网络工程师考点精要--第9章 网络安全
mg m网络安全表9-1历年考题知识点分布统计表年份试题分布分值考核要点2013 (上)34, 39, 41-457病毒、防火墙配置、三重DES、报文摘要、PGP协议、L2TP数据包、入侵检测2013 (下)19-20, 42-456CHAP协议、DoS攻击、PKI体制、报文摘要算法SHA-1、公开密钥加密算法2012 (上)42-454认证技术、钓鱼网站、MD5算法、HTTPS、PGP2012 (下)41-45,686加密算法、认证技术、SSL、IPSec安全关联三元组、2011 (上)42-44,46-508数字签名方案、报文摘要算法、HTTP、Kerberor认证 系统、病毒2011 (下)41-455报文摘要的长度、安全电子邮件的协议、Kerberos2010 (上)39-41,434HTTPS协议、计算机宏病毒、DES算法2010 (下)41,45-507RSA算法、报文摘要算法MD5、隧道协议、IEEE802.11i所采用的加密算法、公钥加密体系命题要点安全性的基本概念:网络安全威胁,网络安全漏洞,安全攻击,基本安全技术,安全措施的目的。信息加密技术:加密原理,经典的加密技术、私钥和公钥加密标准(DES、IDES、RSA等)。认证技术:三种认证技术(基于共享密钥的认证、Needham-Schroeder认证、基于公钥的认证),数字签名,数字证书,报文摘要,密钥管理。VPN: VPN的主要实现技术,VPN的解决方案,第二层隧道协议,IPsec工作原理,安全套接层SSL。安全协议:S-HTTP、PGP、S/MIME、SET、Kerberos认证。•非法入侵和病毒的防护:防火墙、入侵检测、计算机病毒保把。网络安全的基本概念一、网络安全威胁网络安全威胁:是对网络安全缺陷的潜在利用。这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全威胁的种类有:(1)窃听。如搭线窃听、:安装通信监视器和读取网上的信息等。(2)假冒。某个实体假装成另一个实体,并获取该实体的权限。(3)重放。重复一份报文或报文的一部分,以便产生一个被授权效果。(4)流量分析。通过对网上信息流的观察和分析推断出网上传输的有用信息。(5)数据完整性破坏。有意或无意地修改或破坏信息系统,或者在非授权和不能检测的方式下对数据进行修改。(6)拒绝服务。通过发送大量的请求来消耗和占用过多的服务资源,使得网络服务不能响应 正常的请求。(7)资源的非授权访问。与所定义的安全策略不一致的使用。(8)后门和特洛伊木马。通过替换系统合法程序,或者在合法程序中插入恶意代码,以实现非授权攻击,从而达到某种特定的目的。(9)病毒。(10)诽谤。二、网络安全漏洞网络安全隐患主要表现在以下几个方面:(1)物理性安全。凡是能够让非授权机器物理接入的地方,都会存在潜在的安全问题。(2)软件安全漏洞。(3)不兼容使用的安全漏洞。(4)选择自认合适的安全哲理。这是一种对安全概念的理解和直觉。完美的软件、受保护的硬件和兼容部件并不能保证正常而有效地工作,除非用户选择了适当的安全策略和打开了能增加其系统安全的部件。三、网络攻击网络攻击是某种安全威胁的具体实现,当信息从信源向信宿流动时,可能受到各种类型的攻击。网络攻击可以分为被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击几类。(1)被动攻击被动攻击是对信息的保密性进行攻击,即通过窃听网络上传输的信息并加以分析从而获得有价值的情报,伹它并不修改信息的内容。它的目标是获得正在传送的信息,其特点是偷听或监视信息的传递。主要预防手段是数据加密等。(2)主动攻击主动攻击是攻击信息来源的真实性、信息传输的完整性和系统服务的可用性,有意对信息进行修改、插入和删除。主要攻击形式有:假冒、重放、欺骗、消息篡改和拒绝服务等。主要预防手段是防火墙、入侵检测技术等。(3)物理临近攻击未授权者可在物理上接近网络、系统或设备,其目的是修改、收集或拒绝访问信息。(4)内部人员攻击有的内部人员被授权在信息安全处理系统的物理范围内,或对信息安全处理系统具有直接访问权,他们可能会攻击网络。(5)分发攻击分发攻击是指在软件和硬件开发出来之后和安装之前这段时间,或者当它从一个地方传到另一个地方时,攻击者恶意修改软硬件。四、基本安全技术目前的网络安全措施有:•数据加密•数字签名•身份认证•防火墙•入侵检测五、安全措施的目标(1)访问控制。确保会话对方有权做它所声称的事情。(2)认证。确保会话对方的资源同它声称的一致。(3)完整性。确保接收到的信息同发送的一致。(4)审计。确保任何发生的交易在事后可以被证实,发信者和收信者都认为交换发生过,即所谓的不可抵赖性。(5)保密。确保敏感信息不被窃听。【试题9-1】 2013年11月真题42下列网络攻击行为中,属于DoS攻击的是(42)A.特洛伊木马攻击 B. SYN Flooding攻击 C.端口欺骗攻击 D.IP欺骗攻击解析:DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。DoS具有代表性 的攻击手段包括PingofDeath、TearDrop、UDPflood、Synflood、LandAttack、IPSpoofmgDoS等。【答案:(42) B】信息加密技术—、信息加密技术概述信息安全的核心是密码技术。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被加密的内容。需要隐藏的信息称为明文;产生的结果称为密文;加密时使用的变换规则称为密码算法。二、网络中的加密技术(1)链路加密每条通信链路上的加密是独立实现的,通常对每条链路使用不同的加密密钥。•优点:对用户来说是透明的。•缺点:报文是以明文形式在各节点内,在中间节点暴露了信息的内容,需要节点本身必须是安全的。(2)节点到节点加密解决在节点中数据是明文的缺点,在中间节点里装有加密、解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换。(3)端到端加密在源节点和目的节点中对传送的PDU (协议数据单元)进行加密和解密。•优点:报文的安全性不会因中间节点的不可靠而受到影响。•缺点:PDU的控制信息部分(例如源节点地址、目_的节点地址、路由信息等)不能被加密,否则中间节点就不能正确选择路由。三、数据加密原理一般的数据加密模型如图9-1所示。在发送端,把明文X用加密算法E和加密密钥K加密,变换成密文Y,即Y=Ek(X);在接收端利用解密算法D和解密密钥K对密文C解密,得到明文X。四、经典的加密技术经典的加密方法主要使用了替换加密、换位加密和一次性填充3种加密技术。