可編輯版/計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)《計(jì)算機(jī)網(wǎng)絡(luò)安全》試卷一、單項(xiàng)選擇題〔每小題1分,共30分在下列每小題的四個備選答案中選出一個正確的答案,并將其字母標(biāo)號填入題干的括號內(nèi)。1.非法接收者在截獲密文后試圖從中分析出明文的過程稱為〔AA.破譯B.解密C.加密D.攻擊2.以下有關(guān)軟件加密和硬件加密的比較,不正確的是〔BA.硬件加密對用戶是透明的,而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序B.硬件加密的兼容性比軟件加密好C.硬件加密的安全性比軟件加密好D.硬件加密的速度比軟件加密快3.下面有關(guān)3DES的數(shù)學(xué)描述,正確的是〔BA.C=E<E<E<P,K1>,K1>,K1>B.C=E<D<E<P,K1>,K2>,K1>C.C=E<D<E<P,K1>,K1>,K1>D.C=D<E<D<P,K1>,K2>,K1>4.PKI無法實(shí)現(xiàn)〔DA.身份認(rèn)證B.數(shù)據(jù)的完整性C.數(shù)據(jù)的機(jī)密性D.權(quán)限分配5.CA的主要功能為〔DA.確認(rèn)用戶的身份B.為用戶提供證書的申請、下載、查詢、注銷和恢復(fù)等操作C.定義了密碼系統(tǒng)的使用方法和原則D.負(fù)責(zé)發(fā)放和管理數(shù)字證書6.數(shù)字證書不包含〔BA.頒發(fā)機(jī)構(gòu)的名稱B.證書持有者的私有密鑰信息C.證書的有效期D.CA簽發(fā)證書時所使用的簽名算法7."在因特網(wǎng)上沒有人知道對方是一個人還是一條狗"這個故事最能說明〔AA.身份認(rèn)證的重要性和迫切性B.網(wǎng)絡(luò)上所有的活動都是不可見的C.網(wǎng)絡(luò)應(yīng)用中存在不嚴(yán)肅性D.計(jì)算機(jī)網(wǎng)絡(luò)是一個虛擬的世界8.以下認(rèn)證方式中,最為安全的是〔DA.用戶名+密碼B.卡+密鑰C.用戶名+密碼+驗(yàn)證碼D.卡+指紋9.將通過在別人丟棄的廢舊硬盤、U盤等介質(zhì)中獲取他人有用信息的行為稱為〔DA.社會工程學(xué)B.搭線竊聽C.窺探D.垃圾搜索10.ARP欺騙的實(shí)質(zhì)是〔AA.提供虛擬的MAC與IP地址的組合B.讓其他計(jì)算機(jī)知道自己的存在C.竊取用戶在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)D.擾亂網(wǎng)絡(luò)的正常運(yùn)行11.TCPSYN泛洪攻擊的原理是利用了〔AA.TCP三次握手過程B.TCP面向流的工作機(jī)制C.TCP數(shù)據(jù)傳輸中的窗口技術(shù)D.TCP連接終止時的FIN報文12.DNSSEC中并未采用〔CA.數(shù)字簽名技術(shù)B.公鑰加密技術(shù)C.地址綁定技術(shù)D.報文摘要技術(shù)13.當(dāng)計(jì)算機(jī)上發(fā)現(xiàn)病毒時,最徹底的清除方法為〔AA.格式化硬盤B.用防病毒軟件清除病毒C.刪除感染病毒的文件D.刪除磁盤上所有的文件14.木馬與病毒的最大區(qū)別是〔BA.木馬不破壞文件,而病毒會破壞文件B.木馬無法自我復(fù)制,而病毒能夠自我復(fù)制C.木馬無法使數(shù)據(jù)丟失,而病毒會使數(shù)據(jù)丟失D.木馬不具有潛伏性,而病毒具有潛伏性15.經(jīng)常與黑客軟件配合使用的是〔CA.病毒B.蠕蟲C.木馬D.間諜軟件16.目前使用的防殺病毒軟件的作用是〔CA.檢查計(jì)算機(jī)是否感染病毒,并消除已感染的任何病毒B.杜絕病毒對計(jì)算機(jī)的侵害C.檢查計(jì)算機(jī)是否感染病毒,并清除部分已感染的病毒D.查出已感染的任何病毒,清除部分已感染的病毒17.死亡之ping屬于〔BA.冒充攻擊B.拒絕服務(wù)攻擊C.重放攻擊D.篡改攻擊18.淚滴使用了IP數(shù)據(jù)報中的〔AA.段位移字段的功能B.協(xié)議字段的功能C.標(biāo)識字段的功能D.生存期字段的功能19.ICMP泛洪利用了〔CA.ARP命令的功能B.tracert命令的功能C.ping命令的功能D.route命令的功能20.