計算機網(wǎng)絡(luò)安全技術(shù)試卷全含答案

1、-計算機科學(xué)與技術(shù)專業(yè)? 計算機網(wǎng)絡(luò)平安?試卷一、單項選擇題每題 1分，共30 分在以下每題的四個備選答案中選出一個正確的答案，并將其字母標(biāo)號填入題干的括號。1. 非法接收者在截獲密文后試圖從中分析出明文的過程稱為 A A. 破譯 B. 解密 C. 加密 D. 攻擊2. 以下有關(guān)軟件加密和硬件加密的比較，不正確的選項是 B A. 硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序B. 硬件加密的兼容性比軟件加密好C. 硬件加密的平安性比軟件加密好D. 硬件加密的速度比軟件加密快3. 下面有關(guān)3DES的數(shù)學(xué)描述，正確的選項是 B A. C=E(E(E(P, K1), K1),

2、K1) B. C=E(D(E(P, K1), K2), K1)C. C=E(D(E(P, K1), K1), K1) D. C=D(E(D(P, K1), K2), K1)4. PKI無法實現(xiàn) D A. 身份認(rèn)證 B. 數(shù)據(jù)的完整性 C. 數(shù)據(jù)的性 D. 權(quán)限分配5. CA的主要功能為 D A. 確認(rèn)用戶的身份 B. 為用戶提供證書的申請、下載、查詢、注銷和恢復(fù)等操作C. 定義了密碼系統(tǒng)的使用方法和原則 D. 負(fù)責(zé)發(fā)放和管理數(shù)字證書6. 數(shù)字證書不包含 B A. 頒發(fā)機構(gòu)的名稱 B. 證書持有者的私有密鑰信息C. 證書的有效期 D. CA簽發(fā)證書時所使用的簽名算法7. “在因特網(wǎng)上沒有人知道對

3、方是一個人還是一條狗這個故事最能說明 A A. 身份認(rèn)證的重要性和迫切性 B. 網(wǎng)絡(luò)上所有的活動都是不可見的C. 網(wǎng)絡(luò)應(yīng)用中存在不嚴(yán)肅性 D. 計算機網(wǎng)絡(luò)是一個虛擬的世界8. 以下認(rèn)證方式中，最為平安的是 D A. 用戶名+密碼 B. 卡+密鑰 C. 用戶名+密碼+驗證碼 D. 卡+指紋9. 將通過在別人丟棄的廢舊硬盤、U盤等介質(zhì)中獲取他人有用信息的行為稱為 D A. 社會工程學(xué) B. 搭線竊聽 C. 窺探 D. 垃圾搜索10. ARP欺騙的實質(zhì)是 A A. 提供虛擬的MAC與IP地址的組合 B. 讓其他計算機知道自己的存在C. 竊取用戶在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù) D. 擾亂網(wǎng)絡(luò)的正常運行11. TC

4、P SYN泛洪攻擊的原理是利用了 A A. TCP三次握手過程 B. TCP面向流的工作機制C. TCP數(shù)據(jù)傳輸中的窗口技術(shù) D. TCP連接終止時的FIN報文12. DNSSEC中并未采用C A. 數(shù)字簽名技術(shù) B. 公鑰加密技術(shù) C. 地址綁定技術(shù) D. 報文摘要技術(shù)13. 當(dāng)計算機上發(fā)現(xiàn)病毒時，最徹底的去除方法為 A A. 格式化硬盤 B. 用防病毒軟件去除病毒 C. 刪除感染病毒的文件 D. 刪除磁盤上所有的文件14. 木馬與病毒的最大區(qū)別是 B A. 木馬不破壞文件，而病毒會破壞文件 B. 木馬無法自我復(fù)制，而病毒能夠自我復(fù)制C. 木馬無法使數(shù)據(jù)喪失，而病毒會使數(shù)據(jù)喪失D. 木馬不具

5、有潛伏性，而病毒具有潛伏性15. 經(jīng)常與黑客軟件配合使用的是 C A. 病毒 B. 蠕蟲 C. 木馬 D. 間諜軟件16. 目前使用的防殺病毒軟件的作用是C A. 檢查計算機是否感染病毒，并消除已感染的任何病毒B. 杜絕病毒對計算機的侵害C. 檢查計算機是否感染病毒，并去除局部已感染的病毒D. 查出已感染的任何病毒，去除局部已感染的病毒17. 死亡之ping屬于 B A. 冒充攻擊 B. 拒絕效勞攻擊 C. 重放攻擊 D. 篡改攻擊18. 淚滴使用了IP數(shù)據(jù)報中的 A A. 段位移字段的功能 B. 協(xié)議字段的功能 C. 標(biāo)識字段的功能 D. 生存期字段的功能19. ICMP泛洪利用了 C A.

