[计算机类试卷]网络安全与信息化安全练习试卷1及答案与解析.doc

《[计算机类试卷]网络安全与信息化安全练习试卷1及答案与解析.doc》由会员分享，可在线阅读，更多相关《[计算机类试卷]网络安全与信息化安全练习试卷1及答案与解析.doc（27页珍藏版）》请在麦多课文档分享上搜索。

1、网络安全与信息化安全练习试卷 1及答案与解析 1 某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Internet上的机器随意访问公司局域网。虚拟专用网使用 _协议可以解决这一需求。 （ A） PPTP （ B） RC-5 （ C） UDP （ D） Telnet 2 用于在网络应用层和传输层之间提供加密方案的协议是 _。 （ A） PGP （ B） SSL （ C） IPSec （ D） DES 3 IPSec VPN安 全技术没有用到 _。 （ A）隧道技术 （ B）加密技术 （ C）入侵检测技术 （ D）身份认

2、证技术 4 IPSec提供了在局域网、广域网和互联网中安全通信的能力。以下关于 IPSec说法错误的是 _。 （ A） IPSec协议在发起者和应答者之间可定义预先共享密钥、数字签名、公共密钥 PKE等相互认证方式 （ B） IPSec可以手工静态配置 SA，也可利用 Internet密钥交换 (IKE)动态建立 SA （ C） IPSec能在 IPv4环境下工作，但不适应 IPv6环境 （ D） IPSec可提供同一 公司各分支机构通过 Intenet的安全连接 5 L2TP协议是一种二层 VPN隧道协议，它结合了 Cisco的 L2F和 Microsoft PPTP的优点。该协议报文封装在

3、 _协议之上。 （ A） PPP （ B） IP （ C） TCP （ D） UDP 6 由 L2TPv2构建的 VPN网络中，主要由 LAC和 LNS两种网络设备构成。以下说法错误的是 _。 （ A） L2TP是一种主动式隧道协议，它可从客户端或访问服务器端发起 VPN连接 （ B） LAC支持客户端的 L2TP，用于发起呼叫、接收呼叫和建立 隧道 （ C） LNS是 PPP端系统上用于处理 L2TP服务器端部分的软件，是所有隧道的终点 （ D） LAC是一种附属在网络上的具有 PPP端系统和 L2TPv2协议处理能力的设备 7 SSL-VPN可利用 Web浏览器标准配置的 SSL加密功能来

4、保证数据通信的安全性。以下关于 SSL-VPN说法中，错误的是 _。 （ A）客户机与 Web服务器的 TCP 443端口建立一条 SSL连接，用于传递 SSL处理后的数据 （ B） SSL协议通过数字证书同时对客户端和服务器端进行认证 （ C）通过 SSL握手协议创建一个 SSL会话，并借助 SSL记录协议层的链路协商加密密钥 （ D）当 Web服务器处理完服务请求向客户返回响应信息时， SSL-VPN设备将对Web服务器传来的响应信息进行加密 8 3DES在 DES的基础上，使用两个 56位的密钥 K1和 K2，发送方用 K1加密，K2解密，再用 K1加密。接受方用 K1解密， K2加密，

5、再用 K1解密，这相当于使用 _倍于 DES的密钥长度的加密效果。 （ A） 1 （ B） 2 （ C） 3 （ D） 6 9 采用 DES数据加密标准进行数据加密时，加密算法中的基本运算中不包括_。 （ A）模加运算 （ B）模乘运算 （ C）移位运算 （ D）置换运算 10 以下关于 RSA加密算法的说法中，错误的是 _。 （ A） RSA算法是一种非对称加密算法 （ B） RSA算法可用于某种数字签名方案 （ C） RSA算法的运算速度比 DES算法快 （ D） RSA算法主要基于素因子难于分解 11 在电子商务应用中，为了防止用户否认他们曾经通过计算机发送过的文件，较简便的方法是 _。

6、 （ A）利用对称密钥方法进行文件加密 （ B）利用公开密钥方法进行数字签名 （ C）利用消息摘 要方法进行文件复制 （ D）利用日志审计方法进行文件存档 12 图 2-6示意了发送者利用非对称加密算法向接收者传送消息的过程，图中 a和 b处分别是 _。（ A）接收者的公钥，接收者的私钥 （ B）发送者的公钥，接收者的私钥 （ C）发送者的私钥，接收者的公钥 （ D）接收者的私钥，接收者的公钥 13 根据统计显示， 80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高同一局域网内安全性的措施是_。 （ A）使用防病毒软件 （ B）使用日志审 计系统

