计算机CISSP认证-4

1、计算机CISSP认证-4( 总分： 100.00 ，做题时间： 90 分钟 )一、 ( 总题数： 40，分数： 100.00)1.IP telephony networks require the same security measures as those implemented on an IP data network. Which of the following is unique to IP telephony?(分数： 2.50 )A. Limiting IP sessions going through media gatewaysVB. Identification of

2、rogue devicesC. Implementation of authenticationD. Encryption of packets containing sensitive information解析：解析A正确。媒体网关(media gateway)是不同电信网络之间的转译单元。VolP(Voice over InternetProtocol)媒体网关将时分复用模式 (Time Division Multiplexing, TDM)语音转换为 VoIP。作为一种安全措施，通过媒体网关的呼叫数量应该受到限制。否则，媒体网关很容易受拒绝服务攻击、劫持和其他类型 的攻击。B不正确。因

3、为识别IP电话和数据网络上的流氓设备很有必要。在IP电话网络上，很有必要专门寻找流氓 IP 电话和流氓软件电话。流氓意味着这些设备是未经授权的，因而它们不受IT 的管理和安全保护，会给网络带来额外的风险。数据网络上常见的流氓设备是无线接入点。流氓接入点会为未授权的用户提供进 入该网络的入口。C不正确。因为在数据网络和语音网络中都推荐使用身份验证。在这两种网络中，身份验证允许对网络上 的用户和设备进行注册，从而使管理员能在有人试图连接该网络时，验证他们的确是他们所声称的人。身 份验证也允许管理员拒绝那些未经授权的用户和设备访问该网络。D不正确。因为敏感数据既可以通过语音网络传输也可以通过数据网络

4、传输，但数据在这两种网络中传输 时都被加密了。窃听 (eavesdropping) 是 VoIP 网络面临的一个非常现实的威胁。所有的销售会议、管理层 会议、财务会议等都是通过电话进行的。这些会议上说的每句话都易遭受窃听。加密语音数据是保护这些 敏感数据的最好方法之一。2. Cross-site scripting (XSS) is an application security vulnerability usually found in Webapplications. What type of XSS vulnerability occurs when a victim is trick

5、ed into opening a URL programmed with a rogue script to steal sensitive information?(分数： 2.50 )A. Persistent XSS vulnerabilityB. Nonpersistent XSS vulnerabilityVC. Second-order vulnerabilityD. DOM-based vulnerability解析： 解析 B 正确。跨站脚本攻击 (Cross-Site Scripting, XSS) 指的是攻击者把他们的恶意代码插入 到脆弱网站的攻击行为。当毫无戒备的用户访

6、问受感染的网页时，恶意代码会在受害者的浏览器上执行， 并可能导致 cookie 被盗、会话被劫持、 恶意软件被执行、 访问控制被绕过或浏览器的漏洞被利用等情况的 出现。XSS漏洞主要有三种类型：永久的 XSS非永久的XSS和基于DOM勺XSS当攻击者欺骗受害者打开 一个用恶意脚本编写的URL以偷取受害者的敏感信息(比如cookie或会话ID)时，便会出现非永久漏洞(也叫反射漏洞 ) 。这个攻击的原理在于利用了动态网站上缺乏适当的输入或输出验证这一弱点。诸如此类的XSS攻击可能造成大规模破坏。cookie被盗可能导致 Web邮件系统受损、博客攻击、银行账户被关闭。大多数钓鱼攻击都是由 XSS漏洞

7、引起的。A不正确。因为永久漏洞针对的是允许将用户输入的数据存储在数据库或类似地方(比如论坛或消息板)的网站。这类攻击的代码能够自动呈现，而无须诱使用户访问第三方网站。克服XSS漏洞的最好方法是培养安全编程习惯。 Web应用程序开发人员必须确保过滤每个用户输入。用户输入应该仅仅允许有限的、已知 且安全的字符。C不正确。因为二阶漏洞(second-order vulnerability)是永久XSS漏洞的另外一个名称，它针对的是允许用户输入存储在数据库上的数据的网站。D不正确。因为在基于DOM勺XSS漏洞中，攻击者使用文件对象模型(Document Object Mode, DOM)环境来修改原始

8、的客户端 JavaScript ，进而导致受害者的浏览器执行得到的被篡改的 JavaScript 代码。因此， 跨站攻击可以用来发现受害者Web浏览器的漏洞。一旦攻击者成功破解这个系统，他可能会进一步渗入到该网络上的其他系统或者执行可在内部网络上传播的脚本。对客户端而言，防止XSS攻击的最有效方法是禁用浏览器对脚本语言支持。如果这个方法不可行，那么可以使用内容过滤代理服务器。3. Angela wants to group together computers by department to makeit easier for them to share network resources.

