文档库

最新最全的文档下载
当前位置:文档库 > 网络安全复习题答案

网络安全复习题答案

选择题

Firewall –1 是一种: D

A、方病毒产品

B、扫描产品

C、入侵检测产品

D、防火墙产品

(4选3)如果发现网络变得很慢,经过观察,发现网络冲突增加很多,以下哪些情况会引起此类故障(ABC )。

A、电缆太长

B、有网卡工作不正常

C、网络流量增大

D、电缆断路

以下算法中属于非对称算法的是( B )

A、Hash算法 B RSA算法C、IDEA D、三重DES

在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是(B )A、非对称算法的公钥B、对称算法的密钥

C、非对称算法的私钥

D、CA中心的公钥

以下不属于代理服务技术优点的是(D )

A、可以实现身份认证

B、内部地址的屏蔽和转换功能

C、可以实现访问控制

D、可以防范数据驱动侵袭

包过滤技术与代理服务技术相比较( B )

A、包过滤技术安全性较弱、但会对网络性能产生明显影响

B、包过滤技术对应用和用户是绝对透明的

C、代理服务技术安全性较高、但不会对网络性能产生明显影响

D、代理服务技术安全性高,对应用和用户透明度也很高

入侵检测系统在进行信号分析时,一般通过三种常用的技术手段,以下哪一种不属于通常的三种技术手段:(D )

A、模式匹配

B、统计分析

C、完整性分析

D、密文分析

以下哪一项属于基于主机的入侵检测方式的优势:(C )

A、监视整个网段的通信

B、不要求在大量的主机上安装和管理软件

C、适应交换和加密

D、具有更好的实时性

以下哪一项不属于计算机病毒的防治策略:(D )

A、防毒能力

B、查毒能力

C、解毒能力

D、禁毒能力

以下关于计算机病毒的特征说法正确的是:(C )

A、计算机病毒只具有破坏性,没有其他特征

B、计算机病毒具有破坏性,不具有传染性

C、破坏性和传染性是计算机病毒的两大主要特征

D、计算机病毒只具有传染性,不具有破坏性

可以通过哪种安全产品划分网络结构,管理和控制内部和外部通讯:A

A、防火墙

B、CA中心

C、加密机

D、方病毒产品

IPSec协议是开放的VPN协议。对它的描述有误的是:C

A、适应于向IPv6迁移。

B、提供在网络层上的数据加密保护。

C、支持动态的IP地址分配。

D、不支持除TCP/IP外的其它协议。

对于防火墙的设计准则,业界有一个非常著名的标准,即两个基本的策略(BC)

A.允许从内部站点访问Internet而不允许从Internet访问内部站点

B.没有明确允许的就是禁止的

C.没有明确禁止的就是允许的

D.只允许从Internet访问特定的系统

建立堡垒主机的一般原则(AC)

A.最简化原则B.复杂化原则C.预防原则D.网络隔断原则

50、有关PPTP(Point-to-Point Tunnel Protocol)说法正确的是:C

A、PPTP是Netscape提出的。

B、微软从NT3.5以后对PPTP开始支持。

C、PPTP可用在微软的路由和远程访问服务上

在建立堡垒主机时( A )

A、在堡垒主机上应设置尽可能少的网络服务

B、在堡垒主机上应设置尽可能多的网络服务

C、对必须设置的服务给与尽可能高的权限

D、不论发生任何入侵情况,内部网始终信任堡垒主机

在以下人为的恶意攻击行为中,属于主动攻击的是( A )

A、身份假冒

B、数据GG

C、数据流分析

D、非法访问

D、确保数据数据是由合法实体发出的

当同一网段中两台工作站配置了相同的IP 地址时,会导致(B )

A、先入者被后入者挤出网络而不能使用

B、双方都会得到警告,但先入者继续工作,而后入者不能

C、双方可以同时正常工作,进行数据的传输

D、双主都不能工作,都得到网址冲突的警告

以下关于宏病毒说法正确的是:(B)

A、宏病毒主要感染可执行文件

B、宏病毒仅向办公自动化程序编制的文档进行传染

C、宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区

D、CIH病毒属于宏病毒

Unix和Windows NT、操作系统是符合那个级别的安全标准:( C )

A.)A级B)B级C)C级D)D级

黑客利用IP地址进行攻击的方法有:(A )

A、IP欺骗

B、解密

C、窃取口令

D、发送病毒

目前在防火墙上提供了几种认证方法,其中防火墙设定可以访问内部网络资源的用户访问权限是:C

A、客户认证

B、回话认证

C、用户认证

D、都不是

能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是:A、基于网络的入侵检测方式B、基于文件的入侵检测方式

