【计算机类职业资格】信息系统项目管理师-计算机网络与信息安全及答案解析.doc

1、信息系统项目管理师-计算机网络与信息安全及答案解析(总分：61.00，做题时间：90 分钟)一、单项选择题(总题数：53，分数：61.00)1.按照国际标准化组织制定的开放系统互连参考模型，实现端与用户之间可靠通信的协议层是_。（分数：1.00）A.应用层B.会话层C.传输层D.网络层2.在距离矢量路由协议中，防止路由循环的技术是_。（分数：1.00）A.使用生成树协议删除回路B.使用链路状态公告(C.利用水平分裂法阻止转发路由信息D.利用最短通路优先算法计算最短通路3.比较先进的电子政务网站提供基于_的用户认证机制用于保障网上办公的信息安全和不可抵赖性。（分数：1.00）A.数字证书B.用户

2、名和密码C.电子邮件地址D.SSL4.下列选项中，_是最安全的信息系统。（分数：1.00）A.ERP-CRMB.MRPIIC.MIS-SD.S-MIS5.某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Internet上的机器随意访问公司局域网。虚拟专用网使用_协议可以解决这一需求。（分数：1.00）A.PPTPB.RC-5C.UDPD.Telnet6.在 ISOOSI/RM中，_实现数据压缩功能。（分数：1.00）A.应用层B.表示层C.会话层D.网络层关于 Kerberos和 PKI两种认证协议的叙述中正确的是

3、(33) ，在使用 Kerberos认证时，首先向密钥分发中心发送初始票据 (34) 来请求会话票据，以便获取服务器提供的服务。（分数：2.00）A.Kerberos和 PKI都是对称密钥B.Kerberos和 PKI都是非对称密钥C.Kerberos是对称密钥，而 PKI是非对称密钥D.Kerberos是非对称密钥，而 PKI是对称密钥A.RSAB.TGTC.DESD.LSA7.在_中，代表的技术通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别；代表的技术把所有传输的数据进行加密，可以代替 Telnet，可以为 FTP提供一个安全的“通道”；代表的协议让持有证书的

4、 Internet浏览器软件和 WWW服务器之间构造安全通道传输数据，该协议运行在 TCP/IP层之上，应用层之下。（分数：1.00）A.SSHVPNSSLB.VPNSSHSSLC.VPNSSLSSHD.SSLVPNSSH8.在层次化网络设计方案中，通常在_实现网络的访问策略控制。（分数：1.00）A.应用层B.接入层C.汇聚层D.核心层9.RSA是一种公开密钥算法，所谓公开密钥，是指_。（分数：1.00）A.加密密钥是公开的B.解密密钥是公开的C.加密密钥和解密密钥都是公开的D.加密密钥和解密密钥都是相同的某公司为便于员工在家里访问公司的一些数据，允许员工通过 Internet访问公司的 F

5、TP服务器，如图 3-5所示。为了能够方便地实现这一目标，决定在客户机与 FTP服务器之间采用 (29) 协议，在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在 (30) 。（分数：2.00）A.SSLB.IPSecC.PPTPD.TCPA.接通阶段B.密码交换阶段C.会谈密码阶段D.客户认证阶段10.关于 FTP和 TFTP的描述，正确的是_。（分数：1.00）A.FTP和 TFTP都是基于 TCP协议B.FTP和 TFTP都是基于 UDP协议C.FTP基于 TCP协议、TFTP 基于 UDP协议D.FTP基于 uDP协议、TFTP 基

6、于 TCP协议11.划分虚拟局域网(VLAN)有多种方式，以下划分方式中，不正确的是_。（分数：1.00）A.基于交换机端口划分B.基于网卡地址划分C.基于用户名划分D.基于网络层地址划分在下列网络服务中， (8) 是远程登录服务，Internet 中域名与 IP地址之间的翻译是由 (9) 来完成的。（分数：2.00）A.WWWB.FTPC.BBSD.TelnetA.域名服务器B.代理服务器C.FTP服务器D.Web服务器12.关于网络安全服务的叙述中，_是错误的。（分数：1.00）A.应提供访问控制服务以防止用户否认已接收的信息B.应提供认证服务以保证用户身份的真实性C.应提供数据完整性服务

