2025年学历类自考专业(计算机网络)信息系统开发与管理-计算机网络安全参考题库含答案解析

2025年学历类自考专业(计算机网络)信息系统开发与管理-计算机网络安全参考题库含答案解析一、单选题（共35题）1.在计算机网络系统中，以下哪项属于被动攻击的典型方式？【选项】A.分布式拒绝服务攻击(DDoS)B.网络监听C.ARP欺骗D.中间人攻击【参考答案】B【解析】被动攻击指攻击者仅监听或窃取数据而不篡改或干扰系统运行的方式。网络监听（如使用嗅探工具截获数据）属于被动攻击，因攻击者不主动破坏系统；DDoS攻击通过大量请求使目标瘫痪，ARP欺骗和中间人攻击均涉及主动篡改通信过程，均属于主动攻击。2.关于公钥基础设施(PKI)的核心功能，下列说法正确的是：【选项】A.仅用于对称密钥的分发B.通过数字签名保证数据机密性C.基于非对称加密实现身份认证与密钥管理D.依赖量子加密技术防止中间人攻击【参考答案】C【解析】PKI的核心是使用非对称加密技术（公钥/私钥对）实现身份认证（如数字证书）、密钥交换（如SSL/TLS中的会话密钥协商）和数据完整性保护。A错误（PKI管理非对称密钥）；B错误（数字签名保证的是完整性和不可否认性，非机密性）；D错误（量子加密并非PKI的构成要件）。3.防火墙采用“状态检测”技术时，其核心优势在于：【选项】A.仅基于IP地址和端口进行过滤B.独立分析每个数据包，不维护连接状态C.动态跟踪连接状态并验证数据包合法性D.仅适用于应用层协议深度解析【参考答案】C【解析】状态检测防火墙通过维护连接状态表（如TCP握手状态），动态验证数据包是否属于合法会话，较传统包过滤防火墙（仅检查单个数据包头信息）更安全。A描述的是包过滤防火墙功能；B与状态检测原理相反；D属于应用层防火墙（如代理防火墙）的特点。4.以下哪类加密算法适用于大数据量实时加密且密钥管理成本较低？【选项】A.RSAB.DESC.Diffie-HellmanD.SHA-256【参考答案】B【解析】DES是对称加密算法，运算速度快，适合大数据量加密（如文件传输），但需安全通道分发密钥。RSA和Diffie-Hellman为非对称算法，计算开销大，多用于密钥交换；SHA-256为哈希算法，不可用于加密。5.SSL/TLS协议中，服务器向客户端发送数字证书的主要目的是：【选项】A.加密客户端发送的数据B.验证客户端的身份C.向客户端证明服务器的公钥合法性D.协商会话密钥【参考答案】C【解析】SSL/TLS握手阶段，服务器发送数字证书（包含服务器公钥并由CA签名）供客户端验证其身份合法性。A错误（数据加密由会话密钥完成）；B错误（客户端认证需额外步骤，如发送客户端证书）；D错误（会话密钥通过密钥交换算法生成）。6.关于ARP欺骗攻击的防御措施，无效的是：【选项】A.在网络设备上配置静态ARP表项B.部署入侵检测系统(IDS)监控异常ARP流量C.使用动态ARP协议确保地址实时更新D.启用ARP防火墙过滤伪造的ARP应答包【参考答案】C【解析】动态ARP协议（ARP广播请求）正是ARP欺骗攻击的利用点，攻击者可发送虚假ARP应答篡改ARP表。有效防御包括静态绑定ARP表项（A）、监控异常ARP包（B）、过滤伪造应答（D）。7.下列协议中，设计目标是为IPv4提供端到端安全的是：【选项】A.SSHB.IPSecC.HTTPSD.DNSSEC【参考答案】B【解析】IPSec工作在OSI网络层，可对IP数据包进行加密/认证，为IPv4提供端到端安全。SSH和HTTPS分别用于安全远程登录和Web通信（应用层）；DNSSEC用于保护DNS查询完整性。8.数字签名技术无法实现的安全目标是：【选项】A.数据完整性B.身份认证C.数据机密性D.不可抵赖性【参考答案】C【解析】数字签名利用哈希和非对称加密，确保数据未被篡改（完整性）、签名者身份真实（认证）及行为不可否认（不可抵赖），但不加密数据。机密性需通过对称加密（如AES）实现。9.蠕虫病毒区别于传统计算机病毒的特征是：【选项】A.依赖宿主程序传播B.需要用户交互触发C.具备自我复制和主动传播能力D.仅感染文件系统【参考答案】C【解析】蠕虫是独立程序，无需宿主文件或用户操作即可通过网络自我复制传播（如利用漏洞主动攻击）；传统病毒需依附宿主（A）、常需用户触发（B），且多感染本地文件（D）。10.某企业需选择一种技术防止内部人员泄露敏感数据，最合适的是：【选项】A.部署网络防火墙B.实施数据丢失防护(DLP)系统C.启用VPN加密外部通信D.