2025中国网安（含中国电科三十所）校园招聘200人笔试历年难易错考点试卷带答案解析

2025中国网安（含中国电科三十所）校园招聘200人笔试历年难易错考点试卷带答案解析一、选择题从给出的选项中选择正确答案（共50题）1、在网络安全防御体系中，以下关于防火墙与入侵检测系统（IDS）的说法，正确的是：

A.防火墙能够识别并阻断应用层的恶意流量，是主动防御的核心设备

B.IDS通常部署在流量路径中，可实时阻断可疑连接，具备主动干预能力

C.防火墙基于规则过滤网络层和传输层数据，而IDS侧重于分析流量行为以发现潜在攻击

D.IDS与防火墙功能重复，企业为节省成本可仅部署其一2、在密码学体系中，关于对称加密与非对称加密的比较，以下说法正确的是：

A.对称加密算法如RSA，加解密效率高，适合大数据量传输

B.非对称加密中，公钥可公开，私钥需保密，解决了密钥分发问题

C.非对称加密比对称加密更安全，因此应完全取代对称加密

D.对称加密的密钥可通过网络明文传输，不影响安全性3、在网络安全防护体系中，以下关于防火墙与入侵检测系统（IDS）的描述，正确的是：

A.防火墙工作在应用层，能识别并阻断SQL注入攻击

B.IDS可主动拦截恶意数据包，属于主动防御机制

C.状态检测防火墙通过跟踪连接状态实现更细粒度控制

D.网络型IDS部署在交换机上时无需开启端口镜像功能4、关于对称加密与非对称加密的比较，以下说法正确的是：

A.对称加密密钥长度通常比非对称加密更长以保证安全

B.RSA算法属于对称加密，适用于大数据量加密

C.非对称加密解决了密钥分发问题，但运算速度较慢

D.AES是一种非对称加密算法，广泛用于数字签名5、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？A．DESB．3DESC．AES-128D．AES-2566、下列哪项是网络安全中“最小权限原则”的核心含义？A．用户应拥有完成工作所需的全部权限B．系统权限应默认全部开放C．用户仅能获得完成任务所必需的最小权限D．权限分配无需审核7、在网络安全防护体系中，以下关于防火墙与入侵检测系统（IDS）的描述，正确的是：

A.防火墙能够主动拦截所有病毒文件的传输

B.IDS只能部署在网络边界，不能用于内部网络监控

C.防火墙主要基于规则过滤流量，而IDS侧重于异常行为和攻击特征的识别

D.防火墙与IDS均能主动阻断应用层DDoS攻击8、下列关于对称加密与非对称加密的比较，说法正确的是：

A.对称加密算法如RSA，加密解密使用同一密钥

B.非对称加密适用于大数据量的加密传输

C.非对称加密解决了密钥分发问题，但运算效率低于对称加密

D.对称加密的密钥可通过公开渠道安全传输9、在对称加密体制中，下列关于密钥管理的说法正确的是：

A.加密与解密使用不同密钥，便于密钥分发

B.所有通信双方共享同一密钥，存在密钥分发与安全管理难题

C.每对用户之间无需建立独立密钥即可保证安全

D.密钥公开存储以提高系统运行效率10、下列关于网络安全防护体系中“零信任”架构的理解，正确的是：

A.基于网络边界防护，默认内部用户可信

B.依据用户身份和设备状态动态授权，持续验证

C.仅在用户登录时验证一次即可长期访问

D.主要依赖防火墙和入侵检测系统实现全面防护11、在对称加密算法中，下列哪种算法的密钥长度最长且安全性最高？A.DESB.3DESC.AES-128D.AES-25612、下列哪项是网络安全中“最小权限原则”的正确体现？A.管理员为所有员工统一配置系统管理员权限B.用户仅被授予完成其工作所必需的最低权限C.所有系统服务默认开启以提高可用性D.密码策略仅在服务器端设置13、在网络安全领域，以下关于对称加密与非对称加密的描述中，正确的是：

