计算机网络安全试题及答案

1、计算机网络安全试题及答案（ 1）一、单项选择题1、当你感觉到你的 Win2000 运行速度明显减慢，当你打开任务管理器后发现 CPU 的使用 率达到了百分之百，你最有可能认为你受到了哪一种攻击。 BA、特洛伊木马B、拒绝服务C、欺骗D、中间人攻击2、RC4 是由 RIVEST 在 1987 年开发的，是一种流式的密文，就是实时的把信息加密成一 个整体， 它在美国一般密钥长度是 128 位，因为受到美国出口法的限制， 向外出口时限制到 多少位？ CA、64 位B、 56位C、 40 位D、 32位3、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使 用哪一种类型的进攻

2、手段？ BA、缓冲区溢出B、地址欺骗C、拒绝服务D、暴力攻击4、小李在使用super scan对目标网络进行扫描时发现，某一个主机开放了25和110端口,此主机最有可能是什么？ BA、文件服务器B、邮件服务器C、WEB服务器5、你想发现到达目标网络需要经过哪些路由器，你应该使用什么命令？D 、 DNS 服务器CA、 pingB 、 nslookupC、 tracert6、以下关于 VPN 的说法中的哪一项是正确的？ CA、VPN 是虚拟专用网的简称，它只能只好 ISP 维护和实施B、VPN 是只能在第二层数据链路层上实现加密C、IPSEC 是也是 VPN 的一种D、VPN 使用通道技术加密，但

3、没有身份验证功能7、下列哪项不属于 window2000 的安全组件？ DA、访问控制B、强制登陆C、审计8、以下哪个不是属于 window2000 的漏洞？ DA、UnicodeB、IIS hackerC、输入法漏洞D 、 ipconfigD、自动安全更新D、单用户登陆9、你是一企业网络管理员，你使用的防火墙在 防火墙的配置不允许，你应该怎么设置防火墙规则？UNIX 下的 IPTABLES ，你现在需要通过对A、iptablesA inputp tcps 23j DENYB、iptablesA inputp tcps 23j DENYC、iptablesA inputp tcpd 23j D

4、ENYD、iptablesA inputp tcpd 23j DENY10、你的window2000开启了远程登陆telnet，但你发现你的 window98和unix计算机没有 办法远程登陆，只有 win2000 的系统才能远程登陆，你应该怎么办？ DA 、重设防火墙规则B 、检查入侵检测系统C、运用杀毒软件，查杀病毒D、将NTLM的值改为011、你所使用的系统为 win2000，所有的分区均是 NTFS的分区，C区的权限为everyone读 取和运行， D 区的权限为 everyone 完全控制，现在你将一名为 test 的文件夹，由 C 区移动 到D区之后，test文件夹的权限为？ BA

5、 、 everyone 读取和运行B 、 everyone 完全控制C、 everyone 读取、运行、写入D 、以上都不对12、你所使用的系统为UNIX ，你通过 umask 命令求出当前用户的 umask 值为 0023，请问该用户在新建一文件夹，具体有什么样的权限？AA、当前用户读、写和执行，当前组读取和执行，其它用户和组只读B、当前用户读、写，当前组读取，其它用户和组不能访问C、当前用户读、写，当前组读取和执行，其它用户和组只读D、当前用户读、写和执行，当前组读取和写入，其它用户和组只读13、作为一个管理员， 把系统资源分为三个级别是有必要的， 以下关于级别 1 的说法正确的 是？ A

6、A、对于那些运行至关重要的系统，如电子商务公司的用户帐号数据库B、对于那些必须的但对于日常工作不是至关重要的系统C、本地电脑即级别 1D 、以上说法均不正确14、以下关于 window NT 4.0 的服务包的说法正确的是？ CA、sp5包含了 sp6的所有内容C、 sp6 不包含 sp5 的某些内容B、sp6包含了 sp5的所有内容D、sp6不包含sp4的某些内容15、你有一个共享文件夹，你将它的NTFS 权限设置为 sam 用户可以修改，共享权限设置 为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有什么样的权限?D、完全控制D 、 3389D 、 ApptalkD、读取、

7、写入和执行A、读取B、写入C、修改16、 SSL 安全套接字协议所使用的端口是：BA、80B 、 443C、 143317、 Window2000 域或默认的身份验证协议是：BA、HTMLB、 Kerberos V5C、 TCP/IP18、在 Linux 下 umask 的八进制模式位 6 代表： CA、拒绝访问B、写入C、读取和写入19、 你是一个公司的网络管理员，你经常在远程不同的地点管理你的网络（如家里），你公 司使用 win2000 操作系统，你为了方便远程管理，在一台服务器上安装并启用了终端服务。 最近， 你发现你的服务器有被控制的迹象， 经过你的检查， 你发现你的服务器上多了一个不

