2024年高等教育工學類自考-04751計算機網(wǎng)絡安全考試近5年真題集錦（頻考類試題）帶答案

（圖片大小可自由調(diào)整）2024年高等教育工學類自考-04751計算機網(wǎng)絡安全考試近5年真題集錦（頻考類試題）帶答案第I卷一.參考題庫(共100題)1.保障通信線路安全技術的主要技術措施有哪些？2.網(wǎng)絡安全漏洞的分類方法有哪些？3.Intranet分層結(jié)構(gòu)包括網(wǎng)絡、（）、應用三個層次。4.在數(shù)據(jù)通信中，利用電話交換網(wǎng)與調(diào)制解調(diào)器進行數(shù)據(jù)傳輸?shù)姆椒ㄊ牵ǎ〢、基帶傳輸B、寬帶傳輸C、頻帶傳輸D、IP傳輸5.簡述認證技術的分層模型。6.網(wǎng)絡中通常使用電路交換、報文交換和分組交換技術。7.按照工作原理和傳輸方式，可以將惡意代碼分為哪幾類？8.網(wǎng)絡安全風險分析包括網(wǎng)絡的安全風險分析、系統(tǒng)的安全風險分析、（）和整體安全風險分析。9.簡述惡意代碼的主要防范措施。10.簡述古典密碼算法。11.若凱撒密碼系統(tǒng)的密鑰k=3，對于明文P=“Book”，試給出其密文。12.若構(gòu)建一個基于入侵檢測技術和防火墻技術的聯(lián)動安全系統(tǒng)，你是如何考慮的？13.手寫簽名與數(shù)字簽名的區(qū)別是什么？14.認證的三個目的是什么？15.在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間設計了一個屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻，要求：在下面給出的防火墻結(jié)構(gòu)圖括號中標注組件名稱，并簡述結(jié)構(gòu)圖中各組件的基本功能。 16.計算機網(wǎng)絡安全設計應遵循的基本原則有哪些？17.下列關于中繼器的描述正確的是（）A、擴展局域網(wǎng)傳輸距離B、放大輸入信號C、檢測到?jīng)_突，停止傳輸數(shù)據(jù)到發(fā)生沖突的網(wǎng)段D、增加中繼器后，每個網(wǎng)段上的節(jié)點數(shù)可以大大增加18.簡述包過濾的工作過程。19.什么是防火墻？防火墻的體系結(jié)構(gòu)有哪幾種類型？20.下列屬于10Base－T中網(wǎng)卡與集線器之間雙絞線接法的是（）A、1－1，2－2，3－3，6－6B、1－3，2－6，3－1，6－2C、1－2，2－1，3－6，6－3D、1－6，2－3，3－2，6－121.防火墻是一種將（）和外部網(wǎng)絡分開的方法，是提供信息安全服務、實現(xiàn)網(wǎng)絡貨物信息系統(tǒng)安全的基礎設施。22.以下關于VPN的說法中的哪一項是正確的？（）A、VPN是虛擬專用網(wǎng)的簡稱，它只能只好ISP維護和實施B、VPN是只能在第二層數(shù)據(jù)鏈路層上實現(xiàn)加密C、IPSEC是也是VPN的一種D、VPN使用通道技術加密，但沒有身份驗證功能23.研究網(wǎng)絡信息安全比較困難的原因主要體現(xiàn)在哪些方面？24.一個路由器有兩個端口，分別接到兩個網(wǎng)絡，兩個網(wǎng)絡各有一個主機，IP地址分別為和，子網(wǎng)掩碼均為，請從中選出兩個IP地址分別分配給路由器的兩個端口？（）A、和B、和C、和D、和25.為了支持各種信息的傳輸，計算機網(wǎng)絡必須具有足夠的帶寬、很好的服務質(zhì)量與完善的（）A、安全機制B、服務機制C、通信機制D、應用軟件26.ADSL技術的缺點是離交換機越近，速度下降越快。27.進行計算機網(wǎng)絡安全設計、規(guī)劃時，應遵循的原則是什么？28.數(shù)字簽名技術是一種實現(xiàn)（）和身份認證的重要技術。29.某局域網(wǎng)如下圖，其中：1號設備是路由器，4號設備是交換機，5和6號設備是DMZ區(qū)服務器，7、8和9號設備是個人計算機。 請回答下列問題： （1）2和3號設備中，哪個設備是防火墻？哪個設備是交換機？ （2）3套個人防火墻軟件最適合安裝在哪3個設備上？（只能選3個設備） （3）5套防病毒軟件應該安裝在哪5個設備上？（只能選5個設備） 30.分析計算機網(wǎng)絡的安全需求。31.以下哪個不是屬于window2000的漏洞？（）A、unicodeB、IIShackerC、輸入法漏洞D、單用戶登陸32.OSI模型的物理層負責下列（）功能。A、.格式化報文B、為數(shù)據(jù)選擇通過網(wǎng)絡的路由C、定義連接到介質(zhì)的特征D、提供遠程文件訪問功能33.