計算機網(wǎng)絡(luò)安全技術(shù)試卷全含答案

1、計算機科學(xué)與技術(shù)專業(yè) 計算機網(wǎng)絡(luò)安全試卷一、單項選擇題（每小題1 分，共30 分）在下列每小題的四個備選答案中選出一個正確的答案，并將其字母標(biāo)號填入題干的括號內(nèi)。1.非法接收者在截獲密文后試圖從中分析出明文的過程稱為（A ）A. 破譯B. 解密C. 加密D. 攻擊2.以下有關(guān)軟件加密和硬件加密的比較，不正確的是（B ）硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序硬件加密的兼容性比軟件加密好硬件加密的安全性比軟件加密好硬件加密的速度比軟件加密快3. 下面有關(guān) 3DES 的數(shù)學(xué)描述，正確的是（B ）A. C=E(E(E(P, K 1), K 1), K1)B. C=E(D(

2、E(P, K1), K 2), K 1)C. C=E(D(E(P, K 1),K1),K1)D. C=D(E(D(P, K1), K 2), K 1)PKI 無法實現(xiàn)（D ）A. 身份認(rèn)證B. 數(shù)據(jù)的完整性C. 數(shù)據(jù)的機密性D. 權(quán)限分配5. CA 的主要功能為（D）確認(rèn)用戶的身份為用戶提供證書的申請、下載、查詢、注銷和恢復(fù)等操作定義了密碼系統(tǒng)的使用方法和原則負(fù)責(zé)發(fā)放和管理數(shù)字證書6. 數(shù)字證書不包含（B）A. 頒發(fā)機構(gòu)的名稱B. 證書持有者的私有密鑰信息C. 證書的有效期D. CA簽發(fā)證書時所使用的簽名算法7. “在因特網(wǎng)上沒有人知道對方是一個人還是一條狗”這個故事最能說明（A）A. 身份認(rèn)

3、證的重要性和迫切性B.網(wǎng)絡(luò)上所有的活動都是不可見的C. 網(wǎng)絡(luò)應(yīng)用中存在不嚴(yán)肅性D.計算機網(wǎng)絡(luò)是一個虛擬的世界8.以下認(rèn)證方式中，最為安全的是（D）A. 用戶名 + 密碼B. 卡+密鑰C. 用戶名 +密碼 + 驗證碼D. 卡+指紋9. 將通過在別人丟棄的廢舊硬盤、U 盤等介質(zhì)中獲取他人有用信息的行為稱為（D ）A. 社會工程學(xué)B. 搭線竊聽C. 窺探D. 垃圾搜索10. ARP 欺騙的實質(zhì)是（A）A. 提供虛擬的 MAC 與 IP 地址的組合B. 讓其他計算機知道自己的存在C. 竊取用戶在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)D. 擾亂網(wǎng)絡(luò)的正常運行11. TCP SYN 泛洪攻擊的原理是利用了（A）A. TCP 三

4、次握手過程B. TCP 面向流的工作機制C. TCP 數(shù)據(jù)傳輸中的窗口技術(shù)D. TCP 連接終止時的FIN 報文12.DNSSEC 中并未采用（ C）A.數(shù)字簽名技術(shù)B.公鑰加密技術(shù)C. 地址綁定技術(shù)D. 報文摘要技術(shù)13.當(dāng)計算機上發(fā)現(xiàn)病毒時，最徹底的清除方法為（A ）A.格式化硬盤B.用防病毒軟件清除病毒C.刪除感染病毒的文件D.刪除磁盤上所有的文件14.木馬與病毒的最大區(qū)別是（B ）木馬不破壞文件，而病毒會破壞文件木馬無法自我復(fù)制，而病毒能夠自我復(fù)制木馬無法使數(shù)據(jù)丟失，而病毒會使數(shù)據(jù)丟失木馬不具有潛伏性，而病毒具有潛伏性15.經(jīng)常與黑客軟件配合使用的是（C）A.病毒B. 蠕蟲C. 木馬D

5、.間諜軟件16.目前使用的防殺病毒軟件的作用是（C）檢查計算機是否感染病毒，并消除已感染的任何病毒杜絕病毒對計算機的侵害檢查計算機是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒17.死亡之 ping 屬于（ B）A.冒充攻擊B. 拒絕服務(wù)攻擊C. 重放攻擊D. 篡改攻擊18.淚滴使用了 IP 數(shù)據(jù)報中的（A）A.段位移字段的功能B. 協(xié)議字段的功能C.標(biāo)識字段的功能D. 生存期字段的功能ICMP 泛洪利用了（ C）A. ARP 命令的功能B. tracert 命令的功能C. ping 命令的功能D. route 命令的功能20. 將利用虛假 IP 地址進行ICM

