自测

一、单项选择题：
1．对传输的信息进行窃听和监视，期望获取线路上所传输的信息称为
A．被动攻击 B．主动攻击
C．伪装攻击 D．重放攻击
2．网络每层的数据格式称为 PDU，网络层的PDU又称为
A．数据段 B．数据包 C．数据帧 D．比特流
3．IPv4的地址由二进制组成
A．16bit B．32bit C．48bit D．128bit
4．下列加密形式不属于网络加密方式
A．链路加密 B．节点加密
C．点到点加密 D．端到端加密
5．Ad Hoc网络不具有的下列特性是
A．自组织性 B．有中心 C．动态拓扑 D．多条路由
6．下列是第四代防火墙的是
A．应用级防火墙 B．电路级防火墙
C．状态检测防火墙 D．包过滤防火墙
7．不属于入侵检测系统组成部分的是
A．数据收集器 B．控制器
C．检测器 D．存储器
8．下列关于实体认证和消息认证的描述正确的是
A．实体认证具有实时性，消息认证不具有实时性
B．实体认证不具有实时性，消息认证具有实时性
C．实体认证和消息认证都具有实时性
D．实体认证和消息认证都不具有实时性
9．B类IP地址的私有网络共有
A．1个 B．8个 C．16个 D．32个
10．基于距离矢量的动态路由协议是
A．OSPF B．BGP C．IS-IS D．RIP
11．以太网的以太帧尾字段FCS的长度是
A．2bytes B．4bytes C．8bytes D．16bytes
12．DES加密算法输入的明文长度是
A．32bit B．48bit C．64bit D．128bit
13．下列对于TCP协议描述正确的是
A．是面向连接的可靠的传输协议
B．不是面向连接的，但是可靠的传输协议
C．是面向连接的，但不是可靠的传输协议
D．不是面向连接的，也不是可靠的传输协议
14．下列算法属于确定性签名算法的是
A．Rabin B．DES C．EIGamal D．SM4
15．下列NAT转换可以实现私有IP地址和公有IP地址实现多对多的方式的是
A．静态NAT转换 B．动态NAT转换
C．混合NAT转换 D．PAT转换
16. 下列攻击类型中不属于主动攻击的是
A．窃听攻击 B．伪装攻击 C．重放攻击 D．拒绝服务攻击
17. 网络设备的MAC地址有二进制组成
A．16bit B．32bit C．48bit D．128bit
18．下列加密算法中不属于古典加密算法的是
A．凯撒密码 B．祖冲之密码 C．维吉尼亚密码 D．弗纳姆密码
19．下列信息是数字证书中包含的信息
A．客体名 B．公钥 C．私钥 D．签发日期
20．下列特点中不是硬件加密的特点的是
A．加密速度快 B．安全性好 C．易于安装 D．灵活轻便
21．WAPI安全机制有WAI和WPI两部分组成，其中WAI实现的以下功能是
A．数据加密 B．身份认证 C．数字签名 D．密钥传递
22．下列防火墙中属于第二代防火墙的是
A．应用级防火墙 B．包过滤防火墙
C．状态检测防火墙 D．电路级防火墙
23．基于行为的检测系统又称为
A．异常检测系统 B．主机检测系统
C．误用检测系统 D．网络检测系统
24．IPSec协议属于（ ▲ ）隧道协议。
A．第 2层 B．第3层 C．第4层 D．第7层
25．下列不属于个人特征身份证明技术的是
A．手书签字验证 B．指纹验证
C．身份证验证 D．虹膜图样验证技术
26．IP数据包的头部中表示头部长度的二进制位数是
A．4bitB．6bit C．8bit D．16bit
27．DES算法中IP逆置换的作用是
A．消除初始置换的影响 B．加强初始置换的影响
C．消除轮迭代的影响 D．加强轮迭代的影响
28．对于EIGamal签名体制下列叙述正确的是
A．不需要输入随机数，因为它是确定性消息签名
B．不需要输入随机数，它能自动产生消息签名
C．需要输入随机数，但与消息签名的输出无关
D．需要输入随机数，且与消息签名有关
29．下列算法属于确定性签名算法的是
A．EIGamal B．DES C．RSA D．SM4
30．高级加密AES的明文分组长度只能为
A．64bit B．128bit C．192bit D．256bit
31．Ping命令使用网络层的协议是
A．ARP协议 B．RARP协议
C．IGMP协议 D．ICMP协议
32．网络每层的数据格式称为 PDU，数据链路层的PDU又称为
A．数据段 B．数据包 C．数据帧 D．比特流
33．下列加密算法中属于单密钥加密算法的有
A．RSA算法 B．AES算法
C．EIGamal算法 D．SM2算法
34．CA采用分层架构，顶层的CA称为
A．顶级CA B．根CA C．一级CA D．域CA
35．Ad Hoc网络不具有下列特性
A．静态组织性 B．无中心 C．动态拓扑 D．多跳路由
36．下列是第一代防火墙的是
A．电路级防火墙 B．包过滤防火墙
C．状态防火墙 D．应用级防火墙
37．不属于入侵检测系统组成部分的是
A．数据收集器 B．数据加密器
C．检测器 D．知识库
38．下列协议中不属于第2层隧道协议的是
A．VTP B．PPTP C．L2F D．L2TP
39．TLS协议主要用于下列（▲ ）协议中。
A．HTTPS B．ICMP C．SMTP D．SNMP
40．下列协议中，不属于内部网关路由协议的是
A．RIP协议 B．OSPF协议
C．BGP协议 D．EIGRP协议
41．以太数据帧最大长度是
A．1000Bytes B．1500bytes C．1518Bytes D．2048Bytes
42．SM3杂凑函数的消息分组长度为
A．64bit B．128bit C．256bit D．512bit
43．下列选项中，不是802.1x网络角色的是
A．认证者 B．认证仲裁者
C．认证请求端 D．认证服务器
44．下列协议中属于网络层的协议有
A．HTTP协议 B．OSPF协议
C．FTP协议 D．SSH协议
45．蓝牙技术采用的无线扩频技术为
A．跳频扩频技术 B．直序扩频技术
C．分时扩频技术 D．共享扩频技术
46．TCP/UDP协议端口号的长度为
A．8bit B．16bit C．24bit D．32bit
47．传统以太帧的格式中，第二个字段是
A．源MAC地址 B．目的MAC地址
C．长度 D．FCS校验
48．标识IP数据包传输最大跳数的字段是
A．标志 B．目的IP地址
C．标识 D．数据包生存时间
49．下列加密算法中属于双密钥加密算法的有
A．DES算法 B．AES算法 C．RSA算法 D．SM4算法
50．下列不是WAP网关的作用的是
A．协议转换 B．内容转换 C．性能转换 D．端口转换
51．防火墙处理数据流不包含的方法是
A．允许数据流通过 B．拒绝数据流通过
C．将数据流回送发送方 D．丢弃数据流
52．下列NAT转换可以实现私有IP地址和公有IP地址实现一一对应的关系的是
A．静态NAT转换 B．动态NAT转换
C．混合NAT转换 D．PAT转换