網(wǎng)絡安全漏洞檢測技術分為幾類，其具體作用是什么？34.物理安全包含的主要內(nèi)容有機房環(huán)境安全、（）、設備安全和電源安全。35.你所使用的系統(tǒng)為UNIX，你通過umask命令求出當前用戶的umask值為0023，請問該用戶在新建一文件夾，具體有什么樣的權(quán)限？（）A、當前用戶讀、寫和執(zhí)行，當前組讀取和執(zhí)行，其它用戶和組只讀B、當前用戶讀、寫，當前組讀取，其它用戶和組不能訪問C、當前用戶讀、寫，當前組讀取和執(zhí)行，其它用戶和組只讀D、當前用戶讀、寫和執(zhí)行，當前組讀取和寫入，其它用戶和組只讀36.包過濾技術的工作原理是什么？37.物理安全包含的主要內(nèi)容是什么？38.劃分VLAN的方法常用的有（）、按MAC地址劃分和按第3層協(xié)議劃分3種。A、按IP地址劃分B、按交換端口號劃分C、按幀劃分D、按信元交換39.網(wǎng)絡安全風險分析包括網(wǎng)絡的安全風險分析、（）、應用的安全風險分析和整體安全風險分析。40.簡述機房安全等級的三個基本類別。41.防火墻的體系結(jié)構(gòu)有哪幾種？簡述各自的特點。42.簡述入侵檢測技術當前的研究熱點。43.NAT技術的工作原理是什么？44.計算機病毒的主要危害有哪些？45.簡述機房安全的要求和措施。46.試分析古典密碼對于構(gòu)造現(xiàn)代密碼有哪些啟示？47.簡述機房安全等級的劃分標準。48.計算機病毒的特征有哪些？49.代理技術的缺點有哪些？50.防火墻的組成可以表示成（）+（）。51.典型的網(wǎng)絡安全威脅有哪些？52.以太網(wǎng)交換機的最大帶寬為（）A、等于端口帶寬B、大于端口帶寬的總和C、等于端口帶寬的總和D、小于端口帶寬的總和53.下列加密算法中，屬于雙鑰加密算法的是（）A、DESB、IDEAC、BlowfishD、RSA54.代理服務技術是一種較新型的防火墻技術，它分為（）網(wǎng)關和（）網(wǎng)關。55.下列對計算機網(wǎng)絡的攻擊方式中，屬于被動攻擊的是（）A、口令嗅探B、重放C、拒絕服務D、物理破壞56.單機上用戶面臨的威脅主要來自哪些方面？有哪些應對措施？57.在建網(wǎng)時，設計IP地址方案首先要（）A、給每一硬件設備分配一個IP地址B、選擇合理的IP尋址方式C、保證IP地址不重復D、動態(tài)獲得IP地址時可自由安排58.上下層之間交換信息叫接口。59.惡意代碼的特征表現(xiàn)在（）、本身是程序和通過執(zhí)行發(fā)生作用。60.什么是計算機病毒？61.開放系統(tǒng)互連參考模型OSI中，傳輸?shù)谋忍亓鲃澐譃閹氖牵ǎ〢、數(shù)據(jù)鏈路層B、網(wǎng)絡層C、傳輸層D、會話層62.IP地址分配有動態(tài)主機分配協(xié)議、（）和（）三種IP尋址方式。63.你是一個公司的網(wǎng)絡管理員，你經(jīng)常在遠程不同的地點管理你的網(wǎng)絡（如家里），你公司使用win2000操作系統(tǒng)，你為了方便遠程管理，在一臺服務器上安裝并啟用了終端服務。最近，你發(fā)現(xiàn)你的服務器有被控制的跡象，經(jīng)過你的檢查，你發(fā)現(xiàn)你的服務器上多了一個不熟悉的帳戶，你將其刪除，但第二天卻總是有同樣的事發(fā)生，你應該如何解決這個問題？（）A、停用終端服務B、添加防火墻規(guī)則，除了你自己家里的IP地址，拒絕所有3389的端口連入C、打安全補丁sp4D、啟用帳戶審核事件，然后查其來源，予以追究64.認證體制應滿足的條件（要求）有哪些？65.資源子網(wǎng)的定義和作用是什么？66.網(wǎng)絡安全解決方案的基本概念是什么？67.防火墻的基本概念是什么？68.入侵檢測的目的是（）A、實現(xiàn)內(nèi)外網(wǎng)隔離和訪問控制B、預防檢測和消除病毒C、記錄用戶使用計算機的活動D、提供實時的檢測及采取相應的防護手段，阻止黑客入侵69.網(wǎng)絡安全的典型技術有哪些？70.漏洞分析的目的是發(fā)現(xiàn)目標系統(tǒng)中存在的（）。71.你配置UNIX下的Ipchains防火墻，你要添加一條規(guī)則到指定的chain后面，你應該使用參數(shù)（）A、—AB、—DC、—SD、—INPUT72.簡述入侵檢測系統(tǒng)的基本原理。73.一份完整的網(wǎng)絡安全解決方案是（）、策略和管理三者的組合。74.RSA是（）的典型代表。75.操作系統(tǒng)探測技術分為幾類？