C、基于主机的入侵检测方式

D、基于系统的入侵检测方式

防止用户被冒名所欺骗的方法是:(A )

A、对信息源发方进行身份验证

B、进行数据加密

C、对访问网络的流量进行过滤和保护

D、采用防火墙

对状态检查技术的优缺点描述有误的是:C

A、采用检测模块监测状态信息。

B、支持多种协议和应用。

C、不支持监测RPC和UDP的端口信息。

D、配置复杂会降低网络的速度。

12.屏蔽路由器型防火墙采用的技术是基于:(B )

A、数据包过滤技术

B、应用网关技术C.代理服务技术D.三种技术的结合(4选2)网络按通信方式分类,可分为(AB )。

A、点对点传输网络

B、广播式传输网络

C、数据传输网

D、对等式网络

以下关于防火墙的设计原则说法正确的是:( A )

A、保持设计的简单性

B、不单单要提供防火墙的功能,还要尽量使用较大的组件

C、保留尽可能多的服务和守护进程,从而能提供更多的网络服务

D、一套防火墙就可以保护全部的网络

IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由信息:A

A、隧道模式

B、管道模式

C、传输模式

D、安全模式

数据保密性指的是(C )

A、保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密

B、提供连接实体身份的鉴别

C、防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致

SSL指的是:( B )

A、加密认证协议

B、安全套接层协议

C、授权认证协议

D、安全通道协议以下哪一种方式是入侵检测系统所通常采用的:(A )

A、基于网络的入侵检测

B、基于IP的入侵检测

C、基于服务的入侵检测

D、基于域名的入侵检测

CA指的是:(A )

A、证书授权

B、加密认证

C、虚拟专用网

D、安全套接层

在安全审计的风险评估阶段,通常是按什么顺序来进行的:( A )

A、侦查阶段、渗透阶段、控制阶段

B、渗透阶段、侦查阶段、控制阶段

C、控制阶段、侦查阶段、渗透阶段

D、侦查阶段、控制阶段、渗透阶段

以下哪一项不属于入侵检测系统的功能:( D )

A、监视网络上的通信数据流

B、捕捉可疑的网络活动

C、提供安全审计报告

D、过滤非法的数据包

Internet的影响越来越大,人们常把它与报纸、广播、电视等传统媒体相比较,称之为(A )。

A、第四媒体

B、交互媒体

C、全新媒体

D、交流媒体

入侵检测系统的第一步是:( B )

A、信号分析

B、信息收集

C、数据包过滤

D、数据包检查

以下哪一项不是入侵检测系统利用的信息:(C )

A、系统和网络日志文件

B、目录和文件中的不期望的改变

C、数据包头信息

D、程序执行中的不期望行为

以下关于SNMP v1和SNMP v2的安全性问题说法正确的是:(A )

A、SNMP v1不能阻止未授权方伪装管理器执行Get和Set操作

B、SNMP v1能提供有效的方法阻止第三者观察管理器和代理程序之间的消息交换

C、SNMP v2解决不了篡改消息内容的安全性问题

D、SNMP v2解决不了伪装的安全性问题

在OSI七个层次的基础上,将安全体系划分为四个级别,以下那一个不属于四个级别:( D )

A、网络级安全

B、系统级安全

C、应用级安全

D、链路级安全

审计管理指:( C )

A、保证数据接收方收到的信息与发送方发送的信息完全一致

B、防止因数据被截获而造成的泄密

C、对用户和程序使用资源的情况进行记录和审查

D、保证信息使用者都可有得到相应授权的全部服务

(4选2)在建网时,设计IP地址方案首先要( C )。

A. 给每一硬件设备分配一个IP地址

B. 选择合理的IP寻址方式

C. 保证IP地址不重复

D. 动态获得IP地址时可自由安排

加密技术不能实现:(D )

A、数据信息的完整性

B、基于密码技术的身份认证

C、机密文件加密

D、基于IP头信息的包过滤

以下关于对称密钥加密说法正确的是:(C )

A、加密方和解密方可以使用不同的算法

B、加密密钥和解密密钥可以是不同的

C、加密密钥和解密密钥必须是相同的

D、密钥的管理非常简单

以下关于数字签名说法正确的是:(D )

