mg m網(wǎng)絡(luò)安全表9-1歷年考題知識(shí)點(diǎn)分布統(tǒng)計(jì)表年份試題分布分值考核要點(diǎn)2013 (上)34， 39, 41-457病毒、防火墻配置、三重DES、報(bào)文摘要、PGP協(xié)議、L2TP數(shù)據(jù)包、入侵檢測(cè)2013 (下)19-20, 42-456CHAP協(xié)議、DoS攻擊、PKI體制、報(bào)文摘要算法SHA-1、公開密鑰加密算法2012 (上)42-454認(rèn)證技術(shù)、釣魚網(wǎng)站、MD5算法、HTTPS、PGP2012 (下）41-45,686加密算法、認(rèn)證技術(shù)、SSL、IPSec安全關(guān)聯(lián)三元組、2011 (上）42-44,46-508數(shù)字簽名方案、報(bào)文摘要算法、HTTP、Kerberor認(rèn)證 系統(tǒng)、病毒2011 (下)41-455報(bào)文摘要的長(zhǎng)度、安全電子郵件的協(xié)議、Kerberos2010 (上)39-41,434HTTPS協(xié)議、計(jì)算機(jī)宏病毒、DES算法2010 (下）41,45-507RSA算法、報(bào)文摘要算法MD5、隧道協(xié)議、IEEE802.11i所采用的加密算法、公鑰加密體系命題要點(diǎn)安全性的基本概念：網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)安全漏洞，安全攻擊，基本安全技術(shù)，安全措施的目的。信息加密技術(shù)：加密原理，經(jīng)典的加密技術(shù)、私鑰和公鑰加密標(biāo)準(zhǔn)（DES、IDES、RSA等）。認(rèn)證技術(shù)：三種認(rèn)證技術(shù)（基于共享密鑰的認(rèn)證、Needham-Schroeder認(rèn)證、基于公鑰的認(rèn)證），數(shù)字簽名，數(shù)字證書，報(bào)文摘要，密鑰管理。VPN: VPN的主要實(shí)現(xiàn)技術(shù)，VPN的解決方案，第二層隧道協(xié)議，IPsec工作原理，安全套接層SSL。安全協(xié)議：S-HTTP、PGP、S/MIME、SET、Kerberos認(rèn)證。•非法入侵和病毒的防護(hù)：防火墻、入侵檢測(cè)、計(jì)算機(jī)病毒保把。網(wǎng)絡(luò)安全的基本概念一、網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅:是對(duì)網(wǎng)絡(luò)安全缺陷的潛在利用。這些缺陷可能導(dǎo)致非授權(quán)訪問、信息泄露、資源耗盡、資源被盜或者被破壞等。網(wǎng)絡(luò)安全威脅的種類有：（1)竊聽。如搭線竊聽、:安裝通信監(jiān)視器和讀取網(wǎng)上的信息等。（2）假冒。某個(gè)實(shí)體假裝成另一個(gè)實(shí)體，并獲取該實(shí)體的權(quán)限。（3）重放。重復(fù)一份報(bào)文或報(bào)文的一部分,以便產(chǎn)生一個(gè)被授權(quán)效果。（4）流量分析。通過對(duì)網(wǎng)上信息流的觀察和分析推斷出網(wǎng)上傳輸?shù)挠杏眯畔ⅰ＃?）數(shù)據(jù)完整性破壞。有意或無意地修改或破壞信息系統(tǒng)，或者在非授權(quán)和不能檢測(cè)的方式下對(duì)數(shù)據(jù)進(jìn)行修改。（6）拒絕服務(wù)。通過發(fā)送大量的請(qǐng)求來消耗和占用過多的服務(wù)資源，使得網(wǎng)絡(luò)服務(wù)不能響應(yīng) 正常的請(qǐng)求。（7）資源的非授權(quán)訪問。與所定義的安全策略不一致的使用。（8）后門和特洛伊木馬。通過替換系統(tǒng)合法程序，或者在合法程序中插入惡意代碼，以實(shí)現(xiàn)非授權(quán)攻擊，從而達(dá)到某種特定的目的。（9）病毒。（10）誹謗。二、網(wǎng)絡(luò)安全漏洞網(wǎng)絡(luò)安全隱患主要表現(xiàn)在以下幾個(gè)方面：（1）物理性安全。凡是能夠讓非授權(quán)機(jī)器物理接入的地方，都會(huì)存在潛在的安全問題。（2）軟件安全漏洞。（3)不兼容使用的安全漏洞。(4)選擇自認(rèn)合適的安全哲理。這是一種對(duì)安全概念的理解和直覺。完美的軟件、受保護(hù)的硬件和兼容部件并不能保證正常而有效地工作,除非用戶選擇了適當(dāng)?shù)陌踩呗院痛蜷_了能增加其系統(tǒng)安全的部件。三、網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊是某種安全威脅的具體實(shí)現(xiàn)，當(dāng)信息從信源向信宿流動(dòng)時(shí),可能受到各種類型的攻擊。網(wǎng)絡(luò)攻擊可以分為被動(dòng)攻擊、主動(dòng)攻擊、物理臨近攻擊、內(nèi)部人員攻擊、分發(fā)攻擊幾類。(1)被動(dòng)攻擊被動(dòng)攻擊是對(duì)信息的保密性進(jìn)行攻擊,即通過竊聽網(wǎng)絡(luò)上傳輸?shù)男畔⒉⒓右苑治鰪亩@得有價(jià)值的情報(bào)，伹它并不修改信息的內(nèi)容。它的目標(biāo)是獲得正在傳送的信息,其特點(diǎn)是偷聽或監(jiān)視信息的傳遞。主要預(yù)防手段是數(shù)據(jù)加密等。（2）主動(dòng)攻擊主動(dòng)攻擊是攻擊信息來源的真實(shí)性、信息傳輸?shù)耐暾院拖到y(tǒng)服務(wù)的可用性，有意對(duì)信息進(jìn)行修改、插入和刪除。主要攻擊形式有：假冒、重放、欺騙、消息篡改和拒絕服務(wù)等。主要預(yù)防手段是防火墻、入侵檢測(cè)技術(shù)等。（3）物理臨近攻擊未授權(quán)者可在物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，其目的是修改、收集或拒絕訪問信息。