76.分布式入侵檢測的優(yōu)勢有哪些？77.簡述PPDR安全模型的結(jié)構(gòu)。78.什么是安全漏洞，安全漏洞產(chǎn)生的內(nèi)在原因是什么？79.PKI是一個用（）算法原理和技術來提供安全服務的通用型基礎平臺。80.數(shù)字簽名與消息認證的區(qū)別是什么？81.簡述入侵檢測系統(tǒng)的分類。82.采用模擬攻擊漏洞探測技術的好處是（）A、可以探測到所有漏洞B、完全沒有破壞性C、對目標系統(tǒng)沒有負面影響D、探測結(jié)果準確率高83.簡述網(wǎng)絡內(nèi)部安全管理制度的主要內(nèi)容。84.入侵檢測系統(tǒng)的主要標準的名稱有哪些？85.寫出在誤用檢測的技術實現(xiàn)中，常見的五種方法。86.認證主要包括實體認證和（）兩大類。87.如果發(fā)現(xiàn)網(wǎng)絡變得很慢，經(jīng)過觀察，發(fā)現(xiàn)網(wǎng)絡沖突增加很多，以下哪些情況會引起此類故障？（）A、電纜太長B、有網(wǎng)卡工作不正常C、網(wǎng)絡流量增大D、電纜斷路88.簡述制訂網(wǎng)絡安全解決方案的一般過程。89.簡述交換機與集線器在工作原理上的區(qū)別。90.閾值檢驗在入侵檢測技術中屬于（）A、狀態(tài)轉(zhuǎn)換法B、量化分析法C、免疫學方法D、神經(jīng)網(wǎng)絡法91.簡述不支持TCP/IP的設備應如何進行SNMP管理。92.當你感覺到你的Win2000運行速度明顯減慢，當你打開任務管理器后發(fā)現(xiàn)CPU的使用率達到了百分之百，你最有可能認為你受到了哪一種攻擊。（）A、特洛伊木馬B、拒絕服務C、欺騙D、中間人攻擊93.PKI的基本概念及特點是什么？94.（）是一段可執(zhí)行的程序代碼。95.簡述密碼學的基本概念及密碼學中的五元組。96.計算機網(wǎng)絡的不安全主要因素有哪些？97.簡述惡意代碼所使用的關鍵技術。98.Internet的影響越來越大，人們常把它與報紙、廣播、電視等傳統(tǒng)媒體相比較，稱之為（）A、.第四媒體B、交互媒體C、全新媒體D、交流媒體99.簡述入侵檢測系統(tǒng)結(jié)構(gòu)組成。100.簡述計算機網(wǎng)絡安全的定義。第I卷參考答案一.參考題庫1.參考答案： ①電纜加壓技術 ②對光纖等通信線路的防竊聽技術（距離大于最大長度限制的系統(tǒng)之間，不采用光纖線通信；加強復制器的安全，如用加壓電纜、警報系統(tǒng)和加強警衛(wèi)等措施） 影響主要體現(xiàn)在：計算機系統(tǒng)可能會通過電磁輻射使信息被截獲而失密，計算機系統(tǒng)中數(shù)據(jù)信息在空間中擴散。 防護措施：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護，又分為兩種：一種是采用各種電磁屏蔽措施，第二種是干擾的防護措施。為提高電子設備的抗干擾能力，主要措施有 ①屏蔽 ②濾波 ③隔離 ④接地，其中屏蔽是應用最多的方法。 電磁防護層主要是通過上述種種措施，提高計算機的電磁兼容性，提高設備的抗干擾能力，使計算機能抵抗強電磁干擾，同時將計算機的電磁泄漏發(fā)射降到最低，使之不致將有用的信息泄漏出去。2.參考答案：漏洞的分類方法主要有按漏洞可能對系統(tǒng)造成的直接威脅分類和按漏洞的成因分類兩大類。3.參考答案：服務4.參考答案：C5.參考答案： 認證技術分為三個層次： ①安全管理協(xié)議。主要任務是在安全體制的支持下，建立、強化和實施整個網(wǎng)絡系統(tǒng)的安全策略。典型的安全管理協(xié)議有公用管理信息協(xié)議（CMIP）、簡單網(wǎng)絡管理協(xié)議（SNMP）和分布式安全管理協(xié)議（DSM）。 ②認證體制。在安全管理協(xié)議的控制和密碼體制的支持下，完成各種認證功能。典型的認證體制有Kerberos體制、X.509體制和LightKryptonight體制。 ③密碼體制。是認證技術的基礎，它為認證體制提供數(shù)學方法支持。典型的密碼體制有DES體制、RSA體制。6.參考答案：正確7.參考答案：惡意代碼可以分為：普通病毒、木馬、網(wǎng)絡蠕蟲、移動代碼和復合型病毒。8.參考答案：應用的安全風險分析9.參考答案： （1）及時更新系統(tǒng)，修補安全漏洞 （2）設置安全策略 （3）啟用防火墻 （4）養(yǎng)成良好的上網(wǎng)習慣10.參考答案： ①簡單代替密碼或單字母密碼。 ②多名或同音代替。 ③多表代替。 ④多字母或多碼代替。 