【计算机类职业资格】系统架构设计师-系统安全性与保密性设计、信息化基础及答案解析.doc

1、系统架构设计师-系统安全性与保密性设计、信息化基础及答案解析(总分：86.04，做题时间：90 分钟)一、B单项选择题/B(总题数：9，分数：86.00)某 Web网站向 CA申请了数字证书。用户登录该网站时，通过验证_，来确认该数字证书的有效性，从而_。（分数：24.00）(1). A.CA的签名 B.网站的签名 C.会话密钥 D.DES密码（分数：2.00）A.B.C.D.(2). A.向网站确认自己的身份 B.获取访问网站的权限 C.和网站进行双向认证 D.验证该网站的真伪（分数：2.00）A.B.C.D.(3).某企业开发应用程序，要求调用传输层的安全协议保障应用通信的安全，下面可选的

2、传输层安全协议是_。 A.IPSec B.L2TP C.TLS D.PPTP（分数：2.00）A.B.C.D.(4).下列安全协议中，_能保证交易双方无法抵赖。 A.SET B.SHTTP C.PGP D.MOSS（分数：2.00）A.B.C.D.(5).下列技术中，不是传输层安全技术的是_。 A.SSL B.SOCKS C.IPSec D.安全 RPC（分数：2.00）A.B.C.D.(6).防火墙把网络划分为几个不同的区域，一般把对外提供网络服务的设备(如 WWW服务器、FTP 服务器)放置于_区域。 A.信任网络 B.非信任网络 C.半信任网络 D.DMZ(非军事化区)（分数：2.00）

3、A.B.C.D.(7).信息安全策略应该全面地保护信息系统整体的安全，网络安全体系设计是网络逻辑设计工作的重要内容之一，可从物理线路安全、网络安全、系统安全、应用安全等方面来进行安全体系的设计与规划。其中，数据库的容灾属于_的内容。 A.物理线路安全与网络安全 B.网络安全与系统安全 C.物理线路安全与系统安全 D.系统安全与应用安全（分数：2.00）A.B.C.D.(8).公司总部与分部之间需要传输大量数据，在保障数据安全的同时又要兼顾密钥算法效率，最合适的加密算法是_。 A.RC-5 B.RSA C.ECC D.MD5（分数：2.00）A.B.C.D.(9).常用对称加密算法不包括_。 A

4、.DES B.RC-5 C.IDEA D.RSA（分数：2.00）A.B.C.D.(10).采用 Kerberos系统进行认证时，可以在报文中加入_来防止重放攻击。 A.会话密钥 B.时间戳 C.用户 ID D.私有密钥（分数：2.00）A.B.C.D.(11).数字签名的功能不包括_。 A.防止发送方和接收方的抵赖行为 B.发送方身份确认 C.接收方身份确认 D.保证数据的完整性（分数：2.00）A.B.C.D.(12).包过滤型防火墙通过_来确定数据包是否能通过。 A.路由表 B.ARP表 C.NAT表 D.过滤规则（分数：2.00）A.B.C.D.ISO 7498-2标准涉及的 5种安全

5、服务是_。可信赖计算机系统评价准则(TCSEC)把计算机系统的安全性分为 4大类 7个等级，其中的 C2级是指_。（分数：8.00）(1). A.身份认证，访问控制，数据加密，数据完整，安全审计 B.身份认证，访问控制，数据加密，数据完整，防止否认 C.身份认证，安全管理，数据加密，数据完整，防止否认 D.身份认证，访问控制，数据加密，安全标记，防止否认（分数：2.00）A.B.C.D.(2). A.安全标记保护 B.自主式安全保护 C.结构化安全策略模型 D.受控的访问保护（分数：2.00）A.B.C.D.(3).网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外，在保证可信网络内部信息

6、不外泄的前提下，完成网问数据的安全交换。下列隔离方式中，安全性最好的是_。 A.多重安全网关 B.防火墙 C.VLAN隔离 D.人工方式（分数：2.00）A.B.C.D.(4).安全审计系统是保障计算机系统安全的重要手段之一，其作用不包括_。 A.检测对系统的入侵 B.发现计算机的滥用情况 C.提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞 D.保证可信网络内部信息不外泄（分数：2.00）A.B.C.D.实现 VPN的关键技术主要有隧道技术、加/解密技术、_和身份认证技术。如果需要在传输层实现 VPN，可选的协议是_。（分数：4.00）(1). A.入侵检测技术 B.病毒防治技术 C.

