网络安全与防护—笔试题答案
长春职业技术学院专业课程试题库
第一部分:理论题
一.选择题
学习情境1-任务1-基于Sniffer进行协议.模拟攻击分析(1/22) 1.ARP协议工作过程中,当一台主机A向另一台主机B发送ARP查询请求时,以太网帧封装的目的MAC地址是(D)。
A. 源主机A的MAC地址
B. 目标主机B的MAC地址
C. 任意地址: D02. 广播地址:FFFFFFFFFFFF
2.在下面的命令中,用来检查通信对方当前状态的命令是(B)。
A. telnet
B. ping
C. tcpdump
D. traceroute
3.在进行协议分析时,为了捕获到网络有全部协议数据,能够在交换机上配置(A)功能。
A. 端口镜像
B. VLAN
C. Trunk
D. MAC地址绑定
4.在进行协议分析时,为了捕获到流经网卡的全部协议数据,要使网卡工作在(C)模式下?。
A. 广播模式
B. 单播模式
C. 混杂模式
D. 多播模式
5.在计算机中查看ARP缓存记录的命令是(A)。
A. “arp -a”
B. “arp -d”
C. “netstat -an”
D. “ipconfig /all”
6.在计算机中清除ARP缓存记录的命令是(B)。
A. “arp -a”
B. “arp -d”
C. “netstat -an”
D. “ipconfig /all”
7.一帧ARP协议数据中,如果其中显示操作代码(Opcode)值为1,表示此数据帧为ARP的什么帧?(D)
A. 单播帧
B. 应答帧
C. 多播帧
D. 请求帧
8.在广播式网络中,发送报文分组的目的地址有(C)地址.多站(播)地址和广播地址三种。
A. 本地
B. 远程
C. 单一物理(单播)
D. 逻辑
9.网络安全的基本属性是( B)。
A. 机密性
B. 其它三项均是
C. 完整性
D. 可用性
10.小李在使用super scan对目标网络进行扫描时发现,某一个主机开放了25和110端口,此主机最有可能是(B)
A. 文件服务器
B. 邮件服务器
C. WEB服务器
D. DNS服务器
11.协议分析技术能够解决以下哪个安全问题?(C)
A. 进行访问控制
B. 清除计算机病毒
C. 捕获协议数据并进行分析.定位网络故障点
D. 加密以保护数据
12.什么是DoS攻击?(B)
A. 针对DOS操作系统的攻击
B. 拒绝服务攻击
C. 一种病毒
D. 地址欺骗攻击
13.你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令?(D) A. ping B. nslookup C. ipconfig D. tracert
14.TELNET和FTP协议在进行连接时要用到用户名和密码,用户名和密码是以什么形式传输的?(C)
A. 对称加密
B. 加密
C. 明文
D. 不传输密码
15.假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段?(B)
A. 缓冲区溢出
B. 地址欺骗
C. 拒绝服务
D. 暴力攻击
学习情境2-任务1-利用PGP实施非对称加密(2/22)
16. DES加密算法的密钥长度是多少? (B)
A. 64位
B. 56位
C. 168位
D. 40位
17.RSA属于(B )
A. 秘密密钥密码
B. 公用密钥密码
C. 对称密钥密码
D. 保密密钥密码
18.DES属于( A)
A. 对称密钥密码
B. 公用密钥密码
C. 保密密钥密码
D. 秘密密钥密码
19.MD5算法能够提供哪种数据安全性检查(C )
A. 可用性
B. 机密性
C. 完整性
D. 以上三者均有
20. SHA算法能够提供哪种数据安全性检查(A )
A. 完整性
B. 机密性
C. 可用性
D. 以上三者均有
21.数字签名技术提供哪种数据安全性检查(B )
A. 机密性
B. 源认证
C. 可用性
D. 完整性
22.在以下认证方式中,最常见的认证方式是(D )
A. 基于摘要算法认证
B. 基于PKI认证
C. 基于数据库认证
D. 基于账户名/口令认证
23.在公钥密码体制中,不公开的是(B )
A. 公钥
B. 私钥
C. 加密算法
D. 数字证书
24.数字签名中,制作签名时要使用(D )
A. 用户名
B. 公钥
C. 密码
D. 私钥
25.在公钥密码体制中,用于加密的密钥为( B)
A. 私钥
B. 公钥
C. 公钥与私钥
D. 公钥或私钥
26.计算机网络系统中广泛使用的3DES算法属于( C)
A. 不对称加密
B. 不可逆加密
C. 对称加密
D. 公开密钥加密
27.3DES使用的密钥长度是多少位?(C)
A. 64
B. 56
C. 168
D. 128
28.有一种原则是对信息进行均衡.全面的防护,提高整个系统的“安全最低点”的安全性能,该原则是(D )
A. 整体原则
B. 等级性原则
C. 动态化原则
D. 木桶原则
29.对系统进行安全保护需要一定的安全级别,处理敏感信息需要的最低安全级别是(C )
A. A1
B. D1
C. C2
D. C1
30.截取是指未授权的实体得到了资源的访问权,这是对下面哪种安全性的攻击(D )
A. 可用性
B. 机密性
C. 完整性
D. 合法性
31.数字信封技术采用了对称与非对称加密技术的结合,其中非对称加密的对象是什么?(B)
A. 公钥
B. 对称加密密钥
C. 数据
D. 以上都不对
学习情境2-任务3-利用数字证书保护通信(3/22)
32.SSL(HTTPS)安全套接字协议所使用的端口是:( D )
A. 80
B. 3389
C. 1433
D. 443
33.用户从CA安全认证中心申请自己的证书,并将该证书装入浏览器的主要目的是(B )
A. 避免她人假冒自己
B. 防止第三方偷看传输的信息
C. 保护自己的计算机免受病毒的危害
D. 验证Web服务器的真实性
34.关于数字证书,以下那种说法是错误的( A)
A. 数字证书包含有证书拥有者的私钥信息
B. 数字证书包含有证书拥有者的公钥信息
C. 数字证书包含有证书拥有者的基本信息
D. 数字证书包含有CA的签名信息
35.管理数字证书的权威机构CA是( C)
A. 加密方
B. 解密方
C. 可信任的第三方
D. 双方
36.利用SSL安全套接字协议访问某个网站时,不再使用HTTP而是使用(A ) A. https B. ftp C. tftp D. IPSec
37.数字证书上的签名是由CA使用什么制作的?(B)
A. CA的公钥
B. CA的私钥
C. 证书持有者的私钥
D. 证书持有者的公钥
38.数字签名中,制作签名时要使用(D )
A. 用户名
B. 密码
C. 公钥
D. 私钥
39.数字摘要,能够经过以下哪种算法制作(C )
A. DH
B. DES
C. MD5
D. RSA
40.数字证书采用公钥体制,即利用一对互相匹配的密钥进行( B)
A. 加密
B. 安全认证
C. 解密
D. 加密.解密
41.数字证书的作用是证明证书中列出的用户合法拥有证书中列出的(B )
A. 私人密钥
B. 公开密钥
C. 解密密钥
D. 加密密钥
42.CA指的是:(C )
A. 虚拟专用网
B. 加密认证
C. 证书授权
D. 安全套接层 43.以下关于数字签名说法正确的是:(B )
A. 数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息
B. 数字签名能够解决篡改.伪造等安全性问题
C. 数字签名一般采用对称加密机制
D. 数字签名能够解决数据的加密传输,即安全传输问题
44.以下关于CA认证中心说法正确的是:(D )
A. CA认证是使用对称密钥机制的认证方法
B. CA认证中心只负责签名,不负责证书的产生
C. CA认证中心不用保持中立,能够随便找一个用户来做为CA认证中心
D. CA认证中心负责证书的颁发和管理.并依靠证书证明一个用户的身份
45.关于CA和数字证书的关系,以下说法不正确的是:(C )
A. 数字证书是保证双方之间的通讯安全的电子信任关系,她由CA签发
