南开《计算机高级网络》课程期末复习资料

《计算机高级网络》课程期末复习资料

《计算机高级网络》课程讲稿章节目录：
第一章 网络安全概述与环境配置
第一节 信息安全概述
第二节 网络安全概述
第三节 研究网络安全的必要性
第四节 研究网络安全的社会意义
第五节 网络安全的相关法规
第六节 网络安全的评价标准
第七节 环境配置

第二章 网络安全协议基础
第一节 OSI参考模型
第二节 TCP/IP协议族
第三节 网际协议IP
第四节 传输控制协议TCP
第五节 用户数据报协议UDP
第六节 ICMP协议
第七节 常用的网络服务
第八节 常用的网络指令

第三章 网络安全编程基础
第一节 网络安全编程概述
第二节 C和C++的几种编程模式
第三节 网络安全编程

第四章 网络扫描与网络监听
第一节 黑客概述
第二节 网络踩点
第三节 网络扫描
第四节 网络监听

第五章 网络入侵
第一节 社会工程学攻击
第二节 物理攻击与防范
第三节 暴力攻击
第四节 Unicode漏洞专题
第五节 其他漏洞攻击
第六节 缓冲区溢出攻击
第七节 拒绝服务攻击
第八节 分布式拒绝服务攻击

第六章 网络后门与网络隐身
第一节 网络后门
第二节 木马
第三节 网络代理跳板
第四节 清除日志
第七章 恶意代码
第一节 恶意代码概述
第二节 恶意代码实现机理
第三节 常见的恶意代码
第八章 操作系统安全基础
第一节 常用操作系统概述
第二节 安全操作系统的研究发展
第三节 安全操作系统的基本概念
第四节 安全操作系统的机制
第五节 代表性的安全模型
第六节 操作系统安全体系结构
第七节 操作系统安全配置方案
第九章 密码学与信息加密
第一节 密码学概述
第二节 DES对称加密技术
第三节 RSA公钥加密技术
第四节 PGP加密技术
第五节 数字信封和数字签名
第六节 数字水印
第七节 公钥基础设施PKI

第十章 防火墙与入侵检测
第一节 防火墙的概念
第二节 防火墙的分类
第三节 常见防火墙系统模型
第四节 创建防火墙的步骤
第五节 入侵检测系统的概念
第六节 入侵检测的方法
第七节 入侵检测的步骤

一、客观部分：（单项选择、多项选择、不定项选择、判断）
（一）、单选题
1、会计小王误把公司业务合同资料发布在网站上，则该公司的信息（  B   ）受到损害。
A. 可用性    B. 机密性   C. 可控性     D. 抗抵赖性
★考核知识点: 机密性，参见P5
附1.1.2（考核知识点解释）：
网络机密性是指网上资源不泄露给非授权的用户、实体或程序，能够防止网上用户非授权获取网上资源。例如网络系统上传递的信息有些属于重要安全信息，若一旦攻击者通过监听手段获取到，就有可能危及网络系统整体安全。

2、网络管理员张三需要远程检查WWW服务器的telnet服务是否正常启动，则
张三可以使用（    A   ）工具进行检查。
A．nmap          B．tcpdump   C．netstat       D．ps
★考核知识点: Nmap扫描，参见P106
附4.3（考核知识点解释）
Nmap是一个流行的端口扫描软件工具，它集成TCP Connect、TCP SYN、NULL、ICMP、UDP和OS识别等多种扫描技术，提供命令行和图形界面，可以运行在Unix和Windows平台上。本题测试的是题中各种软件的功能，在Nmap的端口扫描中，可以使用“Nmap-sT 192.168.0.1”的形式对网址为192.168.0.1的服务器进行扫描，并能测试出telnet服务是否正常开启。

3、李出纳收到一封电子邮件，该邮件要求李出纳把银行帐号和口令发送到指定
的邮件地址，李出纳可能遭受（   A   ）安全威胁。
A．网络钓鱼         B．DoS   C．DDoS       D．网络蠕虫
★考核知识点: 网站假冒，参见P119
附5.1（考核知识点解释）
网络攻击者设法将信息发送端重定向到攻击者所在的计算机，然后再转发给接收者。例如攻击者伪造某个网上银行域名，用户不知真假，却按银行要求输入帐号和密码，攻击者从而获取银行帐号。本题中，攻击者采用假冒他人向李出纳发送邮件，并要求他把银行帐号和口令发送到指定的邮件地址，这两种攻击都是典型的网络钓鱼手法，是社会工程学攻击的一种常用手段。

4、某公司WWW服务器利用HTTP 协议明文传递网页信息给客户，则该公司服务器面临的安全威胁是（   D   ）
A．会话劫持         B．计算机病毒   C．同步风暴       D．网络窃听
★考核知识点: 网络监听，参见P115
附4.4（考核知识点解释）
     本题没有什么好说的，在网络中以明文形式传送敏感信息，采用网络窃听的方式即可获取这些信息。

5、小王和小明需要利用互联网进行业务信息交换，但彼此之间都想简化密钥管
理，则可选用的密码算法是（   A     ）。
A．RSA         B．MD5   C．IDEA       D．AES
★考核知识点: 数字签名的应用例子，参见P268
附9.5.2（考核知识点解释）
     本题考察的是对加密技术的理解，在保密通信过程中，利用公钥密码算法，可以有效的进行密钥交换和协商，因此利用公钥密码算法能够简化密钥管理。

6、网站信息管理员需要把提供给用户下载的文件生成一个特殊字符串，用户通过它可以检查该文件是否被非法篡改。则管理员可以使用算法(   C     )来实现这个安全服务。
A．DES         B．RC4   C．SHA       D．VPN
★考核知识点: 数字签名的原理，参见P267
附9.5.1（考核知识点解释）
本题考察的是对网络攻击常见方法的理解，这里是利用Hash函数来检测在网络上传输的信息是否被人篡改。在四个选项中，只有SHA算法是Hash算法。

7、甲公司在网络信息系统安全设计时，针对员工需要设计了一种安全机制“你能做什么”，则该安全机制是(   C    )  
A．评估机制        B．加密机制   C．授权机制       D．审计机制

