【计算机类职业资格】系统分析师-2及答案解析.doc

1、系统分析师-2 及答案解析(总分：100.00，做题时间：90 分钟)一、单项选择题(总题数：41，分数：100.00)1.用于在网络应用层和传输层之间提供加密方案的协议是_。（分数：3.00）A.PGPB.SSLC.IPSecD.DES2._不属于 PKICA 认证中心的功能。（分数：3.00）A.接收并验证最终用户数字证书的申请B.向申请者颁发或拒绝颁发数字证书C.产生和发布证书废止列表(CRL)，验证证书状态D.业务受理点 LRA 的全面管理3.网络安全设计是保证网络安全运行的基础，网络安全设计有其基本的设计原则。以下关于网络安全设计原则的描述，错误的是_。（分数：3.00）A.网络安全

2、的“木桶原则”强调对信息均衡、全面地进行保护B.良好的等级划分，是实现网络安全的保障C.网络安全系统设计应独立进行，不需要考虑网络结构D.网络安全系统应该以不影响系统正常运行为前提4.正确地描述了 RADIUS 协议的是_。（分数：3.00）A.如果需要对用户的访问请求进行提问(Challenge)，则网络访问服务器(NAS)对用户密码进行加密，并发送给 RADIUS 认证服务器B.网络访问服务器(NAS)与 RADIUS 认证服务器之间通过 UDP 数据报交换请求/响应信息C.在这种 C/S 协议中，服务器端是网络访问服务器(NAS)，客户端是 RADIUS 认证服务器D.通过 RADIUS

3、 协议可以识别非法的用户，并记录闯入者的日期和时间5.关于网络安全，以下说法中正确的是_。（分数：3.00）A.使用无线传输可以防御网络监听B.木马是一种蠕虫病毒C.使用防火墙可以有效地防御病毒D.冲击波病毒利用 Windows 的 RPC 漏洞进行传播6.许多黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是_。（分数：3.00）A.安装防火墙B.安装用户认证系统C.安装相关的系统补丁D.安装防病毒软件7._无法有效防御 DDoS 攻击。（分数：2.00）A.根据 IP 地址对数据包进行过滤B.为系统访问提供更高级别的身份认证C.安装防病毒软件D.使用工具软件检测不正常的高流量

4、8.IPSec VPN 安全技术没有用到_。（分数：2.00）A.隧道技术B.加密技术C.入侵检测技术D.身份认证技术9.采用 Kerberos 系统进行认证时，可以在报文中加入_来防止重放攻击。（分数：2.00）A.会话密钥B.时间戳C.用户 IDD.私有密钥10.包过滤防火墙通过_来确定数据包是否能通过。（分数：2.00）A.路由表B.ARP 表C.NAT 表D.过滤规则目前在网络上流行的“熊猫烧香”病毒属于_类型的病毒，感染该病毒后的计算机不会出现_的情况。（分数：4.00）A.目录B.引导区C.蠕虫D.DOSA.执行文件图标变成熊猫烧香B.用户信息被泄露C.系统运行变慢D.破坏计算机主

5、板某 Web 网站向 CA 申请了数字证书。用户登录该网站时，通过验证_，来确认该数字证书的有效性，从而_。（分数：4.00）A.CA 的签名B.网站的签名C.会话密钥D.DES 密码A.向网站确认自己的身份B.获取访问网站的权限C.和网站进行双向认证D.验证该网站的真伪实现 VPN 的关键技术主要有隧道技术、加解密技术、_和身份认证技术。如果需要在传输层实现VPN，可选的协议是_。（分数：4.00）A.入侵检测技术B.病毒防治技术C.安全审计技术D.密钥管理技术A.L2TPB.PPTPC.TLSD.IPsec11.安全电子邮件协议 PGP 不支持_。（分数：2.00）A.压缩电子邮件B.确认

