2022年职业考证-软考-网络规划设计师考试名师押题精选卷I（带答案详解）试卷号34

住在富人区的她2022年职业考证-软考-网络规划设计师考试名师押题精选卷I（带答案详解）（图片可根据实际调整大小）题型12345总分得分一.综合题(共50题)1.单选题

SDH的帧结构包含（）。

问题1选项

A.再生段开销，复用段开销，管理单元指针，信息净负荷

B.通道开销，信息净负荷、段开销

C.容器、虚容器、复用、映射

D.再生段开销、复用段开销，通道开销、管理单元指针

【答案】A

【解析】SDH帧结构的逻辑结构：从逻辑结构上划分，SDH帧可以分为以下几个部分：

（1）信息净负荷区域（Payload）：保持由各低速支路而来的信息，这些信息经过了不同容器的封装，达到了STM-1的速率。此外此区域还包括少量用于通道性能监视、管理和控制的通道开销字节POH（PathOverhead），它们也作为SDH帧的净负荷在网络中传输；

（2）段开销（SegmentationOverhead）：段开销是在STM帧中为保证信息净负荷正常传送所必须附加的字节，主要包括网络运行、管理、维护使用的字节。段开销又可以分为再生段开销（RSOH）和复用段开销（MSOH）。在STM-1帧中，最多可以有4.608Mbit/s用于段开销，提供了强大的管理维护OAM能力；

那么，再生段开销RSOH和复用段开销MSOH的区别是什么呢？简单的讲二者的区别在于监管的范围不同。RSOH监控的是STM-N整体的传输性能，而MSOH则是监控STM-N信号中每一个STM-1的性能情况。

再生段开销在STM-N帧中的位置是第1到第3行的第一到第9×N列，共3×9×N个字节；复用段开销在STM-N帧中的位置是第5到第9行的第一到第9×N列，共5×9×N个字节。

（3）管理单元指针（AdministratorUnitPointer）：管理单元指针用于指示信息净负荷的第一个字节在信息净负荷区域中的位置，以便在接收端正确分解净负荷。也就是通过管理单元指针对帧的微量便宜做修正。

2.单选题

（

）不属于ISO7498-2标准规定的五大安全服务。

问题1选项

A.数字证书

B.抗抵赖服务

C.数据鉴别

D.数据完整性

【答案】A

【解析】安全服务包括：

（1）机密性：确保计算机系统中的信息和被传输的信息仅能被授权读取的用户得到。

（2）端点鉴别：通信双方都应该能证实通信过程所涉及的另一方，以确保通信的另一方确实具有他们所声称的身份。

（3）完整性：确保仅有授权用户能够修改计算机系统有价值的信息和传输的信息。

（4）不可抵赖：确保发送方和接收方都不能够抵赖所进行的信息传输。

（5）访问控制：确保对信息源的访问可以由目标系统控制。

（6）可用性：确保计算机系统的有用资源在需要时能够被授权用户使用。

3.单选题

(

)是由我国自主研发的无线网络安全协议。

问题1选项

A.WAPI

B.WEP

C.WPA

D.TKIP

【答案】A

【解析】WAPI（WirelessLANAuthenticationandPrivacyInfrastructure）是无线局域网鉴别和保密基础结构，是一种安全协议，同时也是中国无线局域网安全强制性标准，最早由西安电子科技大学综合业务网理论及关键技术国家重点实验室提出。

4.单选题

某分公司财务PC通过专网与总部财务系统连接，拓扑如下图所示。某天，财务PC访问总部财务系统速度缓慢、时断时好，网络管理员在财务PC端ping总部财务系统，发现有网络丢包，在光电转换器1处ping总部财务系统网络丢包症状同上，在专网接入终端处ping总部财务系统，网络延时正常无丢包，光纤1两端测得光衰为-28dBm，光电转换器1和2指示灯绿色闪烁。初步判断该故障原因可能是(

)，可采用(

)措施较为合理。

问题1选项

A.财务PC终端网卡故障

B.双绞线1链路故障

C.光纤1链路故障

D.光电转换器1、2故障

问题2选项

A.更换财务PC终端网卡

B.更换双绞线1

C.检查光纤1链路，排除故障，降低光衰

D.更换光电转换器1、2

【答案】第1题:C

第2题:C

【解析】Normal07.8磅02falsefalsefalseEN-USZH-CNX-NONEMicrosoftInternetExplorer4

光电转换器1和2指示灯绿色闪烁说明正常，光纤1光衰过大。

5.单选题

光纤通信提供了三种不同的拓扑结构，在光纤交换拓扑中N_PORT端口通过相关链路连接至（

）。

问题1选项

A.NL_PORT

B.FL_PORT

C.F_PORT

D.E_PORT

【答案】C

【解析】F_PORT：Fabric_Ports用于光纤交换环境下N_port之间的互连，从而所有节点都可以相互通信。

6.单选题

在Linux系统中，保存密码口令及其变动信息的文件是（

）。

问题1选项

A./etc/users

B./etc/group

C./etc/passwd

D./etc/shadow

【答案】D

【解析】现在的Linux系统中，口令不再直接保存在passwd文件中，通常将passwd文件中的口令字段使用一个“x”来代替，将/etc/shadow作为真正的口令文件，用于保存包括个人口令在内的数据。当然shadow文件是不能被普通用户读取的，只有超级用户才有权读取。