A.对称加密算法加解密速度快，适合大数据量传输，但密钥分发存在安全隐患

B.非对称加密使用同一密钥进行加密和解密，提高了密钥管理的便利性

C.RSA算法是一种典型的对称加密算法，广泛应用于数据加密和数字签名

D.AES属于非对称加密算法，其密钥长度固定为128位14、下列关于网络安全防护技术的描述，错误的是：

A.防火墙可通过访问控制策略阻止未经授权的外部访问

B.入侵检测系统（IDS）可主动阻断攻击流量，属于主动防御机制

C.虚拟专用网络（VPN）通过隧道技术实现数据加密传输，保障通信安全

D.安全信息与事件管理系统（SIEM）可集中分析日志，提升威胁响应效率15、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？A.DESB.3DESC.AES-128D.AES-25616、下列哪项属于网络安全中的“完整性”保障措施？A.使用SSL/TLS进行数据传输加密B.通过数字签名验证数据未被篡改C.设置防火墙阻止非法访问D.对用户进行身份认证17、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？

A.DES

B.3DES

C.AES-128

D.AES-25618、下列哪项是网络安全中“最小权限原则”的核心含义？

A.所有用户默认拥有管理员权限

B.用户仅能访问完成工作所必需的资源

C.系统权限应定期全部重置

D.权限分配应以部门为单位统一设置19、在对称加密算法中，下列哪种算法的密钥长度最长且安全性最高？A.DESB.3DESC.AES-128D.AES-25620、下列哪项技术主要用于检测网络中的异常流量和潜在入侵行为？A.防火墙B.入侵检测系统（IDS）C.虚拟专用网络（VPN）D.数字签名21、在网络安全防御体系中，以下哪项技术主要用于检测并阻止已知攻击模式的入侵行为？A.入侵检测系统（IDS）B.防火墙C.蜜罐技术D.安全信息与事件管理（SIEM）22、在密码学中，下列关于对称加密与非对称加密的描述，正确的是：A.对称加密密钥分发安全，适合大规模通信B.非对称加密加密速度快，常用于数据加密C.RSA属于对称加密算法D.AES加密使用单一密钥进行加解密23、在对称加密算法中，下列哪种算法的密钥长度最长且安全性最高？A.DESB.3DESC.AES-128D.AES-25624、下列哪项是网络安全中“最小权限原则”的核心含义？A.所有用户默认拥有管理员权限B.用户权限应随工作时间动态调整C.用户仅被授予完成任务所必需的最低权限D.权限分配应依据职位高低统一设置25、在网络安全领域，以下关于对称加密与非对称加密的描述中，哪一项是正确的？A.对称加密算法的加解密密钥不同，安全性更高B.RSA属于对称加密算法，常用于数据加密C.非对称加密便于实现数字签名和密钥交换D.对称加密运算复杂，加密速度慢于非对称加密26、下列关于防火墙功能的描述，哪一项最准确？A.防火墙可查杀计算机中的病毒文件B.防火墙能阻止所有网络攻击，包括0day漏洞攻击C.防火墙通过访问控制策略管理进出网络的数据流D.主机防火墙无法保护终端设备免受内部攻击27、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？A．DES