6、电子邮件未被修改C.防止非授权者阅读电子邮件D.确认发送者的身份12.某企业开发应用程序，要求调用传输层的安全协议保障应用通信的安全，下面可选的传输层安全协议是_。（分数：2.00）A.IPsecB.L2TPC.TLSD.PPTP13.常用对称加密算法不包括_。（分数：2.00）A.DESB.RC-5C.IDEAD.RSA14.数字签名的功能不包括_。（分数：2.00）A.防止发送方和接收方的抵赖行为B.发送方身份确认C.接收方身份确认D.保证数据的完整性15.TCP/IP 在多个层次中引入了安全机制，其中 SSL 协议位于_。（分数：2.00）A.数据链路层B.网络层C.传输层D.应用层16

7、.下列安全协议中，_能保证交易双方无法抵赖。（分数：2.00）A.SETB.SHTTPC.PGPD.MOSS17.下列技术中，不是传输层安全技术的是_。（分数：2.00）A.SSLB.SOCKSC.IPSECD.安全 RPC18.安全审计系统是保障计算机系统安全的重要手段之一，其作用不包括_。（分数：2.00）A.检测对系统的入侵B.发现计算机的滥用情况C.提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞D.保证可信网络内部信息不外泄19.网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外，在保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。下列隔离方式中，安全性最好的是_

8、。（分数：2.00）A.多重安全网关B.防火墙C.VLAN 隔离D.人工方式20.在 X.509 标准中，不包含在数字证书中的是_。（分数：2.00）A.序列号B.签名算法C.认证机构的签名D.私钥21.防火墙把网络划分为几个不同的区域，一般把对外提供网络服务的设备(如 WWW 服务器、FTP 服务器)放置于_区域。（分数：2.00）A.信任网络B.非信任网络C.半信任网络D.DMZ(非军事化区)22.用户 A 从 CA 处获取了用户 B 的数字证书，用户 A 通过_可以确认该数字证书的有效性。（分数：2.00）A.用户 B 的公钥B.用户 B 的私钥C.CA 的公钥D.用户 A 的私钥23.

9、入侵检测系统的构成不包括_。（分数：2.00）A.预警单元B.事件产生器C.事件分析器D.响应单元如果杀毒软件报告一系列的 Word 文档被病毒感染，则可以推断病毒类型是_；如果用磁盘检测工具(CHKDSK、SCANDISK 等)检测磁盘发现大量文件链接地址错误，表明磁盘可能被_病毒感染。（分数：4.00）A.文件型B.引导型C.目录型D.宏病毒A.文件型B.引导型C.目录型D.宏病毒24.下面病毒中，属于蠕虫病毒的是_。（分数：2.00）A.CIH 病毒B.特洛伊木马病毒C.罗密欧与朱丽叶病毒D.Melissa 病毒某数字签名系统如图所示。网上传送的报文是_，如果 A 否认发送，作为证据的是

10、_。 （分数：4.00）A.PB.DA(P)C.EB(DA(P)D.DAA.PB.DA(P)C.EB(DA(P)D.DA25.以下关于域本地组的叙述中，正确的是_。（分数：2.00）A.成员可来自森林中的任何域，仅可访问本地域内的资源B.成员可来自森林中的任何域，可访问任何域中的资源C.成员仅可来自本地域，仅可访问本地域内的资源D.成员仅可来自本地域，可访问任何域中的资源26.信息安全的威胁有多种，其中_是指通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。（分数：2.00）A.窃听B.信息泄露C.旁路控制D.业务

11、流分析27.下列选项中，同属于报文摘要算法的是_。（分数：2.00）A.DES 和 MD5B.MD5 和 SHA-1C.RSA 和 SHA-1D.DES 和 RSA28.下面关于钓鱼网站的说法中错误的是_。（分数：2.00）A.钓鱼网站仿冒真实网站的 URL 地址B.钓鱼网站通过向真实网站植入木马程序以达到网络攻击的目的C.钓鱼网站用于窃取访问者的机密信息D.钓鱼网站可以通过 E-mail 传播网址29.支持安全 Web 应用的协议是_。（分数：2.00）A.HTTPSB.HTTPDC.SOAPD.HTTP30.甲和乙要进行通信，甲对发送的消息附加了数字签名，乙收到该消息可用_验证该消息数字签

