计算机网络安全技术试卷全含答案.docx

精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -运算机科学与技术专业 运算机网络安全试卷一、单项挑选题（每道题1 分，共 30 分）在以下每道题的四个备选答案中选出一个正确的答案，并将其字母标号填入题干的括号内 。1. 非法接收者在截获密文后试图从中分析出明文的过程称为（A）A. 破译B. 解密C. 加密D.攻击2. 以下有关软件加密和硬件加密的比较，不正确选项（B）A. 硬件加密对用户是透亮的，而软件加密需要在操作系统或软件中写入加密程序B. 硬件加密的兼容性比软件加密好C. 硬件加密的安全性比软件加密好D. 硬件加密的速度比软件加密快3. 下面有关3DES 的数学描述，正确选项（B）A. C=EEEP, K 1, K 1, K 1B. C=EDEP, K 1, K 2, K 1C. C=EDEP, K 1, K 1, K 1D. C=DEDP, K 1, K 2, K 14. PKI 无法实现（D）A. 身份认证B. 数据的完整性C. 数据的秘密性D.权限安排5. CA 的主要功能为（D）A. 确认用户的身份B. 为用户供应证书的申请、下载、查询、注销和复原等操作C. 定义了密码系统的使用方法和原就D. 负责发放和治理数字证书6. 数字证书不包含（B ）A. 颁发机构的名称B.证书持有者的私有密钥信息C. 证书的有效期D. CA 签发证书时所使用的签名算法7. “在因特网上没有人知道对方是一个人仍是一条狗”这个故事最能说明（A）A.身份认证的重要性和迫切性B. 网络上全部的活动都是不行见的C.网络应用中存在不庄重性D.运算机网络是一个虚拟的世界8. 以下认证方式中，最为安全的是（D）A. 用户名 +密码B. 卡+密钥C. 用户名 +密码 +验证码D.卡+指纹9. 将通过在别人丢弃的废旧硬盘、U 盘等介质中猎取他人有用信息的行为称为（ D）A. 社会工程学B. 搭线窃听C. 窥探D. 垃圾搜寻10. ARP 欺诈的实质是（A）A. 供应虚拟的MAC 与 IP 的址的组合B. 让其他运算机知道自己的存在C. 窃取用户在网络中传输的数据D.扰乱网络的正常运行11. TCP SYN 泛洪攻击的原理是利用了（A）A. TCP 三次握手过程B. TCP 面对流的工作机制C. TCP 数据传输中的窗口技术D. TCP 连接终止时的FIN 报文12. DNSSEC 中并未采纳（C）可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 1 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -A. 数字签名技术B.公钥加密技术C. 的址绑定技术D.报文摘要技术13. 当运算机上发觉病毒时，最完全的清除方法为（A）A. 格式化硬盘B. 用防病毒软件清除病毒C. 删除感染病毒的文件D.删除磁盘上全部的文件14. 木马与病毒的最大区分是（B）A. 木马不破坏文件，而病毒会破坏文件B. 木马无法自我复制，而病毒能够自我复制C. 木马无法使数据丢失，而病毒会使数据丢失D. 木马不具有埋伏性，而病毒具有埋伏性15. 常常与黑客软件协作使用的是（C）A. 病毒B.蠕虫C. 木马D.间谍软件16. 目前使用的防杀病毒软件的作用是（C）A. 检查运算机是否感染病毒，并排除已感染的任何病毒B. 杜绝病毒对运算机的侵害C. 检查运算机是否感染病毒，并清除部分已感染的病毒D. 查出已感染的任何病毒，清除部分已感染的病毒17. 死亡之 ping 属于（B）A. 冒充攻击B. 拒绝服务攻击C. 重放攻击D.篡改攻击18. 泪滴使用了IP 数据报中的（A）A. 段位移字段的功能B.协议字段的功能C. 标识字段的功能D.生存期字段的功能19. ICMP 泛洪利用了（C）A. ARP 命令的功能B. tracert 命令的功能C. ping 命令的功能D. route 命令的功能20. 将利用虚假IP 的址进行 ICMP 报文传输的攻击方法称为（D）A. ICMP泛洪B. LAND攻击C.死亡之 pingD. Smurf 攻击21. 