單選題1.在建立堡壘主機時（）A.在堡壘主機上應設置盡可能少的網絡服務

B.在堡壘主機上應設置盡可能多的網絡服務

C.對必須設置的服務給與盡可能高的權限

D.不論發生任何入侵情況，內部網始終信任堡壘主機答案:A2.JOE是公司的一名業務代表，經常要在外地訪問公司的財務信息系統，他應該采用的安全、廉價的通訊方式是（）A.PPP連接到公司的RAS服務器上

B.遠程訪問VPN

C.電子郵件

D.與財務系統的服務器PPP連接。答案:B3.下面屬于星形拓撲結構存在的安全威脅的是（）A.終端必須是智能的

B.節點的故障會引起全網的故障

C.對中央節點的依賴性太大

D.對根節點依賴性太大答案:C4.下面不屬于端口掃描技術的是（）A.TCPconnect()掃描

B.TCPFIN掃描

C.IP包分段掃描

D.Land掃描答案:D5.下面關于ESP傳輸模式的敘述不正確的是（）A.并沒有暴露子網內部拓撲

B.主機到主機安全

C.IPSEC的處理負荷被主機分擔

D.兩端的主機需使用公網IP答案:A6.下面不屬于按網絡覆蓋范圍的大小將計算機網絡分類的是（）A.互聯網

B.廣域網

C.通信子網

D.局域網答案:C7.下面哪種信任模型的擴展性較好（）A.單CA信任模型

B.網狀信任模型

C.嚴格分級信任模型

D.Web信任模型答案:D8.下面關于入侵檢測的組成敘述不正確的是（）A.事件產生器對數據流、日志文件等進行追蹤

B.事件數據庫是入侵檢測系統中負責原始數據采集的部分

C.響應單元是入侵檢測系統中的主動武器

D.事件分析器將判斷的結果轉變為警告信息答案:B9.下面不屬于拒絕服務攻擊的是（）A.Land攻擊

B.淚滴攻擊

C.木馬攻擊

D.SYNflooding答案:C10.下面關于包過濾型防火墻的優點敘述不正確的是（）A.處理包的速度快

B.維護容易

C.包過濾防火墻對用戶和應用講是透明的

D.費用低答案:B11.入侵檢測系統在進行信號分析時，一般通過三種常用的技術手段，以下哪一種不屬于通常的三種技術手段（）A.模式匹配

B.統計分析

C.完整性分析

D.密文分析答案:D12.以下關于防火墻的設計原則說法正確的是（）A.保持設計的簡單性

B.不單單要提供防火墻的功能，還要盡量使用較大的組件

C.保留盡可能多的服務和守護進程，從而能提供更多的網絡服務

D.一套防火墻就可以保護全部的網絡答案:A13.負責產生、分配并管理PKI結構下所有用戶的證書的機構是（）A.LDAP目錄服務器

B.認證中心CA

C.注冊機構RA

D.業務受理點答案:B14.下面關于網絡入侵檢測的敘述不正確的是（）A.占用資源少

B.攻擊者不易轉移證據

C.容易處理加密的會話過程

D.檢測速度快答案:C15.下面不屬于SYNFLOODING攻擊的防范方法的是（）A.縮短SYNTimeout（連接等待超時）時間

B.利用防火墻技術

C.TCP段加密

D.根據源IP記錄SYN連接答案:C16.下面關于包過濾型防火墻協議包頭中的主要信息敘述正確的是（）A.包括IP源和目的地址

B.包括ICMP消息類型和TCP包頭中的ACK位

C.包括內裝協議和TCP/UDP目標端口

D.ABC都正確答案:D17.下面關于病毒校驗和檢測的敘述正確的是（）A.無法判斷是被哪種病毒感染

B.對于不修改代碼的廣義病毒無能為力

C.容易實現但虛警過多

D.ABC都正確答案:D18.下面屬于RA功能的是（）A.審核用戶身份

B.證書的審批

C.證書的發放

D.證書的更新答案:A19.在應用層協議中，既可使用傳輸層的TCP協議，又可用UDP協議的是（）。A.SNMP

B.DNS

C.HTTP