（4）內(nèi)部人員攻擊有的內(nèi)部人員被授權(quán)在信息安全處理系統(tǒng)的物理范圍內(nèi)，或?qū)π畔踩幚硐到y(tǒng)具有直接訪問權(quán)，他們可能會(huì)攻擊網(wǎng)絡(luò)。（5）分發(fā)攻擊分發(fā)攻擊是指在軟件和硬件開發(fā)出來之后和安裝之前這段時(shí)間，或者當(dāng)它從一個(gè)地方傳到另一個(gè)地方時(shí)，攻擊者惡意修改軟硬件。四、基本安全技術(shù)目前的網(wǎng)絡(luò)安全措施有：•數(shù)據(jù)加密•數(shù)字簽名•身份認(rèn)證•防火墻•入侵檢測(cè)五、安全措施的目標(biāo)（1）訪問控制。確保會(huì)話對(duì)方有權(quán)做它所聲稱的事情。（2）認(rèn)證。確保會(huì)話對(duì)方的資源同它聲稱的一致。（3）完整性。確保接收到的信息同發(fā)送的一致。（4）審計(jì)。確保任何發(fā)生的交易在事后可以被證實(shí)，發(fā)信者和收信者都認(rèn)為交換發(fā)生過，即所謂的不可抵賴性。（5）保密。確保敏感信息不被竊聽。【試題9-1】 2013年11月真題42下列網(wǎng)絡(luò)攻擊行為中，屬于DoS攻擊的是（42)A.特洛伊木馬攻擊 B. SYN Flooding攻擊 C.端口欺騙攻擊 D.IP欺騙攻擊解析：DoS是Denial of Service的簡(jiǎn)稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。DoS具有代表性 的攻擊手段包括PingofDeath、TearDrop、UDPflood、Synflood、LandAttack、IPSpoofmgDoS等。【答案：（42) B】信息加密技術(shù)—、信息加密技術(shù)概述信息安全的核心是密碼技術(shù)。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非授權(quán)者不能了解被加密的內(nèi)容。需要隱藏的信息稱為明文；產(chǎn)生的結(jié)果稱為密文；加密時(shí)使用的變換規(guī)則稱為密碼算法。二、網(wǎng)絡(luò)中的加密技術(shù)（1）鏈路加密每條通信鏈路上的加密是獨(dú)立實(shí)現(xiàn)的，通常對(duì)每條鏈路使用不同的加密密鑰。•優(yōu)點(diǎn)：對(duì)用戶來說是透明的。•缺點(diǎn)：報(bào)文是以明文形式在各節(jié)點(diǎn)內(nèi)，在中間節(jié)點(diǎn)暴露了信息的內(nèi)容，需要節(jié)點(diǎn)本身必須是安全的。（2）節(jié)點(diǎn)到節(jié)點(diǎn)加密解決在節(jié)點(diǎn)中數(shù)據(jù)是明文的缺點(diǎn)，在中間節(jié)點(diǎn)里裝有加密、解密的保護(hù)裝置，由這個(gè)裝置來完成一個(gè)密鑰向另一個(gè)密鑰的變換。（3）端到端加密在源節(jié)點(diǎn)和目的節(jié)點(diǎn)中對(duì)傳送的PDU (協(xié)議數(shù)據(jù)單元）進(jìn)行加密和解密。•優(yōu)點(diǎn)：報(bào)文的安全性不會(huì)因中間節(jié)點(diǎn)的不可靠而受到影響。•缺點(diǎn)：PDU的控制信息部分（例如源節(jié)點(diǎn)地址、目_的節(jié)點(diǎn)地址、路由信息等）不能被加密，否則中間節(jié)點(diǎn)就不能正確選擇路由。三、數(shù)據(jù)加密原理一般的數(shù)據(jù)加密模型如圖9-1所示。在發(fā)送端，把明文X用加密算法E和加密密鑰K加密，變換成密文Y,即Y=Ek(X);在接收端利用解密算法D和解密密鑰K對(duì)密文C解密，得到明文X。四、經(jīng)典的加密技術(shù)經(jīng)典的加密方法主要使用了替換加密、換位加密和一次性填充3種加密技術(shù)。（1）替換加密。用一個(gè)字母替換另一個(gè)字母。（2）換位加密。按照一定的規(guī)律重排字母的順序。（3）一次性填充。把明文變?yōu)槲淮x擇一個(gè)等長(zhǎng)的隨機(jī)位串作為密碼，對(duì)二者進(jìn)行按位異或，得到密文。五、對(duì)稱密鑰密碼體制對(duì)稱密鑰加密的發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的/對(duì)稱的密鑰對(duì)明文進(jìn)行加密和解密運(yùn)算。常用的對(duì)稱加密算法有：DES、IDEA、TDEA、AES、RC2、RC4、RC5等算法（1）數(shù)據(jù)加密標(biāo)準(zhǔn)（DES)：一種分組密碼，在加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長(zhǎng)為64位。然后對(duì)每個(gè)64位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，經(jīng)過16輪迭代，產(chǎn)生一組64位密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個(gè)密文。使用的密鑰為56位。（2）三重DES:使用兩個(gè)密鑰，執(zhí)行三次DES算法，如圖9-2所示。其密鑰長(zhǎng)度是112位。（3）國(guó)際數(shù)據(jù)加密數(shù)據(jù)算法（IDEA)：IDEA的密碼長(zhǎng)是128位，若采用強(qiáng)行攻擊,對(duì)付IDEA將是對(duì)付DES工作量的272=4.7X1021倍，因此，它的安全性是比較好，是目前數(shù)據(jù)加密中應(yīng)用得較為廣泛的一種密碼體制。六、公開密鑰密碼體制公開密鑰密碼體制也叫非對(duì)稱密鑰加密。每個(gè)用戶都有一對(duì)密鑰：公開密鑰和私有密鑰。公鑰對(duì)外公開，私鑰由個(gè)人秘密保存；用其中一把密鑰來加密，另一把密鑰來解密。雖然私有密鑰 SK是由公開密鑰PK決定的，但不能根據(jù)PK計(jì)算出SK。其原理如下圖9-3所示。