以下哪一种方法无法防范口令攻击（A）A.启用防火墙功能B.设置复杂的系统认证口令C.关闭不需要的网络服务D.修改系统默认的认证名称22 以下设备和系统中，不行能集成防火墙功能的是（A）A. 集线器B. 交换机C. 路由器D. Windows Server 2003 操作系统23. 对“防火墙本身是免疫的”这句话的正确懂得是（B）A. 防火墙本身是不会死机的B. 防火墙本身具有抗攻击才能C. 防火墙本身具有对运算机病毒的免疫力D. 防火墙本身具有清除运算机病毒的才能24. 以下关于传统防火墙的描述，不正确选项（A）A. 即可防内，也可防外B. 存在结构限制，无法适应当前有线网络和无线网络并存的需要C. 工作效率较低，假如硬件配置较低或参数配置不当，防火墙将成形成网络瓶颈可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 2 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -D. 简洁显现单点故障25. 下面对于个人防火墙的描述，不正确选项（ C ）A. 个人防火墙是为防护接入互联网的单机操作系统而显现的B. 个人防火墙的功能与企业级防火墙类似，而配置和治理相对简洁C. 全部的单机杀病毒软件都具有个人防火墙的功能D. 为了满意非专业用户的使用，个人防火墙的配置方法相对简洁26. VPN 的应用特点主要表现在两个方面，分别是（ A ）A. 应用成本低廉和使用安全B. 便于实现和治理便利C. 资源丰富和使用便利D. 高速和安全27. 假如要实现用户在家中随时拜访单位内部的数字资源，可以通过以下哪一种方式实现（C）A. 外联网 VPN B. 内联网 VPN C. 远程接入 VPND. 专线接入28. 在以下隧道协议中，属于三层隧道协议的是（ D ）A. L2FB. PPTP C. L2TP D. IPSec29.以下哪一种方法中，无法防范蠕虫的入侵。 （ B ）A. 准时安装操作系统和应用软件补丁程序B. 将可疑邮件的附件下载等文件夹中，然后再双击打开C. 设置文件夹选项，显示文件名的扩展名D. 不要打开扩展名为 VBS 、SHS、PIF 等邮件附件30. 以下哪一种现象，一般不行能是中木马后引起的（ B ）A. 运算机的反应速度下降，运算机自动被关机或是重启B. 运算机启动时速度变慢，硬盘不断发出“咯吱，咯吱”的声音C. 在没有操作运算机时，而硬盘灯却闪个不停D. 在浏览网页时网页会自动关闭，软驱或光驱会在无盘的情形下读个不停31. 下面有关 DES 的描述，不正确选项（ A ）A. 是由 IBM 、Sun 等公司共同提出的 B. 其结构完全遵循 Feistel 密码结构C. 其算法是完全公开的D. 是目前应用最为广泛的一种分组密码算法32 “信息安全”中的“信息”是指（ A ）A 、以电子形式存在的数据B 、运算机网络 C、信息本身、信息处理过程、信息处理设施和信息处理都D 、软硬件平台33. 下面不属于身份认证方法的是（ A ）A. 口令认证 B. 智能卡认证 C. 姓名认证 D. 指纹认证34. 数字证书不包含（ B ）A. 颁发机构的名称B. 证书持有者的私有密钥信息C. 证书的有效期D. CA 签发证书时所使用的签名算法35. 套接字层（ Socket Layer ）位于（ B ）A.网络层与传输层之间B.传输层与应用层之间C.应用层D.传输层36. 下面有关 SSL 的描述，不正确选项（ D ）可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 3 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -A. 目前大部分Web 浏览器都内置了SSL 协议B. SSL 协议分为SSL 握手协议和SSL 记录协议两部分C. SSL 协议中的数据压缩功能是可选的D. TLS 在功能和结构上与SSL 完全相同37. 在基于IEEE802.1x 与 Radius 组成的认证系统中，Radius 服务器的功能不包括（ D）A. 验证用户身份的合法性B. 