一、 单选题(每题1分,共10分)
1.各种通信网和TCP/IP之间的接口是TCP/IP分层结构中的( b )
A. 数据链路层 B. 网络层 C. 传输层 D. 应用层
2. 下面不属于木马特征的是(D )
A. 自动更换文件名,难于被发现 B. 程序执行时不占太多系统资源 D. 造成缓冲区的溢出,破坏程序的堆栈
3. 下面不属于端口扫描技术的是( C)
A. TCP connect()扫描 B. TCP FIN扫描
C. IP包分段扫描 D. Land扫描
3d蓝光播放器
4. 负责产生、分配并管理PKI结构下所有用户的证书的机构是(D )
A. LDAP目录服务器 B. 业务受理点
C. 注册机构RA D. 认证中心CA
5.防火墙按自身的体系结构分为(B )
A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关
C. 百兆防火墙和千兆防火墙 D. 破碎轨迹主机防火墙和网络防火墙
6.下面关于代理技术的叙述正确的是( C )
A.能提供部分与传输有关的状态
B.能完全提供与应用相关的状态和部分传输方面的信息
C.能处理和管理信息
D.ABC都正确
7.下面关于ESP传输模式的叙述不正确的是(A )
A.并没有暴露子网内部拓扑 B.主机到主机安全
C.IPSEC的处理负荷被主机分担 D.两端的主机需使用公网IP
8. 下面关于网络入侵检测的叙述不正确的是(D ) C.容易处理加密的会话过程 D.检测速度快
9. 基于SET 协议的电子商务系统中对商家和持卡人进行认证的是( B )
A.收单银行 B.支付网关
C.认证中心 D.发卡银行
10. 下面关于病毒的叙述正确的是( A )
A.病毒可以是一个程序 B.病毒可以是一段可执行代码
C.病毒能够自我复制 D. ABC都正确
1.下面不属于按网络覆盖范围的大小将计算机网络分类的是( C )
A. 互联网 B. 广域网
C. 通信子网 D. 局域网
2. 下面不属于SYN FLOODING攻击的防范方法的是(D )
A. 缩短SYN Timeout(连接等待超时)时间 B. 利用防火墙技术
C. TCP段加密 D. 根据源IP记录SYN连接
3. 下面不属于木马伪装手段的是(A )
A. 自我复制 B. 隐蔽运行
C. 捆绑文件 D. 修改图标
4. 负责证书申请者的信息录入、审核以及证书发放等工作的机构是( B)
A. LDAP目录服务器 B. 业务受理点
C. 注册机构RA D. 认证中心CA
5.下面哪种信任模型的扩展性较好(C )
A. 单CA信任模型 B. 网状信任模型
C. 严格分级信任模型 D. Web信任模型
6.下面关于包过滤型防火墙协议包头中的主要信息叙述正确的是(A )
A.包括IP源和目的地址
B.包括内装协议和TCP/UDP目标端口
C.包括ICMP消息类型和TCP包头中的ACK位
D石墨冷凝器.ABC都正确
7.下面关于LAN-LAN的叙述正确的是( C )
A.增加WAN带宽的费用
B.不能使用灵活的拓扑结构
C.新的站点能更快、更容易地被连接
D.不可以延长网络的可用时间
8. 下面关于ESP隧道模式的叙述不正确的是( C )
A.安全服务对子网中的用户是透明的
B.子网内部拓扑未受到保护
C.网关的IPSEC集中处理
D.对内部的诸多安全问题将不可控
9. 下面关于入侵检测的组成叙述不正确的是( A )
A.事件产生器对数据流、日志文件等进行追踪
B.响应单元是入侵检测系统中的主动武器
C.事件数据库是入侵检测系统中负责原始数据采集的部分 电热丝绕线机
D.事件分析器将判断的结果转变为警告信息
10. 下面关于病毒校验和检测的叙述正确的是( B )
A.无法判断是被哪种病毒感染
B.对于不修改代码的广义病毒无能为力
C.容易实现但虚警过多
D.ABC都正确
二、 填空题(每空1分,共25分)
1. IP协议提供了 尽力而为 的传递服务。
2. TCP/IP链路层安全威胁有:以太网共享信道的侦听 ,MAC ,ARP 。
3. DRDoS与DDoS的不同之处在于:攻击端不需要占领大量傀儡机 。
4. 证书的作用是:用来向系统和其他实体证明自己的身份 和 攻法功钥 。
5. SSL协议中双方的主密钥是在其 握手 协议产生的。
6. VPN的两种实现形式: Client-LAN 和 LAN-LAN 。
7. IPSec是为了在IP层提供通信安全而制定的一套 协议簇 ,是一个应用广泛、开放的 VPN 。
8. 根据检测原理,入侵检测系统分为 ,误用 。