將利用虛假IP地址進(jìn)行ICMP報文傳輸?shù)墓舴椒ǚQ為〔DA.ICMP泛洪B.LAND攻擊C.死亡之pingD.Smurf攻擊21.以下哪一種方法無法防范口令攻擊〔AA.啟用防火墻功能B.設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D.修改系統(tǒng)默認(rèn)的認(rèn)證名稱22．以下設(shè)備和系統(tǒng)中,不可能集成防火墻功能的是〔AA.集線器B.交換機(jī)C.路由器D.WindowsServer2003操作系統(tǒng)23.對"防火墻本身是免疫的"這句話的正確理解是〔BA.防火墻本身是不會死機(jī)的B.防火墻本身具有抗攻擊能力C.防火墻本身具有對計(jì)算機(jī)病毒的免疫力D.防火墻本身具有清除計(jì)算機(jī)病毒的能力24.以下關(guān)于傳統(tǒng)防火墻的描述,不正確的是〔AA.即可防內(nèi),也可防外B.存在結(jié)構(gòu)限制,無法適應(yīng)當(dāng)前有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)并存的需要C.工作效率較低,如果硬件配置較低或參數(shù)配置不當(dāng),防火墻將成形成網(wǎng)絡(luò)瓶頸D.容易出現(xiàn)單點(diǎn)故障25.下面對于個人防火墻的描述,不正確的是〔CA.個人防火墻是為防護(hù)接入互聯(lián)網(wǎng)的單機(jī)操作系統(tǒng)而出現(xiàn)的B.個人防火墻的功能與企業(yè)級防火墻類似,而配置和管理相對簡單C.所有的單機(jī)殺病毒軟件都具有個人防火墻的功能D.為了滿足非專業(yè)用戶的使用,個人防火墻的配置方法相對簡單26.VPN的應(yīng)用特點(diǎn)主要表現(xiàn)在兩個方面,分別是〔AA.應(yīng)用成本低廉和使用安全B.便于實(shí)現(xiàn)和管理方便C.資源豐富和使用便捷D.高速和安全27.如果要實(shí)現(xiàn)用戶在家中隨時訪問單位內(nèi)部的數(shù)字資源,可以通過以下哪一種方式實(shí)現(xiàn)〔CA.外聯(lián)網(wǎng)VPNB.內(nèi)聯(lián)網(wǎng)VPNC.遠(yuǎn)程接入VPND.專線接入28.在以下隧道協(xié)議中,屬于三層隧道協(xié)議的是〔DA.L2FB.PPTPC.L2TPD.IPSec29.以下哪一種方法中,無法防范蠕蟲的入侵?！睟A.及時安裝操作系統(tǒng)和應(yīng)用軟件補(bǔ)丁程序B.將可疑郵件的附件下載等文件夾中,然后再雙擊打開C.設(shè)置文件夾選項(xiàng),顯示文件名的擴(kuò)展名D.不要打開擴(kuò)展名為VBS、SHS、PIF等郵件附件30.以下哪一種現(xiàn)象,一般不可能是中木馬后引起的〔BA.計(jì)算機(jī)的反應(yīng)速度下降,計(jì)算機(jī)自動被關(guān)機(jī)或是重啟B.計(jì)算機(jī)啟動時速度變慢,硬盤不斷發(fā)出"咯吱,咯吱"的聲音C.在沒有操作計(jì)算機(jī)時,而硬盤燈卻閃個不停D.在瀏覽網(wǎng)頁時網(wǎng)頁會自動關(guān)閉,軟驅(qū)或光驅(qū)會在無盤的情況下讀個不停31.下面有關(guān)DES的描述,不正確的是〔AA.是由IBM、Sun等公司共同提出的B.其結(jié)構(gòu)完全遵循Feistel密碼結(jié)構(gòu)C.其算法是完全公開的D.是目前應(yīng)用最為廣泛的一種分組密碼算法32．"信息安全"中的"信息"是指〔AA、以電子形式存在的數(shù)據(jù)B、計(jì)算機(jī)網(wǎng)絡(luò)C、信息本身、信息處理過程、信息處理設(shè)施和信息處理都D、軟硬件平臺33.下面不屬于身份認(rèn)證方法的是〔AA.口令認(rèn)證B.智能卡認(rèn)證C.姓名認(rèn)證D.指紋認(rèn)證34.數(shù)字證書不包含〔BA.頒發(fā)機(jī)構(gòu)的名稱B.證書持有者的私有密鑰信息C.證書的有效期D.CA簽發(fā)證書時所使用的簽名算法35.套接字層〔SocketLayer位于〔BA.網(wǎng)絡(luò)層與傳輸層之間B.傳輸層與應(yīng)用層之間C.應(yīng)用層D.傳輸層36.