53．下列协议中不属于第3层隧道协议的是
A．GRE B．VTP C．L2F D．IPSec
54．一个主机的IP地址为192.168.100.21/30，该主机的子网号为
A．192.168.100.0 B．192.168.100.16
C．192.168.100.20 D．192.168.100.32
55．有限广播的地址为
A．255.255.255.255 B．主机位全为0
C．主机位全为1 D．网络位全为1
56．以太数据帧最大长度是
A．2048Bytes B．1000Bytes C．1500bytesD．1518Bytes
57．高级加密AES的密码分组长度不能为
A．256bit B．192bit C．128bitD．64bit
58．对于EIGamal签名体制下列叙述正确的是
A．需要输入随机数，但与消息签名的输出无关
B．需要输入随机数，且与消息签名有关
C．不需要输入随机数，因为它是确定性消息签名
D．不需要输入随机数，它能自动产生消息签名
59．下列关于蜜罐的描述不正确的是
A．蜜罐是一个吸引攻击者的陷阱
B．蜜罐是攻击者攻防的一个实习场所
C．蜜罐能收集入侵者的动作信息
D．蜜罐能把入侵者的主意力从关键系统移开
60．MPLS主要用于在（ ▲ ）中创建VPN。
A．以太网 B．ATM网络 C．令牌总线 D．令牌环网
61．SSH协议使用TCP协议的端口号为
A．443 B．169 C．53 D．22
62．传统以太帧的格式中，最后一个字段是
A．源MAC地址 B．目的MAC地址
C．长度 D．FCS校验
63．172.250.0.255属于IP地址
A．A类 B．B类 C．C类 D．D类
64．下列加密算法中属于双密钥加密算法的有
A．DES算法 B．AES算法
C．椭圆曲线算法 D．SM4算法
65．Ad Hoc网络的拓扑结构不可以是
A．平面结构 B．环型结构 C．分级结构 D．分层结构
66．下列NAT转换可以实现多个私有IP地址使用一个公有IP地址访问Internet的是
A．静态NAT转换 B．动态NAT转换
C．混合NAT转换 D．PAT转换
67．下列协议中不属于第3层隧道协议的是
A．GRE B．PPTP C．VTP D．IPSec

68．密钥的分配不可以采用的方式为
A．用户之间直接传递密钥
B．使用KDC或KTC实现密钥分配
C．可信第三方TTP可按协调、联机和脱机方式
D．预先有保密员装入主机
69．蓝牙技术采用的无线扩频技术为
A．跳频扩频技术 B．直序扩频技术
C．分时扩频技术 D．共享扩频技术
70．下列说法错误的是
A．在数字签名过程中，私钥用于加密，公钥用于解密
B．在数据传输加密过程中，公钥用于加密
C．公钥是属于公开的密钥，私钥是属于保密的密钥
D．一对公钥和私钥就可以实现双方保密通信
71．IP数据包的最大长度为
A．16Kbytes B．32Kbytes C．64Kbytes D．128KBytes
72．下列选项中，不是802.1x网络角色的是
A．认证服务器 B．认证请求端 C．认证仲裁者 D．认证者
73．下列协议中属于应用层的协议有
A．IGMP协议 B．ARP协议 C．RIP协议 D．ICMP协议
74．下列关于蜜罐的描述不正确的是
A．蜜罐是攻击者攻防的一个实习场所
B．蜜罐能收集入侵者的动作信息
C．蜜罐是一个吸引攻击者的陷阱
D．蜜罐能把入侵者的主意力从关键系统移开
75．对于EIGamal签名体制下列叙述正确的是
A．不需要输入随机数，因为它是确定性消息签名
B．需要输入随机数，且与消息签名有关
C．需要输入随机数，但与消息签名的输出无关
D．不需要输入随机数，它能自动产生消息签名
76．网络安全的实质和关键是保护网络的安全方面是
A．系统 B．软件 C．信息 D．网站
77．加密安全机制提供了数据的方面的是
A．可靠性和安全性 B．保密性和可控性
C．完整性和安全性 D．保密性和完整性
78．网络安全管理技术涉及网络安全技术和管理的很多方面，从广义的范围来看安全网络管理的一种手段是
A．扫描和评估 B．防火墙和入侵检测系统安全设备
C．监控和审计 D．防火墙及杀毒软件
79．一般情况下，大多数监听工具不能够分析的协议是
A．标准以太网 B．TCP/IP
C．SNMP和CMIS（通用管理信息协议） D．IPX和DECNet
80．以下属于生物识别中的次级生物识别技术的是
A．网膜识别 B．DNA C．语音识别 D．指纹识别
81．把网络上传输的数据报文的每一位进行加密，而且把路由信息、校验和等控制信息全部加密的网络加密方式是
A．链路加密 B．节点对节点加密
C．端对端加密 D．混合加密
82．不应拒绝授权用户对数据库的正常操作，同时保证系统的运行效率并提供用户友好的人机交互指的是数据库系统的
A． 保密性 B．可用性 C．完整性 D．并发性
83．以病毒攻击的不同操作系统分类中，已经取代DOS系统，成为病毒攻击的主要对象的是
A．UNIX系统 B．OS/2系统
C．Windows系统 D．Netware系统
84．TCP采用三次握手形式建立连接，开始发送数据的时候是
A．第一步 B．第二步 C．第三步之后 D．第三步
85．网络操作系统应当提供的安全保障不包括下面的
A．授权(Authorization)
B．数据保密性(Data Confidentiality)
C．数据一致性(Data Integrity)
D．数据的不可否认性(Data Nonrepudiation)
86．在Internet上的电子商务交易过程中，最核心和最关键的问题是
A．信息的准确性 B．交易的不可抵赖性
C．交易的安全性 D．系统的可靠性
87．得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作，以上是实现安全方案的
A．可审查性 B．可控性 C．机密性 D．可用性
88．传输层由于可以提供真正的端到端的连接，最适宜提供的安全服务是
A．数据保密性 B．数据完整性
C．访问控制服务 D．认证服务
89．使用户能够能过轮询、设置关键字和监视网络事件来达到网络管理目的，并且已经发展成为各种网络及网络设备的网络管理协议标准，这个功能是
A．TCP/IP协议 B．公共管理信息协议CMIS/CMIP
C．简单网络管理协议SNMP D．用户数据报文协议UDP
90．以下不属于AAA系统提供的服务类型的是
A．认证 B．鉴权
C．访问 D．审计
二、填空题：
1．访问控制策略可以划分为强制性访问控制策略和 自主性 访问控制策略。
2．EIGamal密码体制是一种基于离散对数问题的双钥密码体制，既可用于签名，又可用于 加密 。
3．群签名的目标是对签名者实现无条件匿名保护，又防止签名者的 抵赖 。
4．无线网络技术可分为无线蜂窝网络技术和 无线数据 网络技术两大类。
5．IPSec协议主要由认证头协议AH、封装安全载荷协议、 Internet密钥交换 3个协议组成。
