計算機網絡安全技術試卷全含答案

1、計算機科學與技術專業(yè) 計算機網絡安全試卷一、單項選擇題（每小題1 分，共30 分）在下列每小題的四個備選答案中選出一個正確的答案，并將其字母標號填入題干的括號內。1.非法接收者在截獲密文后試圖從中分析出明文的過程稱為（A ）A. 破譯B. 解密C. 加密D. 攻擊2.以下有關軟件加密和硬件加密的比較，不正確的是（B ）硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序硬件加密的兼容性比軟件加密好硬件加密的安全性比軟件加密好硬件加密的速度比軟件加密快3. 下面有關 3DES 的數(shù)學描述，正確的是（B ）A. C=E(E(E(P, K 1), K 1), K1)B. C=E(D(

2、E(P, K1), K 2), K 1)C. C=E(D(E(P, K 1),K1),K1)D. C=D(E(D(P, K1), K 2), K 1)PKI 無法實現(xiàn)（D ）A. 身份認證B. 數(shù)據的完整性C. 數(shù)據的機密性D. 權限分配5. CA 的主要功能為（D）確認用戶的身份為用戶提供證書的申請、下載、查詢、注銷和恢復等操作定義了密碼系統(tǒng)的使用方法和原則負責發(fā)放和管理數(shù)字證書6. 數(shù)字證書不包含（B）A. 頒發(fā)機構的名稱B. 證書持有者的私有密鑰信息C. 證書的有效期D. CA簽發(fā)證書時所使用的簽名算法7. “在因特網上沒有人知道對方是一個人還是一條狗”這個故事最能說明（A）A. 身份認

3、證的重要性和迫切性B.網絡上所有的活動都是不可見的C. 網絡應用中存在不嚴肅性D.計算機網絡是一個虛擬的世界8.以下認證方式中，最為安全的是（D）A. 用戶名 + 密碼B. 卡+密鑰C. 用戶名 +密碼 + 驗證碼D. 卡+指紋9. 將通過在別人丟棄的廢舊硬盤、U 盤等介質中獲取他人有用信息的行為稱為（D ）A. 社會工程學B. 搭線竊聽C. 窺探D. 垃圾搜索10. ARP 欺騙的實質是（A）A. 提供虛擬的 MAC 與 IP 地址的組合B. 讓其他計算機知道自己的存在C. 竊取用戶在網絡中傳輸?shù)臄?shù)據D. 擾亂網絡的正常運行11. TCP SYN 泛洪攻擊的原理是利用了（A）A. TCP 三

4、次握手過程B. TCP 面向流的工作機制C. TCP 數(shù)據傳輸中的窗口技術D. TCP 連接終止時的FIN 報文12.DNSSEC 中并未采用（ C）A.數(shù)字簽名技術B.公鑰加密技術C. 地址綁定技術D. 報文摘要技術13.當計算機上發(fā)現(xiàn)病毒時，最徹底的清除方法為（A ）A.格式化硬盤B.用防病毒軟件清除病毒C.刪除感染病毒的文件D.刪除磁盤上所有的文件14.木馬與病毒的最大區(qū)別是（B ）木馬不破壞文件，而病毒會破壞文件木馬無法自我復制，而病毒能夠自我復制木馬無法使數(shù)據丟失，而病毒會使數(shù)據丟失木馬不具有潛伏性，而病毒具有潛伏性15.經常與黑客軟件配合使用的是（C）A.病毒B. 蠕蟲C. 木馬D

5、.間諜軟件16.目前使用的防殺病毒軟件的作用是（C）檢查計算機是否感染病毒，并消除已感染的任何病毒杜絕病毒對計算機的侵害檢查計算機是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒17.死亡之 ping 屬于（ B）A.冒充攻擊B. 拒絕服務攻擊C. 重放攻擊D. 篡改攻擊18.淚滴使用了 IP 數(shù)據報中的（A）A.段位移字段的功能B. 協(xié)議字段的功能C.標識字段的功能D. 生存期字段的功能ICMP 泛洪利用了（ C）A. ARP 命令的功能B. tracert 命令的功能C. ping 命令的功能D. route 命令的功能20. 將利用虛假 IP 地址進行ICM