8、 熟悉的帐户， 你将其删除， 但第二天却总是有同样的事发生， 你应该如何解决这个问题? CA、停用终端服务B、 添加防火墙规则，除了你自己家里的IP地址，拒绝所有3389的端口连入C、打安全补丁 sp4D、启用帐户审核事件，然后查其来源，予以追究20、以下不属于 win2000 中的 ipsec 过滤行为的是： DA、允许B、阻塞C、协商D、证书21、以下关于对称加密算法 RC4 的说法正确的是： BA、它的密钥长度可以从零到无限大B、在美国一般密钥长度是 128位，向外出口时限制到 40位C、RC4 算法弥补了 RC5 算法的一些漏洞D、最多可以支持40位的密钥22、你配置 UNIX 下的

9、Ipchains 防火墙，你要添加一条规则到指定的 chain 后面，你应该使 用参数： AA、 AB 、 DC、 SD、 INPUT、多项选择题1、以下关于对称加密的说法正确的是? ACDA、在对称加密中，只有一个密钥用来加密和解密信息B、在对称加密中，用到了二个密钥来加密和解密信息，分别是公共密钥和私用密钥C、对称加密是一个简单的过程，双方都必需完全相信对方，并持有这个密钥的备份D、对称加密的速度非常快，允许你加密大量的信息而只需要几秒钟2、 以下不属于对称加密算法的是？CDA、DESB、 RC4C、 HASHD、 RSA3、 在保证密码安全中，我们应采取正确的措施有？ABA、不用生日做密

10、码B、不要使用少于 5位的密码三、是非题（每题1分，共10分。正确的在括号内划"，错的划X,填入其它符号按错论。）1. 城域网采用LAN技术。（V ）2. TCP/IP体系有7个层次，ISO/OSI体系有4个层次。（X ）3. ARP 协议的作用是将物理地址转化为 IP 地址。（ X）4. 在差分曼彻斯特编码技术中，不需要增加额外的同步时钟。（" ）5. 从理论上说，局域网的拓扑结构应当是指它的物理拓扑结构。（X ）6. 在 10Mb/s 共享型以太网系统中，站点越多，带宽越窄。 （ " ）7. ADSL 技术的缺点是离交换机越近，速度下降越快。 （X ）8. T

11、CP 连接的数据传送是单向的。 （ X ）9. 匿名传送是 FTP 的最大特点。 （" ）10. 网络管理首先必须有网络地址，一般可采用实名制地址。（ X ）二、单选题和多选题（每题 2 分，共 30 分。除题目特殊说明是多选题外，其他均为单选题。 单选题在括号内选择最确切的一项作为答案。 ）1. OSI 模型的物理层负责下列（ C ）功能。A、格式化报文B、为数据选择通过网络的路由C、定义连接到介质的特征D、提供远程文件访问功能2. （ 4选2）在建网时，设计IP地址方案首先要（ B、D ）。A. 给每一硬件设备分配一个 IP 地址B. 选择合理的 IP 寻址方式C. 保证 IP

12、地址不重复D. 动态获得 IP 地址时可自由安排3. Internet 的影响越来越大，人们常把它与报纸、广播、电视等传统媒体相比较，称之为 （ A ）。A、第四媒体B、交互媒体C、全新媒体4. （ 4 选 2）网络按通信方式分类，可分为（A、点对点传输网络5. 下列说法中不正确的是（A、IP地址用于标识连入 B 、在 Ipv4 协议中，一个A、 B ）。B、广播式传输网络D ）。Internet 上的计算机IP 地址由 32 位二进制数组成C、数据传输网D、交流媒体D、对等式网络C、在Ipv4协议中，IP地址常用带点的十进制标记法书写D、A、 B、 C 类地址是单播地址， D、 E 类是组播

13、地址6. 一个路由器有两个端口，分别接到两个网络，两个网络各有一个主机，子网掩码均为，请从中选出两个IP地址分别分配给路由器的两个端口A、C、B、D、IP 地址分别为， B ）。7. （ 4 选 2）下列说法中属于 ISO/OSI 七层协议中应用层功能的是（A、拥塞控制B、电子邮件C、防止高速的发送方的数据把低速的接收方淹没D、目录查询8. （ 4 选 3）如果发现网络变得很慢，经过观察，发现网络冲突增加很多，以下哪些情况会 引起此类故障（ A、 B、 C ）。A、电缆太长B、有网卡工作不正常C、网络流量增大B、D ）。D 、电缆断路9. 下列网卡中，属于按照总线类型分类的是（C ）。A、10

14、M网卡、100M网卡B、桌面网卡与服务器网卡C、PCI网卡、ISA网卡D、粗缆网卡、细缆网卡10. RIP 是（ B ）协议栈上一个重要的路由协议。A、IPXB、 TCP/IPC、 NetBEUID、 AppleTalk11. （4 选 3）下列关于中继器的描述正确的是（A、 B、 C ）。A 、扩展局域网传输距离B 、放大输入信号C、检测到冲突，停止传输数据到发生冲突的网段D、增加中继器后，每个网段上的节点数可以大大增加12. 下列属于 10 BaseT 中网卡与集线器之间双绞线接法的是（ A ）。A、 l l， 22， 33， 66B、 l 3， 26， 3 l， 62C、 12， 21，

15、 36， 63D、 16， 23， 32， 6l13. 划分 VLAN 的方法常用的有（ B ）、按 MAC 地址划分和按第 3 层协议划分 3种。A、按IP地址划分B、按交换端口号划分C、按帧划分D、按信元交换14. 以太网交换机的最大带宽为（ C ）。A、等于端口带宽B、大于端口带宽的总和C、等于端口带宽的总和D、小于端口带宽的总和15. 某公司位于 A市，其分公司位于距 A市120公里的B市，总部与分公司之间在上班时间内要经常性地进行大量电子表格传递，则应选择的合理通信连接方式为（C）。A、普通电话拨号联网B、光缆快速以太网C、帧中继D、星形网三、填充题（每空 1 分，共 20 分）1.