6．IMAP4使用TCP协议的 143 号端口。
7．证书撤销状态检查机制由： 脱机 证书撤销状态检查和联机证书撤销状态检查2部分组成。
8．协议至少包含三层含义，协议是有序的过程； 至少有2个参与者 ；必须能完成某项任务。
9．入侵检测系统根据采集数据的来源，可分为基于 网络 的入侵检测系统和基于主机的入侵检测系统。
10．根据隧道协议工作的网络层次，VPN可分为 二层隧道 VPN、三层隧道VPN和传输层隧道协议。
11．网络安全矛盾的双方是指攻击者和 守护者 。
12．网络协议的三要素是：语法、语义和 同步（时序） 。
13．产生认证符的函数可以分为：消息加密、消息认证码和 杂凑函数 。
14．WAP网络结构由WAP设备、WAP网关和 web服务器 组成。
15．AAA认证体系中的三个A，分别表示认证、授权和 计费 。
16．IDS按照策略可分为：滥用检测、异常检测和 完整性检测 。
17．主要的植入类型威胁有： 特洛伊木马 和陷门。
18．确定性签名其明文与密文 一一对应 ，对同一消息的签名不变化。
19．认证包括消息认证、 数据认证 和实体认证三类。
20．防火墙对数据流的处理方式有允许数据流通过、 拒绝数据流通过 和将数据流丢弃。
21．窃取口令的三种方式为窃听口令法、口令尝试法和根据口令文件的 字典攻击法。
22．SM2算法的随机数发生器必须满足随机性和 不可预测性 性。
23．密钥建立协议主要分为密钥传输协议和 密钥协商协议 协议。
24．针对ARP协议攻击可采用在交换机中启用802.1x协议；建立 静态 ARP表。
25．SMTP协议使用TCP协议的25号端口，POP3协议使用TCP协议的 110 号端口。
26．防火墙默认采用的安全策略是，凡是没有明确设置 允许 的服务一律都是禁止的。
27．TLS VPN采用的3种主要协议为：握手协议、 TLS记录 协议和告警协议。
28．安全策略的等级分为：安全策略目标、 机构安全策略 和系统安全策略。
29．针对密码协议的攻击目标通常有三个，协议中采用的密码算法、算法和协议中
使用的 密码技术 和协议本身。
30．DNS使用 TCP/UDP 协议的53号端口
31．安全策略的等级分为 安全策略目标 、机构安全策略和系统安全策略。
32．对同一消息签名是随机变化的，相同明文可能有多个合法数字签名称为 随机式或概率式
数字签名。
33．认证包括 消息认证 、数据认证和实体认证三类。

34．入侵检测系统根据采集数据的来源，可分为基于主机的入侵检测系统和基于
网络 的入侵检测系统。
35．根据访问方式，VPN可分为移动用户远程访问VPN和 网关-网关 VPN。
36．SNMP协议使用UDP协议的 161 号端口。
37．WAP网络结构由WAP设备、 WAP网关 和WEB服务器组成。
38．群签名的目标是对签名者实现无条件 匿名保护 ，又能防止签名者的抵赖。
39．IPSec协议提供的两种工作模式为 传输 模式和隧道模式。
40．SM2算法的随机数发生器必须满足随机性和 不可预测性 性。
41．网络攻击从大类来分，可以分为：主动攻击和 被动 攻击。
42．一个签名体制一般包含签名算法和 验证 算法两个组成部分。
43．针对密码协议的攻击目标通常有三个，协议中采用的 密码算法 、算法和协议中使用的密码技术和协议本身。
44．防火墙对数据流的处理方式有允许数据流通过、拒绝数据流通过和 将数据流丢弃 。
45．根据隧道协议工作的网络层次，VPN可分为二层隧道VPN、三层隧道VPN
和 传输层隧道协议 VPN。
46．IDS按照数据来源可分为：基于网络的入侵检测系统；基于主机的入侵检测系统
和 分布式 入侵检测系统。
47．AAA认证体系中的三个A，分别表示认证、授权和 计费 。
48．访问控制策略可以划分为 强制性 访问控制策略和自主性访问控制策略。
49．防失败签名是 一次性签名 方案，由签名、验证和对伪造的证明算法等3部分组成。
50．SM2算法的随机数发生器必须满足随机性和 不确定 性。
51．身份证明系统一般由示证者、验证者、攻击者和 可信者 组成。
52．SNMP协议使用UDP协议的 161 端口。
53．PMI权限管理基础设置中AA表示属性权威，AC表示 属性证书 。
54．网络攻击从大类来分，可以分为：被动攻击和 主动 攻击。
55. SM2算法的随机数发生器必须满足 随机性 和不可预测性。
56．安全策略的等级分为：安全策略目标、 机构安全策略 和系统安全策略。
57．DES加密算法输入的密钥长度是 48bit 。
58．认证包括消息认证、 数据认证 和实体认证三类。
59．入侵检测系统根据采集数据的来源，可分为基于 主机 的入侵检测系统和基于网络的入侵检测系统。
60．根据访问方式，VPN可分为 移动用户远程访问 VPN和网关-网关连接VPN。
三、辨析改错题：
1．授权是指客体对主体的支配权，它规定了谁可以对什么做什么。
2．针对攻击者截取IP数据包，并经过修改后重放的攻击，可以采用对IP数据包进行加密的方法加以防范。
3．无密钥控制的一般杂凑函数不具备身份认证功能，只用于检测接收数据完整性。
4．TLS VPN与IPSec VPN相比最大的缺点是TLS VPN需要安装和配置客户端软件。
5．拒绝服务攻击会造成数据的丢失和文件删除，是一种危害性很强的攻击。
6．TCP/IP协议将网络划分为应用层、表示层、传输层、网络层、数据链路层和物理层。
7．针对IP数据包在传输过程中容易被攻击者监听和窃取，可以使用对IP数据包净荷部分实行完整性检测机制加以防范。
8．Diffile Hellman密钥交换协议的安全性基于在有限域上计算离散对数的难度。
9．PMI主要用于身份认证，证明用户身份，即你是谁。
10．数字证书使用CA的私钥签名后才有效。
11．ARP攻击仅仅在内网中进行，无法对外网进行攻击。
12．EIGamal密码体制是一种基于大数分解困难的密码体制，只可用于加密。
13．PKI主要用于授权管理，证明用户有什么权限，能够做什么。
14．基于行为的入侵检测技术又称为误用检测技术。
15．TCP协议的安全性高于UDP协议。
16．攻击者为了达到某种目的，将获得的信息再次发送，以在非授权的情况下进行传输 称为重放攻击。
17．附加在被签名消息之后或某一特定位置上的一段签名图样称为对整体消息的签名。18．WEP是IEEE802.11n使用的加密协议，用来对无线局域网中的数据流提供安全保护。19．TLS VPN既可以采用单向的证书认证方式，又可以使用双向的证书认证方式。
20．DES算法是第一个现代对称加密算法。
21．某个实体假装成其它实体，对目标发起攻击称为伪装攻击。
22．RSA算法签名属于随机式数字签名。
23．无线局域网的WEP协议使用DES加密算法，提供访问控制和保护隐私功能。
24．IPSec协议只能用于创建移动用户远程访问VPN。
25．节点加密方式，报头和路由信息在节点中会以明文形式出现，不存在节点泄密的隐患。