9. 病毒技术包括:寄生 技术, 驻留 技术, 加密变形 技术和 隐藏 技术。
10. 电子商务技术体系结构的三个层次是 网络平台 ,安全基础结构 和电子商务业务,一个支柱是公共基础部分。
11. 防火墙的两种姿态 拒绝没有特别与许的任何事情 和 允许没有特别拒绝的任何事情。
12. TCP/IP层次划分为 _ 数据链路__层、__网络__层、__传输_层、_应用__层。
13. TCP协议的滑动窗口协议的一个重要用途是 流量控制 。
14. 诱骗用户把请求发送到攻击者自己建立的服务器上的应用层攻击方法是 DNS欺骗 。
15. 身份认证分为: 单向认证 和 双向认证 。
16. X.509证书包括: 认证内容 签名算法和 使用签名算法对证书所作的签名 三部分。
17. 防火墙主要通过 服务控制 ,方向控制,用户控制 和 行为控制 四种手段来执行安全策略和实现网络控制访问。
18. SOCKS只能用于 TCP 服务,而不能用于 UDP 服务。
19. 典型的VPN组成包括 VPN服务器 , VPN客户机, 隧道 和 VPN连接 。
20. IPSec定义的两种通信保护机制分别是: ESP 机制和 UDP 机制。
21. 电子现金支付系统是一种 的支付系统。
22. 是SET中的一个重要的创新技术。
23.
三、 判断题(每题1分,共15分)
1. 以太网中检查网络传输介质是否已被占用的是冲突监测。( )
2. 主机不能保证数据包的真实来源,构成了IP地址欺骗的基础。( × )
3. 扫描器可以直接攻击网络漏洞。( )
4. DNS欺骗利用的是蝶形螺栓DNS协议不对转换和信息性的更新进行身份认证这一弱点。( )
5. DRDoS攻击是与DDoS无关的另一种拒绝服务攻击方法。( )
6. 公钥密码比传统密码更安全。( )
7. 身份认证一般都是实时的,消息认证一般不提供实时性。(√ )
8. 每一级CA都有对应的RA。( )
9. 加密/解密的密钥对成功更新后,原来密钥对中用于签名的私钥必须安全销毁,公钥进行归档管理。( )
10. 防火墙无法完全防止传送已感染病毒的软件或文件。( )
11. 所有的协议都适合用数据包过滤。( )
12. 构建隧道可以在网络的不同协议层次上实现。( √ )
13. 蜜网技术(Honeynet)不是对攻击进行诱骗或检测。( )
14. 病毒传染主要指病毒从一台主机蔓延到另一台主机。( )
15. 防眩通路灯电子商务中要求用户的定单一经发出,具有不可否认性。( )
16. 设计初期,TCP/IP通信协议并没有考虑到安全性问题。( √ )
17. 目前没有理想的方法可以彻底根除IP地址欺骗。( )
18. 非盲攻击较盲攻击的难度要大。( )
19. 缓冲区溢出并不是一种针对网络的攻击方法。(√ )
20. DDoS攻击破坏性大,难以防范,也难以查攻击源,被认为是当前最有效的攻击手法。( √ )
21. 身份认证只证实实体的身份,消息认证要证实消息的合法性和完整性。( )
22. 网状信任模型单个CA安全性的削弱不会影响到整个PKI。( )
23. 防火墙将限制有用的网络服务。( √ )
24. 应用代理不能解决合法IP地址不够用的问题。( )
25. VPN中用户需要拥有实际的长途数据线路。( )
26. 对通信实体的身份进行认证的是IPSec的安全协议。( )
27. ESP头插在IP报头之后,TCP或UDP等传输协议报头之前。( )
28. 入侵检测系统能够完成入侵检测任务的前提是监控,分析用户和系统的活动。( √ )
29. 蜜罐(Honeypot)技术不会修补任何东西,只为使用者提供额外的、有价值的关于攻击的信息。( √ )
30. 电子商务中要求用户的定单一经发出,具有不可否认性。(√ )
四、 简答题(每题5分,共30分)
1. TCP/IP的分层结构以及它与OSI七层模型的对应关系。
TCP/IP层析划分 | OSI层次划分 |
应用层 | 应用层 会话层 |
传输层 | 会话层 传输层 |
网络层 | 网络层 |
数据链路层 | 链路层 物理层 |
| |
2. 简述拒绝服务攻击的概念和原理。
拒绝服务攻击的概念:
广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。
拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务。
3. 简述交叉认证过程
首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书,从而决定对方用户是否可信。