16、 在下列括号中填入局域网或广域网 ：（局域网）通常为一个单位所拥有， （广域网）限制 条件是传输通道的速率， （广域网）跨越无限的距离， （局域网） 通常使用广播技术来替代存 储转发的路由选择。2. 虚拟主机服务是指为用户提供 （域名注册）、（服务器空间租用） 和网页设计制作等服务。3. 衡量数据通信的主要参数有（数据通信速率）和（误码率） 。4. IP 地址，00001101, 00000101，用点分 10 进制表示可写为（219，13，5，238）。5. 综合布线系统可划分为工作区子系统、骨干线子系统、（水平布线子系统） 、管理子系统、（设备间子系统）和户外子系统。6. 任何网络都有以下

17、三个要素，即：共享服务、 （传输介质）和（网络协议） 。7. IP 地址分配有动态主机分配协议、 （ 自动专用 IP 地址寻址） 和（手工设置） 三种 IP 寻 址方式。8. 防火墙的组成可以表示成（过滤器）（安全策略） 。9. 认证主要包括实体认证和（消息认证）两大类。10. Intranet 分层结构包括网络、 （服务）、应用三个层次。11. 在TCP/ IP网络中，测试连通性的常用命令是（ PING ）。四、简答题（共 40分）1. 简述通信子网与资源子网分别由哪些主要部分组成， 其主要功能是什么。 （本题 6 分）答： 通信子网负责整个网络的纯粹通信部分， 资源子网即是各种网络资源 （

18、主机上的打印机、 软 件资源等）的集合。通信子网由两个不同的部件组成，即传输线和交换单元。传输介质也称为电路、信道， 信道是通信中传递信息的通道， 包含发送信息、 接收信息和转发信息的设备。 传输介质是指用于 连接两个或多个网络结点的物理传输电路，例如，电话线、同轴电缆、光缆等。通信信道应 包括传输介质与通信设备， 它是建立在传输介质之上的。 采用多路复用技术时， 一条物理传 输介质上可以建立多条通信信道。2. 试辩认以下 IP 地址的网络类别： （本题 10 分） 01010000 ， 11，0101 ， 1101， 111， ， 11， 101， 01110000， 00110000， 0

19、0111110， ，答： 01010000，11，0101 A 类 ，1101，111，B 类 ，11，101， C 类 01110000，00110000， 00111110， A 类 ， D 类3. 简述交换机与集线器在工作原理上的区别。 （本题 6 分） 答：集线器采用“广播模式”工作，很容易产生“广播风暴” ，当网络规模较大时性能会收 到影响。交换机工作的原理是通过发出请求的端口和目的端口之间相互影响而不影响其他端 口。因此交换机能够抑制广播风暴的产生并在一定程度上隔离冲突域。4. 简述为何在网络中路由器通常比网桥有更长的时延。（本题 8 分）答：由于“路由”过程中采用了源地址和目的地

20、址存储/转发的技术，节点存储 /转发的时延较大，每个节点都要接收、存储、检错、纠错、转发大量的数据信息，路由表建表、改表和 查表工作也会产生节点延迟。这些情况导致路由器的时延较长。5. 简述不支持 TCP/IP 的设备应如何进行 SNMP 管理。（本题 10分）答： SNMP 要求所有的代理设备和管理站都必须实现 TCP/IP 。这样，对于不支持 TCP IP 的设备，就不能直接用 SNMP 进行管理。为此，提出了委托代理的概念。 一个委托代理设 备可以管理若干台非 TCP/IP 设备，并代表这些设备接收管理站的查询，实际上委托代理起 到了协议转换的作用，委托代理和管理站之间按 SNMP 协议

21、通信，而与被管理设备之间则 按专用的协议通信。计算机网络安全试题及答案（2）一、单项选择题（每小题 1 分，共 30 分）1. 下面有关 DES 的描述，不正确的是（ A ）A.是由IBM、Sun等公司共同提出的B.其结构完全遵循 Feistel密码结构C. 其算法是完全公开的D. 是目前应用最为广泛的一种分组密码算法2 下面有关 MD5 的描述，不正确的是（ A ）A. 是一种用于数字签名的算法B. 得到的报文摘要长度为固定的 128 位C. 输入以字节为单位D. 用一个 8 字节的整数表示数据的原始长度3. 在 PKI 系统中，负责签发和管理数字证书的是（ A ）A. CAB. RAC.

