网络安全技术模拟试题（二）一、选择填空（下列每题的选项中，有一项是最符合题意的，请将正确答案的字母填在括号中。

每小题1分，共20分）1. 网络安全的基本属性是（）。

A. 机密性B. 可用性C. 完整性D. 上面3项都是2. 网络安全最终是一个折中的方案，即安全强度和安全操作代价的折中，除增加安全设施投资外，还应考虑（）。

A. 用户的方便性B. 管理的复杂性C. 对现有系统的影响及对不同平台的支持D. 上面3项都是3. 伪造攻击是非授权者在系统中插入伪造的信息，这是一种针对（）的攻击。

A. 真实性B. 完整性C.可用性D.可控性4. 机密性服务提供信息的保密，机密性服务包括（）。

A. 文件机密性B. 信息传输机密性C. 通信流的机密性D. 以上3项都是5. 完整性服务提供信息的（）。

A. 机密性B. 可用性C.正确性D. 可审性6. Kerberos的设计目标不包括（）。

A. 认证B. 授权C. 记账D. 加密7. ISO 7498-2从体系结构的观点描述了5种可选的安全服务，以下不属于这5种安全服务的是( )。

A. 身份鉴别B. 数据报过滤C. 授权控制D. 数据完整性8. ISO 7498-2描述了8种特定的安全机制，这8种特定的安全机制是为5类特定的安全服务设置的，以下不属于这8种安全机制的是( )。

A. 安全标记机制B. 加密机制C. 数字签名机制D. 访问控制机制9. 用于实现身份鉴别的安全机制是( )。

A. 加密机制和数字签名机制B. 加密机制和访问控制机制C. 数字签名机制和路由控制机制D. 访问控制机制和路由控制机制10. GRE协议（）。

A. 既封装，又加密B. 只封装，不加密C. 不封装，只加密D. 不封装，不加密11. PPTP客户端使用（）建立连接。

A. TCP协议B. UDP协议C. L2TP协议D. 以上皆不是12. GRE协议的乘客协议是（）。

A. IPB. IPXC. AppleTalkD. 上述皆可13. 计算机病毒是计算机系统中一类隐藏在（）上蓄意破坏的捣乱程序。

A. 内存B. 软盘C. 存储介质D. 网络14. 拒绝服务攻击的后果是（）。

A. 信息不可用B. 应用程序不可用C. 系统宕机D. 阻止通信E. 上面几项都是15. （）和（）是测定风险的两个组成部分。

A. 漏洞、程序错误B. 风险、程序错误C. 漏洞、需求错误D. 漏洞、风险16. 下面不属于PKI（公钥基础设施）的组成部分的是（）。

A. 证书主体B. 使用证书的应用和系统C. 证书权威机构D. AS17. 下列对访问控制影响不大的是（）。

A. 主体身份B. 客体身份C. 访问类型D. 主体与客体的类型18. 为了简化管理，通常对访问者（），避免访问控制表过于庞大。

A. 分类组织成组B. 严格限制数量C. 按访问时间排序，并删除一些长期没有访问的用户D. 不作任何限制19. ( )不属于ISO/OSI安全体系结构的安全机制。

A. 访业务流量分析机制B. 访问控制机制C. 数字签名机制D. 审计机制E. 公证机制20. ISO安全体系结构中的对象认证安全服务，使用( )完成。

A. 加密机制B. 数字签名机制C. 访问控制机制D. 数据完整性机制二、判断题（指出题目中的描述是否正确，每题1分共10分）1. 正确使用机密性服务可以防止非授权用户访问信息。

（）2. 在大量通信流的两个端点之间加入模糊（遮掩）信息流可提供通信流机密性服务。

（）3. 文件机密性、信息传输机密性、通信流机密性都无法阻止访问攻击。

（）4. 完整性服务无法对抗篡改攻击。

（）5.网络的第二层保护能提供真正的终端用户认证。

6. IP层和传输层的安全协议能够为网络连接建立安全的通信信道，可以根据所传送的不同内容的安全要求予以区别对待。

7.身份鉴别是授权控制的基础。

8. 外部网络能与双重宿主主机通信，内部网络不能与双重宿主主机通信。

9. 一般的包过滤防火墙对数据包数据内容和数据包头信息都做检查。

10. 数据包过滤不能进行内容级控制。

三、简答题（每题6分，共30分）1、简述隧道协议及其数据格式。

2、简述防火墙功能3、IKE中的身份认证方式有哪些？？4、简述SYN泛洪原理。

5、简述基于主机的扫描和基于网络的扫描有什么不同四、论述题（共40分）1、叙述防火墙发展趋势。

（10分）2、论述分析黑客动机。

（10分）3、论述计算机系统存在漏洞的原因（15分）模拟试题（二）答案一、单项选择题1、D .2、D.3、A.4、D.5、C.6、B.7、B.8、A.9、A. 10、B.11、A 12、D. 13、C. 14、E. 15、D. 16、D. 17、D. 18、A. 19、D 20、B.二、判断题1.正确2.正确3.错误4.错误5.错误6.错误7.正确8. 错误9. 错误10. 正确三、简答题1、隧道协议包括，乘客协议、封装协议和传输协议。