7、安全审计技术 D.密钥管理技术（分数：2.00）A.B.C.D.(2). A.L2TP B.PPTP C.TLS D.IPSec（分数：2.00）A.B.C.D.目前在网络上流行的“熊猫烧香”病毒属于_类型的病毒，感染该病毒后的计算机不会出现_的情况。（分数：10.98）(1). A.目录 B.引导区 C.蠕虫 D.DOS（分数：1.83）A.B.C.D.(2). A.执行文件图标变成熊猫烧香 B.用户信息被泄露 C.系统运行变慢 D.破坏计算机主板（分数：1.83）A.B.C.D.(3).所谓网络安全漏洞是指_。 A.用户的误操作引起的系统故障 B.网络结点的系统软件或应用软件在逻辑设计上的

8、缺陷 C.网络硬件性能下降产生的缺陷 D.网络协议运行中出现的错误（分数：1.83）A.B.C.D.(4).ARP攻击造成网络无法跨网段通信的原因是_。 A.发送大量 ARP报文造成网络拥塞 B.伪造网关 ARP报文使得数据包无法发送到网关 C.ARP攻击破坏了网络的物理连通性 D.ARP攻击破坏了网关设备（分数：1.83）A.B.C.D.(5).下列安全协议中，用来实现安全电子邮件的协议是_。 A.IPSec B.L2TP C.PGP D.PPTP（分数：1.83）A.B.C.D.(6).企业系统规划方法(BSP)是指导公司建立信息系统的方法。一个企业的信息系统应当满足各个管理层次关于信息的

9、需求。以下选项中不属于企业系统规划层次的是_。 A.战略控制层 B.管理控制层 C.操作控制层 D.数据产生层（分数：1.83）A.B.C.D.信息工程的基础是信息战略规划，规划的起点是将_和企业的信息需求转换成信息系统目标，实施信息系统工程是要为企业建立起具有稳定数据型的数据处理中心，以满足各级管理人员关于信息的需求，它坚持以_为信息处理的中心。（分数：2.00）(1). A.事务处理 B.现行人工和电算化混合的信息系统 C.企业战略目标 D.第一把手要求（分数：1.00）A.B.C.D.(2). A.数据 B.过程 C.功能 D.应用（分数：1.00）A.B.C.D.信息战略规划报告应由

10、3个主要部分组成：摘要、规划和附录。其中，摘要涉及的主题包括信息战略规划所涉及的范围、企业的业务目标和战略重点、信息技术对企业业务的影响、对现有信息环境的评价、推荐的系统战略、推荐的技术战略、推荐的组织战略、推荐的行动计划等，其中系统战略是关于_和_的总结。（分数：6.00）(1). A.技术结构规划 B.整体网络规划 C.数据库结构规划 D.信息结构规划（分数：1.00）A.B.C.D.(2). A.业务系统结构规划 B.机构结构规划 C.过程结构规划 D.系统发展规划（分数：1.00）A.B.C.D.(3).关于电子政务与传统政务的比较，以下论述不正确的是_。 A.办公手段不同 B.与公众