授权用户拜访网络资源C. 对用户进行审计D.对客户端的MAC 的址进行绑定38. 在生物特点认证中，不相宜于作为认证特点的是（D）A. 指纹B. 虹膜C. 脸像D. 体重39. 防止重放攻击最有效的方法是（B）A. 对用户账户和密码进行加密B. 使用“一次一密”加密方式C. 常常修改用户账户名称和密码D.使用复杂的账户名称和密码40. 运算机病毒的危害性表现在（B ）A. 能造成运算机部安排置永久性失效B.影响程序的执行或破坏用户数据与程序C. 不影响运算机的运行速度D.不影响运算机的运算结果41. 下面有关运算机病毒的说法，描述不正确选项（B ）A. 运算机病毒是一个MIS 程序B. 运算机病毒是对人体有害的传染性疾病C. 运算机病毒是一个能够通过自身传染，起破坏作用的运算机程序D. 运算机病毒是一段程序，只会影响运算机系统，但不会影响运算机网络42运算机病毒具有（A）A.传播性、埋伏性、破坏性B.传播性、破坏性、易读性C.埋伏性、破坏性、易读性D.传播性、埋伏性、安全性43. 目前使用的防杀病毒软件的作用是（C ）A. 检查运算机是否感染病毒，并排除已感染的任何病毒B. 杜绝病毒对运算机的侵害C. 检查运算机是否感染病毒，并清除部分已感染的病毒D. 查出已感染的任何病毒，清除部分已感染的病毒44 在 DDoS攻击中，通过非法入侵并被掌握，但并不向被攻击者直接发起攻击的运算机称为（B）A. 攻击者B. 主控端C. 代理服务器D.被攻击者45. 对利用软件缺陷进行的网络攻击，最有效的防范方法是（A ）A.准时更新补丁程序B.安装防病毒软件并准时更新病毒库C.安装防火墙D.安装漏洞扫描软件46. 在 IDS 中，将收集到的信息与数据库中已有的记录进行比较，从而发觉违反安全策略的行为，这类操作方法称为（A）A. 模式匹配B. 统计分析C. 完整性分析D. 不确定47. IPS 能够实时检查和阻挡入侵的原理在于IPS 拥有众多的（C）A. 主机传感器B. 网络传感器C.过滤器D.治理掌握台可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 4 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -48. 将利用虚假IP 的址进行 ICMP 报文传输的攻击方法称为（D）A. ICMP泛洪B. LAND攻击C.死亡之 pingD. Smurf 攻击49. 以下哪一种方法无法防范口令攻击（C）A. 启用防火墙功能B.设置复杂的系统认证口令C. 关闭不需要的网络服务D.修改系统默认的认证名称50. 在分布式防火墙系统组成中不包括（D ）A. 网络防火墙B. 主机防火墙C. 中心治理服务器D.传统防火墙51 下面对于个人防火墙将来的进展方向，描述不精确的是（D）A. 与 xDSL Modem 、无线 AP 等网络设备集成B. 与防病毒软件集成，并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成52. 在以下各项功能中，不行能集成在防火墙上的是（D）A. 网络的址转换（NAT ）B. 虚拟专用网（ VPN ）C. 入侵检测和入侵防备D.过滤内部网络中设备的MAC 的址53. 当某一服务器需要同时为内网用户和外网用户供应安全牢靠的服务时，该服务器一般要置于防火墙的（C）A. 内部B.外部C. DMZ 区D. 都可以54. 以下关于状态检测防火墙的描述，不正确选项（D）A. 所检查的数据包称为状态包，多个数据包之间存在一些关联B. 能够自动打开和关闭防火墙上的通信端口C. 其状态检测表由规章表和连接状态表两部分组成D. 在每一次操作中，必需第一检测规章表，然后再检测连接状态表55. 在以下的认证方式中，最担心全的是（A）A. PAPB. CHAPC. MS-CHAPD. SPAP56. 以下有关VPN 的描述，不正确选项（C ）A. 使用费用低廉B.为数据传输供应了秘密性和完整性C. 未转变原有网络的安全边界D.易于扩展57. 目前运算机网络中广泛使用的加密方式为（C）A. 链路加密B. 节点对节点加密C. 端对端加密D.