【计算机类职业资格】网络工程师-系统及网络安全基础及答案解析.doc

1、网络工程师-系统及网络安全基础及答案解析(总分：54.00，做题时间：90 分钟)ISO 7498-2 从体系结构的观点描述了可选的安全服务、特定的安全机制和普遍性的安全机制分别是 (1) 种。可信计算机系统评估准则(TCSEC)共分 4 类 7 级，分别为 (2) 。我国发布的GB 17895 1999 计算机信息系统安全保护等级划分准则规定了计算机信息系统安全保护能力的 (3) 个等级。计算机系统中可信计算机满足访问监控器需求的等级是 (4) 级。完整的信息安全保障体系应包括 (5) 。（分数：5.00）A.5、8、5B.8、5、5C.5、5、8D.8、6、5A.D，C1，C2，C3，B1

2、，B2，A1B.D，C1，C2，B1，B2，B3，A1C.D1，D2，C1，C2，B1，B2，A1D.D，C1，C2，B1，B2，A1，A2A.7B.6C.5D.4A.结构化保护B.系统审计保护C.安全标记保护D.访问验证保护A.加密、鉴别、访问控制、防火墙B.保护、检测、响应、恢复C.鉴别、访问控制、抗否认、抗病毒D.保密性、完整性、坚固性、可用性DES 加密算法采用的密码技术是 (1) ，它采用 (2) 位密钥对传输的数据进行加密。著名的网络安全系统Kerberos 采用的是 (3) 加密技术。公钥密码是 (4) ，常用的公钥加密算法有 (5) ，它可以实现加密和数字签名。（分数：5.00

3、）A.对称密钥密码技术B.公钥密码技术C.数字签名技术D.访问控制技术A.16B.128C.64D.56A.DESB.RSAC.HashD.IDEAA.对称密钥技术，有 1 个密钥B.不对称密钥技术，有 2 个密钥C.对称密钥技术，有 2 个密钥D.不对称密钥技术，有 1 个密钥A.RSAB.DESC.HashD.IDEASSL 主要用于 WWW 客户与服务器之间传送数据进行 (1) ，它位于 (2) 层之上，发送方接收 (3) 的数据进行加密，然后将加密数据送往 (4) 。 (5) 是专为在因特网上进行安全信用卡交易的协议。（分数：5.00）A.认证B.鉴别C.加密和鉴别D.数字签名A.链路

4、层B.网络层C.传输层D.应用层A.链路层B.网络层C.传输层D.应用层A.TCP 插口B.UDP 插口C.IP 层D.应用层A.PGPB.SETC.PEMD.MD5数据加密是一种保证数据安全性的方法，数据解密则是逆变换，即 (1) 。密码体制可分为 (2) 和 (3) 两大类。DES 的密钥长度为 (4) 位。破译密码面临多种不同的问题，其从易到难排列依次为 (5) 。（分数：5.00）A.由加密密钥求出解密密钥B.由密文求出明文C.由明文求出密文D.由解密密钥求出加密密钥A.公开密钥B.替代密码C.换位密码D.对称密钥A.公开密钥B.替代密码C.换位密码D.对称密钥A.32B.48C.64

5、D.128A.选择明文、已知明文、仅知密文B.已知明文、仅知密文、选择明文C.已知明文、选择明文、仅知密文D.仅知密文、已知密文、选择明文公开密钥方法的主要优点之一是 (1) 。RSA 算法的基础是 (2) 。当 N 个用户采用公开密钥方法进行通信时，系统中共有 (3) 个密钥，每个用户要小心保管好 (4) 个密钥，为了防止用户否认他们曾经通过计算机发送过的文件，较方便的方法是利用公开密钥的方法完成 (5) 。（分数：9.00）A.所有密钥公开B.采用加密解密计算方法C.便于密钥的传达D.易于用硬件实现A.素因子分解B.替代和置换的混合C.求高阶矩阵特征值D.K-L 变换A.NB.2NC.N(

