第5章
网络安全

计算机网络给人们带来便利性的同时，也带来了无限的安全隐患。所以发现和预防网络攻击，修补网络缺陷，是任何一个网络管理员应该掌握的技能。新的大纲要求网络工程师熟悉系统安全和数据安全的基础知识，掌握网络安全的基本技术和主要的安全协议与安全系统。

从近些年的考试来看，本章所涉及的分值有所提高，近几次考试考查的分数一般在7～9分。根据考试大纲，要求考生掌握如下知识点：

·保密性与完整性；

·非法入侵与病毒的防护；

·安全与加密。

下面我们通过具体的考试真题来学习和加强对本章知识点的掌握。

例题1（2005年5月试题10～11）

两个公司希望通过Internet进行安全通信，保证从信息源到目的地之间的数据传输以密文形式出现，而且公司不希望由于在中间节点使用特殊的安全单元增加开支，最合适的加密方式是　（10）　，使用的会话密钥算法应该是　（11）　。

（10）A．链路加密

B．节点加密

C．端—端加密

D．混合加密

（11）A．RSA

B．RC-5

C．MD5

D．ECC

例题分析

本题考查加密方式的选择。

数据传输加密技术的目的是对传输中的数据流加密，以防止通信线路上的窃听、泄露、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的3个不同层次来实现，即链路加密（位于OSI网络层以下的加密）、节点加密和端到端加密（传输前对文件加密，位于OSI网络层以上的加密）。

一般常用的是链路加密和端到端加密这两种方式。链路加密侧重点在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头和帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过因特网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。故空　（10）　选择C。

RSA适用于数字签名和密钥交换。RSA加密算法是目前应用最广泛的公钥加密算法，特别适用于通过Internet传送的数据。RSA算法的安全性基于分解大数字时的困难（就计算机处理能力和处理时间而言）。在常用的公钥算法中，RSA与众不同，它能够进行数字签名和密钥交换运算。

MD5是由Ron Rivest设计的可产生一个128位的散列值的散列算法。MD5设计经过优化以用于Intel处理器。这种算法的基本原理已经泄露。

RC-2、RC-4和RC-5密码算法提供了可变长的密钥加密方法，由RSA数据安全公司授权使用。目前网景公司的Navigator浏览器及其他很多Internet客户端和服务器端产品使用了这些密码。

例题答案

（10）C

（11）A

例题2（2005年5月试题53～54）

HTTPS是一种安全的HTTP协议，它使用　（53）　来保证信息安全，使用　（54）　来发送和接收报文。

（53）A．IPSec

B．SSL

C．SET

D．SSH

（54）A．TCP的443端口

B．UDP的443端口

C．TCP的80端口

D．UDP的80端口

例题分析

本题考查HTTPS、SSL知识。

SSL（Secure Socket Layer）是目前解决传输层安全问题的一个主要协议，其设计的初衷是基于TCP协议之上提供可靠的端到端安全服务，SSL的实施对于上层的应用程序是透明的。应用SSL协议最广泛的是HTTPS，它为客户浏览器和Web服务器之间交换信息提供安全通信支持。它使用TCP的443端口发送和接收报文。

例题答案

（53）B

（54）A

例题3（2005年5月试题56～57）

Windows 2000有两种认证协议，即Kerberos和PKI，下面有关这两种认证协议的描述中，正确的是　（56）　。在使用Kerberos认证时，首先向密钥分发中心发送初始票据　（57）　，来请求一个会话票据，以便获取服务器提供的服务。

（56）A．Kerberos和PKI都是对称密钥

B．Kerberos和PKI都是非对称密钥

C．Kerberos是对称密钥，而PKI是非对称密钥

D．Kerberos是非对称密钥，而PKI是对称密钥

（57）A．RSA

B．TGT

C．DES

D．LSA

例题分析

本题考查Windows 2000两种认证协议特点。

认证技术的代表是Kerberos网络用户认证系统，从加密算法上来讲，其验证是建立在对称加密的基础上的。它采用可信任的第三方，密钥分配中心（KDC）保存与所有密钥持有者通信的保密密钥，其认证过程颇为复杂。

公钥体系基础框架（Pubic Key Infrastructure，PKI）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全通信。

典型的PKI系统由5个基本的部分组成：证书申请者（Subscriber）、注册机构（Registration Authority，RA）、认证中心（Certificate Authority，CA）、证书库（Certificate Repository，CR）和证书信任方（Relying Party）。其中，认证中心、注册机构和证书库三部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。

一个完整的PKI产品应具备以下功能：根据X.509标准发放证书，证书与CA产生密钥对，密钥备份及恢复，证书、密钥对的自动更换，加密密钥和签名密钥的分隔，管理密钥和证书，支持对数字签名的不可抵赖性，密钥历史的管理，为用户提供PKI服务，如用户安全登录、增加和删除用户、恢复密钥、检验证书等。其他相关功能还包括交叉认证、支持LDAP协议、支持用于认证的智能卡等。

与身份认证相关的国际标准有公钥体系基础框架（Public Key Infrastructure，PKI）、使用X.509的公钥体系基础框架（Public Key Infrastructure Using X.509，PKIX）、X.500、X.509、公钥密钥标准（Public Key Cryptography Standards，PKCS）等。

X.500是由ISO和ITU提出的用于为大型网络提供目录服务的标准体系，X.509是为X.500提供验证体系的标准，PKCS为PKI提供了一套完善的标准体系。

对于任何基于公钥体系的安全应用，必须确立其PKI，而CA是PKI中的一个关键的组成部分，它主要涉及两方面的内容，即公钥证书的发放和公钥证书的有效性证明。在PKIX中，CA遵循X.509标准规范。