11、沟通方式存在差异 C.业务流程一致 D.电子政务是政务活动一种新的表现形式（分数：1.00）A.B.C.D.(4).关于信息资源和信息资源管理，以下论述不正确的是_。 A.信息资源与人力、物力、财力等资源一样，都是企业的重要资源 B.信息资源管理包括数据资源管理和信息处理管理 C.信息资源管理成为知识经济时代企业文化建设的重要组成部分 D.信息资源管理的基础是数据库管理（分数：1.00）A.B.C.D.(5).在关于信息属性的叙述中，错误的是_。 A.信息具有无限性和普遍性 B.信息具有依附性，信息必须依附于某种载体 C.信息具有相对性，即不同的认识主体从同一事物中获取的信息及信息量可能是不同

12、的 D.信息具有可传递性，信息在空间的传递称为信息存储（分数：1.00）A.B.C.D.(6).电子政务根据其服务的对象不同，可以分为 4种模式。某政府部门内部的“办公自动化系统”属于_模式。 A.G2B B.G2C C.G2E D.G2G（分数：1.00）A.B.C.D.在信息系统建设中，为了使开发出来的目标系统能满足实际需要，在着手编程之前应认真考虑以下问题：1)系统所要求解决的问题是什么?2)为解决该问题，系统应干些什么?3)系统应该怎样去干?其中第 2个问题的解决是_的任务，第 3个问题的解决是_的任务。（分数：4.00）(1). A.信息系统总体规划阶段 B.信息系统分析阶段 C.信

13、息系统设计阶段 D.信息系统实施阶段（分数：1.00）A.B.C.D.(2). A.信息系统总体规划阶段 B.信息系统分析阶段 C.信息系统设计阶段 D.信息系统实施阶段（分数：1.00）A.B.C.D.(3).在传统的企业应用集成方法中，_是其他集成方法的基础。 A.功能集成 B.数据集成 C.API集成 D.界面集成（分数：1.00）A.B.C.D.(4).企业每个业务过程都包含一定数量的业务活动。业务活动是企业功能分解后最基本的、不可再分解的最小功能单元。以下关于业务活动的叙述不正确的是_。 A.业务活动之间是相对独立的 B.业务活动之间有清晰的时空界限 C.每一个业务活动都应是可执行的

14、 D.业务活动可能会产生不确定的结果或几个结果（分数：1.00）A.B.C.D.企业应用集成是一个战略意义上的方法，它从服务和信息角度将多个信息系统绑定在一起，提供实时交换信息和影响流程的能力。_提供企业之间的信息共享能力，_在用户使用角度能够对集成系统产生一个“整体”的感觉。（分数：9.00）(1). A.API集成 B.数据集成 C.界面集成 D.过程集成（分数：1.00）A.B.C.D.(2). A.API集成 B.数据集成 C.界面集成 D.过程集成（分数：1.00）A.B.C.D.(3).希赛公司拥有多个应用系统，分别采用不同的语言和平台，独立构建而成，企业需要集成来自不同系统的数据

15、，并使用可定制格式的数据频繁地、立即地、可靠地、异步地传输数据。以下集成方式，最能满足这种要求的是_。 A.文件共享 B.数据库共享 C.远程方法调 D.消息机制（分数：1.00）A.B.C.D.(4).应用集成是一项十分复杂的工作，必须针对具体情况选择合适的集成方法。某企业欲整合部门之间的报表信息，在年末进行数据集成与处理，并要求保留部门内部现有信息系统的数据格式不变。在这种情况下，采用_的方式最为适当。 A.共享数据库 B.远程过程调用 C.消息传递 D.文件传输（分数：1.00）A.B.C.D.(5).下面关于 ERP的叙述，不正确的是_。 A.ERP为组织提供了升级和简化其所用的信息技

16、术的机会 B.购买使用一个商业化的 ERP软件，转化成本高，失败的风险也很大 C.除了制造和财务，ERP 系统可以支持人力资源、销售和配送 D.ERP的关键是事后监控企业的各项业务功能，使得诸如质量、有效性、客户满意度、工作成果等可控（分数：1.00）A.B.C.D.(6).企业应用集成通过采用多种集成模式构建统一标准的基础平台，将具有不同功能和目的且独立运行的企业信息系统联合起来。其中，面向_的集成模式强调处理不同应用系统之间的交互逻辑，与核心业务逻辑相分离，并通过不同应用系统之间的协作共同完成某项业务功能。 A.数据 B.接口 C.过程 D.界面（分数：1.00）A.B.C.D.(7).电