7、（ C）使用入侵检测系统 （ D）使用防火墙防止内部攻击 14 网络安全设计是保证网络安全运行的基础，网络安全设计有其基本的设计原则，以下关于网络安全设计原则的描述，错误的是 _。 （ A）网络安全的 “木桶原则 ”强调对信息均衡、全面地进行保护 （ B）良好的等级划分，是实现网络安全的保障 （ C）网络安全系统设计应独立进行，不需要考虑网络结构 （ D）网络安全系统应该以不影响系统正常运行为前提 15 关于网络安全，以下说法中正确的是 _。 （ A）使用无线传输可以防御网络监听 （ B）木马是一种蠕虫病毒 （ C）使用防火墙可以有效地防御病毒 （ D）冲击波病毒利用 Windows的 RPC

8、漏洞进行传播 16 许多黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是_。 （ A）安装防火墙 （ B）安装用户认证系统 （ C）安装相关的系统补丁软件 （ D）安装防病毒软件 17 无法有效防御 DDoS攻击。 （ A）根据 IP地址对数据包进行过滤 （ B）为系统访问提供更高级别的身份认证 （ C）安装防病毒软件 （ D）使用工具软件检测不正常的高流量 18 在密码学中，单向 Hash函数具有 _所描述的特性。 （ A）对输入的长度不固定的字符串，返回一串不同长度的字符串 （ B）不仅可以用于产生信息摘要，还可以用于加密短信息 （ C）在某一特定时间内，无法查找经 Has

9、h操作后生成特定 Hash值的原报文 （ D）不能运用 Hash解决验证签名、用户身份认证和不可抵赖性问题 19 在使用 Kerberos进行密钥管理的环境中，有 N个人，为确保在任意两个人之间进行秘密对话，系统所需的最少会话密钥数为 _个。 （ A） N-1 （ B） N （ C） N+1 （ D） N(N-1)/2 20 不属于 PKI CA认证中心的功能。 （ A）接收并验证最终用户数字证书的申请 （ B）向申请者颁发或拒绝颁发数字证书 （ C）产生和发布证书废止列表 (CRE)，验证证书状态 （ D）业务受理点 LRA的全面管理 21 采用 Kerberos系统进行认证时，可以在报文中

10、加入 _来防止重放攻击。 （ A）会话密钥 （ B）时问戳 （ C）用户 ID （ D）私有密钥 22 某公司局域网防火墙由包过滤路由器 R和应用网关 F组成，如图 2-8所示。下面描述错误的是 _。 （ A）可以限制计算机 c只能访问 Internet上在 TCP端口 80上开放的服务 （ B）可以限制计算机 A仅能访问以 “202”为前缀的 IP地址 （ C）可以使计算机 B无法使用 FTP协议从 Internet上下载数据 （ D）计算机 A能够与膝上型计算机建立直接的 TCP连接 23 _不属于将入侵检测系统部署在 DMZ中的优点。 （ A）可以查看受保护区域主机被攻击的状态 （ B）

11、可以检测防火墙系统的策略配置是否合理 （ C）可以检测 DMZ被黑客攻击的重点 （ D）可以审计来自 Internet上对 受保护网络的攻击类型 24 包过滤防火墙通过 _来确定数据包是否能通过。 （ A）路由表 （ B） ARP表 （ C） NAT表 （ D）过滤规则 25 数字信封 _。 （ A）使用非对称密钥体制密码算法加密邮件正文 （ B）使用 RSA算法对邮件正文生成摘要 （ C）使用收件人的公钥加密会话密钥 （ D）使用发件人的私钥加密会话密钥 26 SSL(TLS)协议 _。 （ A）工作于 TCP/IP协议栈的网络层 （ B）不能够提供身份认证功能 （ C）仅能够实现加解密功能

12、 （ D）可以被用于实现安全电子邮件 27 某公司的业务员甲与客户乙通过 Internet交换商业电子邮件。为保障邮件内容的安全，采用安全电子邮件技术对邮件内容进行加密和数字签名。在如图 2-9所示的安全电子邮件技术的实现原理图中 (1) (4)应分别填入 _。（ A）乙的公钥、 DES算法、乙的公钥、乙的私钥 （ B）会话密钥、 MD5算法、甲的私钥、甲的公钥 （ C）甲的公钥、乙的公钥、甲的公钥、甲的私钥 （ D）数字证书、甲的公钥、乙的私钥、乙的公钥 28 某公司的业务员与客户通过 Internet交换 商业电子邮件 (E-mail)。为保障 E-mail内容的安全，采用安全电子邮件技术