7、以防止信息在传输过程中被删除D.应提供保密性服务以防止传输的数据被截获或篡改13.要成功实施信息系统安全管理并进行维护，应首先对系统的_进行评估鉴定。（分数：1.00）A.风险B.资产C.威胁D.脆弱性14.信息安全策略的设计与实施步骤是_。（分数：1.00）A.定义活动目录角色、确定组策略管理安全性、身份验证、访问控制和管理委派B.确定标准性、规范性、可控性、整体性、最小影响、保密性原则，确定公钥基本结构C.确定安全需求、制定可实现的安全目标、制订安全规划、制订系统的日常维护计划D.确定安全需求、确定安全需求的范围、制订安全规划、制订系统的日常维护计划15.在_中，用于防止信息抵赖；用于防止

8、信息被窃取；用于防止信息被篡改；用于防止信息被假冒。（分数：1.00）A.加密技术 数字签名 完整性技术 认证技术B.完整性技术 认证技术 加密技术 数字签名C.数字签名 完整性技术 认证技术 加密技术D.数字签名 加密技术 完整性技术 认证技术16.关于网络设备叙述正确的是_。（分数：1.00）A.用中继器可以将采用不同网络协议的局域网互联B.用网桥可以将采用不同网络协议的局域网互联C.用网关可以将采用不同网络协议的局域网互联D.用路由器可以将采用不同网络协议的局域网互联17.如图 3-6所示，某公司局域网防火墙由包过滤路由器 R和应用网关 F组成，下面描述错误的是_。（分数：1.00）A.

9、可以限制计算机 C只能访问 Internet上在 TCP端口 80上开放的服务B.可以限制计算机 A仅能访问以“202”为前缀的 IP地址C.可以使计算机 B无法使用 FTP协议从 Internet上下载数据D.计算机 A能够与计算机 X建立直接的 TCP连接18.以下关于入侵检测系统的描述中，说法错误的是_。（分数：1.00）A.入侵检测系统能够对网络活动进行监视B.入侵检测能简化管理员的工作，保证网络安全地运行C.入侵检测是一种主动保护网络免受攻击的安全技术D.入侵检测是一种被动保护网络免受攻击的安全技术19.内部网关协议是指在一个_内部路由器使用的路由协议。（分数：1.00）A.内联网B

10、.独立系统C.光纤网D.自治系统20.在进行金融业务系统的网络设计时，应该优先考虑_原则。（分数：1.00）A.先进性B.开放性C.经济性D.高可用性21.若某计算机系统是由 1000个元器件构成的串联系统，且每个元器件的失效率均为 10-7/h，在不考虑其他因素对可靠性的影响时，该计算机系统的平均故障间隔时间为_小时。（分数：1.00）A.1104B.5104C.1105D.510522.在计算机信息安全保护等级划分准则中，确定了五个安全保护等级，其中最高一级是_。（分数：1.00）A.用户自主保护级B.结构化保护级C.访问验证保护级D.系统审计保护级23.安全管理是信息系统安全能动性的组成

11、部分，它贯穿于信息系统规划、设计、运行和维护的各阶段。安全管理中的介质安全属于_。（分数：1.00）A.技术安全B.管理安全C.物理安全D.环境安全24._不属于网络接入技术。（分数：1.00）A.HFCB.xDSLC.NetBEUID.DDN25.根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防护。下面的措施中，无助于提高同一局域网内安全性的措施是_。（分数：1.00）A.使用防病毒软件B.使用日志审计系统C.使用入侵检测系统D.使用防火墙防止内部攻击26.以下联网设备中，工作于网络层的设备是_。（分数：1.00）A.调制解调器B.以太网交换机C.集线器D.