6、P 報文傳輸?shù)墓舴椒ǚQ為（D）A. ICMP 泛洪B. LAND攻擊C. 死亡之 pingD. Smurf攻擊21. 以下哪一種方法無法防范口令攻擊（A ）A. 啟用防火墻功能B. 設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C. 關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D. 修改系統(tǒng)默認(rèn)的認(rèn)證名稱22 以下設(shè)備和系統(tǒng)中，不可能集成防火墻功能的是（A）A. 集線器B. 交換機C. 路由器D. Windows Server 2003操作系統(tǒng)23. 對“防火墻本身是免疫的”這句話的正確理解是（B）防火墻本身是不會死機的防火墻本身具有抗攻擊能力防火墻本身具有對計算機病毒的免疫力防火墻本身具有清除計算機病毒的能力24. 以下關(guān)于傳統(tǒng)防火墻的

7、描述，不正確的是（A）即可防內(nèi)，也可防外存在結(jié)構(gòu)限制，無法適應(yīng)當(dāng)前有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)并存的需要工作效率較低，如果硬件配置較低或參數(shù)配置不當(dāng)，防火墻將成形成網(wǎng)絡(luò)瓶頸容易出現(xiàn)單點故障25. 下面對于個人防火墻的描述，不正確的是（C）個人防火墻是為防護接入互聯(lián)網(wǎng)的單機操作系統(tǒng)而出現(xiàn)的個人防火墻的功能與企業(yè)級防火墻類似，而配置和管理相對簡單所有的單機殺病毒軟件都具有個人防火墻的功能為了滿足非專業(yè)用戶的使用，個人防火墻的配置方法相對簡單26.VPN 的應(yīng)用特點主要表現(xiàn)在兩個方面，分別是（A）A. 應(yīng)用成本低廉和使用安全B.便于實現(xiàn)和管理方便C. 資源豐富和使用便捷D.高速和安全27.如果要實現(xiàn)用戶在家中

8、隨時訪問單位內(nèi)部的數(shù)字資源，可以通過以下哪一種方式實現(xiàn)（C）A.外聯(lián)網(wǎng) VPNB. 內(nèi)聯(lián)網(wǎng) VPNC. 遠(yuǎn)程接入 VPND. 專線接入28.在以下隧道協(xié)議中，屬于三層隧道協(xié)議的是（D）A. L2FB. PPTPC. L2TPD. IPSec29.以下哪一種方法中，無法防范蠕蟲的入侵。（B）及時安裝操作系統(tǒng)和應(yīng)用軟件補丁程序?qū)⒖梢舌]件的附件下載等文件夾中，然后再雙擊打開設(shè)置文件夾選項，顯示文件名的擴展名不要打開擴展名為 VBS 、 SHS、 PIF 等郵件附件30. 以下哪一種現(xiàn)象，一般不可能是中木馬后引起的（B）計算機的反應(yīng)速度下降，計算機自動被關(guān)機或是重啟計算機啟動時速度變慢，硬盤不斷發(fā)出“

9、咯吱，咯吱”的聲音在沒有操作計算機時，而硬盤燈卻閃個不停在瀏覽網(wǎng)頁時網(wǎng)頁會自動關(guān)閉，軟驅(qū)或光驅(qū)會在無盤的情況下讀個不停31. 下面有關(guān)DES 的描述，不正確的是（ A ）A. 是由 IBM 、Sun 等公司共同提出的B. 其結(jié)構(gòu)完全遵循Feistel 密碼結(jié)構(gòu)C. 其算法是完全公開的D. 是目前應(yīng)用最為廣泛的一種分組密碼算法32 “信息安全”中的“信息”是指（ A ）A 、以電子形式存在的數(shù)據(jù)B 、計算機網(wǎng)絡(luò)C、信息本身、信息處理過程、信息處理設(shè)施和信息處理都D、軟硬件平臺33. 下面不屬于身份認(rèn)證方法的是（ A）A. 口令認(rèn)證B. 智能卡認(rèn)證C. 姓名認(rèn)證D. 指紋認(rèn)證34.數(shù)字證書不包含（

