10 VPN系统中的身份认证技术包括用户身份认证和信息认证两种类型。

11用公钥加密数据，然后用私钥解密数据的过程称为加密；利用私钥加密数据，然后用公钥解密数据的过程称为数字签名。

12在PKI/PMI系统中，一个合法用户只拥有一个唯一的公钥证书，但可能会同时拥有多个不同的属性证书。

13计算机网络安全领域的3A是指认证、授权和审计。

14 SSL是一种综合利用对称加密和非对称加密技术进行安全通信的工业标准。

15扫描技术主要分为主机扫描安全和网络安全扫描两种类型。

16.在IDS的报警中，可以分为错误报警和正确的报警两种类型。其中错误报警中，将IDS工作于正常状态下产生的报警称为误报；而将IDS对已知的入侵活动未产生报警的现象称为漏报。

17.状态检测防火墙是在传统包过滤防火墙的基础上发展而来的，所以将传统的包过滤防火墙称为静态包过滤防火墙，而将状态检测防火墙称为动态包过滤防火墙。

18.VPN是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专网相同的安全通道。公共网络隧道

19.VPN系统中的三种典型技术分别是隧道技术、身份认证技术、和加密技术。

20.目前身份认证技术可分为PKI和非PKI两种类型，其中在VPN的用户身份认证中一般采用非PKI认证方式，而信息认证中采用PKI认证方式。

三、判断题

1．链路加密方式适用于在广域网系统中应用。（N）

2.“一次一密”属于序列密码中的一种。（Y）

3.当通过浏览器以在线方式申请数字证书时，申请证书和下载证书的计算机必须是同一台计算机。（Y）

4.PKI和PMI在应用中必须进行绑定，而不能在物理上分开。（N）

5.在网络身份认证中采用审计的目的是对所有用户的行为进行记录，以便于进行核查。（Y）

6.由于在TCP协议的传输过程中，传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段，然后每个字节段单独进行路由传输，所以TCP是面向字节流的可靠的传输方式。（Y）

7.ARP缓存只能保存主动查询获得的IP和MAC的对应关系，而不会保存以广播形式接收到的IP和MAC的对应关系。（N）

8.计算机病毒只会破坏计算机的操作系统，而对其他网络设备不起作用。（N）

9.脚本文件和ActiveX控件都可以嵌入在HTML文件中执行。（Y）

10.要实现DDoS攻击，攻击者必须能够控制大量的计算机为其服务。（Y）

11．Feistel是密码设计的一个结构，而非一个具体的密码产品。（Y）

12.暴力破解与字典攻击属于同类网络攻击方式，其中暴力破解中所采用的字典要比字典攻击中使用的字典的范围要大。（Y）

13.DHCP服务器只能给客户端提供IP地址和网关地址，而不能提供DNS服务器的IP地址。（N）

14.间谍软件能够修改计算机上的配置文件。（N）

15.蠕虫既可以在互联网上传播，也可以在局域网上传播。而且由于局域网本身的特性，蠕虫在局域网上传播速度更快，危害更大。（Y）

16.与IDS相比，IPS具有深层防御的功能。（Y）

17.当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小。（N）

18.在传统的包过滤、代理和状态检测3类防火墙中，只有状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。（Y）

19.防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个基本准则，其中前者的安全性要比后者高。（Y）

20.在利用VPN连接两个LAN时，LAN中必须使用TCP/IP协议。（N）

四、名词解释

1、DNS缓存中毒

答：DNS为了提高查询效率，采用了缓存机制，把用户查询过的最新记录存放在缓存中，并设置生存周期（Time To Live，TTL）。在记录没有超过TTL之前，DNS缓存中的记录一旦被客户端查询，DNS服务器（包括各级名字服务器）将把缓存区中的记录直接返回给客户端，而不需要进行逐级查询，提高了查询速率。DNS缓存中毒利用了DNS缓存机制，在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录。由于DNS服务器之间会进行记录的同步复制，所以在TTL内，缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器，导致更多的DNS服务器中毒。

2．机密性、完整性、可用性、可控性

答：机密性是确保信息不暴露给未经授权的人或应用进程；完整性是指只有得到允许的人或应用进程才能修改数据，并且能够判别出数据是否已被更改；可用性是指只有得到授权的用户在需要时才可以访问数据，即使在网络被攻击时也不能阻碍授权用户对网络的使用；可控性是指能够对授权范围内的信息流向和行为方式进行控制

3．PMI

答：PMI（授权管理基础设施）是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离，由IETF提出的一种标准。PMI的最终目标就是提供一种有效的体系结构来管理用户的属性。PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理。同PKI相比，两者主要区别在于PKI证明用户是谁，而PMI证明这个用户有什么权限、能干什么。PMI需要PKI为其提供身份认证。PMI实际提出了一个新的信息保护基础设施，能够与PKI紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行系统的定义和描述，完整地提供授权服务所需过程。

4．防火墙