★考核知识点: 访问控制，参见P221
附8.4.3（考核知识点解释）
本题考察的是网络访问控制技术，通过网络访问控制技术，可以对不同的用户给予不同的权限，故用户拥有什么样的帐号，就拥有什么样的权限，所以这事一种授权机制。

8、乙公司的信息安全策略为：当远程访问网络设备的时候，要求使用安全通信方式，则网络管理员可以使用(    C     )安全访问路由器
A．telnet        B．tftp   C．ssl       D．ftp
★考核知识点: SSL/TLS技术，参见P338
附11.5.（考核知识点解释）
本题考察的是安全通信工具软件中的SSL，SHL的中文翻译为“安全外壳”，它是基于公钥的安全应用协议，能够实现服务器认证和用户认证及安全加密网络连接服务，也就是说可以实现远程用户和服务器间的安全通信。

9、丙公司要实施积极主动防御信息安全策略，建立一种能够自动发现网上威胁行为的安全机制，则丙公司可以部署(    A      )软件系统，来实现它的信息安全策略。
A．snort         B．tcpdump   C．windump       D．IIS
★考核知识点: Web安全概述，参见P308
附11.4（考核知识点解释）
     本题考察对网络安全监测分析工具功能的理解，因此本题的正确选项为A，在教材中并没有出现snort这种软件，故可以采用排除法进行选择。Tcpdump和Windump都是网络监听软件，可以监听网络数据包并对包进行过滤，但不能够发现来自网上的威胁行为。而IIS是微软的服务器软件，故只有A才可能是正确答案。

10、甲公司计算机有可能受到蠕虫安全威胁，则该公司应采取(   C     )安全措施，消除潜在的蠕虫安全威胁。
A．加密         B．认证   C．漏洞修补       D．审计
★考核知识点: 网络蠕虫，参见P203
附7.3.6（考核知识点解释）
网络蠕虫能够进行攻击的前提条件是网络服务器或主机存在漏洞，只有利用系统中存在的漏洞，蠕虫才可能从一个节点传播到另一个节点。因此，防范蠕虫的最好方法就是对系统中存在的漏洞进行修补。

11、小王安装Windows 2000操作系统后，系统会创建一些隐藏的共享目录，他可以在命令窗口下执行(  A   )操作查看到这些隐藏的共享目录。
A．net  share  B．net  start   C．net  D．net  view
★考核知识点: 安全配置方案高级篇，参见P235
附8.7.3（考核知识点解释）
     Windows 98以后的系统，包括Windows 2000，都提供了文件安全共享，但是共享带来的问题是造成信息泄露。系统在安装以后，会创建一些隐藏的共享目录，一般人平时很少注意到这些隐藏的共享目录，因此这部分目录中的信息泄露的可能性最大。为了防止这种情况的发生，可以使用NET SHARE命令来查找这些隐藏的共享目录，从而防止信息的泄露。

12、网络信息安全员在设置包过滤防火墙规则时，可以使用(   D    )做为过滤规则配置参数。
A．用户IP地址         B．用户计算机MAC地址
C．用户名              D．A和B
★考核知识点: 分组过滤防火墙，参见P277
附10.2.1（考核知识点解释）
本题考察防火墙核心技术，主要是考察包过滤配置规则。包过滤是在IP层实现的防火墙技术，包过滤根据包的源IP地址、目的IP地址、源端口、目的端口、包传递方向等包头信息判断是否允许包通过。还有一种方式是利用计算机的MAC地址来判断是否允许包通过。

13、一般来说，由TCP/IP协议漏洞所导致的安全威胁是(   D       )。
A．口令攻击         B．网络钓鱼   C．缓冲区溢出       D．会话劫持
★考核知识点: TCP/IP协议族，参见P29
附2.2（考核知识点解释）
会话劫持系指攻击者在初始授权之后建立一个连接。在会话劫持以后，攻击者具有合法用户的权限。例如，一个合法用户拨通一台主机，当工作完成后，没有切断主机。然后攻击者乘机接管，因为主机并不知道合法用户的连接已经断开。于是攻击者能够使用合法用户的所有权限。典型的实例是“TCP会话劫持”。

14、在Linux系统中，执行ls  -l  services后，输出信息如下：
# ls  -l  services -rw-rw-r--  1 root root 20373 2004-09-23  services
则非root用户拥有该文件的(   A     )权限。

A．读         B．写   C．读和写       D．执行
★考核知识点: 访问监控器和安全内核，参见P218
附8.3.3（考核知识点解释）
    在Unix/Linux安全机制中，用户一般通过文件访问控制表来实现系统资源的控制，也就是常说的“9bit”来实现。在上体中，显示services文件的访问控制信息，其中root的权限是“rw”，表示读写，而非root用户的权限是“r”，表示只读

15、甲公司利用开源软件Apache建立电子商务网站，为保证客户通信内容的机密性，需要安装(   A      )软件包，以支持服务安全运行。

A．Open SSL    B．VPN   C．iptables    D．PGP
★考核知识点: SSL/TLS技术，参见P338
附11.5.（考核知识点解释）
本题考察的是安全通信工具软件中的SSL，SSL的中文翻译为“安全外壳”，它是基于公钥的安全应用协议，能够实现服务器认证和用户认证及安全加密网络连接服务，也就是说可以实现远程用户和服务器间的安全通信。

16、邮件管理员在设置过滤规则时，可以使用(   D     )做为过滤规则配置参数，对垃圾邮件进行过滤。
A．IP地址    B．发送人邮件地址  C．邮件内容关键字    D．以上都对
★考核知识点: E-mail服务，参见P48
附2.7.3（考核知识点解释）
本题考察的是电子邮件安全服务机制中的邮件过滤机制，邮件的过滤机制有以下2种，1、基于IP地址的过滤；2、基于内容的过滤。其中，基于内容的过滤通常是对邮件的信头进行详细分析，比如对来源IP地址进行域名解析，判断Email地址来源的真实性；限制同一封电子邮件发送给多个人、按照关键字或者规则进行过滤等。