(1)替换加密。用一个字母替换另一个字母。(2)换位加密。按照一定的规律重排字母的顺序。(3)一次性填充。把明文变为位串,选择一个等长的随机位串作为密码,对二者进行按位异或,得到密文。五、对称密钥密码体制对称密钥加密的发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。常用的对称加密算法有:DES、IDEA、TDEA、AES、RC2、RC4、RC5等算法(1)数据加密标准(DES):一种分组密码,在加密前,先对整个明文进行分组。每一个组长为64位。然后对每个64位二进制数据进行加密处理,经过16轮迭代,产生一组64位密文数据。最后将各组密文串接起来,即得出整个密文。使用的密钥为56位。(2)三重DES:使用两个密钥,执行三次DES算法,如图9-2所示。其密钥长度是112位。(3)国际数据加密数据算法(IDEA):IDEA的密码长是128位,若采用强行攻击,对付IDEA将是对付DES工作量的272=4.7X1021倍,因此,它的安全性是比较好,是目前数据加密中应用得较为广泛的一种密码体制。六、公开密钥密码体制公开密钥密码体制也叫非对称密钥加密。每个用户都有一对密钥:公开密钥和私有密钥。公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,另一把密钥来解密。虽然私有密钥 SK是由公开密钥PK决定的,但不能根据PK计算出SK。其原理如下图9-3所示。(1)RSA算法:基于数论中寻求两个大素数比较简单,而将它们的乘积分解开则极其困难。每个用户有两个密钥:加密密钥PK={e,n}和解密密钥SK= {d,n}。用户把加密密钥公开,使得系统中任何其他用户都可使用,而对解密密钥中的d则保密。N为两个大素数p和q之积(素数p和分一般为100位以上的十进数),e和d满足一定的关系。攻击者已知e和n时也并不能求出d。(2)其他的公钥加密算法:ElGamal算法也是一种常用的公钥加密算法,它是基于公钥密码体制和椭圆曲线加密体系,既能用于数据加密,也能用于数字签名。背包加密算法以其加密、解密速度快而引人注意,但是大多数一次背包体制均被破译了,因此很少有人使用。【试题9-2】 2013年5月真题41利用三重DES进行加密,以下说法IH确的是(41)。A.三重DES的密钥长度是56位 B.三重DES使用三个不同的密钥进行加密C.三重DES的安全性高于DES D.三重DES的加密速度比DES快解析:3DES (或称为Triple DES)是三重数据加密算法(TDEA, Triple Data Encryption Algorithm)块密码的通称。它相当于是对每个数据块应用三次DES加密算法。由于计算机运算能力的增强,原版DES密码的密钥长度变得容易被暴力破解;3DES即是设计用来提供一种相对简单的方法,即通过增加DES的密钥长度来避免类似的攻击,而不是设计一种全新的块密码算法。【答案:(41)C】【试题9-3】 2013年11月真题45下面算法中,不属于公开密钥加密算法的是(45)。A. ECC B. DSA C. RSA D. DES解析:常见的公钥加密算法有:RSA、ElGamal、背包算法、Rabin (RSA的特例)、迪菲一赫尔曼密钥交换协议中的公钥加密算法、椭圆曲线加密算法(英语:Elliptic Curve Cryptography, ECC)。DES不属于公开密钥加密算法。【答案:(45) D】【试题9-4】 2012年11月真题44 SDES是一种(44)算法。A.共享密钥 B.公开密钥 C.报文摘要 D.访问控制解析:DES是使用最广泛的共享密钥加密算法。3DESC或称为Triple DES)是三重数据加密算法(TDEA, Triple Data Encryption Algorithm)块密码的通称。它相当于是对每个数据块应用三次DES加密算法。【答案:(44) A】【试题9-5】 2011年11月真题46公钥体系中,用户甲发送给用户乙的数据要用(46)讲行加密。A.甲的公钥 B.甲的私钥C.乙的公钥 D.乙的私钥解析:公开密钥密码体制也叫非对称密钥加密。每个用户都有一对密钥:公开密钥和私有密钥。公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,另一把密钥来解密。虽然秘密密钥SK是由公开密钥PK决定的,但不能根据PK计算出SK。其原理如图9-4所示:【答案:(46) C】【试题9-6】 2011年11月真题41~42某报文的长度是1000字节,利用MD5计算出来的报文摘要长度是(41)位,利用SHA计算出来的报文摘要长度是(42)位。(41)A. 64 B. 128 C. 256 D. 160(42)A. 64 B. 128 C. 256 D. 160解析:MD5算法以任意长的报文作为输入,算法的输出是产生一个128位的报文摘要。SHA的算法建立在MD5的基础上,SHA-1是1994年修订的版本,该算法可以接收的输入报文小于264位,产生160位的报文摘要。【答案:(41) B; (42) D】【试题9-7】 2010年5月真题43以下关于加密算法的叙述中,正确的是(43)。A.DES算法采用128位的密钥进行加密B.DES算法采用两个不同的密钥进行加密C.三重DES算法采用3个不同的密钥进行加密D.三重DES算法采用2个不同的密钥进行加密解析:DES是一个分组加密算法,它以64位为分组对数据加密。它的密钥长度是64位,但实际有效的密钥只是56位。3DES是DES算法扩展其密钥长度的一种方法,它使用两把密钥对报文执行三次常规的DES加密,在第一层、第三层中使用相同的密钥。【答案:(43) D】【试题9-8】 2010年11月真题41按照RSA算法,若选两奇数p=5, q=3,公钥e=7,则私钥d为(41)。A. 6 B. 7 C. 8 D. 9解析:RSA算法密钥选取过程为:①选取两个质数,这里p=5, q=3②计算n=pq=15, z=(p-1)(q-1)=8.③选取小于n的整数e,并且和z没有公约数。这里e=7,满足条件。找到数d,满足ed-1被2整除,题目中选项8满足条件。【答案:(41) B】【试题9-9】 2010年11月真题48IEEE 802.1 li所采用的加密算法为 (48)。A. DES B. 3DES C. IDEA D. AES解析:IEEE802.11i规定使用802.1认证和密钥管理方式,在数据加密方面,定义了TKIP(TemporalKey Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP( Wireless Robust Authenticated Protocol) 3种加密机制。