12、路由器27.根据电子计算机机房设计规范(GB501741993)，计算机网络机房应选择采用四种接地方式。_接地系统是将电源的输出零电位端与地网连接在一起，使其成为稳定的零电位。要求该接地的地线与大地直接相通，其接地电阻要求小于 1。（分数：1.00）A.交流工作B.线槽C.直流工作D.防雷28.关于 RSA算法的叙述，不正确的是_。（分数：1.00）A.RSA算法是一种对称加密算法B.RSA算法的运算速度比 DES慢C.RSA算法可用于某种数字签名方案D.RSA的安全性主要基于素因子分解的难度29.CA安全认证中心可以_。（分数：1.00）A.用于在电子商务交易中实现身份认证B.完成数据加密，

13、保护内部关键信息C.支持在线销售和在线谈判，实现订单认证D.提供用户接入线路，保证线路的安全性30.如图 3-7所示是发送者利用非对称加密算法向接收者传送消息的过程，图中 K1是_。（分数：1.00）A.接收者的公钥B.接收者的私钥C.发送者的公钥D.发送者的私钥31.局域网交换机有很多特点。下面关于局域网交换机的论述，不正确的是_。（分数：1.00）A.低传输延迟B.高传输带宽C.可以根据用户的级别设置访问权限D.允许不同速率的网卡共存于一个网络32.网络安全设计是保证网络安全运行的基础，以下关于网络安全设计原则的描述，错误的是_。（分数：1.00）A.网络安全系统应该以不影响系统正常运行为

14、前提B.把网络进行分层，不同的层次采用不同的安全策略C.网络安全系统设计应独立进行，不需要考虑网络结构D.网络安全的“木桶原则”强调对信息均衡、全面地进行保护33._不属于网络接入技术范畴。（分数：1.00）A.ADSLB.802.11C.UDDID.CableMODEM34.3DES在 DES的基础上，使用两个 56位的密钥 K1和 K2，发送方用 K1加密，K2 解密，再用 K1加密。接受方用 K1解密，K2 加密，再用 K1解密，这相当于使用_倍于 DES的密钥长度的加密效果。（分数：1.00）A.1B.2C.3D.635.建设城域网的目的是要满足几十千米范围内的大量企业、机关、公司的_

15、。（分数：1.00）A.多个计算机互联的需求B.多个局域网互联的需求C.多个广域网互联的需求D.多个 SDH网互联的需求为了保障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法 (35) ，所以特别适合对大量的数据进行加密。国际数据加密算法 IDEA的密钥长度是 (36) 位。（分数：2.00）A.比非对称密码算法更安全B.比非对称密码算法密钥长度更长C.比非对称密码算法效率更高D.还能同时用于身份认证A.56B.64C.128D.25636.“消息”是我们所关心的实际数据，经常也称为“明文”，用 M表示。经过加密的消息是“密文”，用 C表示。如果用 C=E(M)表示加密，M

16、=D(C)表示解密。那么从数学角度讲，加密只是一种从 M_的函数变换，解密正好是对加密的反函数变换。（分数：1.00）A.公钥到私钥B.变量域到 C函数域C.定义域到 C函数域D.定义域到 C值域37.为了对计算机信息系统的安全威胁有更全面、更深刻的认识，信息应用系统安全威胁的分类方法一般用_三种“综合分类”方法。（分数：1.00）A.高、中、低B.对象的价值、实施的手段、影响(结果)C.按风险性质、按风险结果、按风险源D.自然事件、人为事件、系统薄弱环节38.信息安全管理体系是指_。（分数：1.00）A.网络维护人员的组织体系B.信息系统的安全设施体系C.防火墙等设备、设施构建的安全体系D.