B．3DES

C．AES-128

D．AES-25628、下列哪项是网络层实现安全防护的主要技术？A．SSL/TLS

B．IPSec

C．S/MIME

D．PGP29、在对称加密体制中，以下关于密钥管理的描述正确的是：

A.加密和解密使用不同的密钥，需公开分发公钥

B.每对通信用户之间共享一个唯一密钥，密钥数量随用户数平方增长

C.所有用户共用一个公共密钥，安全性依赖于算法保密

D.密钥可通过非安全信道传输而不影响系统安全30、下列关于网络安全防御体系中“深度防御”策略的描述，正确的是：

A.仅依赖防火墙即可实现全面防护

B.通过多层安全机制，实现网络、主机、应用等多维度防护

C.主要依靠入侵检测系统实时阻断所有攻击

D.安全防护仅在系统上线后开始部署31、在对称加密算法中，下列哪种算法的密钥长度最长且安全性最高？A.DESB.3DESC.AES-128D.AES-25632、下列哪项技术主要用于检测网络中的异常流量行为，属于网络安全主动防御手段？A.防火墙B.入侵检测系统（IDS）C.数据加密D.身份认证33、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？A．DESB．3DESC．AES-192D．AES-25634、下列哪项技术主要用于检测网络中的异常行为或潜在入侵行为？A．防火墙B．数字签名C．入侵检测系统（IDS）D．SSL/TLS35、在网络安全防御体系中，以下关于防火墙与入侵检测系统（IDS）的描述，正确的是：

A.防火墙能主动阻断异常流量，IDS仅能监测和告警

B.IDS可替代防火墙实现网络层访问控制

C.防火墙工作在应用层，IDS工作在网络层

D.防火墙无法识别加密流量中的攻击行为，IDS可以完全解析并阻断36、下列关于对称加密与非对称加密的说法中，正确的是：

A.对称加密密钥管理复杂，但加密速度快，适合大数据量传输

B.非对称加密使用同一密钥进行加解密，安全性依赖于密钥保密

C.RSA算法是对称加密算法的典型代表

D.非对称加密比对称加密在所有场景下都更安全高效37、在网络安全防御体系中，下列关于防火墙与入侵检测系统（IDS）的描述，正确的是：

A.防火墙工作在应用层，能识别并阻断SQL注入攻击

B.IDS可主动拦截数据包，适用于实时阻断DDoS攻击

C.状态检测防火墙通过会话状态表管理连接，安全性高于包过滤型

D.网络型IDS部署在交换机镜像端口时，无法监控加密流量内容38、下列关于对称加密与非对称加密的比较，说法正确的是：

A.对称加密如AES适合密钥分发，因密钥管理简单

B.RSA算法基于离散对数难题，用于数字签名和密钥交换

C.非对称加密速度慢，通常用于加密大量数据传输

D.SSL/TLS握手过程中使用非对称加密协商会话密钥39、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？A.DESB.3DESC.AES-128D.AES-25640、下列关于网络安全协议的描述，正确的是？A.HTTP是加密传输协议，保障数据安全B.TLS可为TCP连接提供加密与身份认证C.FTP默认使用端口22，支持安全文件传输D.SNMPv2比SNMPv3安全性更高41、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？A.DESB.3DESC.AES-128D.AES-25642、下列关于TCP与UDP协议的描述，哪一项是正确的？A.TCP提供无连接服务，UDP提供面向连接服务B.TCP不保证数据顺序，UDP保证数据可靠传输C.TCP有拥塞控制机制，UDP没有D.TCP传输开销小，适用于实时视频传输43、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？A.DESB.3DESC.AES-128D.AES-25644、下列哪项是防火墙主要实现的功能？A.防止内部人员误操作B.检测并清除计算机病毒C.控制网络间的数据访问，依据安全策略D.提供数据加密传输通道45、在对称加密算法中，以下哪种算法的密钥长度最长且安全性最高？

A.DES

B.3DES

C.AES-128

D.AES-25646、下列关于网络安全协议的描述，正确的是：

A.HTTP是加密传输协议，保障数据安全

B.SSL工作在网络层，提供端到端加密

C.IPSec可用于构建安全的VPN通信

D.FTP默认使用加密通道传输文件47、在网络安全防御体系中，下列关于防火墙与入侵检测系统（IDS）的描述，正确的是：A.防火墙能够主动阻断异常流量，IDS仅能监测并告警B.IDS可以替代防火墙实现访问控制功能C.防火墙工作在应用层，IDS工作在网络层D.两者均能主动拦截恶意数据包并进行修复48、下列关于对称加密与非对称加密的比较，说法正确的是：A.对称加密密钥管理更安全，适合大规模通信B.非对称加密加密速度快，常用于数据加密C.RSA属于对称加密算法，DES属于非对称加密算法D.非对称加密通过公钥加密、私钥解密，解决密钥分发难题49、在网络安全领域，下列关于对称加密与非对称加密的描述中，正确的是：A.对称加密算法加密速度快，适合大数据量传输，但密钥分发困难B.非对称加密使用同一密钥进行加密和解密，安全性依赖于密钥保密性C.RSA算法是对称加密的典型代表，广泛用于数据加密和数字签名D.AES属于非对称加密算法，密钥长度固定为128位50、下列关于防火墙功能的描述中，哪一项是其核心作用？A.检测并清除计算机中的病毒和恶意软件B.依据安全策略控制网络间的数据访问，防止非法入侵C.提供数据备份与灾难恢复服务D.对用户行为进行心理分析以预测攻击意图