下面有關(guān)SSL的描述,不正確的是〔DA.目前大部分Web瀏覽器都內(nèi)置了SSL協(xié)議B.SSL協(xié)議分為SSL握手協(xié)議和SSL記錄協(xié)議兩部分C.SSL協(xié)議中的數(shù)據(jù)壓縮功能是可選的D.TLS在功能和結(jié)構(gòu)上與SSL完全相同37.在基于IEEE802.1x與Radius組成的認(rèn)證系統(tǒng)中,Radius服務(wù)器的功能不包括〔DA.驗(yàn)證用戶身份的合法性B.授權(quán)用戶訪問網(wǎng)絡(luò)資源C.對用戶進(jìn)行審計(jì)D.對客戶端的MAC地址進(jìn)行綁定38.在生物特征認(rèn)證中,不適宜于作為認(rèn)證特征的是〔DA.指紋B.虹膜C.臉像D.體重39.防止重放攻擊最有效的方法是〔BA.對用戶賬戶和密碼進(jìn)行加密B.使用"一次一密"加密方式C.經(jīng)常修改用戶賬戶名稱和密碼D.使用復(fù)雜的賬戶名稱和密碼40.計(jì)算機(jī)病毒的危害性表現(xiàn)在〔BA.能造成計(jì)算機(jī)部分配置永久性失效B.影響程序的執(zhí)行或破壞用戶數(shù)據(jù)與程序C.不影響計(jì)算機(jī)的運(yùn)行速度D.不影響計(jì)算機(jī)的運(yùn)算結(jié)果41.下面有關(guān)計(jì)算機(jī)病毒的說法,描述不正確的是〔BA.計(jì)算機(jī)病毒是一個MIS程序B.計(jì)算機(jī)病毒是對人體有害的傳染性疾病C.計(jì)算機(jī)病毒是一個能夠通過自身傳染,起破壞作用的計(jì)算機(jī)程序D.計(jì)算機(jī)病毒是一段程序,只會影響計(jì)算機(jī)系統(tǒng),但不會影響計(jì)算機(jī)網(wǎng)絡(luò)42計(jì)算機(jī)病毒具有〔AA.傳播性、潛伏性、破壞性B.傳播性、破壞性、易讀性C.潛伏性、破壞性、易讀性D.傳播性、潛伏性、安全性43.目前使用的防殺病毒軟件的作用是〔CA.檢查計(jì)算機(jī)是否感染病毒,并消除已感染的任何病毒B.杜絕病毒對計(jì)算機(jī)的侵害C.檢查計(jì)算機(jī)是否感染病毒,并清除部分已感染的病毒D.查出已感染的任何病毒,清除部分已感染的病毒44在DDoS攻擊中,通過非法入侵并被控制,但并不向被攻擊者直接發(fā)起攻擊的計(jì)算機(jī)稱為〔BA.攻擊者B.主控端C.代理服務(wù)器D.被攻擊者45.對利用軟件缺陷進(jìn)行的網(wǎng)絡(luò)攻擊,最有效的防范方法是〔AA.及時更新補(bǔ)丁程序B.安裝防病毒軟件并及時更新病毒庫C.安裝防火墻D.安裝漏洞掃描軟件46.在IDS中,將收集到的信息與數(shù)據(jù)庫中已有的記錄進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為,這類操作方法稱為〔AA.模式匹配B.統(tǒng)計(jì)分析C.完整性分析D.不確定47.IPS能夠?qū)崟r檢查和阻止入侵的原理在于IPS擁有眾多的〔CA.主機(jī)傳感器B.網(wǎng)絡(luò)傳感器C.過濾器D.管理控制臺48.將利用虛假IP地址進(jìn)行ICMP報文傳輸?shù)墓舴椒ǚQ為〔DA.ICMP泛洪B.LAND攻擊C.死亡之pingD.Smurf攻擊49.以下哪一種方法無法防范口令攻擊〔CA.啟用防火墻功能B.設(shè)置復(fù)雜的系統(tǒng)認(rèn)證口令C.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)D.修改系統(tǒng)默認(rèn)的認(rèn)證名稱50.在分布式防火墻系統(tǒng)組成中不包括〔DA.網(wǎng)絡(luò)防火墻B.主機(jī)防火墻C.中心管理服務(wù)器D.傳統(tǒng)防火墻51下面對于個人防火墻未來的發(fā)展方向,描述不準(zhǔn)確的是〔DA.與xDSLModem、無線AP等網(wǎng)絡(luò)設(shè)備集成B.與防病毒軟件集成,并實(shí)現(xiàn)與防病毒軟件之間的安全聯(lián)動C.將個人防火墻作為企業(yè)防火墻的有機(jī)組成部分D.與集線器等物理層設(shè)備集成52.在以下各項(xiàng)功能中,不可能集成在防火墻上的是〔DA.網(wǎng)絡(luò)地址轉(zhuǎn)換〔NATB.