网络安全试题库（网络工程）

网络安全试题

一．单项选择题

1. 以下算法中属于非对称算法的是（ B ）

A. DES

B. RSA算法 C. IDEA D. 三重DES

2. \是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据

块,其中一部分用作奇偶校验,剩余部分作为密码的长度？\（ D ） A. 56位 B. 64位 C. 112位 D. 128位

3. 以下有关软件加密和硬件加密的比较，不正确的是（B ）

A. 硬件加密对用户是透明的，而软件加密需要在操作系统或软件中写入加

密程序

B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 4. 数据完整性指的是（ C ）

A. 保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 B. 提供连接实体身份的鉴别

C. 防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方

发送的信息完全一致

D. 确保数据数据是由合法实体发出的

5. 下面有关3DES的数学描述，正确的是（ B ）

A. C=E(E(E(P, K1), K1), K1) B. C=E(D(E(P, K1), K2), K1) C. C=E(D(E(P, K1), K1), K1) D. C=D(E(D(P, K1), K2), K1)

6. 黑客利用IP地址进行攻击的方法有：（ A ）

A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒

7. 屏蔽路由器型防火墙采用的技术是基于：（ B ）

A. 数据包过滤技术 B. 应用网关技术 C. 代理服务技术 D. 三种技术的结合

8. 在安全审计的风险评估阶段，通常是按什么顺序来进行的：（ A ）

A. 侦查阶段、渗透阶段、控制阶段 B. 渗透阶段、侦查阶段、控制阶段 C. 控制阶段、侦查阶段、渗透阶段

D. 侦查阶段、控制阶段、渗透阶段

9. 网络入侵者使用sniffer对网络进行侦听，在防火墙实现认证的方法中，下列

身份认证可能会造成不安全后果的是：（ A ） A. 基于口令的身份认证 B. 基于地址的身份认证 C. 密码认证 D. 都不是

10. 以下哪一项不是入侵检测系统利用的信息：（ C ）

A. 系统和网络日志文件

B. 目录和文件中的不期望的改变 C. 数据包头信息

D. 程序执行中的不期望行为

11. 以下哪一项属于基于主机的入侵检测方式的优势：（ C ）

A. 监视整个网段的通信

B. 不要求在大量的主机上安装和管理软件 C. 适应交换和加密 D. 具有更好的实时性

12. 在OSI七个层次的基础上，将安全体系划分为四个级别，以下那一个不属于

四个级别：（ D ） A. 网络级安全 B. 系统级安全 C. 应用级安全 D. 链路级安全

13. 加密技术不能实现：（ D ）

A. 数据信息的完整性

B. 基于密码技术的身份认证 C. 机密文件加密

D. 基于IP头信息的包过滤

14. 以下关于混合加密方式说法正确的是：（ B ）

A. 采用公开密钥体制进行通信过程中的加解密处理

B. 采用公开密钥体制对对称密钥体制的密钥进行加密后的通信 C. 采用对称密钥体制对对称密钥体制的密钥进行加密后的通信

D. 采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥

体制的加解密处理速度快的双重优点

15. 以下关于数字签名说法正确的是：（ D ）

A. 数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信

息

B. 数字签名能够解决数据的加密传输，即安全传输问题 C. 数字签名一般采用对称加密机制

D. 数字签名能够解决篡改、伪造等安全性问题 16. 防火墙中地址翻译的主要作用是：( B )

A. 提供代理服务 B. 隐藏内部网络地址 C. 进行入侵检测 D. 防止病毒入侵

17. 以下关于状态检测防火墙的描述，不正确的是（ D ）

A. 所检查的数据包称为状态包，多个数据包之间存在一些关联 B. 能够自动打开和关闭防火墙上的通信端口

C. 其状态检测表由规则表和连接状态表两部分组成

D. 在每一次操作中，必须首先检测规则表，然后再检测连接状态表（只检

测连接状态表）

18. 以下关于VPN说法正确的是：（ B ）

A. VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的

线路

B. VPN指的是用户通过公用网络建立的临时的、安全的连接 C. VPN不能做到信息认证和身份认证

D. VPN只能提供身份认证、不能提供加密数据的功能

19. TCP可为通信双方提供可靠的双向连接，在包过滤系统中，下面关于TCP

连接描述错误的是：( C )