17、子数据交换(EDI)是电子商务活动中采用的一种重要的技术手段。以下关于 EDI的叙述中，错误的是_。 A.EDI的实施需要一个公认的标准和协议，将商务活动中涉及的文件标准化和格式化 B.EDI的实施在技术上比较成熟，成本也较低 C.EDI通过计算机网络，在贸易伙伴之间进行数据交换和自动处理 D.EDI主要应用于企业与企业、企业与批发商之间的批发业务（分数：1.00）A.B.C.D.(8).商业智能是指利用数据挖掘、知识发现等技术分析和挖掘结构化的、面向特定领域的存储与数据仓库的信息。它可以帮助用户认清发展趋势、获取决策支持并得出结论。以下_活动，不属于商业智能范畴。 A.某大型企业通过对产品销

18、售数据进行挖掘，分析客户购买偏好 B.某大型企业查询数据仓库中某种产品的总体销售数量 C.某大型购物网站通过分析用户的购买历史记录，为客户进行商品推荐 D.某银行通过分析大量股票交易的历史数据，做出投资决策（分数：1.00）A.B.C.D.(9).以下关于信息和信息化的论述中，不正确的是_。 A.信息化就是开发利用信息资源，促进信息交流和知识共享，提高经济增长质量，推动经济社会发展转型的历史进程。 B.信息、材料和能源共同构成经济和社会发展的三大战略资源，这三者之间不可以相互转化 C.信息是“用以消除随机不确定的东西” D.信息资源是重要的生产要素（分数：1.00）A.B.C.D.“企业系统规

19、划方法”和“信息工程”都推荐建立表示数据类(主题数据库)和过程之间关系的 CU矩阵 M。其中若第 i号过程产生第 k号数据类，则 Mik=C；若第 j号过程使用第 k号数据类，则 Mjk=U。矩阵 M按照一定的规则进行调整后，可以给出划分系统的子系统方案，并可确定每个子系统相关的_和_；同时也可了解子系统之间的_。（分数：18.06）(1). A.关系数据库 B.层次数据库 C.网状数据库 D.共享数据库（分数：1.29）A.B.C.D.(2). A.关系数据库 B.网状数据库 C.专业(私有)数据库 D.子集数据库（分数：1.29）A.B.C.D.(3). A.过程引用 B.功能关系 C.数

20、据存储 D.数据通信（分数：1.29）A.B.C.D.(4).某行政单位希望将位于单位内部信息系统中的新闻、信息等发布到互联网上，并实现一部分网上办公能力。对于这种应用集成需求，最适合的集成方式是_。 A.数据集成 B.界面集成 C.API集成 D.门户集成（分数：1.29）A.B.C.D.(5).对 ERP项目最恰当的定位是_。 A.信息系统集成项目 B.管理变革项目 C.技术改造项目 D.工作流实施项目（分数：1.29）A.B.C.D.(6).建立企业信息系统应该遵循一定的原则，以下原则不适当的是_。 A.必须支持企业的战略目标 B.应该自上而下地规划和实现 C.应该支持企业各个管理层的需

21、求 D.应该向整个企业提供一致的信息（分数：1.29）A.B.C.D.(7).在开发一个企业管理信息系统时，首先要进行用户调查，调查中收集的主要信息包括_。 A.管理目标、人力资源、业务流程和数据流程信息 B.组织结构、功能体系、业务流程和数据流程信息 C.企业性质、客户资源、业务流程和数据流程信息 D.管理目标、功能体系、业务流程和数据流程信息（分数：1.29）A.B.C.D.(8).电子政务根据其服务的对象不同，基本上可以分为 4种模式。某市政府在互联网上提供的“机动车违章查询”服务，属于_模式。 A.G2B B.G2C C.G2E D.G2G（分数：1.29）A.B.C.D.(9).以下