9、 Which of the following will allow her to group computers logically?(分数： 2.50 )A. VLAN VB. Open network architectureC. IntranetD. VAN解析：解析A正确。虚拟LAN(VLAN使得无论计算机系统在什么标准物理位置，都可以根据资源要求、 安全或业务需要对计算机进行逻辑分离和分组。 这个技术允许 Angela 在逻辑上把所有计算机都放置于同一 个VLAN网络上的同一个部分，使得所有用户无论物理位置在哪，都能接收相同的广播消息并能访问同种类型的资源。这意味着计算机即使不处于

10、同一网络上，也能被划分在同一组。B不正确。因为开放网络描述了构成一个网络的技术。它不属于任何供应商所有、没有专利但能很容易地 整合各种不同技术和供应商对这些技术的实施。 OSI 模型提供了一个开发可以在开放网络体系中工作的产 品的框架。供应商把 OSI 模型作为蓝图，开发他们自己的协议和接口，并提供与其他供应商不同的功能。 然而，由于这些供应商都使用 OSI 模型作为出发点，所以整合其他供应商的产品十分容易，而且这些产品 之间的互通性问题比起开发商从一开始就各自开发自己的网络体系结构要少得多。C不正确。因为内联网是公司在想要把Internet和Web技术用于内部网络时使用的私有网络。这个公司有

11、Web服务器和使用 Web浏览器的客户机，它使用TCP/IP协议族。Web页面是用HTML或者XML编写的，可以 通过HTTP访问。D不正确。因为增值网络(Value-Added Network, VAN) 是服务机构开发和维护的电子数据交换(ElectronicData Interchange, EDI) 基础设施。下面这个例子说明了VAN的工作方式：有一家零售店 (如Target)，它通过让雇员扫描单个物品上的条形码来跟踪记录库存情况。当某一物品例如花园水管的库存量变 低时，雇员会发出请求，要求进更多的花园水管。这个请求进入到Target付费使用的VAN上的一个邮箱，然后该请求就被外推给花

12、园水管供应商。因为Target与成千上万个供应商打交道，而使用VAN简化了订货流程，而无须再手动找出正确的供应商并提交购货单。4. Which of the following incorrectly describes how routing commonly takes place on the Internet? (分数： 2.50 )A. EGP is used in the areas "between" each AS.B. Regions of nodes that share characteristics and behaviors are called

13、ASs.C. CAs are specific nodes that are responsible for routing to nodes outside of their region. VD. Each AS uses IGP to perform routing functionality.解析： 解析 C 正确。证书授权机构 (Certificate Authority, CA)是一家提供公钥基础设施中使用的数据证书的第三方可信机构。CA与路由协议毫无关系。PKI环境提供了分层的信任模型，但不涉及流量路由。A不正确。因为这个陈述是正确的。外部网关协议(Exterior Gatewa

14、y Protocol, EGP) 作用在每个自治系统(Autonomous System, AS)之间。Internet的体系结构支持这些不同的AS,所以，需要与某一特定 AS进行连接的实体无须知道或了解这些可以使用的内部协议。相反，AS之间要想通信，它们只需要使用相同的外部路由协议即可。B不正确。因为这个陈述是正确的。共享特点和行为的节点地区(网络)叫做自治系统。这些自治系统是由不同的公司和组织单独控制的。一个自治系统是由单个实体管理的计算机和设备组成，AS使用常见的内部网关协议(Interior Gateway Protocol, IGP)。这些AS的边界由边界路由器划定。边界路由器与其他

15、AS的边界路由器相连，并运行内部路由协议和外部路由协议。内部路由器与同一 AS内的其他路由器相连，并运行内部路由协议。因此，实际上Internet是一个由AS和路由协议组成的网络。D不正确。因为内部网关协议 (Interior Gateway Protocol, IGP)处理每一个 AS内的路由任务。IGP有两类：距离矢量路由协议 (distance-vector routing protocols)和链路状态路由协议 (link-state routing protocols) 。距离矢量路由协议包括路由信息协议 (Routing Information Protocol, RIP) 和内部