例题答案

（56）C

（57）B

例题4（2007年5月试题40）

DES是一种　（40）　算法。

（40）A．共享密钥

B．公开密钥

C．报文摘要

D．访问控制

例题分析

加密技术通常分为两大类：“对称式”和“非对称式”。

对称式加密就是加密和解密使用同一个密钥，通常称之为“Session Key”，这种加密技术目前被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的Session Key长度为56Bits。另外，RC-5与IDEA也是常见的对称加密算法。

非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必须配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。

它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方（共享），不管用什么方法都有可能被别人窃听到。而非对称式的加密方法有两个密钥，且其中的“公钥”是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可，这样就很好地避免了密钥的传输安全性问题。

例题答案

（40）A

例题5（2007年11月试题41）

Needham-Schroeder协议是基于　（41）　的认证协议。

（41）A．共享密钥

B．公钥

C．报文摘要

D．数字证书

例题分析

Needham-Schroeder是基于共享密钥认证协议。这个协议于1978年由Needham和Schroeder提出，旨在解决使用公钥加密系统的通信双方的身份认证问题，这个协议提出后普遍被认为是一个安全的、没有漏洞的协议。

例题答案

（41）A

例题6（2007年11月试题44～45）

实现VPN的关键技术主要有隧道技术、加／解密技术、　（44）　和身份认证技术。如果需要在传输层实现VPN，可选的协议是　（45）　。

（44）A．入侵检测技术

B．病毒防治技术

C．安全审计技术

D．密钥管理技术

（45）A．L2TP

B．PPTP

C．TLS

D．IPsec

例题分析

目前，VPN主要采用4项技术：隧道技术（Tunneling）、加／解密技术（EncryptionSlDe－cryption）、密钥管理技术（Key management）、使用者与设备身份认证技术（Authentication）。

①隧道技术类似于点对点的专线连接技术，它是在公用网络中建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是利用隧道协议建立起来的。隧道协议分为第二、三层隧道协议。IPSec（1PSecurity）为第三层隧道协议，PPTP与L2TP均为第二层隧道协议技术。第二层隧道协议基于第三层隧道协议之上。

②数据通信的加／解密技术：数据通信的加／解密技术是一项较成熟的技术。VPN可直接对数据进行加密，加密后的数据包即使在传输中被窃取，非法获取者也只能看到一堆乱码，它必须拥有相应的密钥才能被破译。

③密钥管理技术（KeyManagement）：密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥，而不被窃取。现在常用的密钥管理技术可分为SKIP（Simple Key Management for IP）与ISAKMP/Oakley两种。

④身份验证：身份验证系统需要解决的是，如何正确地辨认合法的使用者与设备，使属于本单位的人员与设备能互通，构成一个让未授权者无法进入的系统。

隧道协议中最为典型的有IPSec、L2TP、GRE、PPTP、L2F等。其中GRE、IPSec属于第三层隧道协议，L2TP、PPTP、L2F属于第二层隧道协议。第二层和第三层隧道协议的本质区别在于用户的IP是被封装在何种数据包中在隧道里传输的。

①PPTP协议（点到点隧道协议）：PPTP协议是由微软为首的PPTP论坛开发的点到点的安全隧道协议，是PPP协议的扩充，由PPP、PAP（口令验证协议）、CHAP（PPP质询握手验证协议）、GRE（通用路由选择封装协议）组成。CHAP利用PPP建立链路和封装数据报的内务处理。GRE提供了一种简单的、减少封装问题的通用目的的机制。PAP用于通过验证该链路的远程端的身份确定一个同位体。

②L2F（Layer 2 Forwarding）和L2TP：L2F是由Cisco公司制订的VPN隧道数据流协议，L2F主要强调的是将物理层协议移到链路层，并允许通过Internet光缆的链路层和较高层协议的传输。L2F的连接、验证、封装对用户来说尽可能透明，协议软件通常运行在Cisco路由器及提供封装服务的远程接入设备上，它远不如微软的PPTP流行。因此，从Cisco主导的L2F和Microsoft主导的PPTP基础上又演变产生了L2TP。L2TP定义了利用公共网络设施（如IP网络、ATM和帧中继网络）封装传输链路层PPP帧的方法。由于L2TP支持多种网络协议，企业在非IP网络和应用上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。

③IPSec协议：新一代网络安全标准IPSec协议是IETF提出的安全体系结构，它用来提供对IPv4和IPv6共同操作的、高质量的、基于密码的安全结构。它通过在IPv4或IPv6报文扩充认证头（AH）及对报文的内容进行加密封装（ESP）有效地保障网络安全。IPSec是解决人们向信息社会过渡中需要迫切解决的网络安全问题的重要途径，对促进构筑在计算机网络技术基础上的信息社会的整体安全有着重要的意义。IPSec定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性，它规定了如何加密数据包，并将几种安全技术结合形成一个完整的体系。