点拨：

/etc/users无此文件

/etc/group用户组的配置文件

7.单选题

以下关于OSPF协议路由聚合的描述中，正确的是（

）。

问题1选项

A.ABR会自动聚合路由，无需手动配置

B.在ABR和ASBR上都可以配置路由聚合

C.一台路由器同时做ABR和ASBR时不能聚合路由

D.ASBR上能聚合任意的外部路由

【答案】B

【解析】地址汇总也叫做路由汇聚，是把ABR或ASBR具有相同前缀的路由信息进行聚合，只发布聚合后的路由给其他区域。这样可以大大减少区域内部路由器中的路由条目数，提高路由查询效率。所以在OSPF路由汇总中，主要是在ABR或者ASBR路由上进行的，分别进行的是区域间路由汇总和路由引入的汇总。

8.单选题

默认网关地址是3/28，下列选项中属于该子网主机地址的是（

）。

问题1选项

A.2

B.0

C.7

D.5

【答案】B

【解析】默认网关地址为3/28。后四位是主机位，那么该子网的主机地址范围是：

0100001——0101110（3-6）

9.单选题

距离向量路由协议所采用的核心算法是(

)

问题1选项

A.Dijkstra算法

B.Prim算法

C.Floyd算法

D.Bellman-Ford算法

【答案】D

【解析】贝尔曼-福特算法(Bellman–Fordalgorithm)用于计算出起点到各个节点的最短距离。

10.单选题

在PKI系统中，负责验证用户身份的是（

），（

）用户不能够在PKI系统中申请数字证书。

问题1选项

A.证书机构CA

B.注册机构RA

C.证书发布系统

D.PKI策略

问题2选项

A.网络设备

B.自然人

C.政府团体

D.民间团体

【答案】第1题:B

第2题:A

【解析】第1题:一个典型的PKI系统如图所示，其中包括终端PKI实体、CA、RA和证书/CRL发布点四类实体共同组成。

（1）证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表CRL确保必要时可以废除证书。

（2）注册机构RA是一个受CA委托来完成PKI实体（是指将要向认证中心CA申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等）注册的机构，它接收用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书，用于减轻CA的负担。建议在部署PKI系统时，RA与CA安装在不同的设备上，减少CA与外界的直接交互，以保护CA的私钥。

（3）RA接收CA返回的证书，发送到轻量级目录访问协议LDAP服务器，并告知用户证书发送成功。

第2题:

11.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

案例一

据新闻报道，某单位的网络维护员张某将网线私自连接到单位内部专网，通过专网远程登录到该单位的某银行储蓄所营业员电脑，破解默认密码后以营业员身份登录系统，盜取该银行83.5万元。该储蓄所使用与互联网物理隔离的专用网络，且通过防火墙设置层层防护，但最终还是被张某非法入侵，并造成财产损失。

案例二

据国内某网络安全厂商通报，我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位受到多次不同程度的APT攻击，攻击来源均为国外几个著名的APT组织。比如某境外APT组织搭建钓鱼攻击平台，冒充“系统管理员"向某科研单位多名人员发送钓鱼邮件，邮件附件中包含伪造Office.PDF图标的PE文件或者含有恶意宏的Word文件，该单位小李打开钓鱼邮件附件后，其工作电脑被植入恶意程序，获取到小李个人邮箱账号和登录密码，导致其电子邮箱被秘密控制。之后，该APT组织定期远程登录小李的电子邮箱收取文件，并利用该邮箱向小李的同事、下级单位人员发送数百封木马钓鱼邮件，导致十余人下载点击了木马程序，相关人员计算机被控制，造成敏感信息被窃取。

【问题1】（4分）

安全运维管理为信息系统安全的重要组成部分，一般从环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面进行规范管理。其中：

1.规范机房出入管理，定期对配电、消防、空调等设施维护管理应属于（1）范围：

2.分析和鉴定安全事件发生的原因，收集证据，记录处理过程，总结经验教训应属于（2）范围：

3.制定重要设备和系统的配置和操作手册，按照不同的角色进行安全运维管理应属于（3）范围：

4.定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题应属于（4）管理范围。

【问题2】（8分）

请分析案例一中网络系统存在的安全隐患和问题。

【问题3】（8分）

请分析案例二，回答下列问题：

1.请简要说明APT攻击的特点。

2.请简要说明APT攻击的步骤。

【问题4】（5分）

结合上述案例，请简要说明从管理层面应如何加强网络安全防范。

【答案】【问题1】

（1）环境管理

（2）安全事件处置

（3）网络和系统安全管理

（4）漏洞和风险管理

【问题2】

①缺少网络准入控制；

②没有设置远程登录和访问权限，限制非授权访间；

③没有按要求定期更换系统密码或设置复杂度高的密码；

④系统缺少双因子身份认证；

⑤安全管理落实不到位，员工安全意识差。

【问题3】

1.APT攻击的特点：

①潜伏性，在用户网络环境中长久潜伏存在；

②持续性，持续不断地监控和获取敏感信息；

③威胁性大，有组织有预谋，成功率高，危害系数大，近年来频频发生针对我国政府机关和核心部门发起的有组织的APT攻击。

2.APT攻击的步骤：

①收集信息或扫描探测；

②恶意代码投送；

⑧利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制；

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

【问题4】

①明确网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计；

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

【解析】【问题1】

（1）环境管理主要是机房环境的安全管理，包括出入管理、机房辅助设施、机房管理制度、来访人员管理等。要求指定部门或专人负责机房安全，定期对机房设施进行维护管理，制定机房安全管理规定，同时要求不在重要区域接待来访人员和桌面不能有包含敏感信息的纸档文件、移动介质等。

（2）安全事件管理要求及时向安全管理部门报告安全弱点和可疑事件，制定安全时间报告和处置管理制度，并在事件报告和响应处理过程中分析原因、收集证据、记录处理过程、总结经验教训，重大事件应采用不同的处理程序和报告程序等。