26．UDP协议不是面向连接的，也不是可靠的传输协议。
27．有密钥控制的杂凑函数值与输入有关，与密钥无关。
28．在黑客攻击技术中，端口扫描黑客发现获得主机信息的一种最佳途径。
29．混合密码体制，不但具有保密功能，并且具有鉴别的功能。
30．SSL协议是物理层和网络层之间实现加密传输的协议。
四、名词解释：
1．VLSM
2．弗纳姆密码
3．PMI
4．DDoS
5．CIDR
6．特洛伊木马
7．SYN FLOOD攻击
8．流密码
9．无线网络中的SSID
10．状态检测防火墙
11．网关
12．多表密码
13．SHA-2算法
14．蜜罐
15．MPLS VPN
16．维吉尼亚密码
17．杂凑函数码
18．Ad Hoc网络
19．VPN
20．DIAMETER
21．DoS拒绝服务攻击
22．祖冲之密码
23．PKI
24．IDS
25．WAPI
26．安全隔离技术
27．报文认证
28．异常检测
29．伪系统蜜罐
30．包过滤
五、简答题：
1．简述SMTP协议。
2．简述DES加密算法。
3．简述CA数字证书签名过程。
4．简述网络异常检测诸方法。
5．简述分组交换原理。
6．简述子网掩码的组成及作用。
7．简述HTTP协议存在的安全问题及防范措施。
8．简述数字签名应满足的条件。
9．简述链路加密的过程。
10．简述第2层隧道协议的优缺点，常见的第2层隧道协议有哪些？
11．简述DNS协议存在的安全问题和防范措施。
12．简述对称加密如何具有认证功能。
13．简述GSM技术存在的安全缺陷。
14．简述常见的入侵检测技术。
15．简述IPSec协议提供的两种模式。
16．简述网络安全模型的组成部分及各自的功能。
17．画出密码体制的示意图，并列出密码体制的语法定义的要素。
18．简述节点加密的过程。
19．简述入侵检测系统的主要功能。
20．简述TLS VPN的优点。
21．简述安全服务有关信息安全包括诸方面。
22．简述DHCP服务存在的安全问题及防范措施素。
23．简述消息认证码MAC是如何发挥认证功能的。
24．简述针对Ad Hoc网络的入侵检测诸方法。
25．简述TLS VPN的缺点。
26．简述基于角色的访问控制机制是具有以下特点和优点。
27．简述OSI安全体系结构描述的6大类安全服务。
28．简述VPN服务分类。
29．简述代理服务的缺点。
30．简述TLS VPN的优点。
六、论述题：
1．试述PKI系统的基本构成模块。
2．试述静态包过滤防火墙原理、安全性及其优缺点。
3．试述分布式拒绝服务的原理。
4．试述电路级网关防火墙的工作原理。
5．试述应用级防火墙的工作原理及优缺点。
6．试述DES算法的过程。
7．试述针对TCP协议的攻击方法及防范措施。
8．试述邮件服务器存在的安全问题及解决措施。
9．试述RSA密码体制的加密过程。
10．试述针对UDP协议的特点、攻击方法及防范措施。
11．以文件的访问控制为例，试述访问控制模型的实现机制。
12．试述入侵检测的基本步骤有哪些？

287433401网络安全技术复习题2答案

一、单项选择题：
1.A 2.B 3.B 4.C 5.B 6.C 7.D 8.A 9.C 10.D
11.B 12.C 13.A 14.A 15.B 16.A 17.C 18.B 19.B 20.D 21.B 22.D 23.A 24.B 25.C 26.A 27.A 28.D 29.C 30.B
31.D 32.C 33.B 34.B 35.A 36.B 37.B 38.A 39.A 40.C
41.C 42.A 43.B 44.B 45.A
46.B 47.B 48.D 49.C 50.D 51.C 52.A 53.C 54.C 55.A
56.D 57.D 58.B 59.B 60.B
61.D 62.D 63.B 64.C 65.B 66.D 67.B 68.A 69.A 70.D
71.C 72.C 73.C 74.A 75.B
76.C 77.D 78.B 79.C 80.C 81.A 82.B 83.C 84.C 85.D
86.C 87.D 88.B 89.C 90.C
二、填空题：
1．自主性 2．加密
3．抵赖 4．无线数据
5.Internet密钥交换 6．143
7．脱机 8．至少有2个参与者
9．网络 10．二层隧道
11．守护者 12．同步（时序）
13．杂凑函数 14. Web服务器
15．计费 16．完整性检测
17．特洛伊木马 18．一一对应
19．数据认证 20．拒绝数据流通过
21．字典攻击法 22．不可预测性
23．密钥协商协议 24．静态
25．110 26．允许
27．TLS记录 28．机构策略安全
29．密码技术 30．TCP/UDP
31．安全策略目 32．概率式或随机式
33．消息认证 34．网络
35．网关-网关连接 36．161
37．WAP网关 38．匿名保护
39．传输 40．不可预测性
41．被动攻击 42．验证
43. 密码算法 44．将数据流丢弃
45．传输层隧道协议 46．分布式
47．审计 48．强制性
49．一次性签名 50．不确定性
51. 可信者 52. 161
53. 属性证书 54. 主动
55. 随机性 56.机构安全策略
57.48bit 58.数据认证
59.主机 60.移动用户远程访问
三、辨析改错题：
26.（√）
27.（×），可以对数据包净荷部分实行完整性检测机制加以防范
28.（√）
29.（×），优点是TLS VPN不需要安装和配置客户端软件
30.（×），不会造成数据的丢失和文件删除，是一种较为温和的攻击
26.（×），TCP/IP协议将网络划分为应用层、传输层、网络层、网络接口层。
27.（×），可以使用对IP数据包进行加密的方法加以防范
28.（√）
29.（×）证明用户有什么权限，能够做什么
30.（√）
26.（√）
27.（×）基于离散对数的困难性，既可用于加密也可用于认证
28.（×）PKI主要是身份认证，证明用户身份，即你是谁
29.（×）基于行为的入侵检测技术又称为异常检测技术
30.（√）
26.（√）
27.（×），“整体消息的签名” 改为 “压缩消息的签名”
28.（×），“IEEE802.11n” 改为 “802.11b”
29.（×），TLS VPN只能使用单向证书认证方式
30.（√）
26.（√）
27.（×），“随机数字签名” 改为 “确定性数字签名”
28.（×），“IEEE802.11n” 改为 “802.11b”
29.（×），IPSec协议既可用于创建移动用户远程访问VPN ，又可创建LAN-to-LAN方式VPN
30.（√）
26.（√）
27.（×）与输入密钥有关
28.（√）
29.（×）混合加密体制 改为非对称密码体制
30.（×）物理层和网络层 改为传输层和应用层
四、名词解释：
