第5章 网络安全 《计算机网络技术与应用》 （电工版第四版） 章节过关卷

第5章 网络安全 《计算机网络技术与应用》 章节过关卷（解析版） 考试时间：60分钟 满分：100分 班级________ 姓名________ 学号________ 成绩________ 一、单选题（本题共25道小题，每题2分，共50分） 1. FCAPS网络管理模型中，F代表（ ）。 A. 故障管理 B. 配置管理 C. 性能管理 D. 财务管理 【答案】A 【解析】FCAPS是ISO定义的五大网络管理功能：Fault（故障）、Configuration（配置）、Accounting（计费）、Performance（性能）、Security（安全）。 2. 在信息安全中，CIA三要素指的是（ ）。 A. 保密性、一致性、可审计性 B. 机密性、完整性、可用性 C. 隐蔽性、完整性、匿名性 D. 机密性、标识性、可访问性 【答案】B 【解析】CIA三要素：Confidentiality（机密性，防止信息泄露）、Integrity（完整性，防止信息被篡改）、Availability（可用性，确保授权用户及时访问）。 3. SNMP协议中，管理信息库的缩写是（ ）。 A. CIB B. SIB C. MIB D. LIB 【答案】C 【解析】MIB（Management Information Base）是SNMP管理的对象集合，以树形结构组织，每个管理对象有唯一的OID标识。SNMP通过读写MIB中的数据来管理网络设备。 4. 以下关于对称加密的描述，正确的是（ ）。 A. 只能用于数字签名 B. 加密和解密使用不同的密钥对 C. 加密密钥公开，解密密钥保密 D. 加密和解密使用相同的密钥 【答案】D 【解析】对称加密使用同一密钥进行加密和解密，优点是速度快，适合大量数据加密；缺点是密钥分发困难。代表算法有DES、AES。 5. 以下哪种攻击属于被动攻击（ ）。 A. 窃听 B. 篡改 C. 拒绝服务 D. 重放攻击 【答案】A 【解析】被动攻击仅监听和获取信息内容或流量特征，不改变系统数据（如窃听、流量分析）。主动攻击会篡改、伪造或破坏数据（如篡改、DoS、重放）。 6. RSA加密算法的安全性基于（ ）。 A. 离散对数问题 B. 大整数分解的数学困难性 C. 椭圆曲线离散对数问题 D. 对称密钥的保密性 【答案】B 【解析】RSA的安全性依赖于大整数质因数分解的困难性：已知两个大素数p和q求乘积n很容易，但从n推导p和q在计算上不可行。 7. 以下关于防火墙的描述，错误的是（ ）。 A. 防火墙能完全防止内部攻击 B. 防火墙可过滤进出网络的数据包 C. 防火墙可实现NAT功能 D. 防火墙可记录网络访问日志 【答案】A 【解析】防火墙是网络边界防护设备，主要防御外部威胁，对来自网络内部的攻击（如内部人员恶意行为、病毒感染后的主动外联）防护能力有限。 8. 数字签名的主要作用是（ ）。 A. 证明消息来源的真实性和消息的完整性 B. 对消息进行加密以保密 C. 提高数据传输速率 D. 防止DDoS攻击 【答案】A 【解析】数字签名用发送方私钥加密消息摘要，接收方用发送方公钥解密验证，实现了不可否认性（来源认证）和完整性校验，但本身不保证消息的机密性。 9. PKI中负责签发和管理数字证书的权威机构是（ ）。 A. EA B. RA C. AA D. CA 【答案】D 【解析】CA（Certification Authority，证书认证机构）是PKI的核心，负责颁发、更新、撤销数字证书，验证证书持有者身份。RA（注册机构）辅助CA处理用户注册。 10. 以下关于DMZ的描述，正确的是（ ）。 A. DMZ是位于内部网络和外部网络之间的隔离区域 B. DMZ是防火墙的别名 C. DMZ中的服务器可直接访问内部核心数据库 D. DMZ只能用一台防火墙实现 【答案】A 【解析】DMZ（Demilitarized Zone，非军事区）是防火墙之间的缓冲区域，放置对外提供公共服务的服务器（如Web、邮件服务器），将内部网络隔离开，即使DMZ被攻破内部网络仍受保护。 