配置入侵防御系统(IPS)【参考答案】B【解析】DLP系统可监控、识别并阻断敏感数据（如客户信息、财务数据）通过邮件、U盘等途径外泄，适用于内部威胁防护。防火墙（A）和IPS（D）主要防御外部攻击；VPN（C）保护数据传输过程而非数据本身。11.下列哪项攻击方式属于"资源耗尽型攻击"？【选项】A.SQL注入攻击B.跨站脚本攻击(XSS)C.分布式拒绝服务攻击(DDoS)D.中间人攻击【参考答案】C【解析】资源耗尽型攻击通过消耗目标系统资源使其无法提供正常服务。DDoS通过多台傀儡机向目标发送海量请求耗尽带宽/计算资源；A利用漏洞执行恶意SQL语句；B通过恶意脚本劫持用户会话；D窃取通信双方数据但不直接耗尽资源。12.AES加密算法属于哪种类型的加密方式？【选项】A.非对称加密B.流密码加密C.对称加密D.哈希算法【参考答案】C【解析】AES采用相同密钥进行加密/解密，属于对称加密算法。非对称加密如RSA使用公私钥对；流密码如RC4对数据逐位加密；哈希算法如SHA-256不可逆。13.SSL/TLS协议在TCP/IP协议栈中工作于哪一层？【选项】A.应用层B.传输层C.网络层D.数据链路层【参考答案】B【解析】SSL/TLS位于传输层与应用层之间，为应用层协议（如HTTP）提供加密通道。经SSL加密的HTTP即为HTTPS，默认使用443端口。14.以下组合中不符合"双因素认证"要求的是：【选项】A.密码+短信验证码B.指纹识别+身份证号C.USBKey+虹膜识别D.动态口令卡+安全问题【参考答案】B【解析】双因素需组合两类认证要素：知识型（密码/安全问题）、持有型（USBKey/手机）、生物特征（指纹/虹膜）。B项身份证号仍属知识型，未满足双要素组合。15.包过滤防火墙主要根据下列哪项信息进行访问控制？【选项】A.应用层协议内容B.TCP/UDP端口号C.用户身份信息D.数据包的载荷内容【参考答案】B【解析】包过滤防火墙在网络层工作，基于源/目的IP、端口号、协议类型等包头信息过滤。检查应用层内容属于应用层网关防火墙功能。16.关于IPSec协议，下列描述正确的是：【选项】A.仅支持隧道模式B.AH协议提供数据加密功能C.ESP协议不验证数据完整性D.可工作在IPv4和IPv6环境【参考答案】D【解析】IPSec支持传输/隧道双模式（A错）；AH仅验证完整性不加密（B错）；ESP协议兼具加密和完整性验证（C错）；IPSec独立于IP版本，兼容IPv4/IPv6（D正确）。17.入侵检测系统(IDS)中，NIDS部署在哪个位置可监测全网流量？【选项】A.交换机镜像端口B.Web服务器内部C.防火墙DMZ区D.核心路由器出口【参考答案】A【解析】NIDS（网络型入侵检测系统）需通过交换机镜像端口获取网络流量副本。D选项若路由器不支持流量镜像则无效；B/C属于特定区域监测。18.计算机蠕虫病毒最典型的传播特征是：【选项】A.依附宿主文件传播B.需要用户主动执行C.利用系统漏洞自主传播D.伪装成正常软件诱导安装【参考答案】C【解析】蠕虫特征是利用系统漏洞自动传播，无需用户干预（C正确）。A是病毒特征；B/D是木马传播方式。19.下列符合"最小特权原则"的操作是：【选项】A.数据库管理员拥有root权限B.普通员工可随时安装软件C.Web服务账户仅能读写指定目录D.财务系统允许所有部门访问【参考答案】C【解析】最小特权原则指账户仅被授予完成任务所需的最低权限。C中Web账户权限被严格限制；A/B/D均存在权限过度授予问题。20.深度防御体系最外层的防御措施通常是：【选项】A.入侵检测系统B.数据加密传输C.边界防火墙D.主机安全加固【参考答案】C【解析】深度防御采取多层防护：边界防火墙构成第一道防线（C）；入侵检测在防火墙内侧（A）；数据加密（B）和主机加固（D）属于更内层防护。21.Kerberos协议用于实现以下哪种安全服务？A.网络环境中用户身份认证B.数据完整性保护C.非对称加密通信D.数字证书颁发【选项】A.网络环境中用户身份认证B.数据完整性保护C.非对称加密通信D.数字证书颁发【参考答案】A【解析】Kerberos是一种基于对称加密的分布式身份认证协议，广泛应用于局域网环境中的用户身份认证服务。B选项数据完整性保护通常由哈希算法（如SHA-256）实现；C选项非对称加密由RSA等算法完成；D选项数字证书颁发属于PKI（公钥基础设施）功能。22.以下协议中，工作在传输层并为应用层提供安全通信的是？A.IPSecB.SSL/TLSC.PGPD.SSH【选项】A.IPSecB.SSL/TLSC.PGPD.SSH【参考答案】B【解析】SSL/TLS协议工作在传输层与应用层之间，为HTTP、FTP等应用层协议提供加密和认证服务。