22、LDAPD. CPS4. 数字证书不包含（ B ）A. 颁发机构的名称B. 证书持有者的私有密钥信息C. 证书的有效期D. CA 签发证书时所使用的签名算法5. 套接字层（ Socket Layer ）位于（ B ）A. 网络层与传输层之间B. 传输层与应用层之间C. 应用层D. 传输层6. 下面有关 SSL 的描述，不正确的是（ D ）A. 目前大部分Web浏览器都内置了 SSL协议B. SSL 协议分为 SSL 握手协议和 SSL 记录协议两部分C. SSL 协议中的数据压缩功能是可选的D. TLS 在功能和结构上与 SSL 完全相同7. 在基于IEEE 802.1x与Radius组成的认

23、证系统中，Radius服务器的功能不包括（D ）A. 验证用户身份的合法性B. 授权用户访问网络资源C. 对用户进行审计D. 对客户端的 MAC 地址进行绑定8. 在生物特征认证中，不适宜于作为认证特征的是（ D ）A. 指纹 B. 虹膜9. 防止重放攻击最有效的方法是（ B ）A. 对用户账户和密码进行加密C. 经常修改用户账户名称和密码10. 计算机病毒的危害性表现在（ B ）A. 能造成计算机部分配置永久性失效C. 不影响计算机的运行速度C. 脸像D. 体重B. 使用“一次一密”加密方式D. 使用复杂的账户名称和密码B. 影响程序的执行或破坏用户数据与程序D. 不影响计算机的运算结果11

24、. 下面有关计算机病毒的说法，描述正确的是（B ）A. 计算机病毒是一个 MIS 程序B. 计算机病毒是对人体有害的传染性疾病C. 计算机病毒是一个能够通过自身传染，起破坏作用的计算机程序D. 计算机病毒是一段程序，只会影响计算机系统，但不会影响计算机网络13. 计算机病毒具有（ A ）A. 传播性、潜伏性、破坏性C. 潜伏性、破坏性、易读性B. 传播性、破坏性、易读性D. 传播性、潜伏性、安全性14. 目前使用的防杀病毒软件的作用是（C ）A. 检查计算机是否感染病毒，并消除已感染的任何病毒B. 杜绝病毒对计算机的侵害C. 检查计算机是否感染病毒，并清除部分已感染的病毒D. 查出已感染的任何

25、病毒，清除部分已感染的病毒15. 在DDoS攻击中，通过非法入侵并被控制，但并不向被攻击者直接发起攻击的计算机称 为（ B ）A. 攻击者B. 主控端C. 代理服务器D. 被攻击者16. 对利用软件缺陷进行的网络攻击，最有效的防范方法是（ A ）A. 及时更新补丁程序B. 安装防病毒软件并及时更新病毒库C. 安装防火墙D. 安装漏洞扫描软件17. 在 IDS 中，将收集到的信息与数据库中已有的记录进行比较，从而发现违背安全策略的 行为，这类操作方法称为（ A ）A. 模式匹配B. 统计分析18. IPS 能够实时检查和阻止入侵的原理在于 A. 主机传感器19. 将利用虚假A. ICMP 泛洪C

26、. 完整性分析 IPS 拥有众多的 C. 过滤器IP 地址进行 ICMP 报文传输的攻击方法称为（ C. 死亡之 ping ）B. 网络传感器B. LAND 攻击D. 不确定C ）D. 管理控制台D ）D. Smurf 攻击20. 以下哪一种方法无法防范口令攻击（A. 启用防火墙功能C. 关闭不需要的网络服务21. 在分布式防火墙系统组成中不包括（A. 网络防火墙B. 主机防火墙22. 下面对于个人防火墙未来的发展方向，B. 设置复杂的系统认证口令D. 修改系统默认的认证名称)C.中心管理服务器D. 传统防火墙描述不准确的是（ D ）A. 与xDSL Modem、无线AP等网络设备集成B. 与

27、防病毒软件集成，并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成23. 在以下各项功能中，不可能集成在防火墙上的是（ D ）A. 网络地址转换（ NAT） B. 虚拟专用网（ VPN）C. 入侵检测和入侵防御 D. 过滤内部网络中设备的 MAC 地址24. 当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时，该服务器一般要 置于防火墙的（ C ）A. 内部 B. 外部 C. DMZ 区 D. 都可以25. 以下关于状态检测防火墙的描述，不正确的是（ D ）A. 所检查的数据包称为状态包，多个数据包之间存在一些关联B. 能够自

28、动打开和关闭防火墙上的通信端口C. 其状态检测表由规则表和连接状态表两部分组成D. 在每一次操作中，必须首先检测规则表，然后再检测连接状态表26. 在以下的认证方式中，最不安全的是（ A ）A. PAP B. CHAP C. MS-CHAP D. SPAP27. 以下有关 VPN 的描述，不正确的是（ C ）A. 使用费用低廉B. 为数据传输提供了机密性和完整性C. 未改变原有网络的安全边界D. 易于扩展28. 目前计算机网络中广泛使用的加密方式为（ C ）A. 链路加密 B. 节点对节点加密 C. 端对端加密 D. 以上都是29. 以下有关软件加密和硬件加密的比较，不正确的是（ B ）A.