11. AES加密算法的密钥长度不包括（ ）。 A. 56位 B. 128位 C. 192位 D. 256位 【答案】A 【解析】AES支持128位、192位和256位三种密钥长度。56位是DES的密钥长度（现已不安全）。AES-128是最常用的商用加密标准。 12. 以下关于NAT的描述，错误的是（ ）。 A. NAT可隐藏内部网络结构 B. NAT可将私有地址转换为公网地址 C. NAT只能实现一对一地址转换 D. PAT允许多个内部地址共享一个公网地址 【答案】C 【解析】NAT有静态NAT（一对一）、动态NAT（地址池多对多）和PAT/NAPT（端口地址转换，多对一）三种形式。A选项错误地将NAT局限为一对一。 13. 包过滤防火墙工作在OSI模型的（ ）。 A. 表示层 B. 应用层 C. 物理层 D. 网络层和运输层 【答案】D 【解析】包过滤防火墙根据IP包头（源/目的IP、协议类型）和TCP/UDP头（端口号）信息进行过滤，工作在网络层和运输层。应用代理防火墙工作在应用层。 14. 以下何种技术可实现HTTP协议的数据加密传输（ ）。 A. TLS/SSL B. IPSec C. SNMPv3 D. WPA2 【答案】A 【解析】TLS（运输层安全协议）/SSL（安全套接层）工作在运输层之上，可对HTTP等应用层协议数据进行加密传输（即HTTPS）。IPSec是网络层安全协议。 15. DoS攻击的基本原理是（ ）。 A. 向目标发送大量请求耗尽系统资源，使合法用户无法获得服务 B. 窃取目标系统的机密数据 C. 篡改目标系统上的文件内容 D. 伪装成合法用户登录目标系统 【答案】A 【解析】DoS攻击旨在通过发送大量伪造或合法请求占用目标系统资源（带宽、CPU、内存、连接），使其无法正常响应合法用户的请求。DDoS是分布式DoS。 16. 以下哪项不属于网络安全管理中ACL的常见配置要素（ ）。 A. 协议类型和端口号 B. 源IP地址 C. 目的IP地址 D. MAC地址老化时间 【答案】D 【解析】ACL（访问控制列表）通常包含：源/目的IP、协议类型（TCP/UDP/ICMP等）、端口号、动作（permit/deny）。MAC地址老化是交换机的功能，不属于ACL配置。 17. 数字证书中不包含的信息是（ ）。 A. 证书颁发机构的数字签名 B. 证书所有者的公钥 C. 用户的对称加密密钥 D. 证书有效期 【答案】C 【解析】数字证书包含：所有者公钥、所有者身份信息、CA的数字签名（用CA私钥加密的摘要）、证书有效期、序列号等。对称加密密钥不由证书承载。 18. 状态检测防火墙区别于包过滤防火墙的关键技术是（ ）。 A. 检查IP地址和端口号 B. 维护连接状态表，跟踪TCP连接状态 C. 工作在应用层解析协议内容 D. 使用数字证书进行身份认证 【答案】B 【解析】状态检测防火墙维护连接状态表，跟踪每个TCP/UDP会话的状态（如TCP三次握手阶段），只允许符合合法会话状态的数据包通过。纯包过滤不维护状态。 19. 以下关于网络攻击中重放攻击的描述，正确的是（ ）。 A. 截获合法通信数据后重新发送以欺骗系统 B. 通过暴力破解获取用户口令 C. 修改传输中的数据内容 D. 向系统植入恶意代码 【答案】A 【解析】重放攻击（Replay Attack）是攻击者截获合法的通信消息（如认证令牌），然后重新发送以冒充合法用户。防止方法包括使用时间戳、随机数（Nonce）、序列号。 20. IPSec协议族中，AH协议提供的主要安全功能是（ ）。 A. 访问控制 B. 数据加密 C. 密钥交换 D. 数据源认证和数据完整性校验 【答案】D 【解析】AH（Authentication Header，认证头）提供数据源认证、数据完整性校验和抗重放保护，但不提供加密。ESP封装安全载荷同时提供加密和可选择认证。 21. 