17、已知甲公司的一台安装Windows 2000的计算机要接入互联网，经过调查分析，该计算机OS没有安装针对RPC漏洞的最新补丁软件包，则该计算机最有可能受到的安全威胁是(    C     )。
A．IP地址欺骗   B．DDoS   C．网络蠕虫   D．ICMP
★考核知识点: 网络蠕虫，参见P203
附7.3.6（考核知识点解释）
网络蠕虫能够进行攻击的前提条件是网络服务器或主机存在漏洞，只有利用系统中存在的漏洞，蠕虫才可能从一个节点传播到另一个节点。因此，防范蠕虫的最好方法就是对系统中存在的漏洞进行修补。

18、信息安全人员想通过诱惑技术方法掌握攻击者的行为，则可以部署的安全软件包是(     A     )。
A．honeypot    B．IDS   C．Sniffer    D．IPS
★考核知识点: 常见的恶意代码，参见P182
附7.3（考核知识点解释）
本题考察的是防病毒产品典型技术，蜜罐（honeypot）是一种预先配置好的系统，它是为吸引并诱骗那些试图非法闯入他人计算机系统的人（如计算机黑客）而设计的，系统内含有伪造而且有价值的文件或信息，用于引诱黑客对系统的攻击或入侵。Honeypot系统可以记录黑客的攻击行为，从而为信息安全人员掌握攻击者的行为提供方便。

19、已知甲公司对内部网络中的计算机采取了“双硬盘”物理隔离的安全措施，则该安全措施可以有效防范(   B     )安全威胁。
A．DDoS    B．数据外泄   C．smurf攻击    D．人为误操作
★考核知识点: 常见防火墙系统模型，参见P284
附10.3（考核知识点解释）
本题涉及到的物理隔离技术，是一种把内外从物理连接上进行分离，从而防止外部网络访问内部网络，有效防止内部网络中数据外泄的有效方法。但这一部分技术在教材中并没有提到，故可以采用排除法进行选择。DDos攻击是一种分布式拒绝服务攻击，攻击的结果是使服务器无法正常的提供网络服务；smurf攻击是将回复地址设置成目标网络广播地址的ICMP应答请求数据包，使该网络的所有主机都对此ICMP应答请求做出应答，导致网络阻塞。人为误操作可以说没有任何一个技术能够做到有效防范，因此正确答案只能是B

20、在进行网络攻击时，攻击者经常采用更改本机的IP地址为别的主机的IP地址，以隐藏攻击者来源，这种攻击方法是（ A     ）。
A．IP地址欺骗    B．DDoS   C．Dos    D．泪滴攻击
★考核知识点: 网络代理跳板，参见P166
附6.3（考核知识点解释）
IP地址是主机网络接口的唯一标识，通常攻击者为了隐藏攻击者来源或者绕过安全防范措施，常常采用IP地址欺骗。攻击者地址欺骗的方式有两种：一是直接更改本机的IP地址为别的主机的IP地址；二是有意的用假的IP地址构造IP数据包，然后发送出去。

21、有关软件Ping的描述不正确的是（  D   ）。
A．是一个用来维护网络的软件   
B．基于ICMP协议   
C．用于测试主机连通性   
D．出站和入站服务一般都没有风险

★考核知识点: ping指令，参见P50
附2.8.1（考核知识点解释）
Ping 命令是通过发送“网际消息控制协议 (ICMP)”回响请求消息来验证与另一台 TCP/IP 计算机的 IP 级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来。Ping 是用于检测网络连接性、可到达性和名称解析的疑难问题的主要 TCP/IP 命令。从这个有关Ping 命令的定义来看，只有D是不正确的。

22、在以下人为的恶意攻击行为中，属于主动攻击的是（  A      ）
A．身份假冒    B．数据监听  C．数据流分析    D．非法访问
★考核知识点:密码技术简介，参见P246
附9.1.1（考核知识点解释）
本题是考察密码技术基本内容的知识，稍微有点难度。其难点在于除了要熟悉各种常见的攻击方法，还需要对攻击的方法能够进行分类。 在常见的各种攻击方法中，主要分为两种基本的攻击类型，一种是被动攻击，这种攻击类型的主要方法是对通信的内容进行监听，比如搭线窃听。其主要特点是只是单纯的对通信进行侦听，而不改变通信的内容。被动攻击的另外一个攻击方法为数据流分析，这种攻击方法同样也不改变通信的内容，它甚至也不必去了解通信的具体内容，而仅仅依靠通信双方的通信频度，方向等内容来获取一些重要的消息。而主动攻击则和被动攻击相反，它一般会想办法对通信双方的通信内容进行改变来达到其攻击的目的，比如数据删除，增加，身份假冒，重放等等，都属于主动攻击的方法。故准确答案是A。

23、数据保密性指的是（    A       ）。
A．保护网络中各系统之间交换的数据，防止因数据被截获而造成的泄密
B．提供连接实体的身份鉴别   
C．防止非法实体对用户的主动攻击，保证数据接收方收到的数据与发送方发送的数据一致   
D．确保数据是由合法实体发送的
★考核知识点: 信息安全的基本要求，参见P4
附1.1.2（考核知识点解释）
数据保密性，实质上就是指数据的机密性，就是指网上的数据不泄露给非授权的用户、试题或程序，保护这些数据被网上的非法用户获取。而提供实体的身份鉴别是指身份认证；防止非法实体对用户的主动攻击，保证数据接收方收到的数据与发送方发送的数据一致则指消息认证；确保数据是由合法实体发送的也指消息的接收方需要对发送方进行身份认证。

24、在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（  B     ）。
A．非对称算法的公钥    B．对称算法的密钥   C．非对称算法的私钥    D．CA中心的公钥
★考核知识点: PGP加密技术，参见P41
附9.4（考核知识点解释）
在保密通信过程中，为了简化保密通信的密钥管理，通常采用混合加密的方式，其中，采用非对称加密算法来进行密钥的协商和管理，但由于非对称加密的效率较低，因为，非对称算法通常不用来进行通信的内容的加密，而用来加密会话密钥（即对称密码的密钥）。与之相对应，由于对称密码的加密效率很高，因此对通常较长的通信数据则利用对称算法进行加密。故在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是B