16、网关协议 (Interior Gateway Protocol, IGP) 。使用距离矢量路由协议的路由器不具备有关整个网络拓扑的信息。 而使用链路状态路由协议的节点具备有关整个网络拓扑的信息。距离矢量路由协议的例子有开放最短路径 优先 (Open Shortest Path First, OSPF) 路由协议和中间系统到中间系统 (Intermediate System to Intermediate System, IS-IS) 路由协议。5. Both de facto and proprietary interior protocols are in use today. Which

17、of the following is a proprietary interior protocol that chooses the best path between the source and destination? (分数： 2.50 )A. IGRP VB. RIPC. BGPD. OSPF解析： 解析 A 正确。内部网关路由协议 (Interior Gateway Routing Protocol, IGRP)是一个距离矢量路由协议，由思科系统(Cisco System)公司开发并所有。路由信息协议(Routing Information Protocol, RIP) 用1个

18、标准来找出源和目的地之间的最佳路径，而IGRP用5个标准来确定“最佳路线”。网络管理员可以为这些不同的度量标准设置不同的权重，从而使协议在该特定环境中达到最佳工作状态。B不正确。因为路由信息协议 (Routing Information Protocol, RIP)并非私有，而是一个描述路由器如何交换路由表数据的标准，它被认为是一种距离矢量协议，即它会计算源和目的地之间的最短距离。由于路由信息协议性能不佳、功能不全，所以它被认为是遗留协议，且应该仅用于小型网络中。RIP版本1没有身份验证，RIP版本2发送明文或MD5散列形式的密码。C不正确。因为边界网关协议 (Border Gateway P

19、rotocol, BGP)是一个外部网关协议(Exterior GatewayProtocol, EGP> BGP使不同AS内的路由器能够共享路由信息，从而确保不同网络之间的路由有效且高效。 通常Internet服务提供商会用BGP将数据从Internet上的一个地点路由到另一个地点。D不正确。因为开放最短路径优先(Open Shortest Path First, OSPF)并非私有。OSPF使用链路状态算法发送路由表信息。这些算法的使用允许路由表更新的范围更小、频率更快。与RIP相比，OSPF提供了更为稳定的网络，但是它需要更多的内存和CPU资源来处理额外的过程。OSPF允许拥有将所

20、有子网连在一起的网络骨干链接的层级路由网络。如今，OSPF是一个更受欢迎的协议，并在许多网络中已经取代了RIP。使用OSPF协议，用户仅使用明文密码或散列密码就可以进行身份验证，或者可以选择在路由器上不配置身份验证。6. Which of the following categories of routing protocols builds a topology database of the network? (分数： 2.50 )A. DynamicB. Distance-vectorC. Link-stateVD. Static解析： 解析 C 正确。路由协议说明了路由器彼此进行“谈话

21、”的方式。路由协议分发的是使得路由器能 在网络的两个节点之间选择一条路线的信息。然后，路由器利用路由算法选择一条路线。每个路由器都知 道与它直接相连的网络的信息。这些信息将与它的近邻共享，之后再通过一个路由协议传遍整个网络。这 样，路由器就可以学习到这个网络的拓扑结构。路由协议主要有两类：距离矢量路由协议和链路状态路由 协议。链路状态路由协议构建的路由表比距离矢量协议构建的路由表更加精确，因为链路状态路由协议构 建的是一个网络的拓扑数据库。链路状态路由协议将参考更多的变量，而不仅仅是两个目的地之间的跃点 数量。链路状态路由在算法中使用分组长度、链路速度、延时、加载和可靠性等变量来决定数据包传输

22、的 最佳路线。A不正确。因为动态路由协议并不构建网络的拓扑数据库。然而，链路状态路由表(构建网络的拓扑数据库)被归为动态路由协议是因为它发掘路线，并构建路由表。路由器用这些路由表来确定它们接收到的数据包 的最佳路线。动态路由协议可以根据不同路线的变化而改变路由表中的记录项。当使用动态路由协议的路 由器发现某一路线已经关闭或者拥塞时，它会向周围的其他路由器发送一个更新消息。其他路由器使用这 个信息更新它们的路由表，从而提供有效的路由功能。B不正确。因为距离矢量路由协议并不构建网络的拓扑数据库。路由协议分为距离矢量和链路状态两种。 距离矢量路由协议根据距离 （或跃点数量 ）和一个矢量 （一个方向