6、P 報文傳輸?shù)墓舴椒ǚQ為（D）A. ICMP 泛洪B. LAND攻擊C. 死亡之 pingD. Smurf攻擊21. 以下哪一種方法無法防范口令攻擊（A ）A. 啟用防火墻功能B. 設置復雜的系統(tǒng)認證口令C. 關閉不需要的網絡服務D. 修改系統(tǒng)默認的認證名稱22 以下設備和系統(tǒng)中，不可能集成防火墻功能的是（A）A. 集線器B. 交換機C. 路由器D. Windows Server 2003操作系統(tǒng)23. 對“防火墻本身是免疫的”這句話的正確理解是（B）防火墻本身是不會死機的防火墻本身具有抗攻擊能力防火墻本身具有對計算機病毒的免疫力防火墻本身具有清除計算機病毒的能力24. 以下關于傳統(tǒng)防火墻的

7、描述，不正確的是（A）即可防內，也可防外存在結構限制，無法適應當前有線網絡和無線網絡并存的需要工作效率較低，如果硬件配置較低或參數(shù)配置不當，防火墻將成形成網絡瓶頸容易出現(xiàn)單點故障25. 下面對于個人防火墻的描述，不正確的是（C）個人防火墻是為防護接入互聯(lián)網的單機操作系統(tǒng)而出現(xiàn)的個人防火墻的功能與企業(yè)級防火墻類似，而配置和管理相對簡單所有的單機殺病毒軟件都具有個人防火墻的功能為了滿足非專業(yè)用戶的使用，個人防火墻的配置方法相對簡單26.VPN 的應用特點主要表現(xiàn)在兩個方面，分別是（A）A. 應用成本低廉和使用安全B.便于實現(xiàn)和管理方便C. 資源豐富和使用便捷D.高速和安全27.如果要實現(xiàn)用戶在家中

8、隨時訪問單位內部的數(shù)字資源，可以通過以下哪一種方式實現(xiàn)（C）A.外聯(lián)網 VPNB. 內聯(lián)網 VPNC. 遠程接入 VPND. 專線接入28.在以下隧道協(xié)議中，屬于三層隧道協(xié)議的是（D）A. L2FB. PPTPC. L2TPD. IPSec29.以下哪一種方法中，無法防范蠕蟲的入侵。（B）及時安裝操作系統(tǒng)和應用軟件補丁程序將可疑郵件的附件下載等文件夾中，然后再雙擊打開設置文件夾選項，顯示文件名的擴展名不要打開擴展名為 VBS 、 SHS、 PIF 等郵件附件30. 以下哪一種現(xiàn)象，一般不可能是中木馬后引起的（B）計算機的反應速度下降，計算機自動被關機或是重啟計算機啟動時速度變慢，硬盤不斷發(fā)出“

9、咯吱，咯吱”的聲音在沒有操作計算機時，而硬盤燈卻閃個不停在瀏覽網頁時網頁會自動關閉，軟驅或光驅會在無盤的情況下讀個不停31. 下面有關DES 的描述，不正確的是（ A ）A. 是由 IBM 、Sun 等公司共同提出的B. 其結構完全遵循Feistel 密碼結構C. 其算法是完全公開的D. 是目前應用最為廣泛的一種分組密碼算法32 “信息安全”中的“信息”是指（ A ）A 、以電子形式存在的數(shù)據B 、計算機網絡C、信息本身、信息處理過程、信息處理設施和信息處理都D、軟硬件平臺33. 下面不屬于身份認證方法的是（ A）A. 口令認證B. 智能卡認證C. 姓名認證D. 指紋認證34.數(shù)字證書不包含（

