1、网络安全试题一单项选择题1. 以下算法中属于非对称算法的是( B )A. DESB. RSA 算法C. IDEAD. 三重 DES2. “DES 是一种数据分组的加密算法, DES 它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度?“ ( D )A. 56 位B. 64 位C. 112 位D. 128 位3. 以下有关软件加密和硬件加密的比较,不正确的是(B )A. 硬件加密对用户是透明的,而软件加密需要在操作系统或软件中写入加密程序B. 硬件加密的兼容性比软件加密好C. 硬件加密的安全性比软件加密好D. 硬件加密的速度比软件加密快4. 数据完整性指的是( C
2、)A. 保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B. 提供连接实体身份的鉴别C. 防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致D. 确保数据数据是由合法实体发出的5. 下面有关 3DES 的数学描述,正确的是( B )A. C=E(E(E(P, K1), K1), K1) B. C=E(D(E(P, K1), K2), K1)C. C=E(D(E(P, K1), K1), K1) D. C=D(E(D(P, K1), K2), K1)6. 黑客利用 IP 地址进行攻击的方法有:( A )A. IP 欺骗B. 解密C. 窃取口令D. 发送病毒
3、7. 屏蔽路由器型防火墙采用的技术是基于:( B )A. 数据包过滤技术B. 应用网关技术C. 代理服务技术D. 三种技术的结合8. 在安全审计的风险评估阶段,通常是按什么顺序来进行的:( A )A. 侦查阶段、渗透阶段、控制阶段B. 渗透阶段、侦查阶段、控制阶段C. 控制阶段、侦查阶段、渗透阶段D. 侦查阶段、控制阶段、渗透阶段9. 网络入侵者使用 sniffer 对网络进行侦听,在防火墙实现认证的方法中,下列身份认证可能会造成不安全后果的是:( A )A. 基于口令的身份认证B. 基于地址的身份认证C. 密码认证D. 都不是10. 以下哪一项不是入侵检测系统利用的信息:( C )A. 系统
4、和网络日志文件B. 目录和文件中的不期望的改变C. 数据包头信息D. 程序执行中的不期望行为11. 以下哪一项属于基于主机的入侵检测方式的优势:( C )A. 监视整个网段的通信B. 不要求在大量的主机上安装和管理软件C. 适应交换和加密D. 具有更好的实时性12. 在 OSI 七个层次的基础上,将安全体系划分为四个级别,以下那一个不属于四个级别:( D )A. 网络级安全B. 系统级安全C. 应用级安全D. 链路级安全13. 加密技术不能实现:( D )A. 数据信息的完整性B. 基于密码技术的身份认证C. 机密文件加密D. 基于 IP 头信息的包过滤14. 以下关于混合加密方式说法正确的是
5、:( B )A. 采用公开密钥体制进行通信过程中的加解密处理B. 采用公开密钥体制对对称密钥体制的密钥进行加密后的通信C. 采用对称密钥体制对对称密钥体制的密钥进行加密后的通信D. 采用混合加密方式,利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点15. 以下关于数字签名说法正确的是:( D )A. 数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B. 数字签名能够解决数据的加密传输,即安全传输问题C. 数字签名一般采用对称加密机制D. 数字签名能够解决篡改、伪造等安全性问题16. 防火墙中地址翻译的主要作用是:( B )A. 提供代理服务B. 隐藏
6、内部网络地址C. 进行入侵检测D. 防止病毒入侵17. 以下关于状态检测防火墙的描述,不正确的是( D )A. 所检查的数据包称为状态包,多个数据包之间存在一些关联B. 能够自动打开和关闭防火墙上的通信端口C. 其状态检测表由规则表和连接状态表两部分组成D. 在每一次操作中,必须首先检测规则表,然后再检测连接状态表(只检测连接状态表)18. 以下关于 VPN 说法正确的是:( B )A. VPN 指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路B. VPN 指的是用户通过公用网络建立的临时的、安全的连接C. VPN 不能做到信息认证和身份认证D. VPN 只能提供身份认证、不能提
