計算機網(wǎng)絡安全試題及答案

計算機網(wǎng)絡安全試題及答案（1）

一、單項選擇題

1、當你感覺到你的Win2000運行速度明顯減慢，當你打開任務管理器后發(fā)現(xiàn)CPU的使用率達到了百分之百，你最有可能認為你受到了哪一種攻擊。

B

A、特洛伊木馬

B、拒絕服務

C、欺騙

D、中間人攻擊

2、RC4是由RIVEST在1987年開發(fā)的，是一種流式的密文，就是實時的把信息加密成一個整體，它在美國一般密鑰長度是128位，因為受到美國出口法的限制，向外出口時限制到多少位？

C

A、64位

B、56位

C、40位

D、32位

3、假如你向一臺遠程主機發(fā)送特定的數(shù)據(jù)包，卻不想遠程主機響應你的數(shù)據(jù)包。這時你使用哪一種類型的進攻手段？

B

A、緩沖區(qū)溢出

B、地址欺騙

C、拒絕服務

D、暴力攻擊

4、小李在使用super

scan對目標網(wǎng)絡進行掃描時發(fā)現(xiàn)，某一個主機開放了25和110端口，此主機最有可能是什么？

B

A、文件服務器

B、郵件服務器

C、WEB服務器

D、DNS服務器

5、你想發(fā)現(xiàn)到達目標網(wǎng)絡需要經(jīng)過哪些路由器，你應該使用什么命令？

C

A、ping

B、nslookup

C、tracert

D、ipconfig

6、以下關于VPN的說法中的哪一項是正確的？

C

A、VPN是虛擬專用網(wǎng)的簡稱，它只能只好ISP維護和實施B、VPN是只能在第二層數(shù)據(jù)鏈路層上實現(xiàn)加密

C、IPSEC是也是VPN的一種

D、VPN使用通道技術加密，但沒有身份驗證功能

7、下列哪項不屬于window2000的安全組件？

D

A、訪問控制

B、

強制登陸

C、審計

D、自動安全更新

8、以下哪個不是屬于window2000的漏洞？

D

A、Unicode

B、IIS

hacker

C、輸入法漏洞

D、單用戶登陸

9、你是一企業(yè)網(wǎng)絡管理員，你使用的防火墻在UNIX下的IPTABLES，你現(xiàn)在需要通過對防火墻的配置不允許這臺主機登陸到你的服務器，你應該怎么設置防火墻規(guī)則？

B

A、iptables—A

input—p

tcp—s

—source—port

23—j

DENY

B、iptables—A

input—p

tcp—s

—destination—port

23—j

DENY

C、iptables—A

input—p

tcp—d

—source—port

23—j

DENY

D、iptables—A

input—p

tcp—d

—destination—port

23—j

DENY10、你的window2000開啟了遠程登陸telnet，但你發(fā)現(xiàn)你的window98和unix計算機沒有辦法遠程登陸，只有win2000的系統(tǒng)才能遠程登陸，你應該怎么辦？

D

A、重設防火墻規(guī)則

B、檢查入侵檢測系統(tǒng)

C、運用殺毒軟件，查殺病毒

D、將NTLM的值改為0

11、你所使用的系統(tǒng)為win2000，所有的分區(qū)均是NTFS的分區(qū)，C區(qū)的權限為everyone讀取和運行，D區(qū)的權限為everyone完全控制，現(xiàn)在你將一名為test的文件夾，由C區(qū)移動到D區(qū)之后，test文件夾的權限為？

B

A、everyone讀取和運行

B、everyone完全控制

C、everyone讀取、運行、寫入

D、以上都不對

12、你所使用的系統(tǒng)為UNIX，你通過umask命令求出當前用戶的umask值為0023，請問該用戶在新建一文件夾，具體有什么樣的權限？

A

A、當前用戶讀、寫和執(zhí)行，當前組讀取和執(zhí)行，其它用戶和組只讀

B、當前用戶讀、寫，當前組讀取，其它用戶和組不能訪問

C、當前用戶讀、寫，當前組讀取和執(zhí)行，其它用戶和組只讀

D、當前用戶讀、寫和執(zhí)行，當前組讀取和寫入，其它用戶和組只讀

13、作為一個管理員，把系統(tǒng)資源分為三個級別是有必要的，以下關于級別1的說法正確的是？

A

A、對于那些運行至關重要的系統(tǒng)，如電子商務公司的用戶帳號數(shù)據(jù)庫B、對于那些必須的但對于日常工作不是至關重要的系統(tǒng)C、本地電腦即級別1D、以上說法均不正確

14、以下關于window

NT

4.0的服務包的說法正確的是？

C

A、sp5包含了sp6的所有內容

B、sp6包含了sp5的所有內容

C、sp6不包含sp5的某些內容

D、sp6不包含sp4的某些內容

15、你有一個共享文件夾，你將它的NTFS權限設置為sam用戶可以修改，共享權限設置為sam用戶可以讀取，當sam從網(wǎng)絡訪問這個共享文件夾的時候，他有什么樣的權限？

A

A、讀取

B、寫入

C、修改

D、完全控制

16、SSL安全套接字協(xié)議所使用的端口是：

B

A、80

B、443

C、1433

D、3389

17、Window2000域或默認的身份驗證協(xié)議是：

B

A、HTML

B、Kerberos

V5C、TCP/IP

D、Apptalk18、在Linux下umask的八進制模式位6代表：

C

A、拒絕訪問

B、寫入

C、讀取和寫入D、讀取、寫入和執(zhí)行

19、你是一個公司的網(wǎng)絡管理員，你經(jīng)常在遠程不同的地點管理你的網(wǎng)絡（如家里），你公司使用win2000操作系統(tǒng)，你為了方便遠程管理，在一臺服務器上安裝并啟用了終端服務。最近，你發(fā)現(xiàn)你的服務器有被控制的跡象，經(jīng)過你的檢查，你發(fā)現(xiàn)你的服務器上多了一個不熟悉的帳戶，你將其刪除，但第二天卻總是有同樣的事發(fā)生，你應該如何解決這個問題？

C

A、停用終端服務

B、添加防火墻規(guī)則，除了你自己家里的IP地址，拒絕所有3389的端口連入

C、打安全補丁sp4

D、啟用帳戶審核事件，然后查其來源，予以追究

20、以下不屬于win2000中的ipsec過濾行為的是：

D

A、允許

B、阻塞

C、協(xié)商

D、證書

21、以下關于對稱加密算法RC4的說法正確的是：

B

A、它的密鑰長度可以從零到無限大

B、在美國一般密鑰長度是128位，向外出口時限制到40位

C、RC4算法彌補了RC5算法的一些漏洞D、最多可以支持40位的密鑰

22、你配置UNIX下的Ipchains防火墻，你要添加一條規(guī)則到指定的chain后面，你應該使用參數(shù)：

A

A、—A

B、—D

C、—S

D、—INPUT

二、多項選擇題

1、以下關于對稱加密的說法正確的是？

ACD

A、在對稱加密中，只有一個密鑰用來加密和解密信息

B、在對稱加密中，用到了二個密鑰來加密和解密信息，分別是公共密鑰和私用密鑰

引起此類故障（A、B、C

）。

A、電纜太長

B、有網(wǎng)卡工作不正常

C、網(wǎng)絡流量增大

D、電纜斷路

9.

下列網(wǎng)卡中，屬于按照總線類型分類的是（

C

）。

A、10M網(wǎng)卡、100M網(wǎng)卡

B、桌面網(wǎng)卡與服務器網(wǎng)卡

C、PCI網(wǎng)卡、ISA網(wǎng)卡

D、粗纜網(wǎng)卡、細纜網(wǎng)卡

10.

RIP是（

B

）協(xié)議棧上一個重要的路由協(xié)議。

A、IPX

B、TCP/IP

C、NetBEUI

D、AppleTalk

11.

（4選3）下列關于中繼器的描述正確的是（

A、B、C

）。

A、擴展局域網(wǎng)傳輸距離

B、放大輸入信號

C、檢測到?jīng)_突，停止傳輸數(shù)據(jù)到發(fā)生沖突的網(wǎng)段

D、增加中繼器后，每個網(wǎng)段上的節(jié)點數(shù)可以大大增加

12.

下列屬于

10

Base－T中網(wǎng)卡與集線器之間雙絞線接法的是（

A

）。

A、l－l，2－2，3－3，6－6

B、l－3，2－6，3－l，6－2

C、1－2，2－1，3－6，6－3

D、1－6，2－3，3－2，6－l

13.