17、组织建立信息安全方针和目标，并实现这些目标的体系39._指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。（分数：1.00）A.安全授权B.安全管理C.安全服务D.安全审计40.11标准定义了三种物理层通信技术，这三种技术不包括_。（分数：1.00）A.直接序列扩频B.跳频扩频C.窄带微波D.漫反射红外线41.100Base-FX采用的传输介质是_。（分数：1.00）A.双绞线B.光纤C.无线电波D.同轴电缆42.基于角色的访问控制中，角色定义、角色成员的增减、角色分配都是由_实施的，用户只能被动接受授权规定，不能自主地决定，用户也不能自主地将

18、访问权限传给他人，这是一种非自主型访问控制。（分数：1.00）A.CSOB.安全管理员C.稽查员或审计员D.应用系统的管理员43.关于 TCP和 UDP的说法，_是错误的。（分数：1.00）A.TCP和 UDP都是传输层的协议B.TCP是面向连接的传输协议C.UDP是可靠的传输协议D.TCP和 UDP都是以 IP协议为基础的服务器的部署是网络规划的重要环节。某单位网络拓扑结构如图 3-4所示，需要部署 VOD服务器、Web 服务器、邮件服务器，此外还需要部署流量监控服务器对单位内部网络流量进行监控。（分数：5.00）A.B.C.D.A.B.C.D.A.B.C.D.A.VOD服务器B.Web服务

19、器C.流量监控服务器D.邮件服务器A.VOD服务器B.Web服务器C.流量监控服务器D.邮件服务器44.在信息安全保障系统的 S-MIS体系架构中，“安全措施和安全防范设备”层不涉及_。（分数：1.00）A.防黑客B.应用系统安全C.网闸D.漏洞扫描45.TCP/IP在多个层引入了安全机制，其中 TLS协议位于_。（分数：1.00）A.数据链路层B.网络层C.传输层D.应用层46.用路由器对一个网络分段，这样做的好处是_。（分数：1.00）A.网络中不再有广播通信，所有的数据都通过路由转发器转发B.路由器比交换机更有效率C.路由器可以对分组进行过滤D.路由器可以减少传输延迟47.iSCSI和

20、SAN适用的协议分别为_。（分数：1.00）A.TCP/IP、SMTPB.TCP/IP、FCC.UDP、SMTPD.UDP、FC48.TCP/IP是 Internet采用的协议标准，它是一个协议系列，由多个不同层次的协议共同组成。其中_是属于网络层的低层协议，主要用途是完成网络地址向物理地址的转换。（分数：1.00）A.RARPB.ARPC.IGMPD.ICMP信息系统项目管理师-计算机网络与信息安全答案解析(总分：61.00，做题时间：90 分钟)一、单项选择题(总题数：53，分数：61.00)1.按照国际标准化组织制定的开放系统互连参考模型，实现端与用户之间可靠通信的协议层是_。（分数：1

21、.00）A.应用层B.会话层C.传输层 D.网络层解析：OSI/RM 最初是用来作为开发网络通信协议族的一个工业参考标准，作为各个层上使用的协议国际标准化的第一步而发展来的。严格遵守 OSI参考模型，不同的网络技术之间可以轻而易举地实现互操作。整个 OSI/RM模型共分七层，从下往上分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。当接收数据时，数据是自下而上传输；当发送数据时，数据是自上而下传输。在网络数据通信的过程中，每一层要完成特定的任务。当传输数据的时候，每一层接收上一层格式化后的数据，对数据进行操作，然后把它传给下一层。当接收数据的时候，每一层接收下一层传过来的数据

22、，对数据进行解包，然后把它传给上一层。从而实现对等层之间的逻辑通信。OSI 参考模型并未确切描述用于各层的协议和服务，它仅仅告诉我们每一层该做些什么。2.在距离矢量路由协议中，防止路由循环的技术是_。（分数：1.00）A.使用生成树协议删除回路B.使用链路状态公告(C.利用水平分裂法阻止转发路由信息 D.利用最短通路优先算法计算最短通路解析：典型的距离矢量路由协议有 RIP。而 RIP使用三种方法来避免计值到无穷循环问题，分别是水平分裂法、带抑制逆转位的分割水平线和触发更新。水平分裂法是指在距离矢量路由协议中，从一个端口进来的路由信息不再向该端口通告出去，目的是为了防止出现路由循环。生成树协议