10、 B）A.頒發(fā)機構的名稱B. 證書持有者的私有密鑰信息C.證書的有效期D. CA 簽發(fā)證書時所使用的簽名算法35.套接字層（ Socket Layer ）位于（ B）A.網絡層與傳輸層之間B. 傳輸層與應用層之間C.應用層D. 傳輸層36.下面有關 SSL 的描述，不正確的是（ D）A. 目前大部分Web 瀏覽器都內置了SSL 協(xié)議B. SSL 協(xié)議分為 SSL 握手協(xié)議和 SSL 記錄協(xié)議兩部分C. SSL 協(xié)議中的數(shù)據壓縮功能是可選的D. TLS 在功能和結構上與SSL 完全相同37.在基于 IEEE 802.1x與 Radius 組成的認證系統(tǒng)中，Radius 服務器的功能不包括（D ）

11、A.驗證用戶身份的合法性B.授權用戶訪問網絡資源C. 對用戶進行審計D. 對客戶端的 MAC 地址進行綁定38.在生物特征認證中，不適宜于作為認證特征的是（D ）A.指紋B. 虹膜C. 臉像D. 體重39.防止重放攻擊最有效的方法是（B）A.對用戶賬戶和密碼進行加密B. 使用“一次一密”加密方式C.經常修改用戶賬戶名稱和密碼D. 使用復雜的賬戶名稱和密碼40.計算機病毒的危害性表現(xiàn)在（B ）A.能造成計算機部分配置永久性失效B. 影響程序的執(zhí)行或破壞用戶數(shù)據與程序C.不影響計算機的運行速度D. 不影響計算機的運算結果41.下面有關計算機病毒的說法，描述不正確的是（B ）A.計算機病毒是一個MI

12、S 程序計算機病毒是對人體有害的傳染性疾病計算機病毒是一個能夠通過自身傳染，起破壞作用的計算機程序計算機病毒是一段程序，只會影響計算機系統(tǒng)，但不會影響計算機網絡42計算機病毒具有（ A）A.傳播性、潛伏性、破壞性B. 傳播性、破壞性、易讀性C.潛伏性、破壞性、易讀性D. 傳播性、潛伏性、安全性43.目前使用的防殺病毒軟件的作用是（C ）檢查計算機是否感染病毒，并消除已感染的任何病毒杜絕病毒對計算機的侵害檢查計算機是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒44 在 DDoS 攻擊中，通過非法入侵并被控制，但并不向被攻擊者直接發(fā)起攻擊的計算機稱為（B）A. 攻擊

13、者B.主控端C. 代理服務器D. 被攻擊者45.對利用軟件缺陷進行的網絡攻擊，最有效的防范方法是（A ）A.及時更新補丁程序B. 安裝防病毒軟件并及時更新病毒庫C.安裝防火墻D. 安裝漏洞掃描軟件46.在 IDS 中，將收集到的信息與數(shù)據庫中已有的記錄進行比較，從而發(fā)現(xiàn)違背安全策略的行為，這類操作方法稱為（A）A. 模式匹配B. 統(tǒng)計分析C. 完整性分析D. 不確定47. IPS 能夠實時檢查和阻止入侵的原理在于IPS 擁有眾多的（C）A. 主機傳感器B. 網絡傳感器C. 過濾器D. 管理控制臺48.將利用虛假IP 地址進行 ICMP 報文傳輸?shù)墓舴椒ǚQ為（D）A. ICMP 泛洪B. LA

14、ND攻擊C. 死亡之 pingD. Smurf攻擊49.以下哪一種方法無法防范口令攻擊（C）A.啟用防火墻功能B. 設置復雜的系統(tǒng)認證口令C.關閉不需要的網絡服務D. 修改系統(tǒng)默認的認證名稱50.在分布式防火墻系統(tǒng)組成中不包括（D）A. 網絡防火墻B. 主機防火墻C. 中心管理服務器D. 傳統(tǒng)防火墻51 下面對于個人防火墻未來的發(fā)展方向，描述不準確的是（D）與 xDSL Modem 、無線 AP 等網絡設備集成與防病毒軟件集成，并實現(xiàn)與防病毒軟件之間的安全聯(lián)動將個人防火墻作為企業(yè)防火墻的有機組成部分與集線器等物理層設備集成52.在以下各項功能中，不可能集成在防火墻上的是（D ）A. 網絡地址轉