6、N-1)/2D.N2A.0B.1C.N-1D.NA.文字加密B.文件复制C.数字签名D.文什存档防火墙是隔离内部网和外部网的一类安全系统。通常防火墒中使用的技术有过滤和代理两种。路由器可以根据 (1) 进行过滤，以阻挡某些非法访问。 (2) 是一种代理协议，使用该协议的代理服务器是一种 (3) 网关。另外一种代理服务器使用 (4) 技术，它可以把内部网络中的某些私有地址隐藏起来。所谓的可信任系统(Trusted System)，是指美国国防部定义的安全操作系统标准，常用的操作系统 UNIX 和 Windows NT 等可以达到该标准的 (5) 级。（分数：5.00）A.网卡地址B.IP 地址C

7、.用户标识D.加密方法A.SSLB.SSTC.SocksD.CPAPA.链路层B.网络层C.传输层D.应用层A.NATB.CIDRC.BGPD.OSPFA.DB.C1C.C2D.B2常规密钥密码体制又称为 (1) ，它是指 (2) 的密码体制。属于常规密钥密码体制的密码是 (3) 。采用密钥流序列作为密钥序列的属于 (4) 。国际数据加密算法 IDEA 属于 (5) 。（分数：5.00）A.不对称密钥系统B.对称密钥系统C.双密钥系统D.分组密钥系统(2).A加密、解密密钥相同 B。加密、解密密钥不相同C加密、解密密钥对称 D加密、解密密钥不对称（分数：1.00）A.B.C.D.A.MD5B.

8、RSRC.PGPD.DESA.替代密码B.置换密码C.序列密码D.分组密码A.替代密码B.置换密码C.序列密码D.分组密码VPN 是建立在 (1) 上的企业专用虚拟网，它有两种模式，分别是 (2) 。 (3) 是 VPN 基本技术，它可以模仿 (4) 技术。VPN 通过 (5) 保证在共用数据网上安全地传送密钥而不被窃取。（分数：5.00）A.公用网B.企业网C.局域网D.专线网A.安全模式和隧道模式B.隧道模式和直接模式C.安全模式和直接模式D.隧道模式和专线模式A.隧道技术B.密钥管理技术C.加解密技术D.身份认证技术A.广播B.一点对多点连接C.虚电路连接D.点对点连接A.数字签名技术B

9、.加解密技术C.密钥管理技术D.证书管理技术ARP 木马利用 (1) 协议设计之初没有任何验证功能这一漏洞而实施破坏。在以太网中，源主机以 (2) 方式向网络发送含有目的主机 IP 地址的 ARP 请求包；目的主机或另一个代表该主机的系统以 (3) 方式返回一个含有目的主机 IP 地址及其 MAC 地址对的应答包。源主机将这个地址对缓冲起来，以节约不必要的ARP 通信开销。ARP 协议 (4) 必须在接收到 ARP 请求后才可以发送应答包。主机在 (5) 导致网络访问不稳定。（分数：5.00）A.ICMPB.ARPC.TCPD.RARPA.单播B.多播C.广播D.任意播A.单播B.多播C.广播

10、D.任意播(4).A规定 B没有规定（分数：1.00）A.B.C.D.A.只有感染 ARP 木马时才会B.没有感染 ARP 木马时也有可能C.感染 ARP 木马时一定会D.感染 ARP 木马时一定不会可使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于 (1) 攻击类型。典型的针对系统漏洞的 DoS 攻击方式是 (2) 。向有限的空间输入超长的字符串是 (3) 攻击手段?用户收到了一封可疑的电子邮件，要求用户提供银行帐户及密码，这是属于 (4) 手段。属于 IE 共享炸弹的是 (5) 。（分数：5.00）A.拒绝服务B.文件共享C.远程过程调用D.BIND 漏