B. 在电子交易中,数字证书能够用于表明参与方的身份
C. 数字证书一般依靠CA中心的对称密钥机制来实现
D. 数字证书能以一种不能被假冒的方式证明证书持有人身份
学习情境2-任务3-利用隧道技术连接企业与分支(4/22)
46. JOE是公司的一名业务代表,经常要在外地访问公司的财务信息系统,她应该采用的安全.廉价的通讯方式是(D )
A. PPP连接到公司的RAS服务器上
B. 与财务系统的服务器PPP连接
C. 电子邮件
D. 远程访问VPN
47.IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由信息(A ) A. 隧道模式 B. 管道模式 C. 传输模式 D. 安全模式
48.有关L2TP(Layer 2 Tunneling Protocol)协议说法有误的是(A ) A. L2TP只能经过TCT/IP连接 B. L2TP可用于基于Internet的远程拨号访问
C. 为PPP协议的客户建立拨号连接的VPN连接
D. L2TP是由PPTP协议和Cisco公司的L2F组合而成
49.针对下列各种安全协议,最适合使用外部网VPN上,用于在客户机到服务器的连接模式的是(B )
A. IPsec
B. SOCKS v5
C. PPTP
D. L2TP
50.下列各种安全协议中使用包过滤技术,适合用于可信的LAN到LAN之间的VPN,即内部网VPN的是(D )
A. PPTP
B. L2TP
C. SOCKS v5
D. Ipsec
51.属于第三层的VPN隧道协议有( C)
A. L2TP
B. PPTP
C. GRE
D. 以上都不是
52. IPSec协议和以下哪个VPN隧道协议处于同一层(B)
A. PPTP
B. GRE
C. L2TP
D. 以上皆是
53.下列协议中,哪个协议的数据能够受到IPSec的保护(B)
A. ARP
B. TCP.UDP.IP
C. RARP
D. 以上皆能够
54.以下关于VPN说法正确的是:( C)
A. VPN指的是用户自己租用线路,和公共网络物理上完全隔离的.安全的线路
B. VPN不能做到信息认证和身份认证
C. VPN指的是用户经过公用网络建立的临时的.安全的连接
D. VPN只能提供身份认证.不能提供加密数据的功能
55.关于vpn以下说法中正确的是(B )
A. vpn技术上只支持PPTP和L2TP协议
B. vpn客户机能够是一台路由器
C. 经过vpn需要为每一台pc单独建立连接
D. 连接到企业网络的客户机肯定是一台计算机
56.下列哪种操作系统不能作为vpn客户机?( D)
A. WIN NT3.0
B. LINUX
C. WIN XP
D. DOS
57.以下设备中不能够作为VPN服务器的是( D)
A. 路由器
B. 防火墙
C. PC
D. 交换机
58.在身份识别中哪种协议具有更好的安全性?(B )
A. TCP/IP
B. EAP-TLS
C. MS-CHAP
D. IP-SEC
学习情境2-任务4-基于Windows实现VPN连接(5/22)
59.下面哪个方式是属于三层VPN的(D)
A. L2TP
B. MPLS
C. IPSec
D. PP2P
60.在加密和解密的过程中,下面哪种算法是采用不对称方式的(C) A. DES B. 3DES C. RSA D. AES
学习情境3-任务1-基本防火墙功能配置(7/22)
61.严格的口令策略不包括(D )
A. 满足一定的长度,比如8位以上
B. 同时包含数字,字母和特殊字符
C. 系统强制要求定期更改口令
D. 用户能够设置空口令
62.以下关于防火墙的设计原则说法正确的是(B )
A. 不单单要提供防火墙的功能,还要尽量使用较大的组件
B. 保持设计的简单性
C. 保留尽可能多的服务和守护进程,从而能提供更多的网络服务
D. 一套防火墙就能够保护全部的网络
63.包过滤是有选择地让数据包在内部与外部主机之间进行交换,根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备是(A )
A. 交换机
B. 一台独立的主机
C. 路由器
D. 网桥
64.防火墙中地址翻译NAT的主要作用是(C )
A. 提供代理服务
B. 进行入侵检测
C. 隐藏内部网络地址
D. 防止病毒入侵
65.能够经过哪种安全产品划分网络结构,管理和控制内部和外部通讯(B ) A. CA中心 B. 防火墙 C. 加密机 D. 防方病毒产品
66.包过滤工作在OSI模型的哪一层?( D)
A. 表示层
B. 传输层
C. 数据链路层
D. 网络层
67.为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是(C )
A. IDS
B. 杀毒软件
C. 防火墙
D. 路由器
学习情境4-任务1-IDS基础(11/22)
68.以下哪一项不属于入侵检测系统的功能:(D )
A. 监视网络上的通信数据流
B. 捕捉可疑的网络活动
C. 提供安全审计报告
D. 过滤非法的数据包
69.入侵检测系统的第一步是:( B)
A. 信号分析
B. 信息收集
C. 数据包过滤
D. 数据包检查 70.入侵检测系统在进行信号分析时,一般经过三种常见的技术手段,以下哪一种不属于一般的三种技术手段:(C )
A. 模式匹配
B. 统计分析
C. 密文分析
D. 完整性分析
71.以下哪一种方式是入侵检测系统所一般采用的:( A)
A. 基于网络的入侵检测
B. 基于IP的入侵检测
C. 基于服务的入侵检测
D. 基于域名的入侵检测
72.以下哪一项属于基于主机的入侵检测方式的优势:(B )
A. 监视整个网段的通信
B. 适应交换和加密
C. 不要求在大量的主机上安装和管理软件
D. 具有更好的实时性
73.能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是:(B )
A. 基于文件的入侵检测方式
B. 基于网络的入侵检测方式
C. 基于主机的入侵检测方式
D. 基于系统的入侵检测方式
学习情境5-任务2-安装配置防病毒系统(15/22)
74.以下关于计算机病毒的特征说法正确的是(D )
A. 计算机病毒只具有破坏性,没有其它特征
B. 计算机病毒只具有破坏性,没有其它特征
C. 计算机病毒只具有传染性,不具有破坏性
D. 破坏性和传染性是计算机病毒的两大主要特征
75.以下关于宏病毒说法正确的是(B )
A. 宏病毒主要感染可执行文件
B. 宏病毒仅向办公自动化程序编制的文档进行传染
C. 宏病毒主要感染软盘.硬盘的引导扇区或主引导扇区
D. CIH病毒属于宏病毒
76.以下哪一项不属于计算机病毒的防治策略(A )
A. 禁毒能力
B. 查毒能力
C. 解毒能力
D. 防毒能力
77.在以下操作中,哪项不会传播计算机病毒(B )
A. 将别人使用的软件复制到自己的计算机中
B. 经过计算机网络与她人交流软件
C. 在自己的计算机上使用其它人的U盘
D. 将自己的U盘与可能有病毒的U盘存放在一起
78.计算机病毒一般是(C )
A. 一条命令
B. 一个文件
C. 一段程序代码
D. 一个标记
79.在下列4 项中,不属于计算机病毒特征的是(B )
A. 潜伏性
B. 免疫性
C. 传播性
D. 激发性
80.Internet 病毒主要经过(C )途径传播。
A. 光盘
B. 软盘
C. 电子邮件.下载文件
D. Word 文档
81.病毒造成的影响不包括(D )
A. 数据.文件的丢失
B. 计算机运行速度下降
C. 主机系统软件损毁
D. 显视器产生坏点
82.不属于计算机病毒防治的策略的是(C )
A. 确认您手头常备一张真正"干净"的引导盘
B. 及时,可靠升级反病毒产品
C. 整理磁盘
D. 新购置的计算机软件也
要进行病毒检测
83.使用防病毒软件时,一般要求用户每隔2周进行升级,这样做的目的是(D )
A. 对付最新的病毒,因此需要下载最新的程序
B. 程序中有错误,因此要不断升级,消除程序中的BUG
C. 每两周将有新的病毒出现
D. 新的病毒在不断出现,因此需要用及时更新病毒的特征码资料库
