网络安全技术考试复习题库（含答案）

PAGEPAGE1网络安全技术考试复习题库（含答案）一、单选题1.以病毒攻击的不同操作系统分类中,已经取代DOS系统,成为病毒攻击的主要对象的是A、UNIX系统B、OS/2系统C、Windows系统D、Netware系统答案：C2.下列哪一个不是WAP网关的作用A、协议转换B、内容转换C、性能转换D、端口转换答案：D3.MPLS主要用于网络中创建VPNA、以太网B、ATM网络C、令牌总线D、令牌环网答案：B4.蓝牙技术采用的无线扩频技术为A、跳频扩频技术B、直序扩频技术C、分时扩频技术D、共享扩频技术答案：A5.防火墙处理数据流不包含的方法是A、允许数据流通过B、拒绝数据流通过C、将数据流回送发送方D、丢弃数据流答案：C6.标识IP数据包传输最大跳数的字段是A、标志B、目的IP地址C、标识D、数据包生存时间答案：D7.DES加密算法输入的明文长度是A、32bitB、48bitC、64bitD、128bit答案：C8.网络每层的数据格式称为PDU,网络层的PDU又称为A、数据段B、数据包C、数据帧D、比特流答案：B9.下列不属于个人特征身份证明技术的是A、手书签字验证B、指纹验证C、身份证验证D、虹膜图样验证技术答案：C10.AdHoc网络不具有的特性是A、自组织性B、无中心C、动态路由D、资源可控答案：D11.网络安全的实质和关键是保护网络的安全方面是A、系统B、软件C、信息D、网站答案：C12.下列是第四代防火墙的是A、应用级防火墙B、电路级防火墙C、状态检测防火墙D、包过滤防火墙答案：C13.下列加密算法中属于双密钥加密算法的有A、DES算法B、AES算法C、RSA算法D、SM4算法答案：C14.下列关于蜜罐的描述不正确的是A、蜜罐是攻击者攻防的一个实习场所B、蜜罐能收集入侵者的动作信息C、蜜罐是一个吸引攻击者的陷阱D、蜜罐能把入侵者的主意力从关键系统移开答案：A15.下列认证不属于OSPF协议认证方式的是A、密文认证B、明文认证C、身份证认证D、空认证答案：C16.防火墙默认采用的安全策略是A、凡是没有明确设置允许的服务一律禁止B、凡是没有明确设置禁止的服务一律允许C、凡是没有明确设置允许的服务必须根据情况确定是否允许D、凡是没有明确设置禁止的服务必须根据情况确定是否禁止答案：A17.下列协议中属于网络层的协议有A、HTTP协议B、OSPF协议C、FTP协议D、SSH协议答案：B18.下列攻击类型中不属于主动攻击的是A、窃听攻击B、伪装攻击C、重放攻击D、拒绝服务攻击答案：A19.DES加密算法输入的密钥长度是A、32bitB、48bitC、56bitD、64bit答案：B20.高级加密AES的密码分组长度不能为A、256bitB、192bitC、128bitD、64bit答案：D21.下列关于蜜罐的描述不正确的是A、蜜罐是一个吸引攻击者的陷阱B、蜜罐是攻击者攻防的一个实习场所C、蜜罐能收集入侵者的动作信息D、蜜罐能把入侵者的主意力从关键系统移开答案：B22.下列加密算法中属于双密钥加密算法的有A、DES算法B、AES算法C、RSA算法D、SM4算法答案：C23.下列加密形式不属于网络加密方式A、链路加密B、节点加密C、点到点加密D、端到端加密答案：C24.网络每层的数据格式称为PDU,物理层的PDU又称为A、数据段B、数据包C、数据帧D、比特流答案：D25.CDMA手机进行认证使用的对称密钥长度是A、32bitB、64bitC、128bitD、256bit答案：B26.下列加密算法中属于单密钥加密算法的有A、RSA算法B、AES算法C、EIGamal算法D、SM2算法答案：B27.以太数据帧最大长度是A、2048BytesB、1000BytesC、1500bytesD、1518Bytes答案：D28.IP数据包表示数据包长度的字段使用二进制位数是A、16bitB、32bitC、48bitD、128bit答案：A29.使用户能够能过轮询、设置关键字和监视网络事件来达到网络管理目的,并且已经发展成为各种网络及网络设备的网络管理协议标准,这个功能是A、TCP/IP协议B、公共管理信息协议CMIS/CMIPC、简单网络管理协议SNMPD、用户数据报文协议UDP答案：C30.下列加密算法中属于单密钥加密算法的有A、RSA算法B、DES算法C、EIGamal算法D、SM2算法答案：B31.网络安全管理技术涉及网络安全技术和管理的很多方面,从广义的范围来看安全网络管理的一种手段是A、扫描和评估B、防火墙和入侵检测系统安全设备C、监控和审计D、防火墙及杀毒软件答案：B32.对于EIGamal签名体制下列叙述正确的是A、不需要输入随机数,因为它是确定性消息签名B、需要输入随机数,且与消息签名有关C、需要输入随机数,但与消息签名的输出无关D、不需要输入随机数,它能自动产生消息签名答案：B33.Ping命令使用网络层的协议是A、ARP协议B、RARP协议C、IGMP协议D、ICMP协议答案：D34.下列加密算法中属于双密钥加密算法的有A、DES算法B、AES算法C、椭圆曲线算法D、SM4算法答案：C35.B类IP地址的私有网络共有A、1个B、8个C、16个D、32个答案：C36.下列协议中不属于第2层隧道协议的是A、GREB、PPTPC、L2FD、L2TP答案：A37.TCP采用三次握手形式建立连接,开始发送数据的时候是A、第一步B、第二步C、第三步之后D、第三步答案：C38.不应拒绝授权用户对数据库的正常操作,同时保证系统的运行效率并提供用户友好的人机交互指的是数据库系统的A、保密性B、可用性C、完整性D、并发性答案：B39.下列防火墙中属于第二代防火墙的是A、应用级防火墙B、包过滤防火墙C、状态检测防火墙D、电路级防火墙答案：D40.不属于入侵检测系统组成部分的是A、数据收集器B、控制器C、检测器D、存储器答案：D41.AdHoc网络不具有下列特性A、静态组织性B、无中心C、动态拓扑D、多跳路由答案：A42.CA采用分层架构,顶层的CA称为A、顶级CAB、根CAC、一级CAD、域CA答案：B43.IP数据包的第一个字段是A、源IP地址B、目的IP地址C、IP协议版本号D、数据包总长度答案：C44.DES加密算法输入的密钥长度是A、32bitB、48bitC、56bitD、64bit答案：B45.下列不是WAP网关的作用的是A、协议转换B、内容转换C、性能转换D、端口转换答案：D46.RIP协议向邻居路由器发送本路由表信息的间隔时间是A、30sB、60sC、120sD、180s答案：A47.网络操作系统应当提供的安全保障不包括下面的A、授权(Authorization)B、数据保密性(DataConfidentiality)C、数据一致性(DataIntegrity)D、数据的不可否认性(DataNonrepudiation)答案：D48.对于EIGamal签名体制下列叙述正确的是A、需要输入随机数,但与消息签名的输出无关B、需要输入随机数,且与消息签名有关C、不需要输入随机数,因为它是确定性消息签名D、不需要输入随机数,它能自动产生消息签名答案：B49.DES算法中IP逆置换的作用是A、消除初始置换的影响B、加强初始置换的影响C、消除轮迭代的影响D、加强轮迭代的影响答案：A50.不属于入侵检测系统组成部分的是A、数据收集器B、数据解密器C、检测器D、知识库答案：B51.不属于入侵检测系统组成部分的是A、数据收集器B、数据解密器C、检测器D、知识库答案：B52.传输层由于可以提供真正的端到端的连接,最适宜提供的安全服务是A、数据保密性B、数据完整性C、访问控制服务D、认证服务答案：B53.不属于入侵检测系统组成部分的是A、数据收集器B、控制器C、检测器D、存储器答案：D54.基于距离矢量的动态路由协议是A、OSPFB、BGPC、IS-ISD、RIP答案：D55.传统以太帧的格式中,第二个字段是A、源MAC地址B、目的MAC地址C、长度D、FCS校验答案：B56.TLS协议主要用于下列()协议中.A、HTTPSB、ICMPC、SMTPD、SNMP答案：A57.AdHoc网络不具有下列特性A、自组织性B、无中心C、静态拓扑D、多跳路由答案：C58.下列关于实体认证和消息认证的描述正确的是A、实体认证具有实时性,消息认证不具有实时性B、实体认证不具有实时性,消息认证具有实时性C、实体认证和消息认证都具有实时性D、实体认证和消息认证都不具有实时性答案：A.255属于IP地址A、A类B、B类C、C类D、D类答案：B60.高级加密AES的明文分组长度只能为A、64bitB、128bitC、192bitD、256bit答案：B61.TCP/UDP协议端口号的长度为A、8bitB、16bitC、24bitD、32bit答案：A62.CA采用分层架构,顶层的CA称为A、顶级CAB、根CAC、一级CAD、域CA答案：B63.下列协议中不属于第3层隧道协议的是A、GREB、VTPC、L2FD、IPSec答案：C64.网络设备的MAC地址有二进制组成A、16bitB、32bitC、48bitD、128bit答案：C65.下列选项中,不是802.1x网络角色的是A、认证者B、认证仲裁者C、认证请求端D、认证服务器答案：B66.主机位全为0的IP地址称为A、网络地址B、广播地址C、协议回环地址D、网关地址答案：A67.不属于入侵检测系统组成部分的是A、数据收集器B、数据加密器C、检测器D、知识库答案：B68.Ping命令使用网络层的哪种协议A、ARP协议B、RARP协议C、IGMP协议D、ICMP协议答案：D69.IPv6的地址由二进制组成A、16bitB、32bitC、48bitD、128bit答案：D70.第一代防火墙是下列哪种防火墙A、电路级防火墙B、包过滤防火墙C、状态防火墙D、应用级防火墙答案：B71.SM3杂凑函数的消息分组长度为A、64bitB、128bitC、256bitD、512bit答案：A72.下列关于蜜罐的描述不正确的是A、蜜罐是一个吸引攻击者的陷阱B、蜜罐是攻击者攻防的一个实习场所C、蜜罐能收集入侵者的动作信息D、蜜罐能把入侵者的主意力从关键系统移开答案：B73.下列说法不正确的是A、对称加密的效率高于非对称加密B、对称加密存在密钥传递困难问题C、非对称加密不存在密钥传递困难问题D、对称密钥和非对称密钥都存在密钥传递困难问题答案：D74.对于EIGamal签名体制下列叙述正确的是A、不需要输入随机数,因为它是确定性消息签名B、不需要输入随机数,它能自动产生消息签名C、需要输入随机数,但与消息签名的输出无关D、需要输入随机数,且与消息签名有关答案：D75.把网络上传输的数据报文的每一位进行加密,而且把路由信息、校验和等控制信息全部加密的网络加密方式是A、链路加密B、节点对节点加密C、端对端加密D、混合加密答案：A76.网络每层的数据格式称为PDU,数据链路层的PDU又称为A、数据段B、数据包C、数据帧D、比特流答案：C77.下列协议中不属于第2层隧道协议的是A、VTPB、PPTPC、L2FD、L2TP答案：A78.下列NAT转换可以实现多个私有IP地址使用一个公有IP地址访问Internet的是A、静态NAT转换B、动态NAT转换C、混合NAT转换D、PAT转换答案：D79.下列哪一个不是WAP网关的作用A、协议转换B、内容转换C、性能转换D、端口转换答案：D80.下列算法属于确定性签名算法的是A、EIGamalB、DESC、RSAD、SM4答案：C81.AdHoc网络不具有下列特性A、静态组织性B、无中心C、动态拓扑D、多跳路由答案：A82.下列NAT转换可以实现私有IP地址和公有IP地址实现一一对应的关系的是A、静态NAT转换B、动态NAT转换C、混合NAT转换D、PAT转换答案：A83.网络每层的数据格式称为PDU,传输层的PDU又称为A、数据段B、数据包C、数据帧D、比特流答案：A84.