6、 ARP命令的功能 B. tracert命令的功能C. ping命令的功能 D. route命令的功能20. 將利用虛假IP地址進(jìn)展ICMP報文傳輸?shù)墓舴椒ǚQ為 D A. ICMP泛洪 B. LAND攻擊 C. 死亡之ping D. Smurf攻擊21. 以下哪一種方法無法防口令攻擊 A A. 啟用防火墻功能 B. 設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C. 關(guān)閉不需要的網(wǎng)絡(luò)效勞 D. 修改系統(tǒng)默認(rèn)的認(rèn)證名稱22 以下設(shè)備和系統(tǒng)中，不可能集成防火墻功能的是 A A.集線器 B. 交換機 C. 路由器 D. Windows Server 2003操作系統(tǒng)23. 對“防火墻本身是免疫的這句話的正確理解是 B A

7、. 防火墻本身是不會死機的 B. 防火墻本身具有抗攻擊能力C. 防火墻本身具有對計算機病毒的免疫力D. 防火墻本身具有去除計算機病毒的能力24. 以下關(guān)于傳統(tǒng)防火墻的描述，不正確的選項是A A. 即可防，也可防外 B. 存在構(gòu)造限制，無法適應(yīng)當(dāng)前有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)并存的需要C. 工作效率較低，如果硬件配置較低或參數(shù)配置不當(dāng)，防火墻將成形成網(wǎng)絡(luò)瓶頸D. 容易出現(xiàn)單點故障25. 下面對于個人防火墻的描述，不正確的選項是 C A. 個人防火墻是為防護(hù)接入互聯(lián)網(wǎng)的單機操作系統(tǒng)而出現(xiàn)的B. 個人防火墻的功能與企業(yè)級防火墻類似，而配置和管理相對簡單C. 所有的單機殺病毒軟件都具有個人防火墻的功能D. 為了

8、滿足非專業(yè)用戶的使用，個人防火墻的配置方法相對簡單26.VPN的應(yīng)用特點主要表現(xiàn)在兩個方面，分別是 A A. 應(yīng)用本錢低廉和使用平安 B. 便于實現(xiàn)和管理方便C. 資源豐富和使用便捷 D. 高速和平安27. 如果要實現(xiàn)用戶在家中隨時單位部的數(shù)字資源，可以通過以下哪一種方式實現(xiàn) C A. 外聯(lián)網(wǎng)VPN B. 聯(lián)網(wǎng)VPN C. 遠(yuǎn)程接入VPN D. 專線接入28. 在以下隧道協(xié)議中，屬于三層隧道協(xié)議的是 D A. L2F B. PPTP C. L2TP D. IPSec29.以下哪一種方法中，無法防蠕蟲的入侵。B A. 及時安裝操作系統(tǒng)和應(yīng)用軟件補丁程序B. 將可疑的下載等文件夾中，然后再雙擊翻開

9、C. 設(shè)置文件夾選項，顯示文件名的擴展名D. 不要翻開擴展名為VBS、SHS、PIF等30. 以下哪一種現(xiàn)象，一般不可能是中木馬后引起的 B A. 計算機的反響速度下降，計算機自動被關(guān)機或是重啟B. 計算機啟動時速度變慢，硬盤不斷發(fā)出“咯吱，咯吱的聲音C. 在沒有操作計算機時，而硬盤燈卻閃個不停D. 在瀏覽網(wǎng)頁時網(wǎng)頁會自動關(guān)閉，軟驅(qū)或光驅(qū)會在無盤的情況下讀個不停31.下面有關(guān)DES的描述，不正確的選項是 AA. 是由IBM、Sun等公司共同提出的 B. 其構(gòu)造完全遵循Feistel密碼構(gòu)造C. 其算法是完全公開的 D. 是目前應(yīng)用最為廣泛的一種分組密碼算法32 “信息平安中的“信息是指 AA、

