CISP 认证考试题库 （带解析）—— 物理与网络通信安全

某银行有5台交换机连接了大量交易机构的网络（如图所示）在基于以太网的通信中，计算机A需要与计算机B通信，A必须先广播"ARP请求信息"，获取计算机B的物理地址。每到月底时用户网络服务速度极其缓慢，银行经调查后发现为了当其中一台交换机收到ARP请求后，会转发给接收端口以外的其他所有端口，ARP请求会被转发到网络中的所有客户机上，为降低网络的带宽消耗，将广播流限制在固定区域内，可以采用的技术是 —— A

A.VLAN划分

B.动态分配地址

C.为路由交换设备修改默认口令

D.设立入侵防御系统

解析：

为了降低网络带宽消耗并将广播流限制在固定区域内，最合适的技术是 A.VLAN划分。

VLAN（Virtual Local Area Network，虚拟局域网）划分可以将一个物理网络分割成多个逻辑上的子网络，每个VLAN内的广播只会在该VLAN内部传播，而不会跨越到其他VLAN。这样就能有效限制广播流，降低不必要的网络通信量，改善网络整体性能，尤其在网络流量大的时候。

选项 B.动态分配地址 主要是指使用DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）等技术动态分配IP地址，而不是用来限制广播流。

选项 C.为路由交换设备修改默认口令 是提高设备安全性的一项基本操作，与限制广播流量和提高网络性能无直接关系。

选项 D.设立入侵防御系统 通常是为了检测、预防和响应网络安全威胁，虽然它对于保护网络很重要，但它不是用来限制广播流量的。

私有IP地址是一段保留的IP地址。只使用在局域网中，无法在lntermet上使用。关于私有地址，下面描述正确的是 —— C

A.A类和B类地址中没有私有地址，C类地址中可以设置私有地址

B.A类地址中没有私有地址，B类和C类地址中可以设置私有地址

C.A类、B类和C类地址中都可以设置私有地址

D.A类、B类和C类地址中都没有私有地址

解析：

C. A类、B类和C类地址中都可以设置私有地址。

在IP地址划分中，A类、B类和C类地址都有一定范围的地址被保留作为私有IP地址。这些私有地址被用于内部网络（如企业、家庭网络）中，并不能被路由到互联网上。私有IP地址范围是：

A类：10.0.0.0 到 10.255.255.255

B类：172.16.0.0 到 172.31.255.255

C类：192.168.0.0 到 192.168.255.255

这些私有IP地址段被广泛用于内部网络，并由NAT（网络地址转换）协议配合使用，以实现与公网的通信。

Interme的安全问题日益突出，基于TCP/IP协议，相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全。其中，属于或依附于传输层的安全协议是 —— C

A.PP2P

B.L2TP

C.SSL

D.IPSeC

解析：

C.SSL（Secure Sockets Layer）是一个位于传输层的安全协议，它为网络通信提供了加密、认证和完整性保护。SSL及其继任者TLS（Transport Layer Security）是目前互联网上用于保护Web通信的最重要的安全协议之一。

其他选项的解释：

A. PPTP（Point-to-Point Tunneling Protocol）是在数据链路层使用的隧道协议，它可以通过创建虚拟专用网络来实现。

B. L2TP（Layer 2 Tunneling Protocol）同样是数据链路层的隧道协议，经常与IPSec一起使用以提供安全保护。

D. IPSec（Internet Protocol Security）是网络层的一套安全协议，用于在IP层上加密和认证数据包。

防火墙是网络信息系统建设中经常采用的一类产品，它在内外网隔离方面的作用是 —— C

A.既能物理隔离，又能逻辑隔离

B.能物理隔离，但不能逻辑隔离

C.不能物理隔离，但是能逻辑隔离

D.不能物理隔离，也不能逻辑隔离

解析：

C. 不能物理隔离，但是能逻辑隔离。

防火墙是网络安全的一种设备或软件，它控制进入或离开网络的数据流，并根据一系列预定义的安全规则允许或阻止数据包。防火墙的主要功能是逻辑隔离，即通过逻辑上的访问控制和数据包过滤来隔离内部网络与外部网络。防火墙并不提供物理隔离，因为它自身是依附于网络基础设施运行的，物理隔离通常是指使用独立的网络设施或布线来分开不同网络。

分布式拒绝服务（DistributedDenialofService，DDoS）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。一般来说，DDOS攻击的主要目的是破坏目标系统的 —— C

A.保密性

B.完整性

C.可用性

D.真实性

解析：

C. 可用性

分布式拒绝服务（DDoS）攻击主要目的是破坏目标系统的可用性。这种攻击通常涉及使目标网络、系统或服务不可用，使正常用户无法访问。DDoS攻击通常通过向目标发送大量的数据包或请求，超出系统的处理能力，导致服务响应缓慢甚至完全停止。保密性、完整性和真实性是信息安全的其他方面，它们分别指保护数据不被未授权访问、防止数据被篡改和确保数据的真实性，但不是DDoS攻击的主要目标。

某网络安全公司基于入侵检测技术，动态监测来自于网络和主机层面的所有访问行为，当检测到来自网络针对或通过防火墙攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效保护了网络资源，提高了防御体系级别。但入侵检测技术不能实现以下哪种功能 —— C