10、 B）A.頒發(fā)機構(gòu)的名稱B. 證書持有者的私有密鑰信息C.證書的有效期D. CA 簽發(fā)證書時所使用的簽名算法35.套接字層（ Socket Layer ）位于（ B）A.網(wǎng)絡(luò)層與傳輸層之間B. 傳輸層與應(yīng)用層之間C.應(yīng)用層D. 傳輸層36.下面有關(guān) SSL 的描述，不正確的是（ D）A. 目前大部分Web 瀏覽器都內(nèi)置了SSL 協(xié)議B. SSL 協(xié)議分為 SSL 握手協(xié)議和 SSL 記錄協(xié)議兩部分C. SSL 協(xié)議中的數(shù)據(jù)壓縮功能是可選的D. TLS 在功能和結(jié)構(gòu)上與SSL 完全相同37.在基于 IEEE 802.1x與 Radius 組成的認(rèn)證系統(tǒng)中，Radius 服務(wù)器的功能不包括（D ）

11、A.驗證用戶身份的合法性B.授權(quán)用戶訪問網(wǎng)絡(luò)資源C. 對用戶進行審計D. 對客戶端的 MAC 地址進行綁定38.在生物特征認(rèn)證中，不適宜于作為認(rèn)證特征的是（D ）A.指紋B. 虹膜C. 臉像D. 體重39.防止重放攻擊最有效的方法是（B）A.對用戶賬戶和密碼進行加密B. 使用“一次一密”加密方式C.經(jīng)常修改用戶賬戶名稱和密碼D. 使用復(fù)雜的賬戶名稱和密碼40.計算機病毒的危害性表現(xiàn)在（B ）A.能造成計算機部分配置永久性失效B. 影響程序的執(zhí)行或破壞用戶數(shù)據(jù)與程序C.不影響計算機的運行速度D. 不影響計算機的運算結(jié)果41.下面有關(guān)計算機病毒的說法，描述不正確的是（B ）A.計算機病毒是一個MI

12、S 程序計算機病毒是對人體有害的傳染性疾病計算機病毒是一個能夠通過自身傳染，起破壞作用的計算機程序計算機病毒是一段程序，只會影響計算機系統(tǒng)，但不會影響計算機網(wǎng)絡(luò)42計算機病毒具有（ A）A.傳播性、潛伏性、破壞性B. 傳播性、破壞性、易讀性C.潛伏性、破壞性、易讀性D. 傳播性、潛伏性、安全性43.目前使用的防殺病毒軟件的作用是（C ）檢查計算機是否感染病毒，并消除已感染的任何病毒杜絕病毒對計算機的侵害檢查計算機是否感染病毒，并清除部分已感染的病毒查出已感染的任何病毒，清除部分已感染的病毒44 在 DDoS 攻擊中，通過非法入侵并被控制，但并不向被攻擊者直接發(fā)起攻擊的計算機稱為（B）A. 攻擊

13、者B.主控端C. 代理服務(wù)器D. 被攻擊者45.對利用軟件缺陷進行的網(wǎng)絡(luò)攻擊，最有效的防范方法是（A ）A.及時更新補丁程序B. 安裝防病毒軟件并及時更新病毒庫C.安裝防火墻D. 安裝漏洞掃描軟件46.在 IDS 中，將收集到的信息與數(shù)據(jù)庫中已有的記錄進行比較，從而發(fā)現(xiàn)違背安全策略的行為，這類操作方法稱為（A）A. 模式匹配B. 統(tǒng)計分析C. 完整性分析D. 不確定47. IPS 能夠?qū)崟r檢查和阻止入侵的原理在于IPS 擁有眾多的（C）A. 主機傳感器B. 網(wǎng)絡(luò)傳感器C. 過濾器D. 管理控制臺48.將利用虛假IP 地址進行 ICMP 報文傳輸?shù)墓舴椒ǚQ為（D）A. ICMP 泛洪B. LA