虛擬專用網(wǎng)〔VPNC.入侵檢測和入侵防御D.過濾內(nèi)部網(wǎng)絡(luò)中設(shè)備的MAC地址53.當(dāng)某一服務(wù)器需要同時為內(nèi)網(wǎng)用戶和外網(wǎng)用戶提供安全可靠的服務(wù)時,該服務(wù)器一般要置于防火墻的〔CA.內(nèi)部B.外部C.DMZ區(qū)D.都可以54.以下關(guān)于狀態(tài)檢測防火墻的描述,不正確的是〔DA.所檢查的數(shù)據(jù)包稱為狀態(tài)包,多個數(shù)據(jù)包之間存在一些關(guān)聯(lián)B.能夠自動打開和關(guān)閉防火墻上的通信端口C.其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩部分組成D.在每一次操作中,必須首先檢測規(guī)則表,然后再檢測連接狀態(tài)表55.在以下的認(rèn)證方式中,最不安全的是〔AA.PAPB.CHAPC.MS-CHAPD.SPAP56.以下有關(guān)VPN的描述,不正確的是〔CA.使用費(fèi)用低廉B.為數(shù)據(jù)傳輸提供了機(jī)密性和完整性C.未改變原有網(wǎng)絡(luò)的安全邊界D.易于擴(kuò)展57.目前計(jì)算機(jī)網(wǎng)絡(luò)中廣泛使用的加密方式為〔CA.鏈路加密B.節(jié)點(diǎn)對節(jié)點(diǎn)加密C.端對端加密D.以上都是58.以下有關(guān)軟件加密和硬件加密的比較,不正確的是〔BA.硬件加密對用戶是透明的,而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序B.硬件加密的兼容性比軟件加密好C.硬件加密的安全性比軟件加密好D.硬件加密的速度比軟件加密快59對于一個組織,保障其信息安全并不能為其帶來直接的經(jīng)濟(jì)效益,相反還會付出較大的成本,那么組織為什么需要信息安全？〔DA.有多余的經(jīng)費(fèi)B.全社會都在重視信息安全,我們也應(yīng)該關(guān)注C.上級或領(lǐng)導(dǎo)的要求D.組織自身業(yè)務(wù)需要和法律法規(guī)要求得分評卷人復(fù)查人二、填空題〔每空1分,共20分31.根據(jù)密碼算法對明文處理方式的標(biāo)準(zhǔn)不同,可以將密碼系統(tǒng)分為：序列密碼體制和分組密碼體制。32.PKI的技術(shù)基礎(chǔ)包括公開密鑰體制和加密機(jī)制兩部分。33.零知識身份認(rèn)證分為交互式和非交互式兩種類型。34.DNS同時調(diào)用了TCP和UDP的53端口,其中UDP53端口用于DNS客戶端與DNS服務(wù)器端的通信,而TCP53端口用于DNS區(qū)域之間的數(shù)據(jù)復(fù)制。35.與病毒相比,蠕蟲的最大特點(diǎn)是消耗計(jì)算機(jī)內(nèi)存和網(wǎng)絡(luò)寬帶。36.在網(wǎng)絡(luò)入侵中,將自己偽裝成合法用戶來攻擊系統(tǒng)的行為稱為冒充；復(fù)制合法用戶發(fā)出的數(shù)據(jù),然后進(jìn)行重發(fā),以欺騙接收者的行為稱為重放；中止或干擾服務(wù)器為合法用戶提供服務(wù)的行為稱為服務(wù)拒絕〔拒絕服務(wù)。37.在LAND攻擊中,LAND攻擊報文的源IP地址和目的IP地址是相同的。38.防火墻將網(wǎng)絡(luò)分割為兩部分,即將網(wǎng)絡(luò)分成兩個不同的安全域。對于接入Internet的局域網(wǎng),其中局域網(wǎng)屬于可信賴的安全域,而Internet屬于不可信賴的非安全域。39.防火墻一般分為路由模式和透明模式兩類。當(dāng)用防火墻連接同一網(wǎng)段的不同設(shè)備時,可采用透明模式防火墻；而用防火墻連接兩個完全不同的網(wǎng)絡(luò)時,則需要使用路由模式防火墻。40.VPN系統(tǒng)中的身份認(rèn)證技術(shù)包括用戶身份證明和信息認(rèn)證兩種類型。31．利用公鑰加密數(shù)據(jù),然后用私鑰解密數(shù)據(jù)的過程稱為加密；利用私鑰加密數(shù)據(jù),然后用公鑰解密數(shù)據(jù)的過程稱為數(shù)字簽名。32.在PKI/PMI系統(tǒng)中,一個合法用戶只擁有一個唯一的公鑰證書,但可能會同時擁有多個不同的屬性證書。