A.检测并分析用户和系统的活动

B.评估系统关键资源和数据文件的完整性

C.防止IP地址欺骗

D.识别违反安全策略的用户活动

解析：

C. 防止IP地址欺骗

入侵检测技术（Intrusion Detection System, IDS）专注于监测和分析数据流动以发现可疑行为或违反安全策略的行为，从而能够检测出潜在的恶意活动。尽管它能够检测到可能的IP欺骗行为，但IDS本身并不防止攻击发生；它是一种检测手段而不是预防手段。IDS可以告警当发现攻击或异常行为，但它不能直接阻止例如IP地址欺骗的攻击行为。通常，防火墙或入侵防御系统（Intrusion Prevention System, IPS）等其他安全措施被用来实施防御措施，如阻断来自假冒IP的流量。

部署互联网协议安全虚拟专用网(Intermet Protocol Security Virtual Private Network, IPsecVPN)时，以下说法正确的是 —— C

A.配置MD5安全算法可以提供可靠地数据加密

B.配置AES算法可以提供可靠的数据完整性验证

C.部署IPsecVPN网络时，需要考虑IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，来减少IPseC安全关联 (Security Authentication,SA)资源的消耗

D.报文验证头协议（AuthenticationHeader,AH)可以提供数据机密性

解析：

C. 部署IPsecVPN网络时，需要考虑IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，来减少IPsec安全关联（Security Association, SA）资源的消耗

解释一下每个选项：

A. MD5是一种散列函数，用于提供数据的完整性验证，并不提供加密功能。它可以用来确保数据没有被篡改，但由于其弱点和漏洞，已不再被认为是完全安全的。

B. AES（高级加密标准）是一种加密算法，用于确保数据的保密性。对于完整性验证，通常使用散列函数如SHA系列，而不是AES。

C. 在部署IPsec VPN时，确实需要考虑如何有效利用IP地址资源，并且通过合理规划可以减少SA资源的消耗。SA是IPsec中建立加密和认证的基础，相当于一种安全协议的实例，管理着IPsec通信过程中的参数和密钥等。

D. AH（认证头）协议确实提供数据的完整性和认证服务，但是它并不提供加密服务。数据机密性是通过IPsec的另一个协议ESP（封装安全负载）来提供的。

以下关于互联网协议安全(IntermetProtocolSecurity,IPsec)协议说法错误的是 —— D

A.在传送模式中，保护的是IP负载

B.验证头协议(Authentication Head， AH)和IP封装安全载荷协议(Encapsulating Security Payload， ESP)都能以传输模式和隧道模式工作

C.在隧道模式中，保护的是整个互联网协议(Intermet Protocol,IP)包,包括IP头

D.IPsec仅能保证传输数据的可认证性和保密性

解析：

D. IPsec仅能保证传输数据的可认证性和保密性

这一陈述是错误的，因为IPsec的功能不仅限于确保数据的可认证性和保密性。IPsec协议还能提供数据源的认证，数据完整性保护，以及（可选的）防止重放攻击等功能。AH提供数据源认证和数据完整性，ESP则提供这些功能以及数据加密（保密性）。

关于WiFi联盟提出的安全协议WPA和WPA2的区别，下面描述正确的是 —— D

A.WPA是有线局城安全协议，而WPA2是无线局城网协议

B.WPA是适用于中国的无线局域安全协议，而WPA2是适用于全世界的无线局城网协议

C.WPA没有使用密码算法对接入进行认证，而WPA2使用了密码算法对接入进行认证

D.WPA是依照802.11i标准草案制定的，而WPA2是依照802.11i正式标准制定的

解析：

D. WPA是依照802.11i标准草案制定的，而WPA2是依照802.11i正式标准制定的

这个说法是正确的。WPA（Wi-Fi Protected Access）是一个临时的安全协议，旨在改进原有的WEP（Wired Equivalent Privacy）协议，它是基于IEEE 802.11i标准的草案版本制定的。而WPA2是WPA的后续版本，它是基于802.11i标准的正式版本，并提供了更强的安全措施，特别是采用了AES（高级加密标准）作为加密算法，这提供了比WPA更强的安全性。

数据在进行传输前，需要由协议栈自上面下对数据进行封装。TCP/IP协议中，数据封装的顺序是 —— B

A.传输层、网络接口层、互联网络层

B.传输层、互联网络层、网络接口层

C.互联网络层、传输层、网络接口层

D.互联网络层、网络接口层、传输层

解析:

B. 传输层、互联网络层、网络接口层

在TCP/IP模型中，数据封装的过程是从应用层开始，向下经过传输层、互联网层，最后到网络接口层。传输层在数据上添加TCP或UDP头部，互联网层添加IP头部，网络接口层则负责添加与物理网络相关的帧结构信息。这个过程确保了数据能够成功在网络中传输，并被目的地主机正确解封装和解读。

“统一威胁管理"是将防病毒、入侵检测和防火墙等安全需求统一管理，日前市场上已经出现了多种此类安全设备，这里"统一威胁管理"常常被简称为 —— A

A.UTM

B.FW

C.IDS

D.SOC

解析:

A. UTM "统一威胁管理"通常被简称为UTM（Unified Threat Management）。UTM设备是集成了多种安全功能的网络安全设备，这些功能包括防病毒、防火墙、入侵检测和预防系统（IDS/IPS）、内容过滤、负载均衡、数据泄露防护和其他安全需求。UTM提供了一种简化的安全管理方法，允许组织通过一个单一的设备来部署和管理整个网络的安全策略。