1.VLSM是可变长子网掩码的英文缩写； 可以更加灵活地划分容纳主机数不等的子网；可以实现某些等长子网划分不能实现的情况，提高IP地址的利用率。
2.弗纳姆密码是一种古典加密算法；采用与消息串等长的密钥比特串，与明文串比特按比特异或得到密文；解密时也采用相同的方法。
3. PMI即权限管理基础设施或授权管理基础设施，是属性证书、属性权威、属性证书库等部件的集合体，用来实现授权和证书的产生、管理、存储、分发和撤销等功能。
4. DDoS是分布式拒绝服务（Distributed Denial of Service）的缩写，它通过木马控制许多Internet主机在不明情况下，同时向某个目标发起DoS攻击，导致目标主机不能正常工作或系统瘫痪。
5.CIDR是Classless Inter-Domain Routing（无类别域间路由）简称；将IP地址不再划分为不同的类别；不仅可以将一个大的网络划分为多个子网，也可以将若干个地址空间连续的小网归并为一个大网。
6. 就是一个程序，工作方式为C/S（ Client/server）方式；把server端悄悄地安装在被侵入端计算机；使用自己的Client端连接到远程的Server端，控制对方的计算机。
7. 攻击者不断向服务器的监听端口发送建立TCP连接的请求SYN数据包，但收到服务器的SYN包后却不回复ACK确认信息，每次操作都会使服务器端保留一个半开放的连接，当这些半开放连接填满服务器的连接队列时，服务器便不再接受任何连接请求，导致服务器不能为正常请求服务。
8. 是将明文划分为字符或其编码的基本单元；字符分别与密钥流作用进行加密，输出加密的秘文；解密时以同步产生的同样的密钥流实现。
9. 服务标识符SSID是无线接入点用于标识本地无线子网的标识符，如果一个客户端不知道服务区标识符，接入点就会拒绝该客户端对本地子网的访问，当客户端连接到接入点时，服务区标识符相当于一个简单的口令，起到一个安全防护作用。
10. 状态检测防火墙使用一种基于连接的状态检测机制，将属于同一连接的所有包作为一个数据流的整体看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，决定对流经防火墙的数据流采用规则定义的处理方法。
11.网关是本网段的数据传输出口的IP 地址；当通信的双方不在同一网段时，不可以直接通信，需要将数据帧发送给网关；网关通常就是路由器连接本网段端口的IP地址。
12. 多表密码也称多表移位密码；明文消息空间的每一个消息元素，可以被代换为密文消息空间的多个元素；将密钥循环与明文进行加密运算，由于同一个字符对应的密钥字符每次可能都不一样，因此得到的秘文也不相同。
13.SHA-2算法是（Secure Hash Algorithm）安全哈希算法的一种，包括SHA-256、SHA-384、SHA-512算法；该算法具有比MD算法更高的安全性。
14.蜜罐是在入侵检测系统中，为了引诱黑客前来攻击而故意设置的攻击目标陷阱，蜜罐的主要目的是收集和分析有威胁的信息；了解攻击者采用的攻击技术、方法手段，从而有针对的采取防范措施保护网络安全。
15. MPLS VPN是一种基于多协议标记交换（MPLS）技术的IP VPN，MPLS利用传统路由中的标记交换技术实现IP虚拟私有网络，MPLS主要发展方向的ATM技术，通常用于在ATM技术的网络中。
16. 维吉尼亚密码是典型的基于串的多表代换密码，密钥是由对于一个的字符所组成的串，令m为密钥长度，那么明文串被分为m个字符的小段，加密算法的运算统御密钥串和明文串的移位密码，每次的明文都使用重复的密钥串；解密算法也同于密码的解密运算。
17. 杂凑函数也称为哈希函数，它将任意长的消息映射为定长的杂凑值（消息摘要）的公开函数，以该杂凑值作为认证符，应用于消息认证过程中。
18. Ad hoc网络（自组织网络）是由一组带有无线网络接口的移动终端在没有固定网络设置辅助和集中管理的情况下搭建的临时性网络，Ad hoc网络具有自组织性、无中心性、动态拓扑、资源受限、多跳路由的特点。
19. VPN即虚拟私有（专用）网络，是指将物理上分布在不同地点的网络，通过公用网络通道连接，构成逻辑上的虚拟局域网络。它采用认证、访问控制、机密性、数据完整性等安全机制在公用网络上构建专用网络，使得数据通过安全的加密管道在公共网络中传输。
20. DIAMETER协议是为新业务开发的AAA协议，功能类似于RADIUS，但RADIUS是为拨号用户设计的，无法适用于新的业务发展。DIAMETER协议由基本协议和扩展协议两部分组成，具有轻量级而且易于实现、大的属性数据空间、支持同步的大量用户的请求和可靠的传输机制和错误恢复机制等特点。
21. DoS（Deinal of Service）拒绝服务攻击是过度使用服务，使软件、硬件过度运行，使网络连接超出其容量，导致服务器自动关机或系统瘫痪，或者降低服务质量通常不会造成文件删除或数据丢失。
22. 祖冲之密码算法是我国设计并发布的新一代宽带无线移动通信系统（LTE）国际标准，即4G国际标准；祖冲之密码包括：祖冲之密码算法、128-EEA3算法；128-EIA3算法。
23. PKI（Public Key Infrastructure公钥基础设施）是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。PKI最主要的任务是确立可信任的数字身份，这些身份可被用来和密码机制相结合，提供认证、授权或数字签名验证等服务。
24. IDS（Intrusion Detection System）入侵检测系统，所有能够执行入侵检测任务和实现入侵检测功能的系统，其中包括软件系统或软硬件结合的系统。入侵检测是对企图入侵、正在进行的入侵或已经发生的入侵行为进行识别的过程。
25. WAPI是我国自主研发、拥有自主知识产权的无线局域网安全技术标准，采用“无线局域网认证与保密基础架构（WAPI）”的安全协议。WAPI安全机制由实现用户身份认证的WAI和实现传输数据加密的WPI两部分组成。）
26. 安全隔离技术在确保有害攻击隔离在可信网络之外，并在保证可信网络内部信息不外泄的前提下，完成网络间信息的安全交换。
27. 报文认证是指在两个通信者之间建立通信联系之后，每个通信者对收到的信息进行验证，以保证所收到的信息是真实的一个过程。
28. 异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。
29. 伪系统蜜罐也是建立在真实系统的基础上的，但是它最大的特点就是“平台与漏洞非对称性”。优点是可以最大程度地防止被入侵者破坏，也能模拟不存在的漏洞。
30. 包过滤作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等来确定是否允许数据包通过(2分)。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。

五、简答题：
