2025年大學《信息與計算科學》專業(yè)題庫——網(wǎng)絡攻防與信息安全技術考試時間：______分鐘總分：______分姓名：______一、選擇題（每題2分，共20分。請將正確選項的字母填在題后的括號內(nèi)）1.下列哪一項不屬于網(wǎng)絡安全的基本屬性？（）A.機密性B.完整性C.可用性D.可控性2.在公鑰密碼體制中，用于加密的密鑰和用于解密的密鑰分別是？（）A.公鑰，公鑰B.私鑰，公鑰C.公鑰，私鑰D.私鑰，私鑰3.以下哪種攻擊屬于被動攻擊？（）A.DDoS攻擊B.SQL注入攻擊C.竊聽信息內(nèi)容D.拒絕服務攻擊4.用于實現(xiàn)網(wǎng)絡層安全傳輸?shù)膮f(xié)議是？（）A.FTPB.SMTPC.SSHD.IPsec5.防火墻工作在網(wǎng)絡的哪個層面？（）A.應用層B.表示層C.會話層D.網(wǎng)絡層6.數(shù)字簽名主要利用了密碼學的哪種特性？（）A.對稱加密B.非對稱加密C.哈希函數(shù)D.證書體系7.常用于Web應用程序的訪問控制模型是？（）A.Bell-LaPadula模型B.Biba模型C.自適應訪問控制模型（MAC）D.基于角色的訪問控制模型（RBAC）8.以下哪項措施可以有效防范網(wǎng)絡釣魚攻擊？（）A.使用復雜的密碼B.對來源不明的郵件鏈接保持警惕并進行驗證C.頻繁修改密碼D.安裝最新的殺毒軟件9.無線局域網(wǎng)（WLAN）中最常用的加密標準是？（）A.WEPB.WPA2C.WPA3D.Alloftheabove10.入侵檢測系統(tǒng)（IDS）的主要功能是？（）A.阻止網(wǎng)絡攻擊B.偵察網(wǎng)絡拓撲C.監(jiān)控網(wǎng)絡流量，檢測可疑活動并發(fā)出警報D.自動修復系統(tǒng)漏洞二、填空題（每空1分，共15分。請將答案填寫在橫線上）1.網(wǎng)絡安全威脅可以分為______威脅和______威脅兩大類。2.哈希函數(shù)具有______、______和______等特性。3.防火墻的主要功能包括______、______和______。4.常見的網(wǎng)絡攻擊類型有______攻擊、______攻擊和______攻擊等。5.用戶認證的常用方法有______認證、______認證和______認證等。6.操作系統(tǒng)的安全加固措施包括______、______和______等。7.VPN（虛擬專用網(wǎng)絡）通過使用______協(xié)議在公網(wǎng)上建立安全的通信通道。三、簡答題（每題5分，共20分）1.簡述對稱加密體制和非對稱加密體制的主要區(qū)別。2.簡述防火墻的工作原理及其主要類型。3.簡述Web應用程序中常見的兩種安全漏洞及其危害。4.簡述安全事件應急響應的基本流程。四、分析題（每題10分，共20分）1.某公司網(wǎng)絡遭受了DDoS攻擊，導致對外服務完全中斷。請分析該攻擊可能造成的危害，并提出相應的防御建議。2.假設你是一名安全工程師，需要為一小型辦公網(wǎng)絡設計一套安全策略。請簡述你會考慮哪些關鍵點，并說明如何利用防火墻和入侵檢測系統(tǒng)來增強網(wǎng)絡的安全性。五、綜合應用題（10分）某企業(yè)內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)之間部署了一臺防火墻?，F(xiàn)有安全要求：（1）允許公司員工訪問內(nèi)部的HTTP、FTP、DNS服務器。（2）允許公司管理員訪問外部的郵件服務器（SMTP、POP3、IMAP）。（3）禁止任何從外部到內(nèi)部網(wǎng)絡的未授權訪問。（4）內(nèi)部網(wǎng)絡中的所有主機禁止訪問外部的P2P下載網(wǎng)站。請根據(jù)上述要求，設計相應的防火墻訪問控制策略（ACL）規(guī)則，并說明規(guī)則匹配的順序原則。試卷答案一、選擇題1.D2.C3.C4.D5.D6.B7.D8.B9.B10.C二、填空題1.主動，被動2.單向性，抗碰撞性，抗原像性3.包過濾，狀態(tài)檢測，應用代理4.分布式拒絕服務，網(wǎng)絡滲透，惡意代碼傳播5.密碼，生物特征，令牌6.