以下哪种加密算法属于非对称加密（ ）。 A. RSA B. AES C. DES D. 3DES 【答案】A 【解析】RSA是非对称加密（公钥加密）的典型代表，采用公钥和私钥密钥对。AES、DES、3DES均为对称加密算法，使用单密钥。 22. 在网络管理中，性能管理的核心任务是（ ）。 A. 记录用户使用情况并计费 B. 检测并修复网络故障 C. 管理用户账户和权限 D. 监测网络运行状态和性能指标并优化网络资源使用 【答案】D 【解析】性能管理收集和分析网络性能数据（如吞吐量、响应时间、错误率、利用率），进行容量规划和性能优化。 23. 以下关于VPN的描述，不正确的是（ ）。 A. VPN可替代昂贵的专线连接 B. VPN可在公共网络上建立加密的私有通道 C. VPN可基于IPSec或SSL/TLS实现 D. VPN只能通过专用线路实现 【答案】D 【解析】VPN（虚拟专用网）在公共网络基础设施上通过隧道技术和加密协议建立安全的私有连接，不需要专用的物理线路。PPTP、L2TP/IPSec、SSL VPN是常见实现方式。 24. 在ACL规则中，deny tcp any host 192.168.1.1 eq 80的含义是（ ）。 A. 禁止任何主机访问192.168.1.1的HTTP服务 B. 允许任何主机访问192.168.1.1的所有服务 C. 禁止192.168.1.1访问Internet D. 禁止通过TCP协议传输任何数据 【答案】A 【解析】该ACL规则含义：deny（拒绝）tcp协议，源any（任意地址），目的host 192.168.1.1，eq 80（端口80=HTTP）。即阻止任何源访问目的主机的Web服务。 25. 高级持续性威胁的英文缩写是（ ）。 A. DDoS B. APT C. XSS D. CSRF 【答案】B 【解析】APT（Advanced Persistent Threat，高级持续性威胁）是特定组织针对特定目标发起的持续性、隐蔽性网络攻击，通常有明确政治或经济目的。 二、填空题（本题共10道小题，每题2分，共20分） 26. ISO定义的网络管理五大功能FCAPS中，S代表__________管理。 【答案】安全/Security 【解析】FCAPS分别为：Fault（故障）、Configuration（配置）、Accounting（计费）、Performance（性能）、Security（安全）。 27. SNMP协议使用__________建立管理站与代理之间的通信关系。 【答案】共同体/Community String/团体字 【解析】SNMPv1/v2c使用团体字（Community String）作为简单的认证机制，类似于口令，分为只读和读写两种权限。 28. 对称加密算法中，目前公认最安全且被广泛采用的是__________算法。 【答案】AES/高级加密标准 【解析】AES（Advanced Encryption Standard）由NIST于2001年发布，替代DES成为新的对称加密标准，支持128/192/256位密钥。 29. DoS和DDoS的主要区别在于DDoS利用了__________台主机同时发起攻击。 【答案】多/成百上千/僵尸网络 【解析】DOS是单机发起，DDoS是分布式拒绝服务，利用控制的僵尸网络成百上千台主机从不同位置同时攻击，威力更大且难防御。 30. 在PKI体系中，__________机构负责颁发和管理数字证书。 【答案】CA/证书认证 【解析】CA（Certificate Authority）是PKI中可信任的第三方，验证实体身份后签发数字证书，证书中包含公钥、身份信息及CA的数字签名。 31. 防火墙按实现技术可分为包过滤防火墙、__________防火墙和代理防火墙。 【答案】状态检测/Stateful Inspection 【解析】状态检测防火墙结合了包过滤的高效性和代理防火墙的安全性，维护连接状态表跟踪会话状态。 32. 