84.计算机病毒是指( B)
A. 带细菌的磁盘
B. 具有破坏性的特制程序
C. 已损坏的磁盘
D. 被破坏了的程序
85.多数蠕虫病毒发作的特征是什么(C )
A. 破坏PC游戏程序
B. 攻击个人PC终端
C. 大量消耗网络带宽
D. 攻击手机网络
学习情境6-任务1-数据备份与恢复(17/22)
86.哪种原因不会造成数据的丢失(A )
A. 正常关机
B. 电脑病毒
C. 系统硬件故障
D. 黑客入侵
87.为了防止发生不可预测的灾难,一般会如何处理数据(B )
A. 存在保险柜里一份
B. 在远离数据中心的地方备份
C. 安装灾害预测系统
D. 常做备份
88.主要备份类型不包括( D)
A. 全备份
B. 差分备份
C. 增量备份
D. 选择备份
89.重做系统前什么文件没有必要备份(C )
A. 我的文档
B. 收藏夹
C. 邮箱中的邮件
D. 桌面的文件
90.以下哪个说法是正确(C)
A. 清空回收站中删除的文件后,文件将无法恢复
B. U盘快速格式化后,文件将无法恢复
C. 清空回收站中删除的文件.U盘快速格式化后文件都能够恢复
D. 清空回收站中删除的文件后文件能够恢复.U盘快速格式化后文件无法恢复
学习情境6-任务2-磁盘冗余配置与实现(18/22)
91.下列哪种RAID类型的读取速度最快?(D )
A. RAID5
B. RAID3
C. RAID1
D. RAID0
92.以下哪一项不是RAID设计的目的?( B)
A. 提高磁盘性能
B. 提高磁盘转速
C. 提高磁盘可靠性
D. 提高磁盘容错性
93.下列哪种RAID类型的安全性最好?( A)
A. RAID2
B. RAID1
C. RAID3
D. RAID5
94.RAID1的磁盘利用率为( C)
A. 100%
B. 75%
C. 50%
D. 33%
95.下列哪种RAID类型的空间利用率最高?( B)
A. RAID1
B. RAID0
C. RAID5
D. RAID3
96.以下错误的是。(D )
A. RAID是独立冗余磁盘阵列的缩写
B. IDE硬盘也能够使用RAID
C. RAID0的磁盘利用率最高
D. RAID5的存储速度最快
97.下列哪种RAID类型的空间利用率最低?( C)
A. RAID0
B. RAID3
C. RAID1
D. RAID5
98.下列哪种RAID类型的安全性最差?( B)
A. RAID1
B. RAID0
C. RAID5
D. RAID3
99.RAID5最少需要( C)块磁盘才能实现
A. 5
B. 4
C. 3
D. 2
100.不属于RAID硬件故障的是( D)
A. 硬盘数据线损坏
B. RAID卡损坏
C. RAID出现坏道,导致数据丢失
D. 磁盘顺序出错,系统不能识别
101.以下正确的是( B)
A. 只能在windows系统的pc中使用磁盘阵列
B. 磁盘阵列的的容错性是有限的
C. 小型企业不需要磁盘阵列技术
D. 磁盘阵列的技术已经达到完美
102.以下不是HSRP(热备份路由器协议)的特点(D )
A. 能够保护第一跳路由器不出故障
B. 主动路由器出现故障将激活备份路由器取代主动路由器
C. 负责转发数据包的路由器称之为主动路由器
D. HSRP 运行在 UDP 上,采用端口号2085
103.一个用户经过验证登录后,系统需要确定该用户能够做些什么,这项服务是?(B )
A. 认证
B. 访问控制
C. 不可否定性
D. 数据完整性
学习情境6-任务6-基于SNMP协议实现网络管理(22/22)
104.SNMP 不是设计用于哪种网络节点的标准协议?( D)
A. 服务器
B. 工作站
C. 交换机
D. 网卡
105.SNMP是属于哪层的协议?(B)
A. 网络层
B. 应用层
C. 传输层
D. 物理层
106.下列哪个不是SNMP的主要组成部分?( A)
A. DNS服务器
B. 代理
C. 管理的设备
D. 网络管理系统
107.被管理设备也被称为什么?( C)
A. 控制中心
B. 控制单元
C. 管理单元
D. 网管系统
108.被管理系统不包括?( A)
A. 虚拟机
B. 路由器
C. 交换机
D. 访问服务器
109.SNMP共有几个版本?( B)
A. 4
B. 3
C. 2
D. 1
110.SNMP报文使用什么协议传送?( D)
A. TCP
B. FTP
C. HTTP
D. UDP
111.当网络元素使用的是另一种网络管理协议时,可使用( C)
A. 网桥
B. 协议转换
C. 委托代理
D. NAT
112.SNMP的网络管理构成不包括(B )
A. 管理信息库
B. 管理信息接口
C. 管理信息结构
D. SNMP本身
113.不是对象命名树的顶级对象的是( B)
A. ISO
B. B的分支
C. ITU-T
D. A.C的联合体
114.ISO定义的系统管理功能域中,( )包括的功能有发现安全漏洞,设计和改进安全策略等(C)
A. 配置管理
B. 故障管理
C. 安全管理
D. 性能管理
115.SNMP网络管理中,一个管理站能够管理(B )代理。
A. 0个
B. 多个
C. 2个
D. 1个
116.要在RMON表中增加新行,管理站用的命令是(D )
A. Get
B. TrAp
C. Set
D. GetNext
117.SNMP网络管理中,被管理设向管理工作站发送TRAP消息时使用的是什么端口号(C )
A. UDP161
B. TCP161
C. UDP162
D. TCP162
118.下列哪种不是SNMP中规定的协议数据单元PDU(D )
A. trap
B. set-request
C. get-response
D. get-ack
119.下列哪项不是SNMP报文的组成部分(B )
A. 公共SNMP首部
B. trap尾部
C. get/set首部trap首部
D. 变量绑定
120.以下协议中哪个协议不是网络管理协议(D)
A. SNMP
B.CMIS/CMIP
C.LMMP
D. ARP
二、判断题
1.VPN的主要特点是经过加密使信息能安全的经过Internet传递。T
2.L2TP与PPTP相比,加密方式能够采用Ipsec加密机制以增强安全性。T 3.计算机信息系统的安全威胁同时来自内.外两个方面。 T
4.用户的密码一般应设置为8位以上。T
5.密码保管不善属于操作失误的安全隐患。 F
6.漏洞是指任何能够造成破坏系统或信息的弱点。T
7.公共密钥密码体制在密钥管理上比对称密钥密码体制更为安全。T
8.安全审计就是日志的记录。F
9.计算机病毒是计算机系统中自动产生的。F
10.对于一个计算机网络来说,依靠防火墙即能够达到对网络内部和外部的安全防护。F
11.国际标准化组织ISO对网络管理功能域定义了五方面功能:配置管理.性能管理.计费管理.故障管理.安全管理。T
12.AAA(Authentication认证/Authorization授权/Accounting计费)是网络安全的一种管理机制,提供了认证.授权.计费(也称为审计)三种安全功能。T
13.认证(Authentication)的过程是请求方证明自己身份,认证服务器验证其真实性的过程。T
14.常见的AAA客户端与AAA服务器之间的通信协议是RADIUS。T
15.当误删除文件后,向文件所在分区写入新文件,会给文件的恢复带来困难。T
16.热备份路由协议(HSRP,Hot Standby Router Protocol )与VRRP功能类似,用于数据备份。F
17.当前应用最为广泛的集群技术能够分为三大类:高可用性集群技术.高性能计算集群技术和高可扩展性集群技术。T
18.当利用5块磁盘配置RAID5,磁盘的最大利用率为75%,磁盘数量越多利用率越低。F
19.计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。T 20.就当前的防病毒技术的软硬件还无法处理未知的病毒,也不能处理所有已
经存在但未被发现的病毒。T
21.查杀病毒后不能确保恢复被病毒感染破坏的文件.杀毒软件存在误报和漏报问题.杀毒软件需要经常更新.升级。T