参考答案及解析1.【参考答案】C【解析】防火墙主要在网络层和传输层基于预设规则（如IP、端口、协议）进行访问控制，无法深度识别应用层攻击；而IDS通过流量镜像进行行为分析，发现异常时告警但通常不主动阻断，属于被动监测系统。两者功能互补，需协同部署。C项描述准确。A项错误，防火墙难以识别复杂应用层攻击；B项错误，IDS一般不直接阻断流量；D项错误，二者功能不同，不可相互替代。2.【参考答案】B【解析】非对称加密（如RSA、ECC）使用公钥加密、私钥解密，公钥可公开传播，私钥由用户保密，有效解决了对称加密中密钥分发困难的问题。B项正确。A项错误，RSA是非对称算法，且效率低于对称加密；C项错误，非对称加密计算开销大，通常与对称加密结合使用（如SSL/TLS）；D项错误，对称加密密钥若明文传输，将导致密钥泄露，丧失安全性。3.【参考答案】C【解析】状态检测防火墙通过维护连接状态表，能够判断数据包是否属于合法会话，提升安全性。A错误，传统防火墙多工作在网络层和传输层，难以识别应用层攻击；B错误，IDS为被动监测系统，不能主动拦截数据包；D错误，网络型IDS需通过端口镜像获取流量，否则无法监控。4.【参考答案】C【解析】非对称加密（如RSA）使用公私钥机制，避免了密钥传输风险，解决了密钥分发难题，但计算开销大、速度慢。A错误，非对称加密密钥通常更长（如2048位）；B错误，RSA是非对称算法，且不用于加密大量数据；D错误，AES是对称加密算法，不用于数字签名。5.【参考答案】D【解析】DES密钥长度为56位，已不安全；3DES通过三次DES加密提升安全性，但效率低；AES-128使用128位密钥，安全性高；AES-256使用256位密钥，抗brute-force攻击能力最强，被广泛用于高安全场景，如政府与军工系统，因此安全性最高。6.【参考答案】C【解析】最小权限原则是网络安全基石之一，指用户、程序或系统只应被授予完成特定任务所必需的最低权限，防止权限滥用或攻击扩散。例如，普通员工不应拥有管理员权限，从而降低恶意软件传播或误操作风险，提升整体系统安全性。7.【参考答案】C【解析】防火墙主要依据预设规则（如IP、端口、协议）控制网络访问，实现访问控制；而IDS通过分析流量特征和行为模式，发现潜在攻击，但通常不具备主动阻断能力（除非与IPS联动）。A错误，防火墙无法识别病毒文件内容；B错误，IDS可部署于内网关键节点；D错误，应用层DDoS需专门防护设备或IPS支持。C准确描述了二者核心功能差异。8.【参考答案】C【解析】对称加密（如AES）使用同一密钥，加解密效率高，但密钥分发存在安全风险；非对称加密（如RSA）使用公私钥对，公钥可公开，私钥保密，解决了密钥分发难题，但计算复杂、速度慢，通常用于加密密钥或数字签名，而非大量数据传输。A错误，RSA是非对称算法；B错误，非对称不适合大数据加密；D错误，对称密钥不能通过公开渠道传输。C表述科学准确。9.【参考答案】B【解析】对称加密中，加密和解密使用相同密钥，因此通信双方必须事先安全共享密钥。随着用户数量增加，密钥数量呈组合级增长（n(n-1)/2），导致密钥分发、存储和管理复杂，易成为安全薄弱点。选项A描述的是非对称加密；C错误，因每对用户应使用独立密钥防止单点泄露影响全局；D违背密钥保密原则。故B正确。10.【参考答案】B【解析】零信任架构的核心是“永不信任，始终验证”，无论用户位于网络内外，都必须基于身份、设备状态、行为等多因素进行动态授权，并在访问过程中持续评估风险。A是传统边界安全模型；C违背持续验证原则；D描述的是传统防护手段，无法独立支撑零信任。因此B准确体现了零信任的核心机制。