以上都是58. 以下有关软件加密和硬件加密的比较，不正确选项（B）A. 硬件加密对用户是透亮的，而软件加密需要在操作系统或软件中写入加密程序B. 硬件加密的兼容性比软件加密好C. 硬件加密的安全性比软件加密好D. 硬件加密的速度比软件加密快59 对于一个组织，保证其信息安全并不能为其带来直接的经济效益，相反仍会付出较大的成本，那么组织为什么需要信息安全？（ D ）A.有余外的经费B. 全社会都在重视信息安全，我们也应当关注C.上级或领导的要求D.组织自身业务需要和法律法规要求可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 5 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结得分评卷人复查人二、 填空题 （每空 1 分，共 20 分）可编辑资料 - - - 欢迎下载精品名师归纳总结31. 依据密码算法对明文处理方式的标准不同，可以将密码系统分为：序列密码体制和 分组密码体制。32. PKI的技术基础包括公开密钥体制和加密机制两部分。33. 零学问身份认证分为交互式和非交互式两种类型。34. DNS 同时调用了TCP 和 UDP 的 53 端口，其中UDP53端口用于DNS客户端与 DNS 服务器端的通信， 而 TCP53端口用于 DNS 区域之间的数据复制。35. 与病毒相比， 蠕虫的最大特点是消耗运算机内存和网络宽带。36. 在网络入侵中，将自己假装成合法用户来攻击系统的行为称为冒充 。复制合法用户发出的数据，然后进行重发，以欺诈接收者的行为称为重放。中止或干扰服务器为合法用户供应服务的行为称为服务拒绝（拒绝服务）。37. 在 LAND攻击中，LAND 攻击报文的源 IP 的址和 目 的 IP 的址是相同的。38. 防火墙将网络分割为两部分，即将网络分成两个不同的安全域。对于接入Internet 的局域网，其中局域网属于可信任的安全域，而Internet属于不行信任的非安全域。39. 防火墙一般分为路由模式和透亮模式两类。当用防火墙连接同一网段的不同设备 时，可采纳透亮模式防火墙。而用防火墙连接两个完全不同的网络时，就需要使用路由模式防火墙。40. VPN 系统中的身份认证技术包括用户身份证明和信息认证两种类型。31利用公钥加密数据，然后用私钥解密数据的过程称为加密。利用私钥加密数据，然后用公钥解密数据的过程称为数字签名。32. 在 PKI/PMI系统中，一个合法用户只拥有一个唯独的公钥证书，但可能会同时拥有多个不同的属性证书。33. 运算机网络安全领域的3A 是指 认证 、 授权和审计。34. SSL 是一种综合利用对称密钥和非对称密钥技术进行安全通信的工业标准。35. 扫描技术主要分为主机安全扫描和 网络安全扫描两种类型。36. 在 IDS 的报警中，可以分为错误报警和正确的报警两种类型。其中错误报警中，将 IDS 工作于正常状态下产生的报警称为误报。而将 IDS 对已知的入侵活动未产生报警的现象称为漏报。37. 状态检测防火墙是在传统包过滤防火墙的基础上进展而来的，所以将传统的包过滤防火墙称为静态包过滤防火墙，而将状态检测防火墙称为动态包过滤防火墙。38. VPN 是利用 Internet 等公共网络的基础设施， 通过隧道技术， 为用户供应一条与专网相同的安全通道。39. VPN 系统中的三种典型技术分别是隧道技术、身份认证技术和加密技术 。可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 6 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -40. 目前身份认证技术可分为PKI 和非 PKI 两种类型，其中在VPN 的用户身份认证 中一般采纳非 PKI认证方式，而信息认证中采纳PKI认证方式。可编辑资料 - - - 欢迎下载精品名师归纳总结得分评卷人复查人三、 判定题 （每道题1 分，共 10 分）可编辑资料 - - - 欢迎下载精品名师归纳总结41 链路加密方式适用于在广域网系统中应用。（×）42. “一次一密”属于序列密码中的一种。