現(xiàn)代密碼按照使用密鑰方式不同，分為單鑰密碼體制和雙鑰密碼體制兩類。11.參考答案： 若凱撒密碼系統(tǒng)的密鑰k=3，對于明文P=“book”，試給出其密文。 所以密文為“errn”12.參考答案：在安全實踐中，部署入侵檢測系統(tǒng)是一項較為煩瑣的工作，需要從三個方面對入侵檢測進行改進，即突破檢測速度瓶頸制約，適應網(wǎng)絡通信需求；降低漏報和誤報，提高其安全性和準確度；提高系統(tǒng)互動性勇，增強全系統(tǒng)的安全性能。13.參考答案： 一是手寫簽名是不變的，而數(shù)字簽名對不同的消息是不同的，即手寫簽名因人而異，數(shù)字簽名因消息而異； 二是手寫簽名是易被模擬的，無論哪種文字的手寫簽名，偽造者都容易模仿，而數(shù)字簽名是在密鑰控制下產(chǎn)生的，在沒有密鑰的情況下，模仿者幾乎無法模仿出數(shù)字簽名。14.參考答案： 一是消息完整性認證，即驗證信息在傳送或存儲過程中是否被篡改； 二是身份認證，即驗證消息的收發(fā)者是否持有正確的身份認證符； 三是消息的序號和操作時間等的認證，其目的是防止消息重放或延遲等攻擊。15.參考答案： （1）外部路由器：保護周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自外部網(wǎng)絡的侵犯。 （2）周邊網(wǎng)絡：在侵襲著與用戶的內(nèi)部系統(tǒng)之間提供一個附加的保護層。 （3）內(nèi)部路由器：保護內(nèi)部的網(wǎng)絡使之免受外部網(wǎng)和周邊網(wǎng)的侵犯。16.參考答案： 在進行計算機網(wǎng)絡安全設計、規(guī)劃時，應遵循以下原則： （1）需求、風險、代價平衡分析的原則 （2）綜合性、整體性原則 （3）一致性原則 （4）易操作性原則 （5）適應性、靈活性原則 （6）多重保護原則17.參考答案：A,B,C18.參考答案： 源地址、目的地址、協(xié)議類型、源端口、目的端口、ICMP消息類型 不讓外用TELNET登陸、允許SMTP往內(nèi)部發(fā)郵件、允許NNTP往內(nèi)部發(fā)新聞 不能識別用戶信息、不能識別文件信息、可以提供整個網(wǎng)絡保護19.參考答案： 防火墻是位于被保護網(wǎng)絡和外部網(wǎng)絡之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡的不可預測的、潛在破壞性的侵擾。防火墻對兩個網(wǎng)絡之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，限制外界用戶對內(nèi)部網(wǎng)絡的訪問，管理內(nèi)部用戶訪問外部網(wǎng)絡，防止對重要信息資源的非法存取和訪問，以達到內(nèi)部網(wǎng)絡安全的目的。 防火墻的體系結(jié)構(gòu)有以下三種： （1）雙重宿主主機體系結(jié)構(gòu)。 （2）屏蔽主機體系結(jié)構(gòu)。 （3）屏蔽子網(wǎng)體系結(jié)構(gòu)。20.參考答案：A21.參考答案：內(nèi)部網(wǎng)絡22.參考答案：C23.參考答案： ①邊界模糊 ②評估困難 ③安全技術滯后 ④管理滯后24.參考答案：B25.參考答案：A26.參考答案：錯誤27.參考答案： 計算機網(wǎng)絡安全設計遵循的基本原則： ①需求、風險、代價平衡分析的原則 ②綜合性、整體性原則 ③一致性原則 ④易操作性原則 ⑤適應性、靈活性原則 ⑥多重保護原則28.參考答案：消息完整性認證29.參考答案： （1）2號設備是防火墻，3號設備是交換機 （2）3套個人防火墻最適合安裝在7、8、9號設備上 （3）5套防病毒軟件應該分別裝在5、6、7、8、9號設備上30.參考答案： 計算機網(wǎng)絡安全的基本概念：計算機網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論和信息論等多學科的綜合性學科。 計算機網(wǎng)絡安全的定義：計算機網(wǎng)絡安全是指利用管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境里，信息數(shù)據(jù)的機密性、完整性及可使用性受到保護。 網(wǎng)絡的安全問題包括兩方面內(nèi)容：一是網(wǎng)絡的系統(tǒng)安全；二是網(wǎng)絡的信息安全（最終目的）。 