25、以下不属于代理技术优点的是（  D     ）。
A．可以实现身份认证    B．内部地址的屏蔽和转换功能  
C．可以实现访问控制    D．可以防范数据驱动侵袭
★考核知识点: 防火墙的分类，参见P276
附10.2（考核知识点解释）
    本题主要是考察大家对应用代理防火墙的优点的把握，对照书上对其优点的叙述，很容易选出来。

26、狭义上说的信息安全，只是从（   D   ）的角度介绍信息安全的研究内容 。
A．心理学    B．社会科学    C．工程学    D．自然科学
★考核知识点: 信息安全概述，参见P3
附1.1（考核知识点解释）
    信息安全从其定义上来说，可以分为广义的定义和狭义的定义。狭义上说的信息安全，就是我们通常所说的信息安全，只是从自然科学的角度介绍信息啊去那的研究内容。这是书上的原话，正确答案就包含在其中。

27、信息安全从总体上可以分成5个层次，（  A  ）是信息安全中研究的关键点。
A．密码技术    B．安全协议    C．网络安全    D．系统安全
★考核知识点: 信息安全研究层次，参见P37
附1.1.1（考核知识点解释）
    信息安全的5个研究层次为：安全的密码算法、安全协议、网络安全、系统安全和应用安全。其中，密码技术是所有信息安全技术的核心和继承，也是信息安全中研究的关键点。

28、1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下（   C   ）个级别。
A．3    B．4     C．5    D．6
★考核知识点: 信息安全评价标准，参见P13
附1.6.1（考核知识点解释）
    本题主要考察的知识点是我国对计算机安全保护划分的等级。共分为5个不同的等级，故正确答案是C。

29、（ A  ）服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。
A．表示层    B．网络层    C．TCP层     D．物理层
★考核知识点: OSI参考模型，参见P28
附2.1（考核知识点解释）
    本题主要考察的知识点是表示层的功能。题干是书上的原话，故答案不难选出。

30、OSI参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成（   C  ）个互相连接的协议层。
A．5    B．6     C．7    D．8
★考核知识点: OSI参考模型，参见P28
附2.1（考核知识点解释）
    7层网络模型的划分是一个众所周知的模型，故答案为C。

31、以下关于防火墙的设计原则说法正确的是（    A     ）。   
A. 保持设计的简单性   B.不单单要提供防火墙的功能，还要尽量使用较大的组件
C. 保留尽可能多的服务和守护进程，从而能提供更多的网络服务法
D. 一套防火墙就可以保护全部的网络

★考核知识点: 防火墙的概念，参见P275
附10.1（考核知识点解释）
    主要考察对防火墙概念的理解。

32、SSL指的是（  B     ）。   
A. 加密认证协议  B. 安全套接层协议  C. 授权认证协议   D. 安全通道协议

★考核知识点: SSL/TLS技术，参见P309
附11.5（考核知识点解释）
主要考察对SSL/TLS技术的理解

33、以下关于计算机病毒的特征说法正确的是（ C        ）。  
A. 计算机病毒只具有破坏性，没有其他特征
B. 计算机病毒具有破坏性，不具有传染性  
C. 破坏性和传染性是计算机病毒的两大主要特征  
D. 计算机病毒只具有传染性，不具有破坏性

★考核知识点: 恶意代码的定义，参见P185
附7.2.1（考核知识点解释）
主要考察对计算机病毒概念的理解

34、以下关于非对称密钥加密说法正确的是（     B      ）。  
A. 加密方和解密方使用的是不同的算法  
B. 加密密钥和解密密钥是不同的  
C. 加密密钥和解密密钥是相同的   
D. 加密密钥和解密密钥没有任何关系
★考核知识点: 公钥密码算法，参见P248
附9.1.6（考核知识点解释）
主要考察对公钥密码算法概念的理解

35、加密技术不能实现（  D        ）。
A. 数据信息的完整性  B. 基于密码技术的身份认证  C. 机密文件加密  
D. 基于IP头信息的包过滤
★考核知识点: 密码学概述，参见P248
附9.1.6（考核知识点解释）
主要考察对密码算法功能的理解

36、打电话请求密码属于（   B    ）攻击方式。
    A. 木马  B. 社会工程学  C. 电话系统漏洞   D. 拒绝服务   
★考核知识点: 社会工程学攻击，参见P119
附5.1（考核知识点解释）
主要考察对社会工程学攻击的理解

37、一次字典攻击能否成功，很大因素决定于（   A    ）。
A. 字典文件  B. 计算机速度  C. 完了速度   D. 黑客学历
★考核知识点: 字典文件，参见P122
附5.3.1（考核知识点解释）
主要考察对字典攻击的理解

38、RSA算法是一种基于(   C       )公钥体系     
A. 素数不能分解               B. 大数没有质因数的假设
C. 大数不可能质因数分解假设   D. 公钥可以公开的假设
★考核知识点: RSA公钥加密技术，参见P259
附9.3（考核知识点解释）
主要考察对字典攻击的理解


（二）、多选题
1、以下对于对称密钥加密说法正确的是（   BCD       ）。
  A．对称加密算法的密钥易于管理           B．加解密双方使用同样的密钥   
C．DES算法属于对称加密算法             D．相对于非对称加密算法，加解密处理速度比较快

★考核知识点: 密码学概述，参见P245
附2.1（考核知识点解释）
    本题主要考察对密钥管理方面的理解，在传统的密码算法中，最难解决的问题就是密钥管理问题，所以对于传统的对称密钥加密算法来说，密钥传递是一个很难解决的问题。因此，此题中A项是错误的，其它各项都是正确的。

2、在通信过程中，只采用数字签名可以解决（     ABC         ）等问题。
  A．数据完整性      B．数据的抗抵赖性      C．数据的篹改     D．数据的保密性

★考核知识点: 数字签名的原理，参见P267
附9.5.1（考核知识点解释）
    本题考察的是数字签名实现的功能，密码学的基本性能要求中，单纯采用数字签名，无法保障信息的机密性，但可以保证信息的完整性、抗抵赖性和在传输过程中信息没有遭到篹改。只有和加密算法结合起来使用，才能保证信息的机密性。