23、） 来确定它们的路由方案。这个协议接受这 些变量，并将其用于算法中来判断传输数据包的最佳路线。距离矢量路由协议构建的路由表不如链路状态 路由协议构建的路由表精确，原因是距离矢量路由协议使用较少的变量来判断最佳路线。D不正确。因为静态路由协议并不构建网络的拓扑数据库。路由协议可以分为动态和静态两种。动态路由协议能够发现路线，并构建一个自己的路由表，而静态路由表要求管理员手动配置路由器的路由表。7. Which of the following does not describe IP telephony security?（分数： 2.50 ）A. VoIP networks should be

24、 protected with the same security controls used on a data network.B. Softphones are more secure than IP phones.VC. As endpoints, IP phones can become the target of attacks.D. The current Internet architecture over which voice is transmitted is less secure than physical phone lines.解析： 解析 B 正确。 IP 软件

25、电话应该谨慎使用。软件电话是指允许用户利用计算机通过Internet 打电话的软件应用程序。替代了专用硬件的软件电话用起来和传统电话一样。可以用耳机连接到个人电脑的声卡上或者使用USB电话。Skype就是这样的一个软件电话应用程序。与基于硬件的IP电话相比，软件电话使 IP 网络更脆弱。然而，软件电话并不比其他任何交互式 Internet 应用程序差。除此之外，以数据为中 心的恶意软件能更轻易地通过软件电话进入网络，因为它们不像IP 电话一样把语音流量从数据中分离开。A不正确。因为这个陈述正确地描述了IP电话网络安全。IP电话网络使用的技术与传统IP网络相同，只是它能支持语音应用程序。因此，

26、IP 电话网络与传统 IP 电话网络具有相同的漏洞，应该受到相应保护。 这意味着 IP 电话网络也应该配有合适的安全机制。C不正确。因为这个陈述是正确的。IP电话网络上的IP电话与数据网络上的工作站同样易受攻击。因此，IP 电话得到的保护应该与在传统工作站上实施的许多安全控制是相同的。 例如，应该修改默认管理员密码、 禁止不必要的远程访问功能、启用日志记录和保护固件升级流程的安全等。D不正确。因为这个陈述是正确的。在大多数情况下，当前传输语音的Internet体系结构大都不如物理电话线安全。物理电话线提供点对点的连接，比起构成大部分 Internet 的软件型隧道来说，更难以接入。这 是在保护

27、 IP 电话网络安全时应该考虑的一个重要因素， 因为网络现在可以传输两种宝贵资产： 数据和语音。 通过电话透漏个人身份信息、 财务信息和其他敏感数据的现象随处可见。 拦截 IP 电话网络上的这种数据和 拦截常规数据一样简单。现在，语音流量也需要被加密。8. When an organization splits naming zones, the names of its hosts that are only accessible from an intranet are hidden from the Internet. Which of the following best descri

28、bes why this is done? （分数： 2.50 ）A. To prevent attackers from accessing serversB. To prevent the manipulation of the hosts fileC. To avoid providing attackers with valuable information that can be used to prepare an attack VD. To avoid providing attackers with information needed for cybersquatting解析

29、：解析C正确。许多公司都有自己的内部DNS服务器来解析内部主机名。这些公司通常也在ISP上使用这种DNS服务器解析Internet上的主机名。公司通常不止使用一个DNS服务器来解析整个网络上的主机名，这样就可以分流负载量，从而确保冗余和容错可以很好地工作。在DNS服务器内，网络被分割成多个区。一个区可能包含市场营销部和会计部门的所有主机名，而另一个区可能包含行政、研发和法律部门 的所有主机名。如果可能的话，分割DNS区是一个好主意，这样使得仅从内部网上可以访问的主机名称在Internet 上变得不可见。这个信息对于正筹划攻击的攻击者来说非常有价值，因为它可以透漏出诸如网络 结构、组织结构或服务