劃分VLAN的方法常用的有（

B

）、按MAC地址劃分和按第3層協(xié)議劃分3種。

A、按IP地址劃分

B、按交換端口號劃分

C、按幀劃分

D、按信元交換

14.

以太網(wǎng)交換機的最大帶寬為（

C

）。A、等于端口帶寬

B、大于端口帶寬的總和

C、等于端口帶寬的總和

D、小于端口帶寬的總和

15.

某公司位于A市，其分公司位于距A市120公里的B市，總部與分公司之間在上班時間內要經(jīng)常性地進行大量電子表格傳遞，則應選擇的合理通信連接方式為（

C）。

A、普通電話撥號聯(lián)網(wǎng)

B、光纜快速以太網(wǎng)

C、幀中繼

D、星形網(wǎng)

三、填充題（每空1分，共20分）1.

在下列括號中填入局域網(wǎng)或廣域網(wǎng)

：（局域網(wǎng)）通常為一個單位所擁有，（廣域網(wǎng)）限制條件是傳輸通道的速率，（廣域網(wǎng)）跨越無限的距離，（局域網(wǎng)）通常使用廣播技術來替代存儲轉發(fā)的路由選擇。

2.

虛擬主機服務是指為用戶提供（域名注冊）、（服務器空間租用）和網(wǎng)頁設計制作等服務。

3.

衡量數(shù)據(jù)通信的主要參數(shù)有（數(shù)據(jù)通信速率）和（誤碼率）。

4.

IP地址11011011，00001101，00000101，11101110用點分10進制表示可寫為（219，13，5，238）。

5.

綜合布線系統(tǒng)可劃分為工作區(qū)子系統(tǒng)、骨干線子系統(tǒng)、（水平布線子系統(tǒng)）、管理子系統(tǒng)、（設備間子系統(tǒng)）和戶外子系統(tǒng)。

6.

任何網(wǎng)絡都有以下三個要素，即：共享服務、（傳輸介質）和（網(wǎng)絡協(xié)議）。

7.

IP地址分配有動態(tài)主機分配協(xié)議、（

自動專用IP地址尋址）

和（手工設置）

三種IP尋址方式。

8.

防火墻的組成可以表示成（過濾器）＋（安全策略）。

9.

認證主要包括實體認證和（消息認證）兩大類。

10.

Intranet分層結構包括網(wǎng)絡、（服務）、應用三個層次。

11.

在TCP／IP網(wǎng)絡中，測試連通性的常用命令是（PING）。

四、簡答題（共40分）

1.

簡述通信子網(wǎng)與資源子網(wǎng)分別由哪些主要部分組成，其主要功能是什么。（本題6分）答：通信子網(wǎng)負責整個網(wǎng)絡的純粹通信部分，資源子網(wǎng)即是各種網(wǎng)絡資源（主機上的打印機、軟件資源等）的集合。

通信子網(wǎng)由兩個不同的部件組成，即傳輸線和交換單元。傳輸介質也稱為電路、信道，信道是通信中傳遞信息的通道，包含發(fā)送信息、接收信息和轉發(fā)信息的設備。傳輸介質是指用于連接兩個或多個網(wǎng)絡結點的物理傳輸電路，例如，電話線、同軸電纜、光纜等。通信信道應包括傳輸介質與通信設備，它是建立在傳輸介質之上的。采用多路復用技術時，一條物理傳輸介質上可以建立多條通信信道。

試辯認以下IP地址的網(wǎng)絡類別：（本題10分）

①

01010000，10100000，11，0101

②

10100001，1101，111，10111100

③

11010000，11，101，10000001

④

01110000，00110000，00111110，11011111

⑤

11101111，11111111，11111111，11111111

答：

01010000，10100000，11，0101

A類

10100001，1101，111，10111100

B類

11010000，11，101，10000001

C類

01110000，00110000，00111110，11011111

A類

11101111，11111111，11111111，11111111

D類

3.

簡述交換機與集線器在工作原理上的區(qū)別。（本題6分）答：集線器采用“廣播模式”工作，很容易產(chǎn)生“廣播風暴”，當網(wǎng)絡規(guī)模較大時性能會收到影響。交換機工作的原理是通過發(fā)出請求的端口和目的端口之間相互影響而不影響其他端口。因此交換機能夠抑制廣播風暴的產(chǎn)生并在一定程度上隔離沖突域。

4.

簡述為何在網(wǎng)絡中路由器通常比網(wǎng)橋有更長的時延。（本題8分）答：由于“路由”過程中采用了源地址和目的地址存儲/轉發(fā)的技術，節(jié)點存儲/轉發(fā)的時延較大，每個節(jié)點都要接收、存儲、檢錯、糾錯、轉發(fā)大量的數(shù)據(jù)信息，路由表建表、改表和查表工作也會產(chǎn)生節(jié)點延遲。這些情況導致路由器的時延較長。

5.

簡述不支持TCP/IP的設備應如何進行SNMP管理。（本題10分）

答：SNMP要求所有的代理設備和管理站都必須實現(xiàn)TCP/IP。這樣，對于不支持TCP／IP的設備，就不能直接用SNMP進行管理。為此，提出了委托代理的概念。

一個委托代理設備可以管理若干臺非TCP/IP設備，并代表這些設備接收管理站的查詢，實際上委托代理起到了協(xié)議轉換的作用，委托代理和管理站之間按SNMP協(xié)議通信，而與被管理設備之間則按專用的協(xié)議通信。計算機網(wǎng)絡安全試題及答案（2）

一、單項選擇題（每小題

1分，共30

分）

1.下面有關DES的描述，不正確的是（

A

）

A.

是由IBM、Sun等公司共同提出的

B.

其結構完全遵循Feistel密碼結構

C.

其算法是完全公開的

D.

是目前應用最為廣泛的一種分組密碼算法

2．

下面有關MD5的描述，不正確的是（A

）

A.

是一種用于數(shù)字簽名的算法

B.

得到的報文摘要長度為固定的128位

C.

輸入以字節(jié)為單位

D.

用一個8字節(jié)的整數(shù)表示數(shù)據(jù)的原始長度

3.

在PKI系統(tǒng)中，負責簽發(fā)和管理數(shù)字證書的是（A

）

A.

CA

B.

RA

C.

LDAP

D.

CPS

4.

數(shù)字證書不包含（B

）

A.

頒發(fā)機構的名稱

B.

證書持有者的私有密鑰信息

C.

證書的有效期

D.

CA簽發(fā)證書時所使用的簽名算法

5.

套接字層（Socket

Layer）位于（

B

）

A.

網(wǎng)絡層與傳輸層之間

B.

傳輸層與應用層之間

C.

應用層

D.

傳輸層

6.

下面有關SSL的描述，不正確的是（D

）A.

目前大部分Web瀏覽器都內置了SSL協(xié)議

B.

SSL協(xié)議分為SSL握手協(xié)議和SSL記錄協(xié)議兩部分C.

SSL協(xié)議中的數(shù)據(jù)壓縮功能是可選的

D.

TLS在功能和結構上與SSL完全相同

7.

在基于IEEE

802.1x與Radius組成的認證系統(tǒng)中，Radius服務器的功能不包括（D

）

A.

驗證用戶身份的合法性

B.

授權用戶訪問網(wǎng)絡資源C.

對用戶進行審計

D.

對客戶端的MAC地址進行綁定

8.

在生物特征認證中，不適宜于作為認證特征的是（D

）

A.

指紋

B.

虹膜

C.

臉像

D.

體重

9.

防止重放攻擊最有效的方法是（

B

）

A.

對用戶賬戶和密碼進行加密

B.

使用“一次一密”加密方式

C.

經(jīng)常修改用戶賬戶名稱和密碼

D.

使用復雜的賬戶名稱和密碼

10.

計算機病毒的危害性表現(xiàn)在（

B

）

A.

能造成計算機部分配置永久性失效

B.

影響程序的執(zhí)行或破壞用戶數(shù)據(jù)與程序C.

不影響計算機的運行速度

D.

不影響計算機的運算結果

11.

下面有關計算機病毒的說法，描述正確的是（B

）

A.

計算機病毒是一個MIS程序

B.

計算機病毒是對人體有害的傳染性疾病

C.

計算機病毒是一個能夠通過自身傳染，起破壞作用的計算機程序D.

計算機病毒是一段程序，只會影響計算機系統(tǒng)，但不會影響計算機網(wǎng)絡

13.

計算機病毒具有（A

）

A.

傳播性、潛伏性、破壞性

B.

傳播性、破壞性、易讀性C.

潛伏性、破壞性、易讀性

D.

