兼职团队   招聘会   招聘公司信息   简历模板   经验分享  

《计算机网络安全与管理技术》综合练习题 
一．选择题 
1．    以下对网络安全管理的描述中，正确的是（D）。 
A）    安全管理不需要对重要网络资源的访问进行监视。 
B）    安全管理不需要验证用户的访问权限和优先级。 
C）    安全管理的操作依赖于设备的类型。 
D）    安全管理的目标是保证重要的信息不被未授权的用户访问。 
2．    以下有关网络管理功能的描述中，错误的是（D）。 
A）    配置管理是掌握和控制网络的配置信息。 
B）    故障管理是对网络中的故障进行定位。 
C）    性能管理是监视和调整工作参数，改善网络性能。 
D）    安全管理是使网络性能维持在较好水平。 
3．    有些计算机系统的安全性不高，不对用户进行验证，这类系统的安全级别是（A）。 
A）    D1   
B）    A1 
C）    C1 
D）    C2 
4．Windows NT操作系统能够达到的最高安全级别是（B）。 
A）C1 
B）C2 
C）D1 
D）D2 
5．下面操作系统能够达到C2安全级别的是（D）。 
Ⅰ.Windows 3.x   Ⅱ.Apple System 7.x  Ⅲ.Windows  NT  Ⅳ.NetWare3.x 
A）Ⅰ和Ⅲ   B）Ⅱ和Ⅲ  C）Ⅱ和Ⅳ   D）Ⅲ和Ⅳ 
6．计算机系统处理敏感信息需要的最低安全级别是（C）。 
A）D1 
B）C1 
C）C2 
D）B1 
7．计算机系统具有不同的安全级别，其中Windows 98的安全等级是（D）。 
A）B1 
B）C1 
C）C2 
D）D1 
8.计算机系统具有不同的安全等级，其中Windows NT的安全等级是（C）。 
A）B1 
B）C1 
C）C2 
D）D1 
9.网络安全的基本目标是实现信息的机密性、合法性、完整性和(可用性)。 
10．网络安全的基本目标是保证信息的机密性、可用性、合法性和(完整性). 
11．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意添加和修改。这种安全威胁属于（B）。 
A）窃听数据 
B）破坏数据完整性 
C）拒绝服务 
D）物理安全威胁 
12．以下方法不能用于计算机病毒检测的是（B）。 
A）自身校验 
B）加密可执行程序 
C）关键字检测 
D）判断文件的长度 
13．若每次打开Word程序编辑文当时，计算机都会把文档传送到另一FTP服务器，那么可以怀疑Word程序被黑客植入（B）。 
A）病毒 
B）特洛伊木马 
C）FTP匿名服务 
D）陷门 
14．网络安全的基本目标是实现信息的机密性、可用性、完整性和(合法性)。 
15．当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统资源，这是对网络(可用)性的攻击。 
16．有一类攻击可以确定通信的位置和通信主机的身份，还可以观察交换信息的频度和长度。这类攻击称为(通信量分析)。 
17．下面攻击方法属于被动攻击的是（C）。 
A）拒绝服务攻击 
B）重放攻击 
C）通信量分析攻击 
D）假冒攻击 
18．下面攻击属于非服务攻击的是（C）。 
Ⅰ.邮件炸弹攻击    Ⅱ.源路由攻击     Ⅲ.地址欺骗攻击 
A）Ⅰ      
B）Ⅰ和Ⅱ 
C）Ⅱ和Ⅲ 
D）Ⅰ和Ⅲ 
19．下面（D）攻击属于服务攻击。 
Ⅰ.邮件炸弹攻击     Ⅱ.源路由攻击    Ⅲ.地址欺骗攻击   Ⅳ.DOS攻击 
A）Ⅰ和Ⅱ 
B）Ⅱ和Ⅲ 
C）Ⅱ和Ⅳ 
D）Ⅰ和Ⅳ 
20．通信量分析攻击可以确定通信的位置和通信主机的身份，还可以观察交换信息的频度和长度。这类安全攻击属于(被动性)攻击。 
21．从信源向信宿流动过程中，信息被插入一些欺骗性的消息，这类攻击属于（B）。 