（1）乘客协议：乘客协议是指用户要传输的数据，也就是被封装的数据，它们可以是IP、PPP、SLIP等。

这是用户真正要传输的数据，如果是IP协议，其中包含的地址有可能是保留IP地址。

（2）封装协议：封装协议用于建立、保持和拆卸隧道。

L2F、PPTP、L2TP、GRE就属于封装协议。

（3）传输协议：乘客协议被封装之后应用传输协议。

2、防火墙是建立在内外网边界上的过滤封锁机制，其作用是防止不希望的、未经授权的通信进出受保护的内部网络，通过边界控制强化内部网络的安全政策。

防火墙的主要功能如下：(1) 访问控制功能。

这是防火墙最基本的功能也是最重要的功能，通过禁止或允许特定用户访问特定的资源，保护网络内部资源和数据。

(2) 内容控制功能。

根据数据内容进行控制，可以过滤内部用户访问外部服务的图片信息，也可以限制外部访问。

(3) 全面的日志功能。

(4) 集中管理功能。

(5) 自身的安全和可用性。

3、（1）基于数字签名（Digital Signature），利用数字证书来表示身份，利用数字签名算法计算出一个签名来验证身份。

（2）基于公开密钥（Public Key Encryption），利用对方的公开密钥加密身份，通过检查对方发来的该HASH值作认证。

（3）基于修正的公开密钥（Revised Public Key Encryption），对上述方式进行修正。

（4）基于预共享字符串（Pre Shared Key），双方事先通过某种方式商定好一个双方共享的字符串。

4、（1）利用TCP连接的三次握手过程中的资源不平衡性。

（2）发动SYN攻击时，攻击者会发送一个从系统A到系统B的SYN分组，不过他用一个不存在的系统伪装源地址。

（3）系统B试图发送SYN/ACK分组到这个欺骗地址。

（4）由于响应的系统并不存在，因此B系统就无法收到响应的RST分组或ACK分组，直到连接超时。

（5）由于连接队列的容量通常很小，攻击者通常只需要10秒钟发送若干SYN分组就能够完全禁止某个特定的端口，造成相对应的服务无法对正常的请求进行响应。

5、基于主机的扫描：(1) 运行于单个主机，扫描目标是本地主机(2) 扫描器的设计与目标主机的操作系统相关(3) 可以在系统上任意创建进程(4) 扫描项目包括用户帐号文件、组文件、系统权限等。

基于网络的扫描：(1) 扫描目标为本的主机和远程主机(2) 扫描器的设计和目标主机的操作系统无关(3) 扫描任务主要是开发的端口服务、系统网络服务、系统信息、系统漏洞等。

四、论述题1、（1）未来的防火墙要求是高安全性和高效率。

使用专门的芯片负责访问控制功能、设计新的防火墙的技术架构是未来防火墙的方向。

（2）数据加密技术的使用，使合法访问更安全。

（3）混合使用包过滤技术、代理服务技术和其他一些新技术。

（4）新的IP协议IPv6对防火墙的建立与运行产生深刻的影响。

（5）对数据包的全方位的检查。

不仅包括数据包头的信息，而且包括数据包的内容信息，查出恶意行为，阻止通过。

（6）分布式防火墙。

分布式防火墙是指那些驻留在网络中主机如服务器或台式机并对主机系统自身提供安全防护的软件产品。

2、（1）好奇心（2）个人声望（3）智力挑战（4）窃取情报（5）报复（6）金钱（7）政治目的3、（1）网络协议在最初设计时并没有考虑安全方面的需求。

（2）在Internet环境中保证应用的安全是比较困难的。

（3）在Internet上实施普通的电子攻击可以是快速、容易、低成本的，甚至有些攻击很难被检测或者跟踪到。

（4）很多站点仍然在Internet上使用没有安全保证的信任策略。

（5）在Internet上传送的很多数据都是没有加密的明文，这不仅威胁到使用明文传输的各种应用，也威胁到某些认证和授权的方式。

（6）Internet上高速膨胀的应用类型。