傳播性、潛伏性、安全性

14.

目前使用的防殺病毒軟件的作用是（C

）A.

檢查計算機是否感染病毒，并消除已感染的任何病毒

B.

杜絕病毒對計算機的侵害

C.

檢查計算機是否感染病毒，并清除部分已感染的病毒

D.

查出已感染的任何病毒，清除部分已感染的病毒

15.

在DDoS攻擊中，通過非法入侵并被控制，但并不向被攻擊者直接發(fā)起攻擊的計算機稱為（B

）

A.

攻擊者

B.

主控端

C.

代理服務器

D.

被攻擊者

16.

對利用軟件缺陷進行的網(wǎng)絡攻擊，最有效的防范方法是（A

）

A.

及時更新補丁程序

B.

安裝防病毒軟件并及時更新病毒庫

C.

安裝防火墻

D.

安裝漏洞掃描軟件

17.

在IDS中，將收集到的信息與數(shù)據(jù)庫中已有的記錄進行比較，從而發(fā)現(xiàn)違背安全策略的行為，這類操作方法稱為（A

）

A.

模式匹配

B.

統(tǒng)計分析

C.

完整性分析

D.

不確定

18.

IPS能夠實時檢查和阻止入侵的原理在于IPS擁有眾多的（C

）

A.

主機傳感器

B.

網(wǎng)絡傳感器

C.

過濾器

D.

管理控制臺

19.

將利用虛假IP地址進行ICMP報文傳輸?shù)墓舴椒ǚQ為（D

）

A.

ICMP泛洪

B.

LAND攻擊

C.

死亡之ping

D.

Smurf攻擊

20.

以下哪一種方法無法防范口令攻擊（C

）

A.

啟用防火墻功能

B.

設置復雜的系統(tǒng)認證口令C.

關閉不需要的網(wǎng)絡服務

D.

修改系統(tǒng)默認的認證名稱

21.

在分布式防火墻系統(tǒng)組成中不包括（D

）

A.

網(wǎng)絡防火墻

B.

主機防火墻

C.

中心管理服務器

D.

傳統(tǒng)防火墻

22.

下面對于個人防火墻未來的發(fā)展方向，描述不準確的是（D

）

A.

與xDSL

Modem、無線AP等網(wǎng)絡設備集成

B.

與防病毒軟件集成，并實現(xiàn)與防病毒軟件之間的安全聯(lián)動

C.

將個人防火墻作為企業(yè)防火墻的有機組成部分

D.

與集線器等物理層設備集成

23.

在以下各項功能中，不可能集成在防火墻上的是（D

）

A.

網(wǎng)絡地址轉換（NAT）

B.

虛擬專用網(wǎng)（VPN）

C.

入侵檢測和入侵防御

D.

過濾內部網(wǎng)絡中設備的MAC地址

24.

當某一服務器需要同時為內網(wǎng)用戶和外網(wǎng)用戶提供安全可靠的服務時，該服務器一般要置于防火墻的（C

）

A.

內部

B.

外部

C.

DMZ區(qū)

D.

都可以

25.

以下關于狀態(tài)檢測防火墻的描述，不正確的是（

D

）

A.

所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個數(shù)據(jù)包之間存在一些關聯(lián)

B.

能夠自動打開和關閉防火墻上的通信端口

C.

其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩部分組成

D.

在每一次操作中，必須首先檢測規(guī)則表，然后再檢測連接狀態(tài)表26.

在以下的認證方式中，最不安全的是（A

）

A.

PAP

B.

CHAP

C.

MS-CHAP

D.

SPAP

27.

以下有關VPN的描述，不正確的是（

C

）

A.

使用費用低廉

B.

為數(shù)據(jù)傳輸提供了機密性和完整性

C.

未改變原有網(wǎng)絡的安全邊界

D.

易于擴展

28.

目前計算機網(wǎng)絡中廣泛使用的加密方式為（C

）

A.

鏈路加密

B.

節(jié)點對節(jié)點加密

C.

端對端加密

D.

以上都是

29.

以下有關軟件加密和硬件加密的比較，不正確的是（B

）

A.

硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序

B.

硬件加密的兼容性比軟件加密好

C.

硬件加密的安全性比軟件加密好

D.

硬件加密的速度比軟件加密快

30.

對于一個組織，保障其信息安全并不能為其帶來直接的經(jīng)濟效益，相反還會付出較大的成本，那么組織為什么需要信息安全？

（D

）

A.

有多余的經(jīng)費

B.

全社會都在重視信息安全，我們也應該關注

C.

上級或領導的要求

D.

組織自身業(yè)務需要和法律法規(guī)要求

二、填空題（每空1分，共20

分）

31．利用公鑰加密數(shù)據(jù)，然后用私鑰解密數(shù)據(jù)的過程稱為加密；利用私鑰加密數(shù)據(jù)，然后用公鑰解密數(shù)據(jù)的過程稱為數(shù)字簽名。

32.

在PKI/PMI系統(tǒng)中，一個合法用戶只擁有一個唯一的公鑰證書，但可能會同時擁有多個不同的屬性證書。

33.

計算機網(wǎng)絡安全領域的3A是指認證、授權和

審計。

34.

SSL是一種綜合利用對稱密鑰和非對稱密鑰技術進行安全通信的工業(yè)標準。

35.

掃描技術主要分為主機安全掃描和網(wǎng)絡安全掃描兩種類型。

36.

在IDS的報警中，可以分為錯誤報警和正確的報警兩種類型。其中錯誤報警中，將IDS工作于正常狀態(tài)下產(chǎn)生的報警稱為誤報；而將IDS對已知的入侵活動未產(chǎn)生報警的現(xiàn)象稱為漏報。

37.

狀態(tài)檢測防火墻是在傳統(tǒng)包過濾防火墻的基礎上發(fā)展而來的，所以將傳統(tǒng)的包過濾防火墻稱為

靜態(tài)包過濾

防火墻，而將狀態(tài)檢測防火墻稱為動態(tài)包過濾防火墻。

38.

VPN是利用Internet等

公共網(wǎng)絡

的基礎設施，通過

隧道技術，為用戶提供一條與專網(wǎng)相同的安全通道。

39.

VPN系統(tǒng)中的三種典型技術分別是隧道技術

、身份認證技術和加密技術。

40.

目前身份認證技術可分為PKI和非PKI兩種類型，其中在VPN的用戶身份認證中一般采用

非PKI

認證方式，而信息認證中采用

PKI認證方式。

三、判斷題（每小題1分，共10分）

41．Feistel是密碼設計的一個結構，而非一個具體的密碼產(chǎn)品。（√

）

42.

暴力破解與字典攻擊屬于同類網(wǎng)絡攻擊方式，其中暴力破解中所采用的字典要比字典攻擊中使用的字典的范圍要大。（

√

）

43.

DHCP服務器只能給客戶端提供IP地址和網(wǎng)關地址，而不能提供DNS服務器的IP地址。（×

）

44.

間諜軟件能夠修改計算機上的配置文件。（×

）45.

蠕蟲既可以在互聯(lián)網(wǎng)上傳播，也可以在局域網(wǎng)上傳播。而且由于局域網(wǎng)本身的特性，蠕蟲在局域網(wǎng)上傳播速度更快，危害更大。（√

）

46.

與IDS相比，IPS具有深層防御的功能。（√

）

47.

當硬件配置相同時，代理防火墻對網(wǎng)絡運行性能的影響要比包過濾防火墻小。（×

）

48.

在傳統(tǒng)的包過濾、代理和狀態(tài)檢測3類防火墻中，只有狀態(tài)檢測防火墻可以在一定程度上檢測并防止內部用戶的惡意破壞。（√

）

49.

防火墻一般采用“所有未被允許的就是禁止的”和“所有未被禁止的就是允許的”兩個基本準則，其中前者的安全性要比后者高。（√

）

50.