10、以電子形式存在的數(shù)據(jù) B、計算機網(wǎng)絡(luò)C、信息本身、信息處理過程、信息處理設(shè)施和信息處理都D、軟硬件平臺33. 下面不屬于身份認(rèn)證方法的是 A A. 口令認(rèn)證 B. 智能卡認(rèn)證 C. 認(rèn)證 D. 指紋認(rèn)證34. 數(shù)字證書不包含 BA. 頒發(fā)機構(gòu)的名稱 B. 證書持有者的私有密鑰信息C. 證書的有效期 D. CA簽發(fā)證書時所使用的簽名算法35. 套接字層Socket Layer位于 B A. 網(wǎng)絡(luò)層與傳輸層之間 B. 傳輸層與應(yīng)用層之間C. 應(yīng)用層 D. 傳輸層36. 下面有關(guān)SSL的描述，不正確的選項是 D A. 目前大局部Web瀏覽器都置了SSL協(xié)議B. SSL協(xié)議分為SSL握手協(xié)議和SSL記

11、錄協(xié)議兩局部C. SSL協(xié)議中的數(shù)據(jù)壓縮功能是可選的D. TLS在功能和構(gòu)造上與SSL完全一樣37. 在基于IEEE 802.1*與Radius組成的認(rèn)證系統(tǒng)中，Radius效勞器的功能不包括 D A. 驗證用戶身份的合法性 B. 授權(quán)用戶網(wǎng)絡(luò)資源C. 對用戶進(jìn)展審計 D. 對客戶端的MAC地址進(jìn)展綁定38. 在生物特征認(rèn)證中，不適宜于作為認(rèn)證特征的是 D A. 指紋 B. 虹膜 C. 臉像 D. 體重39. 防止重放攻擊最有效的方法是B A. 對用戶賬戶和密碼進(jìn)展加密 B. 使用“一次一密加密方式C. 經(jīng)常修改用戶賬戶名稱和密碼 D. 使用復(fù)雜的賬戶名稱和密碼40. 計算機病毒的危害性表現(xiàn)在

12、 BA. 能造成計算機局部配置永久性失效 B. 影響程序的執(zhí)行或破壞用戶數(shù)據(jù)與程序C. 不影響計算機的運行速度 D. 不影響計算機的運算結(jié)果41. 下面有關(guān)計算機病毒的說法，描述不正確的選項是 B A. 計算機病毒是一個MIS程序 B. 計算機病毒是對人體有害的傳染性疾病C. 計算機病毒是一個能夠通過自身傳染，起破壞作用的計算機程序D. 計算機病毒是一段程序，只會影響計算機系統(tǒng)，但不會影響計算機網(wǎng)絡(luò)42 計算機病毒具有 A A. 傳播性、潛伏性、破壞性 B. 傳播性、破壞性、易讀性C. 潛伏性、破壞性、易讀性 D. 傳播性、潛伏性、平安性43. 目前使用的防殺病毒軟件的作用是 C A. 檢查計

13、算機是否感染病毒，并消除已感染的任何病毒B. 杜絕病毒對計算機的侵害C. 檢查計算機是否感染病毒，并去除局部已感染的病毒D. 查出已感染的任何病毒，去除局部已感染的病毒44 在DDoS攻擊中，通過非法入侵并被控制，但并不向被攻擊者直接發(fā)起攻擊的計算機稱為 B A. 攻擊者 B. 主控端 C. 代理效勞器 D. 被攻擊者45. 對利用軟件缺陷進(jìn)展的網(wǎng)絡(luò)攻擊，最有效的防方法是 A A. 及時更新補丁程序 B. 安裝防病毒軟件并及時更新病毒庫C. 安裝防火墻 D. 安裝漏洞掃描軟件46. 在IDS中，將收集到的信息與數(shù)據(jù)庫中已有的記錄進(jìn)展比較，從而發(fā)現(xiàn)違背平安策略的行為，這類操作方法稱為A A. 模

14、式匹配 B. 統(tǒng)計分析 C. 完整性分析 D. 不確定47. IPS能夠?qū)崟r檢查和阻止入侵的原理在于IPS擁有眾多的 C A. 主機傳感器 B. 網(wǎng)絡(luò)傳感器 C. 過濾器 D. 管理控制臺48. 將利用虛假IP地址進(jìn)展ICMP報文傳輸?shù)墓舴椒ǚQ為 D A. ICMP泛洪 B. LAND攻擊 C. 死亡之ping D. Smurf攻擊49. 以下哪一種方法無法防口令攻擊 C A. 啟用防火墻功能 B. 設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C. 關(guān)閉不需要的網(wǎng)絡(luò)效勞 D. 修改系統(tǒng)默認(rèn)的認(rèn)證名稱50. 在分布式防火墻系統(tǒng)組成中不包括 D A. 網(wǎng)絡(luò)防火墻 B. 主機防火墻 C. 中心管理效勞器 D. 傳統(tǒng)防火