7、供加密数据的功能19. TCP 可为通信双方提供可靠的双向连接,在包过滤系统中,下面关于 TCP连接描述错误的是:( C )A. 要拒绝一个 TCP 时只要拒绝连接的第一个包即可B. TCP 段中首包的 ACK0,后续包的 ACK1C. 确认号是用来保证数据可靠传输的编号 /(确认号是目的主机在接收到数据后反馈给源主机的信息,告诉源主机已接收)D. “在 CISCO 过滤系统中,当 ACK1 时, “established“关键字为 T,当ACK 0 时, “established“关键字为 F“20. 在 DDoS 攻击中,通过非法入侵并被控制,但并不向被攻击者直接发起攻击的计算机称为( B
8、 )A. 攻击者 B. 主控端 C. 代理服务器 D. 被攻击者21. 加密密钥的强度是:( A )A2 NB2 N-1C2ND2 N-122. IDS 规则包括网络误用和:( A )A. 网络异常B. 系统误用C. 系统异常D. 操作异常23. 防治要从防毒、查毒、 ( )三方面来进行:( A )A. 解毒B. 隔离C. 反击D. 重起24. 针对下列各种安全协议,最适合使用外部网 VPN 上,用于在客户机到服务器的连接模式的是:( C )A. IPsecB. PPTPC. SOCKS v5D. L2TP25. 下列各种安全协议中使用包过滤技术,适合用于可信的 LAN 到 LAN 之间的 V
9、PN,即内部网 VPN 的是:( D )A. PPTPB. L2TPC. SOCKS v5D. IPsec26. 目前在防火墙上提供了几种认证方法,其中防火墙设定可以访问内部网络资源的用户访问权限是:( C )A. 客户认证B. 回话认证C. 用户认证D. 都不是27. 目前在防火墙上提供了几种认证方法,其中防火墙提供授权用户特定的服务权限是:(A)A. 客户认证B. 回话认证C. 用户认证D. 都不是28. 目前在防火墙上提供了几种认证方法,其中防火墙提供通信双方每次通信时的会话授权机制是:(B)A. 客户认证B. 回话认证C. 用户认证D. 都不是29. 使用安全内核的方法把可能引起安全问
10、题的部分从操作系统的内核中去掉,形成安全等级更高的内核,目前对安全操作系统的加固和改造可以从几个方面进行。下面错误的是:(D)A. 采用随机连接序列号B. 驻留分组过滤模块C. 取消动态路由功能D. 尽可能地采用独立安全内核30. 在防火墙实现认证的方法中,采用通过数据包中的源地址来认证的是:(B)A. 基于口令的身份认证B. 基于地址的身份认证C. 密码认证D. 都不是31. 随着 Internet 发展的势头和防火墙的更新,防火墙的哪些功能将被取代:(D)A. 使用 IP 加密技术B. 日志分析工具C. 攻击检测和报警D. 对访问行为实施静态、固定的控制32. 网络入侵者使用 sniffe
11、r 对网络进行侦听,在防火墙实现认证的方法中,下列身份认证可能会造成不安全后果的是:(A)A. 基于口令的身份认证B. 基于地址的身份认证C. 密码认证D. 都不是33. IPSec 协议是开放的 VPN 协议。对它的描述有误的是:( C )A. 适应于向 IPv6 迁移B. 提供在网络层上的数据加密保护C. 支持动态的 IP 地址分配D. 不支持除 TCP/IP 外的其它协议34. 下面对电路级网关描述正确的是:BA. 它允许内部网络用户不受任何限制地访问外部网络,但外部网络用户在访问内部网络时会受到严格的控制B. 它在客户机和服务器之间不解释应用协议,仅依赖于 TCP 连接,而不进行任何附
12、加包的过滤或处理C. 大多数电路级代理服务器是公共代理服务器,每个协议都能由它实现D. 对各种协议的支持不用做任何调整直接实现35. 在 Internet 服务中使用代理服务有许多需要注意的内容,下述论述正确的是:CA. UDP 是无连接的协议很容易实现代理B. 与牺牲主机的方式相比,代理方式更安全C. 对于某些服务,在技术上实现相对容易D. 很容易拒绝客户机于服务器之间的返回连接36. 状态检查技术在 OSI 那层工作实现防火墙功能:CA. 链路层B. 传输层C. 网络层D. 会话层37. 对状态检查技术的优缺点描述有误的是:CA. 采用检测模块监测状态信息B. 支持多种协议和应用C. 不支
13、持监测 RPC 和 UDP 的端口信息D. 配置复杂会降低网络的速度38. JOE 是公司的一名业务代表,经常要在外地访问公司的财务信息系统,他应该采用的安全、廉价的通讯方式是:BA. PPP 连接到公司的 RAS 服务器上B. 远程访问 VPNC. 电子邮件D. 与财务系统的服务器 PPP 连接39. 下面关于外部网 VPN 的描述错误的有:CA. 外部网 VPN 能保证包括 TCP 和 UDP 服务的安全B. 其目的在于保证数据传输中不被修改C. VPN 服务器放在 Internet 上位于防火墙之外D. VPN 可以建在应用层或网络层上40. SOCKS v5 的优点是定义了非常详细的访