A）中断攻击 
B）截取攻击 
C）重放攻击 
D）修改攻击 
22．网络安全攻击方法可以分为服务攻击与(非服务)攻击。 
23．关于RC5加密算法的描述中，正确的是（D）。 
A）分组长度固定 
B）密钥长度固定 
C）分组和密钥长度都固定 
D）分组和密钥长度都可变 
24．下面不属于对称加密的是（D）。 
A）DES 
B）IDEA 
C）TDEA 
D）RSA 
25．DES是一种常用的对称加密算法，其一般的分组长度为（C）。 
A）32位 
B）56位 
C）64位 
D）128位 
26．关于RC5加密技术的描述中，正确的是（C）。 
A）它属于非对称加密 
B）它的分组长度固定 
C）它的密钥长度可变 
D）它是在DES基础上开发的 
27．对称加密机制的安全性取决于(密钥)的保密性。 
28．以下关于公钥密码体制的描述中，错误的是（C）。 
A）加密和解密使用不同的密钥 
B）公钥不需要保密 
C）一定比常规加密更安全 
D）常用于数字签名、认证等方面 
29．以下关于公钥分发的描述中，错误的是（D）。 
A）分发公钥不需要保密 
B）分发公钥一般需要可信任的第三方 
C）数字证书技术是分发公钥的常用技术 
D）公钥的分发比较简单 
30．张三从CA得到了李四的数字证书，张三可以从该数字证书中得到李四的（D）。 
A）私钥 
B）数字签名 
C）口令 
D）公钥 
31．在认证过程中，如果明文由A发送到B，那么对明文进行签名的密钥为（B）。 
A）A的公钥 
B）A的私钥 
C）B的公钥 
D）B的私钥 
32．为了确定信息在网络传输过程中是否被他人篡改，一般采用的技术是（C）。 
A）防火墙技术 
B）数据库技术 
C）消息认证技术 
D）文件交换技术 
33．MD5是一种常用的摘要算法，它产生的消息摘要长度是（C）。 
A）56位 
B）64位 
C）128位 
D）256位 
34．用户张三给文件服务器发命令，要求将文件“张三.doc”删除。文件服务器上的认证机制需要确定的主要问题是（C）。 
A）张三是否有删除该文件的权力 
B）张三采用的是那种加密技术 
C）该命令是否是张三发出的 
D）张三发来的数据是否有病毒 
35．防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登陆的(次数)。 
36．以下关于数字签名的描述中，错误的事（B）。 
A）数字签名可以利用公钥密码体制实现 
B）数字签名可以保证消息内容的机密性 
C）常用的公钥数字签名算法有RSA和DSS 
D）数字签名可以确认消息的完整性 
37．数字签名最常用的实现方法建立在公钥密码体制和安全单向(散列)函数的基础之上。 
38．关于数字签名的描述中，错误的是（C）。 
A）可以利用公钥密码体制 
B）可以利用对称密码体制 
C）可以保证消息内容的机密性 
D）可以进行验证 
39．Kerberos是一种网络认证协议，它采用的加密算法是（C）。 
A）RSA 
B）PGP 
C）DES 
D）MD5 
40．IPSec不能提供（D）服务。 
A）流量保密 
B）数据源认证 
C）拒绝重放包 
D）文件加密 
41．下面关于IPSec的说法错误的是（D）。 
A）它是一套用于网络层安全的协议 
B）它可以提供数据源服务 
C）它可以提供流量保密服务 
D）它只能在IPv4环境下使用 
42．以下关于防火墙技术的描述，错误的是（C）。 
A）防火墙分为数据包过滤和应用网关两类 
B）防火墙可以控制外部用户对内部系统的访问 
C）防火墙可以阻止内部人员对外部攻击 
D）防火墙可以分析和监测网络的使用情况 
43．关于防火墙技术的描述中，正确的是（B）。 
A）防火墙不能支持网络地址转换 
B）防火墙可以布置在企业内部网和Internet之间 
C）防火墙可以查、杀各种病毒 
D）防火墙可以过滤各种垃圾邮件 