A、数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息

B、数字签名能够解决数据的加密传输,即安全传输问题

C、数字签名一般采用对称加密机制

D、数字签名能够解决篡改、伪造等安全性问题

(4选2)下列说法中属于ISO/OSI七层协议中应用层功能的是( BD )。

A、拥塞控制

B、电子邮件

C、防止高速的发送方的数据把低速的接收方淹没

D、目录查询

以下关于CA认证中心说法正确的是:( C )

A、CA认证是使用对称密钥机制的认证方法

B、CA认证中心只负责签名,不负责证书的产生

C、CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份

D、CA认证中心不用保持中立,可以随便找一个用户来做为CA认证中心

关于CA和数字证书的关系,以下说法不正确的是:( B )

A、数字证书是保证双方之间的通讯安全的电子信任关系,他由CA签发

B、数字证书一般依靠CA中心的对称密钥机制来实现

C、在电子交易中,数字证书可以用于表明参与方的身份

D、数字证书能以一种不能被假冒的方式证明证书持有人身份

下列说法中不正确的是(D )。

A、IP地址用于标识连入Internet上的计算机

B、在Ipv4协议中,一个IP地址由32位二进制数组成

C、在Ipv4协议中,IP地址常用带点的十进制标记法书写

D、A、B、C类地址是单播地址,D、E类是组播地址

以下关于VPN说法正确的是:(B )

A、VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路

B、VPN指的是用户通过公用网络建立的临时的、安全的连接

C、VPN不能做到信息认证和身份认证

D、VPN只能提供身份认证、不能提供加密数据的功能

Ipsec不可以做到(D )

A、认证

B、完整性检查

C、加密

D、签发证书

包过滤是有选择地让数据包在内部与外部主机之间进行交换,根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备是:C

A.路由器B.一台独立的主机C.交换机D.网桥

计算机网络按威胁对象大体可分为两种:一是对网络中信息的威胁;二是:B

A、人为破坏

B、对网络中设备的威胁

C、病毒威胁

D、对网络人员的威胁

防火墙中地址翻译的主要作用是:B

A、提供代理服务

B、隐藏内部网络地址

C、进行入侵检测

D、防止病毒入侵下列属于10 Base-T中网卡与集线器之间双绞线接法的是( A )。

A、l-l,2-2,3-3,6-6

B、l-3,2-6,3-l,6-2

C、1-2,2-1,3-6,6-3

D、1-6,2-3,3-2,6-l

划分VLAN的方法常用的有(B )、按MAC地址划分和按第3层协议划分3种。

A、按IP地址划分

B、按交换端口号划分

C、按帧划分

D、按信元交换

以太网交换机的最大带宽为( C )。

A、等于端口带宽

B、大于端口带宽的总和

C、等于端口带宽的总和

D、小于端口带宽的总和

某公司位于A市,其分公司位于距A市120公里的B市,总部与分公司之间在上班时间内要经常性地进行大量电子表格传递,则应选择的合理通信连接方式为( C )。

A、普通电话拨号联网

B、光缆快速以太网

C、帧中继

D、星形网

加密有对称密钥加密、非对称密钥加密两种,数字签名采用的是:

A、对称密钥加密

B、非对称密钥加密

以下属于包过滤技术的优点的是(BC)

A.能够对高层协议实现有效过滤

B.具有较快的数据包的处理速度

C.为用户提供透明的服务,不需要改变客户端的程序和自己本身的行为

D.能够提供内部地址的屏蔽和转换功能

以下那些属于系统的物理故障:A

A、硬件故障与软件故障

B、计算机病毒

C、人为的失误

D、网络故障和设备环境故障

数据在存储或传输时不被修改、破坏,或数据包的丢失、乱序等指的是:A

A、数据完整性。

B、数据一致性

C、数据同步性

D、数据源发性

C、PPTP可用在微软的路由和远程访问服务上。

D、它是传输层上的协议。

有关L2TP(Layer 2 Tunneling Protocol)协议说法有误的是:D

A、L2TP是由PPTP协议和Cisco公司的L2F组合而成。

B、L2TP可用于基于Internet的远程拨号访问。

C、为PPP协议的客户建立拨号连接的VPN连接。

D、L2TP只能通过TCT/IP连接。

针对下列各种安全协议,最适合使用外部网VPN上,用于在客户机到服务器的连接模式的是:C

A、IPsec

B、PPTP

C、SOCKS v5

D、L2TP

下列各种安全协议中使用包过滤技术,适合用于可信的LAN到LAN之间的VPN,即内部网VPN的是:D

A、PPTP

B、L2TP

C、SOCKS v5

D、IPsec

使用安全内核的方法把可能引起安全问题的部分冲操作系统的内核中去掉,形成安全等级更高的内核,目前对安全操作系统的加固和改造可以从几个方面进行。下面错误的是:D

A、采用随机连接序列号。

B、驻留分组过滤模块。

C、取消动态路由功能。

D、尽可能地采用独立安全内核。

人为的恶意攻击分为被动攻击和主动攻击,在以下的攻击类型中属于主动攻击的是:(BC)A.数据GG B.数据篡改及破坏C.身份假冒D.数据流分析

在安全服务中,不可否认性包括两种形式,分别是(AB )