对传输的信息进行窃听和监视,期望获取线路上所传输的信息称为A、被动攻击B、主动攻击C、伪装攻击D、重放攻击答案：A85.下列算属于随机化签名算法的是A、EIGamalB、DESC、RSAD、Rabin答案：A86.下列加密算法中属于双密钥加密算法的有A、DES算法B、AES算法C、EIGamal算法D、SM4算法答案：C87.祖冲之密码分别输入128bit的初始密钥和初始向量,输出密钥字序列长度是A、32bitB、64bitC、128bitD、256bit答案：A88.下列加密算法中属于单密钥加密算法的有A、RSA算法B、AES算法C、EIGamal算法D、SM2算法答案：B89.高级加密AES的密码分组长度不能为A、256bitB、192bitC、128bitD、64bit答案：D90.下列协议中属于网络层的协议有A、HTTP协议B、OSPF协议C、FTP协议D、SSH协议答案：B91.在Internet上的电子商务交易过程中,最核心和最关键的问题是A、信息的准确性B、交易的不可抵赖性C、交易的安全性D、系统的可靠性答案：C92.下列加密算法中属于单密钥加密算法的有A、RSA算法B、SM4算法C、EIGamal算法D、SM2算法答案：B93.下列协议中属于应用层的协议有A、IGMP协议B、ARP协议C、RIP协议D、ICMP协议答案：C94.下列哪种NAT转换可以实现私有IP地址和公有IP地址实现多对多的方式A、静态NAT转换B、动态NAT转换C、混合NAT转换D、PAT转换答案：B95.密钥的分配不可以采用的方式为A、用户之间直接传递密钥B、使用KDC或KTC实现密钥分配C、可信第三方TTP可按协调、联机和脱机方式D、预先有保密员装入主机答案：A96.用于检测网络连通性的协议是A、SNMP协议B、ICMP协议C、IGMP协议D、MIME协议答案：B97.标识IP数据包传输最大跳数的字段是A、标志B、目的IP地址C、标识D、数据包生存时间答案：D98.下列信息是数字证书中包含的信息A、客体名B、公钥C、私钥D、签发日期答案：B99.有限广播的地址为A、55B、主机位全为0C、主机位全为1D、网络位全为1答案：A100.防火墙处理数据流不包含的方法是A、允许数据流通过B、拒绝数据流通过C、将数据流回送发送方D、丢弃数据流答案：C101.下列对于UDP协议描述正确的是A、是面向连接的可靠的传输协议B、不是面向连接的,但是可靠的传输协议C、是面向连接的,但不是可靠的传输协议D、不是面向连接的,也不是可靠的传输协议答案：D102.下列说法错误的是A、在数字签名过程中,私钥用于加密,公钥用于解密B、在数据传输加密过程中,公钥用于加密C、公钥是属于公开的密钥,私钥是属于保密的密钥D、一对公钥和私钥就可以实现双方保密通信答案：D103.RIP协议允许最大的跳数为A、15跳B、16跳C、17跳D、18跳答案：A104.IP数据包的头部中表示头部长度的二进制位数是A、4bitB、6bitC、8bitD、16bit答案：A105.WAPI安全机制有WAI和WPI两部分组成,其中WAI实现的以下功能是A、数据加密B、身份认证C、数字签名D、密钥传递答案：B106.网络每层的数据格式称为PDU,数据链路层的PDU又称为A、数据段B、数据包C、数据帧D、比特流答案：C107.得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作,以上是实现安全方案的A、可审查性B、可控性C、机密性D、可用性答案：D108.以太数据帧最大长度是A、2048BytesB、1000BytesC、1500bytesD、1518Bytes答案：D109.以下属于生物识别中的次级生物识别技术的是A、网膜识别B、DNAC、语音识别D、指纹识别答案：C110.IP数据包最大的长度是A、8KBytesB、16KBytesC、32KBytesD、64KBytes答案：D111.基于行为的检测系统又称为A、异常检测系统B、主机检测系统C、误用检测系统D、网络检测系统答案：A112.IPSec协议属于()隧道协议.A、第2层B、第3层C、第4层D、第7层答案：B113.一个主机的IP地址为1/30,该主机的子网号为A、B、6C、0D、2答案：C114.传统以太帧的格式中,第二个字段是A、源MAC地址B、目的MAC地址C、长度D、FCS校验答案：A115.下列算法属于确定性签名算法的是A、RabinB、DESC、EIGamalD、SM4答案：A116.以下不属于AAA系统提供的服务类型的是A、认证B、鉴权C、访问D、审计答案：C117.下列加密算法中不属于古典加密算法的是A、凯撒密码B、祖冲之密码C、维吉尼亚密码D、弗纳姆密码答案：B118.下列协议中,不属于内部网关路由协议的是A、RIP协议B、OSPF协议C、BGP协议D、EIGRP协议答案：C119.下列协议中不属于第3层隧道协议的是A、GREB、PPTPC、VTPD、IPSec答案：B120.蓝牙技术采用的无线扩频技术为A、跳频扩频技术B、直序扩频技术C、分时扩频技术D、共享扩频技术答案：A121.高级加密AES的明文分组长度只能为A、64bitB、128bitC、192bitD、256bit答案：B122.IPv4的地址由二进制组成A、16bitB、32bitC、48bitD、128bit答案：B123.一般情况下,大多数监听工具不能够分析的协议是A、标准以太网B、TCP/IPC、SNMP和CMIS(通用管理信息协议)D、IPX和DECNet答案：C124.以太数据帧最大长度是A、1000BytesB、1500bytesC、1518BytesD、2048Bytes答案：C125.下列哪种NAT转换可以实现私有IP地址和公有IP地址实现一一对应的关系A、静态NAT转换B、动态NAT转换C、混合NAT转换D、PAT转换答案：A126.下列协议中不属于第2层隧道协议的是A、VTPB、PPTPC、L2FD、L2TP答案：A127.MPLS主要用于在()中创建VPN.A、以太网B、ATM网络C、令牌总线D、令牌环网答案：B128.不属于入侵检测系统组成部分的是A、数据收集器B、数据加密器C、检测器D、知识库答案：B129.下列协议中不属于第3层隧道协议的是A、GREB、VTPC、IPSecD、L2TP答案：D130.第三代防火墙是下列哪种防火墙A、电路级防火墙B、包过滤防火墙C、状态检测防火墙D、应用级防火墙答案：D131.下列NAT转换可以实现私有IP地址和公有IP地址实现多对多的方式的是A、静态NAT转换B、动态NAT转换C、混合NAT转换D、PAT转换答案：B132.下列协议中不属于第2层隧道协议的是A、L2FB、PPTPC、IPSecD、L2TP答案：C133.下列算法属于确定性签名算法的是A、RabinB、DESC、EIGamalD、SM4答案：A134.传统以太帧的格式中,第1个字段是A、源MAC地址B、目的MAC地址C、长度D、FCS校验答案：B135.以太网的以太帧尾字段FCS的长度是A、2bytesB、4bytesC、8bytesD、16bytes答案：B136.一个主机的IP地址为1/30,该主机的子网号为A、B、6C、0D、2答案：C137.下列协议中不属于第3层隧道协议的是A、GREB、VTPC、L2FD、IPSec答案：C138.传统以太帧的格式中,最后一个字段是A、源MAC地址B、目的MAC地址C、长度D、FCS校验答案：D139.TCP/UDP协议端口号的长度为A、8bitB、16bitC、24bitD、32bit答案：B140.有限广播的地址为A、55B、主机位全为0C、主机位全为1D、网络位全为1答案：A141.IP数据包的头部中表示头部长度的二进制位数是A、4bitB、6bitC、8bitD、16bit答案：A142.下列对于TCP协议描述正确的是A、是面向连接的可靠的传输协议B、不是面向连接的,但是可靠的传输协议C、是面向连接的,但不是可靠的传输协议D、不是面向连接的,也不是可靠的传输协议答案：A143.MPLS主要用于在什么网络中创建VPN?A、以太网B、ATM网络C、令牌总线D、令牌环网答案：B144.加密安全机制提供了数据的方面的是A、可靠性和安全性B、保密性和可控性C、完整性和安全性D、保密性和完整性答案：D145.AdHoc网络不具有的特性是A、自组织性B、无中心C、动态拓扑D、固定路由答案：D146.AdHoc网络的拓扑结构不可以是A、平面结构B、环型结构C、分级结构D、分层结构答案：B147.以太网的以太帧尾字段FCS的长度是A、2bytesB、4bytesC、8bytesD、16bytes答案：B148.IP数据包的最大长度为A、16KbytesB、32KbytesC、64KbytesD、128KBytes答案：C149.AdHoc网络不具有的下列特性是A、自组织性B、有中心C、动态拓扑D、多条路由答案：B150.下列协议中,不属于内部网关路由协议的是A、RIP协议B、OSPF协议C、BGP协议D、EIGRP协议答案：C151.下列选项中,不是802.1x网络角色的是A、认证服务器B、认证请求端C、认证仲裁者D、认证者答案：C152.TLS协议主要用于下列哪种协议中A、HTTPSB、ICMPC、SMTPD、SNMP答案：A153.下列是第一代防火墙的是A、电路级防火墙B、包过滤防火墙C、状态防火墙D、应用级防火墙答案：B154.TLSVPN是哪一层的VPNA、第2层B、第3层C、第4层D、第7层答案：C155.对于EIGamal签名体制下列叙述正确的是A、需要输入随机数,但与消息签名的输出无关B、需要输入随机数,且与消息签名有关C、不需要输入随机数,因为它是确定性消息签名D、不需要输入随机数,它能自动产生消息签名答案：B156.下列特点中不是硬件加密的特点的是A、加密速度快B、安全性好C、易于安装D、灵活轻便答案：D157.TLS协议不可以创建类型的VPNA、移动用户远程访问LAN的VPNB、LAN-to-LAN的VPNC、LAN-to-WAN的VPND、移动用户远程访问WAN的VPN答案：B158.SSH协议使用TCP协议的端口号为A、443B、169C、53D、22答案：D159.下列对于UDP协议描述正确的是A、是面向连接的可靠的传输协议B、不是面向连接的,但是可靠的传输协议C、是面向连接的,但不是可靠的传输协议D、不是面向连接的,也不是可靠的传输协议答案：D160.C类网络中私有IP地址网络有A、32个B、64个C、128个D、256个答案：D判断题1.AES的分组长度可以变化但密钥长度不可以变化.A、正确B、错误答案：B解析：AES的分组长度和密钥长度都可以变化2.DES算法是第一个现代对称加密算法.A、正确B、错误答案：A3.在黑客攻击技术中,端口扫描黑客发现获得主机信息的一种最佳途径.A、正确B、错误答案：A4.PKI主要用于授权管理,证明用户有什么权限,能够做什么.A、正确B、错误答案：B解析：PKI主要是身份认证,证明用户身份,即你是谁5.攻击者为了达到某种目的,将获得的信息再次发送,以在非授权的情况下进行传输称为消息篡改攻击.A、正确B、错误答案：B解析：称为重放攻击6.ARP攻击仅仅在外网中进行,无法对内网进行攻击.A、正确B、错误答案：B解析：ARP攻击仅仅在内网中进行，无法对外网进行攻击7.附加在被签名消息之后或某一特定位置上的一段签名图样称为对整体消息的签名.A、正确B、错误答案：B解析：,“整体消息的签名”改为“压缩消息的签名”8.有密钥控制的杂凑函数值不仅与输入有关,还与密钥有关,因而具有身份验证功能.A、正确B、错误答案：A9.WEP是IEEE802.11n使用的加密协议,用来对无线局域网中的数据流提供安全保护.A、正确B、错误答案：B解析：,