44．以下关于防火墙技术的描述，错误的是（C）。 
A）防火墙可以对网络服务类型进行控制 
B）防火墙可以对请求服务的用户进行控制 
C）防火墙可以对网络攻击进行反向追踪 
D）防火墙可以对用户如何使用特定服务进行控制 
45．以下关于防火墙技术的描述中，错误的是（C）。 
A）可以对进出内部网络的分组进行过滤 
B）可以布置在企业内部网和因特网之间 
C）可以查、杀各种病毒 
D）可以对用户使用的服务进行控制 
46．关于防火墙技术的描述中，错误的是（C）。 
A）可以支持网络地址转换 
B）可以保护脆弱的服务 
C）可以查、杀各种病毒 
D）可以增强保密性 
47．安全威胁可分为（A）。 
A）故意威胁和偶然威胁 
B）突然威胁和偶然威胁 
C）主动威胁和被动威胁 
D）长期威胁和短期威胁 
48．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意地添加或修改。这种安全威胁属于（B）。 
A）数据窃听 
B）破坏数据完整性 
C）拒绝服务 
D）物理安全威胁 
49．对网络的威胁包括（D）。 
①假冒 ②特洛伊木马 ③旁路控制 ④陷门 ⑤授权侵犯 
A）①②③ 
B）②③④⑤ 
C）①②③④ 
D）①②③④⑤ 
50．著名的特洛伊木马的威胁类型属于（B）。 
A）故意威胁 
B）植入威胁 
C）渗入威胁 
D）主动威胁 
51．DES加密算法采用的密钥长度是（B）。 
A）32位 
B）56位 
C）64位 
D）53位 
52．下面加密算法不属于对称加密的是（C）。 
A）DES 
B）TDEA 
C）RSA 
D）RC5 
53.我们领取汇款时需要加盖取款人的盖章，在身份认证中，图章属于（D）。 
A）数字签名 
B）个人识别码 
C）个人特征 
D）个人持证 
54．在以下认证方式中，最常用的认证方式是（A）。 
A）账户名/口令认证 
B）使用摘要算法的认证 
C）基于公钥基础设施的认证 
D）基于个人特征的认证 
55．以下方法不属于个人特征认证的是（A）。 
A）PIN码 
B）声音识别 
C）虹膜识别 
D）指纹识别 
56．数字签名技术中，发送方使用自己的（A）对信息摘要进行加密。 
A）私钥 
B）公钥 
C）数字指纹 
D）数字信封 
57．基于MD5的一次性口令生成算法是（B）。 
A）PPP认证协议 
B）S/Key口令协议 
C）Netios协议 
D）Kerberos协议 
58．为了保障网络安全，防止外部网对内部网的侵犯，多在内部网络与外部网络之间设置（C）。 
A）可信区域划分 
B）时间戳 
C）防火墙 
D）数字签名 
59．以下选项中，防火墙无法带来好处的是（C）。 
A）过滤不安全的服务 
B）控制对系统的访问 
C）代替安全策略 
D）增强保密性 
60．(特洛伊木马)是指软件中含有一小段察觉不出的程序段，当软件运行时会损害用户的安全。 
61．常见的摘要算法有消息摘要4算法MD4、消息摘要5算法MD5和(特洛伊木马)。 
62．加强Web通信安全的方案有：SSL（安全套接层）和(IPsec)。 
二．问答题 
1.    安全体系结构中定义的安全服务有那几点？ 
答：一个安全的计算机网络应当能够提供以下的安全服务： 
1．    认证 
认证就是识别和证实，即识别一个实体的身份和证实该实体身份的真实性。 
2．    访问控制 
访问控制是确定不同用户对信息资源的访问权限。 
3．    数据保密性 
数据保密性的安全服务是使系统只对授权的用户提供信息，对于未被授权的使用者，这些信息是不可获得或不可理解的。 
4．    数据完整性 
数据完整性的服务是针对被非法篡改的信息、文件和业务流设置的防范措施，以保证资源的可获得性。 
5．    不可否认性 
不可否认性的安全服务是针对对方进行抵赖的防范措施，可用于证实发生过的操作。 

