计算机安全试卷答案.docVIP

填空题。（每空1分，共15分） 1．在进行协议分析与入侵检测时，网卡的工作模式应处于混杂模式。 2．一个正常的ARP请求数据帧的二层头部中的目的MAC地址是：FFFFFFFFFFFF。 3．在一个正常的ARP请求数据帧的三层头部（ARP部分），被查询的目标设备的MAC地址求知，则用全是FFFFFFFFFFFF的MAC地址表示。 4．查看ARP缓存记录的命令是arp-a，清除ARP缓存记录的命令是arp-d，防范ARP攻击时要对网关的MAC与IP进行绑定的命令是arp-s。 5．在对网络设备进行远程管理时，网络管理员经常使用Telnet方式，但是这种方式的连接存在安全问题是，用户名和密码是以明文传递的。因此建议在进行远程设备管理时使用SSH协议。 6．常见的加密方式有对称加密、非对称加密和不可逆加密，试分别举例说出对称加密的常用算法是DES、非对称加密常用算法是RSA、不可逆加密（散列）常用算法是MD5。 7．对“CVIT”采用恺撒加密算法，密钥为3，则得出的密文是“FYLW”；如果密钥为5，得出的密文是“HANY”，这也就是说，相同加密算法不同的密钥得出的密文是不同的。 8．数字摘要采用单向Hash函数对信息进行某种变换运算得到固定长度的摘要，并在传输信息时将之加入文件一同送给接收方；接收方收到文件后，用相同的方法进行变换运算得到另一个摘要；然后将自己运算得到的摘要与发送过来的摘要进行比较，如果一致说明数据原文没有被修改过。这种方法可以验证数据的完整性。 9．关于对称密码术和非对称密码术的讨论表明：前者具有加密速度快、运行时占用资源少等特点，后者可以用于密钥交换，密钥管理安全。一般来说，并不直接使用非对称加密算法加密明文，而仅用它保护实际加密明文的对称密钥，即所谓的数字信封（Digital Envelope）技术。 10．CA的职能：证书发放、证书更新、证书撤销和证书验证。 11．CA创建证书并在上面用自己的私钥进行数字签名。由于CA在创建证书过程中的角色很重要，因此它是PKI的核心。使用CA的公钥，想要验证证书真实性的任何人只要校验CA的数字签名就能确定证书内容的完整性和真实性（更为重要的是确认了证书持有者的公钥和身份）。 12．当一个站点要求通过安全方式（利用数字证书）连接时，用户就不能再在浏览器中输入HTTP协议了，而要采用HTTPS协议进行安全连接，这时所使用的端口也不是TCP的80，而是TCP的443。 13．WIN2003的IIS下建立的CA证书服务器，CA的IP地址为，则证书申请的URL为：/Certsrv/|。 14．CA的中文名可译为：证书签发机构。 15．PKI的中文名可译为：公钥基础。 16．GRE(Generic Routing Encapsulation中文名：通用路由封装):是对某些网络层协议的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议中传输，GRE在IP协议中的协议号为47。 17．GRE是一种隧道，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。但它并不是一种安全的隧道方法。 18．隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了信息，从而使封装的负载数据能够通过互联网络传递。 19．VPN（Virtual Private Network中文名：虚拟专用网络）可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。 20．远程接入VPN用于实现出差员工或家庭办公用等移动用户安全访问企业网络。 21．Internet VPN用于组建跨地区的企业总部与分支机构内部网络的安全互联。 22．VPN利用隧道技术对原有协议进行重新封装，并提供加密、数据验证、用户验证等一系列安全防护措施，保证了数据通过不安全的公共网络得到安全的传输。 23．DMZ一般称之为非军事化区，对于防火墙的DMZ口所连接的部分，一般称这之为服务器群或服务器区，防火墙也可以进行策略的检查与控制，只允许对特定的服务端口的访问进入，如只开放Web服务则仅对内部服务访问的目的端口为80时才允许。 24．网络防火墙的工作任务主要是设置一个检查站，监视、过滤和检查所有流经的协议数据，并对其执行相应的安全策略，如阻止协议数据通过或禁止非法访问，能有效地过滤攻击流量。 25．网络层防火墙通过对流经的协议数据包的头部信息，如源地址、目标地址、IP协议域、源端口和目标端口号等信息进行规定策略的控制，也可以获取协议数据包头的一段数据。而应用层防火墙可以对协议数据流进行全部的检查