14、问控制,它在 OSI 的那一层控制数据流:DA. 应用层B. 网络层C. 传输层D. 会话层二判断题1. PKI 和 PMI 在应用中必须进行绑定,而不能在物理上分开。 ( )2. 当通过浏览器以在线方式申请数字证书时,申请证书和下载证书的计算机必须是同一台计算机。 ( )3. 在网络身份认证中采用审计的目的是对所有用户的行为进行记录,以便于进行核查。 ( )4. 要实现 DDoS 攻击,攻击者必须能够控制大量的计算机为其服务。 ( )5. 由于在 TCP 协议的传输过程中,传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段,然后每个字节段单独进行路由传输,所以 TCP 是面向字
15、节流的可靠的传输方式。 ( )6. ARP 缓存只能保存主动查询获得的 IP 和 MAC 的对应关系,而不会保存以广播形式接收到的 IP 和 MAC 的对应关系。 ( )7. 暴力破解与字典攻击属于同类网络攻击方式,其中暴力破解中所采用的字典要比字典攻击中使用的字典的范围要大。 ( )8. DHCP 服务器只能给客户端提供 IP 地址和网关地址,而不能提供 DNS 服务器的 IP 地址。 ( )9. 当硬件配置相同时,代理防火墙对网络运行性能的影响要比包过滤防火墙小。 ()10. 在传统的包过滤、代理和状态检测 3 类防火墙中,只有状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。
16、( )三填空题1计算机网络的资源共享包括( )共享和( )共享。2按照网络覆盖的地理范围大小,计算机网络可分为( ) 、 ( )和( ) 。3按照结点之间的关系,可将计算机网络分为( )网络和( )网络。4对等型网络与客户/服务器型网络的最大区别就是( ) 。5网络安全具有( ) 、 ( )和( ) 。6网络安全机密性的主要防范措施是( ) 。7网络安全完整性的主要防范措施是( ) 。8网络安全可用性的主要防范措施是( ) 。9网络安全机制包括( )和( ) 。10国际标准化组织 ISO 提出的“开放系统互连参考模型(OSI)” 有( )层。 11OSI 参考模型从低到高第 3 层是( )层。
17、 12入侵监测系统通常分为基于( )和基于( )两类。13数据加密的基本过程就是将可读信息译成( )的代码形式。14访问控制主要有两种类型:( )访问控制和( )访问控制。15网络访问控制通常由( )实现。16密码按密钥方式划分,可分为( )式密码和( )式密码。17DES 加密算法主要采用( )和( )的方法加密。18非对称密码技术也称为( )密码技术。19DES 算法的密钥为( )位,实际加密时仅用到其中的( )位。20数字签名技术实现的基础是( )技术。21数字水印技术主要包括( ) 、 ( )和( ) 。22数字水印技术的特点是( ) 、 ( )和( ) 。23入侵监测系统一般包括(
18、) 、 ( ) 、 ( )和( )四部分功能。24按照数据来源的不同,入侵监测系统可以分为( ) 、 ( )和( )入侵监测系统三类。25按照数据监测方法的不同,入侵监测系统可以分为( )监测模型和( )监测模型两类。26广域网简称为( ) 。27局域网简称为( ) 。28在TCP/IP参考模型中,应用层协议的( )用来实现互联网中电子邮件传送功能。 29电子商务的体系结构可以分为网络基础平台、安全结构、 ( ) 、业务系统4个层次。 30电子邮件服务采用( )工作模式。 答案:1 (硬件资源) 、 (软件资源) 。2 (局域网) 、 (广域网) (城域网)3 (客户/服务器型) (对等型)4
19、 (对等型网络没有专设服务器)5 (机密性) 、 (完整性) (可用性)6 (密码技术)7 (校验与认证技术)8 (确保信息与信息系统处于一个可靠的运行状态之下)9 (技术机制) (管理机制)10 (7) 11 (网络)12 (主机) (网络)13 (密文)14 (网络) (系统)15 (防火墙)16 (对称) (非对称)17 (替换) (移位)18 (公钥)19 (64) (56)20 (密码)21 (数字水印嵌入技术) (数字水印提取) (数字水印监测技术)22 (不可知觉性) (安全性) (稳健性)23 (事件提取) (入侵分析) (入侵响应) (远程管理)24 (基于主机) (基于网络