33.計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的3A是指認(rèn)證、授權(quán)和審計(jì)。34.SSL是一種綜合利用對稱密鑰和非對稱密鑰技術(shù)進(jìn)行安全通信的工業(yè)標(biāo)準(zhǔn)。35.掃描技術(shù)主要分為主機(jī)安全掃描和網(wǎng)絡(luò)安全掃描兩種類型。36.在IDS的報警中,可以分為錯誤報警和正確的報警兩種類型。其中錯誤報警中,將IDS工作于正常狀態(tài)下產(chǎn)生的報警稱為誤報；而將IDS對已知的入侵活動未產(chǎn)生報警的現(xiàn)象稱為漏報。37.狀態(tài)檢測防火墻是在傳統(tǒng)包過濾防火墻的基礎(chǔ)上發(fā)展而來的,所以將傳統(tǒng)的包過濾防火墻稱為靜態(tài)包過濾防火墻,而將狀態(tài)檢測防火墻稱為動態(tài)包過濾防火墻。38.VPN是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,通過隧道技術(shù),為用戶提供一條與專網(wǎng)相同的安全通道。39.VPN系統(tǒng)中的三種典型技術(shù)分別是隧道技術(shù)、身份認(rèn)證技術(shù)和加密技術(shù)。40.目前身份認(rèn)證技術(shù)可分為PKI和非PKI兩種類型,其中在VPN的用戶身份認(rèn)證中一般采用非PKI認(rèn)證方式,而信息認(rèn)證中采用PKI認(rèn)證方式。得分評卷人復(fù)查人三、判斷題〔每小題1分,共10分41．鏈路加密方式適用于在廣域網(wǎng)系統(tǒng)中應(yīng)用?！病?2."一次一密"屬于序列密碼中的一種。〔√43.當(dāng)通過瀏覽器以在線方式申請數(shù)字證書時,申請證書和下載證書的計(jì)算機(jī)必須是同一臺計(jì)算機(jī)?！病?4.PKI和PMI在應(yīng)用中必須進(jìn)行綁定,而不能在物理上分開?！病?5.在網(wǎng)絡(luò)身份認(rèn)證中采用審計(jì)的目的是對所有用戶的行為進(jìn)行記錄,以便于進(jìn)行核查?！病?6.由于在TCP協(xié)議的傳輸過程中,傳輸層需要將從應(yīng)用層接收到的數(shù)據(jù)以字節(jié)為組成單元劃分成多個字節(jié)段,然后每個字節(jié)段單獨(dú)進(jìn)行路由傳輸,所以TCP是面向字節(jié)流的可靠的傳輸方式?！病?7.ARP緩存只能保存主動查詢獲得的IP和MAC的對應(yīng)關(guān)系,而不會保存以廣播形式接收到的IP和MAC的對應(yīng)關(guān)系。〔×48.計(jì)算機(jī)病毒只會破壞計(jì)算機(jī)的操作系統(tǒng),而對其他網(wǎng)絡(luò)設(shè)備不起作用?！病?9.腳本文件和ActiveX控件都可以嵌入在HTML文件中執(zhí)行?！病?0.要實(shí)現(xiàn)DDoS攻擊,攻擊者必須能夠控制大量的計(jì)算機(jī)為其服務(wù)?！病?1．Feistel是密碼設(shè)計(jì)的一個結(jié)構(gòu),而非一個具體的密碼產(chǎn)品。〔√12.暴力破解與字典攻擊屬于同類網(wǎng)絡(luò)攻擊方式,其中暴力破解中所采用的字典要比字典攻擊中使用的字典的范圍要大。〔√13.DHCP服務(wù)器只能給客戶端提供IP地址和網(wǎng)關(guān)地址,而不能提供DNS服務(wù)器的IP地址。〔×14.間諜軟件能夠修改計(jì)算機(jī)上的配置文件?！病?5.蠕蟲既可以在互聯(lián)網(wǎng)上傳播,也可以在局域網(wǎng)上傳播。而且由于局域網(wǎng)本身的特性,蠕蟲在局域網(wǎng)上傳播速度更快,危害更大?！病?6.與IDS相比,IPS具有深層防御的功能。〔√17.當(dāng)硬件配置相同時,代理防火墻對網(wǎng)絡(luò)運(yùn)行性能的影響要比包過濾防火墻小。〔×18.在傳統(tǒng)的包過濾、代理和狀態(tài)檢測3類防火墻中,只有狀態(tài)檢測防火墻可以在一定程度上檢測并防止內(nèi)部用戶的惡意破壞?！病?9.防火墻一般采用"所有未被允許的就是禁止的"和"所有未被禁止的就是允許的"兩個基本準(zhǔn)則,其中前者的安全性要比后者高?！病?0.