網(wǎng)絡(luò)安全技術(shù)試卷一、單項選擇題（每小題1分，共30分）在下列每小題的四個備選答案中選出一個正確的答案，并將其字母標號填入題干的括號內(nèi)。1.以下哪一種現(xiàn)象，一般不可能是中木馬后引起的（）A.計算機的反應(yīng)速度下降，計算機自動被關(guān)機或是重啟B.計算機啟動時速度變慢，硬盤不斷發(fā)出“咯吱，咯吱”的聲音C.在沒有操作計算機時，而硬盤燈卻閃個不停D.在瀏覽網(wǎng)頁時網(wǎng)頁會自動關(guān)閉，軟驅(qū)或光驅(qū)會在無盤的情況下讀個不停2.下面有關(guān)DES的描述，不正確的是（）A.是由IBM、Sun等公司共同提出的B.其結(jié)構(gòu)完全遵循Feistel密碼結(jié)構(gòu)C.其算法是完全公開的D.是目前應(yīng)用最為廣泛的一種分組密碼算法3．“信息安全”中的“信息”是指（）A、以電子形式存在的數(shù)據(jù)B、計算機網(wǎng)絡(luò)C、信息本身、信息處理過程、信息處理設(shè)施和信息處理都D、軟硬件平臺4.下面不屬于身份認證方法的是（）A.口令認證B.智能卡認證C.姓名認證D.指紋認證5.數(shù)字證書不包含（）A.頒發(fā)機構(gòu)的名稱B.證書持有者的私有密鑰信息C.證書的有效期D.CA簽發(fā)證書時所使用的簽名算法6.套接字層（SocketLayer）位于（）A.網(wǎng)絡(luò)層與傳輸層之間B.傳輸層與應(yīng)用層之間C.應(yīng)用層D.傳輸層7.下面有關(guān)SSL的描述，不正確的是（）A.目前大部分Web瀏覽器都內(nèi)置了SSL協(xié)議B.SSL協(xié)議分為SSL握手協(xié)議和SSL記錄協(xié)議兩部分C.SSL協(xié)議中的數(shù)據(jù)壓縮功能是可選的D.TLS在功能和結(jié)構(gòu)上與SSL完全相同8.在基于IEEE802.1x與Radius組成的認證系統(tǒng)中，Radius服務(wù)器的功能不包括（）A.驗證用戶身份的合法性B.授權(quán)用戶訪問網(wǎng)絡(luò)資源C.對用戶進行審計D.對客戶端的MAC地址進行綁定9.在生物特征認證中，不適宜于作為認證特征的是（）A.指紋B.虹膜C.臉像D.體重10.防止重放攻擊最有效的方法是（）A.對用戶賬戶和密碼進行加密B.使用“一次一密”加密方式C.經(jīng)常修改用戶賬戶名稱和密碼D.使用復(fù)雜的賬戶名稱和密碼11.計算機病毒的危害性表現(xiàn)在（）A.能造成計算機部分配置永久性失效B.影響程序的執(zhí)行或破壞用戶數(shù)據(jù)與程序C.不影響計算機的運行速度D.不影響計算機的運算結(jié)果12.下面有關(guān)計算機病毒的說法，描述不正確的是（）A.計算機病毒是一個MIS程序B.計算機病毒是對人體有害的傳染性疾病C.計算機病毒是一個能夠通過自身傳染，起破壞作用的計算機程序D.計算機病毒是一段程序，只會影響計算機系統(tǒng)，但不會影響計算機網(wǎng)絡(luò)13.計算機病毒具有（）A.傳播性、潛伏性、破壞性B.傳播性、破壞性、易讀性C.潛伏性、破壞性、易讀性D.傳播性、潛伏性、安全性14.目前使用的防殺病毒軟件的作用是（）A.檢查計算機是否感染病毒，并消除已感染的任何病毒B.杜絕病毒對計算機的侵害C.檢查計算機是否感染病毒，并清除部分已感染的病毒D.查出已感染的任何病毒，清除部分已感染的病毒15.在DDoS攻擊中，通過非法入侵并被控制，但并不向被攻擊者直接發(fā)起攻擊的計算機稱為（）A.攻擊者B.主控端C.代理服務(wù)器D.被攻擊者16.對利用軟件缺陷進行的網(wǎng)絡(luò)攻擊，最有效的防范方法是（）A.及時更新補丁程序B.安裝防病毒軟件并及時更新病毒庫C.安裝防火墻D.安裝漏洞掃描軟件17.