④传输层安全协议（TLS）是确保互联网上通信应用和其用户隐私的协议。TLS由两层构成：TLS记录协议和TLS握手协议。

例题答案

（44）D

（45）C

例题7（2008年5月试题44）

下面的选项中，属于传输层安全协议的是　（44）　。

（44）A．IPSec

B．L2TP

C．TLS

D．PPTP

例题分析

本题考查传输层的安全协议，题目的内容在本章例题6（2007年11月试题44～45）中已经详细解释过，请参照来求解。属于传输层安全协议的是TLS。

例题答案

（44）C

例题8（2008年11月试题41）

常用对称加密算法不包括　（41）　。

（41）A．DES

B．RC-5

C．IDEA

D．RSA

例题分析

本题考查对称加密算法，详细讲解请参见本章例题4。RSA是典型的非对称加密算法。

例题答案

（41）D

例题9（2008年11月试题44）

TCP/IP在多个层次引入了安全机制，其中TLS协议位于　（44）　。

（44）A．数据链路层

B．网络层

C．传输层

D．应用层

例题分析

本题考查的内容与本章例题6内容一致，详细过程请参见例题6的例题分析。TLS安全协议位于传输层。

例题答案

（44）C

例题10（2008年11月试题42）

数字签名功能不包括　（42）　。

（42）A．防止发送方的抵赖行为

B．发送方身份确认

C．接收方身份确认

D．保证数据的完整性

例题分析

数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性，该技术利用公开密钥算法对于电子信息进行数学变换，通过这一过程，数字签名存在于文档之中，不能被复制。该技术在具体工作时，首先发送方对信息施以数学变换，所得的变换信息与原信息唯一对应；在接收方进行逆变换，就能够得到原始信息。只要数学变换方法优良，变换后的信息在传输中就具有更强的安全性，很难被破译、篡改。这一过程称为加密，对应的反变换过程称为解密。数字签名的主要功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

数字签名的算法很多，应用最为广泛的三种是：Hash签名、DSS签名和RSA签名。这三种算法可单独使用，也可综合在一起使用。

例题答案

（42）C

例题11（2005年11月试题31～32）

窃取是对　（31）　的攻击，DDos攻击破坏了　（32）　。

（31）A．可用性

B．保密性

C．完整性

D．真实性

（32）A．可用性

B．保密性

C．完整性

D．真实性

例题分析

顾名思义，窃取是窃取者绕过系统的保密措施得到真实的、完整的、可用的信息。

DOS（Denial Of Service，拒绝服务式攻击）：就好像中国系统分析员顾问团大楼装满了肯德基的薯条，而中国系统分析员顾问团的顾问就无法正常工作一样。DDos就是用分布式的方法，用多台机器进行拒绝服务攻击，从而使服务器变得不可用。

例题答案

（31）B

（32）A

例题12（2005年11月试题33～34）

数据加密标准（DES）是一种分组密码，将明文分成大小　（33）　位的块进行加密，密钥长度为　（34）　位。

（33）A．16

B．32

C．56

D．64

（34）A．16

B．32

C．56

D．64

例题分析

DES（Data Encyrption Standard）算法采用对称密钥，将明文分成大小64位的块进行加密，密钥长度为64位（实际是56bit，其中8bit用于奇偶校验，参见谢希仁《计算机网络》（第四版，P356，L6））。

例题答案

（33）D

（34）D

例题13（2005年11月试题35）

下面关于数字签名的说法错误的是　（35）　。

（35）A．能够保证信息传输过程中的保密性

B．能够对发送者的身份进行认证

C．如果接收者对报文进行了篡改，会被发现

D．网络中的某一用户不能冒充另一用户作为发送者或接收者。

例题分析

数字签名是通过一个单向函数对要传送的报文进行处理得到用以认证报文来源并核实报文是否发生变化的一个字母数字串。它与数据加密技术一起构建起了安全的商业加密体系。传统的数据加密是保护数据的最基本方法，它只能够防止第三者获得真实的数据（即数据的机密性）；而数字签名则可以解决否认、伪造、篡改和冒充的问题（即数据的完整性和不可抵赖性），因此它们的搭配刚好满足了大部分的信息安全需求。

例题答案

（35）A

例题14（2006年5月试题24）

下面语句中，正确地描述了RADIUS协议的是　（24）　。

（24）A．如果需要对用户的访问请求进行提问（Challenge），则网络访问服务器（NAS）对用户密码进行加密，并发送给RADIUS认证服务器

B．网络访问服务器（NAS）与RADIUS认证服务器之间通过UDP数据报交换请求／响应信息

C．在这种C/S协议中，服务器端是网络访问服务器（NAS），客户端是RADIUS认证服务器

D．通过RADIUS协议可以识别非法的用户，并记录闯入者的日期和时间

例题分析

用户密码不能在NAS和RADIUS服务器之间用明文传输，而一般使用共享密钥（Shared Secret）和认证码（Authenticator）通过MD5加密算法进行加密隐藏。对于NAS与RADIUS之间使用UDP进行通信，1812端口负责认证，1813端口负责计费。

整个RADIUS都是采取Server/Client模式。其中RADIUS客户端负责将用户的信息传送给计费服务器，并根据回应做出适当反应。

例题答案

（24）B

例题15（2006年5月试题26）

建立PPP连接以后，发送方就发出一个提问消息（Challenge Message），接收方根据提问消息计算一个散列值。　（26）　协议采用这种方式进行用户认证。

（26）A．ARP

B．CHAP

C．PAP

D．PPTP

例题分析

询问握手认证协议（CHAP）通过三次握手周期性地校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复进行，具体过程如下：

①链路建立阶段结束之后，认证者向对端点发送“challenge”消息。

②对端点用经过单向哈希函数计算出来的值做应答。

③认证者根据自己计算的哈希值来检查应答，如果值匹配，认证得到承认；否则，连接应该终止。

④经过一定的随机间隔，认证者发送一个新的challenge给端点，重复步骤①到③。

例题答案

（26）B

例题16（2006年5月试题38）

　（38）　不属于PKI CA（认证中心）的功能。

（38）A．接收并验证最终用户数字证书的申请

B．向申请者颁发或拒绝颁发数字证书

C．产生和发布证书废止列表（CRL），验证证书状态

D．业务受理点LRA的全面管理

例题分析

PKI是一组规则、过程、人员、设施、软件和硬件的集合，可用来进行公钥证书的发放、分发和管理。通过管理和控制密钥和证书的使用，PKI可以在分布式环境中建立一个信任体系。