12、名的真伪。（分数：2.00）A.甲的公钥B.甲的私钥C.乙的公钥D.乙的私钥31.下列算法中，用于密钥交换的是_。（分数：2.00）A.DESB.SHA-1C.Difile-HellmanD.AES在 Web 服务技术体制中，_是实现服务组合的事实标准。服务组合过程中需要提供对 Web 服务多种高级特性的支持，通常采取制定规范，对 SOAP 消息进行扩展的方式实现。例如，规范_通过对 SOAP 消息的扩展，实现 Web 服务的安全性。（分数：4.00）A.WS-CDLB.WS-BPELC.WS-ChoreographyD.WS-OrchestrationA.WS-SafetyB.WS-Trus

13、tC.WS-SecurityD.WS-Authorization32.以下关于利用三重 DES 进行加密的说法，_是正确的。（分数：2.00）A.三重 DES 的密钥长度是 56 位B.三重 DES 使用三个不同的密钥进行三次加密C.三重 DES 的安全性高于 DESD.三重 DES 的加密速度比 DES 加密速度快33.利用报文摘要算法生成报文摘要的目的是_。（分数：2.00）A.验证通信对方的身份，防止假冒B.对传输数据进行加密，防止数据被窃听C.防止发送方否认发送过的数据D.防止发送的报文被篡改34.支持电子邮件加密服务的标准或技术是_。（分数：2.00）A.PGPB.PKIC.SETD

14、.Kerberos35.下图为 DARPA 提出的公共入侵检测框架示意图，该系统由 4 个模块组成。其中模块分别是_。 （分数：2.00）A.事件产生器、事件数据库、事件分析器、响应单元B.事件分析器、事件产生器、响应单元、事件数据库C.事件数据库、响应单元、事件产生器、事件分析器D.响应单元、事件分析器、事件数据库、事件产生器系统分析师-2 答案解析(总分：100.00，做题时间：90 分钟)一、单项选择题(总题数：41，分数：100.00)1.用于在网络应用层和传输层之间提供加密方案的协议是_。（分数：3.00）A.PGPB.SSL C.IPSecD.DES解析：本题考查基本安全协议的工作

15、层次。 PGP 的工作层次是应用层，SSL 工作层次是应用层到传输层之间，IPSec 工作层次是网络层，而 DES 是一种对称加密算法，不属于安全协议，所以本题选 B。2._不属于 PKICA 认证中心的功能。（分数：3.00）A.接收并验证最终用户数字证书的申请B.向申请者颁发或拒绝颁发数字证书C.产生和发布证书废止列表(CRL)，验证证书状态D.业务受理点 LRA 的全面管理 解析：认证中心(CA)是电子商务体系中的核心环节，是电子交易中信赖的基础。它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威、可

16、信赖、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。 CA 的主要功能有证书发放、证书更新、证书撤销和证书验证。CA 的核心功能就是发放和管理数字证书，具体描述如下： 接收验证最终用户数字证书的申请。 确定是否接受最终用户数字证书的申请。 向申请者颁发或拒绝颁发数字证书。 接收、处理最终用户的数字证书更新请求。 接收最终用户数字证书的查询、撤销。 产生和发布证书废止列表(CRL)，验证证书状态。 数字证书归档。 密钥归档。 历史数据归档。 通常 CA 中心会采用“统一建设，分级管理”的原则，分为多层结构进行建设和管理，即统一建立注册中心(RA)系统，各地级市及各行业

17、可以根据具体情况设置不同层次的下级 RA 中心或本地注册中心(LRA)。各级下级 RA 机构统一接受 CA 中心的管理和审计，证书用户可通过 LRA 业务受理点完成证书业务办理。RA系统负责本地管理员的证书申请审核，并为 LRA 系统在各分支机构的分布建设提供策略支撑，完成 CA 中心的证书注册服务的集中处理。3.网络安全设计是保证网络安全运行的基础，网络安全设计有其基本的设计原则。以下关于网络安全设计原则的描述，错误的是_。（分数：3.00）A.网络安全的“木桶原则”强调对信息均衡、全面地进行保护B.良好的等级划分，是实现网络安全的保障C.网络安全系统设计应独立进行，不需要考虑网络结构 D.