13、对 E-mail内容进行加密和数字签名。以下关于安全电子邮件实现技术说法中，正确的是 _。 （ A）不同输入邮件计算出的摘要长度相同 （ B）仅根据摘要很容易还原出原邮件 （ C）不同的邮件很可能生成相同的摘要 （ D）由邮件计算出其摘要的时间比邮件的加密时间长 29 某电子商务公司的业务员甲使用 Outlook Express撰写发送给业务员乙的邮件，他应该使用 _的数字证书来对邮件加密。 （ A） CA认证中心 （ B）第三方 （ C）甲 （ D）乙 30 某电子商务公司的业务员乙收到了地址为客户甲的含数字签名的邮件，他可以通过验证数字签名来确认 _。 （ A）邮件中是否含有病毒 （ B）

14、邮件在传送过程中是否被篡改 （ C）邮件在传送过程中是否被窃取 （ D）邮件在传送过程中是否加密 30 某公司为便于员工在家里访问公司的一些数据，允许员工通过 Internet访问公司的 FTP服务器，如图 2-2所示。为了能够方便地实现这一目标，决定在客户机与FTP服务器之间采用 (1)协议，在传输层对数据进行加密。该协 议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在 (2)。31 (1) （ A） SSL （ B） IPSec （ C） PPTP （ D） TCP 32 (2) （ A）接通阶段 （ B）密码交换阶段 （ C）会谈密码阶段 （ D）客户认证阶段

15、 32 为了保障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法 (1)，所以特别适合对大量的数据进行加密。国际数据加密算法 IDEA的密钥长度是 (2)位。 33 (1) （ A）比非对称密码算法更安全 （ B）比 非对称密码算法密钥长度更长 （ C）比非对称密码算法效率更高 （ D）还能同时用于身份认证 34 (2) （ A） 56 （ B） 64 （ C） 128 （ D） 256 34 目前在网络上流行的 “熊猫烧香 ”病毒属于 (1)类型的病毒，感染该病毒后的计算机不会出现 (2)的情况。 35 (1) （ A）目录 （ B）引导区 （ C）蠕虫 （ D） DOS

16、36 (2) （ A）执行文件图标变成熊猫烧香 （ B）用户信息被泄漏 （ C）系统运行变慢 （ D）破坏计算机主板 36 风险分析和管理是软件开 发的一项重要活动。在软件工程领域主要基于 (1)以及必须抓住选择机会考虑风险。实践中存在许多种软件风险，如 “潜在的设计、实现、维护等方面的问题 ”属于 (2)风险。 37 (1) （ A）关心未来、关心不变性 （ B）关心当前、关心不变性 （ C）关心当前、关心变化 （ D）关心未来、关心变化 38 (2) （ A）技术 （ B）过程 （ C）项目 （ D）商业 网络安全与信息化安全练习试卷 1答案与解析 1 【正确答案】 A 【试题解析】 虚拟

17、专用网可以利用公共网络 (例如 Internet网 )通 过使用相应的安全协议以低廉的成本，方便地将处于不同地理位置的网络互联，以构建成虚拟的(逻辑上 )“专用 ”网络。 本试题 4个选项中，选项 A的 “PPTP”是一种基于 PPP协议的二层 VPN隧道协议；选项 B的 “RC-5”是一种基于 RSA算法开发的对称加密算法；选项 C的“UDP”是用户数据报协议的英文缩写；选项 D的 “Telnet”是一种基于客户机朋艮务器模式的远程登录协议，它将用户计算机与远程主机连接起来，并将本地的输入送给远程计算机，在远程计算机上运行相应程序，然后将相应的屏幕显示传送到本地机器，它可以用于 Intein

18、et信息服务器远程管理。 由以上分析可知， 4个选项中只有选项 A的 “PPTP”与试题讨论的主题 “虚拟专用网 ”相关。因此，选项 A的 “PPTP”是该空缺处所填内容的正确答案。 【知识模块】 网络安全与信息化安全 2 【正确答案】 B 【试题解析】 本试题 4个选项中，选项 A的 “PGP”是一个基于： RSA公钥加密体系、混合加密的应用层软件，可以用它保护文件、电子邮件、磁盘空间等；选项 B的 “SSL”是一种用于在应用层和传输层之间提供加密方案的协议；选项 C的“IPSec”是一种应用于网 络互联层的 VPN安全协议；选项 D的 “DES”是一种国际标准化组织 (ISO)核准的数据加

19、密标准，它用 56位密钥加密 64位明文，用于产生64位密文。 由试题中关健信息 “ 在网络应用层和传输层之间 ” 可知，只有选项 B的“SSL”符合题意的要求。 【知识模块】 网络安全与信息化安全 3 【正确答案】 C 【试题解析】 虚拟专用网 (VPN)主要采用 隧道技术、 加解密技术、 密钥管理技术、 使用者与设备身份认证技术来保证内部数据通过 Internet的安全传输。 而选项 C的 “入侵检 测技术 ”能够实时应对来自内网己知的攻击，但它对未知的攻击检测能力较弱，且存在误报率高的缺点。如果能将入侵检测系统和防火墙等其他安全系统进行联动，就能够更加有效地防止网络攻击。 【知识模块】