其中TKIP釆用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES (Advanced Encryption Standard)加密算法和CCM (Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。WRAP机制基于AES加密算法和OCB (OffsetCodebook),是一种可选的加密机制。【答案:(48) D】【试题9-10】 2010年11月真题49~50公钥体系中,私钥用于(49),公钥用于(50)。(49)A.解密和签名 B.加密和签名 C.解密和认证 D.加密和认证(50)A.解密和签名 B.加密和签名 C.解密和认证 D.加密和认证解析:在公钥体系亦即非对称密钥体制中,每个用户都有一对密钥:公钥和私钥,公钥对外公开,私钥由个人秘密保存。因此通常采用公钥加密,私钥解密。认证技术用于辨别用户的真伪,有基于对称加密的认证方法,也有基于公钥的认证。在基于公钥的认证中,通信双方用对方的公钥加密,用各自的私钥解密。 在签名中用私钥签名消息,公钥验证签名。【答案:(49) A; (50) D】认证技术一、三种认证技术(1)基于共享密钥的认证通信双方有一个共享的密钥,要依赖于一个双方都信赖的密钥分发中心(Key Distribution Center, KDC)。认证过程如图9-5所示。A向KDC发出消息(这个消息的一部分用尤A加密了),说明自己要和B进行通信,并指出了与B会话的密钥KDC知道A的意图后构造一个消息发给B,B用知解密后就得到了A和KS,然后就可以与A会话了。注意:主动攻击者可以对基于共享密钥的认证方式进行重发攻击。(2) Needham-Schroeder认证协议这是一种多次提问-响应协议,可以对付重放攻击,关键是每一个会话回合都有一个新的随机数在起作用,其应答过程如图9-6所示。(3)基于公钥的认证通信双方都用对方的公钥加密,用各自的私钥解密。具体过程如图9-7所示。通信报文中有A 和B指定的随机数Ra和Rb,因此能排除重放的可能性。二、数字签名数字签名是用于确认发送者身份和消息完整性的一个加密的消息摘要。数字签名应满足以下3点:①接收者能够核实发送者;②发送者事后不能抵赖对报文的签名;③接收者不能伪造对报文的签名。数字签名可以利用对称密码体系(如DES)、公钥密码体系或公证体系来实现。最常用的实现方法是建立在公钥密码体系和单向散列函数算法(如MD5、SHA)的组合基础上。(1)基于密钥的数字签名基于密钥的数字签名系统中要有收发双方共同信赖的仲裁人,如图9-8所示。其中,BB是A和B共同信赖的仲裁,KA*KB分别是A和B与BB之间的密钥,KBB是只有BB掌禪的密钥,P是A发给B的消息,t是时间戳。由BB解读A发的报文,然后产生一个签名的消息KBB(A,t,P),并装配成发给B的报文;B可以解密该报文,阅读消息P,并保留证据。(2)基于公钥密码体系的数字签名利用公钥加密算法的数字签名系统如图9-9所示。这样的签名方法是符合可靠性原则的,即签字是可以被确认的;签字是无法被伪造的;签字是无法重复使用的;文件被签字以后是无法被篡改的;签字具有不可否认性。如果A方否认了,B可以拿出Da(P),并用A的公钥Ea解密得到P,从而 证明P是A发送的;如果B把消息篡改了,当A要求B出示原来的DA(P)时,B拿不出来。三、报文摘要(1)报文摘要的工作原理报文摘要是单向的散列函数,以变长的信息输入,把其压缩成一个定长的值输出。若输入的信息改变了,则输出的定长值(摘要)也会相应改变。从数据完整性保护的角度来看,报文摘要可为制定 的数据产生一个不可仿造的特征,伪造一个报文并使其具有相同的报文摘要是计算不了的。(2)MD5MD5是目前广泛使用的报文摘要算法,它对任意长度的报文进行运算,最后得到128位的MD报文摘要代码^(3)安全散列算法(SHA)SHA是另一种报文摘要算法,它对512位长的数据块进行复杂运算,但产生的散列值是160位。SHA比MD5更安全,但计算速度比MD5慢。(4)散列式报文认证码散列式报文认证码(HMAC)是利用对称密钥生产报文认证码的散列算法可以提供数据完整性、数据源身份认证。HMAC使用现有的散列函数H而不用修改其代码,这样可以使用已有的H代码库,而且可以随 时用一个散列函数代替另一个散列函数。HMAC-MD5:已经被IETF指定为Internet安全协议IPsec的验证机制,提供数据源认证和数据完整性保护。四、数字证书(1)数字证书的概念数字证书解决了公开密钥密码体制下密钥的发布和管理问题,用户可以公开其公钥,而保留其私钥。一般包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息和公开密钥的文件。 认证中心作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。 目前得以广泛使用的证书标准是X.509。表9-2所示的是X.509数字证书中的各个数字域的含义。表9-2 X.509数字证书格式域含义版本号证书版本号,不同版本的证书格式不同序列号序列号,同一身份验证机构签发的证书序列号唯一签名算法签署证书所用的签名算法,包括必要的参数发行者建立和签署证书的CA名称有效期包括有效期的起始时间和终止时间主体名_证书持有人的名称,以及这一证书用来证明私钥用户对应的公开密钥主体的公钥主体的公开密钥、使用这一公开密钥的算法的标识符及参数发行者唯一标识符(可选)证书颁发者的唯一标识符主体唯一标识符(可选)证书拥有者的唯一标识符扩充域(可选)可选的标准和专用功能字段,如基本限制字段和密钥用法字段签名CA用自己的私钥对上述域的哈希值进行数字签名的结果(2)证书的获取任何一个用户要得到CA中心的公钥,就能得到该CA中心为该用户签署的公钥。由于证书是不可伪造的,因此对于存放证书的目录无须施加特别的保护。由于一个公钥用户拥有的可信任管理中心数量有限,要与大量不同管理域的用户建立安全通信需要CA间建立信任关系。一个证书链是从一个自签名的根证书开始,前一个证书主体是后一个证书的发放者。也就是说,该主体对后一个证书进行签名。一般来说,对证书链的处理需要考虑每个证书相关的信任关系。(3)证书的吊销若用户的数字证书到了有效期、用户私钥已被泄露、用户放弃使用原CA中心的服务或者CA中心私钥泄露都需要吊销用户的数字证书。为此,CA中心维护有一个证书吊销列表CRL,以供用户查询。五、密钥管理密钥管理是指处理密钥自产生到最终销毁的整个过程中的有关问题,包括系统的初始化,密 钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁。在美国信息保障技术框架(IATF)中定义了密钥管理体制主要有三种:一种适用于封闭网的技术,以传统的密钥分发中心为代表的KMI机制;二是适用于开放网的PKI机制;三是适用于规模化专用网的SPK技术。【试题9-11】 2013年5月真题42利用报文摘耍算法生成报文摘要的目的是(42)。A.验证通信对方的身价,防止假冒 B.对传输数据进行加密,防止数据被窃听C.防止发送方否认发送过的数据 D.防止发送的报文被篡改解析:消息摘要是用来保证数据完整性的。传输的数据一旦被修改那么计算出的摘要就不同,只要对比两次摘要就可确定数据是否被修改过。利用报文摘要算法生成报文摘要的目的是防止发送的报文被篡改。 【答案:(42) D】【试题9-12】 2013年11月真题43PKI体制中,保证数字证书不被篡改的方法是 (43)A.用CA的私钥对数字证书签名 B.用CA的公钥对数字证书签名C.用证书主人的私钥对数字证书签名 D.用证书主人的公钥对数字证书签名解析:PKI (Public Key Infrastructure,公钥基础架构)是一套以公钥技术为基础、提供安全服务的架构,由认证机构(CA),数字证书库,密钥备份和恢复,证书作废系统,应用接口等组成。CA是PKI的核心,CA的主要功能有:证书发放、证书管理(更新、撤消、验证)。保证数字证书不被篡改的方法是用CA的公钥对数字证书签名。【答案:(43) B】【试题9-13】 2013年11月真题44报文摘要算法SHA-1输出的位数是 (44)。A. 100位 B. 128位 C.160位 D. 180位解析:SHA-1是一种数据加密算法,该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。该算法输入报文的长度不限,产生的输出是一个160位的报文摘要。输入是按512位的分组进行处理的。SHA-1是不可逆的、防冲突,并具有良好的雪崩效应。【答案:(44) C】【试题9-14】 2012年5月真题44甲和乙要进行通信,甲对发送的消息附加了数字签名,乙收到该消息后利用(44)验证该消息的真实性。A.甲的公钥 B.甲的私钥 C.乙的公钥 D.乙的私钥解析:认证技术用于辨别用户的真伪,有基于对称加密的认证方法,也有基于公钥的认证。在基于公钥的认证中,通信双方用对方的公钥加密,用各自的私钥解密。在签名中用私钥签名消息,公钥验证签名。 【答案:(44) 】【试题9-15】 2012年5月真题45下列算法中,(45)属于摘要算法。A.DES B.MD5 C.Diffie-Hellman D.AES解析:MD5是目前广泛使用的报文摘要算法,它对任意长度的报文进行运算,最后得到128位的MD报文摘要代码。【答案:(45) B】【试题9-16】 2012年11月真题42~43用户B收到用户A带数字签名的消息M,为了验证M的真实性,首先需要从CA获取用户的数字证书,并 利用(42)验证该证书的真伪,然后利用(43)验证M的真实性。(42)A.CA的公钥 B.B的私钥 C.A的公钥 D.B的公钥(43)A.CA的公钥 B.B的私钥 C.A的公钥 D.B的公钥解析:考查加密和解密,由于消息M是带数字签名的,所以首先要获取数字证书,并用CA的公钥验证证书真伪,然后用发送者的公钥来验证消息的真实性。【答案:(42) A; (43) C】【试题9-17】 2012年5月真题43~44图9-10所示为一种数字签名方案,网上传送的报文是 (43),防止A抵赖的证据是 (44)。(43)A. P B. Da(P) C. EB(Da(P)) D. Da(44)A. P B. Da(P) C. EB(Da(P)) D. Da解析:利用公钥加密算法的数字签名系统如上图所示。这样的签名方法是符合可靠性原则的,即签字是可以被确认的;签字是无法被伪造的;签字是无法重复使用的;文件被签字以后是无法被篡改的;签字具有不可否认性。如果A方否认了,B可以拿出Da(P),并用A的公钥EA解密得到P,从而证明P是A发送的;如果B把消息篡改了,当A要求B出示原来的DA(P)时,B拿不出来。【答案:(43) C; (44) B】【试题9-18】 2011年5月真题42下列选项中,同属于报文摘要算法的是 (42)。A.DES和MD5 B. MD5和SHA-1C.RSA和SHA-1 D. DES和RSA解析:MD5是MIT的RonRivest(RFC 1321)提出的。算法以任意长的报文作为输入,算法的输出是产生一个128位的报文摘要。SHA的算法建立在MD5的基础上,SHA-1是1994年修订的版本,该算法可以接收的输入报文小于264位,产生160位的报文摘要。【答案:(42) B】【试题9-19】 2010年11月真题45~46报文摘要算法MD5的输出是 (45) 位,SHA-1的输出是 (46) 位。(45)A. 56 B. 128 C. 160 D. 168(46)A. 56 B. 128 C. 160 D. 168解析:MD5算法以任意长的报文作为输入,算法的输出是产生一个128位的报文摘要。SHA的算法建立在MD5的基础上,SHA-1是1994年修订的版本,该算法可以接收的输入报文小于264位,产生160位的报文摘 要。【答案:(45) B; (46) C】虚拟专用网—、虚拟专用网的工作原理(1)虚拟专用网的概念虚拟专用网(Virtual Private Network, VPN),是一种建立在公用网上的,由某一组织或某一群用户专用的通信网络。其虚拟性表现在任意一对VPN用户之间没有专用的物理连接,而是通过ISP 提供的公用网络来实现通信的;其专业性表现在VPN之外的用户无法访问VPN内部的网络资源,VP&内部用户之间可以实现安全通信。(2)实现VPN的关键技术实现VPN的关键技术主要有隧道技术、加解密技术、密钥管理技术和身份认证技术。(3)VPN的分类按VPN的部署模式分类,有端到端、运营商一企业和内部运营三种模式。按VPN的服务类型分类有Internet VPN、Access VPN和Extranet VPN三种类型。按VPN的技术分类有基于链路层的二层隧道技术、基于网络层的三层隧道技术和基于高层协 议实现的VPN三种技术。(4)VPN的解决方案VPN的解决方案有以下三种。access VPN:用于远程用户需要及时地访问intranet和extranet,如出差流动员工、远程办公人员和远程小办公室,通过公用网终与企业的intranet和extranet建立私有的网络连接。通常利用了二层网络隧道技术建立VPN隧道连接来传输私有网络数据。intranet VPN:通过公用网络进行企业各个分布点互连,是传统的专线网或其他企业网的扩展或替代形式。extranet VPN:通过一个使用专用连接的共享基站设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性 和可靠性。