（1）RSA算法：基于數(shù)論中尋求兩個(gè)大素?cái)?shù)比較簡(jiǎn)單，而將它們的乘積分解開則極其困難。每個(gè)用戶有兩個(gè)密鑰：加密密鑰PK={e，n}和解密密鑰SK= {d,n}。用戶把加密密鑰公開，使得系統(tǒng)中任何其他用戶都可使用，而對(duì)解密密鑰中的d則保密。N為兩個(gè)大素?cái)?shù)p和q之積（素?cái)?shù)p和分一般為100位以上的十進(jìn)數(shù)）,e和d滿足一定的關(guān)系。攻擊者已知e和n時(shí)也并不能求出d。（2）其他的公鑰加密算法：ElGamal算法也是一種常用的公鑰加密算法，它是基于公鑰密碼體制和橢圓曲線加密體系，既能用于數(shù)據(jù)加密，也能用于數(shù)字簽名。背包加密算法以其加密、解密速度快而引人注意，但是大多數(shù)一次背包體制均被破譯了，因此很少有人使用。【試題9-2】 2013年5月真題41利用三重DES進(jìn)行加密，以下說法IH確的是（41)。A.三重DES的密鑰長(zhǎng)度是56位 B.三重DES使用三個(gè)不同的密鑰進(jìn)行加密C.三重DES的安全性高于DES D.三重DES的加密速度比DES快解析：3DES (或稱為Triple DES)是三重?cái)?shù)據(jù)加密算法（TDEA, Triple Data Encryption Algorithm)塊密碼的通稱。它相當(dāng)于是對(duì)每個(gè)數(shù)據(jù)塊應(yīng)用三次DES加密算法。由于計(jì)算機(jī)運(yùn)算能力的增強(qiáng)，原版DES密碼的密鑰長(zhǎng)度變得容易被暴力破解；3DES即是設(shè)計(jì)用來提供一種相對(duì)簡(jiǎn)單的方法，即通過增加DES的密鑰長(zhǎng)度來避免類似的攻擊，而不是設(shè)計(jì)一種全新的塊密碼算法。【答案：（41)C】【試題9-3】 2013年11月真題45下面算法中，不屬于公開密鑰加密算法的是（45)。A. ECC B. DSA C. RSA D. DES解析：常見的公鑰加密算法有:RSA、ElGamal、背包算法、Rabin (RSA的特例）、迪菲一赫爾曼密鑰交換協(xié)議中的公鑰加密算法、橢圓曲線加密算法（英語：Elliptic Curve Cryptography, ECC)。DES不屬于公開密鑰加密算法。【答案：（45) D】【試題9-4】 2012年11月真題44 SDES是一種（44)算法。A.共享密鑰 B.公開密鑰 C.報(bào)文摘要 D.訪問控制解析:DES是使用最廣泛的共享密鑰加密算法。3DESC或稱為Triple DES)是三重?cái)?shù)據(jù)加密算法(TDEA, Triple Data Encryption Algorithm)塊密碼的通稱。它相當(dāng)于是對(duì)每個(gè)數(shù)據(jù)塊應(yīng)用三次DES加密算法。【答案：（44) A】【試題9-5】 2011年11月真題46公鑰體系中，用戶甲發(fā)送給用戶乙的數(shù)據(jù)要用（46)講行加密。A.甲的公鑰 B.甲的私鑰C.乙的公鑰 D.乙的私鑰解析：公開密鑰密碼體制也叫非對(duì)稱密鑰加密。每個(gè)用戶都有一對(duì)密鑰：公開密鑰和私有密鑰。公鑰對(duì)外公開，私鑰由個(gè)人秘密保存；用其中一把密鑰來加密，另一把密鑰來解密。雖然秘密密鑰SK是由公開密鑰PK決定的，但不能根據(jù)PK計(jì)算出SK。其原理如圖9-4所示：【答案：（46) C】【試題9-6】 2011年11月真題41~42某報(bào)文的長(zhǎng)度是1000字節(jié)，利用MD5計(jì)算出來的報(bào)文摘要長(zhǎng)度是（41)位，利用SHA計(jì)算出來的報(bào)文摘要長(zhǎng)度是（42)位。（41）A. 64 B. 128 C. 256 D. 160（42）A. 64 B. 128 C. 256 D. 160解析：MD5算法以任意長(zhǎng)的報(bào)文作為輸入，算法的輸出是產(chǎn)生一個(gè)128位的報(bào)文摘要。SHA的算法建立在MD5的基礎(chǔ)上，SHA-1是1994年修訂的版本，該算法可以接收的輸入報(bào)文小于264位，產(chǎn)生160位的報(bào)文摘要。【答案：（41) B； (42) D】【試題9-7】 2010年5月真題43以下關(guān)于加密算法的敘述中，正確的是(43)。A.DES算法采用128位的密鑰進(jìn)行加密B.DES算法采用兩個(gè)不同的密鑰進(jìn)行加密C.三重DES算法采用3個(gè)不同的密鑰進(jìn)行加密D.三重DES算法采用2個(gè)不同的密鑰進(jìn)行加密解析：DES是一個(gè)分組加密算法，它以64位為分組對(duì)數(shù)據(jù)加密。它的密鑰長(zhǎng)度是64位，但實(shí)際有效的密鑰只是56位。3DES是DES算法擴(kuò)展其密鑰長(zhǎng)度的一種方法，它使用兩把密鑰對(duì)報(bào)文執(zhí)行三次常規(guī)的DES加密，在第一層、第三層中使用相同的密鑰。【答案：（43) D】【試題9-8】 2010年11月真題41按照RSA算法，若選兩奇數(shù)p=5, q=3,公鑰e=7,則私鑰d為（41)。A. 6 B. 7 C. 8 D. 9解析：RSA算法密鑰選取過程為：①選取兩個(gè)質(zhì)數(shù)，這里p=5, q=3②計(jì)算n=pq=15, z=(p-1)(q-1)=8.③選取小于n的整數(shù)e，并且和z沒有公約數(shù)。這里e=7,滿足條件。找到數(shù)d,滿足ed-1被2整除，題目中選項(xiàng)8滿足條件。【答案：（41) B】【試題9-9】 2010年11月真題48IEEE 802.1 li所采用的加密算法為 （48)。A. DES B. 3DES C. IDEA D. AES解析：IEEE802.11i規(guī)定使用802.1認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP(TemporalKey Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP( Wireless Robust Authenticated Protocol) 3種加密機(jī)制。