30、器操作系统等信息。A不正确。因为这不是本问题的最佳答案。命名分区被划分开，使得攻击者无法获悉内部系统的有关信息， 如名称、IP地址、功能等。在渗透DNS服务器之后可能采取的一个二级攻击是以未授权的方式访问服务器， 然而确保只对服务器进行未授权的访问并不是分割DNS区的主要原因。B不正确。因为分割命名区与如何设置DNS以解析主机名有关，而与操纵主机文件无关。操纵主机文件的原因有多种，且有好有坏。主机文件总是把主机名 localhost 映射到 IP 地址 这是回路网络接 口，在RFC3330中定义）和其他主机上。有些病毒会把反病毒供应商的无效IP地址添加到主机文件中以躲避检测。把经常访问的IP地

31、址添加到主机文件能提高Web浏览的速度。你也可以把间谍软件和广告网址列表添加到主机文件中，并把它们映射到回路网络接口，从而达到阻止间谍软件和广告网络的目的。这样， 这些网站总是指向用户机器而无法到达。D不正确。因为黑客进行域名抢注（cybersquatting）并不需要。DNS服务器上的信息。域名抢注指的是攻击者购买与知名品牌、 公司名称或其变体相关的域名， 然后再把它卖给合法拥有者以谋取利益的行为。 同时， 该公司的形象可能会误传给公众。组织避免域名被抢注的唯一办法是注册与其域名相近的各种不同域名， 或者通过商标诉讼来处理相关事情。9. Which of the following best

32、 describes why e-mail spoofing is easily executed?（分数： 2.50 ）A. SMTP lacks an adequate authentication mechanism.VB. Administrators often forget to configure an SMTP server to prevent inbound SMTP connections for domains it doesn"t serve.C. Keyword filtering is technically obsolete.D. Blacklists

33、 are undependable.解析：解析A正确。电子邮件欺骗之所以很容易实施是因为SMTP缺乏一种充分的身份验证机制。攻击者可以通过向邮件服务器端口25发送Telnet命令和大量SMTP简单邮件传送协议）命令，达到欺骗电子邮箱发件者地址的目的。垃圾邮件发送者使用电子邮件欺骗来混淆他们的身份。在很多情况下，一封垃圾邮 件声称的发送者实际上是垃圾邮件的受害者，因为受害者的电子邮件地址已经被卖给垃圾邮件发送者。B不正确。因为这个答案暗指开放邮件中继服务器。配置SMTP服务器以防止到SMTF不服务的域名的SMTP连接的问题是一个很少见的错误。众所周知，开放邮件中继允许垃圾邮件发送者隐藏他们的身份

34、，这是垃 圾邮件发送的一个主要工具。因此，开放邮件中继被认为是不良系统管理的标志。电子邮件欺骗不需要开 放中继。C不正确。因为关键词过滤是一种能够抵制垃圾邮件的对策。虽然关键词过滤曾经流行一时，但现在单独 使用它并不是一个有效的对策。关键词过滤容易出现误报，垃圾邮件发送者也已经找到了对付它的有效方 式。例如，故意拼错关键词，或者用特殊字符替换普通单词里的一两个字母等。D不正确。因为黑名单列表列出了已知的发送垃圾邮件的开放邮件中继服务器。管理员根据黑名单列表防 止对来自这些主机发送的电子邮件的转发，从而达到抵制垃圾邮件的目的。然而，不能完全依靠黑名单达 到保护的目的，因为这些黑名单经常由一些私人

35、组织和个人根据他们自己的规则来管理。10. Which of the following is not a benefit of VoIP?（分数： 2.50 ）A. CostB. ConvergenceC. FlexibilityD. SecurityV解析： 解析 D 正确。互联网语音协议 （Voice over Internet Protocol, VoIP）指的是通过 IP 网络传送语音通信的传输技术。 IP 电话使用与 TCP/IP 相似的技术，因此它的脆弱性与 TCP/IP 也是相似的。语音系 统容易遭受应用程序操纵 （如收费欺诈和阻止 ）、未授权的行政访问和不良实施等威胁。 在网

36、络和媒体方面， 它也易遭受针对网关和网络资源的拒绝服务攻击。窃听也是一个问题，因为数据流量都是用明文发送，除 非它被加密了。A不正确。因为降低成本是 VoIP的一个优点。使用 VoIP意味着公司只需要支付并维护一个网络，而不是 维护分别负责数据传输和语音传输的两个网络。像电话会议、呼叫转移和自动重拨等电话功能在开源VoIP实现中都是免费的，而传统的电信公司对这些功能都会收取额外的费用。此外，VoIP 的成本之所以低也是因为它们的计费方式。 VoIP 电话按每兆字节计费，而传统电话是按分钟计费。通常，通过 Internet 发送 数据要比在相同时间内通过常规电话发送相同数据要便宜。B不正确。因为

