計(jì)算機(jī)［網(wǎng)絡(luò)安全］考試試題及答案一、單項(xiàng)選擇題（每小題1分，共30分）1?下面有關(guān)DES的描述，不正確的是（A）A.是由IBM、Sun等公司共同提出的B?其結(jié)構(gòu)完全遵循Feistel密碼結(jié)構(gòu)C.其算法是完全公開的D.是目前應(yīng)用最為廣泛的一種分組密碼算法2?下面有關(guān)MD5的描述，不正確的是（A）是一種用于數(shù)字簽名的算法B.得到的報(bào)文摘要長(zhǎng)度為固定的128位C?輸入以字節(jié)為單位D.用一個(gè)8字節(jié)的整數(shù)表示數(shù)據(jù)的原始長(zhǎng)度A.CA B.RA C?LDAP3?在PKI系統(tǒng)中，負(fù)責(zé)簽發(fā)和管理數(shù)字證書的是（A）數(shù)字證書不包含（BA?頒發(fā)機(jī)構(gòu)的名稱 b.證書持有者的私有密鑰信息C.證書的有效期 D.CA簽發(fā)證書時(shí)所使用的簽名算法套接字層（SocketLayer）位于（B）網(wǎng)絡(luò)層與傳輸層之間D.傳傳輸層與應(yīng)用層之間 輸層C.應(yīng)用層6. 下面有關(guān)SSL的描述，不正確的是（D）目前大部分Web瀏覽器都內(nèi)置了SSL協(xié)議SSL協(xié)議分為SSL握手協(xié)議和SSL記錄協(xié)議兩部分SSL協(xié)議中的數(shù)據(jù)壓縮功能是可選的TLS在功能和結(jié)構(gòu)上與SSL完全相同7.在基于IEEE802.1X與Radius組成的認(rèn)證系統(tǒng)中，Radius服務(wù)器的功能不包括（D）驗(yàn)證用戶身份的合法性B.授權(quán)用戶訪問網(wǎng)絡(luò)資源C.對(duì)用戶進(jìn)行審計(jì)D.對(duì)客戶端的MAC地址進(jìn)行綁定A.指紋B.A.指紋B.虹膜C.9.防止重放攻擊最有效的方法是（B8.特征的是（D）臉像D.體重在生物特征認(rèn)證中，不適宜于作為認(rèn)證使用“一次一密”加密方式D.使用復(fù)雜的賬戶名稱和密碼）影響程序的執(zhí)行或破壞用戶數(shù)據(jù)與程序不影響計(jì)算機(jī)的運(yùn)算結(jié)果11?下面有關(guān)計(jì)算機(jī)病毒的說法，描述正確的是（B計(jì)算機(jī)病毒是一個(gè)MIS程序計(jì)算機(jī)病毒是對(duì)人體有害的傳染性疾病計(jì)算機(jī)病毒是一個(gè)能夠通過自身傳染，起破壞作用的計(jì)算機(jī)程序D.計(jì)算機(jī)病毒是一段程序，只會(huì)影響計(jì)算機(jī)系統(tǒng)，但不會(huì)影響計(jì)算機(jī)網(wǎng)絡(luò)13. 計(jì)算機(jī)病毒具有（A）傳播性、潛伏性、破壞性B?傳播性、破壞性、易讀性潛伏性、破壞性、易讀性D.傳播性、潛伏性、安全性目前使用的防殺病毒軟件的作用是（C）檢查計(jì)算機(jī)是否感染病毒，并消除已感染的任何病毒杜絕病毒對(duì)計(jì)算機(jī)的侵害檢查計(jì)算機(jī)是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒在DDoS攻擊中，通過非法入侵并被控制，但并不向被攻擊者直接發(fā)起攻擊的計(jì)算機(jī)稱為（B）A.攻擊者B.主控端C.代理服務(wù)器D.被攻擊者對(duì)利用軟件缺陷進(jìn)行的網(wǎng)絡(luò)攻擊，最有效的防范方法是（A）及時(shí)更新補(bǔ)丁程序 B.安裝防病毒軟件并及時(shí)更新病毒庫(kù)安裝防火墻D.安裝漏洞掃描軟件在IDS中，將收集到的信息與數(shù)據(jù)庫(kù)中已有的記錄進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為，這類操作方法稱為（A）A.模式匹配B.統(tǒng)計(jì)分析C.完整性分析D.不確定IPS能夠?qū)崟r(shí)檢查和阻止入侵的原理在于 IPS擁有眾多的（C）A.主機(jī)傳感器B.網(wǎng)絡(luò)傳感器C.過濾器D.管理控制臺(tái)19?將利用虛假IP地址進(jìn)行ICMP報(bào)文傳輸?shù)墓舴椒ǚQ為（D）A.ICMP泛洪B.LAND攻擊C?