14、ND攻擊C. 死亡之 pingD. Smurf攻擊49.以下哪一種方法無法防范口令攻擊（C）A.啟用防火墻功能B. 設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D. 修改系統(tǒng)默認(rèn)的認(rèn)證名稱50.在分布式防火墻系統(tǒng)組成中不包括（D）A. 網(wǎng)絡(luò)防火墻B. 主機防火墻C. 中心管理服務(wù)器D. 傳統(tǒng)防火墻51 下面對于個人防火墻未來的發(fā)展方向，描述不準(zhǔn)確的是（D）與 xDSL Modem 、無線 AP 等網(wǎng)絡(luò)設(shè)備集成與防病毒軟件集成，并實現(xiàn)與防病毒軟件之間的安全聯(lián)動將個人防火墻作為企業(yè)防火墻的有機組成部分與集線器等物理層設(shè)備集成52.在以下各項功能中，不可能集成在防火墻上的是（D ）A. 網(wǎng)絡(luò)地址轉(zhuǎn)

15、換（ NAT ）B. 虛擬專用網(wǎng)（ VPN ）C. 入侵檢測和入侵防御D. 過濾內(nèi)部網(wǎng)絡(luò)中設(shè)備的MAC 地址53.當(dāng)某一服務(wù)器需要同時為內(nèi)網(wǎng)用戶和外網(wǎng)用戶提供安全可靠的服務(wù)時，該服務(wù)器一般要置于防火墻的（ C）A. 內(nèi)部B. 外部C. DMZ 區(qū)D. 都可以54.以下關(guān)于狀態(tài)檢測防火墻的描述，不正確的是（D）所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個數(shù)據(jù)包之間存在一些關(guān)聯(lián)能夠自動打開和關(guān)閉防火墻上的通信端口其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩部分組成在每一次操作中，必須首先檢測規(guī)則表，然后再檢測連接狀態(tài)表55.在以下的認(rèn)證方式中，最不安全的是（A）A. PAPB. CHAPC. MS-CHAPD. SPAP

16、56.以下有關(guān) VPN 的描述，不正確的是（C ）A.使用費用低廉B. 為數(shù)據(jù)傳輸提供了機密性和完整性C.未改變原有網(wǎng)絡(luò)的安全邊界D. 易于擴展57.目前計算機網(wǎng)絡(luò)中廣泛使用的加密方式為（C ）A.鏈路加密B. 節(jié)點對節(jié)點加密C. 端對端加密D. 以上都是58.以下有關(guān)軟件加密和硬件加密的比較，不正確的是（B ）硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序硬件加密的兼容性比軟件加密好硬件加密的安全性比軟件加密好硬件加密的速度比軟件加密快對于一個組織，保障其信息安全并不能為其帶來直接的經(jīng)濟效益，相反還會付出較大的成本，那么組織為什么需要信息安全？（D ）A. 有多余的經(jīng)費

17、B. 全社會都在重視信息安全，我們也應(yīng)該關(guān)注C. 上級或領(lǐng)導(dǎo)的要求D. 組織自身業(yè)務(wù)需要和法律法規(guī)要求得分評卷人復(fù)查人二、 填空題 （每空 1 分，共 20分）根據(jù)密碼算法對明文處理方式的標(biāo)準(zhǔn)不同，可以將密碼系統(tǒng)分為：序列密碼體制和分組密碼體制。32 . PKI 的技術(shù)基礎(chǔ)包括公開密鑰體制和加密機制兩部分。33.零知識身份認(rèn)證分為交互式和非交互式兩種類型。34. DNS 同時調(diào)用了 TCP 和 UDP 的 53 端口，其中UDP 53端口用于 DNS 客戶端與 DNS 服務(wù)器端的通信，而TCP53端口用于 DNS 區(qū)域之間的數(shù)據(jù)復(fù)制。35.與病毒相比，蠕蟲的最大特點是消耗計算機內(nèi)存和網(wǎng)絡(luò)寬帶。

18、36.在網(wǎng)絡(luò)入侵中，將自己偽裝成合法用戶來攻擊系統(tǒng)的行為稱為冒充 ；復(fù)制合法用戶發(fā)出的數(shù)據(jù)，然后進行重發(fā)，以欺騙接收者的行為稱為重放；中止或干擾服務(wù)器為合法用戶提供服務(wù)的行為稱為 服務(wù)拒絕（拒絕服務(wù)）。37.在 LAND 攻擊中， LAND攻擊報文的源IP地址和目的 IP地址是相同的。38.防火墻將網(wǎng)絡(luò)分割為兩部分， 即將網(wǎng)絡(luò)分成兩個不同的安全域。對于接入Internet 的局域網(wǎng)，其中 局域網(wǎng)屬于可信賴的安全域，而Internet屬于不可信賴的非安全域。39.防火墻一般分為路由模式和透明模式兩類。當(dāng)用防火墻連接同一網(wǎng)段的不同設(shè)備時，可采用透明模式防火墻；而用防火墻連接兩個完全不同的網(wǎng)絡(luò)時，則