37、聚合（convergence）是VoIP的一个优点。聚合是指传统IP网络与传统模拟电话网络的融合。 之所以称之为一个优点是因为公司不需要再分别支付和维护数据网络和语音网络。然而，虽然聚合节约了 资金和管理开销，但是必须了解和处理某些安全问题。C不正确。因为灵活性是VoIP的一个优点。这个技术不需要增加额外的线路， 很容易就能通过一个Internet 宽带连接进行多路电话通话。它也拥有位置上的独立性。要想获得WAN或 MAN电话到VoIP提供商的连接， 所需要的就是充足的 Internet 连接。 VoIP 也可以与其他 Internet 服务整合，比如视频通话、通话过程中 的文件交换和音频会议

38、等。11. Today, satellites are used to provide wireless connectivity between differentlocations. Whattwo prerequisites are needed for two different locations to communicate via satellite links?（分数： 2.50 ）A. They must be connected via a phone line and have access to a modem.B. They must be within the sa

39、tellites line of site and footprint.VC. They must have broadband and a satellite in low Earth orbit.D. They must have a transponder and be within the satellite"s footprint.解析： 解析 B 正确。两个不同的地点使用卫星网进行通信时，这两个地点必须在卫星的视线和覆盖范围 之内。信息发送者把信息调制成发送给卫星的无线电信号。卫星上的转发器接收到这个信号，对其进行放 大，然后再传递给接收者。这个接收者必须拥有某种类型的天

40、线，它们通常是圆的、像盘子一样装在建筑 物顶端的装置。这种天线包含一个或多个微波接收器，微波接收器的数量取决于它要接收多少个卫星发出 的数据。卫星覆盖区的大小取决于所使用的卫星类型。它可以大得像一个国家那么大，也可以小得只有方 圆几百英尺。A不正确。因为电话线和调制解调器不是无线的。然而，大多数情况下，卫星宽带是一个混合系统，即它 使用常规电话线和类似调制解调器的技术接受从用户机器上发送的数据和请求，但使用卫星链路把数据发 送给用户。C不正确。因为卫星提供宽带传输。它普遍用于电视频道和PC Internet访问。虽然有一个在轨卫星很有必要，但是那些低地球轨道卫星通常用于双向寻呼、国际移动通信、

41、电视台和Internet 用途。这不是本问题的最佳答案。D不正确。因为这两个地点不需要转发器。转发器安装在卫星上。转发器接收信号、放大信号后再把它发 送给接收者。不过，这两个地点必须在卫星的覆盖区域之，内。12. Brad is a security manager at Thingamabobs Inc. He is preparing a presentation for his company"s executives on the risks of using instant messaging （IM） and his reasons for wanting to proh

42、ibit its use on the company network. Which of the following should not be included in his presentation? （分数： 2.50 ）A. Sensitive data and files can be transferred from system to system over IM.B. Users can receive informationincluding malware from an attacker posing as a legitimatesender.C. IM use ca

43、n be stopped by simply blocking specific ports on the network firewalls.VD. A security policy is needed specifying IM usage restrictions.解析： 解析 C 正确。即时通信 （Instant Messaging, IM） 允许人们通过一种实时私人聊天室彼此进行通 信。当“好友列表”上的人连上内联网或 Internet 时，它便提醒该用户， 以便他们能够实时来回发送文本 信息。这个技术也允许文件从一个系统传输到另一个系统。即时通信技术由客户端和服务器组成。用户安

44、装一个IM客户端（AOL、ICQ、Yahoo Messenger等），并被分配一个唯一的标识符。用户把这个唯一的标识 符告诉给他想要通过 IM 与之进行通信的人。阻止防火墙上的特定端口并不总有效，因为 IM 流量可能使用 需要开放的普通端口 （HTTP端口 80和FTP端口 21）。当默认的端口不可用或被防火墙阻止后，许多IM客户端会自动配置到另外一个端口上工作。A不正确。因为除了文本信息，即时通信还允许在系统间传输文件。这些文件可能包含敏感信息，从而使 公司面临业务和法律风险。当然，通过 IM 共享文件还会消耗网络带宽，影响网络性能。B不正确。因为这个陈述是正确的。因为缺乏强大的身份验证机制