在利用VPN連接兩個LAN時，LAN中必須使用TCP/IP協(xié)議。（

×

）

四、名詞解釋（每小題4分，共20分）

51．DNS緩存中毒

答：DNS為了提高查詢效率，采用了緩存機制，把用戶查詢過的最新記錄存放在緩存中，并設置生存周期（Time

To

Live，TTL）。在記錄沒有超過TTL之前，DNS緩存中的記錄一旦被客戶端查詢，DNS服務器（包括各級名字服務器）將把緩存區(qū)中的記錄直接返回給客戶端，而不需要進行逐級查詢，提高了查詢速率。DNS緩存中毒利用了DNS緩存機制，在DNS服務器的緩存中存入大量錯誤的數(shù)據(jù)記錄主動供用戶查詢。由于緩存中大量錯誤的記錄是攻擊者偽造的，而偽造者可能會根據(jù)不同的意圖偽造不同的記錄。由于DNS服務器之間會進行記錄的同步復制，所以在TTL內，緩存中毒的DNS服務器有可能將錯誤的記錄發(fā)送給其他的DNS服務器，導致更多的DNS服務器中毒。

52．機密性、完整性、可用性、可控性

答：機密性是確保信息不暴露給未經(jīng)授權的人或應用進程；完整性是指只有得到允許的人或應用進程才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被更改；可用性是指只有得到授權的用戶在需要時才可以訪問數(shù)據(jù)，即使在網(wǎng)絡被攻擊時也不能阻礙授權用戶對網(wǎng)絡的使用；可控性是指能夠對授權范圍內的信息流向和行為方式進行控制。53．PMI

答：PMI（授權管理基礎設施）是在PKI發(fā)展的過程中為了將用戶權限的管理與其公鑰的管理分離，由IETF提出的一種標準。PMI的最終目標就是提供一種有效的體系結構來管理用戶的屬性。PMI以資源管理為核心，對資源的訪問控制權統(tǒng)一交由授權機構統(tǒng)一處理。同PKI相比，兩者主要區(qū)別在于PKI證明用戶是誰，而PMI證明這個用戶有什么權限、能干什么。PMI需要PKI為其提供身份認證。PMI實際提出了一個新的信息保護基礎設施，能夠與PKI緊密地集成，并系統(tǒng)地建立起對認可用戶的特定授權，對權限管理進行系統(tǒng)的定義和描述，完整地提供授權服務所需過程。

54．防火墻

答：防火墻是指設置在不同網(wǎng)絡（如可信賴的企業(yè)內部局域網(wǎng)和不可信賴的公共網(wǎng)絡）之間或網(wǎng)絡安全域之間的一系列部件的組合，通過監(jiān)測、限制、更改進入不同網(wǎng)絡或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況，以防止發(fā)生不可預測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡的安全保護。

55．VPN

答：VPN（虛擬專用網(wǎng)）是利用Internet等公共網(wǎng)絡的基礎設施，通過隧道技術，為用戶提供一條與專用網(wǎng)絡具有相同通信功能的安全數(shù)據(jù)通道，實現(xiàn)不同網(wǎng)絡之間以及用戶與網(wǎng)絡之間的相互連接。從VPN的定義來看，其中“虛擬”是指用戶不需要建立自己專用的物理線路，而是利用Internet等公共網(wǎng)絡資源和設備建立一條邏輯上的專用數(shù)據(jù)通道，并實現(xiàn)與專用數(shù)據(jù)通道相同的通信功能；“專用網(wǎng)絡”是指這一虛擬出來的網(wǎng)絡并不是任何連接在公共網(wǎng)絡上的用戶都能夠使用的，而是只有經(jīng)過授權的用戶才可以使用。同時，該通道內傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認證，從而保證了傳輸內容的完整性和機密性。五、簡答題（每小題10分，共20分）

56．

根據(jù)實際應用，以個人防火墻為主，簡述防火墻的主要功能及應用特點。

答：防火墻是指設置在不同網(wǎng)絡（如可信賴的企業(yè)內部局域網(wǎng)和不可信賴的公共網(wǎng)絡）之間或網(wǎng)絡安全域之間的一系列部件的組合，通過監(jiān)測、限制、更改進入不同網(wǎng)絡或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況，以防止發(fā)生不可預測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡的安全保護。個人防火墻是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產(chǎn)生危險的通信就會報警通知管理員或立即中斷網(wǎng)絡連接，以此實現(xiàn)對個人計算機上重要數(shù)據(jù)的安全保護。

個人防火墻是在企業(yè)防火墻的基礎上發(fā)展起來，個人防火墻采用的技術也與企業(yè)防火墻基本相同，但在規(guī)則的設置、防火墻的管理等方面進行了簡化，使非專業(yè)的普通用戶能夠容易地安裝和使用。為了防止安全威脅對個人計算機產(chǎn)生的破壞，個人防火墻產(chǎn)品應提供以下的主要功能。防止Internet上用戶的攻擊、阻斷木馬及其他惡意軟件的攻擊、為移動計算機提供安全保護、與其他安全產(chǎn)品進行集成。57．

如圖所示，描述DDoS攻擊的實現(xiàn)方法。

答：DDoS攻擊是利用一批受控制的主機向一臺主機發(fā)起攻擊，其攻擊的強度和造成的威脅要比DoS攻擊嚴重得多，當然其破壞性也要強得多。在整個DDoS攻擊過程中，共有四部分組成：攻擊者、主控端、代理服務器和被攻擊者，其中每一個組成在攻擊中扮演的角色不同。

（1）

攻擊者。攻擊者是指在整個DDoS攻擊中的主控臺，它負責向主控端發(fā)送攻擊命令。與DoS攻擊略有不同，DDoS攻擊中的攻擊者對計算機的配置和網(wǎng)絡帶寬的要求并不高，只要能夠向主控端正常發(fā)送攻擊命令即可。

（2）

主控端。主控端是攻擊者非法侵入并控制的一些主機，通過這些主機再分別控制大量的代理服務器。攻擊者首先需要入侵主控端，在獲得對主控端的寫入權限后，在主控端主機上安裝特定的程序，該程序能夠接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理服務器上。（3）

代理服務器。代理服務器同樣也是攻擊者侵入并控制的一批主機，同時攻擊者也需要在入侵這些主機并獲得對這些主機的寫入權限后，在上面安裝并運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理服務器是攻擊的直接執(zhí)行者，真正向被攻擊主機發(fā)送攻擊。（4）被攻擊者。是DDoS攻擊的直接受害者，目前多為一些大型企業(yè)的網(wǎng)站或數(shù)據(jù)庫系統(tǒng)。計算機網(wǎng)絡安全試題及答案（3）一、單項選擇題（本大題共20小題，每小題2分，共40分）1.下面不是計算機網(wǎng)絡面臨的主要威脅的是（B）A.惡意程序威脅B.計算機軟件面臨威脅C.計算機網(wǎng)絡實體面臨威脅D.計算機網(wǎng)絡系統(tǒng)面臨威脅2.密碼學的目的是（D）A.研究數(shù)據(jù)加密B.研究數(shù)據(jù)解密C.研究數(shù)據(jù)保密D.研究信息安全3.假設使用一種加密算法，它的加密方法很簡單：將每一個字母加5，即a加密成f。這種算法的密鑰就是5，那么它屬于（D）A.對稱加密技術B.分組密碼技術C.公鑰加密技術D.單向函數(shù)密碼技術4.根據(jù)美國聯(lián)邦調查局的評估，80%的攻擊和入侵來自（B）A.接入網(wǎng)B.企業(yè)內部網(wǎng)企業(yè)內部網(wǎng)企業(yè)內部網(wǎng)企業(yè)內部網(wǎng)C.公用IP網(wǎng)D.個人網(wǎng)5.下面________不是機房安全等級劃分標準。（A）A.D類B.C類C.B類D.A類6.下面有關機房安全要求的說法正確的是（D）A.電梯和樓梯不能直接進入機房B.機房進出口應設置應急電話C.照明應達到規(guī)定范圍D.以上說法都正確7.關于機房供電的要求和方式，說法不正確的是（A）A.電源應統(tǒng)一管理技術B.電源過載保護技術和防雷擊計算機C.電源和設備的有效接地技術D.不同用途的電源分離技術8.下面屬于單鑰密碼體制算法的是（C）A.RSAB.LUCC.DESD.DSA9.對網(wǎng)絡中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護的是（A）A.節(jié)點加密B.鏈路加密C.端到端加密D.DES加密10.一般而言，Internet防火墻建立在一個網(wǎng)絡的（A）A.內部網(wǎng)絡與外部網(wǎng)絡的交叉點B.每個子網(wǎng)的內部C.部分內部網(wǎng)絡與外部網(wǎng)絡的結合處D.內部子網(wǎng)之間傳送信息的中樞11.下面是個人防火墻的優(yōu)點的是（D）A.運行時占用資源B.對公共網(wǎng)絡只有一個物理接口C.只能保護單機，不能保護網(wǎng)絡系統(tǒng)D.增加保護級別12.包過濾型防火墻工作在（C）A.會話層B.應用層C.網(wǎng)絡層D.數(shù)據(jù)鏈路層13.入侵檢測是一門新興的安全技術，是作為繼________之后的第二層安全防護措施。（B）A.路由器B.防火墻C.交換機D.服務器14.________是按照預定模式進行事件數(shù)據(jù)搜尋，最適用于對已知模式的可靠檢測。（D）A.實時入侵檢測B.異常檢測C.事后入侵檢測D.誤用檢測15.________的目的是發(fā)現(xiàn)目標系統(tǒng)中存在的安全隱患，分析所使用的安全機制是否能夠保證系統(tǒng)的機密性、完整性和可用性。（A）A.漏洞分析B.入侵檢測C.安全評估D.端口掃描16.端口掃描的原理是向目標主機的________端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應。（C）A.FTPB.UDPC.TCP/IPD.WWW17.計算機病毒是（B）A.一個命令B.一個程序C.一個標記D.一個文件18.下面關于惡意代碼防范描述正確的是（D）A.及時更新系統(tǒng)，修補安全漏洞B.設置安全策略，限制腳本C.啟用防火墻，過濾不必要的服務D.以上都正確19.計算機網(wǎng)絡安全體系結構是指（A）A.網(wǎng)絡安全基本問題應對措施的集合B.各種網(wǎng)絡的協(xié)議的集合C.網(wǎng)絡層次結構與各層協(xié)議的集合D.網(wǎng)絡的層次結構的總稱20.下面不是計算機信息系統(tǒng)安全管理的主要原則的是（B）A.多人負責原則B.追究責任原則C.任期有限原則D.職責分離原則二、填空題（本大題共10小題，每小題1分，共10分）21.PPDR模型包含四個主要部分：安全策略、防護、__檢測__、__響應__。22.電磁輻射的防護措施有屏蔽、濾波、__隔離__、__接地__。23.__明文__是作為加密輸入的原始信息，即消息的原始形式，通常用m或p表示。24.從工作原理角度看，防火墻主要可以分為__網(wǎng)絡層__和__應用層__。25.基于檢測理論的分類，入侵檢測又可以分為___異常檢測___和___誤用檢測___。26.安全威脅分為：__人為__和__非人為__。27.安全威脅是指所有能夠對計算機網(wǎng)絡信息系統(tǒng)的__網(wǎng)絡服務__和__網(wǎng)絡信息_的機密性、可用性和完整性產(chǎn)生阻礙、破壞或中斷的各種因素。28.防范計算機病毒主要從__管理__和__技術__兩個方面著手。29.惡意代碼的關鍵技術：生存技術、__攻擊技術__和_隱藏技術_。30.保護、監(jiān)測、__響應__、__恢復__涵蓋了對現(xiàn)代網(wǎng)絡信息系統(tǒng)保護的各個方面，構成了一個完整的體系，使網(wǎng)絡信息安全建筑在更堅實的基礎之上。1.P2DR