23、用于防止链路循环，而非用来防止路由循环。链路状态公告用来交换各自的链路状态信息，一般用于 OSPF中。最短通路优先算法用于计算拓扑，而非防止路由循环。3.比较先进的电子政务网站提供基于_的用户认证机制用于保障网上办公的信息安全和不可抵赖性。（分数：1.00）A.数字证书 B.用户名和密码C.电子邮件地址D.SSL解析：比较先进的电子政务网站提供基于数字证书的用户认证机制用于保障网上办公的信息安全和不可抵赖性。数字证书可以对用户进行认证、保证数据的机密性、完整性和抗抵赖性。4.下列选项中，_是最安全的信息系统。（分数：1.00）A.ERP-CRMB.MRPIIC.MIS-SD.S-MIS 解析：

24、在试题所给出的选项中，只有 D属于安全保障信息系统中的一种，其他三个选项都是干扰项。5.某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Internet上的机器随意访问公司局域网。虚拟专用网使用_协议可以解决这一需求。（分数：1.00）A.PPTP B.RC-5C.UDPD.Telnet解析：VPN 是在公共 Internet之上为政府、企业构筑安全可靠、方便快捷的私有网络，并可节省资金。VPN技术是广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性，同时会加快网络的

25、建设步伐，使得政府、企业不仅仅只是建设内部局域网，而且能够很快地把各分支机构的局域网联起来，从而真正发挥整个网络的作用。VPN具体实现是采用隧道技术，将内部网的数据封装在隧道中，通过 Internet进行传输。因此，VPN 技术的复杂性首先建立在隧道协议复杂性的基础之上。现有的隧道协议中最典型的有GRE、IPSec、L2TP、PFTP、L2F 等。其中，GRE、IPSec：属于第三层隧道协议，L2TP、PFTP、L2F 属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的 IP数据包是被封装在何种数据包中在隧道中传输的。在众多 VPN相关协议中，最引人注目的是 L2TP与 IPSec

26、。其中，IPSec 已完成了标准化的工作。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地进行通信。它采用复杂的算法来加密传输信息，使得敏感的数据不会被窃取。VPN网络的特性使一些专用的私有网络的建设者可以完全不依赖 ISP而通过公网来实现 VPN。正是因为VPN技术根据需要为特定安全需求的用户提供保障，所以，VPN 技术应该有相当广阔的前景。考生对试题中的 UDP和 Telnet应该都比较熟悉，下面我们简单介绍一下 RC-5和 PPTP。RC-5是一种对称密码算法，使用可变参数的分组迭代密码体制，其中可变的参数为分组长(为 2倍字长 w位)、密钥长(按字节数计 b)和迭代轮数

27、 r(以 RC-5-w/r/b)。它面向字结构，便于软件和硬件的快速实现，适用于不同字长的微处理器。通过字长、密钥长和迭代轮数三个参数的配合，可以在安全性和速度上进行灵活的折中选择。RC-5 加密效率高，适合于加密大量的数据。RC-5由 R.Rivest设计，是 RSA实验室的一个产品。RC-5 还引入了一种新的密码基本变换数据相依旋转(Data-DependentRotations)方法，即一个中间的字是另一个中间的低位所决定的循环移位结果，以提高密码强度，这也是 RC-5的新颖之处。PPTP是由多家公司专门为支持 VPN而开发的一种技术。PPTP 是一种通过现有的 TCP/IP连接(称为隧

28、道)来传送网络数据包的方法。VPN 要求客户端和服务器之间存在有效的互联网连接。一般服务器需要与互联网建立永久性连接，而客户端则通过 ISP连接互联网，并且通过拨号网(Dial-UpNetworking，DUN)入口与PPTP服务器建立服从 PPTP协议的连接。这种连接需要访问身份证明(如用户名、口令和域名等)和遵从的验证协议。RRAS 为在服务器之间建立基于 PPTP的连接及永久性连接提供了可能。只有当 PPTP服务器验证客户身份之后，服务器和客户端的连接才算建立起来了。PPTP 会话的作用就如同服务器和客户端之间的一条隧道，网络数据包由一端流向另一边。数据包在起点处(服务器或客户端)被加密