A.原发证明B.交付证明C.数据完整D.数据保密

在防火墙实现认证的方法中,采用通过数据包中的源地址来认证的是:B

A、Password-Based Authentication

B、Address-Based Authentication

C、Cryptographic Authentication

D、None of Above.

一个路由器有两个端口,分别接到两个网络,两个网络各有一个主机,IP地址分别为110.25.53.1和110.24.53.6,子网掩码均为255.255.0.0,请从中选出两个IP地址分别分配给路由器的两个端口( B )。

A、110.25.52.2和110.24.52.7

B、110.24.53.2和110.25.53.7

C、111.25.53.2和111.24.53.7

D、110.25.53.2和110.24.53.7

下列网卡中,属于按照总线类型分类的是( C)。

A、10M网卡、100M网卡

B、桌面网卡与服务器网卡

C、PCI网卡、ISA网卡

D、粗缆网卡、细缆网卡

10. RIP是( B )协议栈上一个重要的路由协议。

A、IPX

B、TCP/IP

C、NetBEUI

D、AppleTalk

以下安全标准属于ISO7498-2规定的是(AC )

A.数据完整性B.Windows NT属于C2级

C.不可否认性D.系统访问控制

利用密码技术,可以实现网络安全所要求的(ABCD )

A.数据保密性B.数据完整性C.数据可用性D.身份认证

所谓加密是指将一个信息经过(A )及加密函数转换,变成无意义的密文,而接受方则将此密文经过解密函数、()还原成明文。

A、加密钥匙、解密钥匙

B、解密钥匙、解密钥匙

C、加密钥匙、加密钥匙

D、解密钥匙、加密钥匙

在加密过程中,必须用到的三个主要元素是(ABC)

A.所传输的信息(明文)B.加密钥匙(Encryption key)

C.加密函数D.传输信道

6.加密的强度主要取决于(ABD)

A.算法的强度B.密钥的保密性C.明文的长度D.密钥的强度(4选3)下列关于中继器的描述正确的是(ABC)。

A、扩展局域网传输距离

B、放大输入信号

C、检测到冲突,停止传输数据到发生冲突的网段

D、增加中继器后,每个网段上的节点数可以大大增加

以下对于对称密钥加密说法正确的是(BCD )

A.对称加密算法的密钥易于管理B.加解密双方使用同样的密钥

C.DES算法属于对称加密算法D.相对于非对称加密算法,加解密处理速度比较快网络入侵者使用sniffer对网络进行侦听,在防火墙实现认证的方法中,下列身份认证可能会造成不安全后果的是:A

A、Password-Based Authentication

B、Address-Based Authentication

C、Cryptographic Authentication

D、None of Above.

JOE是公司的一名业务代表,经常要在外地访问公司的财务信息系统,他应该采用的安全、廉价的通讯方式是:B

A、PPP连接到公司的RAS服务器上。

B、远程访问VPN

C、电子邮件

D、与财务系统的服务器PPP连接。

随着Internet发展的势头和防火墙的更新,防火墙的哪些功能将被取代:D

A、使用IP加密技术。

B、日志分析工具。

C、攻击检测和报警。

D、对访问行为实施静态、固定的控制。

相对于对称加密算法,非对称密钥加密算法(ACD)

A.加密数据的速率较低B.更适合于现有网络中对所传输数据(明文)的加解密处理C.安全性更好D.加密和解密的密钥不同

以下对于混合加密方式说法正确的是(BCD )

A.使用公开密钥密码体制对要传输的信息(明文)进行加解密处理

B.使用对称加密算法队要传输的信息(明文)进行加解密处理

C.使用公开密钥密码体制对称加密密码体制的密钥进行加密后的通信

D.对称密钥交换的安全信道是通过公开密钥密码体制来保证的

在通信过程中,只采用数字签名可以解决(ABC)等问题。

A.数据完整性B.数据的抗抵赖性C.数据的篡改D.数据的保密性OSI模型的物理层负责下列()功能。

A、格式化报文

B、为数据选择通过网络的路由

C、定义连接到介质的特征

D、提供远程文件访问功能

防火墙不能防止以下那些攻击行为(ABD )