29、硬件加密对用户是透明的，而软件加密需要在操作系统或软件中写入加密程序B. 硬件加密的兼容性比软件加密好C. 硬件加密的安全性比软件加密好D. 硬件加密的速度比软件加密快30. 对于一个组织，保障其信息安全并不能为其带来直接的经济效益，相反还会付出较大的 成本，那么组织为什么需要信息安全？ （ D ）A. 有多余的经费B. 全社会都在重视信息安全，我们也应该关注C. 上级或领导的要求D. 组织自身业务需要和法律法规要求二、填空题（每空 1分，共 20 分）31利用公钥加密数据， 然后用私钥解密数据的过程称为 加密 ；利用私钥加密数据，然后用 公钥解密数据的过程称为 数字签名 。32. 在PKI/

30、PMI系统中，一个合法用户只拥有一个唯一的公钥证书，但可能会同时拥有多个不同的 属性证书 。33. 计算机网络安全领域的 3A 是指认证、授权和 审计 。34. SSL 是一种综合利用 对称密钥 和非对称密钥 技术进行安全通信的工业标准。35. 扫描技术主要分为 主机安全扫描 和 网络安全扫描 两种类型。36. 在 IDS 的报警中，可以分为错误报警和正确的报警两种类型。其中错误报警中，将IDS工作于正常状态下产生的报警称为 误报 ；而将 IDS 对已知的入侵活动未产生报警的现象称 为漏报 。37. 状态检测防火墙是在传统包过滤防火墙的基础上发展而来的，所以将传统的包过滤防火 墙称为 静态包过

31、滤 防火墙，而将状态检测防火墙称为 动态包过滤 防火墙。38. VPN 是利用 Internet 等 公共网络 的基础设施，通过 隧道 技术，为用户提供一条与专网 相同的安全通道。39. VPN 系统中的三种典型技术分别是 隧道技术 、身份认证技术和加密技术 。40. 目前身份认证技术可分为 PKI 和非 PKI 两种类型，其中在 VPN 的用户身份认证中一般 采用 非 PKI 认证方式，而信息认证中采用 PKI 认证方式。三、判断题(每小题 1 分，共 10分)41. Feistel是密码设计的一个结构，而非一个具体的密码产品。(V )42. 暴力破解与字典攻击属于同类网络攻击方式，其中暴力

32、破解中所采用的字典要比字典攻 击中使用的字典的范围要大。 ( V )43. DHCP服务器只能给客户端提供 IP地址和网关地址，而不能提供DNS服务器的IP地址。 (X )44间谍软件能够修改计算机上的配置文件。(X )45. 蠕虫既可以在互联网上传播，也可以在局域网上传播。而且由于局域网本身的特性，蠕 虫在局域网上传播速度更快，危害更大。 (V )46. 与IDS相比，IPS具有深层防御的功能。(V )47. 当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小。(X )48. 在传统的包过滤、代理和状态检测 3类防火墙中，只有状态检测防火墙可以在一定程度 上检测并防止内部用户

33、的恶意破坏。 (V )49. 防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个 基本准则，其中前者的安全性要比后者高。 (V )50. 在利用 VPN 连接两个 LAN 时， LAN 中必须使用 TCP/IP 协议。( X )四、名词解释(每小题 4 分，共 20 分)51. DNS缓存中毒答：DNS为了提高查询效率，采用了缓存机制，把用户查询过的最新记录存放在缓存中， 并设置生存周期(Time To Live , TTL )。在记录没有超过 TTL之前，DNS 缓存中的记录一旦被客户端查询， DNS 服务器(包括各级名字服务器)将把缓存区中的记 录直接返回给客户端

34、， 而不需要进行逐级查询， 提高了查询速率。 DNS 缓存中毒利用了 DNS 缓存机制，在 DNS 服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中 大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录。由于 DNS 服务器之间会进行记录的同步复制，所以在 TTL 内，缓存中毒的 DNS 服务器有可能 将错误的记录发送给其他的 DNS 服务器，导致更多的 DNS 服务器中毒。52. 机密性、完整性、可用性、可控性答：机密性是确保信息不暴露给未经授权的人或应用进程； 完整性是指只有得到允许的人或应用进程才能修改数据，并且能够判别出数据是否已被更改； 可用性是指只

35、有得到授权的用户在需要时才可以访问数据，即使在网络被攻击时也不能阻碍授权用户对网络的使用； 可控性是指能够对授权范围内的信息流向和行为方式进 行控制。53. PMI答：PMI (授权管理基础设施)是在 公钥的管理分离，由 IETF 提出的一种标准。 来管理用户的属性。 PMI 以资源管理为核心，PKI 发展的过程中为了将用户权限的管理与其 PMI 的最终目标就是提供一种有效的体系结构 对资源的访问控制权统一交由授权机构统一处理。同 PKI 相比， 两者主要区别在于 PKI 证明用户是谁， 而 PMI 证明这个用户有什么权限、 能干什么。 PMI 需要 PKI 为其提供身份认证。 PMI 实际提