在IDS中，將收集到的信息與數(shù)據(jù)庫中已有的記錄進行比較，從而發(fā)現(xiàn)違背安全策略的行為，這類操作方法稱為（）A.模式匹配B.統(tǒng)計分析C.完整性分析D.不確定18.IPS能夠?qū)崟r檢查和阻止入侵的原理在于IPS擁有眾多的（）A.主機傳感器B.網(wǎng)絡(luò)傳感器C.過濾器D.管理控制臺19.將利用虛假IP地址進行ICMP報文傳輸?shù)墓舴椒ǚQ為（）A.ICMP泛洪B.LAND攻擊C.死亡之pingD.Smurf攻擊20.以下哪一種方法無法防范口令攻擊（）A.啟用防火墻功能B.設(shè)置復(fù)雜的系統(tǒng)認證口令C.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D.修改系統(tǒng)默認的認證名稱21.在分布式防火墻系統(tǒng)組成中不包括（）A.網(wǎng)絡(luò)防火墻B.主機防火墻C.中心管理服務(wù)器D.傳統(tǒng)防火墻22.下面對于個人防火墻未來的發(fā)展方向，描述不準確的是（）A.與xDSLModem、無線AP等網(wǎng)絡(luò)設(shè)備集成B.與防病毒軟件集成，并實現(xiàn)與防病毒軟件之間的安全聯(lián)動C.將個人防火墻作為企業(yè)防火墻的有機組成部分D.與集線器等物理層設(shè)備集成23.在以下各項功能中，不可能集成在防火墻上的是（）A.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）B.虛擬專用網(wǎng)（VPN）C.入侵檢測和入侵防御D.過濾內(nèi)部網(wǎng)絡(luò)中設(shè)備的MAC地址24.當某一服務(wù)器需要同時為內(nèi)網(wǎng)用戶和外網(wǎng)用戶提供安全可靠的服務(wù)時，該服務(wù)器一般要置于防火墻的（）A.內(nèi)部B.外部C.DMZ區(qū)D.都可以25.以下關(guān)于狀態(tài)檢測防火墻的描述，不正確的是（）A.所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個數(shù)據(jù)包之間存在一些關(guān)聯(lián)B.能夠自動打開和關(guān)閉防火墻上的通信端口C.其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩部分組成D.在每一次操作中，必須首先檢測規(guī)則表，然后再檢測連接狀態(tài)表26.在以下的認證方式中，最不安全的是（）A.PAPB.CHAPC.MS-CHAPD.SPAP27.以下有關(guān)VPN的描述，不正確的是（）A.使用費用低廉B.為數(shù)據(jù)傳輸提供了機密性和完整性C.未改變原有網(wǎng)絡(luò)的安全邊界D.易于擴展28.目前計算機網(wǎng)絡(luò)中廣泛使用的加密方式為（）A.鏈路加密B.節(jié)點對節(jié)點加密C.端對端加密D.以上都是29.以下有關(guān)軟件加密和硬件加密的比較，不正確的是（）A.硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序B.硬件加密的兼容性比軟件加密好C.硬件加密的安全性比軟件加密好D.硬件加密的速度比軟件加密快30.對于一個組織，保障其信息安全并不能為其帶來直接的經(jīng)濟效益，相反還會付出較大的成本，那么組織為什么需要信息安全？（）A.有多余的經(jīng)費B.全社會都在重視信息安全，我們也應(yīng)該關(guān)注C.上級或領(lǐng)導(dǎo)的要求D.組織自身業(yè)務(wù)需要和法律法規(guī)要求二、填空題（每空2分，共20分）1．