20、网络安全与信息化安全 4 【正确答案】 C 【试题解析】 IP安全性 (IP Security， IPSec)提供了在局域网、广域网和互联网中安全通信的能力。它可提供同一公司各分支机构通过 Intenet的安全连接，即可提供对 Intenet的远程安全访问。例如，可将 IPSec协议应用于电子商务以提高它的安全性 。 IPSec协议同时支持 IPv4/IPv6两种应用环境。 【知识模块】 网络安全与信息化安全 5 【正确答案】 D 【试题解析】 L2TP协议是一种基于 PPP协议的二层隧道协议，其报文封装在UDP协议之上，使用 UDP1701端口。 【知识模块】 网络安全与信息化安全 6 【正

21、确答案】 A 【试题解析】 L2TP是一种基于 PPF， (点对点协议 )的二层隧道协议，是典型的被动式隧道协议 (非主动式 )，它可从客户端或访问服务器端发起 VPN连接。由L2TPv2构建的 VPN网络中，主要由 L2TP访问集中器 (LAC)和 L2TP网络服务器(LNS)两种类型的网络设备构成。其中， LAC支持客户端的 L2TP，用于发起呼叫、接收呼叫和建立隧道，是一种附属在网络上的具有 PPP端系统和 L2TPv2协议处理能力的设备。 LNS是 PPP端系统上用于处理 L2TP服务器端部分的软件，是所有隧道的终点， LNS终止所有的 PPP流。在传统的 PPP连接中，用户拨号连接的

22、终点是 LAC， L2TP使得 PPP协议的终点延伸到 LNS。 【知识模块】 网络安全与信息化安全 7 【正确答案】 B 【试题解析】 对于选项 A，客户机的 TCP层与 Web服务器的 TCP 443端口建立一条 SSL连接，用于传递 SSL处理后的数据。此时这条 SSL连接与一个对应的SSL会话是点对点的关系。 对于选项 B，由于 SSL协议必须支持服务器端的认证，可通过客户端对服务器端的数字证书认证来完成此功能，而对客户端的认证是作为一个可选项，因此选项 B的说法不完全正确。 对于选项 C，可通过 SSL握手协议创建一个 SSL会话，并借助 SSL记录协议层的链路协商加密密钥，并用此密

23、钥来加密 HTTP请求。 SSL记录协议为 SSL连接提供保密性和报文完整性两 种安全服务。 对于选项 D，通常将 SSL-VPN设备设置在 Internet和内部 LAN的边界 DMZ上。当使用具有 SSL功能的浏览器访问公司内部 Web服务器时，客户端 Web浏览器的 SSL协议会对这一请求分组进行加密，加密后 IP分组将通过各地路由器转发到目标 SSL-VPN设备上。 SSL-VPN设备先对接收的 IP分组进行解密，然后作为客户的代理向公司内部的 Web服务器递交服务请求。当 Web服务器处理完服务请求向客户返回响应信息时， SSL-VPN设备将对 Web服务器传来的响应信息进行加密，加

24、密后响应分组将通 过各地路由器转发到客户端上。客户端 Web浏览器的 SSL协议将对这一响应分组进行解密，然后将解密后响应信息递交给应用层进行相应处理。 【知识模块】 网络安全与信息化安全 8 【正确答案】 B 【试题解析】 DES是一种国际标准化组织 (ISO)核准的数据加密标准，其算法基础是替代和置换的混合形式。它用 56位密钥加密 64位明文，用于产生 64位密文。3DES在 DES的基础上通过组合分组方法设计相应的加密算法。假设 P代表明文， C代表密文， EK()代表 DES算法的加密过程， DK()代表 DES算法的解密过程 ，则根据本试题中的相关描述，该 3DES的加密过程为：；

25、 3DES的解密过程为： 。 由于在发送方的两次加密过程均使用密钥 K1，在接受方的两次解密过程也均使用密钥 K1，因此这种 3DES(也称为 Triple DES)密钥的有效长度为 562=112位，其加密效果相当于 DES的 56位密钥长度的加密效果的 2倍。 【知识模块】 网络安全与信息化安全 9 【正确答案】 B 【试题解析】 DES是一种国际标准化组织 (ISO)核准的数据加密标准，它用 56位密钥加密 64位明文，用于产生 64位密文。其算法基础是替 代和置换的混合形式，并由两者交替多次反复使用来实现。它每次加密对一个长度为 64位的分组进行。它要求保密通信的双方必须有一个特定的密