15、換（ NAT ）B. 虛擬專用網（ VPN ）C. 入侵檢測和入侵防御D. 過濾內部網絡中設備的MAC 地址53.當某一服務器需要同時為內網用戶和外網用戶提供安全可靠的服務時，該服務器一般要置于防火墻的（ C）A. 內部B. 外部C. DMZ 區(qū)D. 都可以54.以下關于狀態(tài)檢測防火墻的描述，不正確的是（D）所檢查的數(shù)據包稱為狀態(tài)包，多個數(shù)據包之間存在一些關聯(lián)能夠自動打開和關閉防火墻上的通信端口其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩部分組成在每一次操作中，必須首先檢測規(guī)則表，然后再檢測連接狀態(tài)表55.在以下的認證方式中，最不安全的是（A）A. PAPB. CHAPC. MS-CHAPD. SPAP

16、56.以下有關 VPN 的描述，不正確的是（C ）A.使用費用低廉B. 為數(shù)據傳輸提供了機密性和完整性C.未改變原有網絡的安全邊界D. 易于擴展57.目前計算機網絡中廣泛使用的加密方式為（C ）A.鏈路加密B. 節(jié)點對節(jié)點加密C. 端對端加密D. 以上都是58.以下有關軟件加密和硬件加密的比較，不正確的是（B ）硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序硬件加密的兼容性比軟件加密好硬件加密的安全性比軟件加密好硬件加密的速度比軟件加密快對于一個組織，保障其信息安全并不能為其帶來直接的經濟效益，相反還會付出較大的成本，那么組織為什么需要信息安全？（D ）A. 有多余的經費

17、B. 全社會都在重視信息安全，我們也應該關注C. 上級或領導的要求D. 組織自身業(yè)務需要和法律法規(guī)要求得分評卷人復查人二、 填空題 （每空 1 分，共 20分）根據密碼算法對明文處理方式的標準不同，可以將密碼系統(tǒng)分為：序列密碼體制和分組密碼體制。32 . PKI 的技術基礎包括公開密鑰體制和加密機制兩部分。33.零知識身份認證分為交互式和非交互式兩種類型。34. DNS 同時調用了 TCP 和 UDP 的 53 端口，其中UDP 53端口用于 DNS 客戶端與 DNS 服務器端的通信，而TCP53端口用于 DNS 區(qū)域之間的數(shù)據復制。35.與病毒相比，蠕蟲的最大特點是消耗計算機內存和網絡寬帶。

18、36.在網絡入侵中，將自己偽裝成合法用戶來攻擊系統(tǒng)的行為稱為冒充 ；復制合法用戶發(fā)出的數(shù)據，然后進行重發(fā)，以欺騙接收者的行為稱為重放；中止或干擾服務器為合法用戶提供服務的行為稱為 服務拒絕（拒絕服務）。37.在 LAND 攻擊中， LAND攻擊報文的源IP地址和目的 IP地址是相同的。38.防火墻將網絡分割為兩部分， 即將網絡分成兩個不同的安全域。對于接入Internet 的局域網，其中 局域網屬于可信賴的安全域，而Internet屬于不可信賴的非安全域。39.防火墻一般分為路由模式和透明模式兩類。當用防火墻連接同一網段的不同設備時，可采用透明模式防火墻；而用防火墻連接兩個完全不同的網絡時，則