22.根据系统应用,关闭不需要的服务与端口,能够强化对主机的保护。T 23.操作系统漏洞是能够经过重新安装系统来修复。F
24.为了防御入侵,能够采用是杀毒软件实现。F
25.入侵检测(Intrusion Detection)是对入侵行为的发觉,进行入侵检测的软件与硬件的组合便是入侵检测系统IDS。T
26.入侵检测系统IDS能够取代防火墙,实现对入侵及网络攻击的防范。F 27.入侵检测系统包括三个功能部件:信息收集.信息分析.结果处理。T 28.对收集到的信息的分析方法主要有:模式匹配.统计分析.完整性分析(往往用于事后分析)。T
29.防火墙能够对流经它的数据进行控制,对于不经过它的访问行为,它一般不能进行控制。T
30.防火墙能够检查进出内部网的通信量。T
31.防火墙能够使用应用网关技术在应用层上建立协议过滤和转发功能。T 32.防火墙能够使用过滤技术在网络层对数据包进行选择或控制。T
33.防火墙能够阻止来自内部的威胁和攻击。F
34.防火墙能够防范病毒.防火墙自身不会被攻破。F
35.防火墙无法防范数据驱动型的攻击,如防火墙不能防止内部用户下载被病毒感染的计算机程序.打开带有病毒的电子邮件的附件.加密或压缩的数据的传输等。T
36.防火墙不能防备全部的威胁,防火墙只实现了粗粒度的访问控制。T 37.防火墙的配置与管理较复杂,可能存在错误的配置应用。T
38.很难为用户在防火墙内外提供一致的安全策略。T
39.任何软件及系统在设计时都可能存在缺陷,防火墙也不例外。T 40.DMZ一般称之为非军事化区,也叫停火区。T
41.虚拟专用网络(VPN)能够利用Internet或其它公共互联网络的基础设施为用户创立隧道,并提供与专用网络一样的安全和功能保障。T
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.doczj.com/doc/0b7016264.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.doczj.com/doc/0b7016264.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.doczj.com/doc/0b7016264.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.doczj.com/doc/0b7016264.html,
5
2017年《移动互联网时代的信息安全与防护》一、单选题(题数:50,共50.0 分) 1 当前,应用软件面临的安全问题不包括()。(1.0分) 1.0 分 A、 应用软件被嵌入恶意代码 B、 恶意代码伪装成合法有用的应用软件 C、 应用软件中存在售价高但功能弱的应用 D、 应用软件被盗版、被破解
我的答案:C 2 打开证书控制台需要运行()命令。(1.0分)1.0 分 A、 certmgr.msc B、 wiaacmgr C、 devmgmt.msc D、 secpol.msc 我的答案:A
3 操作系统面临的安全威胁是()。(1.0分) 1.0 分 A、 恶意代码 B、 隐蔽信道 C、 用户的误操作 D、 以上都是 我的答案:D 4 信息安全防护手段的第三个发展阶段是()。(1.0分)
1.0 分 A、 信息保密阶段 B、 网络信息安全阶段 C、 信息保障阶段 D、 空间信息防护阶段 我的答案:C 5 网络空间信息安全防护的原则是什么?()(1.0分)1.0 分 A、 整体性和分层性
B、 整体性和安全性 C、 分层性和安全性 D、 分层性和可控性 我的答案:A 6 以下哪些不是iCloud云服务提供的功能()。(1.0分)1.0 分 A、 新照片将自动上传或下载到你所有的设备上 B、 你手机、平板等设备上的内容,可随处储存与备份
C、 提供个人语音助理服务 D、 帮助我们遗失设备时找到它们 我的答案:C 7 运用针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术属于()。(1.0分)0.0 分 A、 包过滤型 B、 应用级网关型 C、 复合型防火墙
网络工程师招聘笔试题 选择题:(每题2分,共100分) 1、以下属于物理层的设备是( A ) A、中继器 B、以太网交换机 C、桥 D、网关 2、在以太网中,是根据( B )地址来区分不同的设备的。 A、LLC地址 B、MAC地址 C、IP地址 D、IPX地址 3、以下为传输层协议的是(CD ) A、IP B、ICMP C、UDP D、SPX 4、以下对MAC地址描述正确的是(BC ) A、由32位2进制数组成 B、由48位2进制数组成 C、前6位16进制由IEEE负责分配 D、后6位16进制由IEEE负责分配 5、以下属于数据链路层功能的是(CD ) A、定义数据传输速率 B、定义物理地址 C、描述网络拓扑结构 D、流控制 6、IEEE802.3u标准是指( B ) A、以太网 B、快速以太网 C、令牌环网 D、FDDI网 7、如果要将两计算机通过双绞线直接连接,正确的线序是( C ) A、1--1、2--2、3--3、4--4、5--5、6--6、7--7、8--8 B、1--2、2--1、3--6、4--4、5--5、6--3、7--7、8--8 C、1--3、2--6、3--1、4--4、5--5、6--2、7--7、8--8 D、两计算机不能通过双绞线直接连接 8、在V.35和V.24规程中,控制信号RTS表示(D) A、数据终端准备好; B、数据准备好; C、数据载体检测; D、请求发送; E、清除发送。 9、路由器作为网络互连设备,必须具备以下哪些特点。(ABE ) A、至少支持两个网络接口 B、协议至少要实现到网络层 C、至少支持两种以上的子网协议 D、至少具备一个备份口 E、具有存储、转发和寻径功能 F、一组路由协议 G、必须有较高的协议处理能力
中小企业网络安全解决 方案 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
瑞华中小企业网络安全解决方案 2009-10-26
网络现状分析 伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet 所具有的开放 性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络 系统不受病毒和黑客的入侵,已成为所有用户信息化健康发展所要考虑的重要事情之一。尤 其是证券行业、企业单位所涉及的信息可以说都带有机密性,所以,其信息安全问题,如敏 感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对用户机构信息 安全构成威胁。为保证网络系统的安全,有必要对其网络进行专门安全防护设计。 网络的发展加剧了病毒的快速传播 企业网络分析 企业网络面临的安全 问题 系统漏洞、安全隐患多 可利用资源丰富 病毒扩散速度快 企业用户对网络依赖性强 网络使用人员安全意识薄弱
网络管理漏洞较多 内部网络无法管控 信息保密性难以保证 基础网络应用成为黑客和病毒制造者的攻击目标 黑客和病毒制造者将攻击重点由以前的广域网转移到企业内网可能带来的损失 网络安全/病毒事故导致信息外泄和数据破坏,导致巨大财产损失 网络安全/病毒事故导致内部网络瘫痪,无法正常工作 网络带宽的不断加大,员工的行为无法约束,使工作效率大大下降。 系统漏洞的不断增加,攻击方式多样化发展,通过漏洞辐射全网快速传播,导致网络堵塞,业务无法正常运行。 病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与 境外服务器连接,将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。 网络行为无法进行严格规划和审计,致使网络安全处于不可预知和控制的状态。 瑞华中小网络安全解决方案 面对以上的问题,瑞华公司根据对典型中小网络的分析,制定整体的网络安全防护体系, 对网络边界和网络内部进行了合理化的方案制定,做到最大限度的保障用户网络安全和内部 业务的正常运行。对所有通过的数据进行检测,包括HTTP、FTP、SMTP、POP3 等协议传输的 数据,内部网络的规范应用进行管控,而且还提供了对外服务器的保护、防止黑客对这些网 络的攻击等等。下面是部署典型中小网络结构拓扑图:
1.1 1《第35次互联网络发展统计报告》的数据显示,截止2014年12月,我国的网民数量达到了(C )多人。 A、2亿 B、4亿 C、6亿 D、8亿 2《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。(√) 3如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。(×) 1.2 1网络的人肉搜索、隐私侵害属于(C )问题。 A、应用软件安全 B、设备与环境的安全 C、信息内容安全 D、计算机网络系统安全 2下列关于计算机网络系统的说法中,正确的是(D). A、它可以被看成是一个扩大了的计算机系统 B、它可以像一个单机系统当中一样互相进行通信,但通信时间延长 C、它的安全性同样与数据的完整性、保密性、服务的可用性有关 D、以上都对 3(D)是信息赖以存在的一个前提,它是信息安全的基础。 A、数据安全 B、应用软件安全 C、网络安全 D、设备与环境的安全 1.3 1在移动互联网时代,我们应该做到(D) A、加强自我修养 B、谨言慎行 C、敬畏技术 D、以上都对 2黑客的行为是犯罪,因此我们不能怀有侥幸的心理去触犯法律。(√) 2.1
1美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网服务商的(C)收集、分析信息。 A、用户终端 B、用户路由器 C、服务器 D、以上都对 2谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。(√) 3“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。(√) 2.2 1下列关于网络政治动员的说法中,不正确的是(D) A、动员主体是为了实现特点的目的而发起的 B、动员主体会有意传播一些针对性的信息来诱发意见倾向 C、动员主体会号召、鼓动网民在现实社会进行一些政治行动 D、这项活动有弊无利 2在对全球的网络监控中,美国控制着(D) A、全球互联网的域名解释权 B、互联网的根服务器 C、全球IP地址分配权 D、以上都对 3网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱等人身攻击。(×) 2.3 1网络空间里,伪造威胁是指一个非授权方将伪造的课题插入系统当中来破坏系统的(B)A、稳定性 B、可认证性 C、流畅性 D、以上都对 2网络空间的安全威胁中,最常见的是(A) A、中断威胁 B、截获威胁 C、篡改威胁 D、伪造威胁 3信息流动的过程中,使在用的信息系统损坏或不能使用,这种网络空间的安全威胁被称为(A) A、中断威胁 B、截获威胁 C、篡改威胁 D、伪造威胁 4网络空间里,截获威胁的“非授权方”指一个程序,而非人或计算机。(×)
上海技术面试题总结(一) ●OSI七层模型? 答:物理层:主要负责比特流的传输 数据链路层:链路连接的建立,拆除,分离。将数据封装成帧。差错检测和恢复 网络层:路由选择和中继差错检测流量控制 传输层:传输层提供了主机应用程序进程之间的端到端的服务 分割与重组数据、按端口号寻址、连接管理、差错控制和流量控制会话层:允许不同机器上的用户之间建立会话关系,如WINDOWS 表示层:数据的表现形式,特定功能的实现,如数据加密。 应用层:用户接口,提供用户程序“接口”。 ●TCP/IP每层所使用的协议? 答:1) 链路层,有时也称作数据链路层或网络接口层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。它们一起处理与电缆(或其他任何传输媒介)的物理接口细节。 2) 网络层,有时也称作互联网层,处理分组在网络中的活动,例如分组的选路。在 T C P / I P协议族中,网络层协议包括I P协议(网际协议),I C M P协议(I n t e r n e t互联网控 制报文协议),以及I G M P协议(I n t e r n e t组管理协议)。 3 ) 运输层主要为两台主机上的应用程序提供端到端的通信。在 T C P / I P协议族中,有两个 互不相同的传输协议:T C P(传输控制协议)和U D P(用户数据报协议)。 T C P为两台主机提供高可靠性的数据通信。它所做的工作包括把应用程序交给它的数据分 成合适的小块交给下面的网络层,确认接收到的分组,设置发送最后确认分组的超时时钟 等。由于运输层提供了高可靠性的端到端的通信,因此应用层可以忽略所有这些细节。 而另一方面,U D P则为应用层提供一种非常简单的服务。它只是把称作数据报的分组 从一台主机发送到另一台主机,但并不保证该数据报能到达另一端。任何必需的可靠 性必须由应用层来提供。 这两种运输层协议分别在不同的应用程序中有不同的用途,这一点将在后面看到。 4 ) 应用层负责处理特定的应用程序细节。几乎各种不同的 T C P / I P实现都会提供下面这些 通用的应用程序: Telnet 远程登录。FTP 文件传输协议。SMTP 简单邮件传送协议。SNMP 简单网络管理协议 数据链路层:ARP,RARP;网络层:IP,ICMP,IGMP;传输层:TCP ,UDP,UGP;应用层:Telnet,FTP,SMTP,SNMP. 1.怎么样检测TCP/IP正常运行 运行cmd,然后输入ping 127.0.0.1 2.写出568A.568B的线序 568A:绿白、绿、橙白、蓝、蓝白、橙、棕白、棕 568B:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕 直通线一般都用A线序或B线序 交叉线一端是568A 一端是568B 3.如果用户的机器经常出现蓝屏的情况应该怎么办 首先考虑软件兼容性问题。可以将软件备份到其他计算机。然后删除软件。如果还不能解决就有可能是硬件兼容问题。先拔出不必要外设,比如打印机、扫描仪等等。再不行就是及其内部硬件兼容问题了。如果不是软件不是外设引起的蓝屏那么大部分都是由内存引起的。可以拔下内存擦一下金手指。或者更换其他内存条看看 4.NAT (网络地址转换) 有三种类型,静态转换,动态转换,端口复用(PAT)。其中端口复用最为常用,一般配置在公司的接入路由器上。静态转换多于端口映射,用来将内部的服务器发布出来 5.VLAN的作用 虚拟局域网。主要划分广播域用。交换机所有端口都处于相同广播域。这样随着级联交换机增多那么广播域内主机数也增多。广播流量也随之增加。为了有效控制广播数量可以考虑用
大型企事业单位网络安全防护解决方案计算机病毒通过POP 3、SMTP和HTTP等各类协议穿过防火墙进入企业内部进行传播l 内部网络易被外部黑客攻击l 对外的服务器(如:www、ftp、邮件服务器等)无安全防护,易被黑客攻击l 内部某些重要的服务器或网络被非法访问,造成信息泄密l 内部网络用户上网行为无有效的监控管理,影响日常工作效率,同时易形成内部网络的安全隐患l 分支机构也同样存在以上网络安全问题l 大量的垃圾邮件不断吞噬着网络和系统资源,同时垃圾邮件中又大都携带有网络病毒和不良Web 内容,不但浪费公司资源,影响工作效率,还会增加更多的不安全因素。l 分支机构网络和总部网络的连接安全问题,相互之间数据交换的安全问题l 远程、移动用户对公司内部网络的安全访问面对以上种种网络安全威胁,传统的单一功能的网络安全产品诸如防火墙等已经不能再满足企业的安全需求,因为普通防火墙只能在网络层上保护内网的计算机、服务器等不受外网的恶意攻击与非法访问,并不能阻断病毒、垃圾邮件等非安全因素进入到内网。因此,有必要在公司的网络与Internet边界建立全面的防护机制,在公司的网络边界处将网络安全威胁拒之门外,防止其通过网络连接传播到内网的服务器或计算机上。卓尔InfoGate UTM整体解决方案招商卓尔在深刻理解大型企事业单位网络结构及业务应用的前提下,结合多年网络安全领域所积累的经验,为大型企事业单位量身定制了一款高效可信赖的网络安全整体解决方案――卓尔InfoGate UTM安全网关。卓尔InfoGate UTM安全网关集防病毒、反垃圾邮件、Web内容过滤、泄密防范、VPN、防火墙等功能于一体,可在Internet入口及关键节点处全面阻止网络安全威胁进入到企事业单位内部,监控所有进出内部网络的HTTP、FTP和EMAIL 等数据流,并对上述数据进行过滤,同时通过VPN功能,为分支机构、远程、移动用户提供一个安全的远程连接功能,形成对公司内部网络强有力、全方位的安全防护。相关案例卓尔InfoGate坚强作后盾中国20万用户股海自在弄潮机构:股海观潮传媒集团用户评论:“经过公司总部半年左右的实际运行,从技术与实用的角度,卓尔InfoGate完全满足了安全防范与管理的系统要求,……为我总部业务的高效运行提供了可靠保障。”股海观潮总经理王先生安全的成功――广东省邮政与深圳市邮政的共同认可机构:广东省邮政、深圳市邮政用户评论:“在