11.【参考答案】D【解析】AES-256采用256位密钥长度，相较于DES（56位）、3DES（112或168位有效密钥长度）和AES-128（128位），其密钥空间更大，抗暴力破解能力更强，安全性最高。目前AES-256被广泛用于高安全场景，是中国电科等单位网络安全体系中的核心加密标准之一。12.【参考答案】B【解析】最小权限原则要求用户、程序或系统只能拥有完成其任务所必需的最小权限，以降低误操作或恶意攻击带来的风险。选项B符合该原则，而A、C、D均违反了安全基本原则，易导致权限滥用或系统暴露，是信息安全实践中需重点规避的风险点。13.【参考答案】A【解析】对称加密使用相同密钥加解密，速度快，适合大量数据，但密钥需安全传输，存在分发难题；非对称加密使用公私钥对，安全性高但速度慢。A项正确。B项错误，非对称加密使用不同密钥；C项错误，RSA是非对称算法；D项错误，AES是对称加密算法，支持128、192、256位密钥长度。14.【参考答案】B【解析】入侵检测系统（IDS）主要用于监测和报警，并不具备主动阻断能力，阻断功能由入侵防御系统（IPS）实现，故B项错误。A项正确，防火墙是访问控制的核心设备；C项正确，VPN通过加密隧道保障通信安全；D项正确，SIEM用于日志聚合与安全事件分析，提升运维响应能力。15.【参考答案】D【解析】AES（高级加密标准）是目前广泛使用的对称加密算法，其中AES-256使用256位密钥，安全性高于AES-128和AES-192。DES密钥仅56位，已不安全；3DES虽增强安全性，但效率低且密钥有效强度仍不足。AES-256被中国网安等领域推荐用于高安全场景，是当前对称加密中最安全的选择。16.【参考答案】B【解析】网络安全的“完整性”指防止数据被未授权修改。数字签名通过哈希和非对称加密技术，确保接收方能验证数据来源和内容是否被篡改，是完整性核心手段。A项属于保密性，C和D属于可用性与身份控制范畴。因此，B是唯一直接保障完整性的措施。17.【参考答案】D【解析】AES（高级加密标准）是目前广泛使用的对称加密算法，其中AES-256采用256位密钥，比AES-128和AES-192更安全，抗brute-force攻击能力更强。DES密钥仅56位，已不安全；3DES虽增强安全性，但效率低且密钥长度等效约112位，远低于AES-256。因此，AES-256是当前最安全的对称加密选项。18.【参考答案】B【解析】最小权限原则是信息安全的基本准则，指用户、程序或系统应仅被授予完成其任务所必需的最低权限，以减少误操作或恶意行为带来的风险。选项A违反该原则；C和D并非核心定义。只有B准确体现了“按需授权、权限最小化”的安全理念，有效降低攻击面和横向移动风险。19.【参考答案】D【解析】AES（高级加密标准）是目前最广泛使用的对称加密算法。其中，AES-256的密钥长度为256位，远超DES（56位）和3DES（有效密钥长度112位或168位），且AES-128密钥长度为128位。密钥越长，暴力破解难度呈指数级上升。AES-256被包括中国电科三十所在内的多家国家级信息安全机构推荐用于高安全场景，因此在所列算法中安全性最高。20.【参考答案】B【解析】入侵检测系统（IDS）通过监控网络或系统中的行为模式，识别异常流量或已知攻击特征，实现对潜在入侵的告警。防火墙主要用于访问控制，依据规则允许或阻止流量；VPN用于安全通信加密；数字签名用于身份认证与完整性验证。IDS具备主动分析能力，是网络安全纵深防御体系中的关键组件，广泛应用于中国网安相关单位的技术架构中。21.