A. 要拒绝一个TCP时只要拒绝连接的第一个包即可 B. TCP段中首包的ACK＝0，后续包的ACK＝1

C. 确认号是用来保证数据可靠传输的编号 //（确认号是目的主机在接收到

数据后反馈给源主机的信息，告诉源主机已接收） D. \在CISCO过滤系统中，当ACK＝1时，“established\关键字为T，当

ACK＝0时，“established\关键字为F\

20. 在DDoS攻击中，通过非法入侵并被控制，但并不向被攻击者直接发起攻击

的计算机称为（ B ） A. 攻击者 B. 主控端

C. 代理服务器 D. 被攻击者

21. 加密密钥的强度是：（ A ）

N

A．2B．2N-1 C．2N D．2N-1

22. IDS规则包括网络误用和：（ A ）

A. 网络异常 B. 系统误用 C. 系统异常 D. 操作异常

23. 防治要从防毒、查毒、（）三方面来进行：（ A ）

A. 解毒 B. 隔离 C. 反击

D. 重起

24. 针对下列各种安全协议，最适合使用外部网VPN上，用于在客户机到服务

器的连接模式的是：( C ) A. IPsec B. PPTP

C. SOCKS v5 D. L2TP

25. 下列各种安全协议中使用包过滤技术，适合用于可信的LAN到LAN之间的

VPN，即内部网VPN的是:（ D ） A. PPTP B. L2TP

C. SOCKS v5 D. IPsec

26. 目前在防火墙上提供了几种认证方法，其中防火墙设定可以访问内部网络资

源的用户访问权限是：( C ) A. 客户认证 B. 回话认证 C. 用户认证 D. 都不是

27. 目前在防火墙上提供了几种认证方法，其中防火墙提供授权用户特定的服务

权限是：（A） A. 客户认证 B. 回话认证 C. 用户认证 D. 都不是

28. 目前在防火墙上提供了几种认证方法，其中防火墙提供通信双方每次通信时

的会话授权机制是：（B） A. 客户认证 B. 回话认证 C. 用户认证 D. 都不是

29. 使用安全内核的方法把可能引起安全问题的部分从操作系统的内核中去掉，

形成安全等级更高的内核，目前对安全操作系统的加固和改造可以从几个方面进行。下面错误的是：（D） A. 采用随机连接序列号 B. 驻留分组过滤模块 C. 取消动态路由功能