CA对主体的公钥签名并发放证书，主要有以下5种功能：

·证书更新。当主体当前的证书过期后，发行新的证书；

·证书作废。使得该证书从该时刻起非法；

·证书发布。PKI用户可以搜索并取得该证书；

·维护证书作废列表。在PKI中保持作废列表的时效性；

·发布作废列表。使得PKI用户可以访问作废列表。

所以，业务受理点LRA的全面管理是不现实的。

例题答案

（38）D

例题17（2007年5月试题43）

下列行为不属于网络攻击的是　（43）　。

（43）A．连续不停Ping某台主机

B．发送带病毒和木马的电子邮件

C．向多个邮箱群发一封电子邮件

D．暴力破解服务器密码

例题分析

DoS即拒绝服务，是指攻击者直接或间接地发送大量数据包给目标主机的服务端口造成其网络阻塞，无法为客户提供正常服务的攻击手段。A选项也属于此类。

例题答案

（43）C

例题18（2007年5月试题45）

包过滤防火墙通过　（45）　来确定数据包是否能通过。

（45）A．路由表

B．ARP表

C．NAT表

D．过滤规则

例题分析

路由表：用来制定路由规则，指定数据转发路径。

ARP表：IP地址向网络设备物理地址（MAC）的转换。

NAT表：网络地址转换（NAT）是用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet）的标准方法。NAT表记录的是这些转换信息。

过滤规则：它制定的是内外网访问与数据发送的一系列安全策略。

例题答案

（45）D

例题19（2007年5月试题46）

目前在网络上流行的“熊猫烧香”病毒属于　（46）　类型的病毒。

（46）A．目录

B．引导区

C．蠕虫

D．DOS

例题分析

蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

目录型病毒通过装入与病毒相关的文件进入系统，而不改变相关文件，它所改变的只是相关文件的目录项。

引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。

电脑病毒发展初期因为操作系统大多为DOS系统，只针对DOS操作系统开发病毒。目前几乎没有新制作的DOS病毒。但DOS病毒在Win9X环境中仍可以发生感染。

“熊猫烧香”其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。

例题答案

（46）C

例题20（2007年5月试题47）

多形病毒指的是　（47）　的计算机病毒。

（47）A．可在反病毒检测时隐藏自己

B．每次感染都会改变自己

C．可以通过不同的渠道进行传播

D．可以根据不同环境造成不同破坏

例题分析

多形型病毒是这样的病毒：它产生了与它自身不同的、但是操作可用的备份，而典型的多形病毒——幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。其目的是希望病毒扫描程序将不能检测到所有的病毒的情况。

多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。

例题答案

（47）B

例题21（2008年11月试题45）

计算机感染特洛伊木马后的典型现象是　（45）　。

（45）A．程序异常退出

B．有未知程序试图建立网络连接

C．邮箱被垃圾邮件填满

D．Windows系统黑屏

例题分析

任何木马程序成功入侵到主机后都要和攻击者进行通信。因此如果发现有未知程序试图建立网络连接，就可以考虑电脑中了木马病毒。

例题答案

（45）B

例题22（2007年5月试题47）

采用Kerberos系统进行认证时，可以在报文中加入　（44）　来防止重放攻击。

（44）A．会话密钥

B．时间戳

C．用户ID

D．私有密钥

例题分析

Kerberos协议是一种基于密钥分发模型的网络身份验证方法。该协议使在网络上进行通信的实体能够证明彼此的身份，同时该协议可以阻止窃听或重放攻击。

当用户登录到工作站时，Kerberos对用户进行初始认证，通过认证的用户可以在整个登录时间得到相应的服务。Kerberos既不依赖用户登录的终端，也不依赖用户所请求的服务的安全机制，它本身提供了认证服务器来完成用户的认证工作。时间戳（代表时间的大数字）技术被应用于后来的Kerberos中，用来防止重放攻击。

例题答案

（44）B

例题23（2006年5月试题36）

以下用于在网络应用层和传输层之间提供加密方案的协议是　（36）　。

（36）A．PGP

B．SSL

C．IPSec

D．DES

例题分析

本题考查对基本的加密协议的理解。PGP是一个邮件加密的协议，位于应用层。IPSec是一个网络层的安全标准协议。DES是一个数据加密标准，而不是一个安全的协议。用排除法就可以确定在网络应用层和传输层之间提供加密方案的协议是SSL。

例题答案

（36）B

例题24（2006年11月试题35）

IPSec VPN安全技术没有用到　（35）　。

（35）A．隧道技术

B．加密技术

C．入侵检测技术

D．身份认证技术

例题分析

IPSec包括AH和ESP。AH验证头，提供数据源身份认证、数据完整性保护、重放攻击保护功能；ESP安全负载封装，提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能。IPSec VPN有两种工作模式——传输模式和通道模式。这两种模式最根本的区别在于是否进行IP封装。这里要指出的是，IPSec标准是不支持NAT的，因为一旦经过NAT，由于IP包头数据被修改，就等于数据完整性遭受破坏，那么AH或ESP的校验就会失败。可以看出IPSec VPN技术不能进行入侵检测。