18、网络安全系统应该以不影响系统正常运行为前提解析：根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM(系统安全工程能力成熟模型)和 ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9 项原则。 (1)网络信息安全的木桶原则。网络信息安全的木桶原则是指对信息均衡、全面地进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身

19、的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的“安全最低点”的安全性能。 (2)网络信息安全的整体性原则。要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非

20、法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理，并尽量及时地恢复信息，减少攻击的破坏程度。 (3)安全性评价与平衡原则。对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能取决于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围、系统的性质和信息的重要程度。 (4)标准化与一致性原则。网络信息系统是一个庞大的

21、系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通，信息共享。 (5)技术与管理相结合原则。安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 (6)统筹规划，分步实施原则。由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本、必需的安全性。今后随着网络规模的扩大及应用的增加，网络应用和复杂程度

22、的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。 (7)等级性原则。等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级(安全子网和安全区域)，对系统实现结构的分级(应用层、网络层、链路层等)，从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 (8)动态发展原则。要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。 (9)易操作性原则。首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高

23、，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。4.正确地描述了 RADIUS 协议的是_。（分数：3.00）A.如果需要对用户的访问请求进行提问(Challenge)，则网络访问服务器(NAS)对用户密码进行加密，并发送给 RADIUS 认证服务器B.网络访问服务器(NAS)与 RADIUS 认证服务器之间通过 UDP 数据报交换请求/响应信息 C.在这种 C/S 协议中，服务器端是网络访问服务器(NAS)，客户端是 RADIUS 认证服务器D.通过 RADIUS 协议可以识别非法的用户，并记录闯入者的日期和时间解析：RADIUS 针对远程用户的协议，采用分布式的客户机/服务器

24、结构完成密码的集中管理和其他身份认证功能。网络用户通过 NAS 访问网络，NAS 同时作为 RADIUS 结构的客户端，AAA 功能通过 NAS 和安全服务器或 RADIUS 服务器之间的 RADIUS 协议过程完成，而用户的控制功能在 NAS 实现。这种结构具有开放、可伸缩性强等优点，很适合与其他第三方产品协同工作。 一个基本的 RADIUS 服务器的实施主要与两个配置文件相关，分别是客户机配置文件和用户文件。客户机配置文件包含客户机的地址和用于认证事务的共享密钥，用户文件包含用户的识别和认证信息，以及连接和授权参数。客户机和服务器之间传递的各种参数利用一个简单的具有 5 个字段的格式封装在

25、一个 UDP 包中。 RADIUS 有 8 种标准的事务类型，分别是访问请求、访间接受、访问拒绝、记账请求、记账响应、访问询问、状态服务器和状态客户机。RADIUS 认证的过程为：服务器将 NAS 访问请求包解密，然后认证 NAS 源，将用户文件中的访问请求参数变为有效，最后服务器将返回 3 种认证响应中的一种(访间接受、访问拒绝或访问询问)。其中，访问询问是一种对附加认证信息的要求。 在 RADIUS 协议中，授权不是一个独立的功能，而是认证响应的一部分。若 RADIUS 服务器批准了访问请求，则将用户文件中所有具体的连接属性返回给 NAS 客户机。此过程通常包括数据连接和网络的规范，还包括

26、特定的授权参数信息。在 RADIUS 中，记账是一个独立的功能，并不是所有的客户机都能够执行此功能。如果 NAS 客户机配置成具有记账功能，则在用户得到认证后，它将产生一个记账开始的包，而在用户断开连接时产生一个记账结束的包。记账开始包描述了 NAS 所传送服务的类型、使用的端口和所服务的用户，记账结束包复制了开始包的信息并添加了会话信息，例如，使用的时间、输入/输出字节数和断开连接的原因等。 RADIUS 是为远程访问认证所设计，而不适合于主机及应用系统的认证。RADIUS 只提供了基本的记账功能和监视系统事件的功能。RADIUS 的连接参数是基于用户的，而不是基于设备的，这也是 RADIU