（）43. 当通过浏览器以在线方式申请数字证书时，申请证书和下载证书的运算机必需是同一台运算机。 （）44. PKI 和 PMI 在应用中必需进行绑定，而不能在物理上分开。（×）45. 在网络身份认证中采纳审计的目的是对全部用户的行为进行记录，以便于进行核查。（）46. 由于在 TCP 协议的传输过程中，传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段，然后每个字节段单独进行路由传输，所以 TCP 是面对字节流的牢靠的传输方式。 （）47. ARP 缓存只能储存主动查询获得的IP 和 MAC 的对应关系，而不会储存以广播形式接收到的IP 和 MAC 的对应关系。 （×）48. 运算机病毒只会破坏运算机的操作系统，而对其他网络设备不起作用。（×）49. 脚本文件和ActiveX控件都可以嵌入在HTML文件中执行。 （）50. 要实现 DDoS 攻击，攻击者必需能够掌握大量的运算机为其服务。（）11 Feistel 是密码设计的一个结构，而非一个详细的密码产品。（ ）12. 暴力破解与字典攻击属于同类网络攻击方式，其中暴力破解中所采纳的字典要比字典攻击中使用的字典的范畴要大。（ ）13. DHCP 服务器只能给客户端供应IP 的址和网关的址， 而不能供应DNS 服务器的IP的址。（ ×）14. 间谍软件能够修改运算机上的配置文件。（×）15. 蠕虫既可以在互联网上传播，也可以在局域网上传播。而且由于局域网本身的特性，蠕虫在局域网上传播速度更快，危害更大。（）16. 与 IDS 相比， IPS 具有深层防备的功能。 （ ）17. 当硬件配置相同时， 代理防火墙对网络运行性能的影响要比包过滤防火墙小。（×）18. 在传统的包过滤、代理和状态检测3 类防火墙中，只有状态检测防火墙可以在肯定程度上检测并防止内部用户的恶意破坏。（ ）19. 防火墙一般采纳“全部未被答应的就是禁止的”和“全部未被禁止的就是答应的”两个基本准就，其中前者的安全性要比后者高。（ ）20. 在利用 VPN 连接两个LAN时， LAN 中必需使用TCP/IP 协议。（ ×）可编辑资料 - - - 欢迎下载精品名师归纳总结得分评卷人复查人四、名词说明（每道题4 分，共 20 分）可编辑资料 - - - 欢迎下载精品名师归纳总结61对称加密与非对称加密在一个加密系统中，加密和解密使用同一个密钥，这种加密方式称为对称加密，可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 7 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -也称为单密钥加密 （ 2 分）。假如系统采纳的是双密钥体系，存在两个相互关联的密码，其中一个用于加密，另一个用于解密，这种加密方法称为非对称加密，也称为公钥加密（ 2 分）62. 蜜罐：是一种运算机网络中特的为吸引并“诱骗”那些试图非法入侵他人运算机系统的人而设计的陷阱系统（2 分）。设置蜜罐的目的主要是用于被侦听、被攻击，从而讨论网络安全的相关技术和方法。（ 2）63. PKI ：PKI （公钥基础设施）是利用密码学中的公钥概念和加密技术为网上通信供应的符合标准的一整套安全基础平台。PKI 能为各种不同安全需求的用户供应各种不同的网上安全服务所需要的密钥和证书，这些安全服务主要包括身份识别与鉴别（认证）、数据保密性、数据完整性、不行否认性准时间戳服务等，从而达到保证网上传递信息的安全、真实、完整和不行抵赖的目的（2 分）。PKI 的技术基础之一是公开密钥体制（ 1 分）。PKI 的技术基础之二是加密机制（1 分）。64. DNSSEC： DNSSEC （域名系统安全扩展）是在原有的域名系统（DNS ）上通过公钥技术，对DNS 中的信息进行数字签名，从而供应DNS 的安全认证和信息完整性检验（ 2 分）。发送方第一使用Hash 函数对要发送的DNS 信息进行运算， 得到固定长度的“信息摘要” ，然后对“信息摘要”用私钥进行加密，此过程实现了对“信息摘要”的数字签名。 最终将要发送的DNS 信息、 该 DNS 信息的 “信息摘要” 以及该 “信息摘要”的数字签名，一起发送出来（1 分）。