29、为密文，在隧道内传送，在终点将数据解密还原。因为网络通信是在隧道内进行，所以数据对外而言是不可见的。隧道中的加密形式更增加了通信的安全级别。一旦建立了 VPN连接，远程的用户可以浏览公司局域网 LAN，连接共享资源，收发电子邮件，就像本地用户一样。6.在 ISOOSI/RM中，_实现数据压缩功能。（分数：1.00）A.应用层B.表示层 C.会话层D.网络层解析：由于数据压缩属于数据表示的范畴，所以应归入表示层。关于 Kerberos和 PKI两种认证协议的叙述中正确的是 (33) ，在使用 Kerberos认证时，首先向密钥分发中心发送初始票据 (34) 来请求会话票据，以便获取服务器提供的服

30、务。（分数：2.00）A.Kerberos和 PKI都是对称密钥B.Kerberos和 PKI都是非对称密钥C.Kerberos是对称密钥，而 PKI是非对称密钥 D.Kerberos是非对称密钥，而 PKI是对称密钥解析：A.RSAB.TGT C.DESD.LSA解析：Kerberos 是由 MIT发明的，为分布式计算环境提供一种对用户双方进行验证的认证方法。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户；如果是合法的用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其验证是建立在对称加密的基础上的。它采用可信任的第三方，密钥分配中心(KD

31、C)保存与所有密钥持有者通信的保密密钥，其认证过程颇为复杂，下面简化叙述之。首先，客户(C)向 KDC发送初始票据 TGT，申请访问服务器(S)的许可证。KDC 确认是合法客户后，临时生成一个 C与 S通信时用的保密密钥 Kcs，并用 C的密钥 Kc加密 Kcs后传给 C，并附上用 S的密钥 Ks加密的“访问 S的许可证 Ts，内含 Kcs”。当 C收到上述两封信件后，用他的 Kc解密获得 Kcs，而把 Ts原封不动地传给 S，并附上用 Kcs加密的客户身份和时间。当 S收到这两封信件后，先用他的 Ks解密 Ts获得其中的 Kcs，然后用这 Kcs解密获得客户身份和时间，告之客户成功。之后，C

32、 和 S用 Kcs加密通信信息。Kerberos系统在分布式计算环境中得到了广泛的应用，是因为它具有以下特点。(1)安全性高：Kerberos 系统对用户的口令进行加密后作为用户的私钥，从而避免了用户的口令在网络上显示传输，使得窃听者难以在网络上取得相应的口令信息。(2)透明性高：用户在使用过程中，仅在登录时要求输入口令，与平常的操作完全一样，Kerberos 的存在对于合法用户来说是透明的。(3)可扩展性好：Kerberos 为每一个服务提供认证，确保应用的安全。Kerberos系统和看电影的过程有些相似，不同的是，只有事先在 Kerberos系统中登录的客户才可以申请服务，并且：Kerbe

33、ros 要求申请到入场券的客户就是到 TGS(入场券分配服务器)去要求得到最终服务的客户。Kerberos有其优点，同时也有其缺点，主要是：(1)Kerberos服务器与用户共享的秘密是用户的口令字，服务器在回应时不验证用户的真实性，假设只有合法用户拥有口令字，如攻击者记录申请回答报文，就易形成代码本攻击。(2)AS和 TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于 AS和 TGS的性能和安全。在 AS和 TGS前应该有访问控制，以增强 AS和 TGS的安全。(3)随用户数增加，密钥管理会更复杂。Kerberos 拥有每个用户的口令字的散列值，AS 与 TGS负责用户间通信密钥

34、的分配。当 N个用户想同时通信时，仍需要 N(*1)/2个密钥。7.在_中，代表的技术通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别；代表的技术把所有传输的数据进行加密，可以代替 Telnet，可以为 FTP提供一个安全的“通道”；代表的协议让持有证书的 Internet浏览器软件和 WWW服务器之间构造安全通道传输数据，该协议运行在 TCP/IP层之上，应用层之下。（分数：1.00）A.SSHVPNSSLB.VPNSSHSSL C.VPNSSLSSHD.SSLVPNSSH解析：通过使用 SSH(Secure Shell，安全外壳)，可以把所有传输的数据进行加密，