“IEEE802.11n”改为“802.11b”10.TLSVPN与IPSecVPN一样需要在每台客户端上配置相应的安全策略.A、正确B、错误答案：B解析：TLSVPN不需要在每台客户端上配置相应的安全策略11.攻击者对所获得的合法消息中的一部分进行修改或延时消息的传输,以达到其非授权的目的称为重放攻击.A、正确B、错误答案：B解析：称为篡改攻击12.TCP/IP协议将网络划分为应用层、表示层、传输层、网络层、数据链路层和物理层.A、正确B、错误答案：B解析：,TCP/IP协议将网络划分为应用层、传输层、网络层、网络接口层.13.TLSVPN与IPSecVPN相比最大的缺点是TLSVPN需要安装和配置客户端软件.A、正确B、错误答案：B解析：,优点是TLSVPN不需要安装和配置客户端软件14.基于行为的入侵检测技术又称为误用检测技术.A、正确B、错误答案：B解析：基于行为的入侵检测技术又称为异常检测技术15.针对IP数据包在传输过程中容易被攻击者监听和窃取,可以使用对IP数据包净荷部分实行完整性检测机制加以防范.A、正确B、错误答案：B解析：,可以使用对IP数据包进行加密的方法加以防范16.攻击者为了达到某种目的,将获得的信息再次发送,以在非授权的情况下进行传输称为重放攻击.A、正确B、错误答案：A17.IPSec协议只能用于创建移动用户远程访问VPN.A、正确B、错误答案：B解析：,IPSec协议既可用于创建移动用户远程访问VPN,又可创建LAN-to-LAN方式VPN18.拒绝服务攻击会造成数据的丢失和文件删除,是一种危害性很强的攻击.A、正确B、错误答案：B解析：,不会造成数据的丢失和文件删除,是一种较为温和的攻击19.TCP协议的安全性高于UDP协议.A、正确B、错误答案：A解析：