36、出了一个新的信息保护基础设施， 能够与 PKI 紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行系统的 定义和描述，完整地提供授权服务所需过程。54. 防火墙 答：防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公 共网络)之间或网络安全域之间的一系列部件的组合，通过监测、 限制、 更改进入不同网络 或不同安全域的数据流， 尽可能地对外部屏蔽网络内部的信息、 结构和运行状况， 以防止发 生不可预测的、潜在破坏性的入侵，实现网络的安全保护。55. VPN答：VPN (虚拟专用网)是利用 In ternet等公共网络的基础设施，通过隧道技术， 为用户提供一条与专用网络具

37、有相同通信功能的安全数据通道，实现不同网络之间以及用户 与网络之间的相互连接。从 VPN 的定义来看，其中“虚拟”是指用户不需要建立自己专用的物理线路，而是利用 Internet 等公共网络资源和设备建立一条逻辑上的专用数据通道，并 实现与专用数据通道相同的通信功能； “专用网络”是指这一虚拟出来的网络并不是任何连 接在公共网络上的用户都能够使用的， 而是只有经过授权的用户才可以使用。 同时， 该通道 内传输的数据经过了加密和认证，从而保证了传输内容的完整性和机密性。五、简答题（每小题 10 分，共 20 分）56 根据实际应用，以个人防火墙为主，简述防火墙的主要功能及应用特点。 答：防火墙是

38、指设置在不同网络 （如可信赖的企业内部局域网和不可信赖的公共网络） 之间 或网络安全域之间的一系列部件的组合， 通过监测、 限制、 更改进入不同网络或不同安全域 的数据流， 尽可能地对外部屏蔽网络内部的信息、 结构和运行状况， 以防止发生不可预测的、 潜在破坏性的入侵，实现网络的安全保护。个人防火墙是一套安装在个人计算机上的软件系统， 它能够监视计算机的通信状况， 一旦发 现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接， 以此实现对个人计 算机上重要数据的安全保护。个人防火墙是在企业防火墙的基础上发展起来， 个人防火墙采用的技术也与企业防火墙基本 相同， 但在规则的设置、 防火

39、墙的管理等方面进行了简化， 使非专业的普通用户能够容易地 安装和使用。为了防止安全威胁对个人计算机产生的破坏， 个人防火墙产品应提供以下的主要功能。 防止 Internet 上用户的攻击、阻断木马及其他恶意软件的攻击、为移动计算机提供安全保护、与 其他安全产品进行集成。57 如图所示，描述 DDoS 攻击的实现方法。答：DDoS攻击是利用一批受控制的主机向一台主机发起攻击，其攻击的强度和造成的威胁要比 DoS 攻击严重得多，当然其破坏性也要强得多。在整个 DDoS 攻击过程中，共有四部分组成：攻击者、主控端、代理服务器和被攻击者，其 中每一个组成在攻击中扮演的角色不同。（1）攻击者。攻击者是指

40、在整个DDoS 攻击中的主控台，它负责向主控端发送攻击命令。与 DoS 攻击略有不同， DDoS 攻击中的攻击者对计算机的配置和网络带宽的要求并不高，只要能够向主控端正常发送攻击命令即可。（2）主控端。主控端是攻击者非法侵入并控制的一些主机，通过这些主机再分别控制大量 的代理服务器。 攻击者首先需要入侵主控端， 在获得对主控端的写入权限后， 在主控端主机 上安装特定的程序， 该程序能够接受攻击者发来的特殊指令， 并且可以把这些命令发送到代 理服务器上。（3）代理服务器。代理服务器同样也是攻击者侵入并控制的一批主机，同时攻击者也需要 在入侵这些主机并获得对这些主机的写入权限后， 在上面安装并运行

41、攻击器程序， 接受和运行主控端发来的命令。代理服务器是攻击的直接执行者，真正向被攻击主机发送攻击。（4）被攻击者。 是 DDoS 攻击的直接受害者，计算机网络安全试题及答案（ 3）一、单项选择题（本大题共 20 小题，每小题目前多为一些大型企业的网站或数据库系统。2 分，共 40 分）1. 下面不是计算机网络面临的主要威胁的是（A. 恶意程序威胁C计算机网络实体面临威胁2. 密码学的目的是（D ）A. 研究数据加密B. 研究数据解密B ）B. 计算机软件面临威胁D. 计算机网络系统面临威胁C. 研究数据保密D.研究信息安全3假设使用一种加密算法， 它的加密方法很简单： 将每一个字母加5，即a加

42、密成f。这种算 法的密钥就是 5，那么它属于（ D ）A. 接入网B.企业内部网企业内部网企业内部网企业内部网A.对称加密技术B.分组密码技术C.公钥加密技术D.单向函数密码技术4.根据美国联邦调查局的评估， 80%的攻击和入侵来自（B ）C.公用IP网D. 个人网5. 下面 不是机房安全等级划分标准。A. D 类B.C 类6. 下面有关机房安全要求的说法正确的是（A. 电梯和楼梯不能直接进入机房C.照明应达到规定范围7. 关于机房供电的要求和方式，说法不正确的是（A. 电源应统一管理技术C.电源和设备的有效接地技术8. 下面属于单钥密码体制算法的是（C ）A ）C.B 类D.A 类D ）B.