22、关于信息系统的论述中，正确的是_。 A.信息系统可以是手工的，也可以是计算机化的 B.信息系统就是计算机化的信息系统 C.基于计算机的信息系统由硬件、软件、数据库、远程通信等组成，不包括人和规程 D.信息系统计算机化一定能提高系统的性能（分数：1.29）A.B.C.D.(10).某大型公司欲开发一个门户系统，该系统以商业流程和企业应用为核心，将商业流程中不同的功能模块通过门户集成在一起，以提高公司的集中贸易能力、协同能力和信息管理能力。根据这种需求，采用企业_门户解决方案最为合适。 A.信息 B.知识 C.应用 D.垂直（分数：1.29）A.B.C.D.(11).客户关系管理(CRM)系统将市

23、场营销的科学管理理念通过信息技术的手段集成在软件上，能够帮助企业构建良好的客户关系。以下关于 CRM系统的叙述中，错误的是_。 A.销售自动化是 CRM系统中最基本的模块 B.营销自动化作为销售自动化的补充，包括营销计划的编制和执行、计划结果分析等 C.CRM系统能够与 ERP系统在财务、制造、库存等环节进行连接，但两者关系相对松散，一般不会形成闭环结构 D.客户服务与支持是 CRM系统的重要功能。目前，客户服务与支持的主要手段是通过呼叫中心和互联网来实现（分数：1.29）A.B.C.D.(12).共享数据库是一种重要的企业应用集成方式。以下关于共享数据库集成方式的叙述中，错误的是_。 A.共

24、享数据库集成方式通常将应用程序的数据存储在一个共享数据库中，通过制定统一的数据库模式来处理不同应用的集成需求 B.共享数据库为不同的应用程序提供了统一的数据存储与格式定义，能够解决不同应用程序中数据语义不一致的问题 C.多个应用程序可能通过共享数据库频繁地读取和修改相同的数据，这会使共享数据库成为一个性能瓶颈 D.共享数据库集成方式的一个重要限制来自外部的已封装应用，这些封装好的应用程序只能采用自己定义的数据库模式，调整和集成余地较小（分数：1.29）A.B.C.D.(13).希赛公司欲对其内部的信息系统进行集成，需要实现在系统之间快速传递可定制格式的数据包，并且当有新的数据包到达时，接收系统

25、会自动得到通知。另外还要求支持数据重传，以确保传输的成功。针对这些集成需求，应该采用_的集成方式。 A.远程过程调用 B.共享数据库 C.文件传输 D.消息传递（分数：1.29）A.B.C.D.(14).以下关于企业信息化方法的叙述中，正确的是_。 A.业务流程重构是对企业的组织结构和工作方法进行重新设计，SCM(供应链管理)是一种重要的实现手段 B.在业务数量浩繁且流程错综复杂的大型企业里，主题数据库方法往往形成许多“信息孤岛”，造成大量的无效或低效投资 C.人力资源管理把企业的部分优秀员工看做是一种资本，能够取得投资收益 D.围绕核心业务应用计算机和网络技术是企业信息化建设的有效途径（分数

26、：1.29）A.B.C.D.系统架构设计师-系统安全性与保密性设计、信息化基础答案解析(总分：86.04，做题时间：90 分钟)一、B单项选择题/B(总题数：9，分数：86.00)某 Web网站向 CA申请了数字证书。用户登录该网站时，通过验证_，来确认该数字证书的有效性，从而_。（分数：24.00）(1). A.CA的签名 B.网站的签名 C.会话密钥 D.DES密码（分数：2.00）A. B.C.D.解析：解析 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。每个用户将设定两个私钥(仅为本人所知的专用密钥，用来解密和签名)和公钥(由本人公开，用于加密和验证签名)两个密钥，用以