11ARP攻击仅仅在外网中进行,无法对内网进行攻击.20.WEP是IEEE802.11n使用的加密协议,用来对无线局域网中的数据流提供安全保护.A、正确B、错误答案：B解析：是21.DiffileHellman密钥交换协议的安全性基于在有限域上计算离散对数的难度.A、正确B、错误答案：A22.数字证书使用CA的私钥签名后才有效.A、正确B、错误答案：A23.节点加密方式,报头和路由信息在节点中会以明文形式出现,不存在节点泄密的隐患.A、正确B、错误答案：A24.混合密码体制,不但具有保密功能,并且具有鉴别的功能.A、正确B、错误答案：B解析：混合加密体制改为非对称密码体制25.内网用户通过防火墙访外网的FTP服务器,则FTP服务器必须工作在被动模式.A、正确B、错误答案：A26.基于行为的入侵检测技术又称为误用检测技术.A、正确B、错误答案：B解析：基于行为的入侵检测技术又称为异常检测技术27.TLSVPN既可以采用单向的证书认证方式,又可以使用双向的证书认证方式.A、正确B、错误答案：B解析：,

TLSVPN只能使用单向证书认证方式28.MAC函数必须是可逆的,因为需要反向计算MAC.A、正确B、错误答案：B解析：MAC函数不必是可逆的,因为不需要反向计算MAC29.ISO/OSI网络参考模型将网络划分为:应用层、传输层、网络层、网络接口层.A、正确B、错误答案：B解析：划分为应用层、表示层、会话层、传输层、网络层、数据链路层和物理层30.附加在被签名消息之后或某一特定位置上的一段签名图样称为对整体消息的签名.A、正确B、错误答案：B解析：对压缩消息的签名31.对称加密算法效率低于非对称加密算法.A、正确B、错误答案：B解析：高于非对称加密算法32.基于知识的检测技术也称为异常检测技术.A、正确B、错误答案：B解析：称为误用检测技术33.无线局域网的WEP协议使用DES加密算法,提供访问控制和保护隐私功能.A、正确B、错误答案：B解析：,“IEEE34.DES算法是第一个现代非对称加密算法.A、正确B、错误答案：B解析：第一个现代对称加密算法35.有密钥控制的杂凑函数值与输入有关,与密钥无关.A、正确B、错误答案：B解析：与输入密钥有关36.PKI主要用于授权管理,证明用户有什么权限,能够做什么.A、正确B、错误答案：B解析：PKI主要是身份认证,证明用户身份,即你是谁37.ARP攻击仅仅在内网中进行,无法对外网进行攻击.A、正确B、错误答案：A38.L2TP协议是由PPTP协议和L2F协议融合而成.A、正确B、错误答案：A39.EIGamal密码体制是一种基于大数分解困难的密码体制,只可用于加密.A、正确B、错误答案：B解析：基于离散对数的困难性,既可用于加密也可用于认证40.EIGamal密码体制是一种基于大数分解困难的密码体制,只可用于加密.A、正确B、错误答案：B解析：基于离散对数的困难性,既可用于加密也可用于认证41.L2TP协议既能创建移动用户远程访问VPN连接,又能创建网关-网关VLN连接.A、正确B、错误答案：B解析：L2TP协议只能创建移动用户远程访问VPN连接,不能创建网关-网关VLN连接42.ARP攻击仅仅在内网中进行,无法对外网进行攻击.A、正确B、错误答案：A43.EIGamal算法数字签名属于确定性数字签名.A、正确B、错误答案：B解析：属于非确定性数字签名44.TCP协议的安全性高于UDP协议.A、正确B、错误答案：A45.某个实体假装成其它实体,对目标发起攻击称为伪装攻击.A、正确B、错误答案：A46.针对攻击者截取IP数据包,并经过修改后重放的攻击,可以采用对IP数据包进行加密的方法加以防范.A、正确B、错误答案：B解析：,可以对数据包净荷部分实行完整性检测机制加以防范47.PMI主要用于身份认证,证明用户身份,即你是谁.A、正确B、错误答案：B解析：证明用户有什么权限,能够做什么48.授权是指客体对主体的支配权,它规定了谁可以对什么做什么.A、正确B、错误答案：A49.公钥加密既能提供保护功能,又能提供认证功能.A、正确B、错误答案：B解析：不能提供认证功能50.RSA算法签名属于随机式数字签名.A、正确B、错误答案：B解析：,“随机数字签名”改为“确定性数字签名”填空题1.SMTP协议使用TCP协议的25号端口，POP3协议使用TCP协议的()号端口。答案：1102.确定性签名其明文与密文(),对同一消息的签名不变化.答案：一一对应3.SSL协议包括记录协议和()协议。答案：握手4.入侵检测系统根据采集数据的来源,可分为基于主机的入侵检测系统和基于()的入侵检测系统.答案：网络5.防火墙默认采用的安全策略是，凡是没有明确设置允许的服务一律都是()的。答案：禁止6.入侵检测系统根据采集数据的来源，可分为基于主机的入侵检测系统和基于()的入侵检测系统。答案：网络7.确定性签名其明文与密文一一对应，对同一消息的签名()。答案：相同8.群签名的目标是对签名者实现无条件(),又能防止签名者的抵赖.答案：匿名保护9.协议至少包含三层含义,协议是有序的过程;();必须能完成某项任务.答案：至少有2个参与者10.WAP网络结构由WAP设备、WAP网关和()组成.答案：Web服务器11.SM2算法的随机数发生器必须满足()和不可预测性.答案：随机性12.SNMP协议使用UDP协议的()端口.答案：16113.WAP网络结构由WAP设备、()和WEB服务器组成.答案：WAP网关14.主要的植入类型威胁有：特洛伊木马和()。答案：掐门15.窃取口令的三种方式为窃听口令法、口令尝试法和根据口令文件的()。答案：字典攻击法16.WEP对明文数据加密采用的两种运算分别为：对明文进行的()运算和防止数据被非法篡改的数据完整性检查向量运算。答案：流加密17.TLSVPN采用的3种主要协议为：握手协议、TLS记录协议和()协议。答案：警告18.明文与密文一一对应，对同一消息的签名不变的是()签名。答案：确定性19.防火墙默认采用的安全策略是，凡是没有明确设置()的服务一律都是禁止的。答案：允许20.产生认证符的函数可以分为:消息加密、消息认证码和().答案：杂凑函数21.证书撤销状态检查机制由:()证书撤销状态检查和联机证书撤销状态检查2部分组成.答案：脱机22.PMI权限管理基础设置中AA表示属性权威，AC表示()。答案：属性证书23.群签名的目标是对签名者实现无条件()，又能防止签名者的抵赖。答案：匿名保护24.网络攻击从大类来分，可以分为：()攻击和主动攻击。答案：被动25.SMTP协议使用TCP协议的25号端口，POP3协议使用TCP协议的()号端口。答案：11026.安全策略的等级分为：安全策略目标、()和系统安全策略。答案：机构策略安全27.针对ARP协议攻击可采用在交换机中启用802.1x协议；建立()ARP表。答案：静态28.认证包括消息认证、()和实体认证三类.答案：数据认证29.IPSec协议提供的两种工作模式为()模式和隧道模式.答案：传输30.TLSVPN采用的3种主要协议为:握手协议、()协议和告警协议.答案：TLS记录31.WEP对明文数据加密采用的两种运算分别为：对明文进行的流加密运算和防止数据被非法篡改的数据完整性检查()运算。答案：向量32.证书撤销状态检查机制由：脱机证书撤销状态检查和()证书撤销状态检查2部分组成。答案：联机33.根据访问方式，VPN可分为()VPN和网关-网关VPN。答案：移动用户远程访问34.对同一消息签名是随机变化的，相同明文可能有多个合法数字签名称为()