43、 机房进出口应设置应急电话D. 以上说法都正确A ）B. 电源过载保护技术和防雷击计算机D.不同用途的电源分离技术A. RSAB.LUCC. DESD.DSA9. 对网络中两个相邻节点之间传输的数据进行加密保护的是（A ）A.节点加密B.链路加密C.端到端加密D.DES加密10. 一般而言， Internet 防火墙建立在一个网络的（ A ）A.内部网络与外部网络的交叉点C. 部分内部网络与外部网络的结合处11. 下面是个人防火墙的优点的是（ D ）A. 运行时占用资源C.只能保护单机，不能保护网络系统12. 包过滤型防火墙工作在（ C ）A.会话层B.应用层13. 入侵检测是一门新兴的安全技

44、术，是作为继 （ B ）A.路由器B.防火墙B. 每个子网的内部D. 内部子网之间传送信息的中枢B. 对公共网络只有一个物理接口D. 增加保护级别C. 网络层D.数据链路层之后的第二层安全防护措施。C. 交换机D.服务器14. 是按照预定模式进行事件数据搜寻，最适用于对已知模式的可靠检测。（ D ）A. 实时入侵检测B. 异常检测C.事后入侵检测D. 误用检测15. 的目的是发现目标系统中存在的安全隐患，分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。 （A.漏洞分析B.入侵检测16. 端口扫描的原理是向目标主机的 _ （C ）A. FTPB.UDP17. 计算机病毒是（B ）A

45、. 一个命令B. 个程序18. 下面关于恶意代码防范描述正确的是（ A. 及时更新系统，修补安全漏洞C.启用防火墙，过滤不必要的服务19. 计算机网络安全体系结构是指（AA.网络安全基本问题应对措施的集合C.网络层次结构与各层协议的集合A ）C.安全评估_端口发送探测数据包，D.端口扫描并记录目标主机的响应。C.TCP/IPD.WWWC.一个标记D. 一个文件D ）B.设置安全策略，限制脚本D .以上都正确）B.各种网络的协议的集合D. 网络的层次结构的总称20. 下面不是计算机信息系统安全管理的主要原则的是（B ）D. 职责分离原则A.多人负责原则B.追究责任原则C.任期有限原则二、填空题（

46、本大题共 10 小题，每小题 1分，共 10 分）21. PPDR 模型包含四个主要部分：安全策略、防护、_检测_、_响应22. 电磁辐射的防护措施有屏蔽、滤波、_隔离 _、_接地_。23. 明文是作为加密输入的原始信息，即消息的原始形式，通常用m或p表示。24. 从工作原理角度看，防火墙主要可以分为_网络层_和_应用层 _。25. 基于检测理论的分类，入侵检测又可以分为_异常检测 _和_误用检测 _。26. 安全威胁分为： _人为 _和_非人为 _。27. 安全威胁是指所有能够对计算机网络信息系统的_网络服务 _和_网络信息 _的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。28.

47、防范计算机病毒主要从 _管理 _和_技术 _两个方面着手。29. 恶意代码的关键技术：生存技术、_攻击技术 _和_隐藏技术 _。30. 保护、监测、 _响应_、 _恢复 _涵盖了对现代网络信息系统保护的各个方面，构成了 一个完整的体系，使网络信息安全建筑在更坚实的基础之上。1. P2DR （PPDR）模型是一种常用的计算机网络安全模型，包含4个主要组成部分，分别是：（ 安全策略 ）、（防护 ）、（检测）和（响应）。2网络安全的管理方面主要侧重于防止（内部人为因素 ）的破坏。3密码体制从原理上可分为两大类，即单钥密码体制和_（双秘钥密码体制 ）。4在加密系统中，作为输入的原始信息称为明文，加密变

48、换后的结果称为（ 密文 ）。5从系统构成上看，入侵检测系统应包括数据提取、（入侵分析 ）、响应处理和远程管理四大部分。6黑客攻击的三个阶段是：（ 收集信息 ）、探测系统安全弱点和网路攻击。7（网络监听 ）本来是为了管理网络，监视网络的状态和数据流动情况，但是由于它能有效 地截获网上的数据，因此也成了网上黑客使用得最多的方法。网络安全涉及的内容既有技术方面的问题，也有 （管理 ）方面的问题。8、ARP协议的功能是将（ip地址）地址转换成（MAC地址）地址。4、解决 IP 欺骗技术的最好方法是： （安装过滤路由器）5、VPN 是利用 Internet 等（公共互联网络）的基础设施，通过（隧道 ）技

49、术，为用户提供 一条与专网相同的安全通道。3、 数字签名能够实现对原始报文的（ 不可否认性 ） 和 （鉴别 ） 。4、网络信息安全模型中 （政策、法律、法规 ）是安全的基石，它是建立安全管理的标准和方 法。4、构成 VPN 的主要内容有： （PPTP） 、（ L2TP）、（ IPSEC）6、计算机网络安全领域的3A是指认证、 授权和（审计）。2、常见扫描攻击包括 （IP 扫描） 和 （ 端口扫描） 。3、 为了网络资源及落实安全政策，需要提供可追究责任的机制， 包括：（认证 ）、 授权 和 审 计。4、 防火墙应该安装在（内网）和（外网） 之间 。5、基于密钥的加密算法通常有两类，即（对称算法