尔雅通识课 《移动互联网时代的信息安全与防护》答案 1.课程概述 1.1课程目标 1.《第35次互联网络发展统计报告》的数据显示,截止2014年12月,我国的网民数量达到了()多人。 C 6亿 2.《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。()√ 3.如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。() × 1.2课程内容 1.()是信息赖以存在的一个前提,它是信息安全的基础。
A、数据安全 2.下列关于计算机网络系统的说法中,正确的是()。 D、以上都对 3.网络的人肉搜索、隐私侵害属于()问题。 C、信息内容安全 1.3课程要求 1.在移动互联网时代,我们应该做到()。 D、以上都对 2.信息安全威胁 2.1斯诺登事件 1.美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网
服务商的()收集、分析信息。 C、服务器 2.谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。() √ 3.“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。()√ 2.2网络空间威胁 1.下列关于网络政治动员的说法中,不正确的是() D、这项活动有弊无利 2.在对全球的网络监控中,美国控制着()。 D、以上都对 3.网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱
等人身攻击。()× 2.3四大威胁总结 1.信息流动的过程中,使在用的信息系统损坏或不能使用,这种网络空间的安全威胁被称为()。 A、中断威胁 2.网络空间里,伪造威胁是指一个非授权方将伪造的课题插入系统当中来破坏系统的()。 B、可认证性 3.网络空间的安全威胁中,最常见的是()。 A、中断威胁 4.网络空间里,截获威胁的“非授权方”指一个程序,而非人或计算机。() ×
初级网络工程师笔试题 姓名:得分: 一、选择题(每题5分) 1.VPN网络互联的方式有(B ) A、OSPF B、IPSEC C、MSTP D、TCP 2.VLAN的主要作用是(A ) A、隔离广播域 B、用户行为审计 C、用户流量控制 D、减小交换机压力 3.PC 无法连接到任何远程网站,无法ping 通其默认网关,也无法ping 通本地网段中工作正常的打印机。以下哪项操作可以确认此PC 上的TCP/IP 协议栈是否工作正常?( B ) A、在该主机的命令提示符后使用ipconfig /all 命令。 B、在命令提示符后使用ping 127.0.0.1 命令。 C、在命令提示符后使用traceroute 命令,找出网关路径中的任何故障。 D、从PC 制造商网站下载故障排除工作 4.网络运维软件一般采有什么协议(B ) A、ICMP B、SNMP C、RIP D、OSPF 5.路由表中有4条路由,10.0.0.0/24,10.0.1.0/24,10.0.2.0/24,10.0.3.0/24,如果要进行路由聚合,最合适的聚合后路由是( A ) A、10.0.0.0/22 B、10.0.0.0/23 C、10.0.0.0/24 D、10.0.0.0/25 6.下列哪些地址可以出现在公共互联网中(B ) A、192.168.1.77 B、202.100.22.10 C、10.0.12.46 D、172.16.33.124 7.cisco交换机trunk链路默认( C ) A、拒绝所有VLAN通过
B、只容许VLAN1通过 C、容许所有vlan通过 D、只容许前1024个vlan通过 8.直通线的线序是( A ) A、白橙橙、白绿蓝、白蓝绿、白棕棕 B、白橙橙、白绿蓝、白棕棕、白蓝绿 C、白绿蓝、白蓝绿、白棕棕、白橙橙 D、白橙橙、白蓝绿、白棕棕、白绿蓝 二、简述题 1、如果主机A想要访问Internet,请写出主机A的地址范围.子网掩码.网关,其中switch为二层设备(15分) 1.地址范围:19 2.168.100.19-192.168.100.30 2.掩码:255.255.255.240 3.网关:192.168.100.17 2、IP SEC VPN 经常会出现不稳定或中断的情况,请写出几种可能的原因。 1、运营商线路故障 2、设备自身秘钥协商失败 3、VPN感兴趣流没有配置正确 4、秘钥配置不正确
网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.doczj.com/doc/0b7016264.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;
1、解决路由环问题的方法有(ABD) A.水平分割 B.路由保持法 C.路由器重启 D.定义路由权的最大值 2、下面哪一项正确描述了路由协议(C) A.允许数据包在主机间传送的一种协议 B.定义数据包中域的格式和用法的一种方式 C.通过执行一个算法来完成路由选择的一种协议 D.指定MAC地址和IP地址捆绑的方式和时间的一种协议 3、以下哪些内容是路由信息中所不包含的(A) A.源地址 B.下一跳 C.目标网络 D.路由权值 4、以下说法那些是正确的(BD) A.路由优先级与路由权值的计算是一致的 B.路由权的计算可能基于路径某单一特性计算, 也可能基于路径多种属性 C.如果几个动态路由协议都找到了到达同一目标网络的最佳路由, 这几
条路由都会被加入路由表中 D.动态路由协议是按照路由的路由权值来判断路由的好坏, 并且每一种路由协议的判断方法都是不一样的 5、I GP的作用范围是(C) A.区域内 B.局域网内 C.自治系统内 D.自然子网范围内 6、距离矢量协议包括(AB) A.RIP B.BGP C.IS-IS D.OSPF 7、关于矢量距离算法以下那些说法是错误的(A) A.矢量距离算法不会产生路由环路问题 B.矢量距离算法是靠传递路由信息来实现的 C.路由信息的矢量表示法是(目标网络,metric) D.使用矢量距离算法的协议只从自己的邻居获得信息 &如果一个内部网络对外的出口只有一个,那么最好配置 (A) A.缺省路由 B.主机路由 C.动态路由 9、BGP是在(D)之间传播路由的协议 A.主机
B.子网 C.区域(area) D.自治系统(AS) 10、在路由器中,如果去往同一目的地有多条路由,则决定最佳路由的因素有(AC) A.路由的优先级 B.路由的发布者 C.路由的metirc值 D.路由的生存时间 11、在RIP协议中,计算metric值的参数是(D) A.MTU B.时延 C.带宽 D.路由跳数 12、路由协议存在路由自环问题(A) A.RIP B.BGP C.OSPF D.IS-IS 13、下列关于链路状态算法的说法正确的是:(bc ) A.链路状态是对路由的描述 B.链路状态是对网络拓扑结构的描述