19、需要使用路由模式防火墻。40 .VPN 系統(tǒng)中的身份認(rèn)證技術(shù)包括用戶身份證明和信息認(rèn)證兩種類型。31 利用公鑰加密數(shù)據(jù)，然后用私鑰解密數(shù)據(jù)的過程稱為加密；利用私鑰加密數(shù)據(jù)，然后用公鑰解密數(shù)據(jù)的過程稱為數(shù)字簽名。32.在 PKI/PMI系統(tǒng)中， 一個合法用戶只擁有一個唯一的公鑰證書，但可能會同時擁有多個不同的屬性證書。33.計算機網(wǎng)絡(luò)安全領(lǐng)域的3A是指認(rèn)證、授權(quán)和審計。34.SSL 是一種綜合利用對稱密鑰和非對稱密鑰技術(shù)進行安全通信的工業(yè)標(biāo)準(zhǔn)。35.掃描技術(shù)主要分為主機安全掃描和 網(wǎng)絡(luò)安全掃描兩種類型。36.在 IDS 的報警中， 可以分為錯誤報警和正確的報警兩種類型。其中錯誤報警中， 將 ID

20、S 工作于正常狀態(tài)下產(chǎn)生的報警稱為誤報；而將 IDS 對已知的入侵活動未產(chǎn)生報警的現(xiàn)象稱為漏報。37.狀態(tài)檢測防火墻是在傳統(tǒng)包過濾防火墻的基礎(chǔ)上發(fā)展而來的，所以將傳統(tǒng)的包過濾防火墻稱為靜態(tài)包過濾防火墻，而將狀態(tài)檢測防火墻稱為動態(tài)包過濾防火墻。38. VPN 是利用 Internet 等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶提供一條與專網(wǎng)相同的安全通道。39. VPN系統(tǒng)中的三種典型技術(shù)分別是隧道技術(shù)、身份認(rèn)證技術(shù)和加密技術(shù) 。40.目前身份認(rèn)證技術(shù)可分為PKI 和非 PKI 兩種類型，其中在 VPN 的用戶身份認(rèn)證中一般采用非 PKI認(rèn)證方式，而信息認(rèn)證中采用PKI認(rèn)證方式。得分評卷人復(fù)查人

21、三、 判斷題 （每小題1 分，共10 分）41 鏈路加密方式適用于在廣域網(wǎng)系統(tǒng)中應(yīng)用。（）42.“一次一密”屬于序列密碼中的一種。（）當(dāng)通過瀏覽器以在線方式申請數(shù)字證書時，申請證書和下載證書的計算機必須是同一臺計算機。（）44. PKI 和 PMI在應(yīng)用中必須進行綁定，而不能在物理上分開。（）45. 在網(wǎng)絡(luò)身份認(rèn)證中采用審計的目的是對所有用戶的行為進行記錄，以便于進行核查。（）由于在 TCP 協(xié)議的傳輸過程中，傳輸層需要將從應(yīng)用層接收到的數(shù)據(jù)以字節(jié)為組成單元劃分成多個字節(jié)段，然后每個字節(jié)段單獨進行路由傳輸，所以TCP 是面向字節(jié)流的可靠的傳輸方式。（）47.ARP 緩存只能保存主動查詢獲得的I

22、P 和 MAC的對應(yīng)關(guān)系，而不會保存以廣播形式接收到的IP 和MAC 的對應(yīng)關(guān)系。（）48. 計算機病毒只會破壞計算機的操作系統(tǒng)，而對其他網(wǎng)絡(luò)設(shè)備不起作用。（）49.腳本文件和 ActiveX控件都可以嵌入在 HTML文件中執(zhí)行。（）50.要實現(xiàn) DDoS 攻擊，攻擊者必須能夠控制大量的計算機為其服務(wù)。（ ）11 Feistel 是密碼設(shè)計的一個結(jié)構(gòu)，而非一個具體的密碼產(chǎn)品。（）12.暴力破解與字典攻擊屬于同類網(wǎng)絡(luò)攻擊方式，其中暴力破解中所采用的字典要比字典攻擊中使用的字典的范圍要大。（）13. DHCP 服務(wù)器只能給客戶端提供IP 地址和網(wǎng)關(guān)地址，而不能提供DNS 服務(wù)器的 IP 地址。 （