在利用VPN連接兩個LAN時,LAN中必須使用TCP/IP協(xié)議?！病恋梅衷u卷人復(fù)查人四、名詞解釋〔每小題4分,共20分61．對稱加密與非對稱加密在一個加密系統(tǒng)中,加密和解密使用同一個密鑰,這種加密方式稱為對稱加密,也稱為單密鑰加密〔2分。如果系統(tǒng)采用的是雙密鑰體系,存在兩個相互關(guān)聯(lián)的密碼,其中一個用于加密,另一個用于解密,這種加密方法稱為非對稱加密,也稱為公鑰加密〔2分62.蜜罐：是一種計(jì)算機(jī)網(wǎng)絡(luò)中專門為吸引并"誘騙"那些試圖非法入侵他人計(jì)算機(jī)系統(tǒng)的人而設(shè)計(jì)的陷阱系統(tǒng)〔2分。設(shè)置蜜罐的目的主要是用于被偵聽、被攻擊,從而研究網(wǎng)絡(luò)安全的相關(guān)技術(shù)和方法?！?63.PKI：PKI〔公鑰基礎(chǔ)設(shè)施是利用密碼學(xué)中的公鑰概念和加密技術(shù)為網(wǎng)上通信提供的符合標(biāo)準(zhǔn)的一整套安全基礎(chǔ)平臺。PKI能為各種不同安全需求的用戶提供各種不同的網(wǎng)上安全服務(wù)所需要的密鑰和證書,這些安全服務(wù)主要包括身份識別與鑒別〔認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性及時間戳服務(wù)等,從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的〔2分。PKI的技術(shù)基礎(chǔ)之一是公開密鑰體制〔1分；PKI的技術(shù)基礎(chǔ)之二是加密機(jī)制〔1分。64.DNSSEC：DNSSEC〔域名系統(tǒng)安全擴(kuò)展是在原有的域名系統(tǒng)〔DNS上通過公鑰技術(shù),對DNS中的信息進(jìn)行數(shù)字簽名,從而提供DNS的安全認(rèn)證和信息完整性檢驗(yàn)〔2分。發(fā)送方首先使用Hash函數(shù)對要發(fā)送的DNS信息進(jìn)行計(jì)算,得到固定長度的"信息摘要",然后對"信息摘要"用私鑰進(jìn)行加密,此過程實(shí)現(xiàn)了對"信息摘要"的數(shù)字簽名；最后將要發(fā)送的DNS信息、該DNS信息的"信息摘要"以及該"信息摘要"的數(shù)字簽名,一起發(fā)送出來〔1分。接收方首先采用公鑰系統(tǒng)中的對應(yīng)公鑰對接收到的"信息摘要"的數(shù)字簽名進(jìn)行解密,得到解密后的"信息摘要"；接著用與發(fā)送方相同的Hash函數(shù)對接收到的DNS信息進(jìn)行運(yùn)算,得到運(yùn)算后的"信息摘要"；最后,對解密后的"信息摘要"和運(yùn)算后的"信息摘要"進(jìn)行比較,如果兩者的值相同,就可以確認(rèn)接收到的DNS信息是完整的,即是由正確的DNS服務(wù)器得到的響應(yīng)〔1分。65.DoS攻擊：DoS〔拒絕服務(wù)攻擊是一種實(shí)現(xiàn)簡單但又很有效的攻擊方式。DoS攻擊的目的就是讓被攻擊主機(jī)拒絕用戶的正常服務(wù)訪問,破壞系統(tǒng)的正常運(yùn)行,最終使用戶的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效〔2分。最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)。〔2分1、DNS緩存中毒：DNS為了提高查詢效率,采用了緩存機(jī)制,把用戶查詢過的最新記錄存放在緩存中,并設(shè)置生存周期〔TimeToLive,TTL。在記錄沒有超過TTL之前,DNS緩存中的記錄一旦被客戶端查詢,DNS服務(wù)器〔包括各級名字服務(wù)器將把緩存區(qū)中的記錄直接返回給客戶端,而不需要進(jìn)行逐級查詢,提高了查詢速率。〔2分DNS緩存中毒利用了DNS緩存機(jī)制,在DNS服務(wù)器的緩存中存入大量錯誤的數(shù)據(jù)記錄主動供用戶查詢。由于緩存中大量錯誤的記錄是攻擊者偽造的,而偽造者可能會根據(jù)不同的意圖偽造不同的記錄。由于DNS服務(wù)器之間會進(jìn)行記錄的同步復(fù)制,所以在TTL內(nèi),緩存中毒的DNS服務(wù)器有可能將錯誤的記錄發(fā)送給其他的DNS服務(wù)器,導(dǎo)致更多的DNS服務(wù)器中毒?！?