《网络安全管理与维护》复习资料new

《网络安全管理与维护》复习资料一、选择题1、各种通信网和TCP/IP之间的接口是TCP/IP分层结构中的（A）A、数据链路层B、网络层C、传输层D、应用层2、下面不属于木马特征的是（D）A、自动更换文件名，难于被发现B、程序执行时不占太多系统资源C、不需要服务端用户的允许就能获得系统的使用权D、造成缓冲区的溢出，破坏程序的堆栈3、下面不属于端口扫描技术的是（D）A、TCPconnect()扫描B、TCPFIN扫描C、IP包分段扫描D、Land扫描4、负责产生、分配并管理PKI结构下所有用户的证书的机构是（D）A、LDAP目录服务器B、业务受理点C、注册机构RAD、认证中心CA5、防火墙按自身的体系结构分为（B）A、软件防火墙和硬件防火墙B、包过滤型防火墙和双宿网关C、百兆防火墙和千兆防火墙D、主机防火墙和网络防火墙6、下面关于代理技术的叙述正确的是（D）A、能提供部分与传输有关的状态B、能完全提供与应用相关的状态和部分传输方面的信息C、能处理和管理信息D、ABC都正确7、下面关于ESP传输模式的叙述不正确的是（A）A、并没有暴露子网内部拓扑B、主机到主机安全C、IPSEC的处理负荷被主机分担D、两端的主机需使用公网IP8、下面关于网络入侵检测的叙述不正确的是（C）A、占用资源少B、攻击者不易转移证据C、容易处理加密的会话过程D、检测速度快9、基于SET协议的电子商务系统中对商家和持卡人进行认证的是（B）A、收单银行B、支付网关C、认证中心D、发卡银行10、下面关于病毒的叙述正确的是（D）A、病毒可以是一个程序B、病毒可以是一段可执行代码C、病毒能够自我复制D、ABC都正确11、当你感觉到你的Win2003运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，你最有可能认为你受到了哪一种攻击。

（B）A、特洛伊木马

B、拒绝服务C、欺骗

D、中间人攻击12、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段？（B）A、缓冲区溢出

B、IP欺骗C、拒绝服务

D、暴力攻击13、小李在使用superscan对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是什么？