用戶口令管理，權限控制，系統(tǒng)日志審計7.IPsec三、簡答題1.解析思路：對比兩者在密鑰使用方式、加密解密效率、應用場景上的核心差異。*對稱加密：使用同一個密鑰進行加密和解密。優(yōu)點是效率高，缺點是密鑰分發(fā)困難。*非對稱加密：使用一對密鑰，公鑰和私鑰。公鑰加密，私鑰解密；私鑰加密，公鑰解密。優(yōu)點是解決了密鑰分發(fā)問題，可用于數(shù)字簽名；缺點是效率相對較低。2.解析思路：闡述防火墻的基本工作原理（檢查數(shù)據(jù)包），并分類說明不同類型防火墻的技術特點。*工作原理：防火墻作為網(wǎng)絡邊界設備，根據(jù)預設的安全規(guī)則（策略），檢查流經(jīng)它的數(shù)據(jù)包（通常是IP層和傳輸層信息），決定是允許還是拒絕該數(shù)據(jù)包通過，從而實現(xiàn)訪問控制。*主要類型：*包過濾防火墻：基于源/目的IP地址、端口號、協(xié)議類型等靜態(tài)信息過濾數(shù)據(jù)包。*狀態(tài)檢測防火墻：不僅檢查單個數(shù)據(jù)包，還跟蹤連接狀態(tài)，維護狀態(tài)表，對合法連接的數(shù)據(jù)包進行加速處理。*應用層網(wǎng)關/代理防火墻：在應用層對特定應用（如HTTP,FTP）的數(shù)據(jù)進行深度檢查和過濾，提供更強的安全性和應用層控制。3.解析思路：列舉兩個常見漏洞（如XSS,SQLi），并說明其基本原理和可能造成的危害。*XSS（跨站腳本攻擊）：攻擊者將惡意腳本注入到網(wǎng)頁中，當其他用戶瀏覽該網(wǎng)頁時，惡意腳本會在用戶瀏覽器上執(zhí)行，可能竊取用戶信息、會話令牌或進行釣魚攻擊。危害包括隱私泄露、賬戶被盜等。*SQL注入攻擊：攻擊者將惡意SQL代碼片段注入到Web應用程序的輸入字段中，欺騙服務器執(zhí)行非預期的數(shù)據(jù)庫操作，可能導致數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)庫刪除甚至服務器控制。危害包括數(shù)據(jù)安全受損、系統(tǒng)癱瘓等。4.解析思路：描述標準的安全事件應急響應流程的各個階段。*準備階段：建立應急響應組織，制定應急預案，準備應急資源（工具、人員）。*識別階段：監(jiān)測系統(tǒng)異常，確認安全事件的發(fā)生，初步判斷事件類型和影響范圍。*Containment（遏制）階段：阻止事件影響范圍擴大，保護核心系統(tǒng)和數(shù)據(jù)，隔離受感染主機。*Eradication（根除）階段：清除攻擊源，修復被利用的漏洞，確保攻擊者無法再次入侵。*Recovery（恢復）階段：將系統(tǒng)恢復到正常運行狀態(tài)，驗證系統(tǒng)安全，總結經(jīng)驗教訓。*Post-IncidentActivity（事后活動）階段：進行事件總結分析，更新應急預案和防御措施，改進安全體系。四、分析題1.解析思路：從業(yè)務、系統(tǒng)、數(shù)據(jù)等多維度分析DDoS攻擊的危害，并結合技術手段提出防御策略。*危害分析：*業(yè)務中斷：導致對外服務（網(wǎng)站、API）不可用，造成業(yè)務損失，影響用戶體驗。*系統(tǒng)資源耗盡：巨大的流量沖擊耗盡服務器帶寬、CPU、內(nèi)存等資源，導致正常用戶請求也無法處理。*數(shù)據(jù)損壞風險：在極端情況下，系統(tǒng)過載可能導致數(shù)據(jù)損壞或?qū)懭胧　?經(jīng)濟損失：包括直接的收入損失、恢復成本、聲譽損失等。*防御建議：*流量清洗服務：使用專業(yè)的DDoS防護服務商提供的清洗中心，過濾掉惡意流量，只將正常流量轉(zhuǎn)發(fā)到服務器。*增加帶寬：提升出口帶寬，增加系統(tǒng)能承受的流量沖擊能力（成本較高）。*優(yōu)化應用架構：采用分布式部署、負載均衡、無狀態(tài)服務設計等，分散壓力。*配置防火墻/路由器策略：配置黑洞路由，將可疑流量引導至黑洞。*啟用入侵防御系統(tǒng)（IPS）：識別并阻斷伴隨DDoS攻擊的惡意攻擊行為。