其中TKIP釆用WEP機(jī)制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高WLAN安全的目的。CCMP機(jī)制基于AES (Advanced Encryption Standard)加密算法和CCM (Counter-Mode/CBC-MAC)認(rèn)證方式，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。WRAP機(jī)制基于AES加密算法和OCB (OffsetCodebook),是一種可選的加密機(jī)制。【答案：（48) D】【試題9-10】 2010年11月真題49~50公鑰體系中，私鑰用于（49),公鑰用于（50)。（49）A.解密和簽名 B.加密和簽名 C.解密和認(rèn)證 D.加密和認(rèn)證（50）A.解密和簽名 B.加密和簽名 C.解密和認(rèn)證 D.加密和認(rèn)證解析：在公鑰體系亦即非對(duì)稱密鑰體制中，每個(gè)用戶都有一對(duì)密鑰：公鑰和私鑰，公鑰對(duì)外公開，私鑰由個(gè)人秘密保存。因此通常采用公鑰加密，私鑰解密。認(rèn)證技術(shù)用于辨別用戶的真?zhèn)危谢趯?duì)稱加密的認(rèn)證方法，也有基于公鑰的認(rèn)證。在基于公鑰的認(rèn)證中，通信雙方用對(duì)方的公鑰加密，用各自的私鑰解密。 在簽名中用私鑰簽名消息，公鑰驗(yàn)證簽名。【答案：(49) A； (50) D】認(rèn)證技術(shù)一、三種認(rèn)證技術(shù)（1）基于共享密鑰的認(rèn)證通信雙方有一個(gè)共享的密鑰，要依賴于一個(gè)雙方都信賴的密鑰分發(fā)中心（Key Distribution Center, KDC)。認(rèn)證過程如圖9-5所示。A向KDC發(fā)出消息（這個(gè)消息的一部分用尤A加密了），說明自己要和B進(jìn)行通信，并指出了與B會(huì)話的密鑰KDC知道A的意圖后構(gòu)造一個(gè)消息發(fā)給B，B用知解密后就得到了A和KS，然后就可以與A會(huì)話了。注意：主動(dòng)攻擊者可以對(duì)基于共享密鑰的認(rèn)證方式進(jìn)行重發(fā)攻擊。(2) Needham-Schroeder認(rèn)證協(xié)議這是一種多次提問-響應(yīng)協(xié)議，可以對(duì)付重放攻擊，關(guān)鍵是每一個(gè)會(huì)話回合都有一個(gè)新的隨機(jī)數(shù)在起作用，其應(yīng)答過程如圖9-6所示。（3）基于公鑰的認(rèn)證通信雙方都用對(duì)方的公鑰加密，用各自的私鑰解密。具體過程如圖9-7所示。通信報(bào)文中有A 和B指定的隨機(jī)數(shù)Ra和Rb,因此能排除重放的可能性。二、數(shù)字簽名數(shù)字簽名是用于確認(rèn)發(fā)送者身份和消息完整性的一個(gè)加密的消息摘要。數(shù)字簽名應(yīng)滿足以下3點(diǎn)：①接收者能夠核實(shí)發(fā)送者;②發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名;③接收者不能偽造對(duì)報(bào)文的簽名。數(shù)字簽名可以利用對(duì)稱密碼體系（如DES)、公鑰密碼體系或公證體系來實(shí)現(xiàn)。最常用的實(shí)現(xiàn)方法是建立在公鑰密碼體系和單向散列函數(shù)算法（如MD5、SHA)的組合基礎(chǔ)上。(1)基于密鑰的數(shù)字簽名基于密鑰的數(shù)字簽名系統(tǒng)中要有收發(fā)雙方共同信賴的仲裁人，如圖9-8所示。其中，BB是A和B共同信賴的仲裁，KA*KB分別是A和B與BB之間的密鑰，KBB是只有BB掌禪的密鑰，P是A發(fā)給B的消息，t是時(shí)間戳。由BB解讀A發(fā)的報(bào)文，然后產(chǎn)生一個(gè)簽名的消息KBB(A，t，P),并裝配成發(fā)給B的報(bào)文；B可以解密該報(bào)文，閱讀消息P，并保留證據(jù)。(2)基于公鑰密碼體系的數(shù)字簽名利用公鑰加密算法的數(shù)字簽名系統(tǒng)如圖9-9所示。這樣的簽名方法是符合可靠性原則的，即簽字是可以被確認(rèn)的；簽字是無法被偽造的；簽字是無法重復(fù)使用的；文件被簽字以后是無法被篡改的；簽字具有不可否認(rèn)性。如果A方否認(rèn)了，B可以拿出Da(P),并用A的公鑰Ea解密得到P,從而 證明P是A發(fā)送的；如果B把消息篡改了，當(dāng)A要求B出示原來的DA(P)時(shí)，B拿不出來。三、報(bào)文摘要（1）報(bào)文摘要的工作原理報(bào)文摘要是單向的散列函數(shù)，以變長(zhǎng)的信息輸入，把其壓縮成一個(gè)定長(zhǎng)的值輸出。若輸入的信息改變了，則輸出的定長(zhǎng)值（摘要）也會(huì)相應(yīng)改變。從數(shù)據(jù)完整性保護(hù)的角度來看，報(bào)文摘要可為制定 的數(shù)據(jù)產(chǎn)生一個(gè)不可仿造的特征，偽造一個(gè)報(bào)文并使其具有相同的報(bào)文摘要是計(jì)算不了的。（2）MD5MD5是目前廣泛使用的報(bào)文摘要算法，它對(duì)任意長(zhǎng)度的報(bào)文進(jìn)行運(yùn)算，最后得到128位的MD報(bào)文摘要代碼^（3）安全散列算法（SHA)SHA是另一種報(bào)文摘要算法，它對(duì)512位長(zhǎng)的數(shù)據(jù)塊進(jìn)行復(fù)雜運(yùn)算，但產(chǎn)生的散列值是160位。SHA比MD5更安全，但計(jì)算速度比MD5慢。（4）散列式報(bào)文認(rèn)證碼散列式報(bào)文認(rèn)證碼（HMAC)是利用對(duì)稱密鑰生產(chǎn)報(bào)文認(rèn)證碼的散列算法可以提供數(shù)據(jù)完整性、數(shù)據(jù)源身份認(rèn)證。