《網絡安全管理與維護》復習資料一、選擇題1、各種通信網和TCP/IP之間的接口是TCP/IP分層結構中的（A）A、數據鏈路層B、網絡層C、傳輸層D、應用層2、下面不屬于木馬特征的是（D）A、自動更換文件名，難于被發現B、程序執行時不占太多系統資源C、不需要服務端用戶的允許就能獲得系統的使用權D、造成緩沖區的溢出，破壞程序的堆棧3、下面不屬于端口掃描技術的是（D）A、TCPconnect()掃描B、TCPFIN掃描C、IP包分段掃描D、Land掃描4、負責產生、分配并管理PKI結構下所有用戶的證書的機構是（D）A、LDAP目錄服務器B、業務受理點C、注冊機構RAD、認證中心CA5、防火墻按自身的體系結構分為（B）A、軟件防火墻和硬件防火墻B、包過濾型防火墻和雙宿網關C、百兆防火墻和千兆防火墻D、主機防火墻和網絡防火墻6、下面關于代理技術的敘述正確的是（D）A、能提供部分與傳輸有關的狀態B、能完全提供與應用相關的狀態和部分傳輸方面的信息C、能處理和管理信息D、ABC都正確7、下面關于ESP傳輸模式的敘述不正確的是（A）A、并沒有暴露子網內部拓撲B、主機到主機安全C、IPSEC的處理負荷被主機分擔D、兩端的主機需使用公網IP8、下面關于網絡入侵檢測的敘述不正確的是（C）A、占用資源少B、攻擊者不易轉移證據C、容易處理加密的會話過程D、檢測速度快9、基于SET協議的電子商務系統中對商家和持卡人進行認證的是（B）A、收單銀行B、支付網關C、認證中心D、發卡銀行10、下面關于病毒的敘述正確的是（D）A、病毒可以是一個程序B、病毒可以是一段可執行代碼C、病毒能夠自我復制D、ABC都正確11、當你感覺到你的Win2003運行速度明顯減慢，當你打開任務管理器后發現CPU的使用率達到了百分之百，你最有可能認為你受到了哪一種攻擊。