A选项IPSec工作在网络层；C选项PGP是应用层加密工具；D选项SSH虽提供安全通信，但其本质是应用层协议。23.部署于内外网边界，通过预定义规则控制数据包进出的设备是？A.入侵检测系统（IDS）B.包过滤防火墙C.代理服务器D.VPN网关【选项】A.入侵检测系统（IDS）B.包过滤防火墙C.代理服务器D.VPN网关【参考答案】B【解析】包过滤防火墙根据源/目的IP、端口号等规则直接过滤数据包，通常部署于网络边界。A选项IDS仅检测而不拦截流量；C选项代理服务器工作在应用层；D选项VPN网关用于建立加密隧道。24.在数字签名技术中，签名者用自己的私钥加密的是？A.原始报文B.报文哈希值C.会话密钥D.接收方公钥【选项】A.原始报文B.报文哈希值C.会话密钥D.接收方公钥【参考答案】B【解析】数字签名过程为：发送方生成报文哈希值并用私钥加密形成签名。验证时用公钥解密签名得到哈希值，与重新计算的报文哈希值比对。A选项直接用私钥加密报文属于非对称加密而非签名。25.以下加密算法属于对称密钥加密的是？A.RSAB.ECCC.AESD.DSA【选项】A.RSAB.ECCC.AESD.DSA【参考答案】C【解析】AES是对称加密算法，加解密使用相同密钥。A选项RSA和B选项ECC为非对称加密算法；D选项DSA为数字签名算法，不属于加密范畴。26.以下攻击类型中不属于DoS（拒绝服务）攻击的是？A.SYNFloodB.HTTP洪泛C.SQL注入D.Smurf攻击【选项】A.SYNFloodB.HTTP洪泛C.SQL注入D.Smurf攻击【参考答案】C【解析】SQL注入是通过构造恶意SQL语句窃取或篡改数据库的攻击，属于应用层漏洞利用。A、B、D选项均为消耗目标资源的DoS/DDoS攻击类型。27.双因素身份认证的常见组合是？A.密码+动态令牌B.指纹+虹膜C.用户名+密码D.数字证书+IP地址【选项】A.密码+动态令牌B.指纹+虹膜C.用户名+密码D.数字证书+IP地址【参考答案】A【解析】双因素认证需包含两类凭证：知识型（密码）、持有型（动态令牌）或生物特征型。B选项为两种生物特征，仍属单因素（特征因素）；C、D均为单一逻辑因素组合。28.VPN技术中实现数据封装和加密的核心协议是？A.PPTPB.L2TPC.IPSecD.HTTP【选项】A.PPTPB.L2TPC.IPSecD.HTTP【参考答案】C【解析】IPSec作为网络层协议，提供VPN数据传输的封装（AH/ESP协议）和加密功能。A选项PPTP和B选项L2TP需依赖IPSec实现加密；D选项HTTP不涉及VPN。29.检测网络中异常流量并实时报警的系统是？A.防火墙B.入侵检测系统（IDS）C.防病毒软件D.漏洞扫描器【选项】A.防火墙B.入侵检测系统（IDS）C.防病毒软件D.漏洞扫描器【参考答案】B【解析】IDS通过流量分析识别攻击行为并报警，属于被动检测。A选项防火墙主动拦截流量；C选项针对主机端恶意代码；D选项用于主动探测系统漏洞。30.以下协议中不属于VPN协议标准的是？A.L2TPB.PPTPC.IPSecD.RIP【选项】A.L2TPB.PPTPC.IPSecD.RIP【参考答案】D【解析】RIP（RoutingInformationProtocol）是动态路由协议，与VPN无关。A、B、C均为典型VPN实现协议。31.下列哪一项属于典型的被动攻击方式？【选项】A.拒绝服务攻击（DoS）B.数据篡改C.流量分析D.中间人攻击【参考答案】C【解析】被动攻击是指攻击者在不干扰系统正常运行的情况下获取信息，不修改数据内容。流量分析通过监听网络流量模式推断敏感信息，属于被动攻击。A、D为主动干扰系统的攻击类型，B涉及数据篡改，均属主动攻击。32.在SSL/TLS协议中，负责实现数据加密与身份认证的是哪一层？【选项】A.网络层B.传输层C.会话层D.应用层【参考答案】B【解析】SSL/TLS协议工作于传输层（TCP之上），提供端到端加密和身份认证服务。A涉及IP路由，C管理会话连接，D负责具体应用数据交互，均非SSL/TLS的作用层级。33.防火墙的包过滤技术主要依据的信息不包括以下哪项？【选项】A.源IP地址B.目标端口号C.HTTP请求内容D.协议类型【参考答案】C【解析】包过滤防火墙基于网络层和传输层头部信息（如IP、端口、协议）做决策，不检查应用层内容（如HTTP请求）。C属于应用层防火墙（如代理防火墙）的功能范畴。34.以下哪种加密算法属于非对称加密？