B. FW 是防火墙（Firewall）的简称。防火墙是一种网络安全系统，它监控和控制进出网络的数据包。它的主要功能是建立一个障碍，以防止未授权的访问，同时允许授权的通信。它可以是硬件设备，软件程序，或者二者的组合。

C. IDS 是入侵检测系统（Intrusion Detection System）的缩写。这种系统监控网络和/或系统活动以寻找恶意活动或违反政策的行为，并向管理人员发出警告。它是网络安全中用于检测和响应潜在威胁的关键组件。

D. SOC 是安全运营中心（Security Operations Center）的缩写。SOC 是一个组织内部或外部的集中单位，负责监视、分析和保护组织免受网络安全威胁。SOC 团队使用各种技术和流程来监控安全事件，并执行安全事故的响应和缓解

关于ARP欺骗原理和防范措施，下面理解错误的是 —— D

A.ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文，使得受害者主机将错误的硬件地址映射关系存入到ARP缓存中，从而起到冒充主机的目的

B.单纯利用ARP欺骗攻击时，ARP欺骗通常影响的是内部子网，不能跨越路由实施攻击

C.解决ARP欺骗的一个有效方法是采用"静态"的ARP缓存，如果发生硬件地址的更改，需要人工更新缓存

D.彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存，直接采用IP地址和其他主机进行连接

解析:

D. 彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存，直接采用IP地址和其他主机进行连接

这个说法是错误的。ARP（地址解析协议）是本地网络环境中不可或缺的部分，因为它负责将网络层的IP地址映射到数据链路层的物理硬件地址（例如MAC地址）。没有ARP，IP网络无法在本地网络环境中高效地传递信息。实际上，彻底避免使用ARP是不可行的，因为在IPv4网络中，主机使用ARP来找出目的IP地址对应的MAC地址。

ARP欺骗的防范措施通常包括以下几种方式：

1. 使用静态ARP条目：这种方法可以在一定程度上减少ARP欺骗的风险，但不适用于大型动态网络，因为它需要手动维护和更新ARP记录，这在动态变化的网络环境中是不现实的。

2. 动态ARP检查：一些网络设备支持动态检查ARP流量，以确定是否存在异常或恶意活动。

3. 使用私有VLAN：私有VLAN可以限制在同一VLAN内的主机之间通信，从而降低了ARP欺骗的可能性。

4. 安全ARP检查：企业级交换机支持如动态ARP检查等安全特性，可以检查并验证ARP请求和响应的合法性。

5. 使用网络访问控制（NAC）：NAC可以帮助识别并阻止未经授权的设备接入网络。

6. 使用加密协议：例如在无线网络中使用WPA3，或在网络层使用IPsec，可以为数据传输增加额外的安全层，减少ARP欺骗的影响。

实体身份签别的样，且随着技术的进步鉴别方法的强度不断提高，常见的方法有利用口令鉴别、令牌鉴别、指纹鉴别等，小王在登陆某移动支付平台时，首先需要通过指纹对用户身份进行鉴别。通过鉴别后，他才能作为合法用户使用自已的户进行支付、转账等操作。这种鉴别方法属于下列选项中的 —— C

A.实体所知的鉴别方法

B.实体所有的鉴别方法

C.实体特征的鉴别方法

D.实体所见的鉴别方法

解析:

A. 实体所知的鉴别方法
这类方法是基于用户所知道的信息来进行身份验证。最常见的例子是密码或PIN码。用户必须输入他们知道的正确信息才能通过验证。这种类型的验证有一个缺点，就是如果密码或信息被别人知道了，那么安全性就会受到威胁。

B. 实体所有的鉴别方法
这类方法是基于用户所持有的东西来进行身份验证，比如智能卡、USB安全密钥、令牌或者是手机上的一次性密码（OTP）。如果用户持有正确的设备或令牌，并且能够提供它，系统就会认为用户是合法的。

C. 实体特征的鉴别方法
正如前面解释的那样，这类方法是基于用户的生物特征，这些特征是独一无二的，如指纹、面部识别、虹膜扫描、手掌静脉或声音识别等。这些特征很难被复制，提供了较高的安全性。

D. 实体所见的鉴别方法
这个选项实际上不是一个常见的身份验证类别。在身份验证的语境中，通常不会提到“实体所见的鉴别方法”。用户所见的东西一般与认证方法无关，所以这个选择可能是用来迷惑答题者的无效选项。

一般地，IP分配会首先把整个网络根据地域、区域。每个子区域从它的上一级区域里获取IP地址段，这种分配方法为什么分配方法 —— A

A.自顶向下

B.自下向上

C.自左向右

D.自右向左

解析:

A. 自顶向下

根据所描述的IP地址分配过程，这种方法是自顶向下的。在这种分配方法中，IP地址的分配从最高级的组织（如互联网号码分配机构）开始，然后逐级向下分配到地区性的互联网注册机构，再到局部网络运营商，最后到达最终用户。这种层级式的分配方法有助于保持IP地址的组织和管理效率。

入侵检测系统（IntrusionDetection Sysytem,IDS）是用于发现并报告系统中未授权或违反安全策略行为的设备。在入侵检测中有这样一种方法，任何的正常行为都是有一定的规律的并且可以通过分析这些行为产生的日志信息（假定日志信息足够安全）总结出这些规律。而入侵和滥用行为则通常和正常的行为存在严重的差异，通过检查这些差异就可以检测这些入侵，请问该入侵检测方法为 —— A

A.基于异常的入侵检测

B.基于误用的入侵检测

C.基于自治代理技术

D.自适应模型生成特性的入侵检测

解析:

A. 基于异常的入侵检测；基于异常的入侵检测是一种检测技术，它的工作原理是首先建立一个系统正常操作时的行为基线，然后实时监测当前活动，并与这个基线进行比较，以识别出任何异常或不符合正常行为模式的活动。这些异常可能表明有未经授权的、恶意的或者不符合安全策略的行为正在发生。这种方法依赖于假设攻击或不正当行为会产生与正常活动明显不同的数据模式。