（B）A、特洛伊木馬

B、拒絕服務C、欺騙

D、中間人攻擊12、假如你向一臺遠程主機發送特定的數據包，卻不想遠程主機響應你的數據包。這時你使用哪一種類型的進攻手段？（B）A、緩沖區溢出

B、IP欺騙C、拒絕服務

D、暴力攻擊13、小李在使用superscan對目標網絡進行掃描時發現，某一個主機開放了25和110端口，此主機最有可能是什么？

（B）A、文件服務器

B、郵件服務器C、WEB服務器

D、DNS服務器14、你想發現到達目標網絡需要經過哪些路由器，你應該使用什么命令？（C）A、ping

B、nslookupC、tracert

D、ipconfig

15、以下關于VPN的說法中的哪一項是正確的？（C）A、VPN是虛擬專用網的簡稱，它只能只好ISP維護和實施B、VPN是只能在第二層數據鏈路層上實現加密C、IPSEC是也是VPN的一種D、VPN使用通道技術加密，但沒有身份驗證功能16、你所使用的系統為windows2003，所有的分區均是NTFS的分區，C區的權限為everyone讀取和運行，D區的權限為everyone完全控制，現在你將一名為test的文件夾，由C區移動到D區之后，test文件夾的權限為？（B）A、everyone讀取和運行B、everyone完全控制C、everyone讀取、運行、寫入D、以上都不對17、你有一個共享文件夾，你將它的NTFS權限設置為sam用戶可以修改，共享權限設置為sam用戶可以讀取，當sam從網絡訪問這個共享文件夾的時候，他有什么樣的權限？（A）A、讀取B、寫入C、修改D、完全控制18、SSL安全套接字協議所使用的端口是：（B）。A、80B、443C、143319、在Linux下umask的八進制模式位6代表：（C）。A、拒絕訪問B、寫入C、讀取和寫入D、讀取、寫入和執行20、你是一個公司的網絡管理員，你經常在遠程不同的地點管理你的網絡（如家里），你公司使用win2003操作系統，你為了方便遠程管理，在一臺服務器上安裝并啟用了終端服務。最近，你發現你的服務器有被控制的跡象，經過你的檢查，你發現你的服務器上多了一個不熟悉的帳戶，你將其刪除，但第二天卻總是有同樣的事發生，你應該如何解決這個問題？（C）。A、停用終端服務B、添加防火墻規則，除了你自己家里的IP地址，拒絕所有3389的端口連入C、打安全補丁sp4D、啟用帳戶審核事件，然后查其來源，予以追究21、以下不屬于win2000中的ipsec過濾行為的是：（D）。A、允許B、阻塞C、協商D、證書22、計算機病毒的特征不包括（D）。Ａ、破壞性Ｂ、隱蔽性Ｃ、傳染性Ｄ、公益性23、router的中文名稱是（B）。Ａ、交換機B、路由器C、集線器D、中繼器24、是國際加密標準的是（C）。A、DESB、3重DESＣ、ＩＤＥＳＤ、ＲＳＡ25、新一代的IPv6的地址由多少位組成（D）。A、32B、64C、4826、常用的IPv4是由多少位二進制數組成的（C）。A、8B、16C、3227、IP地址一般可以分為A、B、C、C、E等5類、那么172.16.30.88屬于哪一類（A）。Ａ、Ｂ類B、D類C、A類D、Ｃ類28、中國網絡的域名是（B）。Ａ、ｃｏｍＢ、ｃｎＣ、ｅｄｕＤ、ｇｏｖ29、在ｗｉｎｄｏｗｓＸＰ系統中能夠用來查看IP地址的命令是（D）。Ａ、pingＢ、ipconfigＣ、winipcfgD、tracet30、在ｗｉｎｄｏｗｓＸＰ系統中能夠用來追蹤網站數據包路徑的命令是（B）。Ａ、pingＢ、ipconfigＣ、winipcfgD、tracet31、解決IP欺騙技術的最好方法是安裝過濾路由器，在該路由器的過濾規則中，正確的是：(C)。A、允許包含內部網絡地址的數據包通過該路由器進入B、允許包含外部網絡地址的數據包通過該路由器發出C、在發出的數據包中，應該過濾掉源地址與內部網絡地址不同的數據包D、在發出的數據包中，允許源地址與內部網絡地址不同的數據包通過32、在網絡信息安全模型中，是安全的基石，是建立安全管理的標準和方法。(A)A、政策，法律，法規B、授權C、加密D、審計與監控33、下列口令維護措施中，不合理的是：(B)。