【选项】A.AESB.DESC.RSAD.SHA-256【参考答案】C【解析】RSA使用公钥/私钥对实现非对称加密。A、B为对称加密算法，D为散列函数（哈希算法）而非加密算法。35.Bell-LaPadula模型的核心规则是？【选项】A.禁止向上读、向下写B.禁止向下读、向上写C.强制访问控制D.自主访问控制【参考答案】A【解析】该模型为多级安全模型，“简单安全规则”禁止低密级用户读取高密级数据（禁止向上读），“星属性规则”禁止高密级用户写入低密级数据（禁止向下写），防止信息泄露。B为Biba模型规则，C、D是访问控制类型而非具体规则。二、多选题（共35题）1.关于网络攻击类型的描述，下列哪些属于被动攻击？（）【选项】A.窃听B.数据篡改C.流量分析D.SYNFlood攻击E.中间人攻击【参考答案】AC【解析】被动攻击目的是获取信息而非破坏系统，常见形式包括窃听和流量分析（选项A、C）。B（数据篡改）、D（SYNFlood攻击）、E（中间人攻击）均涉及对数据的主动破坏或干扰，属于主动攻击。2.以下哪些是对称加密算法的典型代表？（）【选项】A.AESB.RSAC.DESD.ECCE.3DES【参考答案】ACE【解析】对称加密算法使用相同密钥加密和解密，典型代表包括AES（选项A）、DES（选项C）和3DES（选项E）。B（RSA）和D（ECC）为非对称加密算法，使用公钥和私钥配对。3.防火墙的核心技术包括哪些？（）【选项】A.包过滤技术B.状态检测技术C.代理服务技术D.分布式拒绝服务防御E.应用网关技术【参考答案】ABCE【解析】防火墙的核心技术包含包过滤（选项A）、状态检测（选项B）、代理服务（选项C）和应用网关（选项E）。D（分布式拒绝服务防御）属于DDoS防护技术，非防火墙专属功能。4.以下哪些属于身份认证技术？（）【选项】A.动态口令B.生物识别C.MAC地址过滤D.数字证书E.网络地址转换（NAT）【参考答案】ABD【解析】身份认证技术用于验证用户身份，包括动态口令（选项A）、生物识别（选项B）和数字证书（选项D）。C（MAC地址过滤）属于访问控制，E（NAT）用于IP地址转换，不属于认证范畴。5.VPN（虚拟专用网络）支持的协议包括哪些？（）【选项】A.PPTPB.L2TPC.IPsecD.HTTPE.SMTP【参考答案】ABC【解析】VPN常用协议包括PPTP（选项A）、L2TP（选项B）和IPsec（选项C）。D（HTTP）为超文本传输协议，E（SMTP）为邮件传输协议，均不直接支持VPN。6.下列哪些攻击属于DoS（拒绝服务）攻击？（）【选项】A.死亡之PingB.SYNFloodC.病毒传播D.UDPFloodE.SQL注入【参考答案】ABD【解析】DoS攻击旨在耗尽资源使服务不可用，包括死亡之Ping（选项A）、SYNFlood（选项B）和UDPFlood（选项D）。C（病毒传播）属于恶意软件攻击，E（SQL注入）属于Web应用攻击。7.数字签名技术可实现哪些安全目标？（）【选项】A.身份认证B.数据完整性C.防止窃听D.不可否认性E.访问控制【参考答案】ABD【解析】数字签名用于验证身份（选项A）、确保数据未被篡改（选项B）和行为的不可否认性（选项D）。C（防止窃听）需依赖加密技术，E（访问控制）属于权限管理范畴。8.下列攻击手段中，属于网络层攻击的是哪些？（）【选项】A.IP欺骗B.ARP欺骗C.DNS缓存投毒D.网络嗅探E.跨站脚本攻击（XSS）【参考答案】AB【解析】网络层攻击针对IP协议，如IP欺骗（选项A）和ARP欺骗（选项B）。C（DNS缓存投毒）属于应用层攻击，D（网络嗅探）属于数据链路层被动攻击，E（XSS）为Web应用层攻击。9.SSL/TLS协议可提供哪些安全服务？（）【选项】A.数据加密B.身份认证C.完整性校验D.流量控制E.路由优化【参考答案】ABC【解析】SSL/TLS协议提供加密（选项A）、身份认证（选项B）和完整性保护（选项C）。D（流量控制）由TCP协议实现，E（路由优化）属于网络层功能。10.下列哪些措施可有效防御ARP攻击？（）【选项】A.静态ARP绑定B.部署ARP防火墙C.使用数字签名D.启用DHCPSnoopingE.定期清理ARP缓存【参考答案】ABDE【解析】防御ARP攻击可通过静态绑定（选项A）、ARP防火墙（选项B）、DHCPSnooping（选项D）和定期清理缓存（选项E）。C（数字签名）用于数据认证，与ARP攻击无关。11.下列属于主动攻击的是（）A.窃听B.流量分析C.数据篡改D.重放攻击E.拒绝服务攻击【选项】A.ABCDB.BCEC.CDED.ACE【参考答案】C.CDE【解析】1.