1. ⑴ SMTP是邮件发送使用的简单邮件传输协议，使用TCP协议的25号端口；
⑵ SMTP可以成为拒绝服务攻击的发源地，攻击者可以采用拒绝服务攻击阻止合法用户使用该邮件服务器；
⑶ SMTP的“开放中继功能”允许在任何人之间进行邮件传递，本邮箱就可能成为垃圾邮件的中转站，也可能成为攻击者的中转站；
⑷ 可以使用STMP认证和加密SMTP会话方法避免“开放中继功能”的存在。
2.⑴对输入分组进行固定的“初始置换”IP ，将各长为32bit的左、右半分组进行固定的置换；
⑵ 进行16轮的迭代运算，运算的方法是将上一轮的右半分组交换到左半分组，再将上一轮的左半分组与56bit密钥的48bit进行S盒函数运算，将结果作为右半分组；
⑶ 将16轮迭代后得到的结果输入到IP的逆置换来消除初始置换的影响，最后输出DES加密的结果。
3.⑴ 在向用户签发数字证书之前，CA首先要对证书的所有字段计算一个消息摘要（使用SHA-1或MD5等杂凑算法）；
⑵ 而后用CA私钥加密消息摘要（如采用RSA算法），构成CA数字签名；
⑶ CA将计算出的数字签名作为数字证书的最后一个字段插入，类似于护照上的印章与签名，该过程由密码运算程序自动完成。
4. ⑴ 统计异常检测方法；
⑵ 特征选择异常检测方法；
⑶ 基于贝叶斯推理异常检测方法；
⑷ 基于贝叶斯网络异常检测方法；
⑸ 基于模式预测异常检测方法
5. ⑴在发送端先把较长的报文划分成较短的、固定长度的数据段，并在每一个数据段前添加上含有地址等控制信息首部构成分组；
⑵分组交换网中路由器根据接收分组的首部中地址信息，把分组转发到下一个路由器，用这样的存储转发方式，分组被送到最终目的地；
⑶接收端收到分组后剥去首部，再把收到的数据恢复成原来的报文。
6. 子网掩码由一串“1”和一串“0”组成的32bit二进制数，“1”的部分对应于网络位部分，“0”的部分对应于主机位部分，用于与IP地址相与，获取IP地址中的网络号部分，用于判断通信的双方是否在同一网段，若在同一网段，则直接通信；若不在同一网段，则将数据包传递给网关
7. HTTP协议用于WEB服务的访问，使用TCP协议的80端口
HTTP协议使用明文进行传输，不提供任何方式的数据加密
攻击者可以使用网络嗅探工具获取网络传输的重要信息
攻击者可以轻易篡改传输数据，发动中间人攻击
使用HTTPS协议，在HTTP协议和TCP协议之间增加了安全套接层SSL及传输层安全协议TLS
8. ⑴接收方能够确认或证实发送发的签名，但不能伪造；
⑵发送方发送签名过的消息给接收方后，不能再否认所签发的消息；
⑶接收方对已经收到的签名消息不能否认；
⑷第三方可以确认收发双方之间的消息传递，但不能伪造这一过程。
9.⑴是对网络中两个相邻节点之间传输的数据进行加密保护；
⑵链路加密所有的信息在传输之前需要加密，每个节点首先对上一链路中接收到的消息进行解密，然后再使用下一链路的密钥对消息进行加密，并进行传输；
⑶在链路传输过程中数据是密文状态，是安全的，但在节点上需要解密后再加密，会出现明文状态，必须保证节点的安全性，否则会造成信息的泄漏。
10.⑴优点：简单易行
⑵缺点：可扩展性不好；没有提供安全机制，无法满足通信保密性要求；不支持构建企业外域网
⑶常见的2层隧道协议有PPTP、L2F、L2TP；
11. ⑴ DNS域名系统是一个分布式数据库系统，用来实现域名到IP地址之间的相互映射，使用TCP或UDP协议的53号端口；
⑵DNS协议的安全问题：DNS服务的备份服务器可使用“区转移”来获得域名空间中所属信息的完整备份，黑客也可以使用这种方式快速获得攻击目标列表，使用正、反向解析假冒主机或混淆域名和IP地址的对应关系。
防范措施：限制备份服务器的“区转移”功能的使用；使用DNSsec，对DNS记录进行数字签名，消除欺骗性DNS记录的可能性。
12. ⑴对称加密是指通行的双方使用的相同的密钥进行加密和解密；A和B使用共享密钥加密和解密数据，B接收的密文只能使用与A共享的密钥才能解密，密钥只有A和B共享，则发送密文的一定是A，因此，对称加密既具有保密性，又具有认证功能。
13. ⑴GSM标准仅考虑了移动设备与基站之间的安全问题，而基站与基站之间没有设置任何加密措施，信息的传输采用明文的方式；
⑵ 单个用户认证密码的长度不够长，抗攻击能力不强；
⑶ 单向身份认证，网络认证用户，但用户不认证网络，无法防止伪造基站和归属位置数据库（HLR）的攻击；
⑷缺乏数据完整性认证；
⑸ 蜂窝小区之间漫游时存在跨区切换，在此期间可能泄露用户的秘密信息；
⑹ 用户无法选择安全级别；
14. 基于概率统计的检测；基于神经网络的检测；基于专家系统的检测；基于模型推理的检测； 基于免疫的检测。
15. ⑴ 采用传输模式时，IPSec只对IP数据包的净荷进行加密或认证，此时封装数据包继续使用原来的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到原IP头部和传输层头部之间。
⑵ 采用隧道模式时，IPSec对整个IP数据包进行加密或认证，此时需要产生一个新的IP头，IPSec头被放在新产生的IP头和原IP数据包之间，从而组成一个新的IP头。
16. ⑴网络安全模型的组成部分由：消息的发送方、消息的接收方、安全变换、信息通道、可信的第三方、攻击者6个功能实体组成；
⑵信息的发送方也就是信源；信息的接收方就是信宿；信息通道就是信息传输的通道；安全变换是为了保证信息传输的安全进行的加密和解密等运算；攻击者是试图对网络信息攻击的实施者。
17. ⑴ 密码体制示意图

明文 密文 明文

消息信道

密钥信道

⑵ 语法定义的要素包括： 明文消息空间M、密文消息空间C、加密密钥空间K、有效的加密算法E、有效的解密算法D
18. ⑴ 节点加密是对网络中相邻节点之间传输的数据进行加密，链路上传输采用密文方式，在节点也存在解密和加密过程；
⑵ 但与链路加密不同的是，在节点上不存在明文，加密和解密在一个安全模块中进行，对用户是透明的，用户感觉不到它的存在，；
⑶ 节点加密要求报头和路由信息是明文形式传输，容易受业务流量分析攻击。
19. ⑴ 网络流量的跟踪与分析功能；已知攻击特征的识别功能；
⑵ 异常行为的分析、统计与响应功能； 特征库的在线和离线升级功能；数据文件完整性检查功能；
⑶ 自定义的响应功能；系统漏洞的预报警功能；IDS探测器集中管理功能。
20. ⑴无需安装客户端软件；适用于大多数设备；适用于大多是操作系统；
⑵支持网络驱动器访问； 不需要对远程设备或网络作任何改变；较强的资源控制能力；
⑶费用低且具有良好的安全性；可以绕过防火墙和代理服务器进行访问；
21. ⑴安全服务包含信息安全的方面为：认证、访问控制、数据保密性、数据完整性、不可否认性、可用性服务。
⑵认证用于保证通信的真实性；访问控制对网络、主机及相关服务访问的限制和控制；数据保密性保证传输信息不被泄露；