(PPDR)模型是一種常用的計算機網(wǎng)絡安全模型，包含4個主要組成部分，分別是：(

安全策略

)、(防護)、(檢測)和(響應)。

2．網(wǎng)絡安全的管理方面主要側重于防止(內部人為因素)的破壞。

3．密碼體制從原理上可分為兩大類，即單鑰密碼體制和_(雙秘鑰密碼體制

)。

4．在加密系統(tǒng)中，作為輸入的原始信息稱為明文，加密變換后的結果稱為(

密文

)。

5．從系統(tǒng)構成上看，入侵檢測系統(tǒng)應包括數(shù)據(jù)提取、(入侵分析)、響應處理和遠程管理四大部分。

6．黑客攻擊的三個階段是：(

收集信息)、探測系統(tǒng)安全弱點和網(wǎng)路攻擊。

7．(網(wǎng)絡監(jiān)聽)本來是為了管理網(wǎng)絡，監(jiān)視網(wǎng)絡的狀態(tài)和數(shù)據(jù)流動情況，但是由于它能有效地截獲網(wǎng)上的數(shù)據(jù)，因此也成了網(wǎng)上黑客使用得最多的方法。

網(wǎng)絡安全涉及的內容既有技術方面的問題，也有(管理)方面的問題。

8、ARP協(xié)議的功能是將(

ip地址

)地址轉換成(MAC地址)地址。

4、解決IP欺騙技術的最好方法是：（安裝過濾路由器）

5、VPN是利用Internet等（公共互聯(lián)網(wǎng)絡）的基礎設施，通過（隧道

）技術，為用戶提供一條與專網(wǎng)相同的安全通道。

3、數(shù)字簽名能夠實現(xiàn)對原始報文的

(

不可否認性)

和

(鑒別

)

。

4、網(wǎng)絡信息安全模型中(政策、法律、法規(guī))是安全的基石，它是建立安全管理的標準和方法。

4、構成VPN的主要內容有：（PPTP）

、（

L2TP）、（

IPSEC）

6、計算機網(wǎng)絡安全領域的3A是指認證、

授權和(

審計)

。

2、常見掃描攻擊包括

（IP掃描）

和

（

端口掃描）

。

3、為了網(wǎng)絡資源及落實安全政策，需要提供可追究責任的機制，包括：（認證

）、

授權

和

審計

。

4、防火墻應該安裝在（內網(wǎng)）

和（外網(wǎng)）

之間

。

5、

基于密鑰的加密算法通常有兩類，即（對稱算法）和（

公用密鑰算法）。6、網(wǎng)絡安全面臨的主要威脅：（黑客的攻擊）、（

計算機病毒）和（拒絕服務訪問攻擊）。

7.IP地址為4/26.要求劃分為3個子網(wǎng)。第一個子網(wǎng)能容納13臺主機；第二個子網(wǎng)能容納12臺主機；第三個子網(wǎng)能容納30臺主機；請寫出子網(wǎng)掩碼，個子網(wǎng)網(wǎng)絡地址和可用的IP段？

主機數(shù)量

子網(wǎng)

子網(wǎng)網(wǎng)絡地址

可用地址段

30

4/27

(24)

4

5-4

13

6/28

(40)

6

7-10

12

12/28

(40)

12

13-2第一章：

1，信息安全定義：為了防止對知識，事實，數(shù)據(jù)或功能未經(jīng)授權而使用，誤用，未經(jīng)授權修改或拒絕使用而采取的措施。

第二章

1，攻擊的類型：訪問攻擊（信息保密性攻擊），修改攻擊（信息完整性攻擊），拒絕訪問攻擊，否認攻擊。

2，訪問攻擊類型：監(jiān)聽，竊聽，截聽。

3，修改攻擊類型：更改攻擊，插入攻擊，刪除攻擊。

4，什么是warchalking？：warchalking是指在辦公樓外面的道路旁邊畫的粉筆標記。這些標記用來標識附近有哪些無線網(wǎng)絡可以使用，便于個人更容易接入這些網(wǎng)絡。

第三章

1，黑客動機：挑戰(zhàn)，貪婪，惡意。

2，黑客技術的類型：開放共享，糟糕的密碼，編程中的漏洞，社會工程，緩存溢出，拒絕服務。

3，緩存溢出：為了攻擊系統(tǒng)而占滿計算機系統(tǒng)空間，或者允許黑客具有對系統(tǒng)的提升權限的過程，就是試圖在計算機內存空間中緩存過多的信息。原因是由于應用程序中存在漏洞，而在將用戶數(shù)據(jù)復制到另一個變量中時沒有檢查數(shù)據(jù)的復制量，可以通過檢查程序的源代碼來發(fā)現(xiàn)。

4．Ip哄騙：攻擊者通過偽造計算機的ip地址來實施攻擊的攻擊策略。原理：因為數(shù)據(jù)包中無法驗證ip地址，因此黑客可以修改數(shù)據(jù)包的源地址，隨心所欲的修改數(shù)據(jù)包的來源。黑客首先確認他的目標，之后判斷isn中使用的累加數(shù)，一旦isn累加數(shù)確定之后，黑客可以使用假的源ip地址向目標發(fā)送tcp

syn數(shù)據(jù)包。目標就以tcp

syn

ack

數(shù)據(jù)包響應，發(fā)送到假冒源ip地址。

5.特洛伊木馬：是外表看上去有用的程序，但是實際上是破壞計算機系統(tǒng)，或者為攻擊者收集識別信息和密碼信息的惡意代碼。6．病毒：寄生在合法代碼上的惡意代碼，在執(zhí)行時，它干擾計算機操作或者破壞信息。傳統(tǒng)的病毒通過可執(zhí)行文件或命令文件來執(zhí)行，但是它們現(xiàn)在已經(jīng)擴展到了數(shù)據(jù)文件，被稱為宏病毒。

7．蠕蟲病毒：無需受害者的幫助而自行從一個系統(tǒng)蔓延到另一個系統(tǒng)的程序。它們修改目標系統(tǒng)并自行擴散，進而對網(wǎng)絡上的其他系統(tǒng)實施攻擊。

8，黑客必須完成以下兩種工作才能監(jiān)聽交換網(wǎng)絡：讓交換機發(fā)送通信給交換網(wǎng)絡，或者讓交換機發(fā)送通信給所有端口。

9.通過復制mac或者哄騙arp或點dns，可以欺騙交換機發(fā)送通信給嗅聞器。1.