15、墻51 下面對于個人防火墻未來的開展方向，描述不準(zhǔn)確的是D A. 與*DSL Modem、無線AP等網(wǎng)絡(luò)設(shè)備集成B. 與防病毒軟件集成，并實現(xiàn)與防病毒軟件之間的平安聯(lián)動C. 將個人防火墻作為企業(yè)防火墻的有機組成局部D. 與集線器等物理層設(shè)備集成52. 在以下各項功能中，不可能集成在防火墻上的是 D A. 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT B. 虛擬專用網(wǎng)VPN C. 入侵檢測和入侵防御 D. 過濾部網(wǎng)絡(luò)中設(shè)備的MAC地址53. 當(dāng)*一效勞器需要同時為網(wǎng)用戶和外網(wǎng)用戶提供平安可靠的效勞時，該效勞器一般要置于防火墻的 C A. 部 B. 外部 C. DMZ區(qū) D. 都可以54. 以下關(guān)于狀態(tài)檢測防火墻的描述，不

16、正確的選項是 D A. 所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個數(shù)據(jù)包之間存在一些關(guān)聯(lián)B. 能夠自動翻開和關(guān)閉防火墻上的通信端口C. 其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩局部組成D. 在每一次操作中，必須首先檢測規(guī)則表，然后再檢測連接狀態(tài)表55. 在以下的認(rèn)證方式中，最不平安的是A A. PAP B. CHAP C. MS-CHAP D. SPAP56. 以下有關(guān)VPN的描述，不正確的選項是 C A. 使用費用低廉 B. 為數(shù)據(jù)傳輸提供了性和完整性C. 未改變原有網(wǎng)絡(luò)的平安邊界 D. 易于擴展57. 目前計算機網(wǎng)絡(luò)中廣泛使用的加密方式為C A. 鏈路加密 B. 節(jié)點對節(jié)點加密 C. 端對端加密 D. 以上

17、都是58. 以下有關(guān)軟件加密和硬件加密的比較，不正確的選項是B A. 硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序B. 硬件加密的兼容性比軟件加密好C. 硬件加密的平安性比軟件加密好D. 硬件加密的速度比軟件加密快59 對于一個組織，保障其信息平安并不能為其帶來直接的經(jīng)濟效益，相反還會付出較大的本錢，則組織為什么需要信息平安. D A. 有多余的經(jīng)費 B. 全社會都在重視信息平安，我們也應(yīng)該關(guān)注C. 上級或領(lǐng)導(dǎo)的要求 D. 組織自身業(yè)務(wù)需要和法律法規(guī)要求得分評卷人復(fù)查人二、填空題每空1分，共20 分31. 根據(jù)密碼算法對明文處理方式的標(biāo)準(zhǔn)不同，可以將密碼系統(tǒng)分為：序列密

18、碼體制和 分組密碼體制。32. PKI的技術(shù)根底包括公開密鑰體制和加密機制兩局部。33. 零知識身份認(rèn)證分為 交互式 和 非交互式 兩種類型。34. DNS同時調(diào)用了TCP和UDP的53端口，其中 UDP 53 端口用于DNS客戶端與DNS效勞器端的通信，而 TCP 53 端口用于DNS區(qū)域之間的數(shù)據(jù)復(fù)制。35. 與病毒相比，蠕蟲的最大特點是消耗 計算機存 和 網(wǎng)絡(luò)寬帶 。36. 在網(wǎng)絡(luò)入侵中，將自己偽裝成合法用戶來攻擊系統(tǒng)的行為稱為冒充；復(fù)制合法用戶發(fā)出的數(shù)據(jù)，然后進(jìn)展重發(fā)，以欺騙接收者的行為稱為 重放 ；中止或干擾效勞器為合法用戶提供效勞的行為稱為 效勞拒絕拒絕效勞 。37. 在LAND攻