23、 ）14.間諜軟件能夠修改計算機上的配置文件。（ ）蠕蟲既可以在互聯(lián)網(wǎng)上傳播，也可以在局域網(wǎng)上傳播。而且由于局域網(wǎng)本身的特性，蠕蟲在局域網(wǎng)上傳播速度更快，危害更大。（ ）16. 與 IDS 相比， IPS 具有深層防御的功能。（ ）當(dāng)硬件配置相同時，代理防火墻對網(wǎng)絡(luò)運行性能的影響要比包過濾防火墻小。（）在傳統(tǒng)的包過濾、代理和狀態(tài)檢測3 類防火墻中，只有狀態(tài)檢測防火墻可以在一定程度上檢測并防止內(nèi)部用戶的惡意破壞。（）防火墻一般采用“所有未被允許的就是禁止的”和“所有未被禁止的就是允許的”兩個基本準(zhǔn)則，其中前者的安全性要比后者高。（）20 .在利用VPN連接兩個LAN時， LAN中必須使用四、名詞

24、解釋（每小題TCP/IP 協(xié)議。（4 分，共20 分）得分評卷人復(fù)查人61對稱加密與非對稱加密在一個加密系統(tǒng)中，加密和解密使用同一個密鑰，這種加密方式稱為對稱加密，也稱為單密鑰加密（2 分）。如果系統(tǒng)采用的是雙密鑰體系，存在兩個相互關(guān)聯(lián)的密碼，其中一個用于加密，另一個用于解密，這種加密方法稱為非對稱加密，也稱為公鑰加密（2 分）蜜罐：是一種計算機網(wǎng)絡(luò)中專門為吸引并“誘騙”那些試圖非法入侵他人計算機系統(tǒng)的人而設(shè)計的陷阱系統(tǒng) （ 2 分） 。設(shè)置蜜罐的目的主要是用于被偵聽、被攻擊， 從而研究網(wǎng)絡(luò)安全的相關(guān)技術(shù)和方法。2）PKI ： PKI （公鑰基礎(chǔ)設(shè)施）是利用密碼學(xué)中的公鑰概念和加密技術(shù)為網(wǎng)上通

25、信提供的符合標(biāo)準(zhǔn)的一整套安全基礎(chǔ)平臺。 PKI 能為各種不同安全需求的用戶提供各種不同的網(wǎng)上安全服務(wù)所需要的密鑰和證書，這些安全服務(wù)主要包括身份識別與鑒別（認(rèn)證）、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性及時間戳服務(wù)等，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的（2 分）。 PKI 的技術(shù)基礎(chǔ)之一是公開密鑰體制（1 分）； PKI 的技術(shù)基礎(chǔ)之二是加密機制（1 分）。64. DNSSEC ：DNSSEC （域名系統(tǒng)安全擴展）是在原有的域名系統(tǒng)（DNS ）上通過公鑰技術(shù)，對DNS中的信息進行數(shù)字簽名，從而提供DNS 的安全認(rèn)證和信息完整性檢驗（2 分）。發(fā)送方首先使用Hash函數(shù)對要發(fā)

26、送的DNS 信息進行計算，得到固定長度的“信息摘要”，然后對“信息摘要”用私鑰進行加密，此過程實現(xiàn)了對“信息摘要”的數(shù)字簽名；最后將要發(fā)送的DNS 信息、該DNS 信息的“信息摘要”以及該“信息摘要”的數(shù)字簽名，一起發(fā)送出來（1 分）。接收方首先采用公鑰系統(tǒng)中的對應(yīng)公鑰對接收到的“信息摘要”的數(shù)字簽名進行解密，得到解密后的“信息摘要”；接著用與發(fā)送方相同的 Hash 函數(shù)對接收到的 DNS 信息進行運算，得到運算后的“信息摘要”；最后，對解密后的“信息摘要”和運算后的“信息摘要”進行比較，如果兩者的值相同，就可以確認(rèn)接收到的DNS 信息是完整的，即是由正確的DNS 服務(wù)器得到的響應(yīng)（ 1 分）