2.    ISO7498-2建议的安全机制有那几种？ 
答：ISO7498-2建议的安全机制： 
1．加密机制 
加密机制用于加密数据或流通中的信息，其可以单独使用。 
2．数字签名机制 
数字签名机制是由对信息进行签字和对已签字的信息进行证实这样两个过程组成。 
3．访问控制机制 
访问控制机制是根据实体的身份及其有关信息来决定该实体的访问权限。 
4．数据完整性机制 
5．认证机制 
6．通信业务填充机制 
7．路由控制机制 
8．公证机制 
公证机制是由第三方参与的签名机制。 

3.    从体系上看，Internet网络安全问题可分为那几个层次？ 
答：从体系上看，Internet网络安全问题可分为以下五个层次，即用户层、应用层、操作系统层、数据链路层和网络层。 

4.    简述单钥体制和双钥体制的主要区别？ 
答：单钥体制的加密密钥和解密密钥相同，也称为对称密钥密码系统。采用双钥体制的每个用户都有一对选定的密码，其中一个公开，另一个保密。因此又称为公钥体制或公开密钥密码系统。 

5.    基于TCP/IP协议的应用层服务主要有几种？ 
答：主要有：简单邮件传输协议（SMTP）、文件传输协议（FTP）、超文本传输协议（HTTP）、 
远程登录协议（Telnet）、简单网络管理协议（SNMP）、域名系统（DNS）。 

6.    认证的方法有那几种？ 
答：用户或系统能够通过四种方法来证明其身份，即实物认证、密码认证、生物特征认证和位置认证。 

7.    数字签名的功能和作用是什么？ 
答：信息鉴别的方法可以使信息接收者确定信息发送者的身份以及信息在传送过程中是否被改动过。为解决这一问题，就必须利用数字签名技术。签名必须达到如下效果：在信息通信的过程中，接收方能够对公正的第三方证明其收到的报文内容是真的，而且确实是由那个发送方发送过来的；签名还必须保证发送方事后不能根据自己的利益否认它所发送过的报文，而收方也不能根据自己的利益来伪造报文或签名。 

8.    简述对称加密和非对称加密的主要区别？ 
答：在对称加密算法中，用于加密和解密的密钥是相同的，接收者和发送者使用相同的密钥双方必须小心翼翼地保护密钥。非对称密钥加密在加密过程中使用相互关联的一对密钥，一个归发送者，一个归接收者。密钥对中的一个必须保持秘密状态，称为私钥；另一个则被广泛发布，称为公钥。 

9.    网络防病毒工具的防御能力应体现在哪些方面？ 
答：网络防病毒工具的防御能力应体现在： 
1．病毒查杀能力 
2．对新病毒的反应能力 
3．病毒实时监测能力 
4．快速、方便的升级 
5．智能包装、远程识别 
6．管理方便，易于操作 
7．对现有资源的占用情况 
8．系统兼容性 

10.    什么是PKI？它由哪几部分组成？ 
答：PKI就是用公钥技术实施和提供安全服务的安全基础设施。 
PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。 

11.    认证中心有什么功能？由哪几部分组成？ 
答：概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。 
认证中心CA为了实现其功能，主要由以下三部分组成： 
注册服务器：通过Web Server建立的站点，可为客户提供24×7不间断的服务。 
证书申请受理和审核机构：负责证书的申请和审核。 
认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。 

12.    基于PKI的电子商务交易系统实现过程有哪几步？ 
答：假设在交易之前，企业客户已经申请获得了电子商务站点所颁发的客户消费证书。 
1．客户浏览电子商务站点，初始化请求，客户端认证 
2．验证客户身份，确定客户购买权限，返回应答请求，用户进入购买状态 
3．完成购物，发送订单 
4．服务器收到订单，请求获取安全时间戳，记录交易信息 
5．向商家发送订单通知，确认交易成功信息 

13.    什么是数据包过滤技术？ 
答：数据包过滤技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤的逻辑，称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许数据包通过。 

14.    什么是状态检测技术？ 
答：状态检测是对包过滤功能的扩展。状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。 

15.    防火墙体系结构通常分为哪几类？ 
答：防火墙体系结构通常分为四类： 
1．屏蔽路由器 
2．屏蔽主机网关 
3．双宿主机网关 
4．屏蔽子网 

16.    什么是虚拟专用网技术VPN？ 
答：虚拟专用网VPN是企业内部网在Internet等公共网络上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。 

17.    简述分布式防火墙的基本原理。 
答：分布式防火墙工作原理是：首先由制定防火墙接入控制策略的中心，通过编译器将策略语言的描述转换成内部格式，以形成策略文件；然后中心采用系统管理工具把策略文件发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包。这一方面是根据IPSec协议，另一方面是根据策略文件。 

18.    Windows2000的安全子系统由哪几部分组成？ 
答：Windows2000的安全子系统由本地安全策略、安全账号管理器、安全证明监视器三部分组成。 

19.    什么是Linux？ 
答：Linux是一套免费使用和自由传播的类UNIX操作系统，它主要用于基于Intel x86系列CPU的计算机上。这个系统是由世界各地成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约能自由使用的UNIX兼容产品。 