A、第一次進入系統就修改系統指定的口令B、怕把口令忘記，將其記錄在本子上C、去掉guest（客人）帳號D、限制登錄次數34、病毒掃描軟件由組成。(C)A、僅由病毒代碼庫B、僅由利用代碼庫進行掃描的掃描程序C、代碼庫和掃描程序D、以上都不對35、網絡病毒是由因特網衍生出的新一代病毒，即Java及ActiveX病毒。由于(A)，因此不被人們察覺。A、它不需要停留在硬盤中可以與傳統病毒混雜在一起B、它停留在硬盤中且可以與傳統病毒混雜在一起C、它不需要停留在硬盤中且不與傳統病毒混雜在一起D、它停留在硬盤中且不與傳統病毒混雜在一起36、以下屬于加密軟件的是(C)。A、CAB、RSAC、PGPD、DES37、以下關于DES加密算法和IDEA加密算法的說法中錯誤的是:(D)。A、DES是一個分組加密算法，它以64位為分組對數據加密B、IDEA是一種使用一個密鑰對64位數據塊進行加密的加密算法C、DES和IDEA均為對稱密鑰加密算法D、DES和IDEA均使用128位（16字節）密鑰進行操作38、以下關于公用/私有密鑰加密技術的敘述中，正確的是:(C)。A、私有密鑰加密的文件不能用公用密鑰解密B、公用密鑰加密的文件不能用私有密鑰解密C、公用密鑰和私有密鑰相互關聯D、公用密鑰和私有密鑰不相互關聯39、在選購防火墻軟件時，不應考慮的是：(B)。A、一個好的防火墻應該是一個整體網絡的保護者B、一個好的防火墻應該為使用者提供唯一的平臺C、一個好的防火墻必須彌補其他操作系統的不足D、一個好的防火墻應能向使用者提供完善的售后服務40、以下關于過濾路由器的敘述，錯誤的是：(D)。A、過濾路由器比普通路由器承擔更大的責任，是內部網絡的保護系統B、如果過濾路由器的安全保護失敗，內部網絡將被暴露C、簡單的過濾路由器不能修改任務D、過濾路由器不僅能容許或否認服務，而且也能夠保護在一個服務之內的單獨操作41、以下哪種特點是代理服務所具備的(A)。A、代理服務允許用戶“直接”訪問因特網，對用戶來講是透明的B、代理服務能夠彌補協議本身的缺陷C、所有服務都可以進行代理D、代理服務不適合于做日志42、關于堡壘主機的說法，錯誤的是：(B)。A、設計和構筑堡壘主機時應使堡壘主機盡可能簡單B、堡壘主機的速度應盡可能快C、堡壘主機上應保留盡可能少的用戶帳戶，甚至禁用一切用戶帳戶D、堡壘主機的操作系統可以選用UNIX系統43、包過濾技術可以允許或不允許某些包在網絡上傳遞，它過濾的判據不包括：(D)。A、數據包的目的地址B、數據包的源地址C、數據包的傳送協議D、數據包的具體內容44、以下關于宏病毒的認識，哪個是錯誤的：(D)。A宏病毒是一種跨平臺式的計算機病B“臺灣1號”是一種宏病毒C宏病毒是用WordBasic語言編寫的D在不同的Word版本格式中的宏病毒是互相兼容的，可以相互傳播45、在建立口令時最好要遵循的規則是(D)。A、使用英文單詞B、選擇容易記的口令C、使用自己和家人的名字D、盡量選擇長的口令46、包過濾工作在OSI模型的(C)。A、應用層B、表示層C、網絡層和傳輸層D、會話層47、WindowsNT網絡安全子系統的安全策略環節由(D)。A、身份識別系統B、資源訪問權限控制系統C、安全審計系統D、以上三個都是48、網絡病毒是由因特網衍生出的新一代病毒，即JAVA及ACTIVEX病毒。由于，不被人們察覺。（A）A、它不需要停留在硬盤中可以與傳統病毒混雜在一起B、它停留在硬盤中且可以與傳統病毒混雜在一起C、它不需要停留在硬盤中且不與傳統病毒混雜在一起D、它停留在硬盤中且不與傳統病毒混雜在一起49、外部路由器真正有效的任務就是阻斷來自偽造源地址進來的任何數據包。（A）A、外部網B、內部網C、堡壘主機D、內部路由器50、在公鑰密碼系統中，發件人用收件人的加密信息，收件人用自己的解密，而且也只有收件人才能解密。(B)A、公鑰，公鑰B、公鑰，私鑰C、私鑰，私鑰D、私鑰，公鑰二、填空題1、DRDoS與DDoS的不同之處在于：攻擊端不需要占領大量傀儡機。2、證書的作用是：用來向系統中其他實體證明自己的身份和分發公鑰。3、SSL協議中雙方的主密鑰是在其握手協議產生的。