27、实现： 发送机密文件：发送方使用接收方的公钥进行加密，接收方使用自己的私钥解密。 接收方能够通过数字证书来确认发送方的身份，发送方无法抵赖。 信息自数字签名后可以保证信息无法更改。 Web 网站向 CA申请数字证书。用户登录该网站时，通过验证 CA的签名，来确认该数字证书的有效性，从而验证该网站的真伪。(2). A.向网站确认自己的身份 B.获取访问网站的权限 C.和网站进行双向认证 D.验证该网站的真伪（分数：2.00）A.B.C.D. 解析：(3).某企业开发应用程序，要求调用传输层的安全协议保障应用通信的安全，下面可选的传输层安全协议是_。 A.IPSec B.L2TP C.TLS D.

28、PPTP（分数：2.00）A.B.C. D.解析：解析 本题考查安全协议的工作层次。 IPSec 工作于网络层，L2TP 与 PPTP工作于数据链路层，TLS工作于传输层，所以本题选 C。(4).下列安全协议中，_能保证交易双方无法抵赖。 A.SET B.SHTTP C.PGP D.MOSS（分数：2.00）A. B.C.D.解析：解析 本题考查网络安全协议的功能，SET 协议具备抗抵赖功能。(5).下列技术中，不是传输层安全技术的是_。 A.SSL B.SOCKS C.IPSec D.安全 RPC（分数：2.00）A.B.C. D.解析：解析 IPSec 是虚拟专用网(VPN)的一个安全协议

29、，它提供所有在网络层上的数据保护，提供透明的安全通信，而不属于传输层安全技术。(6).防火墙把网络划分为几个不同的区域，一般把对外提供网络服务的设备(如 WWW服务器、FTP 服务器)放置于_区域。 A.信任网络 B.非信任网络 C.半信任网络 D.DMZ(非军事化区)（分数：2.00）A.B.C.D. 解析：解析 DMZ(DeMilitarized Zone，隔离区)也称为非军事化区，它是为了解决安装防火墙后，外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务

30、器设施，例如，企业的 Web服务器、FTP 服务器和论坛等。另一方面，通过 DMZ区域，更加有效地保护了内部网络，因为这种网络部署与一般的防火墙方案相比，对攻击者来说又多了一道关卡。(7).信息安全策略应该全面地保护信息系统整体的安全，网络安全体系设计是网络逻辑设计工作的重要内容之一，可从物理线路安全、网络安全、系统安全、应用安全等方面来进行安全体系的设计与规划。其中，数据库的容灾属于_的内容。 A.物理线路安全与网络安全 B.网络安全与系统安全 C.物理线路安全与系统安全 D.系统安全与应用安全（分数：2.00）A.B.C.D. 解析：解析 网络安全体系设计是逻辑设计工作的重要内容之一，数据

31、库容灾属于系统安全和应用安全考虑范畴。(8).公司总部与分部之间需要传输大量数据，在保障数据安全的同时又要兼顾密钥算法效率，最合适的加密算法是_。 A.RC-5 B.RSA C.ECC D.MD5（分数：2.00）A. B.C.D.解析：解析 公司总部与分部之间通过 Internet传输数据，需要采用加密方式保障数据安全。加密算法中，对称加密比非对称加密效率要高。RSA 和 ECC属于非对称加密算法，MD5 为摘要算法，故选择 RC-5。(9).常用对称加密算法不包括_。 A.DES B.RC-5 C.IDEA D.RSA（分数：2.00）A.B.C.D. 解析：解析 常见的对称加密算法包括：

32、DES、3DES、RC-5、IDEA。 常见的非对称加密算法包括：RSA、ECC。(10).采用 Kerberos系统进行认证时，可以在报文中加入_来防止重放攻击。 A.会话密钥 B.时间戳 C.用户 ID D.私有密钥（分数：2.00）A.B. C.D.解析：解析 Kerberos 认证是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份，该凭据是由 KDC专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥，还有证明客户方拥有会话密钥的身份认证者信息。身份认