11、洞A.SYN FloodB.SmurfC.Ping of DeathD.TCP FloodA.缓冲区溢出B.网络监听C.拒绝服务D.IP 欺骗A.缓冲溢出攻击B.钓鱼攻击C.DDOS 攻击D.暗门攻击A.net use/192.168.0.1/tanker$“ “/user:“B./192.168.0.1/tanker$/nul/nulC./192.168.0.1/tankerD.net send 192.168.0.1 tanker网络工程师-系统及网络安全基础答案解析(总分：54.00，做题时间：90 分钟)ISO 7498-2 从体系结构的观点描述了可选的安全服务、特定的安全机制和普遍性

12、的安全机制分别是 (1) 种。可信计算机系统评估准则(TCSEC)共分 4 类 7 级，分别为 (2) 。我国发布的GB 17895 1999 计算机信息系统安全保护等级划分准则规定了计算机信息系统安全保护能力的 (3) 个等级。计算机系统中可信计算机满足访问监控器需求的等级是 (4) 级。完整的信息安全保障体系应包括 (5) 。（分数：5.00）A.5、8、5 B.8、5、5C.5、5、8D.8、6、5解析：A.D，C1，C2，C3，B1，B2，A1B.D，C1，C2，B1，B2，B3，A1 C.D1，D2，C1，C2，B1，B2，A1D.D，C1，C2，B1，B2，A1，A2解析：A.7B

13、.6C.5 D.4解析：A.结构化保护B.系统审计保护C.安全标记保护D.访问验证保护 解析：A.加密、鉴别、访问控制、防火墙B.保护、检测、响应、恢复 C.鉴别、访问控制、抗否认、抗病毒D.保密性、完整性、坚固性、可用性解析：(1)(4)题参见 13.1.1 节考点 1 网络安全基础。完整的信息安全保障体系应包括保护、检测、响应、恢复 4 个方面。保护是用加解密技术、访问控制技术、数字签名技术对信息的传输、存储、防问加以保护。检测是对信息传输内容的可控性、信息网络访问过程、违规与恶意攻击、系统与网络的安全漏洞等的检测。响应是保证信息系统与网络遇到攻击时及时采取措施，提供有力的响应机制。恢复指

14、灾难恢复。DES 加密算法采用的密码技术是 (1) ，它采用 (2) 位密钥对传输的数据进行加密。著名的网络安全系统Kerberos 采用的是 (3) 加密技术。公钥密码是 (4) ，常用的公钥加密算法有 (5) ，它可以实现加密和数字签名。（分数：5.00）A.对称密钥密码技术 B.公钥密码技术C.数字签名技术D.访问控制技术解析：A.16B.128C.64D.56 解析：A.DES B.RSAC.HashD.IDEA解析：A.对称密钥技术，有 1 个密钥B.不对称密钥技术，有 2 个密钥 C.对称密钥技术，有 2 个密钥D.不对称密钥技术，有 1 个密钥解析：A.RSA B.DESC.Ha

15、shD.IDEA解析：Kerberos 是为 TCP/IP 网络设计的基于 Client/Server 模式的第三方验证协议，目前最新版本是第5 版。Kerberos 基于对称密码体制，使用 DES 加密算法来进行加密和认证，通过密钥系统为客户机/服务器应用程序提供强大的认证服务。Kerberos 基于可信任第三方的概念，协议的安全不依赖于用户登录的主机或者应用服务器，而是依赖于 Kerberos 认证服务器。在 Kerberos 协议中，可信任第三方叫做KDC(Key Distribution Center，密钥分发中心)，又称 AS(Anthentication Server，认证服务器)

16、。SSL 主要用于 WWW 客户与服务器之间传送数据进行 (1) ，它位于 (2) 层之上，发送方接收 (3) 的数据进行加密，然后将加密数据送往 (4) 。 (5) 是专为在因特网上进行安全信用卡交易的协议。（分数：5.00）A.认证B.鉴别C.加密和鉴别 D.数字签名解析：A.链路层B.网络层C.传输层 D.应用层解析：A.链路层B.网络层C.传输层D.应用层 解析：A.TCP 插口 B.UDP 插口C.IP 层D.应用层解析：A.PGPB.SET C.PEMD.MD5解析：SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都