（3）网络和系统安全管理对包括管理员角色和权限的划分、账户及安全策略的控制和规定、日志记录和分析、各项运维活动的规程和审批等做了要求

（4）漏洞和风险管理要求及时识别、发现并修补安全漏洞和隐患，并定期开展安全测评，采取措施应对测评报告中发现的安全问题。

【问题2】

①缺少网络准入控制；

②没有设置远程登录和访问权限，限制非授权访间；

③没有按要求定期更换系统密码或设置复杂度高的密码；

④系统缺少双因子身份认证；

⑤安全管理落实不到位，员工安全意识差。

【问题3】

1.APT（AdvancedPersistentThreat，高级持续性威胁），是一种针对特定目标进行长期持续性网络攻击的攻击模式。典型的APT攻击一般会带有以下特征：

持续性：

攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境，并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内，攻击者无法突破目标系统的防御体系。但随着时间的推移，目标系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期（例如设备升级、应用更新等），而这些不利因素往往会导致被攻击者的防御体系失守。

终端性：

攻击者并不是直接攻击目标系统，而是先攻破与目标系统有关系的人员的终端设备（如智能手机、PAD、USB等等），并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板，再攻击目标系统。

针对性：

攻击者会针对收集到的目标系统中常用软件、常用防御策略与产品、内部网络部署等信息，搭建专门的环境，用于寻找有针对性的安全漏洞，测试特定的攻击方法能否绕过检测。

未知性：

传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在APT攻击中，攻击者会利用0DAY漏洞（0day漏洞也不是指某一种特定技术的漏洞，它是指软件或系统中已经被发现，但官方还不知道或还没有发布相应补丁的漏洞。）进行攻击，从而顺利通过被攻击者的防御体系。

隐蔽性：

攻击者访问到重要资产后，会通过控制的客户端，使用合法加密的数据通道，将信息窃取出来，以绕过被攻击者的审计系统和异常检测系统的防护。

从以上的攻击特征可以看出，APT攻击相对于传统的攻击模式，手段更先进、攻击更隐蔽、破坏更严重，因此已经成为威胁当今网络安全的一大隐患。

2.APT攻击的步骤：

①收集信息或扫描探测；

②恶意代码投送；

⑧利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制；

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

【问题4】

①确定网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计；

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

12.单选题

下列路由表的概要信息中，迭代路由是(

)，不同的静态路由有(

)条。

问题1选项

A./24

B./32

C./8

D./32

问题2选项

A.1

B.2

C.3

D.4

【答案】第1题:B

第2题:C

【解析】路由必须有直连的下一跳才能够指导转发，但是路由生成时下一跳可能不是直连的，因此需要计算出一个直连的下一跳和对应的出接口，这个过程就叫做路由迭代。BGP路由、静态路由和UNR路由的下一跳都有可能不是直连的，都需要进行路由迭代。

例如，BGP路由的下一跳一般是非直连的对端Loopback地址，不能指导转发，需要进行迭代。即根据以BGP学习到的下一跳为目的地址在IP路由表中查找，当找到一条具有直连的下一跳、出接口信息的路由后（一般为一条IGP路由），将其下一跳、出接口信息填入这条BGP路由的IP路由表中并生成对应的FIB表项。

FLAG字段中的RD代表迭代路由。

不同的静态路由是3.路由为1条静态路由，下一跳相同，所以共3条。

13.单选题

使用ping命令连接目的主机，收到连接不通报文。此时ping命令使用的是ICMP的（）报文。

问题1选项

A.IP参数问题

B.回声请求与响应

C.目的主机不可达

D.目的网络不可达

【答案】B

【解析】PING命令使用ICMP回送请求与回送回答报文来测试两主机间的连通性。

点拨：

当发现IP报头出错时，将发送参数问题的报文。当目标主机或网络不可达时，将发送目标主机不可达或目标网络不可达的报文。

14.单选题

以下关于计算机内存管理的描述中，（

）属于段页式内存管理的描述。

问题1选项

A.一个程序就是一段，使用基址极限对来进行管理

B.一个程序分为需要固定大小的页面，使用页表进行管理

C.程序按逻辑分为多段，每一段内又进行分页，使用段页表来进行管理

D.程序按逻辑分成多段，用一组基址极限对来进行管理，基址极限对存放在段表里

【答案】C

【解析】段页式存储管理方式即先将用户程序分成若干个段，再把每个段分成若干个页，并为每一个段赋予一个段名。

点拨：操作系统方向相关试题，网工考试了解即可。

15.单选题

假设一个IP数据段的长度为4000B，要经过一段MTU为1500B的链路，该IP报文必须经过分片才能通过该链路，以下关于分片的描述中，正确的是（

）。

问题1选项

A.该原始IP报文是IPv6数据报

B.分片后的报文将在通过该链路后的路由器进行重组

C.数据报需分为三片，这三片的总长度为4000B

D.分片中的最后一片，标志位Flag为0，Offset字段为370

【答案】D

【解析】IP数据报的长度是4000B，要经过一段MTU为1500B的链路，需要进行分片，三个报片的长度是：

第一片的长度：20+1480

第二片的长度：20+1480

第三片的长度：20+1020

其中最后一片的，MF=0，片偏移是370。

16.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某居民小区FTTB+HGW网络拓扑如图1-1所示。GPONOLT部署在汇聚机房，通过聚合方式接入到城城网：ONU部署在居民楼楼道交接箱里，通过用户家中部署的LAN.上行的HGW来提供业务接入接口。