*監(jiān)控與告警：實時監(jiān)控網(wǎng)絡流量，設置合理的告警閾值，及時發(fā)現(xiàn)異常。2.解析思路：從網(wǎng)絡架構、安全需求出發(fā)，思考防火墻和IDS/IPS在安全策略中的協(xié)同作用。*關鍵點考慮：*網(wǎng)絡邊界防護：防火墻是首要邊界設備，用于控制內(nèi)外網(wǎng)流量。*訪問控制策略：基于最小權限原則，精確配置允許和禁止的訪問規(guī)則。*內(nèi)部安全隔離：根據(jù)安全級別劃分內(nèi)部網(wǎng)絡區(qū)域（如DMZ、服務器區(qū)、辦公區(qū)），實施區(qū)域間訪問控制。*入侵檢測與防御：IDS/IPS用于檢測和阻止網(wǎng)絡中的惡意活動。*日志審計與監(jiān)控：收集防火墻和IDS/IPS的日志，進行分析，及時發(fā)現(xiàn)異常行為。*安全設備配置與管理：確保設備安全配置，定期更新規(guī)則和特征庫。*應急響應能力：制定安全事件應急響應計劃。*利用防火墻和IDS/IPS：*防火墻：根據(jù)需求配置規(guī)則，允許HTTP/FTP/DNS從內(nèi)網(wǎng)訪問外網(wǎng)，允許管理員訪問外網(wǎng)郵件服務器端口，默認拒絕所有其他出站連接，默認禁止所有入站連接（除非必要的服務）。*IDS/IPS：部署在防火墻之后或關鍵網(wǎng)絡節(jié)點，用于檢測網(wǎng)絡中可能存在的攻擊嘗試（如端口掃描、SQL注入、暴力破解等），可以配置為告警模式或主動阻斷模式，增強網(wǎng)絡縱深防御能力。對IDS/IPS的告警信息進行監(jiān)控和分析，為安全事件響應提供依據(jù)。五、綜合應用題解析思路：嚴格按照安全原則（如最小權限、默認拒絕）和具體要求，設計ACL規(guī)則，并說明規(guī)則順序的邏輯。*設計原則：*規(guī)則應遵循“從一般到具體”、“從允許到禁止”的原則。*盡量使用明確的源地址和目的地址/端口，避免使用通配符。*先配置允許特定流量通過的路由，再配置拒絕其他流量的路由。*規(guī)則設計（示例，假設內(nèi)部網(wǎng)段為/24，外部管理員網(wǎng)段為/24，郵件服務器公網(wǎng)IP為）：*`Rule1:AllowHTTPtrafficfrominternaltoanyexternal.`*`Action:Allow`*`Source:/24`*`Destination:Any`*`Protocol:TCP`*`DestinationPort:80`*`Rule2:AllowFTPtrafficfrominternaltoanyexternal.`*`Action:Allow`*`Source:/24`*`Destination:Any`*`Protocol:TCP`*`DestinationPort:21`(FTPcontrol)**(可選，如果允許主動模式)*`DestinationPort:20`(FTPdata)*`Rule3:AllowDNStrafficfrominternaltoanyexternal.`*`Action:Allow`*`Source:/24`*`Destination:Any`*`Protocol:UDP`*`DestinationPort:53`**(可選，如果允許遞歸查詢)*`Protocol:TCP`*`DestinationPort:53`*`Rule4:AllowSMTP/POP3/IMAPaccessfromadminnetworktomailserver.`*`Action:Allow`*`Source:/24`*`Destination:`*`Protocol:TCP`*`DestinationPort:25`(SMTP)*`DestinationPort:110`(POP3)*`DestinationPort:143`(IMAP)*`Rule5:Denyallotheroutboundtrafficfrominternal.`*`Action:Deny`*`Source:/24`*`Destination:Any`*`Protocol:Any`**(此規(guī)則應放在允許規(guī)則之后)**`Rule6:Denyallinboun