27、。65. DoS 攻擊： DoS （拒絕服務(wù)）攻擊是一種實現(xiàn)簡單但又很有效的攻擊方式。DoS 攻擊的目的就是讓被攻擊主機拒絕用戶的正常服務(wù)訪問，破壞系統(tǒng)的正常運行，最終使用戶的部分Internet 連接和網(wǎng)絡(luò)系統(tǒng)失效（ 2 分）。最基本的DoS 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。（ 2 分）1、 DNS 緩存中毒： DNS為了提高查詢效率，采用了緩存機制，把用戶查詢過的最新記錄存放在緩存中，并設(shè)置生存周期（ Time To Live ，TTL ）。在記錄沒有超過 TTL之前， DNS 緩存中的記錄一旦被客戶端查詢， DNS服務(wù)器（包括各級名字服務(wù)器）將

28、把緩存區(qū)中的記錄直接返回給客戶端，而不需要進行逐級查詢，提高了查詢速率。（2 分） DNS 緩存中毒利用了 DNS 緩存機制，在DNS 服務(wù)器的緩存中存入大量錯誤的數(shù)據(jù)記錄主動供用戶查詢。由于緩存中大量錯誤的記錄是攻擊者偽造的，而偽造者可能會根據(jù)不同的意圖偽造不同的記錄。由于 DNS 服務(wù)器之間會進行記錄的同步復(fù)制，所以在 TTL 內(nèi)，緩存中毒的 DNS 服務(wù)器有可能將錯誤的記錄發(fā)送給其他的DNS 服務(wù)器，導(dǎo)致更多的DNS 服務(wù)器中毒。（2 分）2機密性、完整性、可用性、可控性機密性是確保信息不暴露給未經(jīng)授權(quán)的人或應(yīng)用進程（1分）；完整性是指只有得到允許的人或應(yīng)用進程才能修改數(shù)據(jù)，并且能夠判別

29、出數(shù)據(jù)是否已被更改（1分）；可用性是指只有得到授權(quán)的用戶在需要時才可以訪問數(shù)據(jù)，即使在網(wǎng)絡(luò)被攻擊時也不能阻礙授權(quán)用戶對網(wǎng)絡(luò)的使用（1 分）；可控性是指能夠?qū)κ跈?quán)范圍內(nèi)的信息流向和行為方式進行控制（1 分）。3 PMI ： PMI （授權(quán)管理基礎(chǔ)設(shè)施）是在PKI 發(fā)展的過程中為了將用戶權(quán)限的管理與其公鑰的管理分離，由 IETF 提出的一種標(biāo)準(zhǔn)。PMI 的最終目標(biāo)就是提供一種有效的體系結(jié)構(gòu)來管理用戶的屬性。PMI以資源管理為核心，對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機構(gòu)統(tǒng)一處理（2分）。同 PKI 相比，兩者主要區(qū)別在于 PKI 證明用戶是誰，而PMI 證明這個用戶有什么權(quán)限、能干什么。PMI 需要 P

30、KI 為其提供身份認(rèn)證。 PMI 實際提出了一個新的信息保護基礎(chǔ)設(shè)施，能夠與PKI 緊密地集成，并系統(tǒng)地建立起對認(rèn)可用戶的特定授權(quán)，對權(quán)限管理進行系統(tǒng)的定義和描述，完整地提供授權(quán)服務(wù)所需過程。（2 分）4防火墻：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合（2 分），通過監(jiān)測、限制、更改進入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡(luò)的安全保護。5 VPN ： VPN （虛擬專用網(wǎng)）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶

31、提供一條與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道，實現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接（ 2 分）。從 VPN 的定義來看， 其中“虛擬” 是指用戶不需要建立自己專用的物理線路，而是利用Internet等公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實現(xiàn)與專用數(shù)據(jù)通道相同的通信功能；“專用網(wǎng)絡(luò)”是指這一虛擬出來的網(wǎng)絡(luò)并不是任何連接在公共網(wǎng)絡(luò)上的用戶都能夠使用的，而是只有經(jīng)過授權(quán)的用戶才可以使用。同時，該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，從而保證了傳輸內(nèi)容的完整性和機密性。（ 2 分）6 DDoS攻擊： DoS 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使服務(wù)器無法處理合法