例题答案

（35）C

例题25（2005年11月试题58）

802.11b定义了无线网的安全协议WEP（Wired Equivalent Privacy）。以下关于WEP的描述中，不正确的是　（58）　。

（58）A．WEP使用RC4流加密协议

B．WEP支持40位密钥和128位密钥

C．WEP支持端到端的加密和认证

D．WEP是一种对称密钥机制

例题分析

WEP（Wired Equivalent Privacy）是一种位于MAC层的认证机制，使用RC-4加密算法。这是一种对称的加密机制，也就是说，在加密端和解密端都使用一个共享密钥。WEP密钥的长度为40位或128位。

例题答案

（58）B

例题26（2009年5月试题43）

Alice向Bob发送数字签名的消息M，则不正确的说法是　（43）　。

（43）A．Alice可以保证Bob收到消息M

B．Alice不能否认发送过消息M

C．Bob不能编造或改变消息M

D．Bob可以验证消息M确实来源于Alice

例题分析

本题考查数字签名的相关概念。

数字签名设计为发送者不可否认、接收者可以验证但不能编造或篡改。所以选项B、C和D都是正确的。选项A显然是错误的。

例题答案

（43）A

例题27（2009年5月试题44）

安全散列算法SHA-1产生的摘要的位数是　（44）　。

（44）A．64

B．128

C．160

D．256

例题分析

本题考查安全散列算法SHA-1的基础知识。

安全散列算法SHA-1是SHA的改进版本，此算法以最大长度不超过264位的消息为输入，生成160位的消息摘要输出，用512为块来处理输入。

例题答案

（44）C

例题28（2009年5月试题45）

在X.509标准中，不包含在数字证书中的数据域是　（45）　。

（45）A．序列号

B．签名算法

C．认证机构的签名

D．私钥

例题分析

本题考查数字证书的基础知识。

数字证书中包含用户的公钥，而用户的私钥只能被用户拥有。所以选项D是不可能包含在数字证书中的。

例题答案

（45）D

例题29（2009年5月试题46～47）

两个公司希望通过Internet传输大量敏感数据，从信息源到目的地之间的传输数据以密文形式出现，而且不希望由于在传输节点使用特殊的安全单元而增加开支，最合适的加密方式是　（46）　，使用会话密钥算法效率最高的是　（47）　。

（46）A．链路加密

B．节点加密

C．端到端加密

D．混合加密

（47）A．RSA

B．RC-5

C．MD5

D．ECC

例题分析

端到端加密在发送端与接收端之间进行加／解密，是最合适的加密方式。在传输过程中采用对称密钥比非对称密钥效率要高，故选择RC-5。

例题答案

（46）C

（47）B

例题30（2009年5月试题48）

包过滤防火墙对通过防火墙的数据包进行检查，只有满足条件的数据包才能通过，对数据包的检查内容一般不包括　（48）　。

（48）A．源地址

B．目的地址

C．协议

D．有效载荷

例题分析

本题考查包过滤防火墙的相关知识。

防火墙的基本功能是包过滤，能对进出防火墙的数据包包头（包括源地址、目的地址和协议）进行分析处理，但对于数据包的有效载荷一般无法分析处理，所以答案是D。

例题答案

（48）D

例题31（2009年5月试题49）

下面关于ARP木马的描述中，错误的是　（49）　。

（49）A．ARP木马利用ARP协议漏洞实施破坏

B．ARP木马发作时可导致网络不稳定甚至瘫痪

C．ARP木马破坏网络的物理连接

D．ARP木马把虚假的网关MAC地址发送给受害主机

例题分析

本题考查计算机病毒的相关知识。

ARP木马的工作原理是利用ARP协议漏洞，把虚假的网关MAC地址发送给受害主机，造成局域网内出现大量的ARP消息从而造成网络拥塞。但并没有破坏网络的物理连通性。所以选项C是错误的。

例题答案

（49）C

例题32（2009年5月试题39）

以下关于网络安全设计原则的说法，错误的是　（39）　。

（39）A．充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测，是设计网络安全系统的必要前提条件

B．强调安全防护、监测和应急恢复。要求在网络发生被攻击的情况下，必须尽可能快地恢复网络信息中心的服务，减少损失

C．考虑安全问题解决方案时无须考虑性能价格的平衡，强调安全与保密系统的设计应与网络设计相结合

D．网络安全应以不能影响系统的正常运行和合法用户的操作活动为前提

例题分析

网络安全设计是保证网络安全运行的基础，基本的设计原则包括强调对信息均衡、全面地进行保护的木桶原则，良好的信息安全系统必备的等级划分制度和网络信息安全的整体性原则、安全性评价与平衡原则等。在进行网络安全系统设计时应充分考虑现有网络结构及性能价格的平衡，安全与保密系统的设计应与网络设计相结合。

例题答案

（39）C

例题33（2009年5月试题67）

安全审计是保障计算机系统安全的重要手段，其作用不包括　（67）　。

（67）A．重现入侵者的操作过程

B．发现计算机系统的滥用情况

C．根据系统运行的日志，发现潜在的安全漏洞

D．保证可信计算机系统内部信息不外泄

例题分析

安全审计包括识别、记录、存储、分析与安全相关行为的信息，审计记录用于检查与安全相关的活动和负责人。安全审计系统就是根据一定的安全策略记录和分析历史操作事件及数据，发现能够改进系统运行性能和系统安全的地方。安全审计的作用包括对潜在的攻击者起到震慑或警告的作用、检测和制止对安全系统的入侵、发现计算机的滥用情况、为系统管理员提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞，以及对已经发生的系统攻击行为提供有效的追纠证据。安全审计系统通常有一个统一的集中管理平台，支持集中管理，并支持对日志代理、安全审计中心、日志、数据库的集中管理，并具有事件响应机制和联动机制。