主动攻击指攻击者主动破坏数据或系统完整性的行为，典型包括篡改、伪造、中断服务等；被动攻击仅窃取信息而不破坏系统。2.**C.数据篡改**：故意修改传输或存储的数据，属主动攻击。3.**D.重放攻击**：截获合法数据后重复发送以欺骗系统，属于主动攻击。4.**E.拒绝服务攻击**：通过耗尽资源使服务不可用，属于主动攻击。5.**A.窃听**与**B.流量分析**均仅获取信息不破坏系统，属于被动攻击。12.以下关于混合加密技术的描述，正确的是（）A.使用非对称加密传输会话密钥B.使用对称加密处理大量数据C.RSA算法适合加密大数据D.AES算法适合加密密钥E.结合了对称加密和非对称加密的优势【选项】A.ABEB.ADEC.BCED.CDE【参考答案】A.ABE【解析】1.**A.正确**：混合加密中，非对称加密（如RSA）用于安全传输对称密钥。2.**B.正确**：对称加密（如AES）因高效性适合加密实际数据。3.**E.正确**：混合加密结合对称加密的高效性和非对称加密的安全性。4.**C错误**：RSA计算量大，仅适合加密少量数据（如密钥）。5.**D错误**：AES是高效对称算法，适合加密数据而非密钥（密钥通常由RSA加密）。13.以下属于身份认证技术的是（）A.动态口令B.生物识别C.数字证书D.MAC地址过滤E.端口映射【选项】A.ABCB.ACDC.BCDD.ADE【参考答案】A.ABC【解析】1.身份认证用于验证用户身份的真实性。2.**A.动态口令**：通过临时密码（如短信验证码）增强认证安全性。3.**B.生物识别**：指纹、虹膜等生理特征认证。4.**C.数字证书**：基于PKI体系验证身份的公钥凭证。5.**D.MAC地址过滤**：属访问控制技术，非身份认证。6.**E.端口映射**：属网络地址转换（NAT）技术。14.防火墙的类型包括（）A.包过滤防火墙B.应用代理防火墙C.状态检测防火墙D.网络地址转换防火墙E.VPN防火墙【选项】A.ABCDB.ACDEC.ABCD.BCDE【参考答案】C.ABC【解析】1.主要防火墙技术分类：2.**A.包过滤防火墙**：基于IP/端口规则过滤数据包。3.**B.应用代理防火墙**：在应用层代理用户请求。4.**C.状态检测防火墙**：跟踪连接状态以动态放行数据包。5.**D与E错误**：-**网络地址转换（NAT）**是防火墙的附加功能而非独立类型。-**VPN**是远程接入技术，防火墙可集成VPN功能但不构成单独类型。15.下列协议中，提供端到端加密的是（）A.SSL/TLSB.IPsecC.WPA2D.PGPE.SSH【选项】A.ABDEB.ADEC.BDED.CDE【参考答案】B.ADE【解析】1.**端到端加密**指数据在发送端加密、接收端解密，全程保护传输内容。2.**A.SSL/TLS**：用于HTTPS等，加密应用层数据（如网页内容）。3.**D.PGP**：邮件加密协议，发送方加密邮件内容，接收方解密。4.**E.SSH**：加密远程登录会话，实现点对点加密通信。5.**B错误**：IPsec工作在网络层，提供主机到主机或网络到网络的加密（非严格端到端）。6.**C错误**：WPA2是无线局域网加密协议，保护链路层数据传输。16.DDoS攻击的主要特征是（）A.利用僵尸网络发起攻击B.单一攻击源发送大量流量C.消耗目标系统资源D.需植入木马控制受害者E.针对应用层漏洞【选项】A.ABCB.ACDC.ACED.ACDE【参考答案】C.ACE【解析】1.**DDoS（分布式拒绝服务攻击）特征**：2.**A.僵尸网络**：通过控制多台傀儡机（肉鸡）协同攻击。3.**C.资源消耗**：通过海量请求耗尽目标带宽、CPU等资源。4.**E.应用层攻击**：如HTTPFlood针对Web服务器漏洞。5.**B错误**：单一攻击源是DoS（非分布式）特征。6.**D错误**：植入木马是创建僵尸网络的手段，非DDoS攻击本身的直接特征。17.以下属于VPN实现技术的是（）A.PPTPB.L2TP/IPsecC.SSLVPND.MPLSE.SMTP【选项】A.ABCDB.ABCC.ACDD.ABD【参考答案】B.ABC【解析】1.**VPN（虚拟专用网）技术**通过加密隧道在公共网络建立私有连接。2.**A.PPTP**：点对点隧道协议，基于PPP封装。3.**B.L2TP/IPsec**：L2TP提供隧道，IPsec提供加密。4.**C.SSLVPN**：基于SSL/TLS协议建立远程访问VPN。5.**D错误**：MPLS是多协议标签交换，用于优化网络路由，不提供加密功能。