死亡之pingD.Smurf攻擊以下哪一種方法無法防范口令攻擊（C）A.啟用防火墻功能 B.設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù) D.修改系統(tǒng)默認(rèn)的認(rèn)證名稱在分布式防火墻系統(tǒng)組成中不包括（D）A.網(wǎng)絡(luò)防火墻B.主機(jī)防火墻C.中心管理服務(wù)器D.傳統(tǒng)防火墻下面對(duì)于個(gè)人防火墻未來的發(fā)展方向，描述不準(zhǔn)確的是（D）與xDSLModem、無線AP等網(wǎng)絡(luò)設(shè)備集成與防病毒軟件集成，并實(shí)現(xiàn)與防病毒軟件之間的安全聯(lián)動(dòng)將個(gè)人防火墻作為企業(yè)防火墻的有機(jī)組成部分與集線器等物理層設(shè)備集成在以下各項(xiàng)功能中，不可能集成在防火墻上的是（D）A.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） B.虛擬專用網(wǎng)（VPN）C.入侵檢測(cè)和入侵防御 D.過濾內(nèi)部網(wǎng)絡(luò)中設(shè)備的MAC地址當(dāng)某一服務(wù)器需要同時(shí)為內(nèi)網(wǎng)用戶和外網(wǎng)用戶提供安全可靠的服務(wù)時(shí)，該服務(wù)器一般要置于防火墻的（C）A.內(nèi)部B.外部C.DMZ區(qū)D.都可以以下關(guān)于狀態(tài)檢測(cè)防火墻的描述，不正確的是（D）A.所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個(gè)數(shù)據(jù)包之間存在一些關(guān)聯(lián)能夠自動(dòng)打開和關(guān)閉防火墻上的通信端口其狀態(tài)檢測(cè)表由規(guī)則表和連接狀態(tài)表兩部分組成D.在每一次操作中，必須首先檢測(cè)規(guī)則表，然后再檢測(cè)連接狀態(tài)表的認(rèn)證方式中，最不安全的是（A.PAPD.SPAPB.CHAPC.MS-CHAPA.PAPD.SPAP27?以下有關(guān)VPN的描述，不正確的是（CC?未用費(fèi)用低廉 D?喙據(jù)傳輸提供了機(jī)密性和完整性改變 于擴(kuò)28甩前計(jì)算機(jī)網(wǎng)絡(luò)中廣泛使用的加密方式為（CA9鏈路下有關(guān)軟件加密和硬對(duì)加點(diǎn)比較，不正確的是?蝎 D?以上都是對(duì)端那用硬件解密數(shù)據(jù)的統(tǒng)中呈稱為屬性法字簽名擁全社會(huì)唯在重視信息安全，我們也應(yīng)該關(guān)注于組后級(jí)織用或一為個(gè)領(lǐng)什導(dǎo)組D.于組后級(jí)織用或一為個(gè)領(lǐng)什導(dǎo)組D.組織自身業(yè)務(wù)需要和法律法規(guī)要求、填空題（每空1分，共20分）利用公鑰加密數(shù)據(jù)，然利用私鑰加密數(shù)據(jù)，然后加,但可公鑰證書,但可時(shí)擁有多個(gè)不同的靜態(tài)/包過濾防火墻tern將狀態(tài)檢網(wǎng)絡(luò)火墻稱礎(chǔ)設(shè)施，通過動(dòng)態(tài)靜態(tài)/包過濾防火墻tern將狀態(tài)檢網(wǎng)絡(luò)火墻稱礎(chǔ)設(shè)施，通過動(dòng)態(tài)隧道防火墻。硬件加密對(duì)用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序33?計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的3A是指認(rèn)證、授345. 掃描SSL和非 主機(jī)技術(shù)進(jìn)行安全通信的工業(yè)標(biāo)準(zhǔn)。是一兩種類型36.在IDS的報(bào)警中，可以分為錯(cuò)IDS工作于正常狀態(tài)下產(chǎn)生的報(bào)警稱為誤:而將IDS對(duì)已知的入侵活動(dòng)未產(chǎn)生報(bào)警的現(xiàn)象稱為技術(shù)，為用戶提供一條與專網(wǎng)相同37.狀態(tài)檢測(cè)防火墻是在傳統(tǒng)包過濾防火墻的基礎(chǔ)上發(fā)展而來的，所以將傳統(tǒng)的包過濾防火墻稱為目前認(rèn)g統(tǒng)中的三種典型技術(shù)分別是隧道技術(shù) 認(rèn)證方式。