HMAC使用現(xiàn)有的散列函數(shù)H而不用修改其代碼，這樣可以使用已有的H代碼庫，而且可以隨 時(shí)用一個(gè)散列函數(shù)代替另一個(gè)散列函數(shù)。HMAC-MD5:已經(jīng)被IETF指定為Internet安全協(xié)議IPsec的驗(yàn)證機(jī)制，提供數(shù)據(jù)源認(rèn)證和數(shù)據(jù)完整性保護(hù)。四、數(shù)字證書（1）數(shù)字證書的概念數(shù)字證書解決了公開密鑰密碼體制下密鑰的發(fā)布和管理問題，用戶可以公開其公鑰，而保留其私鑰。一般包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心（CA)數(shù)字簽名的包含公開密鑰擁有者信息和公開密鑰的文件。 認(rèn)證中心作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)。 目前得以廣泛使用的證書標(biāo)準(zhǔn)是X.509。表9-2所示的是X.509數(shù)字證書中的各個(gè)數(shù)字域的含義。表9-2 X.509數(shù)字證書格式域含義版本號(hào)證書版本號(hào)，不同版本的證書格式不同序列號(hào)序列號(hào),同一身份驗(yàn)證機(jī)構(gòu)簽發(fā)的證書序列號(hào)唯一簽名算法簽署證書所用的簽名算法，包括必要的參數(shù)發(fā)行者建立和簽署證書的CA名稱有效期包括有效期的起始時(shí)間和終止時(shí)間主體名_證書持有人的名稱，以及這一證書用來證明私鑰用戶對(duì)應(yīng)的公開密鑰主體的公鑰主體的公開密鑰、使用這一公開密鑰的算法的標(biāo)識(shí)符及參數(shù)發(fā)行者唯一標(biāo)識(shí)符(可選）證書頒發(fā)者的唯一標(biāo)識(shí)符主體唯一標(biāo)識(shí)符(可選）證書擁有者的唯一標(biāo)識(shí)符擴(kuò)充域(可選）可選的標(biāo)準(zhǔn)和專用功能字段，如基本限制字段和密鑰用法字段簽名CA用自己的私鑰對(duì)上述域的哈希值進(jìn)行數(shù)字簽名的結(jié)果（2）證書的獲取任何一個(gè)用戶要得到CA中心的公鑰，就能得到該CA中心為該用戶簽署的公鑰。由于證書是不可偽造的，因此對(duì)于存放證書的目錄無須施加特別的保護(hù)。由于一個(gè)公鑰用戶擁有的可信任管理中心數(shù)量有限，要與大量不同管理域的用戶建立安全通信需要CA間建立信任關(guān)系。一個(gè)證書鏈?zhǔn)菑囊粋€(gè)自簽名的根證書開始，前一個(gè)證書主體是后一個(gè)證書的發(fā)放者。也就是說，該主體對(duì)后一個(gè)證書進(jìn)行簽名。一般來說,對(duì)證書鏈的處理需要考慮每個(gè)證書相關(guān)的信任關(guān)系。（3）證書的吊銷若用戶的數(shù)字證書到了有效期、用戶私鑰已被泄露、用戶放棄使用原CA中心的服務(wù)或者CA中心私鑰泄露都需要吊銷用戶的數(shù)字證書。為此，CA中心維護(hù)有一個(gè)證書吊銷列表CRL,以供用戶查詢。五、密鑰管理密鑰管理是指處理密鑰自產(chǎn)生到最終銷毀的整個(gè)過程中的有關(guān)問題，包括系統(tǒng)的初始化，密 鑰的產(chǎn)生、存儲(chǔ)、備份/恢復(fù)、裝入、分配、保護(hù)、更新、控制、丟失、吊銷和銷毀。在美國(guó)信息保障技術(shù)框架(IATF)中定義了密鑰管理體制主要有三種：一種適用于封閉網(wǎng)的技術(shù)，以傳統(tǒng)的密鑰分發(fā)中心為代表的KMI機(jī)制;二是適用于開放網(wǎng)的PKI機(jī)制;三是適用于規(guī)模化專用網(wǎng)的SPK技術(shù)。【試題9-11】 2013年5月真題42利用報(bào)文摘耍算法生成報(bào)文摘要的目的是（42)。A.驗(yàn)證通信對(duì)方的身價(jià)，防止假冒 B.對(duì)傳輸數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被竊聽C.防止發(fā)送方否認(rèn)發(fā)送過的數(shù)據(jù) D.防止發(fā)送的報(bào)文被篡改解析：消息摘要是用來保證數(shù)據(jù)完整性的。傳輸?shù)臄?shù)據(jù)一旦被修改那么計(jì)算出的摘要就不同，只要對(duì)比兩次摘要就可確定數(shù)據(jù)是否被修改過。利用報(bào)文摘要算法生成報(bào)文摘要的目的是防止發(fā)送的報(bào)文被篡改。 【答案：（42) D】【試題9-12】 2013年11月真題43PKI體制中，保證數(shù)字證書不被篡改的方法是 （43)A.用CA的私鑰對(duì)數(shù)字證書簽名 B.用CA的公鑰對(duì)數(shù)字證書簽名C.用證書主人的私鑰對(duì)數(shù)字證書簽名 D.用證書主人的公鑰對(duì)數(shù)字證書簽名解析：PKI (Public Key Infrastructure,公鑰基礎(chǔ)架構(gòu)）是一套以公鑰技術(shù)為基礎(chǔ)、提供安全服務(wù)的架構(gòu)，由認(rèn)證機(jī)構(gòu)(CA)，數(shù)字證書庫，密鑰備份和恢復(fù)，證書作廢系統(tǒng)，應(yīng)用接口等組成。CA是PKI的核心，CA的主要功能有：證書發(fā)放、證書管理（更新、撤消、驗(yàn)證）。保證數(shù)字證書不被篡改的方法是用CA的公鑰對(duì)數(shù)字證書簽名。【答案：（43) B】【試題9-13】 2013年11月真題44報(bào)文摘要算法SHA-1輸出的位數(shù)是 （44)。A. 100位 B. 128位 C.160位 D. 180位解析：SHA-1是一種數(shù)據(jù)加密算法，該算法的思想是接收一段明文，然后以一種不可逆的方式將它轉(zhuǎn)換成一段（通常更小）密文，也可以簡(jiǎn)單的理解為取一串輸入碼（稱為預(yù)映射或信息），并把它們轉(zhuǎn)化為長(zhǎng)度較短、位數(shù)固定的輸出序列即散列值（也稱為信息摘要或信息認(rèn)證代碼）的過程。