数字签名。答案：概率式或者随机式35.PMI权限管理基础设置中AA表示()，AC表示属性证书。答案：属性权威36.AAA认证体系中的三个A,分别表示认证、授权和().答案：计费37.DES加密算法输入的密钥长度是().答案：48bit38.TLSVPN采用的3种主要协议为：握手协议、()协议和告警协议。答案：TLS记录39.PMI权限管理基础设置中AA表示属性权威,AC表示().答案：属性证书40.身份证明系统一般由示证者、验证者、()和可信者组成。答案：攻击者41.访问控制策略可以划分为()访问控制策略和自主性访问控制策略.答案：强制性42.无线网络技术可分为()网络技术和无线数据网络技术两大类。答案：无线蜂窝43.群签名的目标是对签名者实现无条件匿名保护,又防止签名者的().答案：抵赖44.窃取口令的三种方式为窃听口令法、口令尝试法和根据口令文件的().答案：字典攻击法45.IPSec协议主要由认证头协议AH、封装安全载荷协议、()3个协议组成.答案：Internet密钥交换46.安全策略的等级分为:安全策略目标、()和系统安全策略.答案：机构策略安全47.针对密码协议的攻击目标通常有三个，协议中采用的密码算法、算法和协议中使用的()和协议本身。答案：密码技术48.网络攻击从大类来分,可以分为:主动攻击和()攻击.答案：被动攻击49.根据访问方式,VPN可分为()VPN和网关-网关连接VPN.答案：移动用户远程访问50.入侵检测系统根据采集数据的来源,可分为基于()的入侵检测系统和基于网络的入侵检测系统.答案：主机51.针对密码协议的攻击目标通常有三个,协议中采用的密码算法、算法和协议中使用的()和协议本身.答案：密码技术52.网络协议的三要素是:语法、语义和().答案：同步(时序)53.密钥建立协议主要分为密钥传输协议和()协议.答案：密钥协商协议54.网络攻击从大类来分,可以分为:被动攻击和()攻击.答案：主动55.根据隧道协议工作的网络层次,VPN可分为二层隧道VPN、三层隧道VPN和()VPN.答案：传输层隧道协议56.安全策略的等级分为()、机构安全策略和系统安全策略.答案：安全策略目57.安全策略的等级分为:安全策略目标、()和系统安全策略.答案：机构安全策略58.认证包括()、数据认证和实体认证三类.答案：消息认证59.AAA认证体系中的三个A,分别表示认证、授权和().答案：审计60.3G系统使用()用户身份标识和加密的永久用户身份标识来识别用户的身份。答案：临时61.防失败签名是()方案,由签名、验证和对伪造的证明算法等3部分组成.答案：一次性签名62.SM4密码算法广泛应用于()产品。答案：无线网络63.SM2算法的随机数发生器必须满足随机性和()性。答案：不可预测性64.根据访问方式,VPN可分为移动用户远程访问VPN和()VPN.答案：网关-网关连接65.SM2加密算法包括的三类函数为杂凑函数、密钥派生函数和()。答案：随机数发生器66.SNMP协议使用()协议的161号端口。答案：UDP67.主要的植入类型威胁有:()和陷门.答案：特洛伊木马68.IPSec协议提供的两种工作模式为隧道模式和()模式。答案：传输69.古典密钥有两个工作原理：移位和()。答案：迭代70.根据访问方式，VPN可分为移动用户远程访问VPN和()VPN。答案：网关-网关连接71.EIGamal密码体制是一种基于离散对数问题的双钥密码体制，既可用于()，

又可用于加密。答案：签名72.一个签名体制一般包含签名算法和()算法两个组成部分.答案：验证73.认证包括消息认证、()和实体认证三类.答案：数据认证74.认证包括()、数据认证和实体认证三类。答案：消息认证75.3G系统使用临时用户身份标识和加密的()用户身份标识来识别用户的身份。答案：永久76.防火墙对数据流的处理方式有允许数据流通过、拒绝数据流通过和().答案：将数据流丢弃77.针对ARP协议攻击可采用在交换机中启用802.1x协议;建立()ARP表.答案：静态78.IDS按照策略可分为:滥用检测、异常检测和().答案：完整性检测79.防失败签名是一次性签名方案，由签名、验证和()算法等3部分组成。答案：对伪造的证明80.SM2算法的随机数发生器必须满足随机性和()性.答案：不可预测性81.针对密码协议的攻击目标通常有三个,协议中采用的()、算法和协议中使用的密码技术和协议本身.答案：密码算法82.访问控制策略可以划分为强制性访问控制策略和()访问控制策略.答案：自主性83.密钥建立协议主要分为密钥传输协议和()协议。答案：密钥协商协议84.WAP网络结构由WAP设备、()和WEB服务器组成。答案：WAP网关85.无线网络技术可分为无线蜂窝网络技术和()网络技术两大类.答案：无线数据86.身份证明系统一般由示证者、验证者、攻击者和()组成.答案：可信者87.SM2算法的随机数发生器必须满足随机性和()性.答案：不确定性88.IPSec协议提供的两种工作模式为()模式和隧道模式。答案：传输89.DNS使用()协议的53号端口答案：TCP/UDP90.DNS使用()协议的53号端口答案：TCP/UDP91.SM2算法的随机数发生器必须满足随机性和()性.答案：不可预测性92.防火墙对数据流的处理方式有允许数据流通过、()和将数据流丢弃.答案：拒绝数据流通过93.SMTP协议使用TCP协议的25号端口,POP3协议使用TCP协议的()号端口.答案：11094.防火墙默认采用的安全策略是，凡是没有明确设置()的服务一律都是禁止的。答案：允许95.SNMP协议使用UDP协议的()号端口.答案：16196.SM2算法的随机数发生器必须满足随机性和()性。答案：不可预测性97.DIMETER协议有两部分组成：基本协议和()。答案：扩展协议98.网络安全矛盾的双方是指攻击者和().答案：守护者99.安全策略的等级分为：()、机构安全策略和系统安全策略。答案：安全策略目标100.EIGamal密码体制是一种基于离散对数问题的双钥密码体制,既可用于签名,又可用于().答案：加密简答题1.SHA-2算法答案：SHA-2算法是(SecureHashAlgorithm)安全哈希算法的一种,包括SHA-256、SHA-384、SHA-512算法;该算法具有比MD算法更高的安全性.2.简述网络安全模型的组成部分及各自的功能.答案：⑴网络安全模型的组成部分由:消息的发送方、消息的接收方、安全变换、信息通道、可信的第三方、攻击者6个功能实体组成;⑵信息的发送方也就是信源;信息的接收方就是信宿;信息通道就是信息传输的通道;安全变换是为了保证信息传输的安全进行的加密和解密等运算;攻击者是试图对网络信息攻击的实施者.3.简述消息认证码MAC是如何发挥认证功能的.答案：⑴消息认证码又称MAC,它是一种认证技术,利用密钥来生成一个固定长度的短数据块,并将该数据块附加在消息之后,它是消息和密钥的函数.⑵消息和MAC被一起发送给接收方,接收方对接收到的消息用相同的密钥进行相同的计算,得到新的MAC,并与接收到的MAC进行比较,⑶因为只有收发双方知道密钥,如果计算得到的MAC与接收的MAC相等,则可以确认接收方收到的消息未被篡改,否则可以判定为已经被篡改;4.VLSM答案：VLSM是可变长子网掩码的英文缩写;可以更加灵活地划分容纳主机数不等的子网;可以实现某些等长子网划分不能实现的情况,提高IP地址的利用率.5.TLSVPN的优点？答案：⑴无需安装客户端软件；适用于大多数设备；适用于大多是操作系统；