4、VPN的兩種實現形式：Client-LAN和LAN-LAN。5、IPSec是為了在IP層提供通信安全而制定的一套協議簇，是一個應用廣泛、開放的VPN安全協議體系。6、根據檢測原理，入侵檢測系統分為異常入侵檢測和誤用入侵檢測。7、病毒技術包括：寄生技術、駐留技術、加密變形技術和隱藏技術。8、信息安全是指：“為數據處理系統建立和采取的技術和管理手段，保護計算機的硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄漏，系統連續正常運行”。9、防火墻的兩種姿態拒絕沒有特別允許的任何事情和允許沒有特別拒絕的任何事情。10、計算機安全中受到威脅的來源主要有人為、自然、計算機本身三種。11、計算機安全的定義中受威脅的對象主要有:計算機、網絡系統資源和信息資源。12、計算機安全的定義從廣以上來講，凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性、可控性的相關技術和理論都是計算機網絡安全研究的領域。13、計算機安全的三個層次是：安全管理、安全立法、安全技術措施。14、基于密鑰的加密算法通常有兩類，即對稱密鑰算法和公共密鑰算法。15、網絡安全的特征應具有保密性、完整性、可用性和可控性四個方面的特征。16、防火墻有雙重宿主主機體現結構、屏蔽主機體現結構和屏蔽子網體系結構三種種體系結構17、網絡攻擊的三個階段是：攻擊的準備階段、攻擊的實施階段和攻擊的善后工作。18、從邏輯上講，防火墻是分離器、限制器和分析器。19、網絡監聽本來是為了管理網絡，監視網絡的狀態和數據流動情況，但是由于它能有效地截獲網上的數據，因此也成了網上黑客使用得最多的方法。20、通常，簡單的防火墻就是位于內部網或Web站點與因特網之間的一個路由器或一臺計算機，又稱為堡壘主機。21、身份認證是基于加密技術的，它的作用就是用來確定用戶是否是真實的。22、數據包過濾用在內部主機和外部主機之間，過濾系統一般一臺路由器或是一臺主機。24、代理服務是運行在防火墻上的一種服務程序，防火墻的主機可以是一個具有兩個網絡接口的雙重宿主主機，也可以是一個堡壘主機。25、解決IP欺騙技術的最好方法是：安裝過濾路由器。26、PGP是一個基于RSA密鑰加密體系的供大眾使用的加密軟件。它不但可以對用戶的郵件加密，以防止非授權者閱讀，還能對郵件加上數字簽名讓收信人確信郵件未被第三者篡改.27、計算機網絡安全受到的威脅主要有：黑客的攻擊、計算機病毒和拒絕服務訪問攻擊。28、最好的口令包括英文字母、數字和符號的組合。29、黑客們用大量的垃圾信息阻塞網站的服務器，使其無暇為用戶提供正常的服務而陷入癱瘓，稱為拒絕服務攻擊。30、網絡安全的隱患主要來自操作系統的脆弱性、網絡的脆弱性、數據庫的脆弱性以及安全管理的疏忽。三、判斷題1、主機不能保證數據包的真實來源，構成了IP地址欺騙的基礎。（T）2、掃描器可以直接攻擊網絡漏洞。（F）3、DRDoS攻擊是與DDoS無關的另一種拒絕服務攻擊方法。（F）4、公鑰密碼比傳統密碼更安全。（F）5、身份認證一般都是實時的，消息認證一般不提供實時性。（T）6、加密/解密的密鑰對成功更新后，原來密鑰對中用于簽名的私鑰必須安全銷毀，公鑰進行歸檔管理。（F）7、防火墻無法完全防止傳送已感染病毒的軟件或文件。（T）8、所有的協議都適合用數據包過濾。（F）9、構建隧道可以在網絡的不同協議層次上實現。（T）10、蜜網技術（Honeynet）不是對攻擊進行誘騙或檢測。（T）11、病毒傳染主要指病毒從一臺主機蔓延到另一臺主機。（F）12、電子商務中要求用戶的定單一經發出，具有不可否認性。（T）13、PGP在只能對文件、郵件加密，不能實現身份驗證的功能？（F）14、防火墻只能對IP地址進行限制和過濾。（F）15、WIN2003系統給NTFS格式下的文件加密，當系統被刪除，重新安裝后，原加密的文件就不能打開了。（T）16、數字證書是電子的憑證，它用來驗證在線的個人、組織或計算機的合法身份。（T）17、Window2003中的VPN不支持DES加密。（F）18、在WindowsNT中要審核某個文件夾或打印機的訪問，必需啟動審核對象的訪問。