身份方式，認(rèn)證而信身份 和加其中在VPN的用戶身份認(rèn)證中一般采用PKI的安全通道。41.判斷題（每小題1分，共10分）41.Feistel是密碼設(shè)計(jì)的一個(gè)結(jié)構(gòu)，而非一個(gè)具體的密碼產(chǎn)品。（V用的字典的范圍要大。VDNS服務(wù)器的IP地址°X（DNS服務(wù)器的IP地址°X（44?間諜軟件能夠修改計(jì)算機(jī)上的配置文件。（X ）蠕蟲既可以在播，。蠕蟲在局蠕蟲既可以在播，。蠕蟲在局TOC\o"1-5"\h\z域網(wǎng)上傳播速度更快，危害更大。（V ）與IDS相比，IPS具有深層防御的功能。（V ）當(dāng)硬件配置相同時(shí)，代理防火墻對(duì)網(wǎng)絡(luò)運(yùn)行性能的影響要比包過濾防火墻小。（X在傳統(tǒng)的包過濾、代理和狀態(tài)檢測(cè)3類防火墻中，只有狀態(tài)檢測(cè)防火墻可以在一定程度上檢測(cè)并防止內(nèi)部用戶的惡意破壞。（V ）防火墻一般采用“所有未被允許的就是禁止的”和“所有未被禁止的就是允許的”兩個(gè)基本準(zhǔn)則，其中前者的安全性要比后者高。（V ）在利用VPN連接兩個(gè)LAN時(shí)，LAN中必須使用TCP/IP協(xié)議。X（四、名詞解釋（每小題4分，共20分）DNS緩存中毒答：DNS為了提高查詢效率，采用了緩存機(jī)制，把用戶查詢過的最新記錄存放在緩存中，并設(shè)置生存周期（TimeToLive,TTL）。在記錄沒有超過TTL之前，DNS緩存中的記錄一旦被客戶端查詢，DNS服務(wù)器（包括各級(jí)名字服務(wù)器）將把緩存區(qū)中的記錄直接返回給客戶端，而不需要進(jìn)行逐級(jí)查詢，提高了查詢速率。分）DNS緩存中毒利用了DNS緩存機(jī)制，在DNS服務(wù)器的緩存中存入大（2量錯(cuò)誤的數(shù)據(jù)記錄主動(dòng)供用戶查詢。由于緩存中大量錯(cuò)誤的記錄是攻擊者偽造的，而偽造者可能會(huì)根據(jù)不同的意圖偽造不同的記錄。由于DNS服務(wù)器之間會(huì)進(jìn)行記錄的同步復(fù)制，所以在TTL內(nèi)DNS服務(wù)器，導(dǎo)致更多的DNS服務(wù)器中1DNS服務(wù)器，導(dǎo)致更多的DNS服務(wù)器中1分）；完整性是指只有得到允許的人1分）；可用性是指只有得到授權(quán)毒。分）（252.機(jī)密性、完整性、可用性、可控性答：機(jī)密性是確保信息不暴露給未經(jīng)授權(quán)的人或應(yīng)用進(jìn)程（或應(yīng)用進(jìn)程才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被更改（TOC\o"1-5"\h\z的用戶在需要時(shí)才可以訪問數(shù)據(jù)，即使在網(wǎng)絡(luò)被攻擊時(shí)也不能阻礙授權(quán)用戶對(duì)網(wǎng)絡(luò)的使用（ 1分）；可控性是指能夠?qū)κ跈?quán)范圍內(nèi)的信息流向和行為方式進(jìn)行控制（ 1分）PMI答：PMI（授權(quán)管理基礎(chǔ)設(shè)施）是在PKI發(fā)展的過程中為了將用戶權(quán)限的管理與其公鑰的管理分離，由IETF提出的一種標(biāo)準(zhǔn)。PMI的最終目標(biāo)就是提供一種有效的體系結(jié)構(gòu)來管理用戶的屬性。 PMI以資源管理為核心，對(duì)資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理（ 2分）。同PKI相比，兩者主要區(qū)別在于PKI證明用戶是誰，而PMI證明這個(gè)用戶有什么權(quán)限、能干什么。PMI需要PKI為其提供身份認(rèn)證。PMI實(shí)際提出了一個(gè)新的信息保護(hù)基礎(chǔ)設(shè)施，能夠與 PKI緊密地集成，并系統(tǒng)地建立起對(duì)認(rèn)可用戶的特定授權(quán)，對(duì)權(quán)限管理進(jìn)行系統(tǒng)的定義和描述，完整地提供授權(quán)服務(wù)所需過程。