19、需要使用路由模式防火墻。40 .VPN 系統(tǒng)中的身份認證技術包括用戶身份證明和信息認證兩種類型。31 利用公鑰加密數(shù)據，然后用私鑰解密數(shù)據的過程稱為加密；利用私鑰加密數(shù)據，然后用公鑰解密數(shù)據的過程稱為數(shù)字簽名。32.在 PKI/PMI系統(tǒng)中， 一個合法用戶只擁有一個唯一的公鑰證書，但可能會同時擁有多個不同的屬性證書。33.計算機網絡安全領域的3A是指認證、授權和審計。34.SSL 是一種綜合利用對稱密鑰和非對稱密鑰技術進行安全通信的工業(yè)標準。35.掃描技術主要分為主機安全掃描和 網絡安全掃描兩種類型。36.在 IDS 的報警中， 可以分為錯誤報警和正確的報警兩種類型。其中錯誤報警中， 將 ID

20、S 工作于正常狀態(tài)下產生的報警稱為誤報；而將 IDS 對已知的入侵活動未產生報警的現(xiàn)象稱為漏報。37.狀態(tài)檢測防火墻是在傳統(tǒng)包過濾防火墻的基礎上發(fā)展而來的，所以將傳統(tǒng)的包過濾防火墻稱為靜態(tài)包過濾防火墻，而將狀態(tài)檢測防火墻稱為動態(tài)包過濾防火墻。38. VPN 是利用 Internet 等公共網絡的基礎設施，通過隧道技術，為用戶提供一條與專網相同的安全通道。39. VPN系統(tǒng)中的三種典型技術分別是隧道技術、身份認證技術和加密技術 。40.目前身份認證技術可分為PKI 和非 PKI 兩種類型，其中在 VPN 的用戶身份認證中一般采用非 PKI認證方式，而信息認證中采用PKI認證方式。得分評卷人復查人

21、三、 判斷題 （每小題1 分，共10 分）41 鏈路加密方式適用于在廣域網系統(tǒng)中應用。（）42.“一次一密”屬于序列密碼中的一種。（）當通過瀏覽器以在線方式申請數(shù)字證書時，申請證書和下載證書的計算機必須是同一臺計算機。（）44. PKI 和 PMI在應用中必須進行綁定，而不能在物理上分開。（）45. 在網絡身份認證中采用審計的目的是對所有用戶的行為進行記錄，以便于進行核查。（）由于在 TCP 協(xié)議的傳輸過程中，傳輸層需要將從應用層接收到的數(shù)據以字節(jié)為組成單元劃分成多個字節(jié)段，然后每個字節(jié)段單獨進行路由傳輸，所以TCP 是面向字節(jié)流的可靠的傳輸方式。（）47.ARP 緩存只能保存主動查詢獲得的I

22、P 和 MAC的對應關系，而不會保存以廣播形式接收到的IP 和MAC 的對應關系。（）48. 計算機病毒只會破壞計算機的操作系統(tǒng)，而對其他網絡設備不起作用。（）49.腳本文件和 ActiveX控件都可以嵌入在 HTML文件中執(zhí)行。（）50.要實現(xiàn) DDoS 攻擊，攻擊者必須能夠控制大量的計算機為其服務。（ ）11 Feistel 是密碼設計的一個結構，而非一個具體的密碼產品。（）12.暴力破解與字典攻擊屬于同類網絡攻擊方式，其中暴力破解中所采用的字典要比字典攻擊中使用的字典的范圍要大。（）13. DHCP 服務器只能給客戶端提供IP 地址和網關地址，而不能提供DNS 服務器的 IP 地址。 （

23、 ）14.間諜軟件能夠修改計算機上的配置文件。（ ）蠕蟲既可以在互聯(lián)網上傳播，也可以在局域網上傳播。而且由于局域網本身的特性，蠕蟲在局域網上傳播速度更快，危害更大。（ ）16. 與 IDS 相比， IPS 具有深層防御的功能。（ ）當硬件配置相同時，代理防火墻對網絡運行性能的影響要比包過濾防火墻小。（）在傳統(tǒng)的包過濾、代理和狀態(tài)檢測3 類防火墻中，只有狀態(tài)檢測防火墻可以在一定程度上檢測并防止內部用戶的惡意破壞。（）防火墻一般采用“所有未被允許的就是禁止的”和“所有未被禁止的就是允許的”兩個基本準則，其中前者的安全性要比后者高。（）20 .在利用VPN連接兩個LAN時， LAN中必須使用四、名詞