45、，账户可以被欺骗，从而导致接收者从 恶意用户而不是合法发送者那里接收信息。已经有大量的缓冲区溢出和恶意数据包成功地攻击了不同的IM客户端。这些攻击通常的目的是获取对受害者系统进行未经授权的访问。D不正确。因为。Brad的陈述应该包含说明：IM使用限制的安全政策的需求。这只是保护环境免受IM有关的安全破坏的最佳做法之一。其他最佳做法有：在所有计算机上安装一个整合的抗病毒或防火墙产品、 配置防火墙以阻止IM流量、将IM软件升级到更安全的版本和安装公司IM服务器使得内部员工只在公司的网络内进行通信等。13. There are several different types of authentic

46、ation technologies. Which type is being shown in the graphic that follows?(分数:2.50 )A. 802.1XVB. Extensible Authentication ProtocolC. Frequency hopping spread spectrumD. Orthogonal frequency-division multiplexing解析：解析A正确。802.1X标准是一个基于端口的网络访问控制，该控制确保用户只有在通过了适当地 身份验证后才能完全连接到网络上。这意味着用户无法访问网络资源，也不允许流量通过

47、无线设备和网络 (身份验证流量除外)，除非这个用户的身份得到适当验证。打个比方，就好比在大门上拴条铁链，你能先 打开门缝辨认一下敲门人是谁，然后再允许他进入房子。用户身份验证提供了一个比系统验证更高等级的 信任度和保护度。B不正确。因为可扩展认证协议(Extensible Authentication Protocol, EAP)并不是一个专门的身份验证技术。相反，它提供一个框架，使许多类型的身份验证技术都可以在点对点协议(Point-to-Point Protocol,PPP)连接中使用。顾名思义，它把身份验证的可能性从标准方法(PAP和CHAP扩展到了其他的方法，比如一次性密码、令牌卡、生

48、物测定学、Kerberos等。所以，当用户连接到身份验证服务器并且双方都有EAP能力时，他们能够就一个较长的身份验证可能使用的方法列表进行协商。C不正确。因为扩频(spread spectrum)是指某些东西正在以某些方式在分配好的频率内发送个人信号。这种技术用于无线通信中，并不是一种身份验证技术。跳频扩频(Frequency Hopping Spread Spectrum, FHSS)占据整个带宽(频谱)，然后把它分割成较小的子信道。发送者和接收者在一个这样的信道中工作一定的时 间后再转到另外一个信道工作。发送者把第一条数据置于一个频率、第二条数据置于另外一个频率，以此 类推。FHSS算法决

49、定了可以使用的各个频率，以及以什么顺序使用各个频率，这被称为发送者与接收者的 跳频序歹廿(hop sequence)。D不正确。因为正交频分复用技术(Orthogonal Frequency-Division Multiplexing, OFDM)是数字多载波调制的一种，它把多载波调制紧密地压缩在一起，减少了所需的带宽。这些调制信号是正交的，彼此不互 相干扰。OFDM使用狭窄信道的组合来提高它在高频段带宽中的性能。这种技术用于无线通信中，并非是身 份验证技术。14. What type of security encryption component is missing from the t

50、able that follows?(分数:2.50 )A. Service Set IDB. Temporal Key Integrity ProtocolVC. Ad hoc WLAND. Open system authentication解析：解析B正确。临时密钥完整性协议 仃emporal Key Integrity Protocol, TKIP)生成了加密过程中使用的随机值，使得攻击者更难攻破系统。为了对加密进行更高级别的保护，这个标准还把新的高级加密标准(Advanced Encryption Standard, AES)算法用于新的 WLAN实施中。TKIP实际上通过提供密钥材

51、料(用来生成全新动态密钥数据 )，与有线等价隐私(Wired Equivalent Privacy, WEP)协议一起工作。WEP使用RC4加密算法，该算法的当前实现提供的保护很少。通过使用TKIP可以给密钥生成过程增加更多的复杂性，从而使攻击者更难破解加密密钥。IEEE工作组开发了 TKIP，所以顾客只需要对固件或软件进行升级，而无须为使用这类保护功能购买新的设备。A不正确。因为当无线设备工作在基础设施模式时，访问接入点(Access Point, AP)和无线客户端组成一个叫做基本服务集(Basic Service Set, BSS)的组。这个组被分配了一个名字，即服务集ID值(Servi