移动互联网时代的信息安全与防护报告 名:移动互联网时代的信息安全与防护班级:历史1301姓名:李腾飞学号:xx2502020对互联网时代信息安全与防护的了解与认识近年来,随着计算机网络的普及与发展,我们的生活和工作都越来越依赖于网络。国家政府机构、各企事业单位不仅建立了自己的局域网系统,而且通过各种方式与互联网相连。但是,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。所以,我们在利用网络的同时,也应该关注网络安全问题, 一、网络安全定义互联网时代网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义方面来看,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。随着社会的网络化,在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步,计算机犯罪的对象从金融犯罪、个人隐私、国家安全、信用卡密码、军事机密等,网络安全问题能造成一个企业倒闭,个人隐私的泄露,甚至一个国家经济的重大损失。 二、影响网络安全的因素
(一)网络的脆弱性计算机网络安全系统的脆弱性是伴随计算机网络而同时产生的。因此,安全系统脆弱是计算机网络与生俱来的致命弱点。互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点对计算机网络安全提出了挑战。因此,可以说世界上任何一个计算机网络都不是绝对安全的。 (二)操作系统的安全问题 1、稳定性和可扩充性。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。 2、网络硬件的配置不协调。 一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。 二是网卡用工作站选配不当导致网络不稳定。 3、缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。 4、访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。 尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。
3. MPLS L3 VPN,如果我想让两个不同的VPN作单向互访,怎么做? 答:如果是两个VPN的互通,可以将两个VPN的路由信息输出到相同的一个RT,并 都导入,可实现互通。如果要单向访问,可建立一个公共VPN,导出两个VPN的RT,两个VPN都可以对公共VPN实现访问。 4. 跨域的MPLS L3 VPN可以谈谈思路吗? 答:RFC2547bis和最新的rfc4364都对其有定义,主要有三种。Option A B C: Option A: back to back v** 互连。两个*S间通过VRF 间的背对背的连接,路由可以选择静态或动态路由,这种方法简单实用,适于不同运营商间的连接。 Option B :MeBGP vpnv4连接两个AS间通过ASBR间建立MeBGP vpnv4,VPN路由 通过MBGP承载,具有较好的可扩展性。 Option C: RR间多跳MeBGP两个AS间建立MEBGP,但不是在ASBR上,是在两个AS各自的RR间,这样有较好的可扩展性,灵活性。但较复杂。要解决下一跳问题有 标签问题。 5.MPLS L3 VPN的一个用户,他有上internet的需求,如何实现?有几种实现方法? 特点各是什么? 答:有三种。 1、通过VPN访问internet. 传统做法是:设置一个集中的防火墙通过NAT实现INTERNET访问,简单易实现,只是不能对INTERNET流量和VPN流量进行区分,安 全存在问题。或者在PE路由器上配置PACK LEAKING 实现。 2、独立的INTERNET访问向每个VPN SITE 提供独立的INTERNET连接线路,由CE 路由器实现NAT到INTERNET。要求PE路由器向CE提供独立的线路或虚电路,PE路由器要有访问 INTERNE的能力。优点是能将VPN流量和INTERNET流量分开。 3、通过单独的VPN实现INTERNET连接,建立一个单独的VPN,将INTERNET缺省 路由和部分路由注入,在需要INTERNET访问SIET 相连的PE路由器上实现VPN互通,从而访问INTERNET。比较复杂,但可支持各种INTERNET访问要求。建议采用这种 6. L3 VPN与L2 VPN各自的特点是怎样?你觉得哪一种模式运营起来比较有前景?
网络安全解决方案概述 一、网络信息安全系统设计原则目前,对于新建网络或者已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 依照上述思想,网络信息安全系统应遵循如下设计原则 1、满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 2、需求、风险、代价平衡的原则对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 3、综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当
龙源期刊网 https://www.doczj.com/doc/0b7016264.html, 移动网络安全防护技术 作者:胡爱群李涛薛明富 来源:《中兴通讯技术》2011年第01期 摘要:移动网络向着高速率、全IP方向发展,承载的业务种类也越来越多,这就对移动网络的安全提出了新的要求。传统的安全方案并不能适应新的安全需要。文章分析了3G/4G 移动网络的安全威胁和需求,从移动网络的整体架构出发,提出了基于安全服务的安全防护方案。该方案在移动终端上构建可信计算环境,将软件合法性验证与访问控制相结合,在服务管理中心对移动终端提供完整性检查和软件合法性验证等安全服务,从而在很大程度上保护了移动终端以及移动网络的安全。进一步,文章给出了未来需研究的问题及发展方向。 关键词:移动网络安全;安全服务;可信计算,访问控制 随着移动网络的迅速发展,无线通信技术和计算机技术不断融合,移动设备朝着智能化的方向发展,其所支持的功能越来越多,使得人们可以享受各类丰富多彩的服务。然而,网络的开放性以及无线传输的特性,使得终端设备暴露在开放式的全IP化的网络中,各种敏感信息的防护面临着来自各种恶意攻击的挑战,安全问题已成为整个移动网络的核心问题之一。 本文在研究3G和4G移动通信系统的安全目标、安全原则及相应的威胁基础上,对现有各种安全防护方案进行讨论和分析,提出一种基于终端可信的、面向安全服务的统一安全防护体系,并给出其在移动网络中的具体应用。 1、移动通信系统的安全架构和面临的安全威胁 1.13GPP的安全机制 WCDMA、CDMA2000、TD-SCDNA是第三代移动通信的三大主流技术。3GPP制订的 3G安全功能分为5个安全特征组,分别属于3个不同的层面,如图1所示。它们分别是: (1)网络接入安全 该安全特征集提供用户安全接入3G业务,特别能抗击在无线接入链路上的攻击。 (2)网络域安全
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其 是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主