24、解釋（每小題TCP/IP 協(xié)議。（4 分，共20 分）得分評卷人復查人61對稱加密與非對稱加密在一個加密系統(tǒng)中，加密和解密使用同一個密鑰，這種加密方式稱為對稱加密，也稱為單密鑰加密（2 分）。如果系統(tǒng)采用的是雙密鑰體系，存在兩個相互關聯(lián)的密碼，其中一個用于加密，另一個用于解密，這種加密方法稱為非對稱加密，也稱為公鑰加密（2 分）蜜罐：是一種計算機網絡中專門為吸引并“誘騙”那些試圖非法入侵他人計算機系統(tǒng)的人而設計的陷阱系統(tǒng) （ 2 分） 。設置蜜罐的目的主要是用于被偵聽、被攻擊， 從而研究網絡安全的相關技術和方法。2）PKI ： PKI （公鑰基礎設施）是利用密碼學中的公鑰概念和加密技術為網上通

25、信提供的符合標準的一整套安全基礎平臺。 PKI 能為各種不同安全需求的用戶提供各種不同的網上安全服務所需要的密鑰和證書，這些安全服務主要包括身份識別與鑒別（認證）、數(shù)據保密性、數(shù)據完整性、不可否認性及時間戳服務等，從而達到保證網上傳遞信息的安全、真實、完整和不可抵賴的目的（2 分）。 PKI 的技術基礎之一是公開密鑰體制（1 分）； PKI 的技術基礎之二是加密機制（1 分）。64. DNSSEC ：DNSSEC （域名系統(tǒng)安全擴展）是在原有的域名系統(tǒng)（DNS ）上通過公鑰技術，對DNS中的信息進行數(shù)字簽名，從而提供DNS 的安全認證和信息完整性檢驗（2 分）。發(fā)送方首先使用Hash函數(shù)對要發(fā)

26、送的DNS 信息進行計算，得到固定長度的“信息摘要”，然后對“信息摘要”用私鑰進行加密，此過程實現(xiàn)了對“信息摘要”的數(shù)字簽名；最后將要發(fā)送的DNS 信息、該DNS 信息的“信息摘要”以及該“信息摘要”的數(shù)字簽名，一起發(fā)送出來（1 分）。接收方首先采用公鑰系統(tǒng)中的對應公鑰對接收到的“信息摘要”的數(shù)字簽名進行解密，得到解密后的“信息摘要”；接著用與發(fā)送方相同的 Hash 函數(shù)對接收到的 DNS 信息進行運算，得到運算后的“信息摘要”；最后，對解密后的“信息摘要”和運算后的“信息摘要”進行比較，如果兩者的值相同，就可以確認接收到的DNS 信息是完整的，即是由正確的DNS 服務器得到的響應（ 1 分）

27、。65. DoS 攻擊： DoS （拒絕服務）攻擊是一種實現(xiàn)簡單但又很有效的攻擊方式。DoS 攻擊的目的就是讓被攻擊主機拒絕用戶的正常服務訪問，破壞系統(tǒng)的正常運行，最終使用戶的部分Internet 連接和網絡系統(tǒng)失效（ 2 分）。最基本的DoS 攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。（ 2 分）1、 DNS 緩存中毒： DNS為了提高查詢效率，采用了緩存機制，把用戶查詢過的最新記錄存放在緩存中，并設置生存周期（ Time To Live ，TTL ）。在記錄沒有超過 TTL之前， DNS 緩存中的記錄一旦被客戶端查詢， DNS服務器（包括各級名字服務器）將