19、擊中，LAND攻擊報文的 源IP地址 和 目的IP地址 是一樣的。38. 防火墻將網(wǎng)絡(luò)分割為兩局部，即將網(wǎng)絡(luò)分成兩個不同的平安域。對于接入Internet的局域網(wǎng)，其中 局域網(wǎng) 屬于可信賴的平安域，而 Internet 屬于不可信賴的非平安域。39. 防火墻一般分為路由模式和透明模式兩類。當(dāng)用防火墻連接同一網(wǎng)段的不同設(shè)備時，可采用 透明模式 防火墻；而用防火墻連接兩個完全不同的網(wǎng)絡(luò)時，則需要使用 路由模式防火墻。40. VPN系統(tǒng)中的身份認(rèn)證技術(shù)包括 用戶明 和 信息認(rèn)證 兩種類型。31利用公鑰加密數(shù)據(jù)，然后用私鑰解密數(shù)據(jù)的過程稱為 加密 ；利用私鑰加密數(shù)據(jù)，然后用公鑰解密數(shù)據(jù)的過程稱為 數(shù)字

20、簽名 。32. 在PKI/PMI系統(tǒng)中，一個合法用戶只擁有一個唯一的 公鑰證書 ，但可能會同時擁有多個不同的 屬性證書 。33. 計算機網(wǎng)絡(luò)平安領(lǐng)域的3A是指認(rèn)證、 授權(quán) 和 審計 。34. SSL是一種綜合利用 對稱密鑰 和 非對稱密鑰 技術(shù)進(jìn)展平安通信的工業(yè)標(biāo)準(zhǔn)。35. 掃描技術(shù)主要分為 主機平安掃描 和 網(wǎng)絡(luò)平安掃描 兩種類型。36. 在IDS的報警中，可以分為錯誤報警和正確的報警兩種類型。其中錯誤報警中，將IDS工作于正常狀態(tài)下產(chǎn)生的報警稱為 誤報 ；而將IDS對的入侵活動未產(chǎn)生報警的現(xiàn)象稱為 漏報 。37. 狀態(tài)檢測防火墻是在傳統(tǒng)包過濾防火墻的根底上開展而來的，所以將傳統(tǒng)的包過濾防火

21、墻稱為 靜態(tài)包過濾 防火墻，而將狀態(tài)檢測防火墻稱為 動態(tài)包過濾 防火墻。38. VPN是利用Internet等 公共網(wǎng)絡(luò) 的根底設(shè)施，通過 隧道 技術(shù)，為用戶提供一條與專網(wǎng)一樣的平安通道。39. VPN系統(tǒng)中的三種典型技術(shù)分別是 隧道技術(shù) 、身份認(rèn)證技術(shù) 和加密技術(shù)。40. 目前身份認(rèn)證技術(shù)可分為PKI和非PKI兩種類型，其中在VPN的用戶身份認(rèn)證中一般采用 非PKI 認(rèn)證方式，而信息認(rèn)證中采用 PKI 認(rèn)證方式。得分評卷人復(fù)查人三、判斷題每題1分，共10分41 鏈路加密方式適用于在廣域網(wǎng)系統(tǒng)中應(yīng)用。×42. “一次一密屬于序列密碼中的一種。 43. 當(dāng)通過瀏覽器以在線方式申請數(shù)字證

22、書時，申請證書和下載證書的計算機必須是同一臺計算機。 44. PKI和PMI在應(yīng)用中必須進(jìn)展綁定，而不能在物理上分開。× 45.在網(wǎng)絡(luò)身份認(rèn)證中采用審計的目的是對所有用戶的行為進(jìn)展記錄，以便于進(jìn)展核查。 46. 由于在TCP協(xié)議的傳輸過程中，傳輸層需要將從應(yīng)用層接收到的數(shù)據(jù)以字節(jié)為組成單元劃分成多個字節(jié)段，然后每個字節(jié)段單獨進(jìn)展路由傳輸，所以TCP是面向字節(jié)流的可靠的傳輸方式。 47. ARP緩存只能保存主動查詢獲得的IP和MAC的對應(yīng)關(guān)系，而不會保存以播送形式接收到的IP和MAC的對應(yīng)關(guān)系。× 48.計算機病毒只會破壞計算機的操作系統(tǒng)，而對其他網(wǎng)絡(luò)設(shè)備不起作用。×