計算機網(wǎng)絡安全的目標： ①保密性 ②完整性 ③可用性 ④可控性 ⑤不可否認性 計算機網(wǎng)絡安全的層次： ①物理安全 ②邏輯安全 ③聯(lián)網(wǎng)安全④操作系統(tǒng)安全 網(wǎng)絡安全包括三個重要部分： ①先進的技術 ②嚴格的管理 ③威嚴的法律31.參考答案：D32.參考答案：C33.參考答案：網(wǎng)絡安全漏洞檢測技術主要包括端口掃描、操作系統(tǒng)探測和安全漏洞探測三類。通過端口掃描可以掌握系統(tǒng)都開放了哪些端口、提供了哪些服務；通過操作系統(tǒng)探測可以掌握操作系統(tǒng)的類型信息；通過安全漏洞探測可以發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞。34.參考答案：通信線路安全35.參考答案：A36.參考答案：工作在網(wǎng)絡層，通?；贗P數(shù)據(jù)包的源地址、目的地址、源端口和目的端口進行過濾。包過濾技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯，被稱為訪問控制列表。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號和協(xié)議狀態(tài)等因素或它們的組合，來確定是否允許該數(shù)據(jù)包通過。37.參考答案： 主要包括以下幾個方面 ①機房環(huán)境安全； ②通信線路安全； ③設備安全； ④電源安全。38.參考答案：B39.參考答案：系統(tǒng)的安全風險分析40.參考答案： A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施。 B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。 C類：對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。41.參考答案： 防火墻的體系結(jié)構(gòu)：雙重宿主主機體系結(jié)構(gòu)；屏蔽主機體系結(jié)構(gòu)；屏蔽子網(wǎng)體系結(jié)構(gòu)。 雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主機計算機而構(gòu)筑的，該計算機至少有兩個網(wǎng)絡接口，這樣的主機可以充當與這些接口相連的網(wǎng)絡之間的路由器，它能夠從一個網(wǎng)絡往另一個網(wǎng)絡發(fā)送數(shù)據(jù)包。 雙重宿主主機體系結(jié)構(gòu)是由一臺同時連接在內(nèi)外部網(wǎng)絡的雙重宿主主機提供安全保障的，而被屏蔽主機體系結(jié)構(gòu)則不同，在屏蔽主機體系結(jié)構(gòu)中，提供安全保護的主機僅僅與被保護的內(nèi)部網(wǎng)絡相連。 屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡更進一步地把內(nèi)部網(wǎng)絡與Internet隔離開。42.參考答案： 盡管分布式入侵檢測存在技術和其他層面的難點，但由于其相對于傳統(tǒng)的單機IDS所具有的優(yōu)勢，目前已經(jīng)成為這一領域的研究熱點。研究現(xiàn)狀如下： ①Snortnet ②Agent-Based ③DIDS ④GrIDS ⑤IntrusionStrategy ⑥數(shù)據(jù)融合 ⑦基于抽象的方法43.參考答案：網(wǎng)絡地址轉(zhuǎn)換，是一個internet工程任務組的標準，允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在互聯(lián)網(wǎng)上。即是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡IP地址的技術。NAT有三種類型：靜態(tài)NAT、動態(tài)NAT和網(wǎng)絡地址端口轉(zhuǎn)換NAPT。44.參考答案： ①直接破壞計算機數(shù)據(jù)信息 ②占用磁盤空間和對信息的破壞 ③搶占系統(tǒng)資源 ④影響計算機運行速度 ⑤計算機病毒錯誤與不可預見的危害 ⑥計算機病毒的兼容性對系統(tǒng)運行的影響 ⑦給用戶造成嚴重的心理壓力45.參考答案： ①機房的場地，選址避免靠近公共區(qū)域，避免窗戶直接鄰街，機房布局應使工作區(qū)在內(nèi)，生活輔助區(qū)在外；機房不要在底層或頂層。措施：保證所有進出計算機機房的人都必須在管理人員的監(jiān)控之下，外來人員進入機房，要辦理相關手續(xù)，并檢查隨身物品。 ②機房的防盜要求，對重要的設備和存儲媒體應采取嚴格的防盜措施。措施：早期采取增加質(zhì)量和膠粘的防盜措施，后國外發(fā)明了一種通過光纖電纜保護重要設備的方法，一種更方便的措施類似于超市的防盜系統(tǒng)，視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設備，能對計算機網(wǎng)絡系統(tǒng)的外圍環(huán)境、操作環(huán)境進行實時的全程監(jiān)控。 ③機房的三度要求（溫度（18-22度）、濕度（40%-60%為宜）、潔凈度（要求機房塵埃顆粒直徑小于0.5μm））為使機房內(nèi)的三度達到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機和除塵器是必不可少的設備。 ④防靜電措施：裝修材料避免使用掛毯、地毯等易吸塵，易產(chǎn)生靜電的材料，應采用乙烯材料，安裝防靜電地板并將設備接地。 ⑤接地與防雷要求： 1.地線種類： A.保護地 B.直流地 C.屏蔽地 D.靜電地 E.雷擊地 2.接地系統(tǒng)： A.各自獨立的接地系統(tǒng) B.交、直流分開的接地系統(tǒng) C.共線接地系統(tǒng) D.直流地、保護地共用地線系統(tǒng) E.建筑物內(nèi)共地系統(tǒng) 3、接地體： A.地樁 B.水平柵網(wǎng) C.金屬接地板 D.建筑物基礎鋼筋 4.防雷措施，使用接閃器、引下線和接地裝置吸引雷電流。機器設備應有專用地線，機房本身有避雷設備和裝置。 ⑥機房的防火、防水措施：為避免火災、水災，應采取的措施為：隔離、火災報警系統(tǒng)、滅火設施（滅火器，滅火工具及輔助設備）、管理措施。46.參考答案：古典密碼大都比較簡單，可用手工或機械操作實現(xiàn)加解密，雖然現(xiàn)在很少采用，但研究這些密碼算法的原理，對于理解、構(gòu)造和分析現(xiàn)代密碼是十分有益的。古典密碼算法主要有代碼加密、代替加密、變位加密和一次性密碼簿加密等幾種算法。47.參考答案： 機房的安全等級分為A類、B類和C類三個基本類別。 A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施。 B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。 C類：對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。48.參考答案： ①非授權(quán)可執(zhí)行性 ②隱蔽性 ③傳染性 ④潛伏性 ⑤破壞性 ⑥觸發(fā)性49.參考答案： ①代理速度較路由器慢 ②代理對用戶不透明 ③對每項服務代理可能要求不同的服務器 ④代理服務不能保證免受所有協(xié)議弱點的限制 ⑤代理不能改進底層協(xié)議的安全性50.參考答案：過濾器；安全策略51.參考答案： ①竊聽 ②重傳 ③偽造 ④篡改 ⑤非授權(quán)訪問 ⑥拒絕服務攻擊 ⑦行為否認 ⑧旁路控制 ⑨電磁/射頻截獲 ⑩人員疏忽52.參考答案：C53.參考答案：D54.參考答案：應用層；電路層55.參考答案：A56.參考答案： 單機用戶面臨的主要安全威脅：單機上用戶面臨的安全問題主要有：計算機硬件設備的安全、計算機病毒、網(wǎng)絡蠕蟲、惡意攻擊、木馬程序、網(wǎng)站惡意代碼、操作系統(tǒng)和應用軟件漏洞等。除此之外，電子郵件也會帶來一些安全問題，主要包括： ①電子郵件容易被截獲 ②電子郵件客戶端軟件設計存在缺陷 應對措施： 防病毒和木馬——防病毒軟件，養(yǎng)成定期升級病毒庫的習慣； 防網(wǎng)絡攻擊——網(wǎng)絡攻擊有端口掃描、拒絕服務（DoS）、竊取文件和安裝后門。安裝個人防火墻。 防網(wǎng)站惡意代碼——網(wǎng)站惡意代碼有兩種形式：直接嵌入到網(wǎng)頁源代碼中或嵌入到特意構(gòu)造的EMAIL中。常用VS和JS編寫，利用IE缺陷執(zhí)行，破壞主機或下載惡意程序，修改主頁或修改標題欄，鎖定注冊表。使用超級兔子或360安全衛(wèi)士。 電郵件安全——電子郵件被截取，唯一方法加密數(shù)據(jù)。57.參考答案：B,D58.參考答案：錯誤59.參考答案：惡意的目的60.參考答案：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。61.參考答案：A62.參考答案：手工設置；自動專用IP地址尋址63.參考答案：C64.