将内部网络的私有IP地址映射为公网IP地址的技术称为__________。 【答案】NAT/网络地址转换 【解析】NAT将内部私有地址在出口处转换为公网地址，实现内部网络访问Internet，同时隐藏内部网络结构。 33. 数字签名使用发送方的__________密钥对消息摘要进行加密，接收方用发送方公钥解密验证。 【答案】私/私有 【解析】数字签名流程：发送方用哈希函数计算消息摘要，用自己私钥加密摘要生成签名，附加在消息后发送。接收方用发送方公钥解密签名获取摘要，对比自己计算的摘要。 34. SNMP的GET操作中，管理站通过指定对象的__________从代理获取相应的管理信息。 【答案】OID/对象标识符 【解析】OID（Object Identifier）是MIB树中每个管理对象的唯一编号路径，如系统描述符OID为1.3.6.1.2.1.1.1.0。 35. 在网络设备管理中，__________协议用于远程登录和管理网络设备。 【答案】SSH/安全外壳 【解析】SSH（Secure Shell）提供加密的远程登录和管理功能，替代不安全的Telnet。SSHv2使用RSA/DSA认证和对称加密保护通信。 三、简答题（本题共5道小题，每题6分，共30分） 36. 对比分析对称加密与非对称加密的原理、优缺点及典型应用场景。 【答案】对称加密：加密和解密使用相同的单个密钥。优点——加解密速度快（比非对称快100~1000倍）、适合大数据量加密；缺点——密钥分发困难（需安全信道传递密钥）、密钥管理复杂（N个用户需N(N-1)/2个密钥）、无法实现数字签名。代表算法：DES、3DES、AES。应用场景：数据传输加密（VPN隧道）、文件加密、数据库加密。非对称加密：使用公私钥对，公钥加密只能用私钥解密，私钥加密只能用公钥解密。优点——密钥分发简单（公钥可公开）、支持数字签名和身份认证；缺点——运算速度慢，不适合大数据加密。代表算法：RSA、ECC、DSA。应用场景：数字签名、数字证书、密钥协商（用非对称加密传输对称密钥，然后用对称加密传输数据，即混合加密体系如SSL/TLS）。 37. 阐述数字签名的工作原理，并说明数字签名为何能满足不可否认性。 【答案】数字签名工作原理：①发送方用哈希算法（如SHA-256）计算消息的固定长度摘要；②发送方用自己的私钥对摘要加密，生成数字签名；③将消息原文和数字签名一起发送给接收方；④接收方对收到的消息用同样哈希算法计算摘要A；⑤接收方用发送方的公钥解密数字签名得到摘要B；⑥比较摘要A和摘要B，一致则验证通过（消息完整且来源真实）。数字签名实现不可否认性的原因：①签名只能用发送方私钥生成（私钥仅发送方持有，具有唯一性）；②CA验证了公钥与发送方身份的绑定关系；③任何人都可以用发送方公钥验证签名的正确性但无法伪造。因此发送方无法否认这条消息是我签名的。 38. 解释防火墙的三种主要技术类型，并比较它们的安全性和性能。 【答案】包过滤防火墙：根据IP包头和TCP/UDP头信息（地址、端口、协议）逐包检查决定是否放行。优点：速度快、对用户透明；缺点：不能理解应用层协议、不支持状态跟踪、难以防御IP欺骗。状态检测防火墙：在包过滤基础上维护连接状态表，跟踪TCP连接建立和拆除过程。优点：动态规则更安全、性能较好、支持多通道协议（如FTP）；缺点：需维护状态表消耗资源、对应用层攻击防护有限。应用代理防火墙（应用网关）：在应用层解析协议内容，充当客户端和服务器之间的中介。优点：深度检测应用数据、屏蔽内部网络细节、可做内容过滤和日志审计；缺点：处理时延大、每种应用需单独代理、可能不支持新协议。实际部署中通常采用多层混合架构。 39. 简述SNMP网络管理模型的基本组成及各部分功能。 