20．什么是文件系统？其安装命令有哪些？ 
答：这是磁盘上有特定格式的一片区域，操作系统通过文件系统可以方便地查询和访问其中所包含的磁盘块。 
安装命令（略）。 

21．什么是配置文件？它有什么作用？ 
答：每个物理硬件设备可以创建多个逻辑网络设备。逻辑网络设备与设备别名不同。和同一物理设备相关联的逻辑网络设备必须存在于不同的配置文件中，并且不能被同时激活。 
配置文件可以被用来为不同的网络创建多个配置集合。配置集合中除了主机和DNS设置外还可以包含逻辑设备。配置文件之后，可以用网络管理工具进行切换使用。 

22．什么是设备别名？ 
答：设备别名是和同一物理硬件相关联的虚拟设备，但是它们可以同时被激活，并拥有不同的IP地址。它们通常使用设备名、冒号和数字来代表。设备别名可以用于当只有一个网卡时又要给系统多个IP地址。 

23．操作系统的安全机制有哪些？ 
答：操作系统的安全机制由本地安全策略、安全账号管理器、安全证明监视器等。 

24．哪个文件系统在Windows2000中支持本地安全措施？ 
答：NTFS文件系统。 

25．防火墙的任务是什么？ 
答：防火墙应能够确保满足以下四大功能： 
1．实现安全策略 
2．创建检查点 
3．记录Internet活动 
4．保护内部网络 

26．防火墙从实现方式上有几种？ 
答：大多数防火墙实际使用中实现方式可以分为以下四种类型: 
1. 嵌入式防火墙 
2．软件防火墙 
3．硬件防火墙 
4．应用程序防火墙 

第二次阶段作业  
选择题： 
1．    OSI参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成（C）个互相连接的协议层。 
A.    5 
B.    6 
C.    7 
D.    8 
2．（A）服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。 
A.表示层 
B.网络层 
C.TCP层 
D.IP层 
3．（B）是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。 
A.IP地址 
B.子网掩码 
C.TCP层 
D.IP层 
4．通过（D），主机和路由器可以报告错误并交换相关的状态信息。 
A.IP协议 
B.TCP协议 
C.UDP协议 
D.ICMP协议 
5．常用的网络服务中，DNS使用（A）。 
A.UDP协议 
B.TCP协议 
C.IP协议 
D.ICMP协议 
6．（C）就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。 
A.扫描 
B.入侵 
C.踩点 
D.监听 
7．对非连续端口进行的、并且源地址不一致，时间间隔长而没有规律的扫描，称之为（B）。 
A.乱序扫描 
B.慢速扫描 
C.有序扫描 
D.快速扫描 
8．打电话请求密码属于（B）攻击方式。 
A.木马 
B.社会工程学 
C.电话系统漏洞 
D.拒绝服务 
9．一次字典攻击能否成功，很大因素上决定于（A）。 
A.字典文件 
B.计算机速度 
C.网络速度 
D.黑客学历 
10．SYN风暴属于（A）攻击。 
A.拒绝服务攻击 
B.缓冲区溢出攻击 
C.操作系统漏洞攻击 
D.社会工程学攻击 
11．下面不属于Dos攻击的是（D）。 
A.Smurf攻击 
B.Ping of Death 
C.Land攻击 
D.TFN攻击 
12．网络后门的功能是（A）。 
A.保持对目标主机长久控制 
B.防止管理员密码丢失 
C.为定期维护主机 
D.为了防止主机被非法入侵 
13．终端服务是Windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是（B）。 
A.25 
B.3389 
C.80 
D.1399 
14．（D）是一种可以驻留在对方服务器系统中的一种程序。 
A.后门 
B.跳板 
C.终端服务 
D.木马 
15．黑客们在编写扰乱社会和他人的计算机程序时，这些代码统称为（A）。 
A.恶意代码 
B.计算机病毒 
C.蠕虫 
D.后门 
16．造成广泛影响的1988年Morris蠕虫事件，就是（C）作为其入侵的最初突破点。 
A.利用操作系统的脆弱性 
B.利用系统后门 
C.利用邮件系统的脆弱性 
D.利用缓冲区溢出的脆弱性 
17．下面不属于恶意代码攻击技术的是（D）。 
A.进程注入技术 
B.超级管理技术 
C.端口反向连接技术 
D.自动生产技术 
18．（B）是一套可以免费使用和自由传播的类UNIX操作系统，主要用于基于Intel x86系列的CPU的计算机上。 
A.Solaris 
B.Linux 
C.XENIX 
D.FreeBSD 
19．操作系统中的每一个实体组件不可能是（D）。 
A.主体 
B.客体 
C.既是主体又是客体 
D.既不是主体又不是客体 
20．（A）是指有关管理、保护和发布敏感信息的法律、规定和实施细则。 
A.安全策略 
B.安全模型 
C.安全框架 
D.安全原则     