27、S 的另一个主要局限性。当一个 RADIUS 服务器管理多种类型的 NAS 设备时，用户的管理复杂度大大增加。对于检查用户是否是组成员、通过日期和时间来限制访问，以及在指定的日期终止用户的账户等功能，标准的RADIUS 认证并不具备。为了提供这些功能，RADIUS 服务器必须同其他的认证服务相结合。5.关于网络安全，以下说法中正确的是_。（分数：3.00）A.使用无线传输可以防御网络监听B.木马是一种蠕虫病毒C.使用防火墙可以有效地防御病毒D.冲击波病毒利用 Windows 的 RPC 漏洞进行传播 解析：冲击波病毒是一种蠕虫病毒，病毒运行时会不停地利用 IP 扫描技术寻找网络上系统为 Win

28、dows 2000 或 Windows XP 的计算机，找到后就利用 RPC 缓冲区漏洞攻击该系统。一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常，不停重启，甚至导致系统崩溃。 木马是一种基于远程控制的黑客工具，分为控制端和服务端(被控制端)，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样，服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过

29、木马程序窃取的。 使用无线传输，如果要防御网络监听，需要使用专业设备。使用防火墙可以有效地防御网络攻击，但不能有效地防御病毒。6.许多黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是_。（分数：3.00）A.安装防火墙B.安装用户认证系统C.安装相关的系统补丁 D.安装防病毒软件解析：许多黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是及时安装相关的系统补丁，“堵住”漏洞。7._无法有效防御 DDoS 攻击。（分数：2.00）A.根据 IP 地址对数据包进行过滤B.为系统访问提供更高级别的身份认证C.安装防病毒软件 D.使用工具软件检测不正常的高流量解析：分布式

30、拒绝服务攻击(Distributed Denial of Service，DDoS)手段是在传统的 DoS 攻击基础之上产生的一类攻击方式。分布式拒绝服务攻击指借助于客户/服务器技术，将多台计算机联合起来作为攻击平台，对一个或多个目标发动 DoS 攻击，从而成倍地提高拒绝服务攻击的威力。高速广泛连接的网络给大家带来了方便，也为 DDoS 攻击创造了极为有利的条件。 对于此类隐蔽性极好的 DDoS 攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。专家建议可以采取的安全防御措施有以下几种。 (1)及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息(如系统配置信息

31、)建立和完善备份机制。对一些特权账号(如管理员账号)的密码设置要谨慎。通过这样一系列的举措，可以把攻击者的可乘之机降低到最小。 (2)在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。 (3)利用网络安全设备(如防火墙)来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。 (4)与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。 (5)当用户发现自己正在遭受 DDoS 攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时

32、联系 ISP 和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从己知攻击节点的流量。 (6)如果用户是潜在的 DDoS 攻击受害者，并且发现自己的计算机被攻击者用做主控端和代理端，不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞，对用户的系统是一个很大的威胁。所以，用户只要发现系统中存在 DDoS 攻击的工具软件，就要及时把它清除，以免留下后患。8.IPSec VPN 安全技术没有用到_。（分数：2.00）A.隧道技术B.加密技术C.入侵检测技术 D.身份认证技术解析：虚拟专用网络(Virtual Private Network，VPN)提供了一种通过公

33、用网络安全地对企业内部专用网络进行远程访问的连接方式。与普通网络连接一样，VPN 也由客户机、传输介质和服务器三部分组成，不同的是 VPN 连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如Internet 或 Intranet。 VPN 可以实现不同网络的组件和资源之间的相互连接，利用 Internet 或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。VPN 允许远程通信方、销售人员或企业分支机构使用 Internet 等公共互联网络的路由基础设施，以安全的方式与位于企业局域网端的企业服务器建立连接。VPN 对用户端透明，用户好像使用

34、一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。 实现 VPN 的关键技术如下： 安全隧道技术(Tunneling)：隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在

