【正文】 51 下面對于個人防火墻未來的發(fā)展方向，描述不準(zhǔn)確的是（D ）A. 與xDSL Modem、無線AP等網(wǎng)絡(luò)設(shè)備集成B. 與防病毒軟件集成，并實現(xiàn)與防病毒軟件之間的安全聯(lián)動C. 將個人防火墻作為企業(yè)防火墻的有機組成部分D. 與集線器等物理層設(shè)備集成52. 在以下各項功能中，不可能集成在防火墻上的是（ D ）A. 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） B. 虛擬專用網(wǎng)（VPN） C. 入侵檢測和入侵防御 D. 過濾內(nèi)部網(wǎng)絡(luò)中設(shè)備的MAC地址53. 當(dāng)某一服務(wù)器需要同時為內(nèi)網(wǎng)用戶和外網(wǎng)用戶提供安全可靠的服務(wù)時，該服務(wù)器一般要置于防火墻的（ C ）A. 內(nèi)部 B. 外部 C. DMZ區(qū) D. 都可以54. 以下關(guān)于狀態(tài)檢測防火墻的描述，不正確的是（ D ）A. 所檢查的數(shù)據(jù)包稱為狀態(tài)包，多個數(shù)據(jù)包之間存在一些關(guān)聯(lián)B. 能夠自動打開和關(guān)閉防火墻上的通信端口C. 其狀態(tài)檢測表由規(guī)則表和連接狀態(tài)表兩部分組成D. 在每一次操作中，必須首先檢測規(guī)則表，然后再檢測連接狀態(tài)表55. 在以下的認(rèn)證方式中，最不安全的是（A ）A. PAP B. CHAP C. MSCHAP D. SPAP56. 以下有關(guān)VPN的描述，不正確的是（ C ）A. 使用費用低廉 B. 為數(shù)據(jù)傳輸提供了機密性和完整性C. 未改變原有網(wǎng)絡(luò)的安全邊界 D. 易于擴展57. 目前計算機網(wǎng)絡(luò)中廣泛使用的加密方式為（C ）A. 鏈路加密 B. 節(jié)點對節(jié)點加密 C. 端對端加密 D. 以上都是58. 以下有關(guān)軟件加密和硬件加密的比較，不正確的是（B ）A. 硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入加密程序B. 硬件加密的兼容性比軟件加密好C. 硬件加密的安全性比軟件加密好D. 硬件加密的速度比軟件加密快59 對于一個組織，保障其信息安全并不能為其帶來直接的經(jīng)濟效益，相反還會付出較大的成本，那么組織為什么需要信息安全？ （ D ）A. 有多余的經(jīng)費 B. 全社會都在重視信息安全，我們也應(yīng)該關(guān)注C. 上級或領(lǐng)導(dǎo)的要求 D. 組織自身業(yè)務(wù)需要和法律法規(guī)要求得分評卷人復(fù)查人二、填空題（每空1分，共20 分）31. 根據(jù)密碼算法對明文處理方式的標(biāo)準(zhǔn)不同，可以將密碼系統(tǒng)分為：序列密碼體制和 分組密碼體制 。35. 掃描技術(shù)主要分為 主機安全掃描 和 網(wǎng)絡(luò)安全掃描 兩種類型。（√ ）50. 要實現(xiàn)DDoS攻擊，攻擊者必須能夠控制大量的計算機為其服務(wù)。PKI能為各種不同安全需求的用戶提供各種不同的網(wǎng)上安全服務(wù)所需要的密鑰和證書，這些安全服務(wù)主要包括身份識別與鑒別（認(rèn)證）、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性及時間戳服務(wù)等，從而達到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的（2分）。PMI以資源管理為核心，對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機構(gòu)統(tǒng)一處理（2分）。包過濾（Packet Filter）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問策略（過濾規(guī)則），檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定是否允許該數(shù)據(jù)包通過防火墻（2分）。