28、把緩存區(qū)中的記錄直接返回給客戶端，而不需要進行逐級查詢，提高了查詢速率。（2 分） DNS 緩存中毒利用了 DNS 緩存機制，在DNS 服務器的緩存中存入大量錯誤的數(shù)據記錄主動供用戶查詢。由于緩存中大量錯誤的記錄是攻擊者偽造的，而偽造者可能會根據不同的意圖偽造不同的記錄。由于 DNS 服務器之間會進行記錄的同步復制，所以在 TTL 內，緩存中毒的 DNS 服務器有可能將錯誤的記錄發(fā)送給其他的DNS 服務器，導致更多的DNS 服務器中毒。（2 分）2機密性、完整性、可用性、可控性機密性是確保信息不暴露給未經授權的人或應用進程（1分）；完整性是指只有得到允許的人或應用進程才能修改數(shù)據，并且能夠判別

29、出數(shù)據是否已被更改（1分）；可用性是指只有得到授權的用戶在需要時才可以訪問數(shù)據，即使在網絡被攻擊時也不能阻礙授權用戶對網絡的使用（1 分）；可控性是指能夠對授權范圍內的信息流向和行為方式進行控制（1 分）。3 PMI ： PMI （授權管理基礎設施）是在PKI 發(fā)展的過程中為了將用戶權限的管理與其公鑰的管理分離，由 IETF 提出的一種標準。PMI 的最終目標就是提供一種有效的體系結構來管理用戶的屬性。PMI以資源管理為核心，對資源的訪問控制權統(tǒng)一交由授權機構統(tǒng)一處理（2分）。同 PKI 相比，兩者主要區(qū)別在于 PKI 證明用戶是誰，而PMI 證明這個用戶有什么權限、能干什么。PMI 需要 P

30、KI 為其提供身份認證。 PMI 實際提出了一個新的信息保護基礎設施，能夠與PKI 緊密地集成，并系統(tǒng)地建立起對認可用戶的特定授權，對權限管理進行系統(tǒng)的定義和描述，完整地提供授權服務所需過程。（2 分）4防火墻：防火墻是指設置在不同網絡（如可信賴的企業(yè)內部局域網和不可信賴的公共網絡）之間或網絡安全域之間的一系列部件的組合（2 分），通過監(jiān)測、限制、更改進入不同網絡或不同安全域的數(shù)據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以防止發(fā)生不可預測的、潛在破壞性的入侵，實現(xiàn)網絡的安全保護。5 VPN ： VPN （虛擬專用網）是利用Internet等公共網絡的基礎設施，通過隧道技術，為用戶

31、提供一條與專用網絡具有相同通信功能的安全數(shù)據通道，實現(xiàn)不同網絡之間以及用戶與網絡之間的相互連接（ 2 分）。從 VPN 的定義來看， 其中“虛擬” 是指用戶不需要建立自己專用的物理線路，而是利用Internet等公共網絡資源和設備建立一條邏輯上的專用數(shù)據通道，并實現(xiàn)與專用數(shù)據通道相同的通信功能；“專用網絡”是指這一虛擬出來的網絡并不是任何連接在公共網絡上的用戶都能夠使用的，而是只有經過授權的用戶才可以使用。同時，該通道內傳輸?shù)臄?shù)據經過了加密和認證，從而保證了傳輸內容的完整性和機密性。（ 2 分）6 DDoS攻擊： DoS 攻擊就是利用合理的服務請求來占用過多的服務資源，從而使服務器無法處理合法

32、用戶的指令，一般是采用一對一方式。DDOS 是在 DOS 基礎上利用一批受控制的主機向一臺主機發(fā)起攻擊，其攻擊強度和造成的威脅要比DOS 嚴重的多。五、簡答題（每小題10 分，共 20 分）66 簡述 ARP 欺騙的實現(xiàn)原理及主要防范方法由于 ARP 協(xié)議在設計中存在的主動發(fā)送ARP 報文的漏洞，使得主機可以發(fā)送虛假的ARP 請求報文或響應報文，報文中的源IP 地址和源 MAC 地址均可以進行偽造（2 分）。在局域網中，即可以偽造成某一臺主機（如服務器）的IP 地址和 MAC 地址的組合，也可以偽造成網關的IP 地址和 MAC地址的組合， ARP 即可以針對主機，也可以針對交換機等網絡設備（2