26、钥，当有 Jv个人之间互相进行保密通信时，总共需要 个密钥。 选项 A的 “模加运算 ”主要用于密文的输出过程；选项 C的 “移位运算 ”主要用于子密钥的生成过程；选项 D的 “置换运算 ”是指 DES加密算法中 16轮迭代乘积变换运算。 【知识模块】 网络安全与信息化安全 10 【正确答案】 C 【试题解析】 RSA加密算法是一种非对称加密算法，其算法主要基于素因子难于分解。其密钥长 度为 512bit，加解密过程中要进行大指数模运算，因此它的加解密速度比 DES算法慢。 数字签名用于保证消息的发送方和接收方的真实性，其应用较为广泛的 3种签名算法是 Hash签名、 DSS签名、 RSA签名

27、。 【知识模块】 网络安全与信息化安全 11 【正确答案】 B 【试题解析】 公开密钥方法的主要优点之一是便于密钥的传送。当 N个用户采用公开密钥方法保密通信时，系统中一共有 2N个密钥，每个用 户要小心保管好 1个密钥 (私钥 )。在电子商务应用中，为了防止不老实用户否认他们曾经通过计算机发送过的文件，较简便的方法是利用公开密钥方法进行数字签名。 【知识模块】 网络安全与信息化安全 12 【正确答案】 A 【试题解析】 公钥加密系统中，发送者使用从安全证书中心 (CA)获取的接收者的公钥对所传送的消息进行加密，接收者使用其本身的私钥对该密文进行解密。从而实现所发送的消息只提供给指定接收者阅读

28、的功能。 在公钥加密系统中，如果要实现所发送的消息供公众阅读，则需发送者使用自身的私钥对所传 送的消息进行加密，接收者从 CA中心获取的发送者的公钥对密文进行解密。 本试题 4个选项未出现 “发送者的私钥，发送者的公钥 ”，因此只有选项 A是正确答案。 【知识模块】 网络安全与信息化安全 13 【正确答案】 D 【试题解析】 本题解答过程中需特别注意到试题中 “同一局域网内 ”这一关健信息。在局域网 (LAN)内部 使用防病毒软件，可以能够检测、标识或清除服务器或客户机操作系统中的病毒程序； 使用日志审计系统能够在事件发生时或事后发现安全问题，有助于追查责任，定位故障，系统恢复； 使用入侵检

29、测系统能够实时应对来自内网己知的攻击，但它对未知的攻击检测能力较弱。而防火墙是建立在内外网边界上的过滤封锁机制，能够防止外网未经授权地访问内网，能够防止外网对内网的攻击，也能防止内网未经授权地访问外网。但是仅使用防火墙不能有效地防止内网的攻击。如果能将入侵检测系统和防火墙等其他安全系统进行联动，就能够更加有效地防止网络攻击。 【知识模块】 网络安全与信息化安全 14 【正确答案】 C 【试题解析】 保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明确网络安全的框 架体系、安全防范的层次结构和系统设计的基本原则，分析网络系统的各个不安全环节，找到安全漏洞，做到有的放

30、矢。通常，网络安全设计是需遵循 木桶原则、 整体性原则、 等级性原则、 安全性评价与平衡原则、 标准化与一致性原则、 统筹规划、分步实施等原则。 在进行网络安全系统设计时，要充分考虑现有的网络结构，保证不影响系统正常运行的前提下逐步完善网络的安全系统。 【知识模块】 网络安全与信息化安全 15 【正确答案】 D 【试题解析】 无线传输的数字信号容易被设备监听。为了防御网络监听，最常 用的方法是信息加密。 特洛伊木马 (简称木马， Troian house)是一种通过网络入侵用户计算机系统的 C/S软件，是基于远程控制的的黑客工具，具有隐蔽性和非授权性的特点。它与普通病毒是有区别的，严格意义上讲

31、它不是一种病毒。 蠕虫病毒 (Worm)是一种利用网络进行复制和传播的计算机病毒，例如冲击波、震荡波、网络天空、熊猫烧香等病毒。它主要通过系统漏洞、聊天软件和电子邮件等途径进行传播。防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁。 防火墙用于检测通过网络的数据包，只能 对网络连接和数据包进行封堵，而病毒可以通过文件等诸多途径入侵用户的计算机，因此防火墙不能有效地防御病毒。 冲击波 (Worm.Blaster)病毒是利用 Windows操作系统的 RPC DCOM漏洞进行快速传播，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、无法正常上网，甚至导致