17、会被加密，从而保证通信的私密性。SSL 协议位于传输层和应用层之间，由SSL 记录协议、SSL 握手协议和 SSL 警报协议组成。SSL 握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和 Hash 算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和 Hash 算法参数。SSL记录协议根据 SSL 握手协议协商的参数对应用层送来的数据进行加密、压缩、计算消息鉴别码 MAC，然后经网络传输层发送给对方。SS

18、L 警报协议用来在客户和服务器之间传递 SSL 出错信息。数据加密是一种保证数据安全性的方法，数据解密则是逆变换，即 (1) 。密码体制可分为 (2) 和 (3) 两大类。DES 的密钥长度为 (4) 位。破译密码面临多种不同的问题，其从易到难排列依次为 (5) 。（分数：5.00）A.由加密密钥求出解密密钥B.由密文求出明文 C.由明文求出密文D.由解密密钥求出加密密钥解析：A.公开密钥B.替代密码C.换位密码D.对称密钥 解析：A.公开密钥 B.替代密码C.换位密码D.对称密钥解析：A.32B.48C.64 D.128解析：A.选择明文、已知明文、仅知密文 B.已知明文、仅知密文、选择明文

19、C.已知明文、选择明文、仅知密文D.仅知密文、已知密文、选择明文解析：破译密码的工作称为密码分析。密码分析有三种难度：(1)仅知密文。破译者得到了密文，其余一无所知。相对其他两种情况来说，这是最难破译的一种情况。(2)已知明文。在这种方法中，密码分析员掌握了一段明文和对应的密文，目的是发现加密的钥匙。在实际使用中，获得与某些密文所对应的明文是可能的。例如，电子邮件信头的格式总是固定的，如果加密电子邮件，则必然有一段密文对应于信头。这时已经比较容易破译密码，但还不是最容易的情况。(3)选择明文。在这种方法中，密码分析员设法让对手加密一段分析员选定的明文，并获得加密后的结果，目的是确定加密的钥匙。

20、这给了破译者充分的选择余地去分析加密方案。公开密钥方法的主要优点之一是 (1) 。RSA 算法的基础是 (2) 。当 N 个用户采用公开密钥方法进行通信时，系统中共有 (3) 个密钥，每个用户要小心保管好 (4) 个密钥，为了防止用户否认他们曾经通过计算机发送过的文件，较方便的方法是利用公开密钥的方法完成 (5) 。（分数：9.00）A.所有密钥公开B.采用加密解密计算方法C.便于密钥的传达 D.易于用硬件实现解析：A.素因子分解 B.替代和置换的混合C.求高阶矩阵特征值D.K-L 变换解析：A.NB.2N C.N(N-1)/2D.N2解析：A.0B.1 C.N-1D.N解析：A.文字加密B.

21、文件复制C.数字签名 D.文什存档解析：分析略。防火墙是隔离内部网和外部网的一类安全系统。通常防火墒中使用的技术有过滤和代理两种。路由器可以根据 (1) 进行过滤，以阻挡某些非法访问。 (2) 是一种代理协议，使用该协议的代理服务器是一种 (3) 网关。另外一种代理服务器使用 (4) 技术，它可以把内部网络中的某些私有地址隐藏起来。所谓的可信任系统(Trusted System)，是指美国国防部定义的安全操作系统标准，常用的操作系统 UNIX 和 Windows NT 等可以达到该标准的 (5) 级。（分数：5.00）A.网卡地址B.IP 地址 C.用户标识D.加密方法解析：A.SSLB.SS

22、TC.Socks D.CPAP解析：A.链路层B.网络层C.传输层D.应用层 解析：A.NAT B.CIDRC.BGPD.OSPF解析：A.DB.C1C.C2 D.B2解析：HTTP 代理可以把 HTTP 请求通过 HTTP 代理服务器转发到我们要防问的 HTTP 服务器，再把结果返回给我们，以达到代理的目的。正常情况下，请求 HTTP 服务的过程是：首先和目的服务器的 HTTP 服务端口建立 TCP 连接，然后做类似“GET/index.html HTTP/1.0”的请求，HTTP 服务器返回结果。当通过 HTTP代理的时候是这样工作的：首先和 HTTP 代理服务器的服务端口建立 TCP 连