B. 基于误用的入侵检测（也称为基于签名的入侵检测）；这种方法使用预先定义好的模式（即“签名”）来识别已知的恶意行为。这些模式基于过去已知的特定攻击类型和系统的漏洞。如果系统中的行为与这些签名匹配，入侵检测系统会认为是一次攻击。这种方法的优势在于它能够非常准确地检测到已知的攻击，但它的缺点是不能检测到新型或者变种的攻击，因为它们没有预先定义的签名。

C. 基于自治代理技术的入侵检测， 这种方法涉及使用自治或半自治的代理进行监控和分析。这些代理可能分布在网络中的不同点上，独立地监控流量，并且可能使用机器学习或其他智能方法来识别可能的攻击活动。这些代理可以相互协作，通过共享信息来改善整个系统的入侵检测能力。

D. 自适应模型生成特性的入侵检测； 这是一种先进的检测方法，可能涉及到创建可以根据监测到的活动自我调整的模型。这种方法可能使用机器学习技术，不仅学习什么是正常的行为模式，而且能够适应随时间变化的行为。它可以应对动态环境和演化中的威胁，能够检测到新型或无法预知的攻击。

安全领域是由一组具有相同安全保护需求并相互信任的系统组成的逻辑区域，下面哪项描述是错误的 —— A

A.安全域划分主要以业务需求、功能需求和安全需求为依据，和网络、设备的物理部署位置无关

B.安全域划分能把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题

C.以安全域为基础，可以确定该区域的信息系统安全保护等级和防护手段，从而使同一安全域内的资产实施统一的保护

D.安全域边界是安全事件发生时的抑制点，以安全域为基础，可以对网络和系统进行安全检查和评估，因此安全域划分和保护也是网络防攻击的有效防护方式

解析:

A. 安全域划分主要以业务需求、功能需求和安全需求为依据，和网络、设备的物理部署位置无关

这个描述是错误的。虽然安全域的划分确实是基于业务需求、功能需求和安全需求，但是网络和设备的物理部署位置也是考虑因素之一。在实际环境中，安全域的划分通常会考虑物理位置、网络拓扑结构以及访问控制策略等多个因素，因为它们直接影响到安全控制的实施和管理。例如，可能会将物理安全边界（如围墙、门禁系统）和网络安全边界（如防火墙、隔离区）结合起来，以加强对特定区域的安全防护。

基于TCP的主机在进行一次TCP连接时需要进行三次握手。请求通信的主机A要与另一台主机B建立连接时，A需要先发一个SYN数据包向B主机提出连接要求，B收到后，回复一个ACK/SYN确认请求给A主机。然后A再次回应ACK数据包，确认连接请求。攻击通过伪造带有虚假源地址的SYN包给目标主机，使目标主机发送的ACK/SYN包得不到确认。一般情况下，目标主机会等一段时间后才会放弃这个连接等待，因此大量虚假SYN包同时发送到目标主机时，目标主机上就会有大量的连接请求等待确认，当这些未释放的连接请求数量超过目标主机的资源限制时，正常的连接请求就不能被目标主机接受。这种SYNFlood攻击属于 —— A

A.拒绝服务攻击

B.分布式拒绝服务攻击

C.缓冲区溢出攻击

D.SQL注入攻击

解析:

A. 拒绝服务攻击

SYN Flood攻击是一种利用TCP协议的三次握手过程的漏洞来执行的拒绝服务攻击（DoS）。攻击者大量发送带有虚假源地址的SYN包到目标系统，目标系统在等待最后一个确认包（即第三次握手）时，由于源地址是虚假的，所以不会收到确认。这些半开放的连接会消耗目标系统的资源，最终可能导致系统无法处理合法的连接请求，从而达到拒绝服务的目的。如果这种攻击是由多个分散的系统协同进行，那么它将被称为分布式拒绝服务攻击（DDoS）。

IPV4协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联互通，仅仅依靠IP头部校验和字段来保证IP包的安全，因此IP包很容易被算改，并重新计算校验和。IETF于1994年开始制定IPSeC协议标准，其设计目标是在IPv4和IPv6环境中为网络层流量提供灵活，透明的安全服务保护TCP/IP通信免遭窃听和算改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性，下列选项中说法错误的是 —— C

A.对于IPv4,Ipsec是可选的，对于1Pv6,Ipsec是强制实施的

B.lpsec协议提供对IP及其上层协议的保护

C.Ipsec是一个单独的协议

D.lpsec安全协议给出了封装安全载荷和鉴别头两种通信保护机制

解析:

C. Ipsec是一个单独的协议

这个说法是错误的。IPsec不是一个单独的协议，而是一整套协议和服务的组合，它包括了一系列的标准和协议，用于在网络层提供加密和认证。IPsec的组成部分包括协议如互联网密钥交换（IKE）和两种主要的安全协议：封装安全载荷（ESP）和认证头（AH）。ESP提供数据加密的功能，而AH提供数据完整性和认证的功能。因此，IPsec是一个安全框架，而不仅仅是单一的协议。

网络服务包括（）、私有网络服务、增值网络和受控的网络安全解决方案，例如防火墙和入侵检测系统。这些服务既包括简单的未受控的带宽也包括复杂的（）。组织宜识别特殊服务的安全安排，例如（）、服务级别和管理要求。网络服务提供商以安全方式管理商定服务的能力宜予以确定并（），还宜商定（）。组织宜确保网络服务提供商实施了这些措施。 —— D