D. 尽可能地采用独立安全内核

30. 在防火墙实现认证的方法中，采用通过数据包中的源地址来认证的是：（B）

A. 基于口令的身份认证 B. 基于地址的身份认证 C. 密码认证 D. 都不是

31. 随着Internet发展的势头和防火墙的更新，防火墙的哪些功能将被取代：（D）

A. 使用IP加密技术 B. 日志分析工具 C. 攻击检测和报警

D. 对访问行为实施静态、固定的控制

32. 网络入侵者使用sniffer对网络进行侦听，在防火墙实现认证的方法中，下列

身份认证可能会造成不安全后果的是：（A） A. 基于口令的身份认证 B. 基于地址的身份认证 C. 密码认证 D. 都不是

33. IPSec协议是开放的VPN协议。对它的描述有误的是：( C )

A. 适应于向IPv6迁移

B. 提供在网络层上的数据加密保护 C. 支持动态的IP地址分配

D. 不支持除TCP/IP外的其它协议 34. 下面对电路级网关描述正确的是：B

A. 它允许内部网络用户不受任何限制地访问外部网络，但外部网络用户在

访问内部网络时会受到严格的控制

B. 它在客户机和服务器之间不解释应用协议，仅依赖于TCP连接，而不进

行任何附加包的过滤或处理

C. 大多数电路级代理服务器是公共代理服务器，每个协议都能由它实现 D. 对各种协议的支持不用做任何调整直接实现

35. 在Internet服务中使用代理服务有许多需要注意的内容，下述论述正确的是：

C

A. UDP是无连接的协议很容易实现代理 B. 与牺牲主机的方式相比，代理方式更安全 C. 对于某些服务，在技术上实现相对容易 D. 很容易拒绝客户机于服务器之间的返回连接

36. 状态检查技术在OSI那层工作实现防火墙功能：C

A. 链路层 B. 传输层 C. 网络层 D. 会话层

37. 对状态检查技术的优缺点描述有误的是：C

A. 采用检测模块监测状态信息 B. 支持多种协议和应用

C. 不支持监测RPC和UDP的端口信息 D. 配置复杂会降低网络的速度

38. JOE是公司的一名业务代表，经常要在外地访问公司的财务信息系统，他应

该采用的安全、廉价的通讯方式是：B A. PPP连接到公司的RAS服务器上 B. 远程访问VPN C. 电子邮件

D. 与财务系统的服务器PPP连接

39. 下面关于外部网VPN的描述错误的有：C

A. 外部网VPN能保证包括TCP和UDP服务的安全 B. 其目的在于保证数据传输中不被修改

C. VPN服务器放在Internet上位于防火墙之外 D. VPN可以建在应用层或网络层上

40. SOCKS v5的优点是定义了非常详细的访问控制，它在OSI的那一层控制数

据流：D A. 应用层 B. 网络层 C. 传输层 D. 会话层

二．判断题

1. PKI和PMI在应用中必须进行绑定，而不能在物理上分开。（× ）

2. 当通过浏览器以在线方式申请数字证书时，申请证书和下载证书的计算机必

须是同一台计算机。（ √ ）

3. 在网络身份认证中采用审计的目的是对所有用户的行为进行记录，以便于进

行核查。（ √ ）

4. 要实现DDoS攻击，攻击者必须能够控制大量的计算机为其服务。（ √ ） 5. 由于在TCP协议的传输过程中，传输层需要将从应用层接收到的数据以字节

为组成单元划分成多个字节段，然后每个字节段单独进行路由传输，所以TCP是面向字节流的可靠的传输方式。（√ ）

6. ARP缓存只能保存主动查询获得的IP和MAC的对应关系，而不会保存以

广播形式接收到的IP和MAC的对应关系。（× ）

7. 暴力破解与字典攻击属于同类网络攻击方式，其中暴力破解中所采用的字典

要比字典攻击中使用的字典的范围要大。（ √ ）

8. DHCP服务器只能给客户端提供IP地址和网关地址，而不能提供DNS服务

器的IP地址。（× ）

9. 当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小。

（×）

10. 在传统的包过滤、代理和状态检测3类防火墙中，只有状态检测防火墙可以

在一定程度上检测并防止内部用户的恶意破坏。（ √ ）

三．填空题

1．计算机网络的资源共享包括（）共享和（）共享。 2．按照网络覆盖的地理范围大小，计算机网络可分为（）、（）和（）。 3．按照结点之间的关系，可将计算机网络分为（）网络和（）网络。 4．对等型网络与客户/服务器型网络的最大区别就是（）。 5．网络安全具有（）、（）和（）。

6．网络安全机密性的主要防范措施是（）。 7．网络安全完整性的主要防范措施是（）。 8．网络安全可用性的主要防范措施是（）。 9．网络安全机制包括（）和（）。

10．国际标准化组织ISO提出的“开放系统互连参考模型(OSI)”有（）层。 11．OSI参考模型从低到高第3层是（）层。

12．入侵监测系统通常分为基于（）和基于（）两类。

13．数据加密的基本过程就是将可读信息译成（）的代码形式。 14．访问控制主要有两种类型：（）访问控制和（）访问控制。 15．网络访问控制通常由（）实现。

16．密码按密钥方式划分，可分为（）式密码和（）式密码。 17．DES加密算法主要采用（）和（）的方法加密。 18．非对称密码技术也称为（）密码技术。

19．DES算法的密钥为（）位，实际加密时仅用到其中的（）位。 20．数字签名技术实现的基础是（）技术。 21．数字水印技术主要包括（）、（）和（）。 22．数字水印技术的特点是（）、（）和（）。 23．入侵监测系统一般包括（）、（）、（）和（）四部分功能。 24．按照数据来源的不同，入侵监测系统可以分为（）、（）和（）入侵监测系统三类。

25．按照数据监测方法的不同，入侵监测系统可以分为（）监测模型和（）监测模型两类。

26．广域网简称为（）。 27．局域网简称为（）。

28．在TCP/IP参考模型中，应用层协议的（）用来实现互联网中电子邮件传送功能。

29．电子商务的体系结构可以分为网络基础平台、安全结构、（）、业务系统4个层次。

30．电子邮件服务采用（）工作模式。

答案： 1．（硬件资源）、（软件资源）。 2．（局域网）、（广域网）（城域网） 3．（客户/服务器型）（对等型） 4．（对等型网络没有专设服务器） 5．（机密性）、（完整性）（可用性） 6．（密码技术） 7．（校验与认证技术） 8．（确保信息与信息系统处于一个可靠的运行状态之下） 9．（技术机制）（管理机制） 10．（7） 11．（网络） 12．（主机）（网络） 13．（密文） 14．（网络）（系统） 15．（防火墙） 16．（对称）（非对称） 17．（替换）（移位） 18．（公钥） 19．（64）（56） 20．（密码） 21．（数字水印嵌入技术）（数字水印提取）（数字水印监测技术） 22．（不可知觉性）（安全性）（稳健性） 23．（事件提取）（入侵分析）（入侵响应）（远程管理） 24．（基于主机）（基于网络）（混合型） 25．（异常）（误用） 26．（WAN） 27．（LAN） 28．（电子邮件协议SMTP） 29．（支付体系） 30．（客户机/服务器）