6.**E错误**：SMTP是邮件传输协议，与VPN无关。18.防范SQL注入攻击的措施包括（）A.使用参数化查询B.对用户输入做正则表达式过滤C.部署Web应用防火墙D.启用数据库审计日志E.最小化数据库账户权限【选项】A.ABCEB.ABCDC.ACDED.BCDE【参考答案】A.ABCE【解析】1.**SQL注入防御核心方法**：2.**A.参数化查询**：预编译SQL语句，隔离数据与指令。3.**B.输入过滤**：验证输入格式（如仅允许字母数字）。4.**C.Web应用防火墙**：检测并拦截恶意请求。5.**E.最小权限**：限制数据库账户权限以减少攻击影响。6.**D错误**：审计日志仅用于事后追溯，无法主动防御攻击。19.下列属于对称加密算法的是（）A.AESB.RSAC.DESD.SHA-256E.RC4【选项】A.ACEB.ACDEC.ABED.BCD【参考答案】A.ACE【解析】1.**对称加密**使用相同密钥加密解密，以高效性著称。2.**A.AES**：高级加密标准，对称算法。3.**C.DES**：数据加密标准，对称算法（已逐渐被替代）。4.**E.RC4**：流加密对称算法。5.**B错误**：RSA是非对称加密算法。6.**D错误**：SHA-256是哈希算法，非加密算法。20.SSL/TLS协议的功能包括（）A.身份认证B.数据完整性校验C.数据加密D.防止重放攻击E.路由优化【选项】A.ABCDB.ABCC.BCDD.ABD【参考答案】A.ABCD【解析】1.**SSL/TLS核心安全功能**：2.**A.身份认证**：通过数字证书验证服务器/客户端身份。3.**B.完整性校验**：使用MAC或HMAC防止数据篡改。4.**C.数据加密**：对称加密（如AES）保护传输内容。5.**D.防重放攻击**：通过序列号或时间戳确保数据新鲜性。6.**E错误**：路由优化由网络层协议（如OSPF）实现，与SSL/TLS无关。21.下列属于被动网络攻击的是（）。A.拒绝服务攻击(DoS)B.木马植入C.网络钓鱼D.SQL注入攻击E.中间人攻击【选项】A.拒绝服务攻击(DoS)B.木马植入C.网络钓鱼D.SQL注入攻击E.中间人攻击【参考答案】CE【解析】1.**被动攻击**：不主动破坏系统，仅窃取或监听数据（如网络钓鱼、中间人攻击）。2.**主动攻击**：直接破坏或篡改系统（如DoS、木马、SQL注入）。3.C选项“网络钓鱼”通过欺骗获取信息，本质是被动；E选项“中间人攻击”通过监听篡改通信数据，属于被动攻击变种。4.A、B、D均为主动攻击。22.以下加密算法中属于非对称加密的是（）。A.AESB.RSAC.DESD.ECCE.MD5【选项】A.AESB.RSAC.DESD.ECCE.MD5【参考答案】BD【解析】1.**非对称加密**：使用公钥/私钥对（RSA、ECC）。2.**对称加密**：单密钥加解密（AES、DES）。3.**散列算法**：不可逆摘要（MD5）。4.错误选项：A、C为对称加密；E为散列算法。23.防火墙技术的主要类型包括（）。A.包过滤防火墙B.状态检测防火墙C.NAT转换D.代理服务防火墙E.应用网关防火墙【选项】A.包过滤防火墙B.状态检测防火墙C.NAT转换D.代理服务防火墙E.应用网关防火墙【参考答案】ABDE【解析】1.防火墙核心类型：包过滤（A）、状态检测（B）、代理服务（D）、应用网关（E）。2.NAT转换（C）是防火墙的功能而非独立技术类型。24.以下属于身份认证机制的是（）。A.动态口令B.IPSec协议C.数字证书D.SSL协议E.生物识别【选项】A.动态口令B.IPSec协议C.数字证书D.SSL协议E.生物识别【参考答案】ACE【解析】1.**认证机制**：验证用户身份（动态口令A、数字证书C、生物识别E）。2.**安全协议**：IPSec（B）、SSL（D）用于数据传输加密，非直接认证机制。25.以下协议中提供数据加密传输的是（）。A.HTTPSB.FTPC.SSHD.IPSecE.WPA2【选项】A.HTTPSB.FTPC.SSHD.IPSecE.WPA2【参考答案】ACDE【解析】1.**加密协议**：HTTPS（A）、SSH（C）、IPSec（D）、WPA2（E）均含加密层。2.**非加密协议**：FTP（B）默认明文传输，FTPS（FTPoverSSL）才是加密版本。26.下列属于恶意软件的是（）。A.病毒B.防火墙C.蠕虫D.入侵检测系统(IDS)E.间谍软件【选项】A.病毒B.防火墙C.蠕虫D.