D.FTP答案:B20.IPSec協議是開放的VPN協議。對它的描述有誤的是（）A.適應于向IPv6遷移

B.提供在網絡層上的數據加密保護

C.支持動態的IP地址分配

D.不支持除TCP/IP外的其它協議答案:C21.下面不屬于木馬特征的是（）A.自動更換文件名，難于被發現

B.程序執行時不占太多系統資源

C.不需要服務端用戶的允許就能獲得系統的使用權

D.造成緩沖區的溢出，破壞程序的堆棧答案:D22.負責證書申請者的信息錄入、審核以及證書發放等工作的機構是（）A.注冊機構RA

B.業務受理點

C.認證中心CA

D.LDAP目錄服務器答案:A23.下面關于防火墻系統的功能說法不正確的是（）A.保護了內部安全網絡不受外部不安全網絡的侵害

B.決定了外部的哪些人可以訪問內部服務

C.由于有防火墻的保護，內部人員可以放心地訪問外部的任何服務

D.決定了那些內部服務可以被外部訪問答案:C24.下面關于ESP隧道模式的敘述不正確的是（）A.安全服務對子網中的用戶是透明的

B.子網內部拓撲未受到保護

C.網關的IPSEC集中處理

D.對內部的諸多安全問題將不可控答案:B25.下面不屬于無線局域網認證技術的是（）A.服務區標識

B.共享密鑰認證

C.MAC地址認證

D.PKI認證答案:D26.下面關于病毒校驗和檢測的敘述不正確的是（）A.可以檢測出所有病毒

B.對于不修改代碼的廣義病毒無能為力

C.容易實現但虛警過多

D.無法判斷是被哪種病毒感染答案:A27.下面關于電子商務支付系統的敘述不正確的是（）A.使用數字簽名和數字證書實現對各方的認證

B.數字簽名使用對稱加密技術

C.使用加密技術對業務進行加密

D.使用消息摘要算法以確認業務的完整性答案:B判斷題1.掃描器可以直接攻擊網絡漏洞。T.對

F.錯答案:F2.身份認證一般都是實時的，消息認證一般不提供實時性。T.對

F.錯答案:T3.所有的協議都適合用數據包過濾。T.對

F.錯答案:F4.蜜網技術（Honeynet）不是對攻擊進行誘騙或檢測。T.對

F.錯答案:T5.任何人不經授權就可以偽造IP包的源地址。T.對

F.錯答案:T6.身份認證系統具有可傳遞性。T.對

F.錯答案:F7.防火墻無法防范數據驅動型的攻擊。T.對

F.錯答案:T8.入侵檢測可提供對內部攻擊、外部攻擊的實時保護。T.對

F.錯答案:T9.設計初期，TCP/IP通信協議并沒有考慮到安全性問題。T.對

F.錯答案:T10.．應用代理不能解決合法IP地址不夠用的問題。T.對

F.錯答案:F11.DNS欺騙利用的是DNS協議不對轉換和信息性的更新進行身份認證這一弱點。T.對

F.錯答案:T12.每一級CA都有對應的RA。T.對

F.錯答案:T13.構建隧道可以在網絡的不同協議層次上實現。T.對

F.錯答案:T14.電子商務中要求用戶的定單一經發出，具有不可否認性。T.對

F.錯答案:T15.所有的TCP、UDP、ICMP及IGMP數據都以IP數據報格式傳輸。T.對

F.錯答案:T16.公鑰密碼可以取代傳統密碼。T.對

F.錯答案:F17.如果SSL會話在任何一方發送一個close_notify消息之前都被關閉了，則該會話還是可以恢復的。T.對

F.錯答案:F18.非盲攻擊較盲攻擊的難度要大。T.對

F.錯答案:F19.蜜罐（Honeypot）技術不會修補任何東西，只為使用者提供額外的、有價值的關于攻擊的信息。T.對

F.錯答案:T20.入侵檢測系統能夠完成入侵檢測任務的前提是監控、分析用戶和系統的活動。T.對

F.錯答案:T21.在面向連接的傳輸過程中，發方每發出的一個分組并不需要都得到收方的確認。T.對

F.錯答案:F22.基于UDP的應用程序在不可靠子網上必須自己解決可靠性問題。T.對