二、第二层隧道协议虚拟专用网可以通过第二层隧道协议实现,这些隧道协议都是把数据封装在点对点协议(PPP)的帧中在因特网上传输的。(1)点对点协议PPPPPP (Point to Point Protocol,点对点协议)是IETF推出的点到点类型线路的薮据链路层协议。 它解决了SLIP中的问题,并成为正式的因特网标准。PPP协议定义PAP和CHAP两种验证方式,同级系统可以使用这两种认证相互进行标识。(2)点对点隧道协议PPTPPPTP (Point-to-Point Tunneling Protocol)是在1996年定义的第二层險道协议。PPTP定义了由PAC和PNS组成的客户端/服务器结构,从而把NAS的功能分解给这两个逻辑设备,以支持虚拟专用网。PAC即PPTP接入集中器(PPTP Access Conceiitrator),可以连接一条或多条PSTN或ISDN拨号 线路,能进行PPP操作,并能处理PPTP协议。PNS即PPTP网络服务器(PPTP Network Server),建立在通用服务器平台上的PPTP服释器,运行TCP/IP协议,可以使用任何LAN和WAN接口硬件实现。(3)第二层隧道协议L2TP第二层險道协议(Layer 2 Tunneling Protocol, L2TP)是一种基于点对点协议PPP的二层隧道协议。L2TP扩展了PPP模型,允许第二层连接端点和PPP会话端点驻在由分组交换网连接的不同设备中。L2TP的典型结构如图9-11所示。其中,LAC表示L2TP访问集中器,是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备;LNS是L2TP网络服务器,是用于处理L2TP协议服务器端部分的软件。在一个LNS和LAC对之间存在两种类型的连接,一种是隧道(tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(session)连接它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。三、IPSecIPSec (IP安全)是指IETF以RFC形式公布的一组安全IP协议集,是在IP包级为IP业务提供保护的安全协议标准,其目的就是把安全机制引入IP协议,通过使用现代密码学方法支持加密性和认证性服务,使用户能有选择地使用,并得到所期望的安全服务。IP的功能可以划分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)。(1)LPSecI作模式IPSec有两种工作方模式:隧道模式和传输模式。隧道模式:用户的整个IP数据包被用来计算附加报头,且被加密,附加报头和加密用户数据被封装在一个新的IP数据包中。传输模式:只是传钸层(如TCP、UDP)数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原IP报头后面。(2)认证头IPSec认证头提供了数据完整性和数据源认证,但是不提供保密服务。AH包含了对称密钥的散列函数,使得第三方无法修改传输中的数据。IPSec支持的认证算法有:HMAC-MD5和 HMAC-SHA1。对于两种工作模式,AH报文的封装如图9-1.2所示。(3)封装安全负荷IPSec封装安全负荷提供了数据加密功能。ESP利用对称密钥对IP数据进行加密,支持的加密 算法有DES-CBC、3DES-CBC、AES128:CBC。对于两种工作模式,AH报文的封装如图9-13所示。(4)带认证头的ESPESP加密算法本身没有提供认证功能,不能保证数据的完整性。带认证头的ESP则可以提供数据完整性服务。(5)Internet密钥交换协议IPSec传送认证或加密的数据之前,必须就协议、加密算法和使用密钥进行协商。密钥交换协议就提供这个功能,并在密钥交换之前还要对远程系统进行初始的认证。IKE实际上是ISAKMP、Oakley和SKEME这三个协议的混合体。ISAKMP提供了认证和密钥交换的框架,但没有给出具体的定义;Oakley描述了密钥交换的模式;SKEME定义了密钥交换技术。四、安全套接层(SSL)SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输,工作在应用层和传输层之间,如图9-14所示。1999年IETF推出了传输层安全标准(Transport Layer Security,TLS),对SSL进行了扩展。 SSL/TLS 已经在Netscape Navigator和Internet Explorer中得到了广泛的应用。(1)SSL的功能SSL具有以下三个基本功能:验证身份、数据的机密性、报文的完整性。SSLVPN使用RSA或D-H握手协议来建立秘密隧道,使用3-DES、128位的RC4、ASE、MD5、 SHA-1等预加密、数据完整性和身份认证技术。由于SSL的安全连接是通过应用层的Web连接建立的,更适合移动用户远程访问公司的虚拟专用网。HTTPS、FTPS, TELNETS、MAPS胃应用层SSL握手协议SSL修改密文协议SSL告警协议SSL层SSL 记录协议TCP传输层IP网络层图9-14 SSL协议与TCP/IP协议间的关系SSL/TLS在Web安全通信中称为HTTPS,也可以用在其他非Web的应用上。(2)SSL会话与SSL连接SSL会话是客户与服务器之间的关联,会话通过握手协议来创建。连接是提供恰当类型服务的传输。对于SSL,这样的连接是点对点的关系。连接是短暂的,每一个连接与一个会话相联系。(3)记录协议SSL记录层首先把上层的数据划分成214字节的段,然后进行无损压缩,计算MAC并且进行加密。(4)改变密码协议 这个协议手改变安全策略。(5)警告协议SSL记录层对当前传输中的错误发出警告,使得当前的会话失效,避免再产生新的会话。(6)握手协议会话状态的密码参数是在SSL握手阶段产生的。其过程如下:①SSL客户机连接至SSL服务器,并要求服务器验证它自身的身份。②服务器通过发送它的数字证书证明其身份。③服务器发出一个请求,对客户端的证书进行验证。④协商用于加密的信息加密算法和用于完整性检查的哈希函数。(7)密钥交换算法在握手协议中采用非对称算法来认证对方和生成共享密钥。有RSA、Diffie-Hellman和Fortezza 三种算法可供选用。令怎么考令【试题9-20】 2013年5月真题44下面能正确表示L2TP数据包的封装格式的是(44)。解析:L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数 据流进行加密。其封装格式如选项B所示。