HGW通过ETH接口上行至ONU设备，下行通过FE/WiFi接口为用户提供Internet业务，通过FE接口为用户提供IPTV业务。

HGW提供PPPoE拨号、NAT等功能，可以实现家庭内部多台PC共享上网。

【问题1】（8分）

1.对网络进行QoS规划时，划分了语音业务、管理业务、IPTV业务、上网业务，其中优先级最高的是（1），优先级最低是（2）。

2.通常情况下，一路语音业务所需的带宽应达到或接近（3）kb/s，一路高清IPTV所需的带宽应达到或接近（4）Mb/s。

（3）、（4）的备选答案：

A.100

B.10

C.1000

D.50

3.简述上网业务数据规划的原则。

【问题2】（10分）

小区用户上网业务需要配置的内容包括OLT、ONU、家庭网关HGW，其中：

1.在家庭网关HGW上配置的有（5）和（6）。

2.在ONU上配置的有（7）.（8）、（9）和（10）。

3.在OLT上配置的有（11）、（12）.（13）和（14）。

（5）-（14）的备选答案：

A.配置语音业务

B.配置上网业务

C.配置IPTV业务

D.配置聚合、拥塞控制及安全策略

E.增加ONU

F.配置OLT和ONU之间的业务通道

G.配置OLT和ONU之间的管理通道

【问题3】（3分）

某OLT.上的配置命令如下所示。

简要说明步骤1~3命令片段实现的功能。

步骤1：（15）。

步骤2：（16）

步骤3：（17）

【问题4】（4分）

在该网络中，用户的语音业务（电话）的上联设备是ONU，采用H.248语音协议，通过运营的（18）接口和语音业务通道接入网络侧的（19）

【答案】【问题1】

1.（1）管理业务

（2）上网业务

2.（3）A

（4）B

3.不同场景下VLAN的规划、VLAN切换策略的规划。

【问题2】

（5）B

（6）C（注：（5）（6）答案可互换）

（7）B

（8）A

（9）C

（10）D（注：（7）-（10）答案可互换）

（11）E

（12）F

（13）G

（14）D（注：（11）~（14）答案可互换）

【问题3】

（15）配置OLT的带内管理VLAN和IP地址。

（16）配置ONU的带内管理VLAN和IP地址。

（17）配置带内管理业务流。

【问题4】

（18）MG

（19）多媒体综合业务平台

【解析】【问题1】

1、解析：对网络进行QoS规划时，划分了语音业务、管理业务、IPTV业务、上网业务，其中优先级最高的是管理业务，对实时性要求最高，优先级最低是普通用户上网业务，对实时性、带宽要求低于语音和IPTV业务。

2.一般语音业务带宽需要达到64Kbps以上，而IPTV是利用宽带网络，集互联网、多媒体、通讯等多种技术于一体，向家庭用户提供包括数字电视在内的多种交互式服务，该服务为家庭宽带用户提供通过机顶盒+电视机的方式，进行视频节目的直播、点播、回看、时移等功能，除此之外还可以通过此方式提供互联网应用和视频通信等丰富的应用业务服务，带宽需要在10Mbps以上。

3.不同用户业务应通过不同的VLANID区分。

【问题2】

（5）-（6）在家庭网关设备中配置上网业务和IPTV业务。

（7）-（10）在光网络单元设备中配置语音业务、上网业务、IPTV业务、配置聚合、拥塞控制和安全策略。

（11）-（14）在光线路终端配置拥塞控制和安全策略、增加ONU、增加OLT和ONU之间的业务通道和管理通道。

【问题3】

（15）配置OLT的带内管理VLAN和IP地址。

（16）配置ONU的带内管理VLAN和IP地址。

（17）配置带内管理业务流。

【问题4】

（18）H.248协议是2000年由ITU-T第16工作组提出的媒体网关控制协议，采用H.248语音协议，通过运营的多媒体网关MG接口和语音业务通道接入网络侧的多媒体综合业务平台。

17.单选题

在支持多线程的操作系统中，假设进程Р创建了线程T1，T2，T3，那么下列说法中，正确的是（

）。

问题1选项

A.该进程中已打开的文件是不能被T1，T2和T3共享的

B.该进程中T1的栈指针是不能被T2共享，但可被T3共享

C.该进程中T1的栈指针是不能被T2和T3共享的

D.该进程中某线程的栈指针是可以被T1，T2和T3共享的

【答案】C

【解析】线程共享的内容包括：进程代码段、进程的公有数据（利用这些共享的数据，线程很容易地实现相互之间的通讯）、进程打开的文件描述符、信号的处理器、进程的当前目录、进程用户ID与进程组ID。

线程独有的内容包括：线程ID、寄存器组的值、线程的堆栈、错误返回码、线程的信号屏蔽码。

18.单选题

下图为某UDP报文的两个16比特，计算得到的InternetChecKsum为（

）。

问题1选项

A.11011101110111011

B.1100010001000100

C.1011101110111100

D.0100010001000011

【答案】C

【解析】UDP检验和的计算方法是：

就是将所有的二进制数加起来，之后取反码。有一点需要注意的是，如果遇到最高位进位，那么需要对结果进行回卷，简单来说，就是将要进的那一位加到尾部，之后取反码。

例如两个16位相加=11011101110111011，最高位进位了，为1，就把1011101110111011+1=1011101110111100

19.单选题

在命令提示符中执行ping，所得结果如下图所示，根据TTL值可初步判断服务器8操作系统的类型是（

），其距离执行ping命令的主机有（

）跳。

问题1选项

A.WindowsXP

B.WindowsServer2008

C.FreeBSD

D.IOS12.4

问题2选项

A.78

B.14

C.15

D.32

【答案】第1题:C

第2题:B

【解析】第1题:其中Windows2008、XP的默认TTL是128，FreeBSD是64，而收到的ICMP回送消息的TTL是50，说明中途经过了64-50=14台路由器。