利用公鑰加密數(shù)據(jù)，然后用私鑰解密數(shù)據(jù)的過程稱為；利用私鑰加密數(shù)據(jù)，然后用公鑰解密數(shù)據(jù)的過程稱為。2.在PKI/PMI系統(tǒng)中，一個合法用戶只擁有一個唯一的，但可能會同時擁有多個不同的。3.計算機網(wǎng)絡(luò)安全領(lǐng)域的3A是指認證、和。4.SSL是一種綜合利用和技術(shù)進行安全通信的工業(yè)標準。5.掃描技術(shù)主要分為和兩種類型。6.在IDS的報警中，可以分為錯誤報警和正確的報警兩種類型。其中錯誤報警中，將IDS工作于正常狀態(tài)下產(chǎn)生的報警稱為；而將IDS對已知的入侵活動未產(chǎn)生報警的現(xiàn)象稱為。7.狀態(tài)檢測防火墻是在傳統(tǒng)包過濾防火墻的基礎(chǔ)上發(fā)展而來的，所以將傳統(tǒng)的包過濾防火墻稱為防火墻，而將狀態(tài)檢測防火墻稱為防火墻。8.VPN是利用Internet等的基礎(chǔ)設(shè)施，通過技術(shù)，為用戶提供一條與專網(wǎng)相同的安全通道。9.VPN系統(tǒng)中的三種典型技術(shù)分別是、和加密技術(shù)。10.目前身份認證技術(shù)可分為PKI和非PKI兩種類型，其中在VPN的用戶身份認證中一般采用認證方式，而信息認證中采用認證方式。三、判斷題（每小題1分，共10分）1．Feistel是密碼設(shè)計的一個結(jié)構(gòu)，而非一個具體的密碼產(chǎn)品。（）2.暴力破解與字典攻擊屬于同類網(wǎng)絡(luò)攻擊方式，其中暴力破解中所采用的字典要比字典攻擊中使用的字典的范圍要大。（）3.DHCP服務(wù)器只能給客戶端提供IP地址和網(wǎng)關(guān)地址，而不能提供DNS服務(wù)器的IP地址。（）4.間諜軟件能夠修改計算機上的配置文件。（）5.蠕蟲既可以在互聯(lián)網(wǎng)上傳播，也可以在局域網(wǎng)上傳播。而且由于局域網(wǎng)本身的特性，蠕蟲在局域網(wǎng)上傳播速度更快，危害更大。（）6.與IDS相比，IPS具有深層防御的功能。（）7.當硬件配置相同時，代理防火墻對網(wǎng)絡(luò)運行性能的影響要比包過濾防火墻小。（）8.在傳統(tǒng)的包過濾、代理和狀態(tài)檢測3類防火墻中，只有狀態(tài)檢測防火墻可以在一定程度上檢測并防止內(nèi)部用戶的惡意破壞。（）9.防火墻一般采用“所有未被允許的就是禁止的”和“所有未被禁止的就是允許的”兩個基本準則，其中前者的安全性要比后者高。（）10.在利用VPN連接兩個LAN時，LAN中必須使用TCP/IP協(xié)議。（）四、名詞解釋（每小題4分，共20分）1、DNS緩存中毒：2．機密性、完整性、可用性、可控性PMI：防火墻：VPN：五、簡答題（每小題10分，共20分）1．如圖所示，描述DDoS攻擊的實現(xiàn)方法。2．簡述L2TP協(xié)議操作過程。

試卷一參考答案單項選擇題1~10：BAAABBDDDB11~20：BBACBAACDC21~30：DDDCDACCBD填空題1．加密；數(shù)字簽名。2.公鑰證書，屬性證書。3.授權(quán)，審計。4.對稱密鑰和非對稱密鑰。5.主機安全掃描和網(wǎng)絡(luò)安全掃描。6.誤報；漏報。7.靜態(tài)包過濾，動態(tài)包過濾。8.公共網(wǎng)絡(luò)，隧道。9.隧道技術(shù)、身份認證技術(shù)。10.非PKI，PKI。三、判斷題1．√2.√3.×4.×5.√6.√7.√9.√10.×四、名詞解釋（每小題4分，共20分）1、DNS緩存中毒：DNS為了提高查詢效率，采用了緩存機制，把用戶查詢過的最新記錄存放在緩存中，并設(shè)置生存周期（TimeToLive，TTL）。