3、以下关于包过滤技术与代理技术的比较，正确的是（   ABC         ）
A．包过滤技术的安全性较弱，代理服务技术的安全性较高     
B．包过滤不会对网络性能产生明显影响   
C．代理服务技术会严重影响网络性能      
D．代理服务技术对应用和用户是绝对透明的

★考核知识点: 防火墙的分类，参见P276
附10.2（考核知识点解释）
    本题考察的是两种防火墙技术的特点，书上对这两种防火墙的特点叙述的非常清除，从中很容易得出正确答案。

4、人为的恶意攻击分为主动攻击和被动攻击，在以下的攻击类型中属于主动攻击的是（   BC       ）。
  A．数据监听      B．数据篹改及破坏       C．身份假冒      D．数据流分析

★考核知识点:密码技术简介，参见P246
附9.1.1（考核知识点解释）

本题是考察密码技术基本内容的知识，稍微有点难度。其难点在于除了要熟悉各种常见的攻击方法，还需要对攻击的方法能够进行分类。 在常见的各种攻击方法中，主要分为两种基本的攻击类型，一种是被动攻击，这种攻击类型的主要方法是对通信的内容进行监听，比如搭线窃听。其主要特点是只是单纯的对通信进行侦听，而不改变通信的内容。被动攻击的另外一个攻击方法为数据流分析，这种攻击方法同样也不改变通信的内容，它甚至也不必去了解通信的具体内容，而仅仅依靠通信双方的通信频度，方向等内容来获取一些重要的消息。而主动攻击则和被动攻击相反，它一般会想办法对通信双方的通信内容进行改变来达到其攻击的目的，比如数据删除，增加，身份假冒，重放等等，都属于主动攻击的方法。因此正确答案是BC。

5、利用密码技术，可以实现网络安全所要求的（    ABCD         ）。
    A．数据保密性         B．数据完整性       C．数据可用性      D．身份认证

★考核知识点:密码技术简介，参见P246
附9.1.1（考核知识点解释）

本题是考察密码技术基本内容的知识，具有相当的难度。其难度主要体现在要把密码的加密技术、数字签名技术结合起来考虑才能获得正确的答案。在密码学中，单纯使用密码技术，可以获得信息的机密性，单纯使用数字签名，可以保证信息的完整性、抗抵赖性和在传输过程中信息没有遭到篹改。因此，只有把二者结合起来，才能保证选项中的4个特性。


6、相对于对称加密算法，非对称密钥加密算法（ ACD    ）。
    A．加密数据的速率较低
    B．更适合于现有网络中对所传输数据（明文）的加解密处理
    C．安全性更好
    D．加密和解密的密钥不同

★考核知识点:密码技术简介，参见P246
附9.1.1（考核知识点解释）
    本题主要考察公钥密码算法的特性，公钥密码的特点是加密和解密使用不同的密钥，方便密钥管理和密钥分配，其缺点是加密速度慢。因此，在实际使用中，公钥密码主要用于加密较短的信息比如密钥，而真正要传送的明文则一般使用对称加密算法加密。故正确答案是ACD
7、以下对于混合加密方式说法正确的是（    BCD        ）。
A．使用公开密钥密码体制对要传输的信息（明文）进行加解密处理
B．使用对称加密算法对要传输的信息（明文）进行加解密处理
C．使用公开密钥密码体制对对称加密密码体制的密钥进行加密后的通信
D．对称密钥交换的安全信道是通过公开密钥密码体制来保证的

★考核知识点:密码技术简介，参见P246
附9.1.1（考核知识点解释）
本题主要考察的知识点和上题类似，只是考察的角度不同，但本质仍然是公钥密码算法的特性，公钥密码的特点是加密和解密使用不同的密钥，方便密钥管理和密钥分配，其缺点是加密速度慢。因此，在实际使用中，公钥密码主要用于加密较短的信息比如密钥，而真正要传送的明文则一般使用对称加密算法加密。

8、防火墙不能防止以下哪些攻击行为（  ABD     ）。
A．内部网络用户的攻击            B．传送已感染病毒的软件和文件
C．外部网络用户的IP地址欺骗     D．数据驱动型的攻击

★考核知识点: 防火墙的局限性，参见P276
附10.1.2（考核知识点解释）
本题考察的是防火墙的局限性，防火墙可以防止外部用户的攻击，故C不正确，D项不太好判断，但数据驱动型应该可以分为内部数据驱动和外部数据驱动，因此内部的数据驱动防火墙也无能为力，故正确答案是ABD。

9、以下属于包过滤技术的优点的是（    BC     ）。
A．能够对高层协议实现有效过滤
B．具有较快的数据包的处理速度
C．为用户提供透明的服务，不需要改变客户端的程序自己本身的行为      
D．能够提供内部地址的屏蔽和转换功能

★考核知识点: 分组过滤防火墙，参见P277
附10.2.1（考核知识点解释）
    本题主要考察分组过滤防火墙（包过滤技术）的优缺点：包过滤技术主要作用在网络层和传输层，故A不对，它也不能提供内部地址的屏蔽和转换，故D也不对，BC是正确的选项。
10、建立堡垒主机的一般原则（   AC        ）。
    A．最简化原则     B．复杂化原则     C．预防原则    D．网络隔断原则

★考核知识点: 单宿主堡垒主机模型，参见P284
附10.3.2（考核知识点解释）
本题考察建立堡垒主机的一般原则，但书上并没有明确说明，需要同学们根据自己的理解来判断，首先，防火墙不具有网络隔断的功能，那是隔离网闸的功能，故D可以排除。在建立实际应用系统的时候，通常都遵循简单的原则，因为越复杂的系统，越容易出错，而且管理起来也越困难，所以在A、B中只能选A，防火墙的功能就是防止外部网络攻击，故是预防为主，因此答案是AC。

11、在加密过程，必须用到的三个主要元素是（  ABC    ）
A．所传输的信息（明文）     B．加密密钥     C．加密函数      D．传输信道
★考核知识点:密码技术简介，参见P246
附9.1.1（考核知识点解释）

