物理与网络通信安全.docx

1、物理与网络通信安全物理与网络通信安全1、随着“互联网”概念的普及，越来越多的新兴住宅小区引入了“智能楼宇”的理念，某物业为提供高档次的服务，防止网络主线路出现故障，保证小区内网络服务的可用，稳定、高效，计划通过网络冗余配置的是（） A、接入互联网时，同时采用不同电信运营商线路，相互备份且互不影响。B、核心层、汇聚层的设备和重要的接入层设备均应双机设备。(正确答案)C、规划网络 IP 地址，制定网络 IP 地址分配策略D、保证网络带宽和网络设备的业务处理能力具务冗余空间，满足业务高峰期和业务发展需求2、在网络信息系统建设中部署防火墙，往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙

2、来保护内网主机，下列选项中部署位置正确的是（） A、内网主机交换机防火墙外网(正确答案)B、防火墙内网主机交换机外网C、内网主机防火墙交换机外网D、防火墙交换机内网主机外网3、由于Internet的安全问题日益突出，基于TCP/IP协议，相关组织和专家在协议的不同层次设计了相应的安全通信协议，用来保障网络各层次的安全。其中，属于或依附于传输层的安全协议是（） A、PP2PB、L2TPC、SSL(正确答案)D、IPSec4、防火墙是网络信息系统建设中常采用的一类产品，它在内外网隔离方面的作用是（） A、既能物理隔离，又能逻辑隔离B、能物理隔离，但不能逻辑隔离C、不能物理隔离，但是能逻辑隔离(正确

3、答案)D、不能物理隔离，也不能逻辑隔离5、某银行有 5 台交换机连接了大量交易机构的网路（如图所示），在基于以太网的通信中， 计算机 A 需要与计算机 B 通信，A 必须先广播“ARP 请求信息”，获取计算机 B 的物理地址。没到月底时用户发现该银行网络服务速度极其缓慢。银行经调查后发现为了当其中一台交换机收到 ARP 请求后，会转发给接收端口以外的其他所有端口，ARP 请求会被转发到网络中的所有客户机上。为降低网络的带宽消耗，将广播流限制在固定区域内，可以采用的技术是（）单选题 A、VLAN 划分(正确答案)B、动态分配地址C、设立入侵防御系统D、为路由交换设备修改默认口令6、如图一所示:主

4、机 A 和主机 B 需要通过 IPSec 隧道模式保护二者之间的通信流量,这种情况下 IPSec 的处理通常发生在哪二个设备中?（）单选题 A、主机 A 和安全网关 1;B、主机 B 和安全网关 2;C、主机 A 和主机 B 中;D、安全网关 1 和安全网关 2 中;(正确答案)7、基于 TCP 的主机在进行一次 TCP 连接时简要进行三次握手，请求通信的主机 A 要与另一台主机 B 建立连接时，A 需要先发一个 SYN 数据包向 B 主机提出连接请示，B 收到后，回复一个 ACK/SYN 确认请示给 A 主机，然后 A 再次回应 ACK 数据包，确认连接请求。攻击通过伪造带有虚假源地址的 S

5、YN 包给目标主机，使目标主机发送的 ACK/SYN 包得不到确认。一般情况下，目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假 SYN 包同时发送到目标主机时，目标主机上就会有大量的连接请示等待确认，当这些未释放的连接请示数量超过目标主机的资源限制时。正常的连接请示就不能被目标主机接受，这种 SYN Flood 攻击属于（） A、拒绝服务攻击(正确答案)B、分布式拒绝服务攻击C、缓冲区溢出攻击D、SQL 注入攻击8、主机 A 向主机 B 发出的数据采用 AH 或 ESP 的传输模式对流量进行保护时，主机 A 和主机 B 的 IP地址在应该在下列哪个范围?（）单选题 A、1000010