35、这样“中间人”这种攻击方式就不可能实现了，而且也能够防止 DNS欺骗和 IP欺骗。使用 ssH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH 有很多功能，它既可以代替 Telnet，又可以为FTP、POP，甚至为 PPP提供一个安全的通道。8.在层次化网络设计方案中，通常在_实现网络的访问策略控制。（分数：1.00）A.应用层B.接入层C.汇聚层 D.核心层解析：层次式网络设计在互联网组件的通信中引入了三个关键层的概念，分别是核心层、汇聚层和接入层。核心层为网络提供了骨干组件或高速交换组件，在纯粹的分层设计中，核心层只完成数据交换的特殊任务。汇聚层是核心层和终端

36、用户接入层的分界面，汇聚层完成了网络访问策略控制、数据包处理、过滤、寻址，以及其他数据处理的任务。接入层向本地网段提供用户接入。9.RSA是一种公开密钥算法，所谓公开密钥，是指_。（分数：1.00）A.加密密钥是公开的 B.解密密钥是公开的C.加密密钥和解密密钥都是公开的D.加密密钥和解密密钥都是相同的解析：RSA 算法是非对称密钥算法，非对称密钥算法中公钥是公开的，任何人都可以使用，而私钥是绝对不能公开的。发送方用公钥加密的信息，接收方可以使用私钥来解密。某公司为便于员工在家里访问公司的一些数据，允许员工通过 Internet访问公司的 FTP服务器，如图 3-5所示。为了能够方便地实现这一

37、目标，决定在客户机与 FTP服务器之间采用 (29) 协议，在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在 (30) 。（分数：2.00）A.SSL B.IPSecC.PPTPD.TCP解析：A.接通阶段B.密码交换阶段 C.会谈密码阶段D.客户认证阶段解析：这里指明了“在传输层对数据进行加密”，因此，应该选择 SSL协议。SSL(SecuritySocketLayer)协议是 NetscapeCommunication开发的传输层安全协议，用于在。Internet上传送机密文件。SSL 协议由 SSL记录协议、SSL 握手协议和 SS

38、L警报协议组成。SSL握手协议被用来在客户机与服务器真正传输应用层数据之前建立安全机制，当客户机与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和。Hash 算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户机和服务器各自根据该秘密信息产生数据加密算法和 Hash算法参数。SSL记录协议根据 SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码，然后经网络传输层发送给对方。SSL警报协议用来在客户机和服务器之间传递 SSL出错信息。SSL协议主要提供三方面的服务。(1)用户和服务器的合法性认证。

39、认证用户和服务器的合法性，使它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，SSL 协议要求在握手交换数据时进行数字认证，以此来确保用户的合法性。(2)加密数据以隐藏被传送的数据。SSL 协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换 SSL初始握手信息，在 SSL握手信息中采用了各种加密技术对其进行加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，这样就可以防止非法用户进行破译。(3)保护数据的完整性。SSL 协议采用 Hash函数和机密共享的方法来

40、提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过 SSL协议处理的业务在传输过程中能全部准确无误地到达目的地。SSL协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段。(1)接通阶段：客户机通过网络向服务器打招呼，服务器回应。(2)密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用 RSA密码算法，也有的选用Diffie-Hellmanf和 Fortezza-KEA密码算法。(3)会谈密码阶段：客户机与服务器间产生彼此交谈的会谈密码。(4)检验阶段：客户机检验服务器取得的密码。(5)客户认证阶段：服务器验证客户机的可信度。

41、(6)结束阶段：客户机与服务器之间相互交换结束的信息。当上述动作完成之后，两者间的资料传送就会加密，另外一方收到资料后，再将编码资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。发送时信息用对称密钥加密，对称密钥用不对称算法加密，再把两个包绑在一起传送过去。接收的过程与发送正好相反，先打开有对称密钥的加密包，再用对称密钥解密。因此，SSL 协议也可用于安全电子邮件。在电子商务交易过程中，由于有银行参与，按照 SSL协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商