本题是考察密码技术基本内容的知识，本体比较简单。加密过程中需要用到的显然是明文、密钥和加密算法，至于传输信道，则是在信息发送过程中才会用到，故本题答案为ABC。


（二）、判断题
1.        链路加密方式适用于在广域网系统中应用。 （  错   ）

★考核知识点:密码技术简介，参见P246
附9.1.1（考核知识点解释）
     链路加密适用于端端加密，而不适用于广域网系统中应用。

2.        “一次一密”属于序列密码中的一种。     （  对   ）  

★考核知识点:密码技术简介，参见P246
附9.1.1（考核知识点解释）
    “一次一密”是香浓证明过唯一可以达到理论上安全的密码系统，它属于序列密码的一种。

3.        当通过浏览器以在线方式申请数字证书时，申请证书和下载证书的计算机必须是同一台计算机。   （   对  ）

★考核知识点: PKI证书与密钥管理，参见P271
附9.7.2（考核知识点解释）
    使用过网银数字证书的人都知道，下载的证书只能在下载的机器上使用，不能在另外一台机器上使用该证书。

4.        PKI和PMI在应用中必须进行绑定，而不能在物理上分开。 （  错   ）

★考核知识点: 公钥基础设施PKI，参见P271
附2.1（考核知识点解释）
    PKI是一套独立的证书管理系统，没见过谁使用PKI系统还要和PMI进行绑定。

5.        在网络身份认证中采用审计的目的是对所有用户的行为进行记录，以便于进行核查。（   对    ）

★考核知识点: 安全审计，参见P28
附8.4.6（考核知识点解释）
    一个系统的安全审计就是对系统中有关安全的活动进行记录，检查及审核。在网络身份认证系统中的安全审计也是这样。
6.        由于在TCP协议的传输过程中，传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字段，然后每个字节段单独进行路由传输，所以TCP是面向字节流的可靠的传输方式。（   对    ）

★考核知识点: TCP协议的工作原理，参见P38
附2.4.2（考核知识点解释）
    TCP提供两个网络主机之间的点对点通信。其工作原理是TCP从程序中接收数据并将数据处理成字节流。首先将字节分段，然后对段进行编号和排序以便传输。其特点是提供可靠的，面向连接的数据报传递服务。
7.        ARP缓存只能保存主动查询获得的IP和MAC的对应关系，而不会保存以广播形式接收到的IP和MAC的对应关系。（   错   ）

★考核知识点: 网际协议IP，参见P31
附2.3（考核知识点解释）
ARP缓存是个用来储存IP地址和MAC地址的缓冲区。它只管存储IP和MAC的对应映射关系，而不管这个对应关系是主动查询获得的，还是以广播形式接收到的。

8.        计算机病毒只会破坏计算机的操作系统，而对其他网络设备不起作用。（  错    ）

★考核知识点: 恶意代码概述，参见P182
附7.1（考核知识点解释）
    计算机病毒除不止会破坏计算机的操作系统，也可以感染其它的文件。
9.        脚本文件和ActiveX控件都可以嵌入在HTML文件中执行。（   对    ）

★考核知识点: 浏览器恶意代码，参见P195
附7.3.4（考核知识点解释）
    在浏览器恶意代码中，把脚本病毒嵌入到HTML文件中是一种常见的方法，除了脚本文件，还可以嵌入某些功能的ActiveX控件。
10.        要实现DDoS攻击，攻击者必须控制大量的计算机为其服务。（   对    ）

★考核知识点: DDos的特点，参见P146
附5.8.1（考核知识点解释）
    分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。所以要实现攻击，攻击者必须控制大量的计算机为其服务。

二、主观部分：

（一）、名词解释
1、机密性
★考核知识点: 信息安全的基本要求，参见P4
附1.1.2（考核知识点解释）

网络机密性是指网上资源不泄露给非授权的用户、实体出现，能够防止网上用户非授权获取网上资源。


2、抗抵赖性

★考核知识点: 信息安全的基本要求，参见P4
附1.1.2（考核知识点解释）

抗抵赖性是指防止网上实体否认其已经发生的网上行为。这一特性保证了网上信息的来源级信息发布者的真实可信。


3、网络访问控制

★考核知识点: 访问控制，参见P221
附8.4.3（考核知识点解释）

网络访问控制是有效保护网络管理对象，使其免受威胁的关键技术方法。其目标主要有两个：
（１）        限制非法用户获取或使用网络资源；
（２）        防止合法用户滥用权限，越权访问网络资源。
通过对网络中各种有用资源的访问控制，可以限制其所受到的威胁，从而保障网络正常运行。

4、分布式拒绝服务攻击（DDoS）
★考核知识点: 分布式拒绝服务攻击，参见P146
附5.8（考核知识点解释）

分布式拒绝服务攻击是指植入后门程序从远程遥控攻击，攻击者从多个已入侵的跳板主机控制数个代理攻击主机，所以攻击者可同时对已控制的代理攻击主机激活干扰命令，对受害主机大量攻击。


5、暴力攻击

★考核知识点: 暴力攻击，参见P122
附5.3（考核知识点解释）

暴力破解攻击是指攻击者通过系统地组合所有可能性（例如登录时用到的账户名、密码），尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。

6、TCP协议

★考核知识点: 传输控制协议TCP，参见P35
附2.4（考核知识点解释）

TCP协议即传输控制协议，是传输层协议，它提供可靠的应用数据传输。TCP在两个或多个主机之间建立面向连接的通信。TCP支持多数据流操作，提供错误控制，甚至完成对乱序到达的报文进行重新排序。

7、完整性

★考核知识点: 信息安全的基本要求，参见P4
附1.1.2（考核知识点解释）

完整性是指网上信息或系统未经授权不能进行更改的特性。例如，网上电子邮件在存储或传输过程中保持不被删除、修改、伪造、插入等。


8、SYN Flood攻击

★考核知识点: SYN风暴，参见P143
附5.7.1（考核知识点解释）

利用TCP/IP协议的握手机制，在有限的时间内，若客户端发送大量虚假的SYN请求包，而不发送ACK包。而TCP连接的队列空间又是有限，这样一来势必消耗完服务端的连接队列内存空间，进而正常的TCP连接请求因服务端缺少内存资源而无法建立，这就是所谓的SYN Flood攻击
9、计算机病毒