23、接，然后做类似“GET http:/目标服务器地址/index.htm HTTP/1.0”的请求，代理服务器对目标服务器做请求后返回结果。Socks 是一个简单灵活的协议框架，包括 4 和 5 两个版本，是基于 TCP/IP 协议的基本应用程序代理协议。Socks4 代理只支持 TCP 应用，而 Socks5 代理则可以支持 TCP 和 UDP 两种应用。不过由于 Socks5 代理还支持各种身份验证机制、服务器端域名解析等，而 Socks4 代理没有，因此通常对外开放的 Socks 代理都是 Socks4 代理，UDP 应用通常都不能被支持。 Socks 和一般的应用层代理服务器完全不同。常

24、规密钥密码体制又称为 (1) ，它是指 (2) 的密码体制。属于常规密钥密码体制的密码是 (3) 。采用密钥流序列作为密钥序列的属于 (4) 。国际数据加密算法 IDEA 属于 (5) 。（分数：5.00）A.不对称密钥系统B.对称密钥系统 C.双密钥系统D.分组密钥系统解析：(2).A加密、解密密钥相同 B。加密、解密密钥不相同C加密、解密密钥对称 D加密、解密密钥不对称（分数：1.00）A. B.C.D.解析：A.MD5B.RSRC.PGPD.DES 解析：A.替代密码B.置换密码C.序列密码 D.分组密码解析：A.替代密码B.置换密码C.序列密码D.分组密码 解析：按照加密时对明文的处理

25、方式，密码算法又可分为分组密码算法和序列密码算法。分组密码算法是把密文分成等长的组分别加密，序列密码算法是一个比特一个比特地处理，用已知的密钥随机序列与明文按位异或。当然，当分组长度为 1 时，二者混为一谈。替代密码是指明文中每一个字符被密文中另一个字符所替代。接收者对密文进行逆替换就能得出明文。例如，英文中的 26 个字母，隔 3 个字母进行替代，即 e 代表 a，f 代表 b， g 代表 c，a 代表 w，b 代表x，c 代表 y，d 代表 z，那么明文“computer”可变换为“gsqtyxiv”，“gsqtyxiv”是无意义的字串，不说规则，别人就不知道是什么意思。如果接受方收到字串

26、，则只要进行逆替换，就可以得到“computer”。VPN 是建立在 (1) 上的企业专用虚拟网，它有两种模式，分别是 (2) 。 (3) 是 VPN 基本技术，它可以模仿 (4) 技术。VPN 通过 (5) 保证在共用数据网上安全地传送密钥而不被窃取。（分数：5.00）A.公用网 B.企业网C.局域网D.专线网解析：A.安全模式和隧道模式B.隧道模式和直接模式 C.安全模式和直接模式D.隧道模式和专线模式解析：A.隧道技术 B.密钥管理技术C.加解密技术D.身份认证技术解析：A.广播B.一点对多点连接C.虚电路连接D.点对点连接 解析：A.数字签名技术B.加解密技术C.密钥管理技术 D.证书

27、管理技术解析：分析略，参见考点虚拟专用网。ARP 木马利用 (1) 协议设计之初没有任何验证功能这一漏洞而实施破坏。在以太网中，源主机以 (2) 方式向网络发送含有目的主机 IP 地址的 ARP 请求包；目的主机或另一个代表该主机的系统以 (3) 方式返回一个含有目的主机 IP 地址及其 MAC 地址对的应答包。源主机将这个地址对缓冲起来，以节约不必要的ARP 通信开销。ARP 协议 (4) 必须在接收到 ARP 请求后才可以发送应答包。主机在 (5) 导致网络访问不稳定。（分数：5.00）A.ICMPB.ARP C.TCPD.RARP解析：A.单播B.多播C.广播 D.任意播解析：A.单播