6、255255255B、172160017231255255C、19216800192168255255D、 不在上述范围内(正确答案)9、以下哪个选项不是防火墙提供的安全功能?（） A、IP 地址欺骗防护B、NATC、访问控制D、SQL 注入攻击防护(正确答案)10、通过向被攻击者发送大量的 ICMP 回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为（） A、Land 攻击B、Smurf 攻击C、Ping of Death 攻击D、 ICMP Flood(正确答案)11、以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击（） A、LandB、UDP

7、 FloodC、SmurfD、Teardrop(正确答案)12、传输控制协议(TCP)是传输层协议，以下关于 TCP 协议的说法，哪个是正确的?（） A、相比传输层的另外一个协议 UDP，TCP 既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途B、TCP 协议包头中包含了源 IP 地址和目的 IP 地址，因此 TCP 协议负责将数据传送到正确的主机C、TCP 协议具有流量控制、数据校验、超时重发、接收确认等机制，因此 TCP 协议能完全替代 IP 协议D、 TCP 协议虽然高可靠，但是相比 UDP 协议机制过于复杂，传输效率要比 UDP 低(正确答案)13、以下关于 UDP 协议的说

8、法，哪个是错误的?（） A、UDP 具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击B、UDP 协议包头中包含了源端口号和目的端口号，因此 UDP 可通过端口号将数据包送达正确的程序C、相比 TCP 协议，UDP 协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数据D、UDP 协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输，如视频会话这类需要隐私保护的数据(正确答案)14、部署互联网协议安全虚拟专用网（Internet protocol Security virtual Private Network IPsec VPN)时。以下说法正确的是（）

9、 A、配置 MD5 安全算法可以提供可靠地数据加密B、配置 AES 算法可以提供可靠的数据完整性验证C、部署 IPsec VPN 网络时，需要考虑 IP 地址的规划，尽量在分支节点使用可以聚合的 IP 地址段，来减少IPsec 安全关联（Security Authentication，SA)资源的消耗(正确答案)D、报文验证头协议（Authentication Header，AH)可以提供数据机密性15、以下哪个属性不会出现在防火墙的访问控制策略配置中？ （） A、本局域网内地址B、XX服务器地址C、HTTP 协议D、病毒类型(正确答案)16、“统一威胁管理”是将防病毒，入侵检测和防火墙等安全

10、需求统一管理，目前市场上已经出现了多种此类安全设备，这里“统一威胁管理”常常被简称为（） A、UTM(正确答案)B、FWC、IDSD、SOC17、某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源， 提高了防御体系级别。但入侵检测技术不能实现以下哪种功能（） A、检测并分析用户和系统的活动B、核查系统的配置漏洞，评估系统关键资源和数据文件的完整性C、防止 IP 地址欺骗(正确答案)D、识别违反安全策略的用户活动1

11、8、以下哪一项不是工作在网络第二层的隧道协议（） A、VTP(正确答案)B、L2FC、PPTPD、L2TP19、下面哪一项不是虚拟专用网络(VPN)协议标准（） A、第二层隧道协议(L2TP)B、Internet 安全性(IPSEC)C、终端访问控制器访问控制系统(TACACS+)(正确答案)D、点对点隧道协议(PPTP)20、在 ISO 的 OSI 安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务? （） A、加密B、数字签名(正确答案)C、访问控制D、路由控制21、某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System，IDS)产品，需要购买防火墙，

12、以下做法应当优先考虑的是（） A、选购当前技术最先进的防火墙即可B、选购任意一款品牌防火墙C、任意选购一款价格合适的防火墙产品D、选购一款同已有安全产品联动的防火墙(正确答案)22、在 OSI 参考模型中有 7 个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务?（） A、网络层(正确答案)B、表示层C、会话层D、物理层23、以下关于互联网协议安全(Internet Protocol Security，IPsec)协议说法错误的是（） A、在传送模式中，保护的是 IP 负载B、验证头协议(AuthenticationHead，AH)和 IP 封