信息的特性：機密性，整體性，可用性，責任性。

2.

可用性：在信息系統(tǒng)中，可用性是指提供服務，是用戶能夠訪問信息，應用程序和系統(tǒng)，進而完成其任務的安全服務。

3.

機密性：為機構提供安全的信息環(huán)境服務。如果使用正確，機密性僅僅允許授權的用戶訪問信息。

4.

機密性機制：為了確保機構信息的安全性而制定的機制，它包括物理控制，計算機訪問控制和文件加密。

第六章

1，策略包含的三個部分：

1目的：說明創(chuàng)建這個策略或過程的原因，以及機構預期從中獲得哪些利益。

2：范圍：規(guī)定其適用的范圍。

3：責任：規(guī)定哪些人對正確實現(xiàn)該策略或過程負有責任。第七章

1.薄弱點：潛在的攻擊途徑，可以存在于計算機系統(tǒng)和網(wǎng)絡中或者管理過程中。

2.威脅的三個要素：目標（可能受到攻擊的一個安全方面），作用者（進行威脅的人或機構），事件（構成威脅的行為類型）。

3.作用者的三個特性：訪問（作用者所具有的接近目標的能力），知識（作用者所具有的關于目標的信息級別和類型），動機（作用者所具有的發(fā)動對目標的威脅的理由）。

第八章

1.信息安全的過程：評估，策略，實現(xiàn)，培訓，審核。

2.審核：功能包括策略遵守審核，定期項目評估和新的項目評估，入侵檢測。保證與策略相關的控制經(jīng)過了正確的配置。

第十章

1．防火墻：一種網(wǎng)絡的訪問控制設備（可以是硬件，也可以是軟件），用于適當?shù)耐ㄐ磐ㄟ^，從而保護機構的網(wǎng)絡或者計算機系統(tǒng)。類型：應用層防火墻和數(shù)據(jù)包過濾防火墻。

第十一章

1.

虛擬專用網(wǎng)絡（vpn）：特點：通信數(shù)據(jù)是經(jīng)過加密的，遠程站點是經(jīng)過認證的，可以使用多種協(xié)議，連接是點對點的。組成部分：vpn服務器，加密算法，認證系統(tǒng)，vpn協(xié)議。

第十二章

1加密：使信息變得混亂，從而對未經(jīng)授權的人隱藏信息，而允許經(jīng)過授權的人訪問信息。.

2．加密提供的三種安全服務的部分服務：機密性，完整性，責任性。

私鑰加密：發(fā)送者（消息）——>鑰算法——>文（不安全的傳輸介質）——>私鑰算法——>接受者（消息）

公鑰加密：明文——>加密算法——>密文——>加密算法——>明文

3．私鑰加密和公鑰加密的區(qū)別：私鑰加密用于加密信息的密鑰與解密信息的密鑰相同，私鑰加密不提供認證，擁有密鑰的任何人都可以創(chuàng)建和發(fā)送有效信息，私鑰加密的速度快，而且和容易在軟件和硬件中實現(xiàn)。公鑰加密使用兩個密鑰一個密鑰用于加密數(shù)據(jù)，另一個密鑰用于解密數(shù)據(jù)，在公鑰加密中，私鑰由擁有者安全的保存，公鑰隨其擁有者的信息被發(fā)布。如果需要認證，那么密鑰對的擁有者使用私鑰加密信息，只有正確的公鑰才能解密信息，而成功的解密可以保證只有只有密鑰對的擁有者才能發(fā)布信息。公鑰加密在計算上是密集的，因而比私鑰加密的速度慢。

4.數(shù)字簽名：使用加密來認證電子信息的方法。

第十三章

1.侵檢測系統(tǒng)：定義計算機或網(wǎng)絡上的安全界限，區(qū)分授權的進入和惡意入侵。類型：基于主機的ids（hids）和基于網(wǎng)絡的ids（nids）。

2.hids檢測器類型：日志分析器，基于特征的檢測器，系統(tǒng)調用分析器，應用行為分析器，文件完整性檢測器。

第十八章

1.非軍事區(qū)：一般通過防火墻與內部網(wǎng)絡隔離的獨立網(wǎng)絡區(qū)域，外部用戶可以直接訪問它所包含的系全國2009年4月自學考試計算機網(wǎng)絡安全試題

一、單項選擇題（本大題共15小題，每小題2分，共30分）

1.拒絕服務攻擊是對計算機網(wǎng)絡的哪種安全屬性的破壞

（C）

A.保密性

B.完整性

C.可用性

D.不可否認性

2.在P2DR（PPDR）模型中，作為整個計算機網(wǎng)絡系統(tǒng)安全行為準則的是(A)

A.Policy（安全策略）

B.Protection（防護）

C.Detection（檢測）

D.Response（響應）

3.電源對用電設備的潛在威脅是脈動、噪聲和(C)

A.造成設備過熱

B.影響設備接地

C.電磁干擾

D.火災

4.計算機機房的安全等級分為(B)

A.A類和B類2個基本類別

B.A類、B類和C類3個基本類別

C.

A類、B類、C類和D類4個基本類別

D.

A類、B類、C類、D類和E類5個基本類別

5.DES加密算法的密文分組長度和有效密鑰長度分別是(B)

A.56bit，128bit

B.64bit，56bit

C.64bit，64bit

D.64bit，128bit

6.下面關于雙鑰密碼體制的說法中，錯誤的是(D)

A.可以公開加密密鑰

B.密鑰管理問題比較簡單

C.可以用于數(shù)字簽名

D.加解密處理速度快

7.下面關于個人防火墻特點的說法中，錯誤的是(C)

A.個人防火墻可以抵擋外部攻擊

B.個人防火墻能夠隱蔽個人計算機的IP地址等信息

C.個人防火墻既可以對單機提供保護，也可以對網(wǎng)絡提供保護

D.個人防火墻占用一定的系統(tǒng)資源

8.下面關于防火墻的說法中，正確的是（D）

A.防火墻不會降低計算機網(wǎng)絡系統(tǒng)的性能

B.防火墻可以解決來自內部網(wǎng)絡的攻擊

C.防火墻可以阻止感染病毒文件的傳送

D.防火墻對繞過防火墻的訪問和攻擊無能為力

9.下列說法中，屬于防火墻代理技術缺點的是(B)

A.代理不易于配置

B.處理速度較慢

C.代理不能生成各項記錄

D.代理不能過濾數(shù)據(jù)內容

10.量化分析方法常用于(D)

A.神經(jīng)網(wǎng)絡檢測技術

B.基因算法檢測技術

C.誤用檢測技術

D.異常檢測技術

11.下面關于分布式入侵檢測系統(tǒng)特點的說法中，錯誤的是(B)

A.檢測范圍大

B.檢測準確度低

C.檢測效率高

D.可以協(xié)調響應措施

12.在計算機病毒檢測手段中，下面關于特征代碼法的表述，錯誤的是(D)

A.隨著病毒種類增多，檢測時間變長

B.可以識別病毒名稱

C.誤報率低

D.可以檢測出多態(tài)型病毒

13.下面關于計算機病毒的說法中，錯誤的是(A)

A.計算機病毒只存在于文件中

B.計算機病毒具有傳染性

C.計算機病毒能自我復制

D.計算機病毒是一種人為編制的程序

14.下面關于信息型漏洞探測技術特點的說法中，正確的是(A)

A.不會對探測目標產(chǎn)生破壞性影響

B.不能應用于各類計算機網(wǎng)路安全漏洞掃描軟件

C.對所有漏洞存在與否可以給出確定性結論

D.是一種直接探測技術

15.在進行計算機網(wǎng)路安全設計、規(guī)劃時，不合理的是(A)

A.只考慮安全的原則

B.易操作性原則

C.適應性、靈活性原則

D.多重保護原則

二、填空題（本大題共10小題，每小題2分，共20分16.

計算機網(wǎng)絡安全應達到的目標是：保密性、完整性、可用性、不可否認性和可控性。

17.