★考核知识点: 恶意代码的定义，参见P185
附7.2.1（考核知识点解释）

计算机病毒是一组具有自我复制、传播能力的程序代码。其最根本的特性主要有：一是计算机病毒必须依附于其他的计算机程序，需要有一个宿主程序；二是自己具有从一个程序传播到另一个程序的能力。


10、分组过滤

★考核知识点: 防火墙的分类，参见P276
附10.2（考核知识点解释）

分组过滤作用在协议族的网络层和传输层， 根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许通过。只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。
11、缓冲区溢出攻击

★考核知识点: 缓冲区溢出攻击，参见P134
附5.6（考核知识点解释）

缓冲区溢出攻击是目前最流行的一种攻击技术。其基本原理是，当目标操作系统收到了超过了它的能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出是目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。
12、可用性

★考核知识点: 信息安全的基本要求，参见P4
附1.1.2（考核知识点解释）

可用性是指保障信息资源随时可提供服务的能力特性，即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量，涉及物理、网络、系统、应用和用户等多方面的因素，是对信息网络总体可靠性的要求
。
13、网络认证

★考核知识点: 标识与鉴别，参见P221
附8.4.2（考核知识点解释）

网络认证是实现网络资源访问控制的前提和依据，是有效保护网络管理对象的技术方法。网络认证的作用是标识鉴别网络资源访问者的身份的真实性，防止用户假冒身份访问网络资源。

14、网络安全管理

★考核知识点: 网络安全概述，参见P5
附1.2（考核知识点解释）

网络安全管理是网络管理的重要组成部分之一。网络安全管理是指通过一定的安全技术措施和管理手段，确保网络的保密性、可用性、完整性、可控性、抗抵赖性，不致因网络设备、网络通信协议、网络服务、网络管理收到人为或自认因素的危害，而导致网络中断、信息泄露和破坏。
15、IP地址欺骗攻击

★考核知识点: 网络代理跳板，参见P166
附6.3（考核知识点解释）

IP地址是主机网络接口的唯一标识，通常攻击者为了隐藏攻击者来源或者
绕过安全防范措施，常常采用IP地址欺骗。攻击者地址欺骗的方式有两种：一是直接更改本机的IP地址为别的主机的IP地址；二是有意的用假的IP地址构造IP数据包，然后发送出去。

16、网络踩点

★考核知识点: 网络踩点，参见P106
附4.2（考核知识点解释）

网络踩点：就是通过各种途径对所要攻击的目标进行尽可能的了解。常见的踩点方法包括：在域名及其注册机构的查询，公司性质的了解，对主页进行分析，邮件地址的收集和目标IP地址范围的查询等。

17、网络扫描

★考核知识点: 网络扫描，参见P106
附4.3（考核知识点解释）

网络扫描：其原理是利用操作系统提供的Connect（）系统调用，与每一个感兴趣的目标计算机的端口进行连接。如果端口处于工作状态，那么Connect（）就能成功。这个技术的一个最大优点是，不需要任何权限，系统中的任何用户都有权利使用这个调用。

18、网络监听

★考核知识点: 网络监听，参见P106
附4.4（考核知识点解释）

网络监听：就是在网络中设置一个监听主机，用于截获目标IP之间的网络通信内容。然后对数据包进行分析，就可以得到局域网中的通信数据。一台计算机可以监听同一网段所有的数据包，但不能监听不同网段的计算机传输的信息。

19、Smurf攻击

★考核知识点: Smurf攻击，参见P144
附5.7.2（考核知识点解释）

Smurf攻击：该攻击是以最初发动这种攻击的程序名Smurf来命名的。这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。

20、Ping of Death攻击

★考核知识点: 利用处理程序错误进行攻击，参见P145
附5.7.3（考核知识点解释）

Ping of Death攻击：攻击者故意创建一个长度大于65535字节的ping包（IP协议中规定最大的 IP包长为65535个字节），并将该包发送到目标受害主机，由于目标主机的服务程序无法处理过大的数据包，从而引起系统崩溃，挂起或重启。

21、网络后门

★考核知识点: 网络后门，参见P151
附6.1（考核知识点解释）

网络后门：后门是指绕过安全控制而获取对程序或系统访问权的方法。留后门的最主要目的就是方便以后再次秘密进入或者控制系统。主机上的后门来源主要有以下两种：
（1）攻击者利用欺骗的手段，通过发送电子邮件或者文件，并诱使主机的操作员打开或运行藏有木马程序的邮件或文件，这些木马程序就会在主机上创建一个后门。
（2）攻击者攻陷一台主机，获得其控制权后，在主机上建立后门，比如安装木马程序，以便下一次入侵时使用。
22、网络木马

★考核知识点: 木马，参见P145
附6.2（考核知识点解释）

网络木马：网络木马是一种可以驻留在主机或服务器系统中的一种程序。木马程序一般由两部分组成：服务器端程序和客户端程序。驻留在对方主机的称为木马的服务器端，可以远程连接到木马服务器端的程序称为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。

23、脚本病毒

★考核知识点: 脚本病毒，参见P145
附7.3.2（考核知识点解释）

脚本病毒：脚本病毒是以脚本程序语言编写而成的病毒，主要使用的脚本语言是VBScript和JavaScript。

24、对称密码算法

★考核知识点: 对称算法，参见P248
附5.7.3（考核知识点解释）

对称密码算法：对称密码算法有时又称为传统密码算法，是指加密和解密都使用一个密钥的密码算法，或者解密密钥可以从加密密钥中推算出来，反过来也成立。





（二）、简答
1、防火墙的主要功能是什么？
★考核知识点: 防火墙的功能，参见P276
附10.1.1（考核知识点解释）
防火墙是是一种网络安全保障技术，用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些服务，以及哪些外部站点可以被内部人员访问，其主要功能有：

（1）可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户；
（2）防止入侵者接近网络防御设施；
（3）限制内部用户访问特殊站点。