35、内的全过程。 加解密技术：VPN 利用已有的加解密技术实现保密通信。 密钥管理技术：建立隧道和保密通信都需要密钥管理技术的支撑，密钥管理负责密钥的生成、分发、控制和跟踪，以及验证密钥的真实性。 身份认证技术：假如 VPN 的用户都要通过身份认证，通常使用用户名和密码，或者智能卡来实现。 访问控制技术：由 VPN 服务的提供者根据在各种预定义的组中的用户身份标识，来限制用户对网络信息或资源的访问控制的机制。9.采用 Kerberos 系统进行认证时，可以在报文中加入_来防止重放攻击。（分数：2.00）A.会话密钥B.时间戳 C.用户 IDD.私有密钥解析：Kerberos 认证是一种使用对称密钥

36、加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份，该凭据是由 KDC 专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥，还有证明客户方拥有会话密钥的身份认证信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记的作用是检测重放攻击。10.包过滤防火墙通过_来确定数据包是否能通过。（分数：2.00）A.路由表B.ARP 表C.NAT 表D.过滤规则 解析：包过滤型防火墙工作在 OSI 网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协

37、议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足绝大多数企业的安全要求。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。 第一代静态包过滤类型防火墙。这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包

38、，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP 源地址、IP 目标地址、传输协议(TCP、UDP、ICMP 等)、TCP/UDP 目标端口、ICMP 消息类型等。 第二代动态包过滤类型防火墙。这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点

39、也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响；由于缺少上下文关联信息，不能有效地过滤如 UDP、RPC 一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。目前在网络上流行的“熊猫烧香”病毒属于_类型的病毒，感染该病毒后的计算机不会出现_的

40、情况。（分数：4.00）A.目录B.引导区C.蠕虫 D.DOS解析：A.执行文件图标变成熊猫烧香B.用户信息被泄露C.系统运行变慢D.破坏计算机主板 解析：熊猫烧香是一种感染型的蠕虫病毒，它能感染系统中 exe、com、pif、src、html、asp 等文件，还能终止大量的反病毒软件进程，并且会删除扩展名为 gho 的文件，该文件是系统备份工具 GHOST 的备份文件，使用户的系统备份文件丢失。某 Web 网站向 CA 申请了数字证书。用户登录该网站时，通过验证_，来确认该数字证书的有效性，从而_。（分数：4.00）A.CA 的签名 B.网站的签名C.会话密钥D.DES 密码解析：A.向网站

41、确认自己的身份B.获取访问网站的权限C.和网站进行双向认证D.验证该网站的真伪 解析：数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。每个用户将设定私钥(仅为本人所知的专用密钥，用来解密和签名)和公钥(由本人公开，用于加密和验证签名)两个密钥，用以实现：发送机密文件：发送方使用接收方的公钥进行加密，接收方使用自己的私钥解密。 接收方能够通过数字证书来确认发送方的身份，发送方无法抵赖。 信息自数字签名后可以保证信息无法更改。 Web 网站向 CA 申请数字证书。用户登录该网站时，通过验证 CA 的签名，来确认该数字证书的有效性，从而验证该网站的真伪。实现 VPN 的关键技术主要有隧

42、道技术、加解密技术、_和身份认证技术。如果需要在传输层实现VPN，可选的协议是_。（分数：4.00）A.入侵检测技术B.病毒防治技术C.安全审计技术D.密钥管理技术 解析：A.L2TPB.PPTPC.TLS D.IPsec解析：隧道技术可以分别以第 2、3 层隧道协议为基础。第 2 层隧道协议对应 OSI 模型中的数据链路层，使用帧作为数据交换单位。PPTP，L2TP 和 L2F(第 2 层转发)都属于第 2 层隧道协议，都是将数据封装在PPP 帧中通过互联网络发送。第 3 层隧道协议对应 OSI 模型中的网络层，使用包作为数据交换单位。IPoverIP 及 IPSec 隧道模式都属于第 3