13、装安全载荷协议(Encapsulating Security Payload，ESP)都能以传输模式和隧道模式工作C、在隧道模式中，保护的是整个互联网协议(Internet Protocol，IP)包，包括 IP 头D、IPsec 仅能保证传输数据的可认证性和保密性(正确答案)24、入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术，它与 IDS 有着许多不同点， 请指出下列哪一项描述不符合 IPS 的特点?（） A、串接到网络线路中B、对异常的进出流量可以直接进行阻断C、有可能造成单点故障D、 不会影响网络性能(正确答案)25、以下哪个不是导致地址解析协议(ARP

14、)欺骗的根源之一? （） A、ARP 协议是一个无状态的协议B、为提高效率，ARP 信息在系统中会缓存C、ARP 缓存是动态的，可被改写D、 ARP 协议是用于寻址的一个重要协议(正确答案)26、部署互联网协议安全虚拟专用网（Internet protocol Security Virtual Private Network,IPsec VPN）时，以下说法正确的是（） A、配置 MD5 安全算法可以提供可靠的数据加密B、配置 AES 算法可以提供可靠的数据完整性验证C、部署 IPsec VPN 网络时，需要考虑 IP 地址的规划，尽量在分支节点使用可以聚合的 IP 地址段，来减少(正确答案)

15、IPsec 安全关联（Security Authentication,SA ）资源的消耗D、报文验证头协议（Authentication Header,AH）可以提供数据机密性27、虚拟专用网络（VPN）通常是指在公共网路中利用隧道技术，建立一个临时的，安全的网络。这里的字母 P 的正确解释是（） A、Special-purpose. 特定、专用用途的B、Proprietary 专有的、专卖的C、Private 私有的、专有的(正确答案)D、Specific 特种的、具体的28、某公司的对外公开网站主页经常被黑客攻击后修改主页内容，该公司应当购买并部署下面哪个设备（） A、安全路由器B、网络审

16、计系统C、网页防篡改系统(正确答案)D、虚拟专用网（Virtual Private Network，VPN）系统29、关于 WI-FI 联盟提出的安全协议 WPA 和 WPA2 的区别。下面描述正确的是（） A、WPA 是有线局域安全协议，而 WPA2 是无线局域网协议B、WPA 是适用于中国的无线局域安全协议，WPA2 是使用于全世界的无线局域网协议C、WPA 没有使用密码算法对接入进行认证，而 WPA2 使用了密码算法对接入进行认证D、WPA 是依照802.11i 标准草案制定的，而 WPA2 是按照 802.11i 正式标准制定的(正确答案)30、防火墙是网络信息系统建设中常常采用的一类

17、产品，它在内外网隔离方面的作用是（） A、既能物理隔离，又能逻辑隔离B、能物理隔离，但不能逻辑隔离C、不能物理隔离，但是能逻辑隔离(正确答案)D、不能物理隔离，也不能逻辑隔离31、异常入侵检测是入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是（） A、在异常入侵检测中，观察的不是已知的入侵行为，而是系统运行过程中的异常现象B、实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生(正确答案)C、异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图， 并通过多种手段

18、向管理员报警D、异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为32、S 公司在全国有 20 个分支机构，总部由 10 台服务器、200 个用户终端，每个分支机构都有一台服务器、100 个左右用户终端，通过专网进行互联互通。公司招标的网络设计方案中，四家集成商给出了各自的 IP 地址规划和分配的方法，作为评标专家，请给 5 公司选出设计最合理的一个（） A、总 部 使 用 服 务 器 、 用 户 终 端 统 一 使 用 10.0.1.x 、 各 分 支 机 构 服 务 器 和 用 户 终 端 使 用192.168.2.x-192.168.20.xB、总部服务器使用 10.0.1.