【答案:(44) B]【试题9-21】 2013年11月真题19~20CHAP协议是PPP链路中采用的二种身份认证协议,这种协议采用(19)握手方式周期性地验证通信对方的身份,当认证服务器发出一个挑战报文时,则终端就计算该报文的(20)并把结果返回服务器。(19)A.两次 B.三次 C.四次 D.周期性(20)A.密码 B.补码 C. CHAP值 D. HASH值解析:CHAP全称是PPP (点对点协议)询问握手认证协议(Challenge Handshake Authentication Protocol)。该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时完成时,在链路建立之后重复进行。通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。认证者根据它自己计算的HASH值来检查应答,如果值匹配,认证得到承认;否则,连接应该终止。【答案:(19) B、(20) D】【试题9-22】 2012年5月真题43支持安全WEB服务的协议是(43)。A.HTTPS B.WINS C.SOAP D.HTTP解析:SSL/TLS在Web安全通信中被称为HTTPS。【答案:(43) A】【试题9-23】 2012年11月真题41在下列安全协议中,与TLS功能相似的协议是(41)。A. PGP B.SSL C.HTTPS D.IPSec解析:安全套接层(Secure Socket Layer, SSL)是Netscape公司设计的主要用于Web的安全传输协议。IETF将SSL作了标准化,标准文献是RFC 2246,并将其称为传输层安全性(Transport Layer Security, TLS), 从技术上讲TLS与SSL的差别非常微小。TLS提供了客户机与服务器之间的安全连接。【答案:(41) B】【试题9-24】 2012年11月真题45IPSec中的安全关联(Security Associations)三元组是(45)。 A.<安全参数索引SPI,目标IP地址,安全协议> B.<安全参数索引SPI,源IP地址,数字证书> C.<安全参数索引SPI,目标IP地址,数字证书> D.<安全参数索引SPI,源IP地址,安全协议>解析:安全关联SA利用一个三元组(安全参数索引SPI、目的IP地址、安全协议)唯一标识。【答案:(45) A】【试题9-25】 2010年11月真题47下列隧道协议中工作在网络层的是(47)。A.SSL B. L2TP C.IPSec D.PPTP解析:在Internet上建立隧道可以在不同的协议层实现。工作在第二层的隧道协议有点对点隧道协议 (PPTP)、第2层隧道协议(L2TP)等;IPSec是IETF定义的一组协议,工作在网络层,用于增强BP网络的安全性;安全套接字(SSL)是传输层安全协议,用于实现Web安全通行。【答案:(47) C】应用层安仝协议一、S-HTTP安全的超文本传输协议(SecurityHTTP, S-HTTP)是一个面向报文的安全通信协议,是HTTP协议的扩展,其设计目的是保证商业贸易信息的传输安全,促进电子商务的发展。S-HTTP为HTTP客户端和服务器端提供了各种安全机制,适用于潜在的各类Web用户。S-HTTP 的语法与HTTP一样,为了与HTTP报文区别,S-HTTP使用了协议指示器Secure-HTTP/1.4。目前,SSL基本取代了SHTTP。大多数Web交易均采用传统的HTTP协议,并使用经过SSL加密 的HTTP报文传输敏感的交易信息。二、电子邮件安全——PGPPGP (Pretty Good Privacy)是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是将现有的一些算法(如MD5、RSA以及IDEA等)综合在一起而已。PGP提供数据加密和数字签名两种服务。图9-15所示为PGP的加密过程。数字加密机制可以应用于本地存储文件,也可以应用于网络上传输的电子邮件。数字签名机制用于数据源身份认证和报文完整性验证。PGP使用RSA公钥证书班行身份认证,使用IDEA (128位密钥)进行数据加密,使用MD5进行数据完整性认证。三、S/MIMES/MIME(Security/Multipurpose Internet Mail Extensions)是RSA数据安全公司开发的软件。S/MIME提供的安全服务有报文完整性验证、数字签名和数据加密。S/MIME可以添加在邮件系统的用户代理中,用于提供安全的电子邮件传输服务,也可以加入其他的传输机制中,安全地传输任何MIME报文,甚至可以添加在自动报文传输代理中,在Internet中安全地传送由软件生成的FAX报文。S/MIME的安全功能基于加密信息语法标准PKCS#7 (RFC2315)和X.509v3证书,密钥长度是动态可变的,具有很高的灵活性。四、安全的电子交易安全的电子交易(Secure Electronic Transaction, :SET)用于电子商务的行业规范,是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET主要使用“电子认证”技术作为保密电子交易安全进行的基础,其认证过程使用RSA和DES算法。(1)SET提供的服务 .SET提供以下三种服务。•在交易涉及的对方之间提供安全信道。•使用X.509数字证书实现安全的电子交易。•保证信息的机密性。(2)SET交易过程SET交易发生的先决条件是,每一个持卡人(客户)必须拥有一个唯一的电子(数字)证书,且由客户确定口令,并用这个口令对数字证书、私钥、信用卡号码以及其他信息进行加密存储,这些与符合SET协议的软件一起组成了一个SET “电子钱包”。图9-16展示了SET交易过程中,持卡人、商家、支付网关、收单银行和发卡机构之间的数据交换过程。五、Kerberos认证Kerberos是MIT为校园网用户访问服务器进行身份认证而设计的安全协议,它可以防止偷听和重放攻击,保护数据的完整性。Kerberos系统为分布式计算环境提供了一种对用户双方进行验证的认证方法。它使网络上进行通信的用户相互证明自己的身份,同时又可选择防止窃听或中继攻击。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法用户,若是合法用户则再审核该用户是否有权利对其所请求的服务器或主机进行访问。从加密算法上来讲,其验证是建立在对称加密(DES)的基础上的,它采用可信任的第三方——密钥分配中心(KDC)保存与所有密钥持有者通信的主密钥(秘有密钥)。Kerberos的目标在于3个领域:认证、授权和记账审计。认证过程如图9-17所示。