A.接入服务；定期监视；增值的提供；安全特性；审核的权利

B.接入服务：安全特性；增值的提供；定期监视；审核的权利

C.增值的提供；接入服务；安全特性；定期监视；审核的权利

D.接入服务；增值的提供；安全特性；定期监视；审核的权利

解析:

D. 接入服务；增值的提供；安全特性；定期监视；审核的权利

这个选项最符合通常针对网络服务的描述。组织应识别特殊服务的安全安排，包括服务级别和管理要求。网络服务提供商的管理能力应当确保安全，并且组织应定期监视这些服务，并保留审核的权利以确保服务提供商实施了相应的安全措施。接入服务和增值服务是网络服务提供商常提供的服务类型，而安全特性、定期监视和审核权利是确保服务安全的重要组成部分。

小红和小明在讨论有关于现在世界上的IP地址数量有限的问题，小红说他看到新闻说在2011年2月3日，在全球互联网IP地址相关管理组织宣布现有的互联网IP地址已于当天划分给所有的区域互联网注册管理机构，IP地址总库已经枯竭，小明吓了一跳觉得以后上网会成问题，小红安慰道，不用担心，现在IPv6已经被试用它有好多优点呢，以下小红的优点中错误的是 —— C

A.网络地址空间的得到极大扩展

B.IPv6对多播进行了改进，使得具有更大的多播地址空间

C.繁杂报头格式

D.良好的扩展性

解析:

C. 繁杂报头格式

这是错误的说法。实际上，IPv6相对于IPv4在报头格式上做了简化，使得路由器更高效地处理数据包，因为它减少了报头中的选项数量。IPv6设计时就考虑到了处理速度和简易性，因此它有一个更简洁的固定长度的40字节头部，而IPv4的头部则可能因为选项不同而有不同的长度，通常在20到60字节之间。IPv6的这种设计可以简化包处理，提高传输效率。其他选项描述的IPv6的优点则是正确的：A项提到了更大的地址空间，B项提到了对多播的改进，而D项提到了良好的扩展性。

作为企业网络应用核心之一，电子邮件为企业进行信息交流提供了有力支持，在带给人们便利的同时，电子邮件也带来了诸如垃圾信息、密码被破译、邮件被监听等安全问题，随着安全电子邮件技术的发展，电子邮件所遭遇的安全问题正在被逐步化解，下列四项中，不属于典型的电子邮件安全标准的是 —— C

A.S/MIME

B.PGP

C.CRC

D.PEM

解析:

A. S/MIME，即安全多用途互联网邮件扩展，是一种安全协议用来提供电子邮件的加密和数字签名。S/MIME 允许邮件发送者对邮件内容进行加密，确保只有拥有正确密钥的接收者才能阅读邮件内容，同时提供数字签名功能以验证发送者身份并确保邮件内容未被篡改。

B. PGP（Pretty Good Privacy）是一个提供数据加密和解密服务的程序，常用于电子邮件通讯中保护信息安全。PGP使用混合加密系统，它将对称密钥加密与公钥加密相结合，为邮件提供了强大的保密性和身份验证功能。

C. CRC（循环冗余校验）是一种校验算法，主要用于检查数据传输或存储过程中的错误。在电子邮件中，CRC可以用作错误检测，但它不是专用于电子邮件的安全标准，也不提供加密或认证功能。CRC能检测出数据中的小错误，但不能防止恶意攻击。

D. PEM（Privacy Enhanced Mail）是互联网工程任务组（IETF）的一个老旧标准，其设计目的是为了在Internet上提供安全的电子邮件传输。它提供加密和数字签名服务，虽然它被S/MIME和PGP这类更现代的技术所取代，但它在历史上是电子邮件加密的一个重要里程碑。

在一个网络中，当拥有的网络地址容量不够多，或普通终端计算机没有必要分配静态IP地址时，可以采用通过在计算机连接网络时，每次为其临时在IP地址池中选择一个IP地址并分配的方式为 —— A

A.动态分配IP地址

B.静态分配IP地址

C.网络地址转换分配地址

D.手动分配

解析:

A. 动态分配IP地址

动态主机配置协议（DHCP）是一种网络管理协议，用于动态分配IP地址。当设备连接到网络时，DHCP服务器会从地址池中分配一个IP地址给设备使用，通常是租约形式，租约过期后该IP地址可以被重新分配。这种方法特别适合有大量设备临时连接网络的情况，因为它减少了手动配置IP地址的必要，同时有效利用了有限的IP地址资源。

B. 静态分配IP地址

静态IP地址是手动设置在网络设备上的，通常用于需要持续保持相同IP地址的设备，如服务器或网络打印机。这些地址是固定的，不会因为设备重新启动或断开网络连接而改变。

C. 网络地址转换分配地址

网络地址转换（NAT）是一种在私有网络和公共网络之间转换地址的技术。它通常用于在内部网络（如家庭或公司网络）中，将多个私有IP地址映射到一个公共IP地址上。NAT有助于减少公共IP地址的需求并提高网络安全性，但它并不直接“分配”地址给终端计算机。

D. 手动分配

手动分配IP地址通常指的是管理员手动为网络中的每个设备指定一个固定的IP地址，这类似于静态分配IP地址的概念。这种方法在设备数量较少，且要求网络配置不变时使用较多。

以下关于VPN说法正确的是 —— C

A.VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路

B.VPN不能做到信息认证和身份认证

C.VPN指的是用户通过公用网络建立的临时的、安全的连接

D.VPN只能提供身份认证不能提供加密数据的功能

解析:

C. VPN指的是用户通过公用网络建立的临时的、安全的连接

VPN（虚拟私人网络）允许用户通过使用加密协议，通过公共网络（如互联网）创建一个安全的连接到另一个网络。这种技术允许安全地传输数据，就好像它们是通过一条专用的私人网络传输一样。

A. VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路

这一选项描述的其实更接近于租用的专线服务，例如 MPLS（多协议标签交换）或其他类型的线路租赁服务，这与VPN的概念不同。VPN使用的是公共网络来传输加密的数据，并不是物理隔离的专线。

B. VPN不能做到信息认证和身份认证

这是不正确的，大多数VPN技术提供了认证机制，确保连接到VPN网络的是授权用户，并且信息在传输过程中保持完整性和机密性。

D. VPN只能提供身份认证不能提供加密数据的功能

这同样是不正确的。VPN不仅可以提供身份认证，还可以加密数据，以确保在传输过程中数据的安全性和隐私。加密是VPN最基本的功能之一。

在课堂上，四名同学分别对WEPVIEEE802.11i与WAPI三个安全协议在鉴别与加密方面哪一个做的更好做出了回答，请问哪一个同学回答的更准确 —— C

A.WEP更好，因为其使用开放式系统鉴别或共享密钥鉴别

B.IEEE.802.11i便好，因为支持各种鉴别方式

C.WAPI更好，因为采用公钥数字证书作为身份凭证；无线用户与无线接入点地位对等，实现无线接入点的接入控制；客户端支持多证书，方便用户多处使用

D.都一样

解析:

A. WEP更好，因为其使用开放式系统鉴别或共享密钥鉴别

WEP是最早的无线网络加密标准，但它已经被证明存在严重的安全弱点。WEP使用的加密方法（RC4）很容易被破解，无论是使用开放系统鉴别还是共享密钥鉴别，都不能提供足够的安全性。

B. IEEE 802.11i，也被称为WPA2（Wi-Fi Protected Access 2），是目前Wi-Fi网络中最安全的加密和鉴别标准之一。它使用了强大的加密方法如AES（高级加密标准）并支持多种鉴别方式，包括个人模式（使用预共享密钥）和企业模式（使用802.1X和EAP）。IEEE 802.11i针对多种早期WEP（Wired Equivalent Privacy）和WPA（Wi-Fi Protected Access）协议的弱点进行了改进。

C. WAPI更好，因为采用公钥数字证书作为身份凭证；无线用户与无线接入点地位对等，实现无线接入点的接入控制；客户端支持多证书，方便用户多处使用

WAPI是中国提出的无线网络安全标准，目的是给无线网络提供认证和加密的解决方案。虽然WAPI在认证方面有其特点，如使用公钥数字证书，但它的普及程度和国际接受度相比IEEE 802.11i要低很多，因此在全球范围内通常不被认为是更好的安全协议。(答案就是 C 不用怀疑解释)

对照ISO/OSI参考模型各个层中的网络安全服务，在物理层可以采用哪种方式来加强通信线路的安全 —— A

A.防窃听技术

B.防火墙技术

C.防病毒技术

D.防拒认技术

解析:

A. 防窃听技术

物理层是ISO/OSI模型的最底层，直接负责数据在媒体上的传输过程。在物理层提高通信线路的安全通常涉及保护传输介质，以防止窃听（也就是非法截取数据）。防窃听技术可以包括使用屏蔽电缆、光纤通信（对于窃听更具抵抗力），以及监测电缆以检测物理入侵尝试。

B. 防火墙技术

虽然防火墙是网络安全中一个重要的技术，但它通常不在物理层工作。防火墙大多实现在网络层甚至更高层，其功能是控制网络间的访问权限，防止非法访问或数据泄漏。

C. 防病毒技术

防病毒技术主要与软件层面的安全威胁相关，如防止恶意软件传播。这种技术并不在OSI模型的物理层实现，而是在较高层次，如应用层。

D. 防拒认技术

防拒认技术（Non-repudiation）确保通信双方无法否认先前的承诺或行动。这通常通过数字签名和加密技术来实现，属于数据链路层以上层次，并非物理层的功能。

机房中大量的电子的电子设备在与水的接触中会导致损坏的事故，即使在未运行期间，与水接触也会对计算机系统造成损坏。因此在机房环境安全策略和安全措施中都需要考虑解决水带来的安全问题。某公司在为机房选址和布置机房环境时考虑了这些措施：①将机房建在顶层，②在机房周围设置防水区③主供水管避开机房顶部④地板部署水浸探测器③使用专用精密空调保持机房恒温恒湿，其中属于防水措施的有 —— D

A.①④

B.②③

C.③③

D.③④

解析:

2-在机房周围设置防水区，算是建筑物防洪的措施，已经超出机房的防水范围了。

3、4为最佳答案。

近几年，无线通信技术迅猛发展，广泛应用于各个领域。而无线信道是一个开放性信道，它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素。下列选项中，对无线通信技术的安全特点描述正确的是 —— C

A.无线通道是一个开放性通道，任何具有适当无线设备的人均可以通过搭线窃听而获得网络通信内容

B.通过传输流分析，攻击者可以掌握精确的通信内容

C.对于无线局域网络和无线个人区域网络来说，它们的通信内容更容易被窃听

D.群通信方式可以防止网络外部人员获取网络内部通信内容

解析:

C. 对于无线局域网络和无线个人区域网络来说，它们的通信内容更容易被窃听

这个选项正确地描述了无线通信的一个安全特点。由于无线信号通常可以在一定范围内被任何有适当设备的人接收，因此无线局域网络（WLAN）和无线个人区域网络（WPAN）的通信内容更容易被窃听。