第2题:

20.单选题

一个由多个路由器相互连接构成的拓扑图如下图所示，图中数字表示路由之间链路的费用。OSPF路由协议将利用（

）算法计算出路由器u到z的最短路径费用值为（

）。

问题1选项

A.Price

B.Floyd-warshall

C.Dijkstra

D.Bellman-ford

问题2选项

A.10

B.4

C.3

D.5

【答案】第1题:C

第2题:B

【解析】第1题:OSPF是数据链路状态路由协议，采用的SPF算法，即最小生成树算法（Dijkstar），会把网络拓扑转变为最短路径优先树，然后从该树形结构中找出到达每一个网段的最短路由，并保证计算出的路由不会存在环路。SPF算法计算路由的依据是带宽，每条链路根据其带宽都有相应的开销（COST）。开销越小，带宽就越大，链路就越优。

第2题:

21.单选题

服务虚拟化使用分布式存储，与集中共享储存相比，分布式存储（

）。

问题1选项

A.虚拟机磁盘IO性能较低

B.建设成本较高

C.可以实现多副本数据冗余

D.网络带宽要求低

【答案】C

【解析】实际硬件环境中，磁盘可能损坏，服务器可能宕机，网络可能失效……为处理这些不可预期的硬件故障，保证数据的完整性和业务的可用性，需要通过全冗余设计等一系列软件层面的设计，来弥补硬件不可靠带来的数据可靠性和可用性问题。

分布式存储采用了多副本冗余机制，基于策略配置，实现数据及其副本跨硬盘、跨存储节点、跨机架的存储，并通过强一致性复制技术确保各个数据副本的一致性，这样即便一个数据服务器甚至整个机架停机也完全不影响数据可靠性和可用性。

22.单选题

按照IEEE802.3标准，以太帧的最大传输效率为（

）。

问题1选项

A.50%

B.87.5%

C.90.5%

D.98.8%

【答案】D

【解析】按照IEEE802.3标准，以太帧的最大传送效率：1500/1518=98.8%。

23.单选题

以100Mb/s以太网连接的站点A和B相距2000m，通过停等机制进行数据传输，传播速度为200m/us，最高的有效传输速率为（

）Mb/s。

问题1选项

A.80.8

B.82.9

C.90.1

D.92.3

【答案】B

【解析】一个数据帧帧长最大为1518字节。

其中数据帧发送时间=1518×8/100Mb/s=121.44us

数据帧传播时间=2000m/200m/us=10us。

停等协议是发送一帧，收到确认后再发下一帧，确认帧是64B，则发送时间=64×8/100mbps=5.12us

则总时间=121.44us+5.12us+10us+10us=146.56us。

发送一个数据帧的有效速率=1518×8/146.56=82.9mbps。

24.单选题

下图为某windows主机执行tracert命令的结果，其中第13跳返回信息为三个“*”，且地址信息为“Reguesttimedout”，出现这种问题的原因可排除（

）。

问题1选项

A.第13跳路由器拒绝对ICMPEchoreguest做出应答

B.第13跳路由器不响应但转发端口号大于32767的数据报

C.第13跳路由器处于离线状态

D.第13跳路由器的CPU忙，延迟对该ICMPEchoreguest做出响应

【答案】C

【解析】tracert的时候出现*号的行列说明有路由器（也许是出于安全考虑，也许是网络问题）没有回应。例如经过第N跳时，在一定时间内没有收到ICMP超时报文或者ICMP端口不可达报文。

25.单选题

IEEE802.3z定义了千兆以太网标准，其物理层采用的编码技术为（）。在最大段长为20米的室内设备之间，较为合理的方案为（）。

问题1选项

A.MLT-3

B.8B6T

C.4B/5B或8B/9B

D.Manchester

问题2选项

A.1000Base-T

B.1000Base-CX

C.1000Base-SX

D.1000Base-LX

【答案】第1题:C

第2题:B

【解析】第1题:千兆以太网标准实现千兆数据速率需要采用新的数据处理技术。首先是最小帧长需要扩展，以便在半双工的情况下增加跨距。另外802.3z还定义了一种帧突发方式，使得一个站可以连续发送多个帧。最后物理层编码也采用了与10Mb/s不同的编码方法，即4b/5b或8b/9b编码法。

1000BASE-CX对应于802.3z标准，采用的是150Ω平衡屏蔽双绞线（STP）。最大传输距离25米，使用9芯D型连接器连接电缆。1000BASE-CX适用于交换机之间的连接，尤其适用于主干交换机和主服务器之间的短距离连接。

第2题:

26.单选题

用户A在CA申请了自己的数字证书1，下面的描述中正确的是（

）。

问题1选项

A.证书中包含A的私钥，其他用户可使用CA的公钥验证证书真伪

B.证书中包含CA的公钥，其他用户可使用A的公钥验证证书真伪

C.证书中包含CA的私钥，其他用户可使用A的公钥验证证书真伪

D.证书中包含A的公钥，其他用户可使用CA的公钥验证证书真伪

【答案】D

【解析】数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是一个由权威机构证书授权中心CA发行的，用户可以在网上用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。可以更加方便灵活地运用在电子商务和电子政务中。其他用户可以使用CA的公钥去核实证书的真伪。

27.单选题

下列不属于快速UDP互联网连接(QUIC)协议的优势是(

)。

问题1选项

A.高速且无连接

B.避免队头阻塞的多路复用

C.连接迁移

D.前向冗余纠错

【答案】A

【解析】和TCP相反，UDP协议是无连接协议。客户端发出UDP数据包后，只能“假设”这个数据包已经被服务端接收。这样的好处是在网络传输层无需对数据包进行确认，但存在的问题就是为了确保数据传输的可靠性，应用层协议需要自己完成包传输情况的确认。