（T）19、企業級CA申請證書有2種方法。一種是WEB申請，另一種是在證書管理單元中申請。（T）20、在使用公共密鑰加密技術向對方發送一個數據的時候使用對方用戶的公共密鑰加密，對方用自己的私人密鑰解密數據。（T）21、若A掌握公鑰，B掌握私鑰，A可以用公鑰加密，B用私鑰解密；B也可以用私鑰加密，A可以公鑰解密。（T）22、JavaApplet是運行在服務器端，故而其中的bug引起的安全漏洞主要在服務器端。（F）23、口令應該至少由6個字符，口令字符最好是數字、字母和其它字符的混合。（T）24、網絡安全的威脅主要有以下三點：人為無意失誤；人為惡意攻擊；網絡軟件的漏洞和后門。（T）25、上網時計算機突然出現“藍屏”，這就是黑客攻擊。（F）26、過濾路由器是否正確配置是被屏蔽主機型防火墻安全的關鍵。（T）27、防火墻技術并不只限應用于TCP/IP協議中，類似的技術可用在任何分組交換網絡中。（T）28、數據包過濾既可由屏蔽路由器來完成，也可由PC機裝上相應的軟件來實現。（T）29、安全管理從范疇上講，涉及物理安全策略、訪問控制策略、信息加密策略和網絡安全管理策略。（T）30、用戶的密碼一般應設置為16位以上。（T）31、在堡壘主機上建立內部DNS服務器以供外界訪問，可以增強DNS服務器的安全性。（F）32、發現木馬，首先要在計算機的后臺關掉其程序的運行。（T）33、計算機病毒的傳播媒介來分類，可分為單機病毒和網絡病毒。（T）34、木馬不是病毒。（F）35、只要是類型為TXT的文件都沒有危險。（F）四、簡答題1、簡述拒絕服務攻擊的概念和原理。拒絕服務攻擊的概念：廣義上講，拒絕服務（DoS，Denialofservice）攻擊是指導致服務器不能正常提供服務的攻擊。確切講，DoS攻擊是指故意攻擊網絡協議實現的缺陷或直接通過各種手段耗盡被攻擊對象的資源，目的是讓目標計算機或網絡無法提供正常的服務，使目標系統停止響應，甚至崩潰。拒絕服務攻擊的基本原理是使被攻擊服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統超負荷，以至于癱瘓而停止提供正常的網絡服務。2、簡述SSL安全協議的概念及功能。SSL全稱是：SecureSocketLayer(安全套接層)。在客戶和服務器兩實體之間建立了一個安全的通道，防止客戶/服務器應用中的偵聽、篡改以及消息偽造，通過在兩個實體之間建立一個共享的秘密，SSL提供保密性，服務器認證和可選的客戶端認證。其安全通道是透明的，工作在傳輸層之上，應用層之下，做到與應用層協議無關，幾乎所有基于TCP的協議稍加改動就可以在SSL上運行。3、簡述好的防火墻具有的5個特性。(1)所有在內部網絡和外部網絡之間傳輸的數據都必須經過防火墻；(2)只有被授權的合法數據，即防火墻系統中安全策略允許的數據，可以通過防火墻；(3)防火墻本身不受各種攻擊的影響；(4)使用目前新的信息安全技術，如一次口令技術、智能卡等；(5)人機界面良好，用戶配置使用方便，易管理，系統管理員可以對發防火墻進行設置，對互連網的訪問者、被訪問者、訪問協議及訪問權限進行限制。4、網絡攻擊一般分為哪幾個步驟？答：①信息收集，獲取目標系統的信息，操作系統的類型和版本，主要提供的服務和服務進程的類型和版本，網絡拓撲結構②獲得對系統的訪問權力③獲得系統超級用戶的權力。利用②的權力和系統的漏洞，可以修改文件，運行任何程序，留下下次入侵的缺口，或破壞整個系統④消除入侵痕跡5、IPSec是哪一層的安全協議？其主要特征是什么？其協議部分由哪兩部分組成？IPSec是網絡層的安全協議，其主要特征是可以支持IP級所有流量的加密和/或認證。因此可以增強所有分布式應用的安全性。其協議部分分為:AH協議和ESP協議兩部分。6、什么是SSL？它是哪一層的安全協議?SSL（SecureSocketLayer）是一種在兩個端實體（EndEntity）之間提供安全通道的協議。它是傳輸層的安全協議。7、什么是IP欺騙攻擊？IP欺騙攻擊就是攻擊者偽裝成目標主機與其他計算機進行通信，達到：隱藏自己的IP地址，防止被跟蹤；以IP地址作為授權依據；穿越防火墻的目的8、緩沖區溢出攻擊的一般概念和基本思想是什么？