接收方第一采纳公钥系统中的对应公钥 对接收到的“信息摘要”的数字签名进行解密，得到解密后的“信息摘要”。接着用与发送方相同的Hash 函数对接收到的DNS 信息进行运算， 得到运算后的 “信息摘要” 。最终，对解密后的“信息摘要”和运算后的“信息摘要”进行比较，假如两者的值相同，就可以确认接收到的DNS 信息是完整的，即是由正确的DNS 服务器得到的响应（ 1 分）。65. DoS 攻击： DoS（拒绝服务）攻击是一种实现简洁但又很有效的攻击方式。DoS 攻击的目的就是让被攻击主机拒绝用户的正常服务拜访，破坏系统的正常运行，最终使用户的部分Internet 连接和网络系统失效（2 分）。最基本的DoS 攻击就是利用合理的服务恳求来占用过多的服务资源，从而使合法用户无法得到服务。（ 2 分） 1、DNS 缓存中毒： DNS 为了提高查询效率，采纳了缓存机制，把用户查询过的最新记录存放在缓存中，并设置生存周期（Time To Live ， TTL ）。在记录没有超过TTL 之前， DNS缓存中的记录一旦被客户端查询，DNS服务器（包括各级名字服务器）将 把缓存区中的记录直接返回给客户端，而不需要进行逐级查询，提高了查询速率。（ 2分）DNS 缓存中毒利用了DNS 缓存机制， 在 DNS 服务器的缓存中存入大量错误的数 据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会依据不同的意图伪造不同的记录。由于DNS服务器之间会进行记录的同步复制， 所以在 TTL 内，缓存中毒的DNS 服务器有可能将错误的记录发送给其他的DNS 服务器，导致更多的DNS 服务器中毒。 （2 分）2秘密性、完整性、可用性、可控性秘密性是确保信息不暴露给未经授权的人或应用进程（1 分）。完整性是指只有得到答应的人或应用进程才能修改数据，并且能够判别出数据是否已被更换（1 分）。可用性是指只有得到授权的用户在需要时才可以拜访数据，即使在网络被攻击时也不能可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 8 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -阻碍授权用户对网络的使用（1 分）。可控性是指能够对授权范畴内的信息流向和行为方式进行掌握（1 分）。3PMI ： PMI （授权治理基础设施）是在PKI 进展的过程中为了将用户权限的治理与 其公钥的治理分别，由IETF 提出的一种标准。PMI 的最终目标就是供应一种有效的体系结构来治理用户的属性。PMI 以资源治理为核心，对资源的拜访掌握权统一交由 授权机构统一处理（2 分）。同 PKI 相比，两者主要区分在于PKI 证明用户是谁，而PMI 证明这个用户有什么权限、能干什么。PMI 需要 PKI 为其供应身份认证。PMI 实际提出了一个新的信息爱护基础设施，能够与PKI 紧密的集成，并系统的建立起对认 可用户的特定授权，对权限治理进行系统的定义和描述，完整的供应授权服务所需过程 。 （ 2 分 ） 4防火墙：防火墙是指设置在不同网络（如可信任的企业内部局域网和不行信任的公共网络）之间或网络安全域之间的一系列部件的组合（2 分），通过监测、限制、更换进入不同网络或不同安全域的数据流，尽可能的对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不行猜测的、潜在破坏性的入侵，实现网络的安全爱护。5VPN ：VPN（虚拟专用网）是利用 Internet 等公共网络的基础设施，通过隧道技术，为用户供应一条与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接（ 2 分）。从 VPN 的定义来看，其中“虚拟”是指用户不需要建立自己专用的物理线路，而是利用 Internet 等公共网络资源和设备建立一条规律上的专用数据通道，并实现与专用数据通道相同的通信功能。“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的，而是只有经 过授权的用户才可以使用。