A.内部网络用户的攻击B.传送已感染病毒的软件和文件

C.外部网络用户的IP地址欺骗D.数据驱动型的攻击

以下关于非对称密钥加密说法正确的是:(B )

A、加密方和解密方使用的是不同的算法

B、加密密钥和解密密钥是不同的

C、加密密钥和解密密钥匙相同的

D、加密密钥和解密密钥没有任何关系

以下关于混合加密方式说法正确的是:(B )

A、采用公开密钥体制进行通信过程中的加解密处理

B、采用公开密钥体制对对称密钥体制的密钥进行加密后的通信

C、采用对称密钥体制对对称密钥体制的密钥进行加密后的通信

D、采用混合加密方式,利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点

以下关于包过滤技术与代理技术的比较,正确的是( A )

A.包过滤技术的安全性较弱,代理服务技术的安全性较高

B.包过滤不会对网络性能产生明显影响

C.代理服务技术会严重影响网络性能

D.代理服务技术对应用和用户是绝对透明的

填空题

虚拟主机服务是指为用户提供(域名注册)、(服务器空间租用)和网页设计制作等服务。

衡量数据通信的主要参数有(数据通信速率)和(误码率)。

IP地址11011011,00001101,00000101,11101110用点分10进制表示可写为

( 219.13.5.238 )。

任何网络都有以下三个要素,即:共享服务、(传输介质)和(网络协议)。

IP地址分配有动态主机分配协议、(自动专用IP地址寻址)和(手工设置)三种IP寻址方式。

认证主要包括实体认证和(消息认证)两大类。

Intranet分层结构包括网络、(服务)、应用三个层次。

在TCP/IP网络中,测试连通性的常用命令是( PING )。

对于防火墙和FTP服务结合,如果我们要设定过滤规则,则必须首先分析FTP的包过滤特性,而FTP连接又分为正常情况下的连接和被动模式下的连接。在正常情况下的FTP连接,从开始一个FTP连接开始,到连接完全建立,要经过以下四个步骤:(①②③④)

防火墙的组成可以表示成(过滤器)+(安全策略)。

移位和置换是密码技术的基础,如果采用移位算法,遵循以下规则:1→G、2→I、3→K、4→M、5→O、6→Q;则236经过移位转换之后的密文是:(IKQ )

在下列括号中填入局域网或广域网

(局域网)通常为一个单位所拥有,(广域网)限制条件是传输通道的速率,(广域网)跨越无限的距离,(局域网)通常使用广播技术来替代存储转发的路由选择。

一个512位密钥长度的算法将会有(2的512次方)种可能不同的钥匙,如密钥长度为513位,则可能会有(2的513次方)种可能不同的钥匙。

综合布线系统可划分为工作区子系统、骨干线子系统、(水平布线子系统)、管理子系统、(设备间子系统)和户外子系统。

简答题

简述通信子网与资源子网分别由哪些主要部分组成,其主要功能是什么。(本题6分)

通信子网负责整个网络的纯粹通信部分,资源子网即是各种网络资源(主机上的打印机、软件资源等)的集合。

通信子网由两个不同的部件组成,即传输线和交换单元。传输介质也称为电路、信道,信道是通信中传递信息的通道,包含发送信息、接收信息和转发信息的设备。传输介质是指用于连接两个或多个网络结点的物理传输电路,例如,电话线、同轴电缆、光缆等。通信信道应包括传输介质与通信设备,它是建立在传输介质之上的。采用多路复用技术时,一条物理传输介质上可以建立多条通信信道。

简述为何在网络中路由器通常比网桥有更长的时延。(本题8分)

由于“路由”过程中采用了源地址和目的地址存储/转发的技术,节点存储/转发的时延较大,每个节点都要接收、存储、检错、纠错、转发大量的数据信息,路由表建表、改表和查表工作也会产生节点延迟。这些情况导致路由器的时延较长。

简述不支持TCP/IP的设备应如何进行SNMP管理。(本题10分)

SNMP要求所有的代理设备和管理站都必须实现TCP/IP。这样,对于不支持TCP/IP 的设备,就不能直接用SNMP进行管理。为此,提出了委托代理的概念。

一个委托代理设备可以管理若干台非TCP/IP设备,并代表这些设备接收管理站的查询,实际上委托代理起到了协议转换的作用,委托代理和管理站之间按SNMP协议通信,而与被管理设备之间则按专用的协议通信。