43、层隧道协议，都是将 IP 包封装在附加的 IP 包头中通过 IP 网络传送。 TLS(Transport Layer Security，传输层安全性)协议是 IETF 标准草案，它基于 SSL 并与之相似。它的主要目标是在两个正在通信的应用程序之间提供保密性和数据完整性。与 SSL 一样，TLS 是独立于应用程序协议的，其使用的加密算法的种类与 SSL 使用的相似。然而，TLS 标准把如何启动 TLS 握手和如何解释认证证书的决定权留给了运行于其上的协议的设计者和实现者来判断。TLS 协议的目标，按其优先级顺序来说，是密码安全性、互操作性和可扩展性。11.安全电子邮件协议 PGP 不支持_。（

44、分数：2.00）A.压缩电子邮件 B.确认电子邮件未被修改C.防止非授权者阅读电子邮件D.确认发送者的身份解析：PGP 是一个基于 RSA 公钥加密体系的邮件加密软件，可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确信邮件发送者。PGP 的基本原理是，先用对称密钥加密传送的信息，再将该对称加密密钥以接收方的公钥加密，组成数字信封，并将此密钥交给公正的第三方保管；然后，将此数字信封传送给接收方。接收方必须先以自己的私钥将数字信封拆封，以获得对称解密密钥，再以该对称解密密钥解出真正的信息，兼顾方便与效率。 PGP 还可用于文件存储的加密。PGP 承认两种不同的证书格

45、式：PGP 证书和 X.509 证书。其中，一份 PGP证书包括版本号、证书持有者的公钥、证书持有者的信息(例如，姓名、用户 ID、照片等)、证书拥有者的数字签名、证书的有效期和密钥首选的对称加密算法等内容。12.某企业开发应用程序，要求调用传输层的安全协议保障应用通信的安全，下面可选的传输层安全协议是_。（分数：2.00）A.IPsecB.L2TPC.TLS D.PPTP解析：本题考查安全协议的工作层次。 IPSec 的工作层次是网络层，L2TP 和 PPTP 的工作层次是数据链路层，TLS 的工作层次是传输层，所以本题选 C。13.常用对称加密算法不包括_。（分数：2.00）A.DESB.

46、RC-5C.IDEAD.RSA 解析：在对称密码体制中，加密和解密采用相同的密钥。因为其加密速度快，通常用来加密大批量的数据。典型的对称加密算法有 FEAL、IDEA、DES 和 RC-5 等。 在非对称密码体制中，加密和解密使用不同的密钥。其中一个密钥是公开的，另一个密钥是保密的。由于加密速度较慢，所以往往用在少量数据的通信中。典型的非对称加密算法有 RSA 和 ESIGN。14.数字签名的功能不包括_。（分数：2.00）A.防止发送方和接收方的抵赖行为B.发送方身份确认C.接收方身份确认 D.保证数据的完整性解析：数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只

47、有用发送的公钥才能解密被加密的摘要信息，然后用 Hash 函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。 数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。数字签名主要的功能是：保证信息传输的完整性，认证发送者的身份，防止交易中的抵赖发生。15.TCP/IP 在多个层次中引入了安全机制，其中 SSL 协议位于_。（分数：2.00）A.数据链路层B.网络层C

48、.传输层 D.应用层解析：16.下列安全协议中，_能保证交易双方无法抵赖。（分数：2.00）A.SET B.SHTTPC.PGPD.MOSS解析：SET(Secure Electronic Transaction，安全电子交易)协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由 Visa 国际组织和 MasterCard 组织共同制定的一个能保证通过开放网络(包括 Internet)进行安全资金支付的技术标准。 SET 支付系统主要由持卡人(Cardholder)、商家(Merchant)、发卡行(Issuing Bank)、收单行(Acquiring Bank)、支付网关(Payment Gateway)、认证中心(Certificate Authority，CA)六个部分组成。对应地，基于 SET 协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。 SET 协议的工作流程如下： 消费者利用自己的 PC 通过因特网选定所要购买的物品，并在计算机上输入订货单，订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。 通过电子商务服务器与有关在线