（B）A、文件服务器

B、邮件服务器C、WEB服务器

D、DNS服务器14、你想发现到达目标网络需要经过哪些路由器，你应该使用什么命令？（C）A、ping

B、nslookupC、tracert

D、ipconfig

15、以下关于VPN的说法中的哪一项是正确的？（C）A、VPN是虚拟专用网的简称，它只能只好ISP维护和实施B、VPN是只能在第二层数据链路层上实现加密C、IPSEC是也是VPN的一种D、VPN使用通道技术加密，但没有身份验证功能16、你所使用的系统为windows2003，所有的分区均是NTFS的分区，C区的权限为everyone读取和运行，D区的权限为everyone完全控制，现在你将一名为test的文件夹，由C区移动到D区之后，test文件夹的权限为？（B）A、everyone读取和运行B、everyone完全控制C、everyone读取、运行、写入D、以上都不对17、你有一个共享文件夹，你将它的NTFS权限设置为sam用户可以修改，共享权限设置为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有什么样的权限？（A）A、读取B、写入C、修改D、完全控制18、SSL安全套接字协议所使用的端口是：（B）。A、80B、443C、143319、在Linux下umask的八进制模式位6代表：（C）。A、拒绝访问B、写入C、读取和写入D、读取、写入和执行20、你是一个公司的网络管理员，你经常在远程不同的地点管理你的网络（如家里），你公司使用win2003操作系统，你为了方便远程管理，在一台服务器上安装并启用了终端服务。最近，你发现你的服务器有被控制的迹象，经过你的检查，你发现你的服务器上多了一个不熟悉的帐户，你将其删除，但第二天却总是有同样的事发生，你应该如何解决这个问题？（C）。A、停用终端服务B、添加防火墙规则，除了你自己家里的IP地址，拒绝所有3389的端口连入C、打安全补丁sp4D、启用帐户审核事件，然后查其来源，予以追究21、以下不属于win2000中的ipsec过滤行为的是：（D）。A、允许B、阻塞C、协商D、证书22、计算机病毒的特征不包括（D）。Ａ、破坏性Ｂ、隐蔽性Ｃ、传染性Ｄ、公益性23、router的中文名称是（B）。Ａ、交换机B、路由器C、集线器D、中继器24、是国际加密标准的是（C）。A、DESB、3重DESＣ、ＩＤＥＳＤ、ＲＳＡ25、新一代的IPv6的地址由多少位组成（D）。A、32B、64C、4826、常用的IPv4是由多少位二进制数组成的（C）。A、8B、16C、3227、IP地址一般可以分为A、B、C、C、E等5类、那么172.16.30.88属于哪一类（A）。Ａ、Ｂ类B、D类C、A类D、Ｃ类28、中国网络的域名是（B）。Ａ、ｃｏｍＢ、ｃｎＣ、ｅｄｕＤ、ｇｏｖ29、在ｗｉｎｄｏｗｓＸＰ系统中能够用来查看IP地址的命令是（D）。Ａ、pingＢ、ipconfigＣ、winipcfgD、tracet30、在ｗｉｎｄｏｗｓＸＰ系统中能够用来追踪网站数据包路径的命令是（B）。Ａ、pingＢ、ipconfigＣ、winipcfgD、tracet31、解决IP欺骗技术的最好方法是安装过滤路由器，在该路由器的过滤规则中，正确的是：(C)。A、允许包含内部网络地址的数据包通过该路由器进入B、允许包含外部网络地址的数据包通过该路由器发出C、在发出的数据包中，应该过滤掉源地址与内部网络地址不同的数据包D、在发出的数据包中，允许源地址与内部网络地址不同的数据包通过32、在网络信息安全模型中，是安全的基石，是建立安全管理的标准和方法。(A)A、政策，法律，法规B、授权C、加密D、审计与监控33、下列口令维护措施中，不合理的是：(B)。A、第一次进入系统就修改系统指定的口令B、怕把口令忘记，将其记录在本子上C、去掉guest（客人）帐号D、限制登录次数34、病毒扫描软件由组成。(C)A、仅由病毒代码库B、仅由利用代码库进行扫描的扫描程序C、代码库和扫描程序D、以上都不对35、网络病毒是由因特网衍生出的新一代病毒，即Java及ActiveX病毒。由于(A)，因此不被人们察觉。A、它不需要停留在硬盘中可以与传统病毒混杂在一起B、它停留在硬盘中且可以与传统病毒混杂在一起C、它不需要停留在硬盘中且不与传统病毒混杂在一起D、它停留在硬盘中且不与传统病毒混杂在一起36、以下属于加密软件的是(C)。A、CAB、RSAC、PGPD、DES37、以下关于DES加密算法和IDEA加密算法的说法中错误的是:(D)。A、DES是一个分组加密算法，它以64位为分组对数据加密B、IDEA是一种使用一个密钥对64位数据块进行加密的加密算法C、DES和IDEA均为对称密钥加密算法D、DES和IDEA均使用128位（16字节）密钥进行操作38、以下关于公用/私有密钥加密技术的叙述中，正确的是:(C)。A、私有密钥加密的文件不能用公用密钥解密B、公用密钥加密的文件不能用私有密钥解密C、公用密钥和私有密钥相互关联D、公用密钥和私有密钥不相互关联39、在选购防火墙软件时，不应考虑的是：(B)。