該算法輸入報(bào)文的長(zhǎng)度不限，產(chǎn)生的輸出是一個(gè)160位的報(bào)文摘要。輸入是按512位的分組進(jìn)行處理的。SHA-1是不可逆的、防沖突，并具有良好的雪崩效應(yīng)。【答案：(44) C】【試題9-14】 2012年5月真題44甲和乙要進(jìn)行通信，甲對(duì)發(fā)送的消息附加了數(shù)字簽名，乙收到該消息后利用（44)驗(yàn)證該消息的真實(shí)性。A.甲的公鑰 B.甲的私鑰 C.乙的公鑰 D.乙的私鑰解析：認(rèn)證技術(shù)用于辨別用戶的真?zhèn)危谢趯?duì)稱加密的認(rèn)證方法，也有基于公鑰的認(rèn)證。在基于公鑰的認(rèn)證中，通信雙方用對(duì)方的公鑰加密，用各自的私鑰解密。在簽名中用私鑰簽名消息，公鑰驗(yàn)證簽名。 【答案：(44) 】【試題9-15】 2012年5月真題45下列算法中，(45)屬于摘要算法。A.DES B.MD5 C.Diffie-Hellman D.AES解析：MD5是目前廣泛使用的報(bào)文摘要算法，它對(duì)任意長(zhǎng)度的報(bào)文進(jìn)行運(yùn)算，最后得到128位的MD報(bào)文摘要代碼。【答案：（45) B】【試題9-16】 2012年11月真題42~43用戶B收到用戶A帶數(shù)字簽名的消息M,為了驗(yàn)證M的真實(shí)性，首先需要從CA獲取用戶的數(shù)字證書，并 利用（42)驗(yàn)證該證書的真?zhèn)?然后利用（43）驗(yàn)證M的真實(shí)性。（42）A.CA的公鑰 B.B的私鑰 C.A的公鑰 D.B的公鑰（43）A.CA的公鑰 B.B的私鑰 C.A的公鑰 D.B的公鑰解析：考查加密和解密，由于消息M是帶數(shù)字簽名的，所以首先要獲取數(shù)字證書，并用CA的公鑰驗(yàn)證證書真?zhèn)危缓笥冒l(fā)送者的公鑰來驗(yàn)證消息的真實(shí)性。【答案：（42) A； (43) C】【試題9-17】 2012年5月真題43~44圖9-10所示為一種數(shù)字簽名方案，網(wǎng)上傳送的報(bào)文是 （43),防止A抵賴的證據(jù)是 （44)。（43）A. P B. Da(P) C. EB(Da(P)) D. Da（44）A. P B. Da(P) C. EB(Da(P)) D. Da解析：利用公鑰加密算法的數(shù)字簽名系統(tǒng)如上圖所示。這樣的簽名方法是符合可靠性原則的，即簽字是可以被確認(rèn)的；簽字是無法被偽造的；簽字是無法重復(fù)使用的；文件被簽字以后是無法被篡改的；簽字具有不可否認(rèn)性。如果A方否認(rèn)了，B可以拿出Da(P),并用A的公鑰EA解密得到P,從而證明P是A發(fā)送的；如果B把消息篡改了，當(dāng)A要求B出示原來的DA(P)時(shí)，B拿不出來。【答案：（43) C； (44) B】【試題9-18】 2011年5月真題42下列選項(xiàng)中，同屬于報(bào)文摘要算法的是 （42)。A.DES和MD5 B. MD5和SHA-1C.RSA和SHA-1 D. DES和RSA解析：MD5是MIT的RonRivest(RFC 1321)提出的。算法以任意長(zhǎng)的報(bào)文作為輸入，算法的輸出是產(chǎn)生一個(gè)128位的報(bào)文摘要。SHA的算法建立在MD5的基礎(chǔ)上，SHA-1是1994年修訂的版本，該算法可以接收的輸入報(bào)文小于264位，產(chǎn)生160位的報(bào)文摘要。【答案：（42) B】【試題9-19】 2010年11月真題45~46報(bào)文摘要算法MD5的輸出是 （45) 位,SHA-1的輸出是 （46) 位。（45）A. 56 B. 128 C. 160 D. 168（46）A. 56 B. 128 C. 160 D. 168解析：MD5算法以任意長(zhǎng)的報(bào)文作為輸入，算法的輸出是產(chǎn)生一個(gè)128位的報(bào)文摘要。SHA的算法建立在MD5的基礎(chǔ)上，SHA-1是1994年修訂的版本，該算法可以接收的輸入報(bào)文小于264位，產(chǎn)生160位的報(bào)文摘 要。【答案：（45) B； (46) C】虛擬專用網(wǎng)—、虛擬專用網(wǎng)的工作原理（1）虛擬專用網(wǎng)的概念虛擬專用網(wǎng)（Virtual Private Network, VPN)，是一種建立在公用網(wǎng)上的，由某一組織或某一群用戶專用的通信網(wǎng)絡(luò)。其虛擬性表現(xiàn)在任意一對(duì)VPN用戶之間沒有專用的物理連接,而是通過ISP 提供的公用網(wǎng)絡(luò)來實(shí)現(xiàn)通信的；其專業(yè)性表現(xiàn)在VPN之外的用戶無法訪問VPN內(nèi)部的網(wǎng)絡(luò)資源，VP&內(nèi)部用戶之間可以實(shí)現(xiàn)安全通信。（2）實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)主要有隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。（3）VPN的分類按VPN的部署模式分類，有端到端、運(yùn)營(yíng)商一企業(yè)和內(nèi)部運(yùn)營(yíng)三種模式。按VPN的服務(wù)類型分類有Internet VPN、Access VPN和Extranet VPN三種類型。按VPN的技術(shù)分類有基于鏈路層的二層隧道技術(shù)、基于網(wǎng)絡(luò)層的三層隧道技術(shù)和基于高層協(xié) 議實(shí)現(xiàn)的VPN三種技術(shù)。（4）VPN的解決方案VPN的解決方案有以下三種。access VPN:用于遠(yuǎn)程用戶需要及時(shí)地訪問intranet和extranet，如出差流動(dòng)員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室，通過公用網(wǎng)終與企業(yè)的intranet和extranet建立私有的網(wǎng)絡(luò)連接。