此时，QUIC协议就登场了。

QUIC是QuickUDPInternetConnections的缩写，谷歌发明的新传输协议。

与TCP相比，QUIC可以减少延迟。

QUIC协议可以在1到2个数据包（取决于连接的服务器是新的还是已知的）内，完成连接的创建（包括TLS）。

QUIC（QuickUDPInternetConnection）是谷歌制定的一种互联网传输层协议，它基于UDP传输层协议，同时兼具TCP、TLS、HTTP/2等协议的可靠性与安全性，可以有效减少连接与传输延迟，更好地应对当前传输层与应用层的挑战。

在UDP上保证可靠传输的QUIC协议，很多实现基本上是照搬了TCP协议，另外做了很多优化。避免队头阻塞

QUIC能够在传输层中区分出不同的数据流，前一个丢包不会阻塞住后面无关的数据包，这样就避免了刚才的队头阻塞问题。

连接迁移

TCP通过四元组（源端口、源IP、目的端口、目的IP）标记一条连接，当网络发生变化是会导致连接断开，比如从Wifi切换到4G时，需要断连重连。QUIC通过一个64位的随机ID数表示一个连接，当网络环境变化时，不会断开连接。

QUIC使用前向纠错的纠错码，每个数据包除了它本身的内容之外，还包括了部分其他数据包的数据，因此少量的丢包可以通过其他包的冗余数据直接组装而无需重传。

28.单选题

在IPv6首部中有一个“下一头部”字段，若IPv6分组没有扩展首部，则其“下一头部”字段中的值为（

）。

问题1选项

A.TCP或UDP

B.IPv6

C.逐跳选项首部

D.空

【答案】A

【解析】IPv6扩展报文头是跟在IPv6基本报文头后面的可选报文头。由于在IPv4的报文头中包含了所有的选项，因此每个中间路由器都必须检查这些选项是否存在。在IPv6中，相关选项被移到了扩展报文头中。中间路由器不必处理每一个可能出现的选项（在IPv6中，每个中间路由器必须处理的扩展报文头只有逐跳选项报头）。这种处理方式提高了路由器处理数据报文的速度，也提高了其转发性能。扩展报文头有以下几类：

1）逐跳选项扩展头，定义了转发路径中每个节点需要处理的信息。

2）目的选项扩展头，目的节点需要处理的信息。

3）路由扩展头，记录转发路径上路由节点的信息。

4）分片扩展头，发送大于MTU的包，不同于IPV4，IPV6只在源节点进行数据的分片。

5）身份认证扩展头，确保数据来源于可信任的源点。

6）封装安全有效载荷扩展头，可以有效避免在数据传输过程中被窃听等行为。

如果没有扩展首部，后面直接就是传输层首部了。

29.单选题

以太网的最大帧长为1518字节，每个数据帧前面有8个字节的前导字段，帧间隙为9.6us。若采用TCP/IP网络传输14600字节的应用层数据，采用100BASE-TX网络，需要的最短时间为（）。

问题1选项

A.1.32ms

B.13.2ms

C.2.63ms

D.26.3ms

【答案】A

【解析】以太帧的最大帧长1518字节，其中IP数据报为1500字节，TCP报文为1480字节，TCP的数据就是1460字节，每个数据帧前面还有8字节的前导字段，帧间隔9.6us。现在传送14600字节的应用层数据，需要分成14600/1460=10个帧传送。

现在一帧的传送时间=（1518+8）×8/100*106=0.00012208秒，10帧的话为1.2208ms，再加上帧间9.6us×10=96us，那么总时间等于1.2208ms+0.096ms=1.32ms。

30.单选题

RIP路由协议规定在邻居之间每30秒进行一次路由更新，如果（

）仍未收到邻居的通告消息，则可以判断与该邻居路由器间的链路已经断开。

问题1选项

A.60秒

B.120秒

C.150秒

D.180秒

【答案】D

【解析】RIP三个定时器：

更新定时器：每隔30秒发整张路由表的副表给邻居路由器。

无效定时器：180秒，超过这个时间没有收到邻居路由器发来的更新信息，就认为路由失效。

垃圾收集定时器：当路由器的路由无效后，该路由成为一个无效路由项，COST值会标记为16，缺省时间为120秒，如果在这段时间内没收到该路由的更新消息，计时器结束后清除这条路由表项。

31.单选题

下面关于第三方认证的服务说法中，正确的是（

）。

问题1选项

A.Kerberos认证服务中保存数字证书的服务器叫CA

B.Kerberos和PKI是第三方认证服务的两种体制

C.Kerberos认证服务中用户首先向CA申请初始票据

D.Kerberos的中文全称是“公钥基础设施”

【答案】B

【解析】目前常用的密钥分配方式是设立密钥分配中心KDC，KDC是大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分配一个会话密钥。目前用得最多的密钥分配协议是Kerberos。Kerberos使用两个服务器：鉴别服务器AS、票据授权服务器TGS。

PKI（PublicKeyInfrastructure，公钥基础设施）是一个利用公钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。

PKI系统以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和它所持有的公钥的结合。基于数字证书的PKI系统，能够为网络通信和网络交易（例如电子政务和电子商务）提供各种安全服务。

32.单选题

RAID1中的数据冗余是通过（）技术实现的。

问题1选项

A.XOR运算

B.海明码校验

C.P+Q双校验

D.镜像

【答案】D

【解析】RAID1是通过磁盘数据镜像实现数据冗余，在成对的独立磁盘上产生互为备份的数据。当原始数据繁忙时，可直接从镜像拷贝中读取数据。RAID1是磁盘阵列中单位成本最高的，但提供了很高的数据安全性和可用性。当一个磁盘失效时，系统可以自动切换到镜像磁盘上读写，而不需要重组失效的数据。