⑶数据完整性保证传输的数据没有被修改；不可否认性保证不能否认操作者对数据所做的操作；可用性服务保证提供正常的服务。
22. ⑴DHCP是动态主机配置协议，用于在网络中动态分配IP地址，使用UDP协议的 57和68号端口。
⑵DHCP协议的安全问题：DHCP服务器通常没有对查询消息进行认证，容易受到中间人攻击和拒绝服务攻击； 容易受到ARP欺骗攻击；假冒的DHCP服务器干扰正常DHCP服务器的工作。
⑶防范的措施：确保未经授权的人员没有对网络进行物理访问和无线访问的权限；未经授权的DHCP不可以为主机动态分配IP地址。
23. ⑴消息认证码又称MAC，它是一种认证技术，利用密钥来生成一个固定长度的短数据块，并将该数据块附加在消息之后，它是消息和密钥的函数。
⑵消息和MAC被一起发送给接收方，接收方对接收到的消息用相同的密钥进行相同的计算，得到新的MAC，并与接收到的MAC进行比较，
⑶因为只有收发双方知道密钥，如果计算得到的MAC与接收的MAC相等，则可以确认接收方收到的消息未被篡改，否则可以判定为已经被篡改；
24. ⑴基于代理的分布式协作入侵检测方案；
⑵动态协作的入侵检测方案；
⑶基于时间自动机的入侵检测算法；
⑷基于区域划分的入侵检测方案；
⑸基于人工免疫的入侵检测方案；
25. ⑴ 认证方式单一，只能采用单向的证书认证方式；适用局限在数据库-应用服务器-web服务器-浏览器模式；只对通信双方所适用的应用通道进行加密，并不对整个通道加密；
⑵ 不能对应用层的消息进行数字签名；不可以用于LAN –to –LAN的链接；加密级别没有IPSec VPN高；
⑶ 能保护HTTP协议创建的TCP通道安全，但不能保证UDP通道的安全；是应用层加密，性能比较差； 只能进行认证和加密，不能实施访问控制；必须要CA的支持。
26. 基于角色的访问控制机制是具有以下特点和优点：
（1）RABC将若干特定的用户集合和访问权限联结在一起，即与某种业务分工相关的授权联结在一起，这样的授权管理相对于针对个体的授权来说，可操作性和可管理性都要强得多。
（2）在许多存取控制型的系统中，是以用户组作为存取控制的单位的。
（3）与基于安全级别和类别纵向划分的安全控制机制相比，RABC显示了较多的机动灵活的优点。
27. OSI安全体系结构描述的6大类安全服务是：
(1) 访问控制服务。
(2) 数据保密服务。
(3) 数据完整性服务。
(4) 不可否认服务，又称抗抵赖服务。
(5) 对等实体鉴别服务和数据源点鉴别服务。
28.VPN服务包括拨号VPN、内部网VPN和外联网VPN。
(1) 拨号VPN。它是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑上虚拟网。
(2) 内部网VPN。即进行企业内部各分支机构的互联。内部网VPN通常使用IPSec协议来实现。
(3) 外联网VPN。是指企业同客户、合作伙伴的互联。
29. 代理服务也有一些缺点，主要表现在以下5个方面。
(1)代理服务落后于非代理服务。
(2)每个代理服务要求不同的服务器。
(3)代理服务一般要求对客户或程序进行修改。
(4)代理服务对某些服务来说是不合适的。
(5)代理服务不能保护用户不受协议本身缺点的限制。
30. 制定包过滤规则时应注意以下事项：
（1）联机编辑过滤规则。
（2）要用IP地址值，而不用主机名。这样可以防止有人有意或无意地破坏名字，这是使用地址翻译器后带来的麻烦。
（3）规则文件生成后，先要将老的规则文件消除，然后再将新的规则文件装入，这样就可以避免出现新的规则集与老规则集产生冲突。
六、论述题：
1. ⑴ PKI包含的模块有：CA也称数字证书认证中心、注册机构、证书发布库、密钥备份与恢复、证书撤销、PKI应用接口模块。（2分）
⑵ CA也称数字证书认证中心，作为具有权威性、公正性的第三方可信任机构，是PKI体系的核心构件，负责发放和管理数字证书；（1.5分）
⑶ 注册机构：RA也称注册中心，是数字证书注册审批机构，是认证中心的延伸，与CA在逻辑上是一个整体，执行不同的功能；（1.5分）
⑷ 证书发布库，也称证书库，集中存放CA颁发证书和证书撤销列表，证书库是网上可供公众进行开放式查询的公共信息库；（1.5分）
⑸ 密钥备份与恢复，针对用户密钥丢失的情形，KPI提供密钥备份与恢复机制；（1分）
⑹ 证书撤销，证书由于某些原因需要作废时，PKI需要使用一种方法警告其它用户不要在使用该用户的公钥证书，这种警告机制称为证书撤销机制；（1.5分）
⑺ PKI应用接口，为各种应用提供安全、一致、可信的方式与PKI交换，确保安全网络环境的完整性和易用性。（1分）
2. ⑴ 静态包过滤防火墙采用一组过滤规则，对每个数据包进行检查，然后根据检查结果确定转发、拒绝还是丢弃该数据包，这种防火墙从内网到外网和从外网到内网两个方向的数据包进行过滤，其过滤规则基于IP与TCP/UDP数据包头中的几个字段内容。（2分）
⑵ 静态包过滤防火墙的安全性：
包过滤器仅检查数据的IP头和TCP/UDP头，无法区分IP地址的真实性，对伪造IP地址的数据包只要符合过滤规则，也允许通过；（2分）
静态包过滤防火墙容易受到IP地址欺骗的攻击和“隐信道攻击”；（2分）
⑶ 静态包过滤防火墙的优点
对网络性能影响较小； 成本低。 （2分）
⑷ 静态包过滤防火墙的缺点
安全性较低； 缺少状态感知能力；容易受到IP欺骗攻击；创建访问控制规则比较困难。（2分）
3. ⑴DDoS（Distributed Denial of Service）分布式拒绝服务，使用很多Internet主机，同时向某个目标发起DoS攻击，通常参与攻击的主机受到恶意控制，在不明情况下参与攻击；(2分)
⑵黑客通过Internet将木马程序植入尽可能多的计算机上，这些计算机分布在Internet上的不同位置，被植入的木马程序绑定在计算机的某个端口上，等待攻击命令；(2分)
⑶攻击者在Internet的某个主机安装一个主控程序，该主控程序中包含一个木马程序所处位置的列表，然后主控程序等待黑客发出命令；(2分)
⑷攻击者等待时机，做好攻击命令前的准备等攻击时机一到，攻击者向主控程序发出消息，指定攻击目标的地址，主控程序在向各个被控制的攻击主机发出指定攻击目标地址的攻击指令；(2分)
⑸受控制的主机木马程序立即向攻击目标发送大量的数据包，由于这些数据包的数量巨大，足以瘫痪目标主机。(2分)
4.⑴电路级网关又称线路级网关，电路级网关工作在会话层，它除了进行基本的包过滤检查外，还用增加对连接建立过程中的握手信息及序列号合法性的验证；（3分）
⑵在可信客户机与不可信主机之间进行TCP握手通信时，仅当SYN标志、ACK标志及序列号符合逻辑时，电路级网关才判断该会话是合法的；（2分）
⑶如果会话是合法的，包过滤器就开始对规则进行逐条扫描，直到发现其中一条规则与数据包中的有关信息一致，并将数据包的IP头和TCP头与管理员定义的规则表相比较，以确定防火墙是将数据包丢弃还是让数据包通过；（2分）