28、B.多播C.广播D.任意播解析：(4).A规定 B没有规定（分数：1.00）A.B. C.D.解析：A.只有感染 ARP 木马时才会B.没有感染 ARP 木马时也有可能C.感染 ARP 木马时一定会 D.感染 ARP 木马时一定不会解析：分析略，参见考点计算机病毒。可使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于 (1) 攻击类型。典型的针对系统漏洞的 DoS 攻击方式是 (2) 。向有限的空间输入超长的字符串是 (3) 攻击手段?用户收到了一封可疑的电子邮件，要求用户提供银行帐户及密码，这是属于 (4) 手段。属于 IE 共享炸弹的是 (5) 。（分数：

29、5.00）A.拒绝服务 B.文件共享C.远程过程调用D.BIND 漏洞解析：A.SYN Flood B.SmurfC.Ping of DeathD.TCP Flood解析：A.缓冲区溢出 B.网络监听C.拒绝服务D.IP 欺骗解析：A.缓冲溢出攻击B.钓鱼攻击 C.DDOS 攻击D.暗门攻击解析：A.net use/192.168.0.1/tanker$“ “/user:“B./192.168.0.1/tanker$/nul/nul C./192.168.0.1/tankerD.net send 192.168.0.1 tanker解析：“Ping of Death”攻击就是我们常说的“死亡

30、Ping”。这种攻击通过发送大于 65536 字节的 ICMP包使操作系统崩溃，最终会导致被攻击目标缓冲区溢出，引起拒绝服务攻击。有些时候导致 Telnet 和HTTP 服务停止，有些时候导致路由器重启。Smurf 攻击通过使用将回复地址设置成受害网络的广播地址的 ICMP 应答请求(Ping)数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此 ICMP 应答请求做出答复，导致网络阻塞。SYN Flood 是当前最流行的 DoS(拒绝服务攻击)与 DDoS(分布式拒绝服务攻击)方式之一，这是一种利用TCP 协议缺陷发送大量伪造的 TCP 连接请求，从而使得被攻击方资源耗尽(CPU

31、满负荷或内存不足)的攻击方式。缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上，理想的情况是程序检查数据长度，不允许输入超过缓冲区长度的字符，但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈。在各个操作进程之间，指令会被临时储存在堆栈当中，堆栈也会出现缓冲区溢出。缓冲区溢出有时又称为堆栈溢出攻击，它是过去的十多年里，网络安全漏洞常用的一种形式并且易于扩充。相比于其他因素，缓冲区溢山是网络受到攻击的主要原因。“钓鱼攻击”是指利用欺骗性的电子邮件和伪造的 Web 站点来进行诈骗

32、活动，受骗者往往会泄露自己的财务数据，如信用卡号、帐户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。在所有接触诈骗信息的用户中，有高达 5%的人都会对这些骗局做出响应。共享炸法利用 Windows 9x 的/con/con 设备名称解析漏洞，允许用户远程攻击，导致 Windows 9x 系统崩溃。请求访问系统上一些包含设备名的非法路径，这将导致 Windows 9x 崩溃。当 Windows 解析这些路径时，内核的溢出将导致整个系统出错。目前发现有五个设备或设备驱动程序可以使系统崩溃，它们是：CON、NUL、AUX、CLOCK$、CONFIG$，其他设备如 LPTx 和 COMx 则不行。把它们组合起来形成一个路径，如CONLNUL、 NUL/CON、AUX/NUL，只要请求成功，Windows 系统就将崩溃。如果目标机器上存在共享，则不管该共享资源有没有设置密码，都可以用这个办法使系统死机。比如机器192.168.0.2 上有一个名称为 d 的共享，则在“运行”中输入下面的命令可以使目标 Windows 9x 系统崩溃：/192.168.0.2/d/nul/nul。