例题答案

（67）D

例题34（2009年5月试题68）

网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换。下列隔离技术中，安全性最好的是　（68）　。

（68）A．多重安全网关

B．防火墙

C．VLAN隔离

D．物理隔离

例题分析

网络隔离（NetwvrK Isolation）技术的目标是确保把有害的攻击隔离在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。有多种形式的网络隔离，如物理隔离、协议隔离和VPN隔离等。无论采用什么形式的网络隔离，其实质都是数据或信息的隔离。网络隔离的重点是物理隔离。物理隔离的一个特征就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。

例题答案

（68）D

例题35（2009年11月试题40）

若FTP服务器开启了匿名访问功能，匿名登录时需要输入的用户名是　（40）　。

（40）A．root

B．user

C．guest

D．anonymous

例题分析

FTP服务器采用用户名anonymous进行匿名登录。

例题答案

（40）D

例题36（2009年11月试题41）

在Kerberos系统中，使用一次性密钥和　（41）　来防止重放攻击。

（41）A．时间戳

B．数字签名

C．序列号

D．数字证书

例题分析

本题考查Kerberos系统安全相关知识。

一次性密钥、序列号和时间戳都是对付重放攻击的有效手段，Kerberos系统采用一次性密钥和时间戳来防止重放攻击。

例题答案

（41）A

例题37（2009年11月试题42）

在下面4种病毒中，　（42）　可以远程控制网络中的计算机。

（42）A．worm.Sasser.f

B．Win32.CIH

C．Trojan.qq3344

D．Macro.Melissa

例题分析

本题考查病毒相关知识。

以上4种病毒中，worm是蠕虫病毒，Win32.CIH是CIH病毒，Macro.Melissa是宏病毒，这3种病毒都属于单机病毒；而Trojan.qq3344是一种特洛伊木马，通过网络实现对计算机的远程攻击。

例题答案

（42）C

例题38（2009年11月试题44～46）

某网站向CA申请了数字证书，用户通过　（44）　来验证网站的真伪。在用户与网站进行安全通信时，用户可以通过　（45）　进行加密和验证，该网站通过　（46）　进行解密和签名。

（44）A．CA的签名

B．证书中的公钥

C．网站的私钥

D．用户的公钥

（45）A．CA的签名

B．证书中的公钥

C．网站的私钥

D．用户的公钥

（46）A．CA的签名

B．证书中的公钥

C．网站的私钥

D．用户的公钥

例题分析

本题考查数字证书相关知识点。

数字证书是由权威机构——CA证书授权（Certificate Authority）中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在因特网交往中用它证明自己的身份和识别对方的身份。

数字证书包含版本、序列号、签名算法标识符、签发人姓名、有效期、主体名和主体公钥信息等并附有CA的签名，用户获取网站的数字证书后通过验证CA的签名来确认数字证书的有效性，从而验证网站的真伪。

在用户与网站进行安全通信时，用户发送数据时使用网站的公钥（从数字证书中获得）加密，收到数据时使用网站的公钥验证网站的数字签名；网站利用自身的私钥对发送的消息签名和对收到的消息解密。

例题答案

（44）A

（45）B

（46）C

例题39（2009年11月试题47）

IPSec的加密和认证过程中所使用的密钥由　（47）　机制来生成和分发。

（47）A．ESP

B．IKE

C．TGS

D．AH

例题分析

IPSec密钥管理利用IKE（Internet密钥交换协议）机制实现，IKE解决了在不安全的网络环境（如Internet）中安全地建立或更新共享密钥的问题。

例题答案

（47）B

例题40（2009年11月试题48）

SSL协议使用的默认端口是　（48）　。

（48）A．80

B．445

C．8080

D．443

例题分析

80端口是Web服务默认端口；8080端口一般用于局域网内部提供Web服务；445端口和139端口一样，用于局域网中共享文件夹或共享打印机。

例题答案

（48）D

例题41（2009年11月试题68）

网络安全体系设计可从物理线路安全、网络安全、系统安全、应用安全等方面来进行，其中，数据库容灾属于　（68）　。

（68）A．物理线路安全和网络安全

B．应用安全和网络安全

C．系统安全和网络安全

D．系统安全和应用安全

例题分析

网络安全体系设计是逻辑设计工作的重要内容之一，数据库容灾属于系统安全和应用安全考虑范畴。

例题答案

（68）D

例题42（2010年5月试题39）

HTTPS采用　（39）　协议实现安全网站访问。

（39）A．SSL

B．IPSec

C．PGP

D．SET

例题分析

HTTPS实际上采用了Netscape的安全套接字层（SSL）作为HTTP应用层的子层，通过端口443进行通信。而SSL使用的是40位关键字作为RC4流加密算法。HTTPS和SSL支持使用X.509数字认证，因此可以确认发送者的身份。此题中给出的其他选项都不满足条件，如B的IPSec是一个基于IP层的安全协议，用于VPN。PGP是一个加密算法，通常用于电子邮件的加密。SET是基于网上使用信用卡安全支付的一个标准。

例题答案

（39）A

例题43（2010年5月试题40～41）

杀毒软件报告发现病毒Macro.Melissa，由该病毒名称可以推断出病毒类型是　（40）　，这类病毒主要感染目标是　（41）　。

（40）A．文件型

B．引导型

C．目录型

D．宏病毒

（41）A．EXE或COM可执行文件

B．Word或Excel文件

C．DLL系统文件

D．磁盘引导区

例题分析

为了方便管理各种计算机病毒，通常按照病毒的特性，将病毒进行分类命名。通常的格式如下：

病毒前缀是指一个病毒的种类，用来区别病毒的种族分类。不同种类的病毒，其前缀也是不同的。比如常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm，宏病毒用Macro。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”，振荡波蠕虫病毒的家族名是“Sasser”等。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。