⑷电路级网关在其自身与远程主机之间建立一个新的连接，而这一切对内网中的用户来说是完全透明的，内网用户不会意识到这些，电路级网关将数据包的源地址改为自己的IP地址，外部网络中的主机也不会知道内部主机的IP地址。（3分）

1. ⑴应用及防火墙也称应用级网关，它只对特定服务的数据流进行过滤，因此必须为特定的应用服务编写特定的代理程序，这些程序称为服务代理，在网关内部分别扮演客户机代理和服务器代理的角色，当这种类型的应用服务通过网关时，它们必须经过客户机代理和服务器代理的过滤。（3分）
   ⑵应用级网关的工作原理：应用级网关截获进出网络的数据包，运行代理程序来回复制和传递通过网关的信息，起着代理服务器的作用，它可以避免内网中的可信服务器或客户机与外网中某个不可信主机之间的直接连接。（3分）
   ⑶应用级网关的优点：在已有的安全模型中安全性较高； 具有强大的认证功能； 具有超强的日志功能；规则配置比较简单。（2分）
   ⑷应用级网关的缺点：灵活性很差；配置复杂；性能不高。（2分）
   6. ⑴ DES是分组密码，其中的消息被分成定长的数据分组，每一份组称为明文空间或密文空间的一个消息。（2分）
   ⑵ DES加密和解密算法输入64bit明文（加密）或密文（解密）消息和56bit的密钥，输出64bit的密文（加密）或明文（解密）。（2分）
   运算可描述为以下3步：
   ⑶ 对输入分组在分成32bit的左右半分组，再进行固定的“初识置换”IP；（2分）
   ⑷ 对置换过的消息分左右半分组进行16轮相同的迭代运算，上一轮的有半分组直接作为本轮的左半分组，上一轮的左半分组与本轮56bit密钥中的48bit子串进行S盒函数运算，结果作为本轮的右半分组（2分）
   ⑸ 将经过16轮迭代的得到的结果输入到IP的逆置换来消除初始置换的影响，输出DES算法结果（2分）
   7. 目前针对TCP协议的攻击可以分为三类：
   ⑴建立连接阶段的三次握手过程的SYN FLOOD攻击：攻击者不断向服务器的监听端口发送建立TCP连接的请求SYN数据包，但收到服务器的SYN包后却不回复ACK确认信息，每次操作都会使服务器端保留一个半开放的连接，当这些半开放连接填满服务器的连接队列时，服务器便不再接受任何连接请求，导致服务器不能为正常请求服务。（2）
   防范的措施：在服务器的前端网络设备上设置对SYN FLOOD攻击数据包的过滤。（1分）
   ⑵针对TCP协议部队数据包进行加密和认证的漏洞，进行会话劫持攻击。攻击者伪造发送序列号，截取通信的数据包，修改后再重放，伪造正常通信者的身份，达到劫持会话的目的。（2分）
   防范的措施：在TCP建立连接时采用随机数作为初始序列号，规避攻击者对序列号的猜测。（1分）
   ⑶针对TCP协议拥塞控制机制的特点，攻击者降低拥塞窗口大小来降低发送窗口的大小，达到降低正常数据传输能力的目的。（2分）
   防范的措施：管理员经常实时监控，发现拥塞点及时解决问题。（2分）
   8.⑴SMTP协议的安全问题
   SMTP协议是邮件发送使用的简单邮件传输协议，使用TCP协议的25号端口。（1分）
   SMTP可以成为拒绝服务攻击的发源地，攻击者可以采用拒绝服务攻击阻止合法用户使用该邮件服务器；（1分）开放中继功能允许在任何人之间进行邮件传递，本邮箱就可能成为垃圾邮件的中转站，也可能成为攻击者的中转站。（2分）
   防范方法：使用STMP认证和加密SMTP会话方法（1分）
   ⑵POP3协议的安全问题
   POP3协议是邮局协议第3版本，用于接收邮件的协议；POP3协议使用TCP协议的110号端口。（1分）
   邮箱的用户账户和口令采用明文方式传递，容易被攻击者窃取。（1分）
   防范措施：客户端使用APOP命令来接收邮件，APOP基于口令认证中常用的“挑战/响应”机制，对用户名和口令进行加密，以安全地传输用户口令，（2分）但APOP不对邮件内容进行保护，容易泄密，可以利用SSL/TLS协议对传输内容进行加密，保证邮件内容的安全。（1分）
   9. RSA密码体制是一种非对称（公钥）加密体制，主要的加密步骤为：
   ⑴ 独立选取两个大素数p1和P2，计算n=p1*p2；（2分）
   ⑵ 其欧拉函数值为：φ(n)=(p1-1)(p2-1)；（2分）
   ⑶ 随机选一整数e，要求1<=e<φ(n)，且(φ(n),e)=1，则e有逆元d；（2分）
   ⑷ d=e-1modφ(n)；（2分）
   ⑸ 则公钥取值为：（n,e），私钥为d；（2分）
   10. ⑴ UDP协议是非面向连接的不可靠传输协议； （1分）该协议发送数据前不需要创建连接，减少了开销和时延； 不使用拥塞控制，减少了复杂度；首部只有8个字节，额外开销小； 网络拥塞时不会降低源主机的发送速率。（3分）
   ⑵针对UDP协议的攻击有：DoS攻击是最常见的UDP攻击，（1分）UDP Flood攻击是DoS攻击中最普遍的流量型攻击，攻击源发送大量的UDP小包到攻击目标，使其忙于处理回应UDP报文，占用大量系统资源，导致目标设备不能提供正常服务或者直接死机，是一种消耗攻击目标资源，同时也消耗自身资源的攻击方法。（2 分）
   ⑶防范UDP攻击的方法有：根据攻击包大小，设定包碎片重组大小；根据业务UDP最大包长，设置UDP最大包长，过滤异常流量；与TCP协议结合使用提高安全。（3分）
   11. 实现访问的控制不仅是保证授权用户使用的权限与其所拥有的权限对应，制止非授权用户的非授权行为，还要保证敏感信息的交叉感染。 (2分)
   下面以文件的访问控制为例对访问控制的实现做具体说明。
   (1) 访问控制表。这是以文件为中心建立的访问权限表。大多数PC、服务器和主机都使用访问控制表作为访问控制的实现机制。 (2分)
   (2) 访问控制矩阵，这是通过矩阵形式表示访问控制规则和授权用户权限的方法。(2分)
   (3) 能力。访问控制能力表是以用户为中心建立访问权限表。 (2分)
   (4) 安全标签。这是限制和附属在主体或客体上的一组安全属性信息。 (2分)
   12. 入侵检测一般分为3个步骤，依次为信息收集、数据分析、响应。 (2分)
   入侵检测的第一步是信息收集，入侵检测利用的信息一般来自以下4个方面
   (1) 系统和网络日志文件。 (1分)
   (2) 目录和文件中的不期望的改变。(1分)
   (3) 程序执行中的不期望行为。 (1分)
   (4) 物理形式的入侵信息。 (1分)
   数据分析是入侵检测的核心，一般通过3种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前2种方法用于实时的入侵检测，而完整性分析则用于事后分析。(2分)
   入侵检测系统发现入侵后会及时做出响应，包括切断网络连接、记录事件和报警等。响应一般分主动响应和被动响应两种类型。(2分)