參考答案： ①意定的接收者能夠檢驗和證實消息的合法性、真實性和完整性； ②消息的發(fā)送者對所發(fā)的消息不能抵賴，有時也要求消息的接收者不能否認收到的消息； ③除了合法的消息發(fā)送者外，其他人不能偽造發(fā)送消息。65.參考答案：資源子網(wǎng)把網(wǎng)絡中實現(xiàn)資源共享的設備和軟件的集合稱為資源子網(wǎng)。資源子網(wǎng)主要負責全網(wǎng)的信息處理，為網(wǎng)絡用戶提供網(wǎng)絡服務和資源共享功能等。66.參考答案：網(wǎng)絡安全解決方案的內(nèi)涵是綜合運用各種計算機網(wǎng)絡信息系統(tǒng)安全技術，將安全操作系統(tǒng)技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術、認證和數(shù)字簽名技術、VPN技術等綜合起來，形成一個完整的、協(xié)調(diào)一致的網(wǎng)絡安全防護體系。67.參考答案：是位于被保護網(wǎng)絡和外部網(wǎng)絡之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡的不可預測的、潛在破壞性的侵擾。68.參考答案：D69.參考答案： ①物理安全措施 ②數(shù)據(jù)傳輸安全技術 ③內(nèi)外網(wǎng)隔離技術 ④入侵檢測技術 ⑤訪問控制技術 ⑥審計技術 ⑦安全性檢測技術 ⑧防病毒技術 ⑨備份技術 ⑩終端安全技術70.參考答案：安全隱患71.參考答案：A72.參考答案：通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用誤用檢測或異常檢測的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡行為，為防范入侵行為提供有效的手段。73.參考答案：技術74.參考答案：雙鑰密碼體制75.參考答案： 操作系統(tǒng)探測技術主要包括： 獲取標識信息探測技術——（telnetIP得到主機操作系統(tǒng)的類型）、 基于TCP/IP協(xié)議棧的操作系統(tǒng)指紋探測技術——（操作系統(tǒng)指紋——通過網(wǎng)絡連接獲取唯一標識某一操作系統(tǒng)的類型及版本號的一組特征信息。一個應用工具NMAP） ICMP響應分析探測技術?！òl(fā)送UDP或ICMP請求報文，分析ICMP應答信息，判斷操作系統(tǒng)類型及版本。本制也是基于TCP/IP，X-Probe是一款應用工具。）76.參考答案： 分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對于傳統(tǒng)的單機IDS具有一些明顯的優(yōu)勢： ①檢測大范圍的攻擊行為 ②提高檢測的準確度 ③提高檢測效率 ④協(xié)調(diào)響應措施77.參考答案： PPDR模型包含四個主要部分：Policy（安全策略）、Protection（防護）、Detection（檢測）和Response（響應）。防護、檢測和響應組成了一個完整的、動態(tài)的安全循環(huán)。 PPDR模型通過一些典型的數(shù)學公式來表達安全的要求： ①Pt>Dt+Rt ②Et=Dt+Rt，如果Pt＝0 Pt：防護時間，入侵者攻擊安全目標花費時間； Dt：入侵開始到系統(tǒng)檢測到入侵行為花費時間； Rt：發(fā)現(xiàn)入侵到響應，并調(diào)整系統(tǒng)到正常狀態(tài)時間； Et：系統(tǒng)晨露時間； 及時的檢測和響應就是安全；及時的檢測和恢復就是安全； 提高系統(tǒng)的防護時間Pt，降低檢測時間Dt和響應時間Rt。78.參考答案：漏洞是在硬件、軟件和協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞的產(chǎn)生有其必然性，這是因為軟件的正確性通常是通過檢測來保障的。像操作系統(tǒng)這樣的大型軟件不可避免的存在著設計上的缺陷，這些缺陷反映在安全功能上便造成了系統(tǒng)的安全脆弱性。79.參考答案：公鑰密碼80.參考答案：消息認證可以幫助接收方驗證消息發(fā)送者的身份及消息是否被篡改。當收發(fā)者之間沒有利害沖突時，這種方式對防止第三者破壞是有效的，但當存在利害沖突時，單純采用消息認證技術就無法解決糾紛，這時就需要借助于數(shù)字簽名技術來輔助進行更有效的消息認證。81.