四．名词解释题

1. 对称加密与非对称加密

在一个加密系统中，加密和解密使用同一个密钥，这种加密方式称为对称加密，也称为单密钥加密（2分）。如果系统采用的是双密钥体系，存在两个相互关联的密码，其中一个用于加密，另一个用于解密，这种加密方法称为非对称加密，也称为公钥加密（2分）

2. DNS缓存中毒

DNS为了提高查询效率，采用了缓存机制，把用户查询过的最新记录存放在缓存中，并设置生存周期（Time To Live，TTL）。在记录没有超过TTL之前，DNS缓存中的记录一旦被客户端查询，DNS服务器（包括各级名字服务器）将把缓存区中的记录直接返回给客户端，而不需要进行逐级查询，提高了查询速率。（2分）DNS缓存中毒利用了DNS缓存机制，在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录。由于DNS服务器之间会进行记录的同步复制，所以在TTL内，缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器，导致更多的DNS服务器中毒。（2分）

3. 机密性、完整性、可用性、可控性

机密性是确保信息不暴露给未经授权的人或应用进程（1分）；完整性是指只有得到允许的人或应用进程才能修改数据，并且能够判别出数据是否已被更改（1分）；可用性是指只有得到授权的用户在需要时才可以访问数据，即使在网络被攻击时也不能阻碍授权用户对网络的使用（1分）；可控性是指能够对授权范围内的信息流向和行为方式进行控制。（1分）

4. VPN

VPN（虚拟专用网）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接（2分）。从VPN的定义来看，其中“虚拟”是指用户不需要建立自己专用的物理线路，而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道，并实现与专用数据通道相同的通信功能；“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的，而是只有经过授权的用户才可以使用。同时，该通道内传输的数据经过了加密和认证，从而保证了传输内容的完整性和机密性。（2分）

5. 防火墙

防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合（2分），通过监测、限制、

更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。

五．简答题

1. PGP安全通信的基本原理是什么？

答：A要寄信给B，他们互相知道对方的公钥，A用MD5算法产生128位数作为邮件文摘，并用自己私钥加密，A在邮件后加上那串邮件文摘，再用B的公钥把整个邮件加密后寄出，B收到后用自己的私钥解密，得到A的原文和签名，B也从原文中计算出128的特征值，并和A的签名进行比对。

2. 按照加密和解密是否使用相同的密钥可分为哪两种？其中，他们代表性的算

法各有哪些？

答：对称密钥密码算法，常用算法： DES ，AES, IDEA,

非对称密码，常用算法： RSA, DSA,

3. 缓冲区溢出攻击的产生原因是什么？如何避免？

答：产生原因：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，使程序转而执行其它指令，以达到攻击的目的。

避免：对存入缓冲区的数据要进行超长中断，防止缓冲区溢出，同时还应当检查返回值。

4. 请解释什么是VPN，其关键技术除了隧道技术，还有另外哪3个？

答：IPSec协议是主要用于构造VPN的，IPSec安全体系结构由哪3个主要部分组成？再分别写出IPSec提供的安全协议，认证头（AH）与封装安全有效载荷（ESP）在隧道模式下各自的头格式。 VPN是虚拟专用网技术，是通过一个公用网络建立一个临时的，安全的连接，是一条穿过混乱的公用网络安全，稳定的遂道。

除了隧道技术，还有加解密技术，密钥管理技术，使用者与设备身份认证技术。

由安全协议、安全联盟和密钥管理组成。

隧道模式的AH头格式： 新IP头|AH头|原始IP头|数据

隧道模式的ESP头格式：新IP头|ESP头|原始IP头|数据|ESP尾|验证数据

5. VPN是当前最常用的网络技术之一，请简述它有哪些优点？

答：搭建成本低、灵活性高、VPN网络有很好的兼容性和可扩展性，提高了

本文来源：https://www.bwwdw.com/article/vfkr.html