A. 无线通道是一个开放性通道，任何具有适当无线设备的人均可以通过搭线窃听而获得网络通信内容

该选项的描述有误，因为“搭线窃听”通常是指有线通信中的窃听方式。在无线通信中，应该是“空中窃听”或“无线侦听”。

B. 通过传输流分析，攻击者可以掌握精确的通信内容

传输流分析（traffic analysis）虽然可能暴露通信模式和活动，但并不总能让攻击者精确地获取通信内容，尤其是当通信被加密时。

D. 群通信方式可以防止网络外部人员获取网络内部通信内容

群通信方式实际上并不能保证防止外部人员获取内部通信内容。如果不采取适当的安全措施，比如加密，即使是群通信也仍然容易被外部人员监听和获取内容。

由于IP协议提供无连接的服务，在传送过程中若发生差错就需要哪一个协议向源节点报告差错情况，以便源节点对此做出相应的处理 —— C

A.TCP

B.UDP

C.ICMP

D.RARP

解析:

C. ICMP

互联网控制消息协议（ICMP）是一种网络层协议，用于发送错误消息和操作信息。例如，当IP数据包无法到达目的地时，ICMP会发送一条消息给源主机，这个过程通常被称为“ping”操作。ICMP同样用于发送其他类型的网络探测或诊断信息。

A. TCP（传输控制协议）提供的是面向连接的服务。虽然TCP确保数据正确传输（通过确认和重传机制），但它不会向源节点报告传送过程中的差错；这是ICMP的职责。

B. UDP（用户数据报协议）提供的是一种无连接的服务，它不提供差错报告功能，也不确保数据包的送达。

D. RARP（逆地址解析协议）用于将物理地址（如MAC地址）映射到IP地址，与报告网络层的差错无关。

将防火墙软件安装在路由器上，就构成了简单的什么防火墙 —— B

A.子网过滤

B.包过滤

C.代理服务器

D.主机过滤

解析:

B. 包过滤

包过滤防火墙是最初级的防火墙类型之一，它工作在网络层。包过滤防火墙会根据源IP地址、目的IP地址、传输控制协议（TCP）或用户数据报协议（UDP）的端口号等信息来判断数据包是否允许通过。这些规则直接应用在路由器上，使得路由器能够根据预定的规则集来决定是否转发进入和离开网络的数据包。

由于应用系统的复杂性和多样性，对于系统的安全问题，目前还没有统一的分类，某公司工程师从对应用系统的攻击手段角度出发，归纳出常见的应用系统主要威胁，其中不符合出发点是 – D

A.缓冲区溢出

B.钓鱼攻击

C.远程渗透

D.隔离防护

解析:

D. 隔离防护

隔离防护是一种安全策略，用来保护系统不受未经授权的访问和攻击，而不是一种攻击手段。它通常包括物理隔离和逻辑隔离两种类型，通过控制不同网络间的数据流动来实现系统的安全隔离。相比之下，缓冲区溢出、钓鱼攻击和远程渗透都是攻击手段，用来破坏或侵入应用系统。

针对软件的拒绝服务攻击时通过消耗系统资源是软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下那个不是需要考虑的攻击方式 —— D

A.攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100%

B.攻击者利用软件脚本便用多重帐套查询在数据量大时会导致查询效率低，通过发送大量的查询导致数据库相应缓慢

C.攻击者利用软件不自动释放链接的问题，通过发送大量链接的消耗软件并发生连接数，导致并发连接数耗尽而无法访问

D.攻击者买通了IDC人员，将某软件运行服务器的网线拔掉导致无法访问

解析:

D 这个不用解释了吧，都拔网线了，这关开发什么事

安全多用途互联网邮件扩展（S/IMIME）是指一种保障邮件安全的技术，下面描述错误的是 —— C

A.S/MIIME采用了非对称密码学机制

B.S/IMIME支持数字证书

C.S/MIME采用了邮件防火墙技术

D.S/MIME支持用户身份认证和邮件加密

解析:

C. S/MIME采用了邮件防火墙技术

安全多用途互联网邮件扩展（S/MIME）确实使用了非对称密码学机制来加密和解密信息（选项A），支持数字证书以及用户身份认证和邮件加密（选项B和D）。然而，S/MIME本身并不采用邮件防火墙技术；它是一种安全协议，用于实现电子邮件的内容加密和数字签名，以确保邮件内容的机密性和完整性，以及发件人身份的可验证性。邮件防火墙技术一般是在网络层面上提供安全功能，例如拦截或过滤恶意邮件，并不直接包含在S/MIME协议中。

在网络信息系统建设中部署防火墙，往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙保护内网主机，下列选项中部署位置正确的是？ —— A

A.内网主机一交换机一防火墙一外网

B.防火墙一内网主机一交换机一外网防火墙

C.内网主机一交换机一外网防火墙

D.内网主机一交换机一外网

解析:

A. 内网主机一交换机一防火墙一外网

正确部署防火墙的位置是在内网和外网之间，即内网主机和外网连接的路径上。这样部署防火墙可以对内网主机提供保护，监控和控制进出内网的数据流量，防止未授权访问和攻击。因此，选项A描述了一种正确的部署方式，防火墙位于内网主机和交换机之后，确保所有从内网到外网（以及从外网来的）的流量都必须经过防火墙审查。