A、一个好的防火墙应该是一个整体网络的保护者B、一个好的防火墙应该为使用者提供唯一的平台C、一个好的防火墙必须弥补其他操作系统的不足D、一个好的防火墙应能向使用者提供完善的售后服务40、以下关于过滤路由器的叙述，错误的是：(D)。A、过滤路由器比普通路由器承担更大的责任，是内部网络的保护系统B、如果过滤路由器的安全保护失败，内部网络将被暴露C、简单的过滤路由器不能修改任务D、过滤路由器不仅能容许或否认服务，而且也能够保护在一个服务之内的单独操作41、以下哪种特点是代理服务所具备的(A)。A、代理服务允许用户“直接”访问因特网，对用户来讲是透明的B、代理服务能够弥补协议本身的缺陷C、所有服务都可以进行代理D、代理服务不适合于做日志42、关于堡垒主机的说法，错误的是：(B)。A、设计和构筑堡垒主机时应使堡垒主机尽可能简单B、堡垒主机的速度应尽可能快C、堡垒主机上应保留尽可能少的用户帐户，甚至禁用一切用户帐户D、堡垒主机的操作系统可以选用UNIX系统43、包过滤技术可以允许或不允许某些包在网络上传递，它过滤的判据不包括：(D)。A、数据包的目的地址B、数据包的源地址C、数据包的传送协议D、数据包的具体内容44、以下关于宏病毒的认识，哪个是错误的：(D)。A宏病毒是一种跨平台式的计算机病B“台湾1号”是一种宏病毒C宏病毒是用WordBasic语言编写的D在不同的Word版本格式中的宏病毒是互相兼容的，可以相互传播45、在建立口令时最好要遵循的规则是(D)。A、使用英文单词B、选择容易记的口令C、使用自己和家人的名字D、尽量选择长的口令46、包过滤工作在OSI模型的(C)。A、应用层B、表示层C、网络层和传输层D、会话层47、WindowsNT网络安全子系统的安全策略环节由(D)。A、身份识别系统B、资源访问权限控制系统C、安全审计系统D、以上三个都是48、网络病毒是由因特网衍生出的新一代病毒，即JAVA及ACTIVEX病毒。由于，不被人们察觉。（A）A、它不需要停留在硬盘中可以与传统病毒混杂在一起B、它停留在硬盘中且可以与传统病毒混杂在一起C、它不需要停留在硬盘中且不与传统病毒混杂在一起D、它停留在硬盘中且不与传统病毒混杂在一起49、外部路由器真正有效的任务就是阻断来自伪造源地址进来的任何数据包。（A）A、外部网B、内部网C、堡垒主机D、内部路由器50、在公钥密码系统中，发件人用收件人的加密信息，收件人用自己的解密，而且也只有收件人才能解密。(B)A、公钥，公钥B、公钥，私钥C、私钥，私钥D、私钥，公钥二、填空题1、DRDoS与DDoS的不同之处在于：攻击端不需要占领大量傀儡机。2、证书的作用是：用来向系统中其他实体证明自己的身份和分发公钥。3、SSL协议中双方的主密钥是在其握手协议产生的。4、VPN的两种实现形式：Client-LAN和LAN-LAN。5、IPSec是为了在IP层提供通信安全而制定的一套协议簇，是一个应用广泛、开放的VPN安全协议体系。6、根据检测原理，入侵检测系统分为异常入侵检测和误用入侵检测。7、病毒技术包括：寄生技术、驻留技术、加密变形技术和隐藏技术。8、信息安全是指：“为数据处理系统建立和采取的技术和管理手段，保护计算机的硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏，系统连续正常运行”。9、防火墙的两种姿态拒绝没有特别允许的任何事情和允许没有特别拒绝的任何事情。10、计算机安全中受到威胁的来源主要有人为、自然、计算机本身三种。11、计算机安全的定义中受威胁的对象主要有:计算机、网络系统资源和信息资源。12、计算机安全的定义从广以上来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性、可控性的相关技术和理论都是计算机网络安全研究的领域。13、计算机安全的三个层次是：安全管理、安全立法、安全技术措施。14、基于密钥的加密算法通常有两类，即对称密钥算法和公共密钥算法。15、网络安全的特征应具有保密性、完整性、可用性和可控性四个方面的特征。16、防火墙有双重宿主主机体现结构、屏蔽主机体现结构和屏蔽子网体系结构三种种体系结构17、网络攻击的三个阶段是：攻击的准备阶段、攻击的实施阶段和攻击的善后工作。18、从逻辑上讲，防火墙是分离器、限制器和分析器。19、网络监听本来是为了管理网络，监视网络的状态和数据流动情况，但是由于它能有效地截获网上的数据，因此也成了网上黑客使用得最多的方法。20、通常，简单的防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。21、身份认证是基于加密技术的，它的作用就是用来确定用户是否是真实的。22、数据包过滤用在内部主机和外部主机之间，过滤系统一般一台路由器或是一台主机。24、代理服务是运行在防火墙上的一种服务程序，防火墙的主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。25、解决IP欺骗技术的最好方法是：安装过滤路由器。26、PGP是一个基于RSA密钥加密体系的供大众使用的加密软件。