緩沖區溢出攻擊的一般概念是針對越權使用資源的防御措施。其基本思想是通過修改某些內存區域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當前進程被非法利用(執行這段惡意的代碼)9、訪問控制基本目標是什么？主要有哪幾種訪問控制策略？訪問控制基本目標是防止對任何資源（如計算資源、通信資源或信息資源）進行未授權的訪問。從而使計算機系統在合法范圍內使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。主要訪問控制策略有：自主訪問控制（基于身份的訪問控制IBAC),強制訪問控制(基于規則的訪問控制RBAC),基于角色的訪問控制(role-basedpolicies)10、什么是防火墻？什么是堡壘主機？什么是DMZ？防火墻是位于兩個或多個網絡之間，執行訪問控制策略的一個或一組系統，是一類防范措施的總稱.堡壘主機是一種配置了安全防范措施的網絡上的計算機，堡壘主機為網絡之間的通信提供了一個阻塞點，也就是說如果沒有堡壘主機，網絡之間將不能相互訪問。可以配置成過濾型、代理型或混合型。DMZ(DemilitarizedZone，非軍事區或者停火區)是在內部網絡和外部網絡之間增加的一個子網11、包過濾防火墻的基本思想是什么？包過濾防火墻的基本思想：對所接收的每個數據包進行檢查，根據過濾規則，然后決定轉發或者丟棄該包；包過濾防火墻往往配置成雙向的；12、什么是拒絕服務攻擊（DoS）？拒絕服務攻擊是通過某些手段使得目標系統或者網絡不能提供正常的服務。DoS攻擊主要是利用了TCP/IP協議中存在的設計缺陷和操作系統及網絡設備的網絡協議棧存在的實現缺陷。13、簡述進行網絡安全設計時的安全需求（1）保密性；（2）安全性；（3）完整性；（4）服務可用性；（5）可控性；（6）信息流保護。14、網絡安全設計的步驟是什么?（1）分析安全需求；（2）確定安全方針；（3）選擇安全功能；（4）選擇安全措施；（5）完善安全管理。15、簡述網絡安全設計的基本原則（1）需求、風險、代價平衡分析的原則；（2）綜合性、整體性、等級性原則；（3）方便用戶原則；（4）適應性及靈活性原則；（5）一致性原則。16、信息加密與數字簽名有什么區別？數字簽名為什么可以辨別報文的真偽？為什么可以使發送方不能抵賴？信息加密用公鑰加密，用私鑰解密。數字簽名用私鑰加密，用公鑰解密。因為只有發送方才能擁有私鑰，因此接收的報文是真實的，也不能抵賴。17、簡述公用鑰匙加密技術的原理。公用鑰匙加密法完成一次加、解密操作，需要使用一對鑰匙，即公有鑰匙和私有鑰匙。首先發送者先用接收者的公有鑰匙進行加密；接收者接收信息后，再用私有鑰匙進行解密18、簡述防火墻技術。防火墻是用來連接兩個網絡并控制兩個網絡之間相互訪問的系統。它包括用于網絡連接的軟件和硬件以及控制訪問的方案，用于對進出的所有數據進行分析，并對用戶進行認證，從而防止有害信息進入受保護網，為網絡提供安全保障。五、綜合論述題1、簡述包過濾型防火墻的概念、優缺點和應用場合。包過濾型防火墻的概念：包過濾防火墻用一臺過濾路由器來實現對所接受的每個數據包做允許、拒絕的決定。過濾規則基于協議包頭信息。包過濾型防火墻的優缺點：包過濾防火墻的優點：處理包的速度快；費用低，標準的路由器均含有包過濾支持；包過濾防火墻對用戶和應用講是透明的。無需對用戶進行培訓，也不必在每臺主機上安裝特定的軟件。包過濾防火墻的缺點：維護比較困難；只能阻止外部主機偽裝成內部主機的IP欺騙；任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險；普遍不支持有效的用戶認證；安全日志有限；過濾規則增加導致設備性能下降；包過濾防火墻無法對網絡上流動的信息提供全面的控制。包過濾型防火墻的應用場合：非集中化管理的機構；沒有強大的集中安全策略的機構；網絡的主機數比較少；主要依靠于主機來防止入侵，但當主機數增加到一定程度的時候，依靠主機安全是不夠的；沒有使用DHCP這