入侵检测系统(IDS)E.间谍软件【参考答案】ACE【解析】1.**恶意软件**：病毒（A）、蠕虫（C）、间谍软件（E）。2.**安全工具**：防火墙（B）、IDS（D）用于防御，非恶意软件。27.VPN的实现可使用的加密技术包括（）。A.IPSecB.HTTPC.SSLD.PPTPE.L2TP【选项】A.IPSecB.HTTPC.SSLD.PPTPE.L2TP【参考答案】ACDE【解析】1.**VPN加密技术**：IPSec（A）、SSL（C）、PPTP（D）、L2TP（E）均为VPN标准协议。2.**非加密协议**：HTTP（B）为明文协议，HTTPS才加密。28.下列属于网络监听技术的是（）。A.ARP欺骗B.DDoS攻击C.MAC泛洪D.端口镜像E.嗅探器(Sniffer)【选项】A.ARP欺骗B.DDoS攻击C.MAC泛洪D.端口镜像E.嗅探器(Sniffer)【参考答案】ACDE【解析】1.**网络监听**：通过欺骗（ARP欺骗A）、流量重定向（MAC泛洪C）、镜像端口（D）或专用工具（嗅探器E）捕获数据。2.**非监听攻击**：DDoS（B）属于流量洪水攻击，无监听行为。29.访问控制模型包括（）。A.RBAC（基于角色的访问控制）B.验证码C.MAC（强制访问控制）D.隧道技术E.DAC（自主访问控制）【选项】A.RBACB.验证码C.MACD.隧道技术E.DAC【参考答案】ACE【解析】1.**访问控制模型**：RBAC（A）、MAC（C）、DAC（E）是三大经典模型。2.**其他技术**：验证码（B）属于认证机制，隧道技术（D）用于VPN，非访问控制范畴。30.以下属于无线网络安全协议的是（）。A.WEPB.PPPoEC.WPAD.WPA2E.WPA3【选项】A.WEPB.PPPoEC.WPAD.WPA2E.WPA3【参考答案】ACDE【解析】1.**无线安全协议**：WEP（A）、WPA（C）、WPA2（D）、WPA3（E）是Wi-Fi加密标准演进序列。2.**拨号协议**：PPPoE（B）用于宽带接入，与无线安全无关。31.下列哪些攻击类型属于主动攻击？（）【选项】A.窃听B.重放攻击C.拒绝服务攻击D.流量分析E.数据篡改【参考答案】B、C、E【解析】1.主动攻击指攻击者主动对数据或系统进行篡改或破坏的行为。常见类型包括：重放攻击（B，重复发送合法数据干扰系统）、拒绝服务攻击（C，使目标系统无法提供服务）和数据篡改（E，修改传输或存储的数据）。2.窃听（A）和流量分析（D）属于被动攻击，仅通过监听获取信息而不改变数据。32.关于VPN技术，以下描述正确的有（）。【选项】A.IPSecVPN工作在数据链路层B.SSLVPN基于传输层协议实现C.PPTP协议使用GRE封装数据D.L2TP协议支持IPSec加密E.VPN通过公网构建私有加密通道【参考答案】B、C、D、E【解析】1.SSLVPN基于传输层协议（如TLS/SSL）实现（B正确）。2.PPTP使用GRE（通用路由封装）协议封装数据（C正确）。3.L2TP协议常与IPSec结合提供加密功能（D正确）。4.VPN本质是通过公网建立加密私有通道（E正确）。5.IPSec工作在网络层（A错误）。33.下列属于非对称加密算法的是（）。【选项】A.AESB.RSAC.ECCD.DESE.Diffie-Hellman【参考答案】B、C、E【解析】1.非对称加密使用公钥和私钥对，典型算法包括RSA（B）、ECC（椭圆曲线密码，C）和Diffie-Hellman（密钥交换协议，E）。2.AES（A）和DES（D）为对称加密算法。34.防火墙技术中，包过滤防火墙的局限性包括（）。【选项】A.无法阻止IP欺骗B.不支持应用层协议检测C.不能抵御SYNFlood攻击D.规则配置过于复杂E.无法识别伪造的MAC地址【参考答案】A、B、C【解析】1.包过滤防火墙基于IP/端口过滤，无法检测应用层数据（B正确），且无法验证IP真实性（易受IP欺骗，A正确）。2.SYNFlood攻击利用TCP协议缺陷，包过滤防火墙难以有效防御（C正确）。3.MAC地址伪造是局域网问题（E与防火墙无关），规则复杂性属于管理问题（D非技术局限）。35.以下哪些协议或技术用于保障Web安全？（）【选项】A.HTTPSB.DNSSECC.SETD.SFTPE.XSSFilter【参考答案】A、B、C、E【解析】1.HTTPS（A）通过SSL/TLS加密Web通信。2.DNSSEC（B）确保DNS查询的真实性，防止钓鱼攻击。3.SET（安全电子交易协议，C）专用于电子商务支付安全。