【参考答案】A【解析】入侵检测系统（IDS）通过比对网络流量或系统日志与已知攻击特征库，识别潜在入侵行为，属于被动检测技术。防火墙主要基于规则控制访问，无法深度识别攻击内容；蜜罐用于诱捕攻击者，侧重于情报收集；SIEM侧重于日志聚合与分析，不直接检测攻击。因此，IDS最符合题意。22.【参考答案】D【解析】对称加密使用同一密钥加解密，AES是典型代表，效率高但密钥分发存在安全风险；非对称加密（如RSA）使用公私钥对，安全性高但速度慢，常用于密钥交换或数字签名。A错误在密钥分发不安全；B错误在非对称加密速度慢；C错误在RSA是非对称算法。故D正确。23.【参考答案】D【解析】AES-256使用256位密钥，相比DES（56位）、3DES（112或168位有效密钥）和AES-128（128位），密钥长度最长，抗暴力破解能力最强，安全性最高。AES算法是目前国际公认的高效安全对称加密标准，其中AES-256广泛应用于高安全需求场景。24.【参考答案】C【解析】最小权限原则是网络安全的基本准则之一，指用户、程序或系统只能拥有完成其功能所必需的最小权限集合，以降低误操作或恶意攻击带来的风险。该原则能有效限制横向移动和权限滥用，提升整体系统安全性。25.【参考答案】C【解析】对称加密使用相同密钥进行加解密，速度快但密钥分发困难；非对称加密使用公私钥对，虽速度慢但支持数字签名和安全密钥交换。RSA是非对称算法，B错误；A混淆了对称特征；D颠倒了性能关系。C正确描述了非对称加密的优势。26.【参考答案】C【解析】防火墙核心功能是依据安全策略控制网络流量，实现访问限制，C正确。A属于杀毒软件功能；B错误，防火墙无法防御所有攻击，尤其未知漏洞；D错误，主机防火墙可防御部分内部威胁。C科学准确地概括了防火墙作用。27.【参考答案】D【解析】AES-256采用256位密钥长度，相比DES（56位）、3DES（112或168位有效强度）和AES-128（128位），其密钥空间更大，抗暴力破解能力最强，安全性最高，被广泛应用于高安全场景，如政府与国防系统，因此是当前对称加密中最安全的选择。28.【参考答案】B【解析】IPSec是在网络层（OSI第三层）提供数据加密、认证和完整性保护的安全协议套件，能够保护IP通信的安全，适用于VPN等场景。而SSL/TLS工作在传输层，S/MIME和PGP主要用于应用层的电子邮件加密，因此IPSec是唯一在网络层实现安全防护的技术。29.【参考答案】B【解析】对称加密中，加密与解密使用相同密钥，通信双方必须安全共享该密钥。若有n个用户，每对用户需独立密钥，总密钥数约为n(n-1)/2，呈平方级增长，密钥管理复杂。A描述的是非对称加密；C错误，因安全不应依赖算法保密；D错误，密钥泄露将导致系统被攻破。故选B。30.【参考答案】B【解析】深度防御（DefenseinDepth）强调构建多层次、纵深的安全防护体系，涵盖物理、网络、主机、应用、数据等多个层面，单一防护措施不足应对复杂威胁。A、C均过度依赖单一手段；D违背安全前置原则。该策略提升攻击者突破难度，是现代网络安全核心理念。故选B。31.【参考答案】D【解析】AES-256采用256位密钥长度，相比DES（56位）、3DES（112或168位，存在中间相遇攻击风险）和AES-128（128位），具有更高的安全强度，能有效抵御暴力破解和已知攻击方式。目前AES-256被广泛用于高安全级别场景，是中国电科等单位在信息安全传输中的首选对称算法之一。32.【参考答案】B【解析】入侵检测系统（IDS）通过实时监控网络流量，利用特征匹配或异常检测模型识别潜在攻击行为，属于主动发现威胁的技术。