宏病毒主要是感染MS的Office系统文件，因此空（41）选B。

例题答案

（40）D

（41）B

例题44（2010年5月试题42）

以下ACL语句中，含义为“允许172.168.0.0/24网段所有PC访问10.1.0.10中的FTP服务”的是　（42）　。

（42）A．access-list 101 deny tcp 172.168.0.0 0.0.0.255 host 10.1.0.10 eq ftp

B．access-list 101 permit tcp 172.168.0.0 0.0.0.255 host 10.1.0.l0 eq ftp

C．access-list 101 deny tcp host 10.1.0.10 172.168.0.0 0.0.0.255 eq ftp

D．access-list 101 permit tcp host 10.1.0.10 172.168.0.0 0.0.0.255 eq ftp

例题分析

访问控制列表用来限制使用者或设备，达到控制网络流量、解决拥塞、提高安全性等目的。在IP网络中，可以使用的访问列表有标准访问列表（值为1～99）、扩展访问列表（标号为100～199）两种。

1．标准访问列表

功能说明：基于源IP地址来进行判定是否允许或拒绝数据报通过（或其他操作，例如在NAT中就是判断是否进行地址转换）。

命令格式：

命令解释：

·access-list：访问列表命令；

·access-list-number：访问列表号码，值为1～99；

·permit：允许；

·deny：拒绝；

·source：源IP地址；

·source-wildcard：源IP地址的通配符；

·any：任何地址，代表0.0.0.0 255.255.255.255。

通配符：source-wildcard省略时，则使用默认值0.0.0.0。它的作用与子网掩码是不相同的，当其取值为1时，代表该位不必强制匹配；当其取值为0时，代表必须匹配。

2．扩展访问列表

功能说明：在标准访问列表的基础上增加更高层次的控制，它能够基于目的地址、端口号码、对话层协议来控制数据报。

命令格式：

由此可知B是正确的。而D错在将源地址和目标地址写反了。

例题答案

（42）B

例题45（2010年5月试题43）

以下关于加密算法的叙述中，正确的是　（43）　。

（43）A．DES算法采用128位的密钥进行加密

B．DES算法采用两个不同的密钥进行加密

C．三重DES算法采用3个不同的密钥进行加密

D．三重DES算法采用两个不同的密钥进行加密

例题分析

DES算法是典型的对称加密算法，其密钥长度是64bit，其中包含校验位8bit，实际有效长度是56bit。三重DES算法是为了解决DES算法的安全问题而提出的，加密过程中使用了3次DES算法。分别是用K1加密得到密文，再用K2解密密文，得到新的密文（因为K2不等于K1，所以无法解出明文），然后用K3加密得到用于发送的密文，通常为了简便，取K1＝K3，因此实际上只用了两个不同的密钥。长度为128bit，去掉校验的有效密钥长度是112bit。

例题答案

（43）D

例题46（2010年5月试题44）

IIS服务支持的身份验证方法中，需要利用明文在网络上传递用户名和密码的是　（44）　。

（44）A．NET Passport身份验证

B．集成Windows身份验证

C．基本身份验证

D．摘要式身份验证

例题分析

Passport验证是微软公司提供的一种集中式验证服务，与集成的Windwos身份验证类似，用户名和密码都不采用明文传送。摘要式身份验证传送的用户和密码信息是信息的摘要，而不是明文的信息。只有基本身份验证采用明文的形式。

例题答案

（44）C

例题47（2010年5月试题49）

某局域网访问Internet速度很慢，经检测发现局域网内有大量的广播包，采用　（49）　方法不可能有效地解决该网络问题。

（49）A．在局域网内查杀ARP病毒和蠕虫病毒

B．检查局域网内交换机端口和主机网卡是否有故障

C．检查局域网内是否有环路出现

D．提高出口带宽速度

例题分析

此问题的根本在于如何消除局域网内的大量广播包。而从局域网的特性我们知道，在局域网内部存在有病毒的时候，可能引发内部大量的广播包，如ARP病毒、蠕虫病毒等。第二种可能是设备故障，如交换机端口、网卡或者线路接触不良等故障，可能导致通信出现问题，而生产广播包。第三种可能是因为内部存在环路，导致广播风暴的出现而存在大量的广播包。而提高出口带宽与内部广播包的多少并没有直接的关系。

例题答案

（49）D

例题48（2010年11月试题41）

按照RSA算法，若选两奇数p＝5，q＝3，公钥e＝7，则私钥d为　（41）　。

（41）A．6

B．7

C．8

D．9

例题分析

本题考查RSA的算法知识。

RSA是一种公钥加密算法，它按照下面的要求选择公钥和密钥：

①选择两个大素数p和q（大于10100）。

②令n＝p*q和z＝（p－1）*（q－1）。

③选择d与z互质。

④选择e，使e*d＝1（mod z）。

从题中举例数据p＝5、q＝3、e＝7可得：

n＝5*3＝15；

z＝（5－1）*（3－1）＝8；

7*d＝1（mod8）。

将题中4个选项代入上式可知，只有d＝7满足要求。

例题答案

（41）B

例题49（2010年11月试题45～46）

报文摘要算法MD5的输出是　（45）　位，SHA-1的输出是　（46）　位。

（45）A．56

B．128

C．160

D．168

（46）A．56

B．128

C．160

D．168

例题分析

本题考查网络安全中报文摘要算法相关知识。

MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由4个32位分组组成，将这4个32位分组级联后将生成1个128位散列值。