F.錯答案:T23.Pingflooding是一種拒絕服務攻擊。T.對

F.錯答案:F24.工作在IP層或IP層之下的防火墻稱為網關型防火墻。T.對

F.錯答案:F25.雙宿網關防火墻的最大特點是IP層的通信是被允許的。T.對

F.錯答案:F26.加密密鑰和解密密鑰相同的密碼算法是對稱密鑰算法。T.對

F.錯答案:T27.VPN中用戶需要擁有實際的長途數據線路。T.對

F.錯答案:F28.網絡入侵檢測系統本身的通信流量不占用網絡帶寬。T.對

F.錯答案:F填空題1.##，##加上IP首部中的##和##唯一確定一個TCP連接。答案:源端口號

目的端口號

源IP地址

目的IP地址2.DRDoS與DDoS的不同之處在于：##。答案:攻擊端不需要占領大量傀儡機3.身份認證分為：##和##。答案:單向認證

雙向認證4.TCP/IP網絡中IP包的傳輸路徑完全由##決定。答案:路由表5.IPSec是為了在IP層提供通信安全而制定的一套##，是一個應用廣泛、開放的##。答案:協議簇

VPN安全協議體系6.典型的VPN組成包括##，##，##和##。答案:VPN服務器

VPN客戶機

隧道

VPN連接7.電子商務技術體系結構的三個層次是##，##和##，一個支柱是##。答案:網絡平臺

安全基礎結構

電子商務業務

公共基礎部分8.##是SET中的一個重要的創新技術。答案:雙重簽名9.網絡反病毒技術包括##、檢測病毒和消除病毒。答案:預防病毒10.TCP/IP鏈路層安全威脅有：##，##，##。答案:以太網共享信道的偵聽

MAC地址的修改

ARP欺騙11.誘騙用戶把請求發送到攻擊者自己建立的服務器上的應用層攻擊方法是##。答案:DNS欺騙12.TCP數據格式中SYN=##，ACK=##表示連接請求消息，SYN=##，ACK=##，表示同意建立連接消息。答案:1

0

1

113.VPN的兩種實現形式：##和##。答案:Client-LAN

LAN-LAN14.SOCKS只能用于##服務，而不能用于##服務。答案:TCP

UDP15.SL安全協議工作在##層之上，##層之下。答案:傳輸

應用16.病毒技術包括：##技術，##技術，##技術和##技術。答案:寄生

駐留

加密變形

隱藏17.目前國內CA認證中心主要分為##和##兩類。答案:區域性CA認證中心

行業性CA認證中心18.##，##加上IP首部中的##和##唯一地確定一個TCP連接。答案:源端口號

目的端口號

源IP地址

目的IP地址19.木馬工作的兩個條件：##和##。答案:服務端已經成功植入木馬程序

控制端和服務端都在線20.證書的作用是：##和##。答案:用來向系統中其他實體證明自己的身份

分發公鑰21.VPN采用的安全技術包括，認證，存取控制，##和##。答案:機密性

數據完整性22.病毒技術包括：##技術，##技術，##技術和##技術。答案:寄生

駐留

加密變形

隱藏簡答題1.簡述IPSec的定義，功能和組成。答案:IPSec是IETFIPSec工作組為了在IP層提供通信安全而制定的一套協議簇，是一個應用廣泛、開放的VPN安全協議體系。

功能：提供所有在網絡層上的數據保護，進行透明的安全通信。IPSec協議包括安全協議和密鑰協商兩部分。2.什么是入侵檢測系統？它由哪些基本組建構成？答案:入侵檢測技術是一種主動保護自己的網絡和系統免遭非法攻擊的網絡安全技術。它從計算機系統或網絡中收集、分析信息，檢測任何企圖破壞計算機資源的完整性、機密性和可用性的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應的反應。加載入侵檢測技術的系統統稱為入侵檢測系統。