32、系统崩溃。该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。 【知识模块】 网络安全与信息化安全 16 【正确答案】 C 【试题解析 】 缓冲区溢出攻击是利用目标程序的缓冲区溢出漏洞，通过操作目标程序堆栈并暴力改写其返回地址，从而获得目标控制权。其原理是向一个有限空间的缓冲区中拷贝过长的字符串，从而导致这一过长的字符串覆盖了相临的存储单元而造成程序瘫痪、系统重启等现象；同时可让攻击者运行恶意代码、执行任意指令、获得超级权限等。 由于这种攻击方式所传输的数据分组并无异常特征，没有任何欺骗，以及可以用来实施缓冲区溢出攻击的字符串的多样化，无法与正常数据有

33、效进行区分。因此防火墙对这种攻击方式无能为力。另外，因为这种攻击方式不是一种窃密和 欺骗的手段，而是从计算机系统的最底层发起攻击，所以在它的攻击下系统的身份验证和访问权限等安全策略形同虚设。这就要求系统管理员或普通用户及时为操作系统和应用程序更新补丁程序，并通过减少不必要的开放服务端口等措施来降低因缓冲区溢出而造成的攻击损失。 【知识模块】 网络安全与信息化安全 17 【正确答案】 C 【试题解析】 分布式拒绝服务 (DDoS， Distributed Denial of Service)是一种分布、协作的大规模攻击方式，其基本原理是利用合理的服务请求来占用过多的服务资源，从而 使合法用户无法

34、得到服务的响应。 以下提供几种防御 DDoS攻击的方法： 及时更新操作系统补丁； 尽量使用稳定版本的服务程序； 限制特定 IP地址段的数据访问，或根据 IP地址对数据包进行 ACL过滤； 使用工具软件检测不正常的高流量； 限制同时打开的 SYN最大连接数，或在路由器上限制 SYN数据包流量速率； 缩短 SYN连接的 time out时间； 尽量关闭不必要的服务端口； 启用防火墙的防 DDoS的属性； 启用 Cisco路由器的 CEF(Cisco Express Forwarding)服务； 为系统访问提供更 高级别的身份认证，从而封堵某些非法用户的攻击等。 由于 DDoS是 “利用合理的服务请

35、求 ”，因此在系统中安装防病毒软件对这种攻击方式无防御能力。 【知识模块】 网络安全与信息化安全 18 【正确答案】 C 【试题解析】 一个好的摘要函数具有如下特点： 根据输入报文获取其输出摘要的时间非常短； 根据输出数据无法还原出输入数据； 不同长度的输入报文计算出的摘要长度相同。 同以上摘要函数特点可知，选项 C的描述是正确的。而选项 A的描述是错误的，对选项 A的正确描述应该是 “对输入的长度不固 定的字符串，返回一串相同长度的字符串 ”。 通常摘要函数可用于数字签名、用户身份认证和防抵赖等场合，而不用于加密消息。 【知识模块】 网络安全与信息化安全 19 【正确答案】 B 【试题解析】

36、 Kerbetos协议可用于防止窃听、防止重放攻击、保护数据完整性等场合，它是一种应用对称密钥体制进行密钥管理的系统。当有 N个人使用该系统时，为确保在任意两个人之间进行秘密对话，系统中至少保存有它与每个人的共享密钥，即所需的最少会话密钥数为 N个。 【知识模块】 网络安全与信息化安全 20 【正确答案】 D 【试题解析】 PKI CA认证中心的主要功能是发放和管理数字证书，其中包括接收并验证终端用户数字证书的申请、向申请者颁发或拒绝颁发数字证书，产生和发布证书废止列表 (CRE)以及验证证书状态。 通常 CA认证中心采用 “统一建设，分级管理 ”的原则分为多层结构，即建立统一的注册中心 (R

37、A)系统。各地市以及各行业可以根据具体情况申请设置不同层次的下级 RA中心或本地注册中心 (LRA)。 RA系统负责用户证书审核，并为 LRA系统在各分支机构的分布建设提供策略支撑。终端用户可通过 LRA业务 受理点完成证书业务的办理。 【知识模块】 网络安全与信息化安全 21 【正确答案】 B 【试题解析】 基于 Kerberos协议的身份认证系统利用智能卡产生一次性密钥，可以防止窃听者捕获认证信息；为了防止会话劫持，该系统提供了连续加密机制。另外，报文中还加入了时间戳，用于防止重发攻击 (Replay attack)。 【知识模块】 网络安全与信息化安全 22 【正确答案】 D 【试题解析