32、用戶的指令，一般是采用一對一方式。DDOS 是在 DOS 基礎(chǔ)上利用一批受控制的主機向一臺主機發(fā)起攻擊，其攻擊強度和造成的威脅要比DOS 嚴(yán)重的多。五、簡答題（每小題10 分，共 20 分）66 簡述 ARP 欺騙的實現(xiàn)原理及主要防范方法由于 ARP 協(xié)議在設(shè)計中存在的主動發(fā)送ARP 報文的漏洞，使得主機可以發(fā)送虛假的ARP 請求報文或響應(yīng)報文，報文中的源IP 地址和源 MAC 地址均可以進行偽造（2 分）。在局域網(wǎng)中，即可以偽造成某一臺主機（如服務(wù)器）的IP 地址和 MAC 地址的組合，也可以偽造成網(wǎng)關(guān)的IP 地址和 MAC地址的組合， ARP 即可以針對主機，也可以針對交換機等網(wǎng)絡(luò)設(shè)備（2

33、 分），等等。目前，絕大部分 ARP 欺騙是為了擾亂局域網(wǎng)中合法主機中保存的ARP 表，使得網(wǎng)絡(luò)中的合法主機無法正常通信或通信不正常，如表示為計算機無法上網(wǎng)或上網(wǎng)時斷時續(xù)等。（2 分）針對主機的 ARP 欺騙的解決方法：主機中靜態(tài)ARP 緩存表中的記錄是永久性的，用戶可以使用TCP/IP 工具來創(chuàng)建和修改，如Windows操作系統(tǒng)自帶的ARP 工具，利用“ arp -s 網(wǎng)關(guān) IP 地址 網(wǎng)關(guān)MAC 地址”將本機中 ARP 緩存表中網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)（static ）。（ 2 分）針對交換機的ARP 欺騙的解決方法：在交換機上防范ARP 欺騙的方法與在計算機上防范ARP 欺騙的方法基本相

34、同，還是使用將下連設(shè)備的MAC地址與交換機端口進行一一綁定的方法來實現(xiàn)。（2分）67 如下圖所示，簡述包過濾防火墻的工作原理及應(yīng)用特點。包過濾（ Packet Filter ）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問策略（過濾規(guī)則），檢查每一個數(shù)據(jù)包的源IP 地址、目的IP 地址以及IP 分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定是否允許該數(shù)據(jù)包通過防火墻（2 分）。包過濾防火墻中的安全訪問策略（過濾規(guī)則）是網(wǎng)絡(luò)管理員事先設(shè)置好的，主要通過對進入防火墻的數(shù)據(jù)包的源 IP 地址、目的IP 地址、協(xié)議及端口進行設(shè)置，決定是否允許數(shù)據(jù)包通過防火墻。（2分）如圖所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了

35、過濾規(guī)則后，在防火墻中會形成一個過濾規(guī)則表。當(dāng)數(shù)據(jù)包進入防火墻時，防火墻會將IP 分組的頭部信息與過濾規(guī)則表進行逐條比對，根據(jù)比對結(jié)果決定是否允許數(shù)據(jù)包通過。（2 分）包過濾防火墻主要特點：過濾規(guī)則表需要事先進行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的安全要求來定；防火墻在進行檢查時，首先從過濾規(guī)則表中的第1 個條目開始逐條進行，所以過濾規(guī)則表中條目的先后順序非常重要；由于包過濾防火墻工作在OSI 參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過濾防火墻對通過的數(shù)據(jù)包的速度影響不大，實現(xiàn)成本較低。但包過濾防火墻無法識別基于應(yīng)用層的惡意入侵。另外，包過濾防火墻不能識別IP 地址的欺騙，內(nèi)部非授權(quán)的用戶可以通過偽裝成

36、為合法IP 地址的使用者來訪問外部網(wǎng)絡(luò)，同樣外部被限制的主機也可以通過使用合法的IP 地址來欺騙防火墻進入內(nèi)部網(wǎng)絡(luò)。（ 4 分）3 根據(jù)實際應(yīng)用，以個人防火墻為主，簡述防火墻的主要功能及應(yīng)用特點防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過監(jiān)測、限制、更改進入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，實現(xiàn)網(wǎng)絡(luò)的安全保護。（ 2分）個人防火墻是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產(chǎn)生危險的通信就會報警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機上重要數(shù)據(jù)的安全保護。（ 2 分）個人防火墻是在企業(yè)防火墻的基礎(chǔ)上發(fā)展起來，個人防火墻采用的技術(shù)也與企業(yè)防火墻基本相同，但在規(guī)則的設(shè)置、 防火墻的管理等方面進行了簡化，使非專業(yè)的普通用戶能夠容易地安裝和使用。（2 分）為了防止安全威脅對個人計算機產(chǎn)生的破壞，個人防火墻產(chǎn)品