【答案】SNMP网络管理模型由四部分组成：①管理站（Manager/NMS）——运行网管软件的计算机，向代理发送查询和设置请求，接收代理的Trap告警，提供可视化管理界面和报告；②代理（Agent）——运行在被管设备上的SNMP进程，响应管理站的GET/SET请求，在发生指定事件时主动向管理站发送Trap；③管理信息库（MIB）——被管对象的集合数据库，以树形结构组织（OID树），定义了可查询和设置的管理变量（如设备名称、接口状态、流量计数器）；④SNMP协议——管理站和代理之间的通信协议，定义GetRequest、GetNextRequest、SetRequest、Trap等操作类型。管理站通过轮询（Polling）和Trap相结合的方式实现网络设备监控。 40. 试述DMZ的部署原则及其在企业网络安全架构中的作用。 【答案】DMZ部署原则：①位于内外防火墙之间（或单防火墙的三接口模式），形成独立安全区域；②放置对外提供服务的服务器（Web服务器、邮件服务器、DNS服务器等）；③DMZ与内部网络的通信受到严格控制（仅开放必要端口）；④DMZ与外部网络的访问权限根据服务需求精确配置。作用：①纵深防御——攻击者即使攻破DMZ服务器，仍有内层防火墙保护核心网络；②安全隔离——外部用户不直接访问内部网络，降低内部信息泄露风险；③集中控制——所有外部访问经过DMZ，统一监控和管理；④减轻攻击面——只将需要的服务暴露在公网。典型拓扑：Internet—外层防火墙—DMZ（Web/Mail/DNS服务器）—内层防火墙—内部网络（数据库/应用服务器）。 原创精品资源学科网独家享有版权，侵权必究！ 学科网（北京）股份有限公司 学科网（北京）股份有限公司 $ 第5章 网络安全 《计算机网络技术与应用》 章节过关卷（解析版） 考试时间：60分钟 满分：100分 班级________ 姓名________ 学号________ 成绩________ 一、单选题（本题共25道小题，每题2分，共50分） 1. FCAPS网络管理模型中，F代表（ ）。 A. 故障管理 B. 配置管理 C. 性能管理 D. 财务管理 2. 在信息安全中，CIA三要素指的是（ ）。 A. 保密性、一致性、可审计性 B. 机密性、完整性、可用性 C. 隐蔽性、完整性、匿名性 D. 机密性、标识性、可访问性 3. SNMP协议中，管理信息库的缩写是（ ）。 A. CIB B. SIB C. MIB D. LIB 4. 以下关于对称加密的描述，正确的是（ ）。 A. 只能用于数字签名 B. 加密和解密使用不同的密钥对 C. 加密密钥公开，解密密钥保密 D. 加密和解密使用相同的密钥 5. 以下哪种攻击属于被动攻击（ ）。 A. 窃听 B. 篡改 C. 拒绝服务 D. 重放攻击 6. RSA加密算法的安全性基于（ ）。 A. 离散对数问题 B. 大整数分解的数学困难性 C. 椭圆曲线离散对数问题 D. 对称密钥的保密性 7. 以下关于防火墙的描述，错误的是（ ）。 A. 防火墙能完全防止内部攻击 B. 防火墙可过滤进出网络的数据包 C. 防火墙可实现NAT功能 D. 防火墙可记录网络访问日志 8. 数字签名的主要作用是（ ）。 A. 证明消息来源的真实性和消息的完整性 B. 对消息进行加密以保密 C. 提高数据传输速率 D. 防止DDoS攻击 9. PKI中负责签发和管理数字证书的权威机构是（ ）。 A. EA B. RA C. AA D. CA 10. 以下关于DMZ的描述，正确的是（ ）。 A. DMZ是位于内部网络和外部网络之间的隔离区域 B. DMZ是防火墙的别名 C. DMZ中的服务器可直接访问内部核心数据库 D. DMZ只能用一台防火墙实现 11. AES加密算法的密钥长度不包括（ ）。 A. 56位 B. 128位 C. 192位 D. 256位 12. 以下关于NAT的描述，错误的是（ ）。 A. NAT可隐藏内部网络结构 B. NAT可将私有地址转换为公网地址 C. NAT只能实现一对一地址转换 D. PAT允许多个内部地址共享一个公网地址 13. 包过滤防火墙工作在OSI模型的（ ）。 A. 表示层 B. 应用层 C. 物理层 D. 网络层和运输层 14. 以下何种技术可实现HTTP协议的数据加密传输（ ）。 