分2．機(jī)密性、完整性、可用性、可控性機(jī)密性是確保信息不暴露給未經(jīng)授權(quán)的人或應(yīng)用進(jìn)程〔1分；完整性是指只有得到允許的人或應(yīng)用進(jìn)程才能修改數(shù)據(jù),并且能夠判別出數(shù)據(jù)是否已被更改〔1分；可用性是指只有得到授權(quán)的用戶在需要時才可以訪問數(shù)據(jù),即使在網(wǎng)絡(luò)被攻擊時也不能阻礙授權(quán)用戶對網(wǎng)絡(luò)的使用〔1分；可控性是指能夠?qū)κ跈?quán)范圍內(nèi)的信息流向和行為方式進(jìn)行控制〔1分。3．PMI：PMI〔授權(quán)管理基礎(chǔ)設(shè)施是在PKI發(fā)展的過程中為了將用戶權(quán)限的管理與其公鑰的管理分離,由IETF提出的一種標(biāo)準(zhǔn)。PMI的最終目標(biāo)就是提供一種有效的體系結(jié)構(gòu)來管理用戶的屬性。PMI以資源管理為核心,對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理〔2分。同PKI相比,兩者主要區(qū)別在于PKI證明用戶是誰,而PMI證明這個用戶有什么權(quán)限、能干什么。PMI需要PKI為其提供身份認(rèn)證。PMI實(shí)際提出了一個新的信息保護(hù)基礎(chǔ)設(shè)施,能夠與PKI緊密地集成,并系統(tǒng)地建立起對認(rèn)可用戶的特定授權(quán),對權(quán)限管理進(jìn)行系統(tǒng)的定義和描述,完整地提供授權(quán)服務(wù)所需過程?！?分4．防火墻：防火墻是指設(shè)置在不同網(wǎng)絡(luò)〔如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合〔2分,通過監(jiān)測、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵,實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。5．VPN：VPN〔虛擬專用網(wǎng)是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,通過隧道技術(shù),為用戶提供一條與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道,實(shí)現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接〔2分。從VPN的定義來看,其中"虛擬"是指用戶不需要建立自己專用的物理線路,而是利用Internet等公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道,并實(shí)現(xiàn)與專用數(shù)據(jù)通道相同的通信功能；"專用網(wǎng)絡(luò)"是指這一虛擬出來的網(wǎng)絡(luò)并不是任何連接在公共網(wǎng)絡(luò)上的用戶都能夠使用的,而是只有經(jīng)過授權(quán)的用戶才可以使用。同時,該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證,從而保證了傳輸內(nèi)容的完整性和機(jī)密性?！?分6．DDoS攻擊：DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使服務(wù)器無法處理合法用戶的指令,一般是采用一對一方式。DDOS是在DOS基礎(chǔ)上利用一批受控制的主機(jī)向一臺主機(jī)發(fā)起攻擊,其攻擊強(qiáng)度和造成的威脅要比DOS嚴(yán)重的的。五、簡答題〔每小題10分,共20分66．簡述ARP欺騙的實(shí)現(xiàn)原理及主要防范方法由于ARP協(xié)議在設(shè)計(jì)中存在的主動發(fā)送ARP報文的漏洞,使得主機(jī)可以發(fā)送虛假的ARP請求報文或響應(yīng)報文,報文中的源IP地址和源MAC地址均可以進(jìn)行偽造〔2分。在局域網(wǎng)中,即可以偽造成某一臺主機(jī)〔如服務(wù)器的IP地址和MAC地址的組合,也可以偽造成網(wǎng)關(guān)的IP地址和MAC地址的組合,ARP即可以針對主機(jī),也可以針對交換機(jī)等網(wǎng)絡(luò)設(shè)備〔2分,等等。