50、）和（ 公用密钥算法） 。6、 网络安全面临的主要威胁：（黑客的攻击） 、（ 计算机病毒）和（拒绝服务访问 攻击）。7.IP地址为；第二个子网能容纳12台主机；第三个子网能容纳 30台主机；请写出子网掩码， 个子网网络地址和可用的 IP 段？主机数量 子网 子网网络地址 可用地址段30 （13 （12 （ 第一章： 1，信息安全定义：为了防止对知识，事实，数据或功能未经授权而使用，误用，未经授权 修改或拒绝使用而采取的措施。第二章1，攻击的类型：访问攻击（信息保密性攻击） ，修改攻击（信息完整性攻击） ，拒绝访问攻 击，否认攻击。2，访问攻击类型：监听，窃听，截听。 3，修改攻击类型：更改攻击

51、，插入攻击，删除攻击。4，什么是 warchalking ？： warchalking 是指在办公楼外面的道路旁边画的粉笔标记。 这些标 记用来标识附近有哪些无线网络可以使用，便于个人更容易接入这些网络。第三章1，黑客动机：挑战，贪婪，恶意。2，黑客技术的类型：开放共享，糟糕的密码，编程中的漏洞，社会工程，缓存溢出，拒绝 服务。3，缓存溢出：为了攻击系统而占满计算机系统空间，或者允许黑客具有对系统的提升权限 的过程，就是试图在计算机内存空间中缓存过多的信息。原因是由于应用程序中存在漏洞， 而在将用户数据复制到另一个变量中时没有检查数据的复制量， 可以通过检查程序的源代码 来发现。4Ip 哄骗：

52、攻击者通过伪造计算机的 ip 地址来实施攻击的攻击策略。原理：因为数据包中 无法验证 ip 地址，因此黑客可以修改数据包的源地址，随心所欲的修改数据包的来源。黑 客首先确认他的目标，之后判断 isn 中使用的累加数，一旦 isn 累加数确定之后，黑客可以 使用假的源 ip 地址向目标发送 tcp syn 数据包。目标就以 tcp syn ack 数据包响应，发送到假 冒源 ip 地址。5. 特洛伊木马：是外表看上去有用的程序，但是实际上是破坏计算机系统，或者为攻击者收 集识别信息和密码信息的恶意代码。6病毒：寄生在合法代码上的恶意代码，在执行时，它干扰计算机操作或者破坏信息。传 统的病毒通过可

53、执行文件或命令文件来执行， 但是它们现在已经扩展到了数据文件， 被称为 宏病毒。7蠕虫病毒：无需受害者的帮助而自行从一个系统蔓延到另一个系统的程序。它们修改目 标系统并自行扩散，进而对网络上的其他系统实施攻击。8，黑客必须完成以下两种工作才能监听交换网络：让交换机发送通信给交换网络，或者让 交换机发送通信给所有端口。9通过复制mac或者哄骗arp或点dns,可以欺骗交换机发送通信给嗅闻器。1. 信息的特性：机密性，整体性，可用性，责任性。2. 可用性：在信息系统中，可用性是指提供服务，是用户能够访问信息，应用程序和系 统，进而完成其任务的安全服务。3. 机密性：为机构提供安全的信息环境服务。如

54、果使用正确，机密性仅仅允许授权的用 户访问信息。4. 机密性机制：为了确保机构信息的安全性而制定的机制，它包括物理控制，计算机访 问控制和文件加密。1，策略包含的三个部分：1 目的：说明创建这个策略或过程的原因，以及机构预期从中获得哪些利益。 2：范围：规定其适用的范围。3：责任：规定哪些人对正确实现该策略或过程负有责任。第七章1. 薄弱点：潜在的攻击途径，可以存在于计算机系统和网络中或者管理过程中。2. 威胁的三个要素： 目标（可能受到攻击的一个安全方面） ，作用者 （进行威胁的人或机构） ， 事件（构成威胁的行为类型） 。3. 作用者的三个特性：访问（作用者所具有的接近目标的能力），知识（

55、作用者所具有的关于目标的信息级别和类型） ，动机（作用者所具有的发动对目标的威胁的理由） 。第八章1. 信息安全的过程：评估，策略，实现，培训，审核。2. 审核：功能包括策略遵守审核，定期项目评估和新的项目评估，入侵检测。保证与策略相 关的控制经过了正确的配置。第十章1防火墙：一种网络的访问控制设备 （可以是硬件， 也可以是软件） ，用于适当的通信通过， 从而保护机构的网络或者计算机系统。类型：应用层防火墙和数据包过滤防火墙。第十一章1.虚拟专用网络（vpn）：特点：通信数据是经过加密的，远程站点是经过认证的，可以使用多种协议，连接是点对点的。 组成部分：vpn服务器，加密算法，认证系统，vpn协议。 第十二章1 加密： 使信息变得混乱， 从而对未经授权的人隐藏信息，