⑵支持网络驱动器访问；不需要对远程设备或网络作任何改变；较强的资源控制能力；

⑶费用低且具有良好的安全性；可以绕过防火墙和代理服务器进行访问；6.简述DES加密算法.答案：⑴对输入分组进行固定的“初始置换”IP,将各长为32bit的左、右半分组进行固定的置换;⑵进行16轮的迭代运算,运算的方法是将上一轮的右半分组交换到左半分组,再将上一轮的左半分组与56bit密钥的48bit进行S盒函数运算,将结果作为右半分组;⑶将16轮迭代后得到的结果输入到IP的逆置换来消除初始置换的影响,最后输出DES加密的结果.7.简述GSM技术存在的安全缺陷.答案：⑴GSM标准仅考虑了移动设备与基站之间的安全问题，而基站与基站之间没有设置任何加密措施，信息的传输采用明文的方式；

⑵单个用户认证密码的长度不够长，抗攻击能力不强；

⑶单向身份认证，网络认证用户，但用户不认证网络，无法防止伪造基站和归属位置数据库（HLR）的攻击；

⑷缺乏数据完整性认证；

⑸蜂窝小区之间漫游时存在跨区切换，在此期间可能泄露用户的秘密信息；

⑹用户无法选择安全级别；8.简述数字签名应满足的条件.答案：⑴接收方能够确认或证实发送发的签名,但不能伪造;⑵发送方发送签名过的消息给接收方后,不能再否认所签发的消息;⑶接收方对已经收到的签名消息不能否认;⑷第三方可以确认收发双方之间的消息传递,但不能伪造这一过程.9.简述TLSVPN的优点.答案：制定包过滤规则时应注意以下事项:(1)联机编辑过滤规则.(2)要用IP地址值,而不用主机名.这样可以防止有人有意或无意地破坏名字,这是使用地址翻译器后带来的麻烦.(3)规则文件生成后,先要将老的规则文件消除,然后再将新的规则文件装入,这样就可以避免出现新的规则集与老规则集产生冲突10.流密码答案：是将明文划分为字符或其编码的基本单元;字符分别与密钥流作用进行加密,输出加密的秘文;解密时以同步产生的同样的密钥流实现.11.简述SM4密码.答案：⑴SM4密码是我国第一次公布的自己的商用密码算法，广泛应用于无线局域网产品中；

⑵SM4是分组长度和密钥长度均为128bit的32轮迭代分组密码算法，它以字节和字为单位对数据进行处理；

⑶加密和解密算法的结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序.12.试述分布式拒绝服务的原理.答案：⑴DDoS（DistributedDenialofService）分布式拒绝服务，使用很多Internet主机，同时向某个目标发起DoS攻击，通常参与攻击的主机受到恶意控制，在不明情况下参与攻击；

⑵黑客通过Internet将木马程序植入尽可能多的计算机上，这些计算机分布在Internet上的不同位置，被植入的木马程序绑定在计算机的某个端口上，等待攻击命令；

⑶攻击者在Internet的某个主机安装一个主控程序，该主控程序中包含一个木马程序所处位置的列表，然后主控程序等待黑客发出命令；

⑷攻击者等待时机，做好攻击命令前的准备等攻击时机一到，攻击者向主控程序发出消息，指定攻击目标的地址，主控程序在向各个被控制的攻击主机发出指定攻击目标地址的攻击指令；

⑸受控制的主机木马程序立即向攻击目标发送大量的数据包，由于这些数据包的数量巨大，足以瘫痪目标主机.13.简述Telnet协议存在的安全问题及防范措施.答案：⑴Telnet协议可以使用户在本地终端远程访问服务器，远程服务器执行本地虚拟终端输入的命令，并将执行的结果返回给用户.

⑵Telnet协议使用TCP协议的23号端口

⑶Telnet存在的安全问题：使用明码传输信息，容易被窃听捕获重要信息；Telnet会话容易被劫持.

⑷防范措施：使用SSH协议代替传统的Telnet协议用于远程登录.14.RADIUS答案：RADIUS(RemoteAccessDial-inUserService远程拨号访问用户服务)是为了在NAS(网络接入服务器)和RADIUS服务器之间传递认证、授权和配置信息而设计的协议;RADIUS采用客户端和服务器的架构方式;服务器支持多种认证用户的方法.15.DIAMETER答案：DIAMETER协议是为新业务开发的AAA协议,功能类似于RADIUS,但RADIUS是为拨号用户设计的,无法适用于新的业务发展.DIAMETER协议由基本协议和扩展协议两部分组成,具有轻量级而且易于实现、大的属性数据空间、支持同步的大量用户的请求和可靠的传输机制和错误恢复机制等特点.16.试述SNMP协议的安全问题.答案：⑴）SNMP协议的V1和V2版本存在的问题：

鉴别管理站合法性方法容易被攻击者破解；

传输的信息采用明文的方式，容易泄露；

攻击者可以通过对消息数据恶意重组、延时和重放即可实施对被管理设备的攻击

⑵若采用V3版本，则该版本认证和加密机制完善，攻击者很难通过截取数据获取信息或进行重放攻击，安全性

好，但需要耗费较多的系统资源.

⑶对V1和V2版本可以采取：不必要情况下关闭SNMP服务；设置较为复杂的团体名；设定管理站IP地址限

定；设置访问控制规则等防范方法.17.简述TLSVPN的优点.答案：⑴无需安装客户端软件;适用于大多数设备;适用于大多是操作系统;⑵支持网络驱动器访问;不需要对远程设备或网络作任何改变;较强的资源控制能力;⑶费用低且具有良好的安全性;可以绕过防火墙和代理服务器进行访问;18.试述针对UDP协议的特点、攻击方法及防范措施.答案：⑴UDP协议是非面向连接的不可靠传输协议；该协议发送数据前不需要创建连接，减少了开销和时延；不使用拥塞控制，减少了复杂度；首部只有8个字节，额外开销小；网络拥塞时不会降低源主机的发送速率.

⑵针对UDP协议的攻击有：DoS攻击是最常见的UDP攻击，UDPFlood攻击是DoS攻击中最普遍的流量型攻击，攻击源发送大量的UDP小包到攻击目标，使其忙于处理回应UDP报文，占用大量系统资源，导致目标设备不能提供正常服务或者直接死机，是一种消耗攻击目标资源，同时也消耗自身资源的攻击方法.

⑶防范UDP攻击的方法有：根据攻击包大小，设定包碎片重组大小；根据业务UDP最大包长，设置UDP最大包长，过滤异常流量；与TCP协议结合使用提高安全.19.DIAMETER答案：DIAMETER协议是为新业务开发的AAA协议,功能类似于RADIUS,但RADIUS是为拨号用户设计的,无法适用于新的业务发展.DIAMETER协议由基本协议和扩展协议两部分组成,具有轻量级而且易于实现、大的属性数据空间、支持同步的大量用户的请求和可靠的传输机制和错误恢复机制等特点.20.误用检测系统答案：误用检测技术又称为基于知识的检测技术,它假设所有入侵行为和手段都能够表达为一种模式或特征,并对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,通过系统当前状态与攻击模式或攻击签名是否匹配判断入侵行为.21.DoS拒绝服务攻击答案：DoS(DeinalofService)拒绝服务攻击是过度使用服务,使软件、硬件过度运行,使网络连接超出其容量,导致服务器自动关机或系统瘫痪,或者降低服务质量通常不会造成文件删除或数据丢失.22.异常检测答案：异常检测的假设是入侵者活动异常于正常主体的活动.根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为.23.试述入侵检测的基本步骤有哪些?答案：入侵检测一般分为3个步骤，依次为信息收集、数据分析、响应.

入侵检测的第一步是信息收集，入侵检测利用的信息一般来自以下4个方面

(1)系统和网络日志文件.

(2)目录和文件中的不期望的改变.

(3)程序执行中的不期望行为.

(4)物理形式的入侵信息.

数据分析是入侵检测的核心，一般通过3种技术手段进行分析：模式匹配，统计分析和完整性分析.其中前2种方法用于实时的入侵检测，而完整性分析则用于事后分析.