23、; 49. 腳本文件和Active*控件都可以嵌入在HTML文件中執(zhí)行。 50. 要實現(xiàn)DDoS攻擊，攻擊者必須能夠控制大量的計算機為其效勞。 11Feistel是密碼設(shè)計的一個構(gòu)造，而非一個具體的密碼產(chǎn)品。 12. 暴力破解與字典攻擊屬于同類網(wǎng)絡(luò)攻擊方式，其中暴力破解中所采用的字典要比字典攻擊中使用的字典的圍要大。 13. DHCP效勞器只能給客戶端提供IP地址和網(wǎng)關(guān)地址，而不能提供DNS效勞器的IP地址。 × 14. 間諜軟件能夠修改計算機上的配置文件。 × 15. 蠕蟲既可以在互聯(lián)網(wǎng)上傳播，也可以在局域網(wǎng)上傳播。而且由于局域網(wǎng)本身的特性，蠕蟲在局域網(wǎng)上傳播速度更快，危

24、害更大。 16. 與IDS相比，IPS具有深層防御的功能。 17. 當(dāng)硬件配置一樣時，代理防火墻對網(wǎng)絡(luò)運行性能的影響要比包過濾防火墻小。×18. 在傳統(tǒng)的包過濾、代理和狀態(tài)檢測3類防火墻中，只有狀態(tài)檢測防火墻可以在一定程度上檢測并防止部用戶的惡意破壞。 19. 防火墻一般采用“所有未被允許的就是制止的和“所有未被制止的就是允許的兩個根本準(zhǔn)則，其中前者的平安性要比后者高。 20. 在利用VPN連接兩個LAN時，LAN中必須使用TCP/IP協(xié)議。 × 得分評卷人復(fù)查人四、名詞解釋每題4分，共20分61對稱加密與非對稱加密在一個加密系統(tǒng)中，加密和解密使用同一個密鑰，這種加密方式稱

25、為對稱加密，也稱為單密鑰加密2分。如果系統(tǒng)采用的是雙密鑰體系，存在兩個相互關(guān)聯(lián)的密碼，其中一個用于加密，另一個用于解密，這種加密方法稱為非對稱加密，也稱為公鑰加密2分62.蜜罐：是一種計算機網(wǎng)絡(luò)中專門為吸引并“誘騙那些試圖非法入侵他人計算機系統(tǒng)的人而設(shè)計的陷阱系統(tǒng)2分。設(shè)置蜜罐的目的主要是用于被偵聽、被攻擊，從而研究網(wǎng)絡(luò)平安的相關(guān)技術(shù)和方法。263.PKI：PKI公鑰根底設(shè)施是利用密碼學(xué)中的公鑰概念和加密技術(shù)為網(wǎng)上通信提供的符合標(biāo)準(zhǔn)的一整套平安根底平臺。PKI能為各種不同平安需求的用戶提供各種不同的網(wǎng)上平安效勞所需要的密鑰和證書，這些平安效勞主要包括身份識別與鑒別認(rèn)證、數(shù)據(jù)性、數(shù)據(jù)完整性、不可

26、否認(rèn)性及時間戳效勞等，從而到達(dá)保證網(wǎng)上傳遞信息的平安、真實、完整和不可抵賴的目的2分。PKI的技術(shù)根底之一是公開密鑰體制1分；PKI的技術(shù)根底之二是加密機制1分。64.DNSSEC ：DNSSEC域名系統(tǒng)平安擴展是在原有的域名系統(tǒng)DNS上通過公鑰技術(shù)，對DNS中的信息進(jìn)展數(shù)字簽名，從而提供DNS的平安認(rèn)證和信息完整性檢驗2分。發(fā)送方首先使用Hash函數(shù)對要發(fā)送的DNS信息進(jìn)展計算，得到固定長度的“信息摘要，然后對“信息摘要用私鑰進(jìn)展加密，此過程實現(xiàn)了對“信息摘要的數(shù)字簽名；最后將要發(fā)送的DNS信息、該DNS信息的“信息摘要以及該“信息摘要的數(shù)字簽名，一起發(fā)送出來1分。接收方首先采用公鑰系統(tǒng)中的