19、。111、用户终端使用 10.0.1.12212 ，分支机构 IP 地址随意确定即可C、总部服务器使用 10.0.1。x 、用户端根据部门划分使用 10.0.2。x ，每个分支机构分配两个 A 类地址段， 一个用做服务器地址段、另外一个做用户终端地址段(正确答案)D、因为通过互联网连接，访问的是互联网地址，内部地址经 NAT 映射，因此 IP 地址无需特别规划，各机构自行决定即可。33、私有 IP 地址是一段保留的 IP 地址。只适用在局域网中，无法在 Internet 上使用。关于私有地址，下面描述正确的是（） A、A 类和 B 类地址中没有私有地址，C 类地址中可以设置私有地址B、A 类地

20、址中没有私有地址，B 类 和 C 类地址中可以设置私有地址C、A 类、B 类和 C 类地址中都可以设置私有地址(正确答案)D、A 类、B 类和 C 类地址中都没有私有地址34、数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP 协议中，数据封装的顺序是（） A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层(正确答案)C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层35、以下关于 SMTP 和 POP3 协议的说法哪个是错误的（） A、SMTP 和 POP3 协议是一种基于 ASCII 编码的请求/响应模式的协议B、SMTP 和 POP3 协

21、议铭文传输数据，因此存在数据泄露的可能C、SMTP 和 POP3 协议缺乏严格的用户认证，因此导致了垃圾邮件问题D、SMTP 和 POP3 协议由于协议简单，易用性更高，更容易实现远程管理邮件(正确答案)36、安全多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extension, S/MIME )是指一种保障邮件安全的技术，下面描述错误的是（） A、S/MIME 采用了非对称密码学机制B、S/MIME 支持数字证书C、S/MIME 采用了邮件防火墙技术(正确答案)D、S/MIME 支持用户身份认证和邮件加密37、某网站管理员小邓在流量监测中发现近期网

22、站的入站ICMP流量上升了250%， 尽管网站没有发现任何的性能下降或其他问题。但为了安全起见，他仍然向主管领导提出了应对策略，作为主管负责人，请选择有效的针对此问题的应对措施（） A、在防火墙上设置策略，阻止所有的ICMP流量进入（关掉ping）(正确答案)B、删除服务器上的ping.exe程序C、增加带宽以应对可能的拒绝服务攻击D、增加网站服务器以应对即将来临的拒绝服务攻击38、针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需求考虑的攻击方式（） A、攻击者利用软件存在的逻辑错误，通过发送某种类型数据导致运算进

23、入死循环，CPU资源占用始终100%B、攻击者利用软件脚本使用多重嵌套咨询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据 库响应缓慢C、攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数， 导致并发连接数耗尽而无法访问D、攻击者买通IDC人员，将某软件运行服务器的网线拔掉导致无法访问(正确答案)39、王明买了一个新的蓝牙耳机，但王明听说使用蓝牙设备有一定的安全威胁，于是王明找到对蓝牙技术有所了解的王红，希望王红能够给自己一点建议，以下哪一条建议不可取（） A、在选择使用蓝牙设备时，应考虑设备的技术实现及设置是否具备防止上述安全威跡的能力B、选择使用工能合适的设备

24、而不是功能尽可能多的设备、尽量关闭不使用的服务及功能C、如果蓝牙设备丢失，最好不要做任何操作(正确答案)D、在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现40、关于我国信息安全保障的基本原则，下列说法中不正确的是（） A、要与国际接轨，积极吸收国外先进经验并加强合作，遵循国际标准和通行做法，坚持管理与技术并重(正确答案)B、信息化发展和信息安全不是矛盾的关系，不能牺牲一方以保证另一方C、在信息安全保障建设的各项工作中，既要统等规划，又要突出重点D、在国家信息安全保障工作中，要充分发挥国家、企业和个人的积极性，不能忽视任何一方的作用41、攻击者通过向网络或目标主机发送伪造的 AR