2、什么是恶意代码？恶意代码主要有哪些种类？  

★考核知识点: 恶意代码概述，参见P182
附7.1（考核知识点解释）

恶意代码是指黑客故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。日益严重的恶意代码问题，不仅使企业和用户蒙受了巨大的经济损失，而且使国家的安全面临着严重威胁。
最常见的恶意代码有分为计算机病毒（简称病毒）、特洛伊木马（简称木马）、计算机蠕虫（简称蠕虫）、后门、逻辑炸弹等几类。
（1）        计算机病毒：计算机病毒是一种人为制造的，依附于某一载体，能够自我复制、具有对计算机资源的破坏作用的一组程序或指令集合。
（2）        特洛伊木马：是一种可以驻留在对方服务器系统中的一种程序，该程序表面看来没有任何危害，实际上隐藏着可以控制用户整个计算机系统，打开后门等危害系统安全的功能；
（3）        后门程序：本质上，后门和木马都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还具有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登录对方主机；
（4）        逻辑炸弹：是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。

3、网络安全受到的物理威胁包括哪些方面？

★考核知识点: 物理威胁，参见P8
附1.3.1（考核知识点解释）

      网络安全受到的物理威胁主要包括：偷窃、废物搜寻、间谍行为和身份识别错误等。
（１）        偷窃：网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果想偷的信息在计算机中，一方面可以将整台计算机偷走，另一方面可以通过监视器读取计算机中的信息；
（２）        废物搜寻：废物搜寻就是在废物（如一些打印出来的材料、废弃的软盘或U盘）中搜寻所需的信息。在计算机上，废物搜寻可能包括从未抹掉有用信息的软盘或硬盘上获得有用资料；
（３）        间谍行为：这是一种为了省钱或获取有价值的机密，采用不道德的手段获取信息的方式；
（４）        身份识别错误：非法建立文件或记录，企图把它们作为有效的、正式生成的文件或记录，如对具有身份鉴别特征物品如护照、执照、出生证明或加密的安全卡进行伪造，属于身份鉴别发生错误的范畴。这种行为对网络数据构成了巨大的威胁。
4、网络扫描的原理是什么？主要有哪几类扫描策略？   

★考核知识点: 网络扫描，参见P106
附4.3（考核知识点解释）
网络扫描的原理是利用操作系统提供的Connect()系统调用，与每一个感兴趣的目标计算机的端口进行连接。如果端口处于工作状态，那么Connect()就能成功。这个技术的一个最大优点是，不需要任何权限，系统中的任何用户都有权利使用这个调用。
网络扫描一般分成两种策略：
（１）        主动式策略：该策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击并记录系统的反应，从而发现其中的漏洞；
（２）        被动式策略：该策略是基于主机上的，对系统中的不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查；

5、网络攻击技术主要包括哪几个方面？

★考核知识点: 网络安全的攻防体系，参见P5
附1.2.1（考核知识点解释）
     网络攻击技术主要包括以下几个方面：
（１）        网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据；
（２）        网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备；
（３）        网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息；
（４）        网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门；
（５）        网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。
6、TCP协议的功能主要有哪些？   

★考核知识点: 传输控制协议TCP，参见P35
附2.4（考核知识点解释）

答：TCP协议的特点是：提供可靠的、面向连接的数据传递服务。TCP协议有如下几个主要功能：
（１）        确保IP数据报的成功传递；
（２）        对程序发送的大块数据进行分段和重组；
（３）        确保正确排序及按顺序传递分段的数据；
（４）        通过计算校验和，进行传输数据的完整性检查；
（５）        根据数据是否接收成功发送消息。通过有选择的确认，也对没有收到的数据发送确认；
（６）        为必须使用可靠的基于会话的数据传输程序提供支持，如数据库服务和电子邮件服务。

（三）、综合应用题
1、凯撒（Caesar）密码是一种基于字符替换的对称式加密方法，它是通过对所有的26个英文字母进行循环移位和替换来编码的。设待加密的信息为“SECURITY”，密钥ｋ为3，试给出加密后的密文。

★考核知识点: 密码学的发展，参见P245
附9.1.1（考核知识点解释）

答题要点：凯撒（Caesar）密码的加密方式如下，对明文中的每一个字母，都把它替换为字母表中的后面第三个字母，比如，若明文中依次出现了“ＡＢＣ”
三个字母，则它们后面的第三个字母分别为“ＤＥＦ”，因此，加密后的密文则为“ＤＥＦ”。
　　本题的答案为：加密后的密文是“ＶＨＦＸＵＬＷＢ”。
２、甲公司网络环境结构如图1所示, 乙公司网络环境结构如图2所示,这两个公司业务都需要网络系统来支撑运行。请根据图中信息以及问题要求，给出解答。


















根据图中信息，试比较甲公司和乙公司网络安全措施的差异，并回答下列问题。
（1）哪个公司的网络安全性较强？
（2）采取了这种网络安全措施的作用是什么？
（3）实施这种网络安全措施的策略类型有哪些?

★考核知识点: 防火墙的概念，参见P275
附10.1（考核知识点解释）
（１）        甲公司和乙公司网络安全措施差异是：甲公司安装了防火墙。甲公司的网络安全较强。
（２）        防火墙网络安全措施的作用是一般用来将内部网络与其它外部网络相互隔离、限制网络互访，保护内部网络的安全。
（３）        实施防火墙网络安全措施的策略类型有:   
  1) 只允许符合安全规则的包通过防火墙，其它通信包禁止；
  2) 禁止与安全规则相冲突的包通过防火墙，其它通信包都允许。



3、信息安全评估人员对甲公司和乙公司做了一个口令安全调查测试，获取这些公司员工口令设置数据如下：

甲公司员工小王的口令设置是12387001
甲公司员工张三的口令设置是aaabbcc
乙公司员工李四的口令设置是 66666666
乙公司员工丁五的口令设置是 Qa#90Ily

在所调查这些员工中，哪位员工信息安全意识较强?  为什么？ （7分）

★考核知识点: 暴力攻击，参见P122
附5.3（考核知识点解释）

员工丁五信息安全意识较强。 因为员工丁五设置的口令包含大小写英文字符、数字以及特殊符号，口令字符串的长度为8，符合口令安全最佳安全实践要求，能够较强抵抗口令暴力猜测。