通常利用了二層網(wǎng)絡(luò)隧道技術(shù)建立VPN隧道連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。intranet VPN:通過公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個(gè)分布點(diǎn)互連，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。extranet VPN:通過一個(gè)使用專用連接的共享基站設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量（QoS)、可管理性 和可靠性。二、第二層隧道協(xié)議虛擬專用網(wǎng)可以通過第二層隧道協(xié)議實(shí)現(xiàn)，這些隧道協(xié)議都是把數(shù)據(jù)封裝在點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)的幀中在因特網(wǎng)上傳輸?shù)摹?1)點(diǎn)對(duì)點(diǎn)協(xié)議PPPPPP (Point to Point Protocol,點(diǎn)對(duì)點(diǎn)協(xié)議）是IETF推出的點(diǎn)到點(diǎn)類型線路的藪據(jù)鏈路層協(xié)議。 它解決了SLIP中的問題，并成為正式的因特網(wǎng)標(biāo)準(zhǔn)。PPP協(xié)議定義PAP和CHAP兩種驗(yàn)證方式，同級(jí)系統(tǒng)可以使用這兩種認(rèn)證相互進(jìn)行標(biāo)識(shí)。（2）點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTPPPTP (Point-to-Point Tunneling Protocol)是在1996年定義的第二層險(xiǎn)道協(xié)議。PPTP定義了由PAC和PNS組成的客戶端/服務(wù)器結(jié)構(gòu)，從而把NAS的功能分解給這兩個(gè)邏輯設(shè)備,以支持虛擬專用網(wǎng)。PAC即PPTP接入集中器（PPTP Access Conceiitrator)，可以連接一條或多條PSTN或ISDN撥號(hào) 線路，能進(jìn)行PPP操作，并能處理PPTP協(xié)議。PNS即PPTP網(wǎng)絡(luò)服務(wù)器（PPTP Network Server)，建立在通用服務(wù)器平臺(tái)上的PPTP服釋器，運(yùn)行TCP/IP協(xié)議，可以使用任何LAN和WAN接口硬件實(shí)現(xiàn)。（3）第二層隧道協(xié)議L2TP第二層險(xiǎn)道協(xié)議（Layer 2 Tunneling Protocol, L2TP)是一種基于點(diǎn)對(duì)點(diǎn)協(xié)議PPP的二層隧道協(xié)議。L2TP擴(kuò)展了PPP模型，允許第二層連接端點(diǎn)和PPP會(huì)話端點(diǎn)駐在由分組交換網(wǎng)連接的不同設(shè)備中。L2TP的典型結(jié)構(gòu)如圖9-11所示。其中，LAC表示L2TP訪問集中器，是附屬在交換網(wǎng)絡(luò)上的具有接入功能和L2TP協(xié)議處理能力的設(shè)備；LNS是L2TP網(wǎng)絡(luò)服務(wù)器，是用于處理L2TP協(xié)議服務(wù)器端部分的軟件。在一個(gè)LNS和LAC對(duì)之間存在兩種類型的連接，一種是隧道（tunnel)連接，它定義了一個(gè)LNS和LAC對(duì)；另一種是會(huì)話（session)連接它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個(gè)PPP會(huì)話過程。三、IPSecIPSec (IP安全）是指IETF以RFC形式公布的一組安全I(xiàn)P協(xié)議集，是在IP包級(jí)為IP業(yè)務(wù)提供保護(hù)的安全協(xié)議標(biāo)準(zhǔn)，其目的就是把安全機(jī)制引入IP協(xié)議，通過使用現(xiàn)代密碼學(xué)方法支持加密性和認(rèn)證性服務(wù)，使用戶能有選擇地使用，并得到所期望的安全服務(wù)。IP的功能可以劃分為三類：認(rèn)證頭(AH)、封裝安全負(fù)荷(ESP)、Internet密鑰交換協(xié)議（IKE)。（1）LPSecI作模式IPSec有兩種工作方模式：隧道模式和傳輸模式。隧道模式：用戶的整個(gè)IP數(shù)據(jù)包被用來計(jì)算附加報(bào)頭，且被加密，附加報(bào)頭和加密用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。傳輸模式：只是傳鈽層（如TCP、UDP)數(shù)據(jù)被用來計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報(bào)頭后面。（2）認(rèn)證頭IPSec認(rèn)證頭提供了數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證，但是不提供保密服務(wù)。AH包含了對(duì)稱密鑰的散列函數(shù)，使得第三方無法修改傳輸中的數(shù)據(jù)。IPSec支持的認(rèn)證算法有：HMAC-MD5和 HMAC-SHA1。對(duì)于兩種工作模式，AH報(bào)文的封裝如圖9-1.2所示。（3）封裝安全負(fù)荷IPSec封裝安全負(fù)荷提供了數(shù)據(jù)加密功能。ESP利用對(duì)稱密鑰對(duì)IP數(shù)據(jù)進(jìn)行加密，支持的加密 算法有DES-CBC、3DES-CBC、AES128:CBC。對(duì)于兩種工作模式，AH報(bào)文的封裝如圖9-13所示。