入侵检测系统发现入侵后会及时做出响应，包括切断网络连接、记录事件和报警等.响应一般分主动响应和被动响应两种类型.24.PKI答案：PKI(PublicKeyInfrastructure公钥基础设施)是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施.PKI最主要的任务是确立可信任的数字身份,这些身份可被用来和密码机制相结合,提供认证、授权或数字签名验证等服务.25.简述基于角色的访问控制机制是具有以下特点和优点.答案：基于角色的访问控制机制是具有以下特点和优点:(1)RABC将若干特定的用户集合和访问权限联结在一起,即与某种业务分工相关的授权联结在一起,这样的授权管理相对于针对个体的授权来说,可操作性和可管理性都要强得多.(2)在许多存取控制型的系统中,是以用户组作为存取控制的单位的.(3)与基于安全级别和类别纵向划分的安全控制机制相比,RABC显示了较多的机动灵活的优点.26.简述黑客和骇客的区别.答案：⑴黑客是具有高超计算机技术能力的，并且可以自己编写各种软件的人，他们的目标只是分析查找软件的漏洞，炫耀自己技术能力，并不以获取利益和危害计算机或网络为目的，黑客严格来说不是一个贬义词.

⑵骇客：是以获取利益为目的，攻击计算机或网络并对计算机或网络造成危害，并具有一定的计算机及网络技术的攻击者，骇客大多数使用现成的工具软件攻击计算机网络，是贬义词.27.AAA答案：AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,通过这三个技术达到身份认证、授权和计费的功能.28.无线网络中的SSID答案：服务标识符SSID是无线接入点用于标识本地无线子网的标识符,如果一个客户端不知道服务区标识符,接入点就会拒绝该客户端对本地子网的访问,当客户端连接到接入点时,服务区标识符相当于一个简单的口令,起到一个安全防护作用.29.试述DES算法的过程.答案：⑴DES是分组密码，其中的消息被分成定长的数据分组，每一份组称为明文空间或密文空间的一个消息.

⑵DES加密和解密算法输入64bit明文（加密）或密文（解密）消息和56bit的密钥，输出64bit的密文（加密）

或明文（解密）.

运算可描述为以下3步：

⑶对输入分组在分成32bit的左右半分组，再进行固定的“初识置换”IP；

⑷对置换过的消息分左右半分组进行16轮相同的迭代运算，上一轮的有半分组直接作为本轮的左半分组，上一轮的左半分组与本轮56bit密钥中的48bit子串进行S盒函数运算，结果作为本轮的右半分组

⑸将经过16轮迭代的得到的结果输入到IP的逆置换来消除初始置换的影响，输出DES算法结果30.简述端到端加密的过程.答案：⑴是对一对用户之间的数据连续地提供保护，它要求各用户（而不是各对节点）采用相同的密码算法和密钥，对于传输通路上的各种见节点，数据是保密的.

⑵端到端加密允许数据从源点到终点的传输过程中始终以密文方式存在，不易造成消息的泄漏.

⑶但与节点加密一样，报头则以明文形式传递，容易受到业务流量分析攻击.31.简述代理服务的缺点.答案：代理服务也有一些缺点,主要表现在以下5个方面.(1)代理服务落后于非代理服务.(2)每个代理服务要求不同的服务器.(3)代理服务一般要求对客户或程序进行修改.(4)代理服务对某些服务来说是不合适的.(5)代理服务不能保护用户不受协议本身缺点的限制.32.简述挑战/响应机制认证的过程.答案：⑴用户在客户端发起的认证请求发送给服务器，服务器返回客户端一个挑战值；

⑵用户得到此挑战值，输入给一次性口令产生设备（令牌），得到一个一次性口令返回给用户；

⑶用户在客户端将一次性口令传送到服务器端，服务器得到该一次性口令后，与服务器端的计算结构进行匹配比较，返回认证结果33.简述网络异常检测诸方法.答案：⑴统计异常检测方法；

⑵特征选择异常检测方法；

⑶基于贝叶斯推理异常检测方法；

⑷基于贝叶斯网络异常检测方法；

⑸基于模式预测异常检测方法34.简述DNS协议存在的安全问题和防范措施.答案：⑴DNS域名系统是一个分布式数据库系统，用来实现域名到IP地址之间的相互映射，使用TCP或UDP协议的53号端口；

⑵DNS协议的安全问题：DNS服务的备份服务器可使用“区转移”来获得域名空间中所属信息的完整备份，

黑客也可以使用这种方式快速获得攻击目标列表，使用正、反向解析假冒主机或混淆域名和IP地址的对应关系.

防范措施：限制备份服务器的“区转移”功能的使用；使用DNSsec，对DNS记录进行数字签名，消除欺骗性

DNS记录的可能性.35.防火墙答案：防火墙是由软件和硬件组成的系统,它处于安全网络(通常是内部局域网)和不安全网络(通常是Internet网络)之间,根据由系统管理员设置的访问控制规则,对流经防火墙的数据进行过滤.36.简述常见的入侵检测技术.答案：基于概率统计的检测;基于神经网络的检测;基于专家系统的检测;基于模型推理的检测;基于免疫的检测.37.VPN答案：VPN即虚拟私有(专用)网络,是指将物理上分布在不同地点的网络,通过公用网络通道连接,构成逻辑上的虚拟局域网络.它采用认证、访问控制、机密性、数据完整性等安全机制在公用网络上构建专用网络,使得数据通过安全的加密管道在公共网络中传输.38.AdHoc网络答案：Adhoc网络(自组织网络)是由一组带有无线网络接口的移动终端在没有固定网络设置辅助和集中管理的情况下搭建的临时性网络,Adhoc网络具有自组织性、无中心性、动态拓扑、资源受限、多跳路由的特点.39.简述GSM技术存在的安全缺陷.答案：⑴GSM标准仅考虑了移动设备与基站之间的安全问题,而基站与基站之间没有设置任何加密措施,信息的传输采用明文的方式;⑵单个用户认证密码的长度不够长,抗攻击能力不强;⑶单向身份认证,网络认证用户,但用户不认证网络,无法防止伪造基站和归属位置数据库(HLR)的攻击;⑷缺乏数据完整性认证;⑸蜂窝小区之间漫游时存在跨区切换,在此期间可能泄露用户的秘密信息;⑹用户无法选择安全级别;40.试述针对TCP协议的攻击方法及防范措施.答案：目前针对TCP协议的攻击可以分为三类：

⑴建立连接阶段的三次握手过程的SYNFLOOD攻击：攻击者不断向服务器的监听端口发送建立TCP连接的请求SYN数据包，但收到服务器的SYN包后却不回复ACK确认信息，每次操作都会使服务器端保留一个半开放的连接，当这些半开放连接填满服务器的连接队列时，服务器便不再接受任何连接请求，导致服务器不能为正常请求服务.（2）

防范的措施：在服务器的前端网络设备上设置对SYNFLOOD攻击数据包的过滤.

⑵针对TCP协议部队数据包进行加密和认证的漏洞，进行会话劫持攻击.攻击者伪造发送序列号，截取通信的数据包，修改后再重放，伪造正常通信者的身份，达到劫持会话的目的.

防范的措施：在TCP建立连接时采用随机数作为初始序列号，规避攻击者对序列号的猜测.

⑶针对TCP协议拥塞控制机制的特点，攻击者降低拥塞窗口大小来降低发送窗口的大小，达到降低正常数据传输能力的目的.

防范的措施：管理员经常实时监控，发现拥塞点及时解决问题.41.DDoS答案：DDoS是分布式拒绝服务(DistributedDenialofService)的缩写,它通过木马控制许多Internet主机在不明情况下,同时向某个目标发起DoS攻击,导致目标主机不能正常工作或系统瘫痪.42.简述对称加密如何具有认证功能.答案：⑴对称加密是指通行的双方使用的相同的密钥进行加密和解密；A和B使用共享密钥加密和解密数据，B接收的密文只能使用与A共享的密钥才能解密，密钥只有A和B共享，则发送密文的一定是A，因此，对称加密既具有保密性，又具有认证功能.43.VPN答案：VPN即虚拟私有(专用)网络,是指将物理上分布在不同地点的网络,通过公用网络通道连接,构成逻辑上的虚拟局域网络.它采用认证、访问控制、机密性、数据完整性等安全机制在公用网络上构建专用网络,使得数据通过安全的加密管道在公共网络中传输.44.简述DHCP服务存在的安全问题及防范措施素.答案：⑴DHCP是动态主机配置协议,用于在网络中动态分配IP地址,使用UDP协议的57和68号端口.⑵DHCP协议的安全问题:DHCP服务器通常没有对查询消息进行认证,容易受到中间人攻击和拒绝服务攻击;容易受到ARP欺骗攻击;假冒的DHCP服务器干扰正常DHCP服务器的工作.⑶防范的措施:确保未经授权的人员没有对网络进行物理访问和无线访问的权限;未经授权的DHCP不可以为主机动态分配IP地址.45.试述邮件服务器存在的安全问题及解决措施.答案：⑴SMTP协议的安全问题

SMTP协议是邮件发送使用的简单邮件传输协议，使用TCP协议的25号端口.