計算機網(wǎng)絡安全所涉及的內容可概括為：先進的

技術、嚴格的管理和威嚴的法律三個方面。

18.物理安全在整個計算機網(wǎng)絡安全中占有重要地位，主要包括：機房環(huán)境安全、通信線路安全和

電源安全

。

19.加密主要是為了隱蔽信息的內容，而認證的三個主要目的是：消息完整性認證、身份認證、消息的序號和操作時間(時間性)認證。

20.防火墻一般位于內網(wǎng)和外部網(wǎng)絡之間。

21.分布式入侵檢測對信息的處理方法可以分為兩種：分布式信息收集、集中式處理、分布式信息收集、分布式處理

。

22.誤用檢測技術是按照預定模式搜尋時間數(shù)據(jù)、最適合于對己知模式的可靠檢測。

23.根據(jù)所使用通信協(xié)議的不同，端口掃描技術分為TCP端口掃描技術和UDP端口掃描技術。

24.按照寄生方式的不同，可以將計算機病毒分為引導型病毒、文件型病毒和復合性病毒。

25.惡意代碼的關鍵技術主要有：生存技術、攻擊技術和隱藏技術。

三、簡答題（本大題共6小題，每小題5分，共30分）

26.OSI安全系結構定義了哪五類安全服務？

(1)鑒別服務

(2)訪問控制服務

(3)數(shù)據(jù)機密性服務

(4)數(shù)據(jù)完整性服務

(5)抗抵賴性服務

27.為提高電子設備的抗電磁干擾能力，除提高芯片、部件的抗電磁干擾能力外，主要還可以采取哪些措施？

(1)屏蔽

(2)隔離

(3)濾波

(4)吸波

(5)接地

28.從工作原理角度看，防火墻主要可以分為哪兩類？防火墻的主要實現(xiàn)技術有哪些？

(1)從工作原理角度看，防火墻主要可以分為：網(wǎng)絡層防火墻和應用層防火墻。(2)防火墻的主要實現(xiàn)技術有：包過濾技術、代理服務技術、狀態(tài)檢測技術、NAT技術。

30.簡述辦理按揭端口掃描的原理和工作過程。

半連接端口掃描不建立完整的TCP連接，而是只發(fā)送一個SYN數(shù)據(jù)包，一個SYN|ACK的響應包表示目標端口是監(jiān)聽(開放)的，而一個RST的響應包表示目標端口未被監(jiān)聽(關閉)的，若收到SYN|ACK的響應包，系統(tǒng)將隨即發(fā)送一個RST包來中斷連接。

31.按照工作原理和傳輸方式，可以將惡意代碼分為哪幾類？

惡意代碼可以分為：普通病毒、木馬、網(wǎng)絡蠕蟲、移動代碼和復合型病毒。

四、綜合分析題（本大題共2小題，每小題10分，共20分）

33.對于給定的銘文“computer”，使用加密函數(shù)E(m)=(3m+2)mod

26進行加密，

其中m表示明文中被加密字符在字符集合{a,b,c,d,e,f,g,h,,I,j,k,m,n,o,p,q,r,s,t,u,v,w,x,y,z}中的序號，序號依次為0到25.請寫出加密后的密文，并給出相應的加密過程。

將給定明文轉換為編號表示，結果為：

2

14

12

15

20

19

4

17

對上述各字符的編號用給定的加密函數(shù)進行加密變換，結果為;

E(2)=(3*2+2)mod

26=8

E(14)=(3*14+2)mod

26=18

E(12)=(3*12+2)mod

26=12

E(15)=(3*15+2)mod

26=21

E(20)=(3*20+2)mod

26=10

E(19)=(3*19+2)mod

26=7

E(4)=(3*4+2)mod

26=14

E(17)=(3*17+2)mod

26=1

將變換后得到的標號分別轉換為相應的字符，即可得到密文為：ismvkhob

全國2009年7月自考計算機網(wǎng)絡安全試卷及答案

一、單項選擇題(本大題共15小題，每小題2分，共30分)

1.計算機網(wǎng)絡安全的目標不包括(

C

)

A.保密性

B.不可否認性

C.免疫性

D.完整性

2.PPDR模型中的D代表的含義是(

A

)

A.檢測

B.響應

C.關系

D.安全

3.機房中的三度不包括(

C

)

A.溫度

B.濕度

C.可控度

D.潔凈度

4.關于A類機房應符合的要求，以下選項不正確的是(

C

)A.計算站應設專用可靠的供電線路

B.供電電源設備的容量應具有一定的余量

C.計算站場地宜采用開放式蓄電池

D.計算機系統(tǒng)應選用銅芯電纜

5.關于雙鑰密碼體制的正確描述是(

A

)

A.雙鑰密碼體制中加解密密鑰不相同，從一個很難計算出另一個

B.雙鑰密碼體制中加密密鑰與解密密鑰相同，或是實質上等同

C.雙鑰密碼體制中加解密密鑰雖不相同，但是可以從一個推導出另一個

D.雙鑰密碼體制中加解密密鑰是否相同可以根據(jù)用戶要求決定

6.CMIP的中文含義為(

B

)

A.邊界網(wǎng)關協(xié)議

B.公用管理信息協(xié)議

C.簡單網(wǎng)絡管理協(xié)議

D.分布式安全管理協(xié)議

7.關于消息認證（如MAC等），下列說法中錯誤的是(

C

)

A.消息認證有助于驗證發(fā)送者的身份

B.消息認證有助于驗證消息是否被篡改

C.當收發(fā)者之間存在利害沖突時，采用消息認證技術可以解決糾紛

D.當收發(fā)者之間存在利害沖突時，單純采用消息認證技術無法徹底解決糾紛

8.下列關于網(wǎng)絡防火墻說法錯誤的是(

B

)

A.網(wǎng)絡防火墻不能解決來自內部網(wǎng)絡的攻擊和安全問題

B.網(wǎng)絡防火墻能防止受病毒感染的文件的傳輸

C.網(wǎng)絡防火墻不能防止策略配置不當或錯誤配置引起的安全威脅

D.網(wǎng)絡防火墻不能防止本身安全漏洞的威脅

9.若漏洞威脅描述為“低影響度，中等嚴重度”，則該漏洞威脅等級為(

B

)

A.1級

B.2級

C.3級

D.4級

10.端口掃描技術(

D

)

A.只能作為攻擊工具

B.只能作為防御工具C.只能作為檢查系統(tǒng)漏洞的工具

D.既可以作為攻擊工具，也可以作為防御工具

11.關于計算機病毒，下列說法錯誤的是(

C

)

A.計算機病毒是一個程序

B.計算機病毒具有傳染性

C.計算機病毒的運行不消耗CPU資源

D.病毒并不一定都具有破壞力

12.病毒的運行特征和過程是(

C

)

A.入侵、

運行、駐留、傳播、激活、破壞

B.傳播、運行、駐留、激活、

破壞、自毀

C.入侵、運行、傳播、掃描、竊取、破壞

D.復制、運行、撤退、檢查、記錄、破壞

13.以下方法中，不適用于檢測計算機病毒的是(

C

)

A.特征代碼法

B.校驗和法

C.加密

D.軟件模擬法

14.下列不屬于行為監(jiān)測法檢測病毒的行為特征的是(

D

)

A.占有INT

13H

B.修改DOS系統(tǒng)內存總量

C.病毒程序與宿主程序的切換

D.不使用

INT

13H

15.惡意代碼的特征不體現(xiàn)(

D

)

A.惡意的目的

B.本身是程序

C.通過執(zhí)行發(fā)生作用

D.不通過執(zhí)行也能發(fā)生作用

二、填空題(本大題共10小題，每小題2分，共20分)

16.物理安全措施包括__機房環(huán)境安全__、設備安全和媒體安全。

17.針對非授權侵犯采取的安全服務為

_訪問控制_。

18.電源對用電設備安全的潛在威脅包括脈動與噪聲、_電磁干擾_。

19.DES技術屬于

_單鑰_加密技術。

20.代理防火墻工作在_應用層_。

21.在入侵檢測分析模型中，狀態(tài)轉換方法屬于

_誤用_檢測。

22.入侵檢測系統(tǒng)需要解決兩個問題，一是如何充分并可靠地提取描述行為特征的數(shù)據(jù)，二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判定__入侵__。

23.在入侵檢測中，比較事件記錄與知識庫屬于__數(shù)據(jù)分析

__。（構建過程/分析過程）

24.IDMEF的中文全稱為

__入侵檢測消息交換格式__。

25.按照病毒的傳播媒介分類，計算機病毒可分為單機病毒和

_網(wǎng)絡病毒_。

三、簡答題(本大題共6小題，每小題5分，共30分)

26.