同时，该通道内传输的数据经过了加密和认证，从而保证 了传输内容的完整性和秘密性。（2 分） 6 DDoS攻击： DoS 攻击就是利用合理的服务恳求来占用过多的服务资源，从而使服务器无法处理合法用户的指令，一般是采纳一对一方式。DDOS 是在 DOS 基础上利用一批受掌握的主机向一台主机发起攻击，其攻击强度和造成的威逼要比DOS 严峻的多。五、简答题（每道题10 分，共 20 分）66简述 ARP 欺诈的实现原理及主要防范方法由于 ARP 协议在设计中存在的主动发送ARP 报文的漏洞，使得主机可以发送虚假的 ARP 恳求报文或响应报文，报文中的源IP 的址和源MAC的址均可以进行伪造（ 2 分）。在局域网中，即可以伪造成某一台主机（如服务器）的IP 的址和 MAC 的址的组合，也可以伪造成网关的IP 的址和 MAC 的址的组合， ARP 即可以针对主机，也可以针对交换机等网络设备（2 分），等等。目前，绝大部分ARP 欺诈是为了扰乱局域网中合法主机中储存的ARP 表，使得网络中的合法主机无法正常通信或通信不正常，如表示为运算机无法上网或上网时断时续等。（ 2 分）针对主机的ARP 欺诈的解决方法： 主机中静态ARP 缓存表中的记录是永久性的，用户可以使用TCP/IP 工具来创建和修改，如 Windows 操作系统自带的ARP 工具， 利用“ arp -s 网关 IP 的址网关 MAC 的址”将本机中ARP 缓存表中网关的记录类型设 置为静态（ static）。（ 2 分）可编辑资料 - - - 欢迎下载精品名师归纳总结学习资料 名师精选 - - - - - - - - - -第 9 页，共 12 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品名师归纳总结资料word 精心总结归纳 - - - - - - - - - - - -针对交换机的 ARP 欺诈的解决方法：在交换机上防范 ARP 欺诈的方法与在运算机上防范 ARP 欺诈的方法基本相同， 仍是使用将下连设备的 MAC 的址与交换机端口进行一一绑定的方法来实现。（ 2 分）67 如下图所示，简述包过滤防火墙的工作原理及应用特点。包过滤（ Packet Filter ）是在网络层中依据事先设置的安全拜访策略（过滤规章） ，检查每一个数据包的源IP 的址、目的 IP 的址以及IP 分组头部的其他各种标志信息（如协议、服务类型等），确定是否答应当数据包通过防火墙（2 分）。包过滤防火墙中的安全拜访策略（过滤规章）是网络治理员事先设置好的，主要通过对进入防火墙的数据包的源IP 的址、目的IP 的址、协议及端口进行设置，打算是否答应数据包通过防火墙。（2 分）如下列图，当网络治理员在防火墙上设置了过滤规章后，在防火墙中会形成一个过滤规章表。 当数据包进入防火墙时，防火墙会将IP 分组的头部信息与过滤规章表进行逐条比对，依据比对结果打算是否答应数据包通过。（2 分）包过滤防火墙主要特点：过滤规章表需要事先进行人工设置，规章表中的条目根据用户的安全要求来定。防火墙在进行检查时，第一从过滤规章表中的第1 个条目开头逐条进行，所以过滤规章表中条目的先后次序特别重要。由于包过滤防火墙工作在OSI 参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。但包过滤防火墙无法识别基于应用层的恶意入侵。另外，包过滤防火墙不能识别 IP 的址的欺诈，内部非授权的用户可以通过假装成为合法 IP 的址的使用者来拜访外部网络， 同样外部被限制的主机也可以通过使用合法的 IP 的址来欺诈防火墙进入内部网络。（ 4 分）3 依据实际应用，以个人防火墙为主，简述防火墙的主要功能及应用特点防火墙是指设置在不同网络（如可信任的企业内部局域网和不行信任的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更换进入不同网络或不同安全域的数据流，尽可能的对外部屏蔽网络内部的信息、结构和运行状况， 以防止发生不行猜测的、潜在破坏性的入侵，实现网络的安