(1)客户将自己的用户名以明文方式发送给认证服务器AS,申请初始票据。(2)认证服务器AS确认A为合法客户后,生成一个一次性会话密钥Ks和一个票据KTCS(A,Ks), 并用客户A的密钥KdP密这两个数据包后传给客户A,要求用户输入密码。(3)客户A收到上述两个数据包后,用自己的密钥Ka解密获得会话密钥Ks和票据KT(3S(A,Ks)。客户A将获得的票据Ktgs(A,Ks)、应用服务器名V以及用于会话密钥加密的时间戳(用于防止重放攻击)发送给票据授予服务器TGS,请求会话票据。(4)票据授予服务器TGS收到上述数据包后,向客户A返回它与服务器V通信的会话票据Kav,这个会话票据Kav是用客户A的密钥和应用服务器V的密钥进行加密。(5)客户A使用从票据授予服务器TGS获取的会话票据KAV发送给应用服务器V请求登录,并且附上用KAV加密的时间戳,以防止重放攻击。(6)服务器V通过用KAV加密的时间戳进行应答,完成认证过程。【试题9-26】 2013年5月真题431411_是支持电子邮件加密的协议。A. PGP B. PKI C. SET D. kerberos解析:PGP(Pretty Good Privacy),是一个基于RSA公匙加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。它可以提供一种安全的通讯方式,而事先并不需奏任何保密的渠道用来传递密匙。【答案:(43) A】【试题9-27】 2012年5月真题68安全电子邮件使用(68)协议。A.PGP B.HTTPS C.MIME D.DES解析:PGP (Pretty Good Privacy):是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。【答案:(68) A】【试题9-28】2011年5月真题48~49HTTPS的安全机制工作在(48)。而S-HTTP的安全机制工作在(49)。(48)A.网络层 B.传输层 C.应用层 D.物理层(49)A.网络层 B.传输层 C.应用层 D.物理层解析:HTTP工作在传输层;安全起文本传输协议(Secure Hypertext Transfer Protocol, S-HTTP)是一种 结合HTTP而设计的消息的安全通信协议,工作在应用层。【答案:(48) B; (49) C】【试题9-29】 2011年5月真题46~47解析:客户A将自己的用户名以明文方式发送给认证服务器AS,申请初始票据。认证服务器AS确认A为合法客户后,生成一个一次性会话密钥Ks和一个票据KTas(A,Ks),并用客户A的密钥KA加密这两个数据包 后传给客户A,要求用户输入密码。客户A收到上述两个数据包后,用自己的密钥KA解密获得会话密钥Ks和票据KTC3S(A, Ks).客户A将获得的票据Ktcjs(A, Ks),应用服务器名V以及用于会话密钥加密的时间戳(用于 防止重放攻击)发送给票据授予服务器TGS,请求会话票据。票据授予服务器TGS收到上述数据包后,向客户A返回它与服务器V通信的会话票据Kav,这个会话票据Kav是用客户A的密钥和应用服务器V的密钥进行加密。客户A使用从票据授予服务器TGS获取的会话票据KAV发送给应用服务器V请求登录,并且附上用KAV加密的时间戳,以防止重放攻击。服务器V通过用KAV加密的时间戳进行应答,完成认证过程。【答案:(46) B; (47) C】【试题9-30】 2011年11月真题43以下安全协议中,用来实现安全电子邮件的协议是(43)。A.IPsec B. L2TP C. PGP D. PPTP解析:PGP (Pretty Good Privacy)是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是将现有的一些算法(如MD5、RSA及IDEA)等综合在一起而已。PGP提供数据加密和数字签名两种服务。【答案:(43) C】【试题9-31】2011年11月真题44~45Kerberos由认证服务器(AS)和票证授予服务器(TGS)两部分组成,当用户A通过Kerberos向服务器V请求服务时,认证过程如图9-18所示,图中①处为(44),②处为(45)。解析:Kerberos的目标在于3个领域:认证、授权和记账审计。认证过程如下:(1)客户A将自己的用户名以明文方式发送给认证服务器AS,申请初始票据。(2)认证服务器AS确认A为合法客户后,生成一个一次性会话密钥&和一个票据Ktgs(A,Ks),并用客户 A的密钥KA加密这两个数据包后传给客户A,要求用户输入密码。(3)客户A收到上述两个数据包后,用自己的密钥Ka解密获得会话密钥Ks和票据Ktgs(A,Ks)„客户A将获得的票据Ktgs(A,KS)、应用服务器名V以及用于会话密钥加密的时间戳(用于防止重放攻击)发送给票据授予服务器TGS,请求会话票据。(4)票据授予服务器TGS收到上述数据包后,向客户A返回它与服务器V通信的会话票据Kav,这个会话票据KAV是用客户A的密钥和应用服务器V的密钥进行加密。(5)客户A使用从票据授予服务器TGS获取的会话票据Kav发送给应用服务器V请求登录,并且附上用Kav加密的时间戳,以防止重放攻击。(6)服务器V通过用KAV加密的时间戳进行应答,完成认证过程。【答案:(44) A; (45) D】【试题9-32】 2010年5月真题39HTTPS采用(39)协议实现安全网站访问。A. SSL B. IPSec C. PGP D. SET解析:SSL是传输层安全协议,用于实现Web的安全通信。SSL/TLS在Web安全通信中称为HTTPS。利用HTTPS协议,能在客户端和服务器之间进行防窃听、防篡改及防伪造的通信,实现数据的机密性、完整 性、服务器认证和可选的客户端认证。【答案:(39) A】人侵检测技术与防火墙一、入侵检测入侵检测系统(IDS)通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从 中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动。一个基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判断行为的性质。(1)入侵检测系统的构成 DARPA提出的公共入侵检测框架(CIDF)由4个模块组成:事件产生器、事件分析器、事件数据库和响应单元,如图9-19所示。(2)入侵检测技术入侵检测技术共有两大类,即异常入侵检测技术和滥用入侵检测技术。