防火墻的主要功能有哪些？

防火墻的主要功能：①過濾進、出網(wǎng)絡的數(shù)據(jù)②管理進、出網(wǎng)絡的訪問行為③封堵某些禁止的業(yè)務④記錄通過防火墻的信息和內容⑤對網(wǎng)絡攻擊檢測和告警

27.在密碼學中，明文，密文，密鑰，加密算法和解密算法稱為五元組。試說明這五個基本概念。

明文（Plaintext）：是作為加密輸入的原始信息，即消息的原始形式，通常用m或p表示。

密文（Ciphertext）:是明文經(jīng)加密變換后的結果，即消息被加密處理后的形式，通常用c表示。

密鑰（Key）：是參與密碼變換的參數(shù)，通常用K表示。

加密算法：是將明文變換為密文的變換函數(shù)，相應的變換過程稱為加密，即編碼的過程，通常用E表示，即c=Ek（p）

解密算法：是將密文恢復為明文的變換函數(shù)，相應的變換過程稱為解密，即解碼的過程，通常用D表示，即p=Dk（c）

28.入侵檢測技術的原理是什么？

入侵檢測的原理（P148圖）：通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用誤用檢測或異常檢測的方式，發(fā)現(xiàn)非授權或惡意的系統(tǒng)及網(wǎng)絡行為，為防范入侵行為提供有效的手段。

29.什么是計算機病毒？

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

30.試述網(wǎng)絡安全技術的發(fā)展趨勢。

①物理隔離②邏輯隔離③防御來自網(wǎng)絡的攻擊④防御網(wǎng)絡上的病毒⑤身份認證⑥加密通信和虛擬專用網(wǎng)⑦入侵檢測和主動防衛(wèi)⑧網(wǎng)管、審計和取證

31.

端口掃描的基本原理是什么？端口掃描技術分成哪幾類？

答：端口掃描的原理是向目標主機的TCP/IP端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應。通過分析響應來判斷端口是打開還是關閉等狀態(tài)信息。根據(jù)所使用通信協(xié)議的不同，網(wǎng)絡通信端口可以分為TCP端口和UDP端口兩大類，因此端口掃描技術也可以相應的分為TCP端口掃描技術和UDP端口掃描技術。

四、綜合分析題（本大題共2小題，每小題10分，共20分）

32.給定素數(shù)p=3，q=11，用RSA算法生成一對密鑰。

(1)計算密鑰的模

n和歐拉函數(shù)(n)的值。

n=p*q=33(n)=（p-1）*（q-1）=20

(2)若選公鑰e=3，計算私鑰d的值。

3d=mod（p-1）*（q-1）=1

d=7

(3)計算對于數(shù)據(jù)m=5進行加密的結果，即計算密文c的值。

c=M的e次方modn=

5的3次方

mod

33=26

33.某投資人士用Modem撥號上網(wǎng)，通過金融機構的網(wǎng)上銀行系統(tǒng)，進行證券、基金和理財產(chǎn)品的網(wǎng)上交易，并需要用電子郵件與朋友交流投資策略。該用戶面臨的安全威脅主要有：

(1)計算機硬件設備的安全；

(2)計算機病毒；

(3)網(wǎng)絡蠕蟲；

(4)惡意攻擊；

(5)木馬程序；

(6)網(wǎng)站惡意代碼；

(7)操作系統(tǒng)和應用軟件漏洞；

(8)電子郵件安全。

試據(jù)此給出該用戶的網(wǎng)絡安全解決方案。

答案：在網(wǎng)關位置配置多接口防火墻，將整個網(wǎng)絡劃分為外部網(wǎng)絡、內部網(wǎng)絡、DMZ區(qū)等多個安全區(qū)域，將工作主機放置于內部網(wǎng)絡區(qū)域，將WEB服務器、數(shù)據(jù)庫服務器等服務器放置在DMZ區(qū)域，其他區(qū)域對服務器區(qū)的訪問必須經(jīng)過防火墻模塊的檢查。在中心交換機上配置基于網(wǎng)絡的IDS系統(tǒng)，監(jiān)控整個網(wǎng)絡內的網(wǎng)絡流量。

在DMZ區(qū)內的數(shù)據(jù)庫服務器等重要服務器上安裝基于主機的入侵檢測系統(tǒng)，對所有上述服務器的訪問進行監(jiān)控，并對相應的操作進行記錄和審計。

將電子商務網(wǎng)站和進行企業(yè)普通WEB發(fā)布的服務器進行獨立配置，對電子商務網(wǎng)站的訪問將需要身份認證和加密傳輸，保證電子商務的安全性。

在DMZ區(qū)的電子商務網(wǎng)站配置基于主機的入侵檢測系統(tǒng)；防止來自INTERNET對HTTP服務的攻擊行為。

在企業(yè)總部安裝統(tǒng)一身份認證服務器，對所有需要的認證進行統(tǒng)一管理，并根據(jù)客戶的安全級別設置所需要的認證方式（如靜態(tài)口令，動態(tài)口令，數(shù)字證書等）。

全國2010年4月自學考試計算機網(wǎng)絡安全試題

一、單項選擇題（本大題共15小題，每小題2分，共30分）

1．下列對計算機網(wǎng)絡的攻擊方式中，屬于被動攻擊的是(

A

)

A．口令嗅探

B．重放

C．拒絕服務

D．物理破壞

2．OSI安全體系結構中定義了五大類安全服務，其中，數(shù)據(jù)機密性服務主要針對的安全威脅是(

B

)

A．拒絕服務

B．竊聽攻擊

C．服務否認

D．硬件故障

3．為了提高電子設備的防電磁泄漏和抗干擾能力，可采取的主要措施是(

B

)

A．對機房進行防潮處理

B．對機房或電子設備進行電磁屏蔽處理

C．對機房進行防靜電處理

D．對機房進行防塵處理

4．為保證計算機網(wǎng)絡系統(tǒng)的正常運行，對機房內的三度有明確的要求。其三度是指(

A

)

A．溫度、濕度和潔凈度

B．照明度、濕度和潔凈度

C．照明度、溫度和濕度

D．溫度、照明度和潔凈度

5．下列加密算法中，屬于雙鑰加密算法的是(

D

)

A．DES

B．IDEA

C．Blowfish

D．RSA

6．公鑰基礎設施(PKI)的核心組成部分是(

A

)

A．認證機構CA

B．X.509標準

C．密鑰備份和恢復

D．PKI應用接口系統(tǒng)

7．下面關于防火墻的說法中，正確的是(

C

)

A．防火墻可以解決來自內部網(wǎng)絡的攻擊

B．防火墻可以防止受病毒感染的文件的傳輸

C．防火墻會削弱計算機網(wǎng)絡系統(tǒng)的性能

D．防火墻可以防止錯誤配置引起的安全威脅

8．包過濾技術防火墻在過濾數(shù)據(jù)包時，一般不．關心(

D

)

A．數(shù)據(jù)包的源地址

B．數(shù)據(jù)包的目的地址

C．數(shù)據(jù)包的協(xié)議類型

D．數(shù)據(jù)包的內容

9．不．屬于CIDF體系結構的組件是(

C

)

A．事件產(chǎn)生器

B．事件分析器

C．自我防護單元

D．事件數(shù)據(jù)庫

10．閾值檢驗在入侵檢測技術中屬于(

B

)

A．狀態(tài)轉換法

B．量化分析法

C．免疫學方法

D．神經(jīng)網(wǎng)絡法

11．由于系統(tǒng)軟件和應用軟件的配置有誤而產(chǎn)生的安全漏洞，屬于(

C

)

A．意外情況處置錯誤

B．設計錯誤

C．配置錯誤

D．環(huán)境錯誤

12．采用模擬攻擊漏洞探測技術的好處是(

D

)

A．可以探測到所有漏洞

B．完全沒有破壞性

C．對目標系統(tǒng)沒有負面影響

D．探測結果準確率高

13．下列計算機病毒檢測手段中，主要用于檢測已知病毒的是(

A

)

A．特征代碼法

B．校驗和法

C．行為監(jiān)測法

D．軟件模擬法

14．在計算機病毒檢測手段中，校驗和法的優(yōu)點是(

D

)

A．不會誤報

B．能識別病毒名稱

C．能檢測出隱蔽性病毒

D．能發(fā)現(xiàn)未知病毒

15．一份好的計算機網(wǎng)絡安全解決方案，不僅要考慮到技術，還要考慮的是(

C

)

A．軟件和硬件

B．機房和電源

C．策略和管理

D．加密和認證