它不但可以对用户的邮件加密，以防止非授权者阅读，还能对邮件加上数字签名让收信人确信邮件未被第三者篡改.27、计算机网络安全受到的威胁主要有：黑客的攻击、计算机病毒和拒绝服务访问攻击。28、最好的口令包括英文字母、数字和符号的组合。29、黑客们用大量的垃圾信息阻塞网站的服务器，使其无暇为用户提供正常的服务而陷入瘫痪，称为拒绝服务攻击。30、网络安全的隐患主要来自操作系统的脆弱性、网络的脆弱性、数据库的脆弱性以及安全管理的疏忽。三、判断题1、主机不能保证数据包的真实来源，构成了IP地址欺骗的基础。（T）2、扫描器可以直接攻击网络漏洞。（F）3、DRDoS攻击是与DDoS无关的另一种拒绝服务攻击方法。（F）4、公钥密码比传统密码更安全。（F）5、身份认证一般都是实时的，消息认证一般不提供实时性。（T）6、加密/解密的密钥对成功更新后，原来密钥对中用于签名的私钥必须安全销毁，公钥进行归档管理。（F）7、防火墙无法完全防止传送已感染病毒的软件或文件。（T）8、所有的协议都适合用数据包过滤。（F）9、构建隧道可以在网络的不同协议层次上实现。（T）10、蜜网技术（Honeynet）不是对攻击进行诱骗或检测。（T）11、病毒传染主要指病毒从一台主机蔓延到另一台主机。（F）12、电子商务中要求用户的定单一经发出，具有不可否认性。（T）13、PGP在只能对文件、邮件加密，不能实现身份验证的功能？（F）14、防火墙只能对IP地址进行限制和过滤。（F）15、WIN2003系统给NTFS格式下的文件加密，当系统被删除，重新安装后，原加密的文件就不能打开了。（T）16、数字证书是电子的凭证，它用来验证在线的个人、组织或计算机的合法身份。（T）17、Window2003中的VPN不支持DES加密。（F）18、在WindowsNT中要审核某个文件夹或打印机的访问，必需启动审核对象的访问。（T）19、企业级CA申请证书有2种方法。一种是WEB申请，另一种是在证书管理单元中申请。（T）20、在使用公共密钥加密技术向对方发送一个数据的时候使用对方用户的公共密钥加密，对方用自己的私人密钥解密数据。（T）21、若A掌握公钥，B掌握私钥，A可以用公钥加密，B用私钥解密；B也可以用私钥加密，A可以公钥解密。（T）22、JavaApplet是运行在服务器端，故而其中的bug引起的安全漏洞主要在服务器端。（F）23、口令应该至少由6个字符，口令字符最好是数字、字母和其它字符的混合。（T）24、网络安全的威胁主要有以下三点：人为无意失误；人为恶意攻击；网络软件的漏洞和后门。（T）25、上网时计算机突然出现“蓝屏”，这就是黑客攻击。（F）26、过滤路由器是否正确配置是被屏蔽主机型防火墙安全的关键。（T）27、防火墙技术并不只限应用于TCP/IP协议中，类似的技术可用在任何分组交换网络中。（T）28、数据包过滤既可由屏蔽路由器来完成，也可由PC机装上相应的软件来实现。（T）29、安全管理从范畴上讲，涉及物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。（T）30、用户的密码一般应设置为16位以上。（T）31、在堡垒主机上建立内部DNS服务器以供外界访问，可以增强DNS服务器的安全性。（F）32、发现木马，首先要在计算机的后台关掉其程序的运行。（T）33、计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。（T）34、木马不是病毒。（F）35、只要是类型为TXT的文件都没有危险。（F）四、简答题1、简述拒绝服务攻击的概念和原理。拒绝服务攻击的概念：广义上讲，拒绝服务（DoS，Denialofservice）攻击是指导致服务器不能正常提供服务的攻击。确切讲，DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应，甚至崩溃。拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统超负荷，以至于瘫痪而停止提供正常的网络服务。2、简述SSL安全协议的概念及功能。SSL全称是：SecureSocketLayer(安全套接层)。在客户和服务器两实体之间建立了一个安全的通道，防止客户/服务器应用中的侦听、篡改以及消息伪造，通过在两个实体之间建立一个共享的秘密，SSL提供保密性，服务器认证和可选的客户端认证。其安全通道是透明的，工作在传输层之上，应用层之下，做到与应用层协议无关，几乎所有基于TCP的协议稍加改动就可以在SSL上运行。3、简述好的防火墙具有的5个特性。(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙；(2)只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；(3)防火墙本身不受各种攻击的影响；(4)使用目前新的信息安全技术，如一次口令技术、智能卡等；(5)人机界面良好，用户配置使用方便，易管理，系统管理员可以对发防火墙进行设置，对互连网的访问者、被访问者、访问协议及访问权限进行限制。