42、品寄送客户。10.关于 FTP和 TFTP的描述，正确的是_。（分数：1.00）A.FTP和 TFTP都是基于 TCP协议B.FTP和 TFTP都是基于 UDP协议C.FTP基于 TCP协议、TFTP 基于 UDP协议 D.FTP基于 uDP协议、TFTP 基于 TCP协议解析：FTP 是网络上两台计算机传送文件的协议，是通过 Internet把文件从客户机复制到服务器上的一种途径。TFTP是用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。TFTP协议设计的时候是进行小文件传输的。因此，它不具备通常的 FTP的许多功能，它只能从文件服务器上获得或写入文件，不

43、能列出目录，不进行认证，它传输 8位数据。11.划分虚拟局域网(VLAN)有多种方式，以下划分方式中，不正确的是_。（分数：1.00）A.基于交换机端口划分B.基于网卡地址划分C.基于用户名划分 D.基于网络层地址划分解析：VLAN 是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了 VLAN头，用 VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。VLAN在交换机上的实现方法大致可以划分为四类。(1)基于端口划分的 VLAN。这种划分 VLAN的

44、方法是根据以太网交换机的端口来划分的，比如，Quidway$3526的 14 端口为 VLAN10，517 为 VLAN20，1824 为 VLAN30，当然，这些属于同一 VLAN的端口可以不连续，如何配置由管理员决定，如果有多个交换机，例如，可以指定交换机 1的 16 端口和交换机 2的 14 端口为同一 VLAN，即同一 VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE802.10 规定了依据以太网交换机的端口来划分 VLAN的国际标准。这种划分方法的优点是定义 VLAN成员时非常简单，只要将所有的端口都定义一下就可以了。它的缺点是如果 VLAN的

45、用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。(2)基于 MAC地址划分 VLAN。这种划分 VLAN的方法是根据每个主机的 MAC地址来划分的，即对每个 MAC地址的主机都配置它属于哪个组。由于这种划分 VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN 不用重新配置，所以，可以认为这种根据 MAC地址的划分方法是基于用户的 VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个 V

46、LAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN 就必须不停地配置。(3)基于网络层划分 VLAN。这种划分 VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如 IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的 IP地址，但由于不是路由，所以，没有 RIP、OSPF7 等路由协议，而是根据生成树算法进行桥交换。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的 VLAN，而且可以根据协议类型来划分 VLAN，这对网络管理者来说很重要，另外

47、，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查 IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。(4)根据 IP组播划分 VLAN。IP 组播实际上也是一种 VLAN的定义，即认为一个组播组就是一个 VLAN，这种划分的方法将 VLAN扩大到了广域网，因此，这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。另外，VLAN 还可

48、以基于策略划分、按用户定义划分。在下列网络服务中， (8) 是远程登录服务，Internet 中域名与 IP地址之间的翻译是由 (9) 来完成的。（分数：2.00）A.WWWB.FTPC.BBSD.Telnet 解析：A.域名服务器 B.代理服务器C.FTP服务器D.Web服务器解析：WWW 服务提供了浏览网络新闻、下载软件、网上购物、聊天、在线学习等服务，FTP 是文件传输服务，BBS 是电子公告板(论坛)的缩写。Telnet是进行远程登录的标准协议和主要方式，它为用户提供了在本地计算机上完成远程主机工作的能力，通过它可以访问所有的数据库、联机游戏、对话服务，以及电子公告牌，如同与被访问的计算机在同一房间中工作一样，但只能进行一些字符类操作和会话。在远程计算机上登录必须事先成为该计算机系统的合法用户，并拥有相应的账号和口令。登录时要给出远程计算机的域名或 IP地址，并按照系统提示，输入用户名及口令。登录成功后，用户便可以实时使用该系统对外开放的功能和资源。在 UNIX系统中，要建立一个到远程主机的对话，只须在系统提示符下输入命令：Telnel 远程主机名，用户就会看到远程主机的欢迎信息或登录标志。在