27、對應(yīng)公鑰對接收到的“信息摘要的數(shù)字簽名進(jìn)展解密，得到解密后的“信息摘要；接著用與發(fā)送方一樣的Hash函數(shù)對接收到的DNS信息進(jìn)展運算，得到運算后的“信息摘要；最后，對解密后的 “信息摘要和運算后的“信息摘要進(jìn)展比較，如果兩者的值一樣，就可以確認(rèn)接收到的DNS信息是完整的，即是由正確的DNS效勞器得到的響應(yīng)1分。 65.DoS攻擊：DoS拒絕效勞攻擊是一種實現(xiàn)簡單但又很有效的攻擊方式。DoS攻擊的目的就是讓被攻擊主機拒絕用戶的正常效勞，破壞系統(tǒng)的正常運行，最終使用戶的局部Internet連接和網(wǎng)絡(luò)系統(tǒng)失效2分。最根本的DoS攻擊就是利用合理的效勞請求來占用過多的效勞資源，從而使合法用戶無法得到效

28、勞。2分1、DNS緩存中毒：DNS為了提高查詢效率，采用了緩存機制，把用戶查詢過的最新記錄存放在緩存中，并設(shè)置生存周期Time To Live，TTL。在記錄沒有超過TTL之前，DNS緩存中的記錄一旦被客戶端查詢，DNS效勞器包括各級名字效勞器將把緩存區(qū)中的記錄直接返回給客戶端，而不需要進(jìn)展逐級查詢，提高了查詢速率。2分DNS緩存中毒利用了DNS緩存機制，在DNS效勞器的緩存中存入大量錯誤的數(shù)據(jù)記錄主動供用戶查詢。由于緩存量錯誤的記錄是攻擊者偽造的，而偽造者可能會根據(jù)不同的意圖偽造不同的記錄。由于DNS效勞器之間會進(jìn)展記錄的同步復(fù)制，所以在TTL，緩存中毒的DNS效勞器有可能將錯誤的記錄發(fā)送給

29、其他的DNS效勞器，導(dǎo)致更多的DNS效勞器中毒。2分2性、完整性、可用性、可控性性是確保信息不暴露給未經(jīng)授權(quán)的人或應(yīng)用進(jìn)程1分；完整性是指只有得到允許的人或應(yīng)用進(jìn)程才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被更改1分；可用性是指只有得到授權(quán)的用戶在需要時才可以數(shù)據(jù)，即使在網(wǎng)絡(luò)被攻擊時也不能阻礙授權(quán)用戶對網(wǎng)絡(luò)的使用1分；可控性是指能夠?qū)κ跈?quán)圍的信息流向和行為方式進(jìn)展控制1分。3PMI：PMI授權(quán)管理根底設(shè)施是在PKI開展的過程中為了將用戶權(quán)限的管理與其公鑰的管理別離，由IETF提出的一種標(biāo)準(zhǔn)。PMI的最終目標(biāo)就是提供一種有效的體系構(gòu)造來管理用戶的屬性。PMI以資源管理為核心，對資源的控制權(quán)統(tǒng)一交由授

30、權(quán)機構(gòu)統(tǒng)一處理2分。同PKI相比，兩者主要區(qū)別在于PKI證明用戶是誰，而PMI證明這個用戶有什么權(quán)限、能干什么。PMI需要PKI為其提供身份認(rèn)證。PMI實際提出了一個新的信息保護(hù)根底設(shè)施，能夠與PKI嚴(yán)密地集成，并系統(tǒng)地建立起對認(rèn)可用戶的特定授權(quán)，對權(quán)限管理進(jìn)展系統(tǒng)的定義和描述，完整地提供授權(quán)效勞所需過程。2分4防火墻：防火墻是指設(shè)置在不同網(wǎng)絡(luò)如可信賴的企業(yè)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)之間或網(wǎng)絡(luò)平安域之間的一系列部件的組合2分，通過監(jiān)測、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同平安域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)部的信息、構(gòu)造和運行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡(luò)的平安保護(hù)。5VP

31、N：VPN虛擬專用網(wǎng)是利用Internet等公共網(wǎng)絡(luò)的根底設(shè)施，通過隧道技術(shù)，為用戶提供一條與專用網(wǎng)絡(luò)具有一樣通信功能的平安數(shù)據(jù)通道，實現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接2分。從VPN的定義來看，其中“虛擬是指用戶不需要建立自己專用的物理線路，而是利用Internet等公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實現(xiàn)與專用數(shù)據(jù)通道一樣的通信功能；“專用網(wǎng)絡(luò)是指這一虛擬出來的網(wǎng)絡(luò)并不是任何連接在公共網(wǎng)絡(luò)上的用戶都能夠使用的，而是只有經(jīng)過授權(quán)的用戶才可以使用。同時，該通道傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，從而保證了傳輸容的完整性和性。2分6DDoS攻擊：DoS攻擊就是利用合理的效勞請求來占