4、网络攻击一般分为哪几个步骤？答：①信息收集，获取目标系统的信息，操作系统的类型和版本，主要提供的服务和服务进程的类型和版本，网络拓扑结构②获得对系统的访问权力③获得系统超级用户的权力。利用②的权力和系统的漏洞，可以修改文件，运行任何程序，留下下次入侵的缺口，或破坏整个系统④消除入侵痕迹5、IPSec是哪一层的安全协议？其主要特征是什么？其协议部分由哪两部分组成？IPSec是网络层的安全协议，其主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性。其协议部分分为:AH协议和ESP协议两部分。6、什么是SSL？它是哪一层的安全协议?SSL（SecureSocketLayer）是一种在两个端实体（EndEntity）之间提供安全通道的协议。它是传输层的安全协议。7、什么是IP欺骗攻击？IP欺骗攻击就是攻击者伪装成目标主机与其他计算机进行通信，达到：隐藏自己的IP地址，防止被跟踪；以IP地址作为授权依据；穿越防火墙的目的8、缓冲区溢出攻击的一般概念和基本思想是什么？缓冲区溢出攻击的一般概念是针对越权使用资源的防御措施。其基本思想是通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码)9、访问控制基本目标是什么？主要有哪几种访问控制策略？访问控制基本目标是防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。主要访问控制策略有：自主访问控制（基于身份的访问控制IBAC),强制访问控制(基于规则的访问控制RBAC),基于角色的访问控制(role-basedpolicies)10、什么是防火墙？什么是堡垒主机？什么是DMZ？防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称.堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。可以配置成过滤型、代理型或混合型。DMZ(DemilitarizedZone，非军事区或者停火区)是在内部网络和外部网络之间增加的一个子网11、包过滤防火墙的基本思想是什么？包过滤防火墙的基本思想：对所接收的每个数据包进行检查，根据过滤规则，然后决定转发或者丢弃该包；包过滤防火墙往往配置成双向的；12、什么是拒绝服务攻击（DoS）？拒绝服务攻击是通过某些手段使得目标系统或者网络不能提供正常的服务。DoS攻击主要是利用了TCP/IP协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。13、简述进行网络安全设计时的安全需求（1）保密性；（2）安全性；（3）完整性；（4）服务可用性；（5）可控性；（6）信息流保护。14、网络安全设计的步骤是什么?（1）分析安全需求；（2）确定安全方针；（3）选择安全功能；（4）选择安全措施；（5）完善安全管理。15、简述网络安全设计的基本原则（1）需求、风险、代价平衡分析的原则；（2）综合性、整体性、等级性原则；（3）方便用户原则；（4）适应性及灵活性原则；（5）一致性原则。16、信息加密与数字签名有什么区别？数字签名为什么可以辨别报文的真伪？为什么可以使发送方不能抵赖？信息加密用公钥加密，用私钥解密。数字签名用私钥加密，用公钥解密。因为只有发送方才能拥有私钥，因此接收的报文是真实的，也不能抵赖。17、简述公用钥匙加密技术的原理。公用钥匙加密法完成一次加、解密操作，需要使用一对钥匙，即公有钥匙和私有钥匙。首先发送者先用接收者的公有钥匙进行加密；接收者接收信息后，再用私有钥匙进行解密18、简述防火墙技术。防火墙是用来连接两个网络并控制两个网络之间相互访问的系统。它包括用于网络连接的软件和硬件以及控制访问的方案，用于对进出的所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护网，为网络提供安全保障。五、综合论述题1、简述包过滤型防火墙的概念、优缺点和应用场合。包过滤型防火墙的概念：包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。包过滤型防火墙的优缺点：包过滤防火墙的优点：处理包的速度快；费用低，标准的路由器均含有包过滤支持；包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训，也不必在每台主机上安装特定的软件。包过滤防火墙的缺点：维护比较困难；只能阻止外部主机伪装成内部主机的IP欺骗；任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险；普遍不支持有效的用户认证；安全日志有限；过滤规则增加导致设备性能下降；包过滤防火墙无法对网络上流动的信息提供全面的控制。包过滤型防火墙的应用场合：非集中化管理的机构；没有强大的集中安全策略的机构；网络的主机数比较少；主要依靠于主机来防止入侵，但当主机数增加到一定程度的时候，依靠主机安全是不够的；没有使用DHCP这