參考答案： ①基于數(shù)據(jù)源的分類：按數(shù)據(jù)源所處的位置，把入侵檢測系統(tǒng)分為五類：即基于主機、基于網(wǎng)絡、混合入侵檢測、基于網(wǎng)關的入侵檢測系統(tǒng)及文件完整性檢查系統(tǒng)； ②基于檢測理論分類，可分為異常檢測和誤用檢測； ③基于檢測時效的分類，可分為離線檢測方式（采取批處理方式）和在線檢測方式（實時檢測）。82.參考答案：D83.參考答案：機構(gòu)與人員安全管理；系統(tǒng)運行與環(huán)境安全管理；硬設施安全管理；軟設施安全管理；網(wǎng)絡安全管理；數(shù)據(jù)安全管理；技術文檔安全管理；應用系統(tǒng)運營安全管理；操作安全管理；應用系統(tǒng)開發(fā)安全管理。84.參考答案： ①IETF/IDWG。IDWG提出了三項建議草案：入侵檢測消息交換格式（IDMEF）、入侵檢測交換協(xié)議（IDXP）及隧道輪廓（TunnelProfile）； ②CIDF。CIDF的工作集中體現(xiàn)在四個方面：IDS的體系結(jié)構(gòu)、通信機制、描述語言和應用編程接口API。85.參考答案： （1）條件概率預測法 （2）產(chǎn)生式/專家系統(tǒng) （3）狀態(tài)轉(zhuǎn)換方法 （4）用于批模式分析的信息檢索技術 （5）KeystrokeMonitor和基于模型的方法86.參考答案：消息認證87.參考答案：A,B,C88.參考答案： 1）安全需求分析。 ①網(wǎng)絡層需求分析——保護網(wǎng)絡不受攻擊，確保網(wǎng)絡服務可用性，邊界安全：企業(yè)網(wǎng)絡和互聯(lián)網(wǎng)互聯(lián)且隔離、信息交互可信任、內(nèi)部網(wǎng)不被外網(wǎng)訪問、公共資源合法用戶安全訪問、網(wǎng)安事件審計、網(wǎng)安狀態(tài)量化評估、網(wǎng)安狀態(tài)實時監(jiān)控。防范外網(wǎng)非法利用HTTP應用、FTP應用、SMTP應用。防范外網(wǎng)入侵和攻擊時，做到實時鑒別、預警、阻斷與記錄。 ②應用層需求分析——信息共享和資源共享。針對用戶和網(wǎng)絡應用資源：合法指定訪問、合法不能訪問不允許信息、非法不能訪問、訪問有記錄。解決安全問題包括：非法進入、身份假冒、非授權(quán)訪問、數(shù)據(jù)竊取、數(shù)據(jù)篡改、數(shù)據(jù)重放攻擊、抵賴。應用系統(tǒng)設計自身安全機制保障安全，可以和系統(tǒng)緊密結(jié)合，但有明顯缺點：開發(fā)量大、安全強度參差不齊、安全沒保障、維護復雜、用戶使用不方便。采用具有以下功能的應用層安全設備：統(tǒng)一入口控制安全身份認證和訪問授權(quán)、安全機制系統(tǒng)健壯、無縫集成三方應用系統(tǒng)、集中第三方系統(tǒng)管理減輕工作、可伸縮安全可靠。安全體系包括：訪問控制、檢查安全漏洞、攻擊監(jiān)控、加密通道、認證、備份和恢復、多層防御、隱藏內(nèi)部信息、設立安全監(jiān)控中心。 ③安全管理需求分析——三個方面：內(nèi)部安全管理、網(wǎng)絡安全管理、應用安全管理。 2）網(wǎng)絡安全解決方案 網(wǎng)絡安全解決方案——多接口防火墻劃分外部網(wǎng)絡、內(nèi)部網(wǎng)絡和DMZ區(qū)域，工作主機置于內(nèi)部網(wǎng)絡，WEB服務器、數(shù)據(jù)庫服務器放在DMZ區(qū)域，服務器訪問經(jīng)過防火墻模塊檢查，中心交換機配制IDS系統(tǒng)，服務器安裝入侵檢測系統(tǒng)，訪問監(jiān)控，操作記錄和審計。電子商務網(wǎng)站服務器獨立配置，身份認證和加密傳輸。配制基于主機的入侵檢測系統(tǒng)?？偛堪惭b統(tǒng)一身份認證服務器，認證管理。 防火墻配置——安裝在出口網(wǎng)關位置。安全策略：服務器允許IP維護、防IP欺騙、外部到達DMZ區(qū)指定端口、內(nèi)部過防火墻發(fā)達，隔離內(nèi)部、指定應用包過防火墻、URL過濾、HTTP應用檢測、FTP應用檢測、SMTP應用附件檢測、流量帶寬控制，專用流量保證、其它包不能過防火墻。 設備說明 ——防火墻設備：應用程序支持、分布式客戶機/服務器結(jié)構(gòu)、網(wǎng)絡訪問安全保障 ——防病毒設備：趨勢科技 ——入侵檢測設備：NFR入侵監(jiān)測設備基于網(wǎng)絡的入侵檢測設備NFRNID和基于主機的入侵檢測設備NFRHID ——SAP身份認證設備：SecureComputing的SafeWord89.參考答案：集線器采用“廣播模式”工作，很容易產(chǎn)生“廣播