知道，對原稿的加密是采用對稱加密，為什么A不使用B的公鑰直接加密原稿再發(fā)給B呢？因為非對稱加密計算復雜，浪費時間。4、在網(wǎng)上交易中，客戶C在訪問商家S網(wǎng)站時，為了保護客戶C發(fā)送給商家的信息是加密的，往往要使用商家S網(wǎng)站的數(shù)字證書。利用數(shù)字證書頒發(fā)機構CA的第三方認證機構可以保護客戶與商家的通信的安全性。試回答如下問題：（1）為了實現(xiàn)客戶C采用安全方式訪問商家S的網(wǎng)站的雙向安全通信，客戶C和商家S都要向哪一方申請數(shù)字證書？CA（2）客戶C初次通過IE瀏覽器采用安全方式把信息發(fā)送給商家S網(wǎng)站前，要先獲取商家S網(wǎng)站的數(shù)字證書，客戶

59、C如何判斷此數(shù)字證書的真實性，即如何驗證商家發(fā)過來的證書是自己信任的CA所頒發(fā)的？（3）為了信任一個CA頒發(fā)機構，通信中的雙方都應該持有這個CA自己的一張數(shù)字證書，這張證書是由誰做的數(shù)字簽名？由CA自己做數(shù)字簽名。（4）客戶C獲取商家S網(wǎng)站的數(shù)字證書的最終目的是要獲取商家S網(wǎng)站的什么鑰，以便將發(fā)給商家S網(wǎng)站的信息進行加密？公鑰（5）如果商家的網(wǎng)站采用的是IIS，那么商家所申請的數(shù)字證書應該安裝在哪里？（三）單元三（任選一）1VPN虛擬專用網(wǎng)絡能夠利用Internet或其它公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡一樣的安全和功能保障。虛擬專用網(wǎng)絡允許遠程通訊方，出差人員或企業(yè)分支機

60、構使用Internet等公共互聯(lián)網(wǎng)絡的路由基礎設施以安全的方式與位于企業(yè)局域網(wǎng)內的企業(yè)服務器建立連接。虛擬專用網(wǎng)絡對用戶端透明，用戶好像使用一條專用線路在客戶計算機和企業(yè)服務器之間建立點對點連接，進行數(shù)據(jù)的傳輸，并且數(shù)據(jù)進行了加密處理，保護了數(shù)據(jù)的機密性及完整性。試回答如下問題：（1）利用VPN出差員工、家庭辦公用戶、企業(yè)分公司可以通過公共網(wǎng)絡安全連接到企業(yè)內部網(wǎng)絡服務器中的數(shù)據(jù)。一般出差員工會采用哪種類型的VPN連接方式？遠程接入VPN（2）利用VPN出差員工、家庭辦公用戶、企業(yè)分公司可以通過公共網(wǎng)絡安全連接到企業(yè)內部網(wǎng)絡服務器中的數(shù)據(jù)。一般企業(yè)分公司會采用哪種類型的VPN連接方式？Inte