选项B和C中的防火墙位置不正确，因为它们放在了内网主机和交换机之间，或者是在外网之后，这样的配置不能有效地保护内网主机免受外部威胁。

选项D没有提到防火墙，仅仅是内网主机通过交换机连接到外网，这样的配置没有安全防护能力。

异常入侵检测是入侵检测系统常用的一种技术，他是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是 —— B

A.在异常入侵检测中，观察到的不是已知的入侵行为，而是系统运行过程中的异常现象

B.实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生

C.异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手段向管理员报警

D.异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为

解析:

B. 实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生

异常入侵检测（Anomaly-based Intrusion Detection）的工作原理是通过比较系统的当前行为与正常行为的基线（而不是已知入侵攻击的特征）来检测潜在的恶意活动。如果系统行为与正常行为的基线相差足够大，系统就可能检测到入侵。而将行为数据与已知入侵行为特征相比较的是另一种技术，叫做基于签名的入侵检测（Signature-based Intrusion Detection）。

误用基于特征，异常基于行为

小王是某通信运营商公司的网络安全架构师，为该公司推出的一项新型通信系统项目做安全架构规划，项目客户要求对他们的大型电子商务网络进行安全域划分，化解为小区域的安全保护，每个逻辑区域有各自的安全访问控制和边界控制策略，以实现大规模电子商务系统的信息保护。小王对信息系统安全域（保护对象）的划分不需要考虑的是 —— D

A.业务系统逻辑和应用关联性，业务系统是否需要对外连接

B.安全要求的相似性，可用性、保密性和完整性的要求是否类似

C.现有网络结构的状况，包括现有网络、地域和机房等

D.数据库的安全维护

解析:

D. 数据库的安全维护

在进行信息系统安全域划分时，小王作为网络安全架构师需要考虑的因素包括：

A. 业务系统逻辑和应用关联性，以及业务系统是否需要对外连接。这能帮助确定不同业务模块之间的依赖和通信需求，从而合理规划安全边界。

B. 安全要求的相似性，包括可用性、保密性和完整性的要求是否类似。类似的安全需求可以划分在同一个安全域内，以便统一管理。

C. 现有网络结构的状况，包括现有网络、地域和机房等。现有的物理布局和网络架构会影响安全域的划分和安全控制的实施。

选项D，数据库的安全维护，尽管也是一个重要的安全考虑因素，但它不是在划分安全域时必须直接考虑的。数据库安全维护更多关注于数据本身的安全性，诸如加密、访问控制和数据完整性保护等，而安全域的划分更侧重于宏观上对网络的结构性安全控制。当然，在具体实施安全控制措施时，数据库安全维护会被纳入考虑，确保每个安全域内的数据安全性符合要求。

传输线路是信息发送设备和接受设备之间的物理通路，针对传输线路的攻击是攻击者常用的方式，不同传输介质具有不同的安全特性。同轴电缆、双绞线和光纤是广泛使用的有线传输介质。下列选项中，对有线传输介质的描述错误的是 —— C

A.同轴电缆显著的特征是频带较宽，其中高端的频带最大可达到10GHZ

B.在双绞线外包裹一层金属屏蔽层，可解决抗干扰能力差的问题

C.由于光在塑料的保护套中传输损耗非常低，因此光纤可用于长距离的信息传递

D.光纤通信传输具有高带宽、信号衰减小、无电干扰、不易被窃听、成本高等特点

解析:

C. 由于光在塑料的保护套中传输损耗非常低，因此光纤可用于长距离的信息传递

该选项的描述不准确。光纤中的光信号传输损耗确实相比电信号在金属导线中传输要低，这一点是正确的，使得光纤可用于长距离的信息传递。然而，这低损耗并不是因为光在"塑料的保护套"中传输，而是因为光纤使用低损耗的材料（通常是特殊类型的玻璃或者高质量的塑料）作为传输媒介，并且采用了全反射的原理来封闭光信号。

传统的电信号传输介质如同轴电缆和双绞线在传输过程中会受到电磁干扰，导致信号衰减和损耗，而光纤的这些优点（高带宽、低信号衰减、抗电磁干扰）使其特别适合长距离以及高速数据传输。此外，光纤的物理特性使得它更难被窃听或者入侵，从而提供了更高的安全性。尽管成本上可能高于传统电缆，但是随着技术的发展和产量的增加，光纤的成本已经逐渐降低。

在你对远端计算机进行ping操作，不同操作系统回应的数据包中初始TTL值是不同的，TTL是IP的一个值，他告诉网络，数据包括在网络中的时间是否太长而应被丢弃。（简而言之，你可以通过TTL值推算数据包已经通过了多少个路由器）根据回应的数据包中的TTL值，可以大致判断 —— B

A.内存容量

B.操作系统的类型

C.对方物理位置

D.对方的Mac地址

解析:

B. 操作系统的类型

TTL（Time to Live）是IP数据包的一个字段，表示数据包在网络中可以被转发的最大跳数。当数据包经过一个路由器时，其TTL值会减少1。当TTL值减至0时，数据包将被丢弃，不会再被转发。

不同操作系统的默认TTL值可能不同。例如，Windows系统通常有一个默认的TTL值128，而Unix/Linux系统的TTL通常默认是64。因此，通过观察返回数据包的TTL值，可以推断出目标机器可能运行的操作系统类型。但是要注意，这种方法不是百分之百准确，因为TTL值可以被更改。

其他选项：

A. 内存容量不会影响TTL值。
C. 对方物理位置距离也可以间接通过TTL的减少来估计，因为每经过一个路由器跳数会减1，但是这只能提供一个粗略的估计，因为每个路由器的间距是不一样的。
D. 对方的MAC地址是数据链路层的信息，与IP层的TTL无关。