SMTP可以成为拒绝服务攻击的发源地，攻击者可以采用拒绝服务攻击阻止合法用户使用该邮件服务器；开放

中继功能允许在任何人之间进行邮件传递，本邮箱就可能成为垃圾邮件的中转站，也可能成为攻击者的中转站.

防范方法：使用STMP认证和加密SMTP会话方法

⑵POP3协议的安全问题

POP3协议是邮局协议第3版本，用于接收邮件的协议；POP3协议使用TCP协议的110号端口.

邮箱的用户账户和口令采用明文方式传递，容易被攻击者窃取.

防范措施：客户端使用APOP命令来接收邮件，APOP基于口令认证中常用的“挑战/响应”机制，对用户名和

口令进行加密，以安全地传输用户口令，（2分）但APOP不对邮件内容进行保护，容易泄密，可以利用SSL/TLS

协议对传输内容进行加密，保证邮件内容的安全.46.网关答案：网关是本网段的数据传输出口的IP地址;当通信的双方不在同一网段时,不可以直接通信,需要将数据帧发送给网关;网关通常就是路由器连接本网段端口的IP地址.47.简述VPN服务分类.答案：VPN服务包括拨号VPN、内部网VPN和外联网VPN.(1)拨号VPN.它是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑上虚拟网.(2)内部网VPN.即进行企业内部各分支机构的互联.内部网VPN通常使用IPSec协议来实现.(3)外联网VPN.是指企业同客户、合作伙伴的互联.48.SHA-2算法答案：SHA-2算法是(SecureHashAlgorithm)安全哈希算法的一种,包括SHA-256、SHA-384、SHA-512算法;该算法具有比MD算法更高的安全性.49.简述SMTP协议.答案：⑴SMTP是邮件发送使用的简单邮件传输协议,使用TCP协议的25号端口;⑵SMTP可以成为拒绝服务攻击的发源地,攻击者可以采用拒绝服务攻击阻止合法用户使用该邮件服务器;⑶SMTP的“开放中继功能”允许在任何人之间进行邮件传递,本邮箱就可能成为垃圾邮件的中转站,也可能成为攻击者的中转站;⑷可以使用STMP认证和加密SMTP会话方法避免“开放中继功能”的存在.50.蜜罐答案：蜜罐是在入侵检测系统中,为了引诱黑客前来攻击而故意设置的攻击目标陷阱,蜜罐的主要目的是收集和分析有威胁的信息;了解攻击者采用的攻击技术、方法手段,从而有针对的采取防范措施保护网络安全.51.简述CA数字证书签名过程.答案：⑴在向用户签发数字证书之前,CA首先要对证书的所有字段计算一个消息摘要(使用SHA-1或MD5等杂凑算法);⑵而后用CA私钥加密消息摘要(如采用RSA算法),构成CA数字签名;⑶CA将计算出的数字签名作为数字证书的最后一个字段插入,类似于护照上的印章与签名,该过程由密码运算程序自动完成.52.AdHoc网络答案：Adhoc网络(自组织网络)是由一组带有无线网络接口的移动终端在没有固定网络设置辅助和集中管理的情况下搭建的临时性网络,Adhoc网络具有自组织性、无中心性、动态拓扑、资源受限、多跳路由的特点.53.简述PKI中证书机构和注册机构的作用.答案：⑴证书机构：CA也称数字证书认证中心，作为具有权威性、公正性的第三方可信任机构，是PKI体系的核心构件，负责发放和管理数字证书.

⑵注册机构：RA也称注册中心，是数字证书注册审批机构，是认证中心的延伸，与CA在逻辑上是一个整体，执行不同的功能.54.画出密码体制的示意图,并列出密码体制的语法定义的要素.答案：⑴密码体制示意图

⑵语法定义的要素包括:明文消息空间M、密文消息空间C、加密密钥空间K、有效的加密算法E、有效的解密算法D55.多表密码答案：多表密码也称多表移位密码;明文消息空间的每一个消息元素,可以被代换为密文消息空间的多个元素;将密钥循环与明文进行加密运算,由于同一个字符对应的密钥字符每次可能都不一样,因此得到的秘文也不相同.56.试述RSA密码体制的加密过程.答案：RSA密码体制是一种非对称（公钥）加密体制，主要的加密步骤为：

⑴独立选取两个大素数p1和P2，计算n=p1*p2；

⑵其欧拉函数值为：φ(n)=(p1-1)(p2-1)；

⑶随机选一整数e，要求1<=e<φ(n)，且(φ(n),e)=1，则e有逆元d；

⑷d=e-1modφ(n)；

⑸则公钥取值为：（n,e），私钥为d；57.简述WEP对客户端的认证方式.答案：WEP对客户端的认证方式包括：

⑴开放系统认证：是IEEE802.11协议默认采用的认证方式，对请求认证的任何人提供认证，整个认证过程的

使用明文传输，即使客户端不能提供正确的WEP密钥，也能与接入点建立联系.

⑵共享密钥认证：采用标准的陶展/响应机制，以共享密钥来对客户端进行认证，该认证方式允许移动客户端使

用一个共享密钥来加密数据，没有此共享密钥的用户将被拒绝访问.58.简述FTP协议存在的安全问题及防范措施.答案：.⑴FTP协议的安全问题：FTP协议的port命令主动模式有FTP服务器向客户端主动发起连接请求，防火墙无法正确判断处理，并且port命令还可能引起FTP反弹攻击；访问FTP服务的账户和口令采用明文方式传递，容易被窃取；FTP服务的守护进程使用特权用户模式运行，容易被窃取.

⑵防范的措施：设置FTP服务工作在被动模式；在防火墙中设置禁止所有进入的TCP连接；私用密文来传输用户名和口令.59.简述HTTP协议存在的安全问题及防范措施.答案：HTTP协议用于WEB服务的访问,使用TCP协议的80端口HTTP协议使用明文进行传输,不提供任何方式的数据加密攻击者可以使用网络嗅探工具获取网络传输的重要信息攻击者可以轻易篡改传输数据,发动中间人攻击使用HTTPS协议,在HTTP协议和TCP协议之间增加了安全套接层SSL及传输层安全协议TLS60.MD-5算法答案：MD-5算法是一种广泛使用的杂凑函数,是MD-4算法的改进,较MD-4算法复杂并且速度较慢,但MD-5算法安全性较高,MD-5算法对输入的明文按512bit分组,经过4轮运算,各轮的逻辑函数不同,每轮又要进行16步迭代运算完成.61.试述数字证书的验证过程.答案：⑴用户将数字证书中出最后一个字段以外的所有字段，输入与签名中使用的相同消息摘要算法（杂凑算法）；

⑵由消息摘要算法计算数字证书中除最后一个字段外其它字段的消息摘要，设该消息摘要设为MD_1；

⑶用户从接收到的证书中取出CA的数字签名（证书的最后一个字段）；

⑷用户使用签名者公开的CA公钥，对CA的数字签名信息进行解密运算，得到CA签名所使用的消息摘要设为MD_2；

⑸用户比较MD_1和MD_2，若两者相符，即MD_1=MD_2，则可以肯定数字证书已由CA用其私钥签名，否则用户不信任该证书，将其拒绝.62.简述常用的数字签名技术及特点.答案：⑴RSA签名体制，采用RSA公钥算法建立的签名体制，其安全性依赖于一个大数分解的困难性.它是一种确定性消息签名，同一消息的签名相同.

⑵EIGamal签名体制，采用EIGamal公钥算法的签名体制，其安全性依赖于求离散对数的困难性.它是一种非确定性的双钥体制，对同一明文消息，由于随机参数选择不同而有不同的签名.

⑶中国商用数字签名算法SM2，使用SM2公钥算法的签名体制，是一种椭圆曲线数字签名算法.63.杂凑函数答案：杂凑函数也称为哈希函数