4.XSSFilter（E）是浏览器防御跨站脚本攻击的机制。5.SFTP（D）用于文件传输安全，与Web无直接关联。三、判断题（共30题）1.计算机网络安全中的防火墙主要用于隔离内部网络和外部网络，通常部署在网络边界。【选项】A.正确B.错误【参考答案】A【解析】防火墙的核心功能是监控并控制进出网络的流量，基于预设规则过滤非法访问，其部署位置通常为内部网络与外部网络（如互联网）的连接边界，因此题干描述正确。2.非对称加密算法中，加密和解密使用相同的密钥。【选项】A.正确B.错误【参考答案】B【解析】非对称加密算法采用公钥和私钥两套密钥体系，公钥用于加密，私钥用于解密，二者不同。对称加密才使用相同密钥，因此题干描述错误。3.WannaCry是一种典型的蠕虫病毒，其传播依赖用户主动执行恶意程序。【选项】A.正确B.错误【参考答案】B【解析】WannaCry属于蠕虫病毒，但蠕虫的特征是无需用户干预即可通过网络漏洞（如SMB协议漏洞）自主传播，题干中“依赖用户主动执行”的描述错误。4.SSL/TLS协议通过在传输层加密数据，可同时保障数据的机密性和完整性。【选项】A.正确B.错误【参考答案】A【解析】SSL/TLS协议工作在传输层与应用层之间，通过加密通信内容（机密性）和校验数据摘要（完整性）实现安全传输，题干描述正确。5.数字证书的合法性验证依赖于CA（证书颁发机构）的公钥。【选项】A.正确B.错误【参考答案】A【解析】数字证书由CA用私钥签名，用户使用CA的公钥验证签名以确认证书真实性，题干描述正确。6.MD5是一种安全的散列函数，适用于存储用户密码。【选项】A.正确B.错误【参考答案】B【解析】MD5存在碰撞漏洞（不同输入生成相同摘要），且可通过彩虹表逆向破解，已不适用于密码存储。应使用加盐处理的SHA-256或bcrypt等加密算法。7.双因素认证需结合用户已知信息（如密码）和用户拥有的设备（如手机）进行验证。【选项】A.正确B.错误【参考答案】A【解析】双因素认证要求用户提供两类不同凭证：知识因素（密码）和占有因素（动态令牌/手机验证码），能显著提升安全性，题干符合定义。8.VPN通过建立物理专用电路实现远程安全通信。【选项】A.正确B.错误【参考答案】B【解析】VPN通过加密隧道技术在公共网络（如互联网）上建立逻辑专用通道，无需物理专线，题干中“物理专用电路”的描述错误。9.入侵检测系统（IDS）可主动拦截并阻断网络攻击行为。【选项】A.正确B.错误【参考答案】B【解析】IDS仅用于监控和报警，不具备阻断功能；入侵防御系统（IPS）才可主动拦截攻击，题干混淆了IDS与IPS的功能。10.安全审计日志应包含用户操作行为、系统异常事件及网络访问记录。【选项】A.正确B.错误【参考答案】A【解析】完整的安全审计日志需记录用户操作、系统事件（如登录失败）、网络流量等关键信息，便于追溯分析安全事件，题干描述正确。11.防火墙的主要功能是监控和限制内部网络用户访问外部网络的流量，防止信息泄露。【选项】A.正确B.错误【参考答案】B【解析】防火墙的主要功能是监控和限制**外部网络对内部网络的访问**，防止未经授权的访问或攻击，而非侧重于内部用户访问外部网络的流量控制。信息泄露防护通常需结合其他安全措施（如数据加密）实现。12.HTTPS协议通过结合SSL和TLS协议对HTTP通信进行加密，确保数据传输的保密性和完整性。【选项】A.正确B.错误【参考答案】A【解析】HTTPS基于**SSL/TLS协议**对HTTP通信进行加密，提供数据传输的保密性（防止窃听）、完整性（防止篡改）和身份认证（防止伪装），是安全通信的核心技术。13.WEP（有线等效保密）协议因采用强加密算法RC4和完整性校验机制，至今仍被广泛视为安全的无线网络加密标准。【选项】A.正确B.错误【参考答案】B【解析】WEP协议的RC4流加密存在密钥重复使用漏洞，且完整性校验机制（CRC-32）易被篡改，**早已被公认为不安全**，现已被WPA/WPA2替代。14.DDoS攻击通过向目标服务器发送大量合法请求，消耗其资源，导致正常服务不可用。【选项】A.正确B.错误【参考答案】A【解析】DDoS（分布式拒绝服务）攻击的核心是**利用僵尸网络发送海量“合法”请求**，占用目标服务器的带宽、计算资源或连接数，使其无法响应正常用户的访问。15.在非对称加密体系中，公钥用于解密数据，私钥用于加密数据。【选项】A.正确B.错误【参考答案】B【解析】非对称加密中，**公钥加密的数据只能由私钥解密**，私钥加密的数据（如数字签名）可由公钥验证。选项中描述的功能颠倒，属于常见混淆点。