防火墙主要基于规则过滤流量，属于边界防护；数据加密和身份认证分别保障机密性与身份真实性，但不直接检测异常行为。在网安实战中，IDS是构建纵深防御体系的关键环节，广泛应用于中国网安相关单位的运维体系中。33.【参考答案】D【解析】AES（高级加密标准）是目前广泛使用的对称加密算法，其中AES-256的密钥长度为256位，比AES-192（192位）、3DES（有效密钥长度约112位）和DES（56位）更长，抗brute-force攻击能力最强。因此在安全性上，AES-256最高，被广泛应用于高安全场景，如国家机密信息保护。34.【参考答案】C【解析】入侵检测系统（IDS）通过监控网络流量或主机活动，识别可疑行为或已知攻击特征，实现对潜在入侵的预警。防火墙主要用于访问控制，SSL/TLS提供传输加密，数字签名用于身份认证与完整性验证。只有IDS专门用于异常和入侵行为的检测，属于被动监控安全机制。35.【参考答案】A【解析】防火墙主要用于访问控制，依据预设规则主动阻断非法连接；而IDS通过分析流量特征发现潜在攻击，仅发出告警，不具备阻断能力。A项正确。B错误，IDS不能替代防火墙的控制功能；C错误，防火墙主要工作在网络层至传输层，部分支持应用层；D错误，两者对加密流量均难以深度解析，无法完全识别其中攻击内容。36.【参考答案】A【解析】对称加密使用单一密钥，加密解密速度快，适合大量数据加密，但密钥分发与管理困难；非对称加密使用公私钥对，安全性高，但计算开销大，适合密钥交换或数字签名。A正确。B错误，非对称加密使用不同密钥；C错误，RSA属于非对称加密；D错误，非对称加密效率低于对称加密，不适用于大数据加密。37.【参考答案】C【解析】状态检测防火墙不仅检查IP和端口，还追踪连接状态，安全性优于静态包过滤。A错误，传统防火墙不深入解析应用层攻击；B错误，IDS仅检测不拦截，需联动防火墙阻断；D虽部分正确，但题干要求选“正确”描述，C更全面准确。38.【参考答案】D【解析】SSL/TLS中客户端用服务器公钥加密生成的会话密钥，实现安全交换，之后用对称加密通信。A错误，对称加密密钥分发困难；B错误，RSA基于大整数分解难题；C错误，非对称加密不用于加密大量数据。D符合实际协议设计。39.【参考答案】D【解析】AES（高级加密标准）是目前广泛使用的对称加密算法，其中AES-256使用256位密钥，安全性高于AES-128和AES-192。DES密钥仅56位，易受暴力破解；3DES虽增强安全性，但效率低且密钥有效强度仍不足。AES-256被中国电科等机构用于高安全场景，符合国家密码管理要求，是当前最安全的对称加密选项之一。40.【参考答案】B【解析】TLS（传输层安全协议）用于在TCP之上提供加密、完整性保护和身份认证，广泛应用于HTTPS等场景。HTTP本身不加密，需结合TLS形成HTTPS才安全；FTP默认端口为21，SFTP才使用端口22；SNMPv3相比v2增强了加密与认证机制，安全性更高。因此B项描述准确，符合网络安全实践标准。41.【参考答案】D【解析】AES（高级加密标准）是目前最广泛使用的对称加密算法。其中，AES-128、AES-192和AES-256分别表示密钥长度为128位、192位和256位。密钥越长，暴力破解难度越大，安全性越高。DES密钥仅56位，已不安全；3DES虽增强安全性，但效率低且密钥有效强度仍不足。AES-256提供最高强度，被用于高安全场景，如政府和军事通信，因此安全性最高。42.【参考答案】C【解析】TCP是面向连接的协议，提供可靠、有序、可重传的数据传输，并具备流量控制和拥塞控制机制，适用于文件传输等可靠性要求