33、 分），等等。目前，絕大部分 ARP 欺騙是為了擾亂局域網中合法主機中保存的ARP 表，使得網絡中的合法主機無法正常通信或通信不正常，如表示為計算機無法上網或上網時斷時續(xù)等。（2 分）針對主機的 ARP 欺騙的解決方法：主機中靜態(tài)ARP 緩存表中的記錄是永久性的，用戶可以使用TCP/IP 工具來創(chuàng)建和修改，如Windows操作系統(tǒng)自帶的ARP 工具，利用“ arp -s 網關 IP 地址 網關MAC 地址”將本機中 ARP 緩存表中網關的記錄類型設置為靜態(tài)（static ）。（ 2 分）針對交換機的ARP 欺騙的解決方法：在交換機上防范ARP 欺騙的方法與在計算機上防范ARP 欺騙的方法基本相

34、同，還是使用將下連設備的MAC地址與交換機端口進行一一綁定的方法來實現(xiàn)。（2分）67 如下圖所示，簡述包過濾防火墻的工作原理及應用特點。包過濾（ Packet Filter ）是在網絡層中根據事先設置的安全訪問策略（過濾規(guī)則），檢查每一個數(shù)據包的源IP 地址、目的IP 地址以及IP 分組頭部的其他各種標志信息（如協(xié)議、服務類型等），確定是否允許該數(shù)據包通過防火墻（2 分）。包過濾防火墻中的安全訪問策略（過濾規(guī)則）是網絡管理員事先設置好的，主要通過對進入防火墻的數(shù)據包的源 IP 地址、目的IP 地址、協(xié)議及端口進行設置，決定是否允許數(shù)據包通過防火墻。（2分）如圖所示，當網絡管理員在防火墻上設置了

35、過濾規(guī)則后，在防火墻中會形成一個過濾規(guī)則表。當數(shù)據包進入防火墻時，防火墻會將IP 分組的頭部信息與過濾規(guī)則表進行逐條比對，根據比對結果決定是否允許數(shù)據包通過。（2 分）包過濾防火墻主要特點：過濾規(guī)則表需要事先進行人工設置，規(guī)則表中的條目根據用戶的安全要求來定；防火墻在進行檢查時，首先從過濾規(guī)則表中的第1 個條目開始逐條進行，所以過濾規(guī)則表中條目的先后順序非常重要；由于包過濾防火墻工作在OSI 參考模型的網絡層和傳輸層，所以包過濾防火墻對通過的數(shù)據包的速度影響不大，實現(xiàn)成本較低。但包過濾防火墻無法識別基于應用層的惡意入侵。另外，包過濾防火墻不能識別IP 地址的欺騙，內部非授權的用戶可以通過偽裝成

36、為合法IP 地址的使用者來訪問外部網絡，同樣外部被限制的主機也可以通過使用合法的IP 地址來欺騙防火墻進入內部網絡。（ 4 分）3 根據實際應用，以個人防火墻為主，簡述防火墻的主要功能及應用特點防火墻是指設置在不同網絡（如可信賴的企業(yè)內部局域網和不可信賴的公共網絡）之間或網絡安全域之間的一系列部件的組合，通過監(jiān)測、限制、更改進入不同網絡或不同安全域的數(shù)據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以防止發(fā)生不可預測的、潛在破壞性的入侵，實現(xiàn)網絡的安全保護。（ 2分）個人防火墻是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產生危險的通信就會報警通知管理員或立即中斷網絡連接，以此實現(xiàn)對個人計算機上重要數(shù)據的安全保護。（ 2 分）個人防火墻是在企業(yè)防火墻的基礎上發(fā)展起來，個人防火墻采用的技術也與企業(yè)防火墻基本相同，但在規(guī)則的設置、 防火墻的管理等方面進行了簡化，使非專業(yè)的普通用戶能夠容易地安裝和使用。（2 分）為了防止安全威脅對個人計算機產生的破壞，個人防火墻產品