阶段作业三 
选择题： 
1．    操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的（B）。 
A.    可信计算平台 
B.    可信计算基 
C.    可信计算模块 
D.    可信计算框架 
2．（C）是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。 
A.强制访问控制 
B.访问控制列表 
C.自主访问控制 
D.访问控制矩阵 
3．RSA算法是一种基于（C）的公钥体系。 
A.素数不能分解 
B.大数没有质因数的假设 
C.大数不可能质因数分解的假设 
D.公钥可以公开的假设 
4．下面哪个属于对称算法（B）。 
A.数字签名 
B.序列算法 
C.RSA算法 
D.数字水印 
5．DES算法的入口参数有3个：Key、Data和Mode，其中Key为（A）位，是DES算法的工作密钥。 
A.64 
B.56 
C.8 
D.7 
6．PGP加密技术是一个基于（A）体系的邮件加密软件。 
A.RSA公钥加密 
B.DES对称加密 
C.MD5数字签名 
D.MD5加密 
7．仅设立防火墙系统，而没有（C），防火墙就形同虚设。 
A.管理员 
B.安全操作系统 
C.安全策略 
D.防毒系统 
8．下面不是防火墙的局限性的是（D）。 
A.防火墙不能防范网络内部的攻击 
B.不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限 
C.防火墙不能防止传送已感染病毒的软件或文件，不能期望防火墙对每一个文件进行扫描，查出潜在的病毒 
D.不能阻止下载带病毒的数据 
9．（B）作用在应用层，其特点是完全“隔离”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 
A.分组过滤防火墙 
B.应用代理防火墙 
C.状态检测防火墙 
D.分组代理防火墙 
10．下面说法错误的是（D）。 
A.规则越简单越好 
B.防火墙和防火墙规则集只是安全策略的技术实现 
C.建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的 
D.DMZ网络处于内部网络里，严格禁止通过DMZ网络直接进行信息传输 
11．下面不属于入侵检测分类依据的是（B）。 
A.物理位置 
B.静态配置 
C.建模方法 
D.时间分析 
12．IPSec属于（D）上的安全机制。 
A.传输层 
B.应用层 
C.数据链路层 
D.网络层 
13．（C）用于客户机和服务器建立起安全连接之前交换一系列信息的安全信道。 
A.记录协议 
B.会话协议 
C.握手协议 
D.连接协议 
14．计算机病毒主要破坏数据的（C）。 
A.保密性 
B.可靠性 
C.完整性 
D.可用性 
15．关于路由，描述正确的是（C）。 
A.路由器工作在OSI的数据链路层 
B.静态路由表具有可修改性，故会给网络安全带来危害 
C.动态路由表具有可修改性，故会给网络安全带来危害 
D.动态路由表和静态路由表均具有可修改性，故会给网络安全带来危害 
16．下面的说法正确的是（C）。 
A.信息的泄漏只在信息的传输过程中发生 
B.信息的泄漏只在信息的存储过程中发生 
C.信息的泄漏在信息的传输和存储过程中发生 
D.上面三个都不对 
17．下面关于计算机病毒的描述错误的是（C）。 
A.计算机病毒具有传染性 
B.通过网络传播计算机病毒，其破坏性大大高于单机系统 
C.如果染上计算机病毒，一般很难被发现 
D.计算机病毒主要破坏数据的完整性 
18．下面关于包过滤的描述错误的是（D）。 
A.包过滤在数据包由一个网络传输到另一个网络时进行 
B.包过滤对用户是透明的 
C.包过滤主要就数据包的地址等内容进行过滤 
D.包过滤可以就数据包中的数据信息进行过滤 
19．入侵检测利用的信息包括（D）。 
A.系统和网络日志文件 
B.目录和文件中的不期望的改变和程序执行中的不期望的行为 
C.物理形式的入侵信息 
D.以上所有信息 
20．用于事后分析的入侵检测方法是（B）。 
A.模式匹配 
B.统计分析 
C.完整性分析 
D.可靠性分析