33.案例题

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

案例一

安全测评工程师小张对某单位的信息系统进行安全渗透测试时，首先获取A系统部署的WebServer版本信息，然后利用A系统的软件中间件漏洞，发现可以远程在A系统服务器上执行命令。小张控制A服务器后，尝试并成功修改网页。通过向服务器区域横向扫描，发现B和C服务器的root密码均为123456，利用该密码成功登录到服务器并获取root权限。

案例二

网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。

其中，日志1访问记录为:

/

param='1'and

updatexml(1,

concat(0x7e

(SEL

ECT

MD5(1234),0x7e),

1)

日志2访问记录为：

/js/url.

substring(0,

indexN2)}/

alert(url);url+=

小王立即采取措施，加强Web安全防范。

案例三

某信息系统在2018年上线时，在公安机关备案为等级保护第三级,单位主管认为系统已经定级，此后无须再做等保安全评测。

【问题1】(6分)

信息安全管理机构是行使单位信息安全管理职能的重要机构，各个单位应设立(1)领导小组，作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责，至少应包含安全主管和“三员”岗位，其中“三员”岗位中:(2)岗位职责包括信息系统安全监督和网络安全管理沟通、协调和组织处信息安全事件等；系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作；(3)岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计，监督信息安全制度执行情况。

【问题2】(9分)

1.请分析案例一信息系统存在的安全隐患和问题(至少回答5点);

2.针对案例一存在的安全隐患和问题，提出相应的整改措施(至少回答4点)

【问题3】(6分)

1.案例二中，日志1所示访问记录是(4)攻击，日志2所示访问记录是(5)攻击

2.案例二中，小王应采取哪些措施加强web安全防范?

【问题4】(4分)

案例三中，单位主管的做法明显不符合网络安全等级保护制度要求，请问，该信息系统应该至少(6)年进行一次等保安全评测，该信息系统的网络日志至少应保存(7)个月。

【答案】【问题1】(6分)

（1）网络安全和信息建设

（2）安全管理员

（3）安全审计员

【问题2】(9分)

WebServer版本信息没有屏蔽、中间件漏洞没有及时补丁升级、存在远程命令漏洞，存在弱口令、没有禁用ROOT用户远程登录等。

WebServer版本信息屏蔽、中间件漏洞及时补丁升级、关闭高危端口，加强口令强度，定时更新口令、禁用ROOT用户远程登录、部署WAF设备、IPS设备、漏洞扫描设备。

【问题3】(6分)

SQL注入攻击

XSS攻击

验证用户的输入，部署WAF、IPS设备。

【问题4】(4分)

1、1年

2、6

34.单选题

某居民小区采用FTTB+HGW网络组网，通常情况下，网络中的(

)部署在汇聚机房。

问题1选项

A.HGW

B.Splitter

C.OLT

D.ONU

【答案】C

【解析】OLT是光线路终端，局端设备，部署在机房。

35.单选题

1000BASE-TX采用的编码技术为（）。

问题1选项

A.PAM5

B.8B6T

C.8B10B

D.MLT-3

【答案】C

【解析】1000Base-TX，它不是由IEEE制定的，而是由TIA/EIA于1995年发布，对应的标准号为TIA/EIA-854。1000Base-TX也是基于4对双绞线，采用快速以太网中与100Base-TX标准类似的传输机制，是以2对线发送和2对线接收。由于每对线缆本身不进行双向的传输，线缆之间的串扰就大大降低，同时其编码方式也是8b/10b。

36.单选题

下列安全协议中属于应用层安全协议的是（

）。

问题1选项

A.IPSec

B.L2TP

C.PAP

D.HTTPS

【答案】D

【解析】HTTPS是以安全为目标的HTTP通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。

37.单选题

在五阶段网络开发工程中，网络技术选型和网络可扩充性能的确定是在（

）阶段。

问题1选项

A.需求分析

B.逻辑网络设计

C.物理网络设计

D.通信规范设计

【答案】B

【解析】逻辑网络设计主要包括网络结构的设计、物理层技术选择、局域网技术选择与应用、广域网技术选择与应用、地址设计和命名模型、路由选择协议、网络管理、网络安全、逻辑网络设计文档等等。

38.单选题

SecureShell（SSH）isacryptographicnetworkprotocolforoperatingnetworkservicessecurelyoveran（1）network，Typicalapplicationsincluderemotecommand-line，login，andremotecommandexecution，butanynetworkservicecanbesecuredwithSSH.Theprotocolworksinthe（2）model，whichmeansthattheconnectioninestablishedbytheSSHclientconnectingtotheSSHserver.TheSSHclientdrivestheconnectionsetupprocessandusespublickeycryptographytoverifythe（3）oftheSSHserver.AfterthesetupphasetheSSHprotocolusesstrong（4）encryptionandhashingalgorithmstoensuretheprivacyandintegnityofthedatathatisexchangedbetweentheclientandserver.Thereareserveraloptionsthatcanbeusedforuserauthentication.Themostcommononesarepasswordsand（5）keyauthentication.