二、防火墙防火墙通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 (1)防火墙的基本类型•包过滤型防火墙:通过访问控制表,检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,来确定是否允许该数据包通过。•应用网关防火墙:它工作在应用层,能针对特别的网络应用协议制定数据过滤规则。•代理服务器防火墙:它工作在OSI模型的应用层,主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐藏内部网络的目的。•状态检测防火墙:也叫自适应防火墙或动态包过滤防火墙。这种防火墙能通过状态检测技术动态记录、维护各个连接的协议状态,并且在网络层和IP之间插入一个检查模块,对IP包的信息进行分析检测,以决定是否允许通过防火墙。•自适应代理防火墙:根据用户的安全策略,动态适应传输中的分组流量。它整合了动态包过滤防火墙技术和应用代理技术,本质上是状态检测防火墙。(2)防火墙的结构•屏蔽路由器结构:通常由过滤路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。•双穴主机结构:双穴主机具有两个网络接口,它的位置位于内部网络与Internet的连接处,运行应用代理程序,充当内、外网络之间的转发器,如图9-20所示。•屏蔽主机结构:由屏蔽路由器与堡垒主机构成,屏蔽路由器位于内部网络与Internet之间的连接处,而堡垒主机位于内部网络上,如图9-21所示。•屏蔽子网结构:在屏蔽主机结构的基础上增加了一个周边防御网段,用以进一步隔离内部网络与外部网络,如图9-22所示。周边防御网段是位于内部网络与外部网络之间的另一层安全网段,分别由内、外两个屏蔽路由器与它们相连。周边防御网段所构成的妄全子网又称为“非军事区”(DemilitrizedZone,DMZ), 这一网段受到的安全威胁不会影响到内部网络。DMZ是放置公共信息的最佳位置,通常把WWW、 FTP、电子邮件、电子商务等服务器都存放在该区域。而内部服务器、个人PC都应用放置在内网中。【试题9-33】 2013年5月真题39如果一台CISIOPLX防火墙有如下的配置:(39)。PLX (config) #nameif etherentO fl securityOPLX (config) #nameif etherentl f2 securityOOPLX (config) #nameif etherent2 f3 security50那么以下说法正确的是解析:端口fl作为外部网络接口,f2作为内部网络接口,fi连接DMZ区域。【答案:(39) C】【试题9-34】 2013年5月真题45图9-23为DARPA提供的公共入侵检测框架示意图,该系统由四个模块组成,其中模块①~④对应的正确名称为(45)。 A.事件产生器、事件数据库、事件分析器、响应单元 B.事件分析器、事件产生器、响应单元、事件数据库 C.事件数据库、响应单元、事件产生器、事件分析器 D.响应单元、事件分析器、事件数据库、事件产生器解析:其中模块①~④对应的正确名称为响应单元、事件分析器、事件数据库、事件产生器。【答案:(45) D】■病毒防护一、病毒定义按《中华人民共和国计算机信息系统安全保护条例》中的规定,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。在病毒的生存期内,典型的病毒经历了下面的4个阶段:潜伏阶段。繁殖阶段。出发阶段。执行阶段。二、病毒分类对于最重要的病毒类型,建议如下的分类方法:•寄生病毒。将自己附加到可执行文件中,当被感染的程序执行时,找到其他可执行文件并感染。•存储器驻留病毒。寄宿在主存中,作为驻留程序的一部分。从那时起,病毒感染每个执行的程序。•引导区病毒。感染主引导记录或引导记录,并且当系统从包含了病毒的磁盘启动时进行传播。•隐形病毒。能在反病毒软件检测时隐藏自己。•多形病毒。每次感染都会改变的病毒,使得不可能通过病毒的“签名”来检测自己。三、防病毒技术在所有计算机安全威胁中,计算机病毒是最为严重的,它不仅发生的频率高、损失大,而且 潜伏性强、覆盖面广。计算机病毒具有不可估量的威胁性和破坏力,它的防范是网络安全技术中重要的一环。防病毒技术包括预防病毒、检测病毒、消除病毒等技术。(1)预防病毒技术计算机病毒预防是指在病毒尚未入侵或刚刚入侵时,就拦截、阻击病毒的入侵或立即报警。(2)检测病毒技术检测病毒技术是通过对病毒的特征来进行判断的侦测技术,如自身校验、关键字、文件长度的变化等。病毒检测一直是病毒防护的支柱,但随着病毒的数目和可能的切入点的大量增加,识别古怪代码串的进程变得越来越复杂,而且容易产生错误和疏忽。因此,建议防病毒技术应将病毒检测、多层数据保护和集中式管理等多种功能集成起来,形成多层次防御体系,既具有稳健的病毒检测功能,又具有客户机/服务器数据保护能力,也就是覆盖全网的多层次方法。(3)消除病毒技术通过对病毒的分析,开发出具有杀病毒程序并恢复原文件的软件。大量的病毒针对网上资源和应用程序进行攻击,这样的病毒存在于信息共享的网络介质上,因而要在网关上设防,在网络入口实时杀毒。对于内部病毒,如客户机感染的病毒,通过服务器防病毒功能,在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域限制在最小范围内。 _【试题9-35】 2013年5月真题34近年来,在我国出现的各类病毒中,(34)病毒通过木马形式感染智能手机。A.欢乐时光 B.熊猫烧香 C.X卧底 D.cm解析:近年来,一种名为“X卧底”的病毒肆虐智能手机领域,我国至少有15万手机用户感染。感染该病毒后,手机上的通话内容、短信等私密信息将被泄露【答案:(34) C】【试题9-36】 2012年5月真题42以下关于钓鱼网站的说法中,错误的是(42)。A. Worm.Sasser病毒 B. Trojan.QQPSW病毒C. Backdoor.IRCBot病毒 D. Macro.Melissa 病毒解析:Worm表示蠕虫,Trojan表示木马,Backdoor表示后门,Macro表示宏。【答案:(50)A】【试题9-38】 2010年5月真题40~41杀毒软件报告发现病毒Macro.Melissa,由该病毒名称可以推断出病毒类型是(40),这类病毒主要 感染目标是(41)。(40)A.文件型 B.引导型 C.目录型 D.宏病毒(41)A. EXE或COM可执行文件 B.Word或Excel文件 C.DLL系统文件 D.磁盘引导区解析:Melissa病毒是一种快速传播的能够感染那些使用MS Word 97和MS Office 2000的计算机宏病毒。即使不知道Melissa病毒是什么也没关系,因为前面有个Macro,表明这是宏病毒。【答案:(40) D; (41) B】