33、证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。(11).数字签名的功能不包括_。 A.防止发送方和接收方的抵赖行为 B.发送方身份确认 C.接收方身份确认 D.保证数据的完整性（分数：2.00）A.B.C. D.解析：解析 数字签名技术是将摘要信息用发送者的私钥加密与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用 Hash函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密

34、的过程。 数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。(12).包过滤型防火墙通过_来确定数据包是否能通过。 A.路由表 B.ARP表 C.NAT表 D.过滤规则（分数：2.00）A.B.C.D. 解析：解析 包过滤型防火墙工作在 OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价

35、和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。 第一代静态包过滤类型防火墙。这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP源地址、IP 目标地址、传输协议(T

36、CP、UDP、ICMP 等)、TCP/UDP 目标端口、ICMP 消息类型等。 第二代动态包过滤类型防火墙。这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着

37、规则数目的增加，性能会受到很大影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC 一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。ISO 7498-2标准涉及的 5种安全服务是_。可信赖计算机系统评价准则(TCSEC)把计算机系统的安全性分为 4大类 7个等级，其中的 C2级是指_。（分数：8.00）(1). A.身份认证，访问控制，数据加密，数据完整

38、，安全审计 B.身份认证，访问控制，数据加密，数据完整，防止否认 C.身份认证，安全管理，数据加密，数据完整，防止否认 D.身份认证，访问控制，数据加密，安全标记，防止否认（分数：2.00）A.B. C.D.解析：解析 在 ISO 7498-2中描述了开放系统互联安全的体系结构，提出设计安全的信息系统的基础架构中应该包含 5种安全服务(安全功能)、能够对这 5种安全服务提供支持的 8类安全机制和普遍安全机制，以及需要进行的 5种 OSI安全管理方式。其结构如图所示。*TCSEC将安全分为 4个方面，分别是安全政策、可说明性、安全保障和文档。在美国国防部虹系列(Rainbow Series)标准

39、中有详细的描述。该标准将以上 4个方面分为 7个安全级别，从低到高依次为D、C1、C2、B1、B2、B3 和 A级。A类：验证设计。形式化证明的安全。用于绝密级。B类：B3：安全域保护。提供可信设备的管理和恢复。即使计算机系统崩溃，也不会泄密。B2：结构化安全策略模型。满足 B1类要求外，提供强制性控制。B1：安全标记保护。满足 C类要求，并提供数据标记。C类：C2：受控的访问保护。在 C1之上，增加了访问保护和审计跟踪功能。C1：自主安全保护。无条件的访问控制，具有识别和控制的责任。D类：最低保护。例如，未加任何实际的安全措施。(2). A.安全标记保护 B.自主式安全保护 C.结构化安全策

40、略模型 D.受控的访问保护（分数：2.00）A.B.C.D. 解析：(3).网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外，在保证可信网络内部信息不外泄的前提下，完成网问数据的安全交换。下列隔离方式中，安全性最好的是_。 A.多重安全网关 B.防火墙 C.VLAN隔离 D.人工方式（分数：2.00）A.B.C.D. 解析：解析 无论采用什么形式的网络隔离，其实质都是数据或信息的隔离。网络隔离的重点是物理隔离。人工方式隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非 TCP/IP的数据连接。(4).安全审计系统是保障计算机系统安全的重要手段之一，其

41、作用不包括_。 A.检测对系统的入侵 B.发现计算机的滥用情况 C.提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞 D.保证可信网络内部信息不外泄（分数：2.00）A.B.C.D. 解析：解析 安全审计包括识别、记录、存储、分析与安全相关行为的信息，审计记录用于检查与安全相关的活动和负责人。安全审计系统就是根据一定的安全策略记录和分析历史操作事件及数据，发现能够改进系统运行性能和系统安全的地方。安全审计的作用包括：对潜在的攻击者起到震慑或警告的作用、检测和制止对安全系统的入侵、发现计算机的滥用情况、为系统管理员提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞及对已经发生的系统攻击