SHA（安全散列算法）是美国国家安全局设计、美国国家标准与技术研究院（NIST）发布的一系列密码散列函数。其中SHA-1会从一个最大2⁶⁴位元的信息中产生一串160位元的摘要。

例题答案

（45）B

（46）C

例题50（2010年11月试题47）

下列隧道协议中工作在网络层的是　（47）　。

（47）A．SSL

B．L2TP

C．IPSec

D．PPTP

例题分析

本题考查隧道协议的综合知识，与本章例题6相似，可以参考来求解。IPSec是由一组RFC文档组成的，定义了一个系统来提供安全协议选择、安全算法、确定服务所使用密钥等服务，从而在IP层（网络层）提供安全保障。

例题答案

（47）C

例题51（2010年11月试题48）

IEEE 802.11i所采用的加密算法为　（48）　。

（48）A．DES

B．3DES

C．IDEA

D．AES

例题分析

本题考查加密算法的应用。IEEE 802.11i是IEEE为了弥补802.11脆弱的安全加密功能（WEP）而制定的修正案，于2004年7月完成，其中定义了基于AES的全新加密协议CCMP。

例题答案

（48）D

例题52（2010年11月试题49～50）

公钥体系中，私钥用于　（49）　，公钥用于　（50）　。

（49）A．解密和签名

B．加密和签名

C．解密和认证

D．加密和认证

（50）A．解密和签名

B．加密和签名

C．解密和认证

D．加密和认证

例题分析

本题考查公钥体系的理解和应用。

1976年斯坦福大学的Diffie和Hellman提出了使用不同的密钥进行加密和解密的公钥加密算法。设P为明文，C为密文，E为公钥控制的加密算法，D为私钥控制的解密算法，这些参数满足下列3个条件：

①D（E（P））＝P。

②不能由E导出D。

③选择明文攻击（选择任意明文—密文对以确定未知的密钥）不能破解E。

加密时计算C＝E（P），解密时计算P＝D（C）。加密和解密是互逆的。用公钥加密，私钥解密，可实现保密通信；用私钥加密，公钥解密，可实现数字签名。

例题答案

（49）A

（50）D

例题53（2011年5月试题42）

下列选项中，同属于报文摘要算法的是　（42）　。

（42）A．DES和MD5

B．MD5和SHA-1

C．RSA和SHA-1

D．DES和RSA

例题分析

报文摘要算法即采用单向HASH算法将需要加密的明文进行摘要，而产生的具有固定长度的单向散列（HASH）值。其中，散列函数（HashFunctions）是将一个不同长度的报文转换成一个数字串（即报文摘要）的公式，该函数不需要密钥，公式决定了报文摘要的长度。报文摘要和非对称加密一起，提供数字签名的方法。

报文摘要算法主要有安全散列标准SHA-1、MD5系列标准。

例题答案

（42）B

例题54（2011年5月试题43～44）

如图5-1所示为一种数字签名方案，网上传送的报文是　（43）　，防止A抵赖的证据是　（44）　。

图5-1　数字签名方案图

（43）A．P

B．DA（P）

C．EB（DA（P））

D．DA

（44）A．P

B．DA（P）

C．EB（DA（P））

D．DA

例题分析

报文的发送方用一个哈希函数从报文文本中生成报文摘要（散列值）。发送方用自己的私人密钥对这个散列值进行加密。然后，这个加密后的散列值将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。

例题答案

（43）C

（44）B

例题55（2011年5月试题45）

下面关于域本地组的说法中，正确的是　（45）　。

（45）A．成员可来自森林中的任何域，仅可访问本地域内的资源

B．成员可来自森林中的任何域，可访问任何域中的资源，

C．成员仅可来自本地域，仅可访问本地域内的资源

D．成员仅可来自本地域，可访问任何域中的资源

例题分析

域本地组的成员可以来自森林中的任何域，域本地组用来访问同一域中的资源。在本机模式中的域本地组可以包含森林中任意域内的用户账户、全局组和通用组及同一域内的域本地组。在混合模式域中，它们能包含任意域中的用户账户和全局组。

例题答案

（45）A

例题56（2011年5月试题46～47）

在Kerberos认证系统中，用户首先向　（46）　申请初始票据，然后从　（47）　获得会话密钥。

（46）A．域名服务器DNS

B．认证服务器AS

C．票据授予服务器TGS

D．认证中心CA

（47）A．域名服务器DNS

B．认证服务器AS

C．票据授予服务器TGS

D．认证中心CA

例题分析

在Kerberos认证系统中，用户首先向认证服务器AS申请初始票据，然后从票据授予服务器TGS获得会话密钥。

例题答案

（46）B

（47）C

例题57（2011年5月试题48～49）

HTTPS的安全机制工作在　（48）　，而S-HTTP的安全机制工作在　（49）　。

（48）A．网络层

B．传输层

C．应用层

D．物理层

（49）A．网络层

B．传输层

C．应用层

D．物理层

例题分析

HTTP是超文本传输协议，信息是明文传输，HTTPS则是具有安全性的SSL加密传输协议。S-HTTP即安全超文本传输协议。它是一种面向安全信息通信的协议，可以和HTTP结合起来使用。

例题答案

（48）B

（49）C

例题58（2011年5月试题50）

下面病毒中，属于蠕虫病毒的是　（50）　。

（50）A．Worm.Sasser病毒

B．Trojan.QQPSW病毒

C．Backdoor.IRCBot病毒

D．Macro.Melissa病赘

例题分析

本题考查病毒的命名规则。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>，病毒前缀是指一个病毒的种类，是用来区别病毒的种族分类的。不同种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀是Trojan，蠕虫病毒的前缀是Worm等。

例题答案

（50）A