防火墻答：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合（2分），通過監(jiān)測(cè)、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的入侵，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。（2分）55.VPN答：VPN（虛擬專用網(wǎng)）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶提供一條與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道，實(shí)現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接（ 2分）從VPN的定義來看，“虛擬”。其中是指用戶不需要建立自己專用的物理線路，而是利用 Internet等公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實(shí)現(xiàn)與專用數(shù)據(jù)通道相同的通信功能；“專用網(wǎng)絡(luò)”是指這一虛擬出來的網(wǎng)絡(luò)并不是任何連接在公共網(wǎng)絡(luò)上的用戶都能夠使用的，而是只有經(jīng)過授權(quán)的用戶才可以使用。同時(shí)，該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，從而保證了傳輸內(nèi)容的完整性和機(jī)密性。（2分）五、簡(jiǎn)答題（每小題10分，共20分）56.根據(jù)實(shí)際應(yīng)用，以個(gè)人防火墻為主，簡(jiǎn)述防火墻的主要功能及應(yīng)用特點(diǎn)。答：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過監(jiān)測(cè)、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的入侵，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。（2分）個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對(duì)計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會(huì)報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對(duì)個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)。（2分）個(gè)人防火墻是在企業(yè)防火墻的基礎(chǔ)上發(fā)展起來，個(gè)人防火墻采用的技術(shù)也與企業(yè)防火墻基本相同，但在規(guī)則的設(shè)置、防火墻的管理等方面進(jìn)行了簡(jiǎn)化，使非專業(yè)的普通用戶能夠容易地安裝和使用。（2分）為了防止安全威脅對(duì)個(gè)人計(jì)算機(jī)產(chǎn)生的破壞，個(gè)人防火墻產(chǎn)品應(yīng)提供以下的主要功能。防止上用戶的攻internet擊、阻斷木馬及其他惡意軟件的攻擊、為移動(dòng)計(jì)算機(jī)提供安全保護(hù)、與其他安全產(chǎn)品進(jìn)行集成。（4分）57.如圖所示，描述DDoS攻擊的實(shí)現(xiàn)方法。DDoS攻擊是利用一批受控制的主機(jī)向一臺(tái)主機(jī)發(fā)起攻擊，其攻擊的強(qiáng)度和造成的威脅要比擊嚴(yán)重得DoS攻多，當(dāng)然其破壞性也要強(qiáng)得多。 分）（2在整個(gè)DDoS攻擊過程中，共有四部分組成：攻擊者、主控端、代理服務(wù)器和被攻擊者，其中每一個(gè)組成在攻擊中扮演的角色不同。（1） 攻擊者。攻擊者是指在整個(gè) DDoS攻擊中的主控臺(tái)，它負(fù)責(zé)向主控端發(fā)送攻擊命令。DoS攻擊略有不同，DDoS攻擊中的攻擊者對(duì)計(jì)算機(jī)的配置和網(wǎng)絡(luò)帶寬的要求并不高，只要能夠向主控端正常發(fā)送攻擊命令即可。 分）（2（2）主控端。主控端是攻擊者非法侵入并控制的一些主機(jī)，通過這些主機(jī)再分別控制大