38、】 该公司局域网防火墙由包过滤路由器 R和应用网关 F组成，计算机 C必须通过应用网关 F才能与膝上型 计算机建立 TCP连接。 通过在包过滤路由器上设置访问控制规则 (ACL)，可以 限制计算机 A仅能访问以 “202”为前缀的 IP地址； 对计算机 B仅开放 TCP 80端口，使它只能访问Internet的 Web服务； 禁止计算机 B的 TCP 20/21端口，限制它使用 FTP协议从 Internet上下载数据。 【知识模块】 网络安全与信息化安全 23 【正确答案】 D 【试题解析】 如果将入侵检测系统 (IDS)部署在防火墙的非军事区 (DMZ)中，则可以查看受保护区域 (DMZ)

39、内主机被攻击的状态， 从而间接了解黑客对 DMZ区域攻击的重点内容是什么，以及间接检查防火墙系统的策略配置是否合理。 如果将 IDS系统部署在防火墙的 DMZ外，那么它就不能访问 DMZ区域的主机，也不无法审计来自 Internet上对受保护网络的攻击。 【知识模块】 网络安全与信息化安全 24 【正确答案】 D 【试题解析】 通过在包过滤防火墙上设置访问控制规则 (ACL)来允许某些 IP数据包通过，或禁止某些 IP数据包通过。 根据网络系统的运行情况，自动调整的动态路由表或手工配置的静态路由表，用于决定所接收 的 IP数据包的传输路径 (即从设备的哪个端口发送出去 )。 地址转换协议 (A

40、RP)表用于记录网络通信环境中，近期常与之通信的网络设备的IP地址和 MAC地址的映射关系，以利于数据帧的快速转发。 网络地址转换 (NAT)表用于记录源 IP地址、源端口号和目的 IP地址、目的端口号之间的映射关系。 【知识模块】 网络安全与信息化安全 25 【正确答案】 C 【试题解析】 数字信封是一种采用公钥密码体制和对称密码体制，来加密电子邮件的安全措施。其基本原理是使用对称密钥对邮件原文进行加密，同时 将该对称密钥 (会话密钥 )用收件人的公钥加密后传送给对方。接着收件人先用自己的私钥解密信封，取出对称密钥后继续解密出原文。 由于公钥密码体制的加解密过程使用不同的密钥，效率较低。因此

41、，常用于加密长度较短的消息摘要和会话密钥。而对称密码体制的加解密效率较高，适合于加解密大量的数据，即可用于加密邮件正文。另外，数字信封是使用 Hash算法对邮件正文运算后生成消息摘要的。 【知识模块】 网络安全与信息化安全 26 【正确答案】 D 【试题解析】 安全套接层 (SSL/TLS)协议是一个工作于 TCP/IP协议栈的传输层之上的安全协议。该协议向基于客户机 /服务器应用程序提供客户端和服务器的 保密性、 数据完整性和 身份认证等方面的安全服务。 SSL协议即可使用对称加密技术，也可使用公钥加密技术对所要传送的数据进行加密。该协议还要求在握手交换数据时进行数字认证以确保用户的合法性，

42、其采用 Hash函数和机密共享机制来提供信息的完整性服务。基于这些安全特征， SSL协议可用于安全电子邮件的传送等众多安全应用场合。 【知识模块】 网络安全与信息化安全 27 【正确答案】 B 【试题解析】 图 2-9给出了电子邮件加密和身份认证的主要过程。由图 2-9的方向箭头可知，业务员甲先使用客户乙的公钥加密 (1)空缺处的密钥，然后用这一加密后的密钥加密所要发送的电子邮件。在客户乙处，先用乙的私钥对 (1)空缺处的密钥进行解密，然后用 (1)空缺处的密钥对所接收到的邮件进行解密。可见， (1)空缺处的密钥是业务员甲与客户乙共享的对称密钥体系的一把协商后的密钥，它必须对大量的数据 (例如

43、邮件正文 )进行加解密。由于公钥密码体制的加解密过程使用不同的密钥，其加解密效率较低，因此常用于加密会话密钥。而对称密码体制的加解密效率较高，适 合于加解密大量的数据。因此选项 B中的 “会话密钥 ”是 (1)空缺处的正确答案。 为了实现身份认证，业务员甲使用与客户乙共享的摘要算法生成消息摘要，并使用公钥密码体系把生成的消息摘要加密后发送给客户乙。业务员甲的电子邮件通过 (2)空缺处的消息摘要函数生成相应的摘要，即对发送的邮件正文生成摘要需要使用报文摘要算法，因此 (2)空缺处的正确答案是 “MD5算法 ”。 在非对称密码体制中，公钥和私钥是必须成对出现的密钥，它们可以相互对数据进行加解密；加