目前,絕大部分ARP欺騙是為了擾亂局域網(wǎng)中合法主機(jī)中保存的ARP表,使得網(wǎng)絡(luò)中的合法主機(jī)無法正常通信或通信不正常,如表示為計(jì)算機(jī)無法上網(wǎng)或上網(wǎng)時斷時續(xù)等?！?分針對主機(jī)的ARP欺騙的解決方法：主機(jī)中靜態(tài)ARP緩存表中的記錄是永久性的,用戶可以使用TCP/IP工具來創(chuàng)建和修改,如Windows操作系統(tǒng)自帶的ARP工具,利用"arp-s網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址"將本機(jī)中ARP緩存表中網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)〔static?！?分針對交換機(jī)的ARP欺騙的解決方法：在交換機(jī)上防范ARP欺騙的方法與在計(jì)算機(jī)上防范ARP欺騙的方法基本相同,還是使用將下連設(shè)備的MAC地址與交換機(jī)端口進(jìn)行一一綁定的方法來實(shí)現(xiàn)?！?分67．如下圖所示,簡述包過濾防火墻的工作原理及應(yīng)用特點(diǎn)。包過濾〔PacketFilter是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問策略〔過濾規(guī)則,檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息〔如協(xié)議、服務(wù)類型等,確定是否允許該數(shù)據(jù)包通過防火墻〔2分。包過濾防火墻中的安全訪問策略〔過濾規(guī)則是網(wǎng)絡(luò)管理員事先設(shè)置好的,主要通過對進(jìn)入防火墻的數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口進(jìn)行設(shè)置,決定是否允許數(shù)據(jù)包通過防火墻。〔2分如圖所示,當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過濾規(guī)則后,在防火墻中會形成一個過濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時,防火墻會將IP分組的頭部信息與過濾規(guī)則表進(jìn)行逐條比對,根據(jù)比對結(jié)果決定是否允許數(shù)據(jù)包通過?！?分包過濾防火墻主要特點(diǎn)：過濾規(guī)則表需要事先進(jìn)行人工設(shè)置,規(guī)則表中的條目根據(jù)用戶的安全要求來定；防火墻在進(jìn)行檢查時,首先從過濾規(guī)則表中的第1個條目開始逐條進(jìn)行,所以過濾規(guī)則表中條目的先后順序非常重要；由于包過濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,所以包過濾防火墻對通過的數(shù)據(jù)包的速度影響不大,實(shí)現(xiàn)成本較低。但包過濾防火墻無法識別基于應(yīng)用層的惡意入侵。另外,包過濾防火墻不能識別IP地址的欺騙,內(nèi)部非授權(quán)的用戶可以通過偽裝成為合法IP地址的使用者來訪問外部網(wǎng)絡(luò),同樣外部被限制的主機(jī)也可以通過使用合法的IP地址來欺騙防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)。〔4分3．根據(jù)實(shí)際應(yīng)用,以個人防火墻為主,簡述防火墻的主要功能及應(yīng)用特點(diǎn)防火墻是指設(shè)置在不同網(wǎng)絡(luò)〔如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合,通過監(jiān)測、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵,實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)?！?分個人防火墻是一套安裝在個人計(jì)算機(jī)上的軟件系統(tǒng)