攻擊者是指在整個DDoS攻擊中的主控臺，它負(fù)責(zé)向主控端發(fā)送攻擊命令。原來的IP數(shù)據(jù)報通過這個隧道從IP網(wǎng)絡(luò)的一端傳遞到另一端，途中經(jīng)過的路由器只檢查最外部的IP頭部，而不檢查原來的IP數(shù)據(jù)。代理服務(wù)器同樣也是攻擊者侵入并控制的一批主機，同時攻擊者也需要在入侵這些主機并獲得對這些主機的寫入權(quán)限后，在上面安裝并運行攻擊器程序，接受和運行主控端發(fā)來的命令。另外，包過濾防火墻不能識別IP地址的欺騙，內(nèi)部非授權(quán)的用戶可以通過偽裝成為合法IP地址的使用者來訪問外部網(wǎng)絡(luò)，同樣外部被限制的主機也可以通過使用合法的IP地址來欺騙防火墻進入內(nèi)部網(wǎng)絡(luò)。從VPN的定義來看，其中“虛擬”是指用戶不需要建立自己專用的物理線路，而是利用Internet等公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實現(xiàn)與專用數(shù)據(jù)通道相同的通信功能；“專用網(wǎng)絡(luò)”是指這一虛擬出來的網(wǎng)絡(luò)并不是任何連接在公共網(wǎng)絡(luò)上的用戶都能夠使用的，而是只有經(jīng)過授權(quán)的用戶才可以使用。DoS攻擊的目的就是讓被攻擊主機拒絕用戶的正常服務(wù)訪問，破壞系統(tǒng)的正常運行，最終使用戶的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效（2分）。而且由于局域網(wǎng)本身的特性，蠕蟲在局域網(wǎng)上傳播速度更快，危害更大。40. 目前身份認(rèn)證技術(shù)可分為PKI和非PKI兩種類型，其中在VPN的用戶身份認(rèn)證中一般采用 非PKI 認(rèn)證方式，而信息認(rèn)證中采用 PKI 認(rèn)證方式。37. 在LAND攻擊中，LAND攻擊報文的 源IP地址 和 目的IP地址 是相同的。36. 在網(wǎng)絡(luò)入侵中，將自己偽裝成合法用戶來攻擊系統(tǒng)的行為稱為冒充；復(fù)制合法用戶發(fā)出的數(shù)據(jù)，然后進行重發(fā)，以欺騙接收者的行為稱為 重放 ；中止或干擾服務(wù)器為合法用戶提供服務(wù)的行為稱為 服務(wù)拒絕（拒絕服務(wù)） 。39. VPN系統(tǒng)中的三種典型技術(shù)分別是 隧道技術(shù) 、身份認(rèn)證技術(shù) 和加密技術(shù)。（ ）15. 蠕蟲既可以在互聯(lián)網(wǎng)上傳播，也可以在局域網(wǎng)上傳播。 ：DoS（拒絕服務(wù)）攻擊是一種實現(xiàn)簡單但又很有效的攻擊方式。5．VPN：VPN（虛擬專用網(wǎng)）是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶提供一條與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道，實現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接（2分）。但包過濾防火墻無法識別基于應(yīng)用層的惡意入侵。 （2分）（3） 代理服務(wù)器?？赡軐?dǎo)致新的IP數(shù)據(jù)報的目的地址與原來的不一致。與DoS攻擊略有不同，DDoS攻擊中的攻擊者對計算機的配置和網(wǎng)絡(luò)帶寬的要求并不高，只要能夠向主控端正常發(fā)送攻擊命令即可。包過濾防火墻中的安全訪問策略（過濾規(guī)則）是網(wǎng)絡(luò)管理員事先設(shè)置好的，主要通過對進入防火墻的數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口進行設(shè)置，決定是否允許數(shù)據(jù)包通過防火墻。同PKI相比，兩者主要區(qū)別在于PKI證明用戶是誰，而PMI證明這個用戶有什么權(quán)限、能干什么。PKI的技術(shù)基礎(chǔ)之一是公開密鑰體制（1分）；PKI的技術(shù)基礎(chǔ)之二是加密機制（1分）。（ √ ）11．Feistel是密碼設(shè)計的一個結(jié)構(gòu)，而非一個具體的密碼產(chǎn)品。36. 在IDS的報