44、密数据使用对方的公钥，身份认证使用本人的私钥。在图 2-9中 ，数字签名用于保证消息的发送方的真实性。可见业务员甲使用只有自己才掌握的私钥对报文摘要进行加密，客户乙使用业务员甲的公钥对认证数据进行解密，得到业务员甲发送来的消息摘要。接着客户乙在使用与业务员甲共享的摘要算法对解密后的邮件正文生成另一份消息摘要。通过对比这两份消息摘要是否相同来验证客户乙所接收到的邮件是由业务员甲发出的。因此 (3)、 (4)空缺处的正确答案分别是 “甲的私钥 ”、 “甲的公钥 ”。 【知识模块】 网络安全与信息化安全 28 【正确答案】 A 【试题解析】 摘要函数是安全电子邮件实现 技术之一。一个好的摘要函数具有

45、如下特点： 根据输入报文获取其输出摘要的时问非常短； 根据输出数据无法还原出输入数据； 不同长度的输入报文计算出的摘要长度相同。可见，由邮件计算出其摘要的时间非常短，通常比邮件的加密时间短；不同输入邮件可计算出的长度相同摘要，而非生成相同的摘要；通常摘要的长度比输入邮件的长度短；仅根据摘要无法还原出原邮件。 【知识模块】 网络安全与信息化安全 29 【正确答案】 D 【试题解析】 数字证书封装了用户自己的公钥、私钥和其他信息。例如 X.509数字证书包含了 证书版 本、 证书序列号、 签名算法标识、 证书有效期、 证书发行商名字、 证书主体名、 主体公钥信息和 数字签名等元素。使用某个数字证书

46、对数据进行加密就是使用该数字证书中的公钥对数据进行加密。 业务员甲使用 Outlook Express撰写发送给业务员乙的邮件，他应该使用自己的数字证书来添加数字签名，而使用业务员乙的数字证书 (乙的公钥 )来对邮件加密。 【知识模块】 网络安全与信息化安全 30 【正确答案】 B 【试题解析】 该业务员乙收到了地址为客户甲的含数字签名的邮件，他可以通过验证数 字签名来确认，邮件在传送过程中是否被篡改和邮件的发送者身份是否是甲。数字签名不能用来验证邮件在传送过程中是否加密和邮件中是否含有病毒。 【知识模块】 网络安全与信息化安全 【知识模块】 网络安全与信息化安全 31 【正确答案】 A 【知

47、识模块】 网络安全与信息化安全 32 【正确答案】 B 【试题解析】 本题 (1)空缺处所填内容的解题关健是，试题中给出的关健信息 “在传输层对数据进行加密 ”。在 TCP/IP协议簇中，利用 L2F、 PPTP以及 L2TP协议在数据链路层实现 VPN应用；在网 络层利用 IPSec协议实现 VPN应用；利用安全套接层 (SSL)协议在传输层与应用层之间实现 VPN应用。各 VPN应用协议在TCP/IP协议簇的位置关系图如图 2-3所示。因此，选项 A的 “SSL”是 (1)空缺处所填内容的正确答案。 而选项 B的 “IPSec”是 IP安全性 (IP Security)的缩写形式，它提供最

48、强密度的 168位 3DES加密算法以及逐包加密与验证功能 (防止第三方攻击 )。选项 C的 “PPTP”是一种基于 PPP协议的二层隧道协议，其基于 Microsoft桌面系统的客户机使用 MPPE(Microsoft点 对点加密方案，基于 RSA RC4标准，支持 40或 128位加密算法 )。选项 D的 “TCP”是传输控制协议的英文缩写。 在图2-2网络拓扑结构图中，客户机与 FTP服务器之间采用 SSL协议，可在传输层对数据进行加密以保证数据通信的安全性。该客户机与 FTP服务器在密码交换阶段协商相互认可的密码。 【知识模块】 网络安全与信息化安全 【知识模块】 网络安全与信息化安全

49、 33 【正确答案】 C 【知识模块】 网络安全与信息化安全 34 【正确答案】 C 【试题解析】 对称密码算法和非对 称密码算法均可用于数据加密。但由于非对称密码算法有一个公开的密钥，而对称密码算法的密钥都是保密的。相对而言，对称密码算法的加解密过程比非对称密码算法简单，即其加解密效率比非对称密码算法高，因此在安全级别许可的条件，采用对称密码算法对大量的数据进行加密。 国际数据加密算法 IDEA是在 DES算法的基础上发展的，类似于 3DES算法，但其密钥长度为 128bit。 【知识模块】 网络安全与信息化安全 【知识模块】 网络安全与信息化安全 35 【正确答案】 C 【知识模块】 网络安全与信息 化安全 36 【正确答案】 D 【