要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计算服务必须达到三级的要求。 1.1等级保护挑战 传统的等级保护标准主要面向静态的具有固定边界的系统环境。然而,对于云计算而言,保护对象和保护区域边界都具有动态性。因此,云计算环境下的等级保护面临新的挑战: ·业务可控性 云计算环境下,数据可能会在数据中心和物理主机之间移动,导致用户无法知道数据真实存储位置。另外,云平台引入了虚拟抽象层,其覆盖范围可以涵盖不同区域的物理设施,传统的等级保护并没有考虑这种情况。 ·核心技术的自主可控 由于云计算中许多核心技术仍然控制在国外企业手中,许多所谓的自主产品也可能是对国外购买的商业产品的改良,本质就是买下了推广他人产品的权利,随着国内云市场的不断发展,对云环境的自主可控性带来很大的挑战。 ·虚拟化安全 在云计算安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,对云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。
华为认证网络工程师--认证考试试题(笔试)及答案 选择题:(每题2分,共100分) 1、以下属于物理层的设备是(A ) A、中继器 B、以太网交换机 C、桥 D、网关 2、在以太网中,是根据(B )地址来区分不同的设备的。 A、LLC地址 B、MAC地址 C、IP地址 D、IPX地址 3、以下为传输层协议的是(CD ) A、IP B、ICMP C、UDP D、SPX 4、以下对MAC地址描述正确的是(BC ) A、由32位2进制数组成 B、由48位2进制数组成 C、前6位16进制由IEEE负责分配 D、后6位16进制由IEEE负责分配 5、以下属于数据链路层功能的是( CD ) A、定义数据传输速率 B、定义物理地址 C、描述网络拓扑结构 D、流控制 6、IEEE802.3u标准是指(B ) A、以太网 B、快速以太网 C、令牌环网 D、FDDI网 7、如果要将两计算机通过双绞线直接连接,正确的线序是(C ) A、1--1、2--2、3--3、4--4、5--5、6--6、7--7、8--8 B、1--2、2--1、3--6、4--4、5--5、6--3、7--7、8--8 C、1--3、2--6、3--1、4--4、5--5、6--2、7--7、8--8 D、两计算机不能通过双绞线直接连接 8、在V.35和V.24规程中,控制信号RTS表示(D) A、数据终端准备好; B、数据准备好; C、数据载体检测; D、请求发送; E、清除发送。 9、路由器作为网络互连设备,必须具备以下哪些特点。(ABE ) A、至少支持两个网络接口
C、至少支持两种以上的子网协议 D、至少具备一个备份口 E、具有存储、转发和寻径功能 F、一组路由协议 G、必须有较高的协议处理能力 10、路由器的作用有(ABDG) A、异种网络互连 B、子网间的速率适配 C、连接局域网内两台以上的计算机 D、隔离网络,防止网络风暴,指定访问规则(防火墙) E、子网协议转换 F、加快网络报文的传递速度 G、路由(寻径):路由表建立、刷新、查找 H、报文的分片与重组 11、调用上一条历史命令的快捷键是( A ) A、CTRL-P B、CTRL-O C、ALT-P D、ALT-O 12、交换机工作在OSI七层的哪一层?(B) A、一层 B、二层 C、三层 D、三层以上 13、以下对CSMA/CD描述正确的是(A D?? ) A、在数据发送前对网络是否空闲进行检测 B、在数据发送时对网络是否空闲进行检测 C、在数据发送时对发送数据进行冲突检测 D、发生碰撞后MAC地址小的主机拥有发送优先权 14、以下对STORE AND FORW ARD描述正确的是(CE ) A、收到数据后不进行任何处理,立即发送 B、收到数据帧头后检测到目标MAC地址,立即发送 C、收到整个数据后进行CRC校验,确认数据正确性后再发送 D、发送延时较小 E、发送延时较大 15、以下对交换机工作方式描述正确的是(ABD ) A、可以使用半双工方式工作 B、可以使用全双工方式工作 C、使用全双工方式工作时要进行回路和冲突检测 D、使用半双工方式工作时要进行回路和冲突检测 16、VLAN的主要作用有(ACD ) A、保证网络安全 B、抑制广播风暴 C、简化网络管理 D、提高网络设计灵活性 17、在交换机中用户权限分为几个级别(D )
课程目标已完成 1 《第35次互联网络发展统计报告》的数据显示,截止2014 年12 月,我国的网民数量达到了()多人。 A、 B、 C、 D、 我的答案:C 2 《第35次互联网络发展统计报告》的数据显示,2014 年总体网民当中遭遇过网络安全威胁的人数将近50%。() 我的答案:" 3 如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。 () 我的答案:"(错的) 课程内容已完成 1
网络的人肉搜索、隐私侵害属于()问题。 A、 B、 C、 D、 我的答案:C 2 ()是信息赖以存在的一个前提,它是信息安全的基础A、 B、 C、 D、 我的答案:A (错的) 3 下列关于计算机网络系统的说法中,正确的是()。A、 B、 C、 D、 我的答案:D 课程要求已完成
在移动互联网时代,我们应该做到() A、 B、 C、 D、 我的答案:D 2黑客的行为是犯罪,因此我们不能怀有侥幸的心理去触犯法律。() 我的答案:" 斯诺登事件已完成 1 美国国家安全局和联邦调查局主要是凭借“棱镜” 项目进入互联网服务商的()收集、分析信息。 A、 B、 C、 D、 我的答案:D (错的) 2
谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划” 中。()我的答案:" 3 “棱镜计划”是一项由美国国家安全局自2007 年起开始实施的绝密的电子监听计划。() 我的答案:" 网络空间威胁已完成 1 下列关于网络政治动员的说法中,不正确的是() A、 B、 C、 D、 我的答案:B (错的) 2 在对全球的网络监控中,美国控制着()。 A、 B、 C、 D、 我的答案:B (错的)
1.怎么样检测TCP/IP正常运行 运行cmd,然后输入ping 127.0.0.1 2.写出568A.568B的线序 568A:绿白、绿、橙白、蓝、蓝白、橙、棕白、棕 568B:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕 直通线一般都用A线序或B线序 交叉线一端是568A 一端是568B 3.如果用户的机器经常出现蓝屏的情况应该怎么办 首先考虑软件兼容性问题。可以将软件备份到其他计算机。然后删除软件。如果还不能解决就有可能是硬件兼容问题。先拔出不必要外设,比如打印机、扫描仪等等。再不行就是及其内部硬件兼容问题了。如果不是软件不是外设引起的蓝屏那么大部分都是由内存引起的。可以拔下内存擦一下金手指。或者更换其他内存条看看 4.NAT (网络地址转换) 有三种类型,静态转换,动态转换,端口复用(PAT)。其中端口复用最为常用,一般配置在公司的接入路由器上。静态转换多于端口映射,用来将内部的服务器发布出来 5.VLAN的作用 虚拟局域网。主要划分广播域用。交换机所有端口都处于相同广播域。这样随着级联交换机增多那么广播域内主机数也增多。广播流量也随之增加。为了有效控制广播数量可以考虑用vlan来划分广播域。增加网络安全性 6.内网有60台电脑(其中还有服务器),只有5个公网ip,怎么做让内网电脑上网 第一:采用动态地址转换,由五个公网地址构成一个地址池,内网主机采用地址池中的地址上公网,但同时只能有五台主机能上公网。 第二:采用端口地址转换(PAT),创建五个地址池,每个地址池只有一个公网IP地址,将60台主机按照管理策略分成五组,分别对应一个地址池.第三:采用端口地址转换,全部60台主机转换成一个公网IP地址,其它四个公网地址留做它用. (也可以用5个公网IP) 7.某用户不能和LAN通信 检查物理连接。网卡灯是否正常。速率和双工和交换机是还匹配。2.检查MAC地址是否与其它主机冲突。3.检查是否接入到了同一个VLAN里。4.检查IP地址是否与其它主机冲突。 8.用户可以访问LAN 可不能上网,为什么 1。检查能否PING通网关。 2.检查DNS服务器地址设置是否正确。 3.使用NSLOOKUP进行域名解析。 4.杀毒。如网络中有ARP病毒。5。检查防火墙设置,再检查用户权限 9.C类地址有多少ip地址 B类地址有多少ip地址 C类256个IP地址(254个主机地址) B类65536个IP地址(65534个主机地址)