32、用過多的效勞資源，從而使效勞器無法處理合法用戶的指令，一般是采用一對一方式。DDOS是在DOS 根底上利用一批受控制的主機向一臺主機發(fā)起攻擊，其攻擊強度和造成的威脅要比DOS嚴(yán)重的多。五、簡答題每題10分，共20分66簡述ARP欺騙的實現(xiàn)原理及主要防方法由于ARP協(xié)議在設(shè)計中存在的主動發(fā)送ARP報文的漏洞，使得主機可以發(fā)送虛假的ARP請求報文或響應(yīng)報文，報文中的源IP地址和源MAC地址均可以進(jìn)展偽造2分。在局域網(wǎng)中，即可以偽造成*一臺主機如效勞器的IP地址和MAC地址的組合，也可以偽造成網(wǎng)關(guān)的IP地址和MAC地址的組合，ARP即可以針對主機，也可以針對交換機等網(wǎng)絡(luò)設(shè)備2分，等等。目前，絕大局部

33、ARP欺騙是為了擾亂局域網(wǎng)中合法主機中保存的ARP表，使得網(wǎng)絡(luò)中的合法主機無常通信或通信不正常，如表示為計算機無法上網(wǎng)或上網(wǎng)時斷時續(xù)等。2分針對主機的ARP欺騙的解決方法：主機中靜態(tài)ARP緩存表中的記錄是永久性的，用戶可以使用TCP/IP工具來創(chuàng)立和修改，如Windows操作系統(tǒng)自帶的ARP工具，利用“arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址將本機中ARP緩存表中網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)static。2分針對交換機的ARP欺騙的解決方法：在交換機上防ARP欺騙的方法與在計算機上防ARP欺騙的方法根本一樣，還是使用將下連設(shè)備的MAC地址與交換機端口進(jìn)展一一綁定的方法來實現(xiàn)。2分67 如以下列圖

34、所示，簡述包過濾防火墻的工作原理及應(yīng)用特點。包過濾Packet Filter是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的平安策略過濾規(guī)則，檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息如協(xié)議、效勞類型等，確定是否允許該數(shù)據(jù)包通過防火墻2分。包過濾防火墻中的平安策略過濾規(guī)則是網(wǎng)絡(luò)管理員事先設(shè)置好的，主要通過對進(jìn)入防火墻的數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口進(jìn)展設(shè)置，決定是否允許數(shù)據(jù)包通過防火墻。2分如下列圖，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過濾規(guī)則后，在防火墻中會形成一個過濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時，防火墻會將IP分組的頭部信息與過濾規(guī)則表進(jìn)展逐條比對，根據(jù)比對結(jié)果斷定是否允

35、許數(shù)據(jù)包通過。2分包過濾防火墻主要特點：過濾規(guī)則表需要事先進(jìn)展人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的平安要求來定；防火墻在進(jìn)展檢查時，首先從過濾規(guī)則表中的第1個條目開場逐條進(jìn)展，所以過濾規(guī)則表中條目的先后順序非常重要；由于包過濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過濾防火墻對通過的數(shù)據(jù)包的速度影響不大，實現(xiàn)本錢較低。但包過濾防火墻無法識別基于應(yīng)用層的惡意入侵。另外，包過濾防火墻不能識別IP地址的欺騙，部非授權(quán)的用戶可以通過偽裝成為合法IP地址的使用者來外部網(wǎng)絡(luò)，同樣外部被限制的主機也可以通過使用合法的IP地址來欺騙防火墻進(jìn)入部網(wǎng)絡(luò)。4分3 根據(jù)實際應(yīng)用，以個人防火墻為主，簡述防火墻的主要功能及應(yīng)用特點防火墻是指設(shè)置在不同網(wǎng)絡(luò)如可信賴的企業(yè)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)之間或網(wǎng)絡(luò)平安域之間的一系列部件的組合，通過監(jiān)測、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同平安域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)部的信息、構(gòu)造和運行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡(luò)的平安保護(hù)。2分個人防火墻是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產(chǎn)生危險的通信就會報警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機上重要數(shù)據(jù)的平安保護(hù)。2分個人防火墻是在企業(yè)防火墻的根底上開展起來，個人防火墻