在記錄沒有超過TTL之前，DNS緩存中的記錄一旦被客戶端查詢，DNS服務(wù)器（包括各級名字服務(wù)器）將把緩存區(qū)中的記錄直接返回給客戶端，而不需要進行逐級查詢，提高了查詢速率。DNS緩存中毒利用了DNS緩存機制，在DNS服務(wù)器的緩存中存入大量錯誤的數(shù)據(jù)記錄主動供用戶查詢。由于緩存中大量錯誤的記錄是攻擊者偽造的，而偽造者可能會根據(jù)不同的意圖偽造不同的記錄。由于DNS服務(wù)器之間會進行記錄的同步復(fù)制，所以在TTL內(nèi)，緩存中毒的DNS服務(wù)器有可能將錯誤的記錄發(fā)送給其他的DNS服務(wù)器，導(dǎo)致更多的DNS服務(wù)器中毒。2．機密性、完整性、可用性、可控性機密性是確保信息不暴露給未經(jīng)授權(quán)的人或應(yīng)用進程；完整性是指只有得到允許的人或應(yīng)用進程才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被更改；可用性是指只有得到授權(quán)的用戶在需要時才可以訪問數(shù)據(jù)，即使在網(wǎng)絡(luò)被攻擊時也不能阻礙授權(quán)用戶對網(wǎng)絡(luò)的使用；可控性是指能夠?qū)κ跈?quán)范圍內(nèi)的信息流向和行為方式進行控制。3．PMI：PMI（授權(quán)管理基礎(chǔ)設(shè)施）是在PKI發(fā)展的過程中為了將用戶權(quán)限的管理與其公鑰的管理分離，由IETF提出的一種標準。PMI的最終目標就是提供一種有效的體系結(jié)構(gòu)來管理用戶的屬性。PMI以資源管理為核心，對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機構(gòu)統(tǒng)一處理。同PKI相比，兩者主要區(qū)別在于PKI證明用戶是誰，而PMI證明這個用戶有什么權(quán)限、能干什么。PMI需要PKI為其提供身份認證。PMI實際提出了一個新的信息保護基礎(chǔ)設(shè)施，能夠與PKI緊密地集成，并系統(tǒng)地建立起對認可用戶的特定授權(quán)，對權(quán)限管理進行系統(tǒng)的定義和描述，完整地提供授權(quán)服務(wù)所需過程。4．防火墻：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過監(jiān)測、限制、更改進入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡(luò)的安全保護。5．VPN：VPN（虛擬專用網(wǎng)）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶提供一條與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道，實現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接。從VPN的定義來看，其中“虛擬”是指用戶不需要建立自己專用的物理線路，而是利用Internet等公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實現(xiàn)與專用數(shù)據(jù)通道相同的通信功能；“專用網(wǎng)絡(luò)”是指這一虛擬出來的網(wǎng)絡(luò)并不是任何連接在公共網(wǎng)絡(luò)上的用戶都能夠使用的，而是只有經(jīng)過授權(quán)的用戶才可以使用。同時，該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認證，從而保證了傳輸內(nèi)容的完整性和機密性。五、簡答題1．如圖所示，描述DDoS攻擊的實現(xiàn)方法。DDoS攻擊是利用一批受控制的主機向一臺主機發(fā)起攻擊，其攻