它由以下組件構成（CIDF通用模型）：

事件產生器：是入侵檢測系統中負責原始數據采集的部分，它對數據流、日志文件等進行追蹤，然后將搜集到的原始數據轉換為事件，并向系統的其他部分提供此事件。

事件分析器：接受事件信息，然后對它們進行分析，判斷是否為入侵行為或異常現象，最后將判斷的結果轉變為警告信息。

事件數據庫：是存放各種中間和最終事件的地方。

響應單元：根據警告信息作出反應，是入侵檢測系統中的主動武器。3.簡述域名系統工作原理。答案:在Internet上為了便于記憶大量使用主機名而不是IP地址，它們之間的轉換需要使用DNS。DNS的本質是一種分層次的、基于域的命名方案，并且用一個分布式數據庫系統來實現此命名方案。域名系統的工作原理如下：

（1）客戶機提出域名解析請求，并將該請求發送到本地的域名服務器。

（2）當本地域名服務器收到請求后，查詢本地緩存，如果有該記錄項，則直接把查詢的結果返回給客戶機。否則，本地域名服務器直接把請求發送給根域名服務器，根域名服務器再返回給本地域名服務器一個查詢域的域名服務器的地址。

（3）本地服務器再向步驟（2）返回的域名服務器發送請求，接受請求的服務器查詢自己的緩存，如果沒有該記錄，則返回相關的下級域名服務器的地址。

（4）重復步驟（3），直到找到正確的記錄。

本地域名服務器把返回的結果保存到緩存，同時將結果返回給客戶機。4.數字簽名有什么功能？列舉幾種數字簽名方案。答案:數字簽名就是用戶把自己的私鑰綁定到電子文檔中，而其他任何人都可以用該用戶的公鑰來驗證其數字簽名。其功能如下：

（1）接受者能夠核實發送者對發送消息的簽名。

（2）發送者事后不能抵賴對發送消息的簽名。

（3）接受者不能偽造對發送者消息的簽名。

數字簽名的方案有：無仲裁數字簽名、有仲裁數字簽名、基于RSA的數字簽名。5.簡述電子商務技術體系結構答案:電子商務技術體系結構由三個層次和一個支柱構成。三個層次是：網絡平臺、安全基礎結構、電子商務業務。一個支柱是：公共基礎部分。

網絡平臺：網絡平臺處在底層，是信息傳送的載體和用戶接入的手段，也是信息的主要通道。

安全基礎結構：安全基礎結構包括各種加密算法、安全技術、安全協議及CA認證體系，為電子商務平臺提供了安全保障。

電子商務業務：包括支付型業務和非支付型業務。

公共基礎部分始終貫穿于上述3個層次中，對電子商務的推廣、普及和應用起著重要的制約作用，是創造一個適應電子商務發展的社會環境的基礎。6.簡述異常入侵檢測和誤用入侵檢測。答案:異常入侵檢測，能夠根據異常行為和使用計算機資源的情況檢測出來的入侵。用定量的方式描述可接受的行為特征，對超出可接受的行為認為是入侵。誤用入侵檢測，利用已知系統和應用軟件的弱點攻擊模型來檢測入侵。誤用入侵檢測直接檢測不可接受性為。7.ARP用來解決什么問題？簡述ARP的工作原理。答案:ARP用來解決IP地址到本地物理網絡所使用的MAC地址之間的轉換問題。

ARP的工作原理如下：

物理網絡中的每臺主機都會在本地維護一張ARP緩存表，表中記錄了主機已知的IP地址和MAC地址的映射關系。

當主機通信時，如果目的主機的IP地址對應的MAC地址已位于ARP緩存表中，則直接使用該MAC地址通信；否則，主機發送APR請求報文。ARP請求報文是個廣播幀，它包含源主機的IP地址和MAC地址、以及請求的目的主機的IP地址。

本地網絡中的主機收到APR請求后，首先把報文中源主機IP地址和MAC地址的對應關系添加到本地ARP緩存。然后，檢查是否是請求自己IP對應的MAC地址，如果是則使用請求主機的MAC地址作為目的地址，回復一個包含請求IP地址所對應MAC地址的ARP應答報文。

請求方收到這個ARP應答報文后，就會把目的主機IP和MAC地址的