20、) (混合型)25 (异常) (误用)26 (WAN)27 (LAN )28 (电子邮件协议SMTP )29 (支付体系)30 (客户机/服务器)四名词解释题1. 对称加密与非对称加密在一个加密系统中,加密和解密使用同一个密钥,这种加密方式称为对称加密,也称为单密钥加密(2 分) 。如果系统采用的是双密钥体系,存在两个相互关联的密码,其中一个用于加密,另一个用于解密,这种加密方法称为非对称加密,也称为公钥加密(2 分)2. DNS 缓存中毒DNS 为了提高查询效率,采用了缓存机制,把用户查询过的最新记录存放在缓存中,并设置生存周期(Time To Live,TTL) 。在记录没有超过 TTL之
21、前,DNS 缓存中的记录一旦被客户端查询,DNS 服务器(包括各级名字服务器)将把缓存区中的记录直接返回给客户端,而不需要进行逐级查询,提高了查询速率。 (2 分)DNS 缓存中毒利用了 DNS 缓存机制,在 DNS 服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的,而伪造者可能会根据不同的意图伪造不同的记录。由于 DNS 服务器之间会进行记录的同步复制,所以在 TTL 内,缓存中毒的 DNS 服务器有可能将错误的记录发送给其他的 DNS 服务器,导致更多的 DNS 服务器中毒。 (2 分)3. 机密性、完整性、可用性、可控性机密性是确保信息不暴露给未
22、经授权的人或应用进程(1 分) ;完整性是指只有得到允许的人或应用进程才能修改数据,并且能够判别出数据是否已被更改(1 分) ;可用性是指只有得到授权的用户在需要时才可以访问数据,即使在网络被攻击时也不能阻碍授权用户对网络的使用(1 分) ;可控性是指能够对授权范围内的信息流向和行为方式进行控制。 (1 分)4. VPNVPN(虚拟专用网)是利用 Internet 等公共网络的基础设施,通过隧道技术,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接(2 分) 。从 VPN 的定义来看,其中“虚拟”是指用户不需要建立自己专用的物理线路,而是利用
23、 Internet 等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能;“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的,而是只有经过授权的用户才可以使用。同时,该通道内传输的数据经过了加密和认证,从而保证了传输内容的完整性和机密性。 (2 分)5. 防火墙防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合(2 分) ,通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的
24、安全保护。五简答题1. PGP 安全通信的基本原理是什么?答:A 要寄信给 B,他们互相知道对方的公钥,A 用 MD5 算法产生 128 位数作为邮件文摘,并用自己私钥加密,A 在邮件后加上那串邮件文摘,再用 B 的公钥把整个邮件加密后寄出,B 收到后用自己的私钥解密,得到 A的原文和签名,B 也从原文中计算出 128 的特征值,并和 A 的签名进行比对。2. 按照加密和解密是否使用相同的密钥可分为哪两种?其中,他们代表性的算法各有哪些?答:对称密钥密码算法,常用算法: DES ,AES, IDEA,非对称密码, 常用算法: RSA, DSA,3. 缓冲区溢出攻击的产生原因是什么?如何避免?答
25、:产生原因:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,使程序转而执行其它指令,以达到攻击的目的。避免:对存入缓冲区的数据要进行超长中断,防止缓冲区溢出,同时还应当检查返回值。4. 请解释什么是 VPN,其关键技术除了隧道技术,还有另外哪 3 个?答:IPSec 协议是主要用于构造 VPN 的,IPSec 安全体系结构由哪 3 个主要部分组成?再分别写出 IPSec 提供的安全协议,认证头(AH)与封装安全有效载荷(ESP)在隧道模式下各自的头格式。VPN 是虚拟专用网技术,是通过一个公用网络建立一个临时的,安全的连接,是一条穿过混乱的公用网络安全,稳定的遂道。除了隧道技术,还有加解密技术,密钥管理技术,使用者与设备身份认证技术。由安全协议、安全联盟和密钥管理组成。