A. TLS/SSL B. IPSec C. SNMPv3 D. WPA2 15. DoS攻击的基本原理是（ ）。 A. 向目标发送大量请求耗尽系统资源，使合法用户无法获得服务 B. 窃取目标系统的机密数据 C. 篡改目标系统上的文件内容 D. 伪装成合法用户登录目标系统 16. 以下哪项不属于网络安全管理中ACL的常见配置要素（ ）。 A. 协议类型和端口号 B. 源IP地址 C. 目的IP地址 D. MAC地址老化时间 17. 数字证书中不包含的信息是（ ）。 A. 证书颁发机构的数字签名 B. 证书所有者的公钥 C. 用户的对称加密密钥 D. 证书有效期 18. 状态检测防火墙区别于包过滤防火墙的关键技术是（ ）。 A. 检查IP地址和端口号 B. 维护连接状态表，跟踪TCP连接状态 C. 工作在应用层解析协议内容 D. 使用数字证书进行身份认证 19. 以下关于网络攻击中重放攻击的描述，正确的是（ ）。 A. 截获合法通信数据后重新发送以欺骗系统 B. 通过暴力破解获取用户口令 C. 修改传输中的数据内容 D. 向系统植入恶意代码 20. IPSec协议族中，AH协议提供的主要安全功能是（ ）。 A. 访问控制 B. 数据加密 C. 密钥交换 D. 数据源认证和数据完整性校验 21. 以下哪种加密算法属于非对称加密（ ）。 A. RSA B. AES C. DES D. 3DES 22. 在网络管理中，性能管理的核心任务是（ ）。 A. 记录用户使用情况并计费 B. 检测并修复网络故障 C. 管理用户账户和权限 D. 监测网络运行状态和性能指标并优化网络资源使用23. 以下关于VPN的描述，不正确的是（ ）。 A. VPN可替代昂贵的专线连接 B. VPN可在公共网络上建立加密的私有通道 C. VPN可基于IPSec或SSL/TLS实现 D. VPN只能通过专用线路实现 24. 在ACL规则中，deny tcp any host 192.168.1.1 eq 80的含义是（ ）。 A. 禁止任何主机访问192.168.1.1的HTTP服务 B. 允许任何主机访问192.168.1.1的所有服务 C. 禁止192.168.1.1访问Internet D. 禁止通过TCP协议传输任何数据 25. 高级持续性威胁的英文缩写是（ ）。 A. DDoS B. APT C. XSS D. CSRF 二、填空题（本题共10道小题，每题2分，共20分） 26. ISO定义的网络管理五大功能FCAPS中，S代表__________管理。 27. SNMP协议使用__________建立管理站与代理之间的通信关系。 28. 对称加密算法中，目前公认最安全且被广泛采用的是__________算法。 29. DoS和DDoS的主要区别在于DDoS利用了__________台主机同时发起攻击。 30. 在PKI体系中，__________机构负责颁发和管理数字证书。 31. 防火墙按实现技术可分为包过滤防火墙、__________防火墙和代理防火墙。 32. 将内部网络的私有IP地址映射为公网IP地址的技术称为__________。 33. 数字签名使用发送方的__________密钥对消息摘要进行加密，接收方用发送方公钥解密验证。 34. SNMP的GET操作中，管理站通过指定对象的__________从代理获取相应的管理信息。 35. 在网络设备管理中，__________协议用于远程登录和管理网络设备。 三、简答题（本题共5道小题，每题6分，共30分） 36. 对比分析对称加密与非对称加密的原理、优缺点及典型应用场景。 37. 阐述数字签名的工作原理，并说明数字签名为何能满足不可否认性。 38. 解释防火墙的三种主要技术类型，并比较它们的安全性和性能。 39. 简述SNMP网络管理模型的基本组成及各部分功能。 40. 试述DMZ的部署原则及其在企业网络安全架构中的作用。 原创精品资源学科网独家享有版权，侵权必究！ 学科网（北京）股份有限公司 学科网（北京）股份有限公司 $