52、ce SetID, SSID)。这个值与加密没有任何关系。任何想要加入特定WLAN的主机都必须配置一个合适的SSIDo使用不同的SSID可以将不同主机分配到不同的WLAh中o将WLAf分割成不同部分的原因与在网络上分割有线系统的原因相同：用户需要访问不同的资源、拥有不同的业务功能或者拥有不同的信任等级。C不正确。因为ad hoc WLAN与加密毫无关系，而与如何设置网络上的无线设备有关。ad hoc WLAN没有访问接入点；无线设备之间的通信是通过它们的无线NIC进行的，而不是经过一个中央设备完成的。为了构建一个ad hoc网络，网络内的主机都需要安装无线客户端软件，并将该软件配置为点对点(p

53、eer-to-peer)操作模式。D不正确。因为开放系统认证 (Open System Authentication, OSA)仅意味着无线设备不需要证明它拥有用于身份验证的特定密钥。网络管理员也可以根据产品及配置来限制对特定MAC地址的访问。OSA不要求无线设备向某个访问接入点证明它有一把用于身份验证的特定密钥。在许多情况下，无线设备只需要提供正 确的SSID值。在OSA实施中，所有交易都使用明文，因为其中不涉及加密。所以，入侵者能够侦测流量、 截获身份验证的必需步骤，然后再使用相同的身份验证步骤，并连接到一个访问接入点上。15. What type of technology is rep

54、resented in the graphic that follows?(分数:2.50)A. Asynchronous Transfer ModeB. Synchronous Optical NetworksC. Frequency-division multiplexingD. MultiplexingV解析：解析D正确。复用(multiplexing)是一种把多信道数据结合在一个单一传输路径上的方法。这种传输非常迅速和高效，以至于终端意识不到它们在与多家实体共用一条线路。这些系统会“认为”自己独 占这条线。电话系统已经有大约100年的历史，它最早是基于铜线的模拟系统。中央交换局起初是手

55、动(人工操作)接通个人电话，后来才使用电子交换设备。两个电话被连上之后，便构成了一个端到端的连接或者一个端到端的电路。多个电话(phone call)被分开并放在同一条线上，这就是复用。A不正确。因为异步传输模式 (Asynchronous Transfer Mode, ATM)是运营商、互联网服务供应商和电话公司用于LAN和WAN实施中的一个高速网络技术。这个技术并不是图中所示。ATM把数据封装在固定的单元中，并可用于在同步光纤网络(Synchronous Optical Networks, SONET)中传输数据。SONE与 ATM的关系就好比高速路与汽车的关系。SONET这条高速路为车(

56、ATM数据包)提供了传输的基础(网络)。B不正确。因为同步光纤网络 (synchronous Optical Networks, SONET)实际上是通过光纤电缆进行通信传输的一个标准。运营商和电话公司都在北美洲部署了SONET网络，如果他们正确遵循SONET标准的话，这些不同的网络之间将可以毫无困难地进行通信。城市区域网络(Metropolitan Area Network, MAN) 通常是连接LAN和LAN之间、LAN和WAN之间、Internet 以及电信和电缆网络之间的骨干网络。目前的MAN大多数都是SONET或由电信服务提供商所提供的FDDI环。C不正确。因为频分复用是信号复用的一

57、种，它把互不重复的频率范围分配给不同的信号或分配给每一个 媒介“用户”。这是复用的一种，只是它是通过无线信号频谱工作而不是图中所示的基于时间的方法工作。频分复用也可以用来在把多个信号最终调制到一个载波信号之前对这些信号进行组合。这种情况下的载波信号叫做子载波，频谱内的每个频率都是传输数据的信道。立体声调频传输就是这样的例子。16. What type of telecommunication technology is illustrated in the graphic that follows?(分数:2.50 )A. Digital Subscriber LineB. Integrated Services Digital NetworkC. BRI ISDND. Cable modem V解析：解析D正确。有线电视公司多年来一直向家庭用户提供电视服务，之后他们开始为拥有电缆调制 解调器并且想要高速连接Internet的用户提供数据传输服务。电缆调制解调器利用现有的有线电视同轴电 缆和光纤线路提供对Internet的高速访问，速度高达 50Mbp&电缆调制解调器提供上行和下行转换。并 非所有电缆公司都提