25、P 应答报文，修改目标计算机上 ARP 缓存，形成一个错误的IP 地址-MAC 地址映射，这个错误的映射在目标主机在需要发送数据时封装错误的 MAC 地址.欺骗攻击过程如下图所示，其属于欺骗攻击中的哪一种欺骗攻击的过程（）单选题 A、ARP(正确答案)B、IPC、DNSD、SN42、OSI 模型把网络通信工作分为七层，如图所示，0SI 模型的每一层只与相邻的上下两层直接通信，当发送进程需要发送信息时，它把数据交给应用层。应用层对数据进行加工处理后传给表示层。再经过一次加工后数据被到会话层，这过程一直继续到物理层接收数据后进行实际的传输，每一次的加工又称为数据封装. 其中 IP 层对应 OSI

26、模型中的那一层（）单选题 A、应用层B 、传输层C、应用层D、网络层(正确答案)43、随着互联网的迅猛发腰、WEB 信息的增加，用户要在信息海洋里查找自己所需的信息，就象大海捞针一样，索引技术恰好解决了这一难题以下关于搜索引技术特点的描述中错误的是（）单选题 A、搜索引擎以一定的策略在 Web 系统中搜和发现信息B、搜索引擎可以分为目录导航式与网页索引式C、搜索器在 internet 上逐个访问 Web 站点，并建立一个网站的关键字列表D、索引器功能是理解搜索器获取的信息，向用户显示查询结果(正确答案)44、在一个网络中，当拥有的网络地址容量不够多，或普通终端计算机没有必要分配静态 IP 地址

27、时，可以采用通过在计算机连接到网络时，每次为其临时在 IP 地址池中选择一个 IP 地址并分配的方式为（） A、动态分配IP地址(正确答案)B、静态分配IP地址C、网络地址转换分配地址D、手动分配45、数据链路层负责监督相邻网络节点的信息流动.用检错或纠错技术来确保正确的传输，确保解决该层的流 量控制问题.数据链路层的数据单元是（） A、 报 文B、比特流C、帧(正确答案)D、包46、在你对远端计算机进行 ping 操作，不同操作系统回应的数据包中初始 TL 值是不同的，TL 是 P 协议包中的一个值它告诉网络，数据包在网络中的时间是否太长而应被丢弃，(简而言之，你可以通过 TL 值推算一下下

28、列数据包已经通过了多少个路由器)根据回应的数据包中的 TL 值，可以大致判断（） A、内存容量B、操作系统的类型(正确答案)C、对方物理位置D、对方的 MAC 地址47、小红和小明在讨论有关于现在世界上的 IP 地址数量有限的间题，小红说他看到有新闻说在 2011 年 2 月 3 日，全球互联网 IP 地址相关管理组织宣布现有的互联网 P 地址已于当天划分给所有的区域互联网注册管理机构，IP 地址总库已经枯竭，小明吓了一跳觉得以后上网会成间题，小红安慰道，不用担心，现在 IPv6 已经被试用它有好多优点呢，以下小红说的优点中错误的是（） A、网络地址空间的得到极大扩展B、IP6 对多播进行了改

29、进，使得具有更大的多播地址空间C、繁杂报头格式(正确答案)D、良好的扩展性48、供电安全是所有电子设备都需要考虑的问题，只有持续平稳的电力供应才能保障电子设备作稳定可靠因此电力供应需要解决问题包括两个一是确保电力供应不中断、二是确保电力供应平稳.下列选项中，对电力供应的保障措施的描述正确的是（） A、可以采用双路供电来确保电力供应稳定性B、UPS 可提供持续、平稳的电力供应，不会受到电涌的影响C、可以部署电涌保护器来确保电力供应稳定性(正确答案)D、发动机供电是目前电力防护最主要的技术措施49、如图所示，主机 A 向主机 B 发出的数据采用 AH 或者 ESP 的传输模式对流量进行保护时， 主机 A 和主机 B 的 IP 地址在应该在下列哪个范围？（）单选题 A、10.0.0.010.255.255.255B、172.16.0.0172.31.255.255C、192.168.0.0192.168.255.255D、不在上述范围内(正确答案)