42、行为提供有效的追究证据。安全审计系统通常有一个统一的集中管理平台，支持集中管理，并支持对日志代理、安全审计中心、日志、数据库的集中管理，并具有事件响应机制和联动机制。实现 VPN的关键技术主要有隧道技术、加/解密技术、_和身份认证技术。如果需要在传输层实现 VPN，可选的协议是_。（分数：4.00）(1). A.入侵检测技术 B.病毒防治技术 C.安全审计技术 D.密钥管理技术（分数：2.00）A.B.C.D. 解析：解析 隧道技术可以分别以第 2、3 层隧道协议为基础。第 2层隧道协议对应 OSI模型中的数据链路层，使用帧作为数据交换单位。PPTP，L2TP 和 L2F(第 2层转发)都属于

43、第 2层隧道协议，都是将数据封装在 PPP帧中通过互联网络发送。第 3层隧道协议对应 OSI模型中的网络层，使用包作为数据交换单位。IPoverIP及 IPSec隧道模式都属于第 3层隧道协议，都是将 IP包封装在附加的 IP包头中通过 IP网络传送。 TLS(Transport Layer Security，传输层安全性)协议是 IETF标准草案，它基于 SSL并与之相似。它的主要目标是在两个正在通信的应用程序之间提供保密性和数据完整性。与 SSL一样，TLS 是独立于应用程序协议的，其使用的加密算法的种类与 SSL使用的相似。然而，TLS 标准把如何启动 TLS握手和如何解释认证证书的决定

44、权留给运行于其上层的协议的设计者和实现者来判断。TLS 协议的目标，按其优先级顺序来说，是密码安全性、互操作性和可扩展性。(2). A.L2TP B.PPTP C.TLS D.IPSec（分数：2.00）A.B.C. D.解析：目前在网络上流行的“熊猫烧香”病毒属于_类型的病毒，感染该病毒后的计算机不会出现_的情况。（分数：10.98）(1). A.目录 B.引导区 C.蠕虫 D.DOS（分数：1.83）A.B.C. D.解析：解析 熊猫烧香是一种感染型的蠕虫病毒，它能感染系统中 exe、com、pif、src、html、asp 等文件，还能中止大量的反病毒软件进程并且会删除扩展名为 gho的

45、文件，该文件是系统备份工具 GHOST的备份文件，使用户的系统备份文件丢失。(2). A.执行文件图标变成熊猫烧香 B.用户信息被泄露 C.系统运行变慢 D.破坏计算机主板（分数：1.83）A.B.C.D. 解析：(3).所谓网络安全漏洞是指_。 A.用户的误操作引起的系统故障 B.网络结点的系统软件或应用软件在逻辑设计上的缺陷 C.网络硬件性能下降产生的缺陷 D.网络协议运行中出现的错误（分数：1.83）A.B. C.D.解析：解析 本题主要考查网络安全漏洞的基本概念，网络安全漏洞通常是指网络结点的系统软件或应用软件在逻辑上的缺陷，因此本题应该选择 B。(4).ARP攻击造成网络无法跨网段通

46、信的原因是_。 A.发送大量 ARP报文造成网络拥塞 B.伪造网关 ARP报文使得数据包无法发送到网关 C.ARP攻击破坏了网络的物理连通性 D.ARP攻击破坏了网关设备（分数：1.83）A.B. C.D.解析：解析 本题主要考查 ARP攻击的定义和特点。ARP 攻击是针对以太网地址解析协议(ARP)的一种攻击技术，这种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。ARP 攻击造成网络无法跨网段通信的原因是伪造网关 ARP报文使得数据包无法发送到网关。(5).下列安全协议中，用来实现安全电子邮件的协议是_。 A.IPSec B.L2TP C.PGP D.PPTP（分数：1.83）A.B.C. D.解析：解析 PGP(Pretty Good Privacy)，是一个基于 RSA公钥加密体系的邮