问题1选项

A.encrypted

B.unsecured

C.authorized

D.unauthorized

问题2选项

A.C/S

B.B/S

C.P2P

D.distributed

问题3选项

A.capacity

B.services

C.applications

D.identity

问题4选项

A.dynamic

B.random

C.symmetric

D.asymmetric

问题5选项

A.public

B.private

C.static

D.dynamic

【答案】第1题:B

第2题:A

第3题:D

第4题:C

第5题:A

【解析】第1题:安全外壳（SSH）是一种加密网络协议，用于在不安全的网络上安全地运行网络服务。典型的应用程序包括远程命令行，登录和远程命令执行，任何网络服务都可以使用SSH进行安全保护。该协议在C/S模式下工作，这意味着SSH客户端建立连接到SSH服务器。SSH客户端驱动连接建立过程，并使用公共密钥加密技术来验证SSH服务器的身份。在设置阶段之后，SSH协议使用强大的非对称加密和哈希算法来确保在客户端和服务器之间交换的数据的私密性和完整性。有一些服务器选项可用于用户身份验证。最常见的选项是密码和公钥身份验证。

答案选项：

A.加密

B.无抵押

C.授权

D.未经授权

A.C/S

B.B/S

C.P2P

D.分布式

A.容量

B.服务

C.应用

D.身份39.单选题

IPv4报文分片和重组分别发生在(

)。

问题1选项

A.源端和目的端

B.需要分片的中间路由器和目的端

C.源端和需要分片的中间路由器

D.需要分片的中间路由器和下一跳路由器

【答案】B

【解析】在IP层下面的每一种数据链路层都有其自己的帧格式，其中包括帧格式中的数据字段的最大长度。这称为最大传送单元MTU，当一个IP数据报封装成链路层的帧时，此数据报的总长度一定不能超过下面的数据链路层的MTU值。当数据报长度超过网络所容许的最大传送单元MTU时，就必须把过长的数据报进行分片后才能在网络上传送。分片发生在路由器，重组在目的主机重组

40.单选题

TCP可靠传输机制为了确定超时计时器的值，首先要估算RTT，估算RTT采用如下公式，估算RTTs（1-a）×（估算RTTs）+a×（新的RTT样本），其中a的值取为（

）。

问题1选项

A.1/8

B.1/4

C.1/2

D.1/16

【答案】A

【解析】TCP每发送一个报文段，就对这个报文段设置一次计时器，只要计时器设置的重传时间到期但还没有收到确认，就要重传这一报文段。

TCP保留了RTT的一个加权平均往返时间RTTS（这又称为平滑的往返时间），第一次测量到RTT样本时，RTTS值就取为所测量到的RTT样本值，以后每测量到一个新的RTT样本，就按下式重新计算一次RTTS：

公式：

新的RTTS=（1-α）×（旧的RTTS）＋α（新的RTT样本）

说明：

式中，0≤α＜1，若α很接近于零，表示RTT值更新较慢若选择α接近于1，则表示RTT值更新较快。RFC2988推荐的α值为1/8，即0.125。

41.单选题

以下关于延迟的说法中，正确的是（

）。

问题1选项

A.在对等网络中，网络的延迟大小与网络中的终端数量无关

B.使用路由器进行数据转发所带来的延迟小于交换机

C.使用internet服务器可最大程度地减小网络延迟

D.服务器延迟的主要影响因素是队列延迟和磁盘IO延迟

【答案】D

【解析】如果不考虑网络环境，服务器的延迟的主要因素是队列延迟和磁盘IO延迟。

42.单选题

为防范国家数据安全风险、维护国家安全、保障公共利益，2021

年7月，中国网络安全审查办公室发布公告，对“滴滴出行”、“运满满”

、“货车帮”

和“BOSS直聘”开展网络安全审查。此次审查依据的国家相关法律法规是（）。

问题1选项

A.《中华人民共和国网络安全法》和《中华人民共和国国家安全法》

B.《中华人民共和国网络安全法》和《中华人民共和国密码法》

C.《中华人民共和国数据安全法》和《中华人民共和国网络安全法》

D.《中华人民共和国数据安全法》和《中华人民共和国国家安全法》

【答案】A

【解析】为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。

43.单选题

在Linux中，DNS的配置文件是（），它包含了主机的域名搜索顺序和DNS服务器的地址。

问题1选项

A./etc/hostname

B./dev/host.conf

C./etc/resolv.conf

D./dev/name.conf

【答案】C

【解析】当进行DNS解析的时候，需要系统指定一台DNS服务器，以便当系统要解析域名的时候，可以向所设定的域名服务器进行查询。在包括Linux系统在内的大部分UNIX系统中，DNS服务器的IP地址都存放在/etc/resolv.conf文件中。也就是说在图形方式配置网络参数的时候，所设置的DNS服务器就是存放在这个文件中的。用户也完全可以用手工的方式修改这个文件的内容来进行DNS设置。

配置文件不会放在dev目录下，etc目录下没有hostname文件。

点拨：

/etc/resolv.conf文件的每一行是由一个关键字和随后的参数组成的，常见的关键字有：

Nameserver：指定DNS服务器的IP地址，可以有多行，查询的时候按照次序进行，只有当一个DNS服务器不能使用的时候，才查询后面的DNS服务器。

Domain：用来定义默认域名（主机的本地域名）。

Search它的多个参数指明域名查询顺序。当要查询没有域名的主机，主机将在由Search声明的域中分别查找。domain和Search不能共存；如果同时存在，后面出现的将会被使用。

44.单选题

以下关于Kerberos认证的说法中，错误的是（

）。

问题1选项

A.Kerberos是在开放的网络中为用户提供身份认证的一种方式

B.系统中的用户要相互访问必须首先向CA申请票据

C.KDC中保存着所有用户的账号和密码

D.Kerberos使用时间戳来防止重放攻击

【答案】B

【解析】目前常用的密钥分配方式是设立密钥分配中心KDC，KDC是大家都信任的机构，其任务就是给需要进行秘密通信的用户临时分配一个会话密钥。目前用得最多的