(4)帶認(rèn)證頭的ESPESP加密算法本身沒有提供認(rèn)證功能，不能保證數(shù)據(jù)的完整性。帶認(rèn)證頭的ESP則可以提供數(shù)據(jù)完整性服務(wù)。(5)Internet密鑰交換協(xié)議IPSec傳送認(rèn)證或加密的數(shù)據(jù)之前，必須就協(xié)議、加密算法和使用密鑰進(jìn)行協(xié)商。密鑰交換協(xié)議就提供這個(gè)功能，并在密鑰交換之前還要對(duì)遠(yuǎn)程系統(tǒng)進(jìn)行初始的認(rèn)證。IKE實(shí)際上是ISAKMP、Oakley和SKEME這三個(gè)協(xié)議的混合體。ISAKMP提供了認(rèn)證和密鑰交換的框架，但沒有給出具體的定義；Oakley描述了密鑰交換的模式；SKEME定義了密鑰交換技術(shù)。四、安全套接層（SSL)SSL提供了兩臺(tái)計(jì)算機(jī)之間的安全連接，對(duì)整個(gè)會(huì)話進(jìn)行了加密，從而保證了安全傳輸，工作在應(yīng)用層和傳輸層之間，如圖9-14所示。1999年IETF推出了傳輸層安全標(biāo)準(zhǔn)（Transport Layer Security，TLS),對(duì)SSL進(jìn)行了擴(kuò)展。 SSL/TLS 已經(jīng)在Netscape Navigator和Internet Explorer中得到了廣泛的應(yīng)用。（1）SSL的功能SSL具有以下三個(gè)基本功能：驗(yàn)證身份、數(shù)據(jù)的機(jī)密性、報(bào)文的完整性。SSLVPN使用RSA或D-H握手協(xié)議來建立秘密隧道，使用3-DES、128位的RC4、ASE、MD5、 SHA-1等預(yù)加密、數(shù)據(jù)完整性和身份認(rèn)證技術(shù)。由于SSL的安全連接是通過應(yīng)用層的Web連接建立的，更適合移動(dòng)用戶遠(yuǎn)程訪問公司的虛擬專用網(wǎng)。HTTPS、FTPS, TELNETS、MAPS胃應(yīng)用層SSL握手協(xié)議SSL修改密文協(xié)議SSL告警協(xié)議SSL層SSL 記錄協(xié)議TCP傳輸層IP網(wǎng)絡(luò)層圖9-14 SSL協(xié)議與TCP/IP協(xié)議間的關(guān)系SSL/TLS在Web安全通信中稱為HTTPS，也可以用在其他非Web的應(yīng)用上。(2)SSL會(huì)話與SSL連接SSL會(huì)話是客戶與服務(wù)器之間的關(guān)聯(lián)，會(huì)話通過握手協(xié)議來創(chuàng)建。連接是提供恰當(dāng)類型服務(wù)的傳輸。對(duì)于SSL，這樣的連接是點(diǎn)對(duì)點(diǎn)的關(guān)系。連接是短暫的，每一個(gè)連接與一個(gè)會(huì)話相聯(lián)系。(3)記錄協(xié)議SSL記錄層首先把上層的數(shù)據(jù)劃分成214字節(jié)的段，然后進(jìn)行無損壓縮，計(jì)算MAC并且進(jìn)行加密。（4）改變密碼協(xié)議 這個(gè)協(xié)議手改變安全策略。(5)警告協(xié)議SSL記錄層對(duì)當(dāng)前傳輸中的錯(cuò)誤發(fā)出警告，使得當(dāng)前的會(huì)話失效，避免再產(chǎn)生新的會(huì)話。(6)握手協(xié)議會(huì)話狀態(tài)的密碼參數(shù)是在SSL握手階段產(chǎn)生的。其過程如下：①SSL客戶機(jī)連接至SSL服務(wù)器，并要求服務(wù)器驗(yàn)證它自身的身份。②服務(wù)器通過發(fā)送它的數(shù)字證書證明其身份。③服務(wù)器發(fā)出一個(gè)請(qǐng)求，對(duì)客戶端的證書進(jìn)行驗(yàn)證。④協(xié)商用于加密的信息加密算法和用于完整性檢查的哈希函數(shù)。(7)密鑰交換算法在握手協(xié)議中采用非對(duì)稱算法來認(rèn)證對(duì)方和生成共享密鑰。有RSA、Diffie-Hellman和Fortezza 三種算法可供選用。令怎么考令【試題9-20】 2013年5月真題44下面能正確表示L2TP數(shù)據(jù)包的封裝格式的是（44)。解析：L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對(duì)網(wǎng)絡(luò)數(shù) 據(jù)流進(jìn)行加密。其封裝格式如選項(xiàng)B所示。【答案:(44) B]【試題9-21】 2013年11月真題19~20CHAP協(xié)議是PPP鏈路中采用的二種身份認(rèn)證協(xié)議，這種協(xié)議采用（19)握手方式周期性地驗(yàn)證通信對(duì)方的身份，當(dāng)認(rèn)證服務(wù)器發(fā)出一個(gè)挑戰(zhàn)報(bào)文時(shí)，則終端就計(jì)算該報(bào)文的（20)并把結(jié)果返回服務(wù)器。（19）A.兩次 B.三次 C.四次 D.周期性（20）A.密碼 B.補(bǔ)碼 C. CHAP值 D. HASH值解析：CHAP全稱是PPP (點(diǎn)對(duì)點(diǎn)協(xié)議）詢問握手認(rèn)證協(xié)議（Challenge Handshake Authentication Protocol)。該協(xié)議可通過三次握手周期性的校驗(yàn)對(duì)端的身份，可在初始鏈路建立時(shí)完成時(shí)，在鏈路建立之后重復(fù)進(jìn)行。通過遞增改變的標(biāo)識(shí)符和可變的詢問值，可防止來自端點(diǎn)的重放攻擊，限制暴露于單個(gè)攻擊的時(shí)間。認(rèn)證者根據(jù)它自己計(jì)算的HASH值來檢查應(yīng)答，如果值匹配，認(rèn)證得到承認(rèn)；否則，連接應(yīng)該終止。【答案：（19) B、(20) D】【試題9-22】 2012年5月真題43支持安全WEB服務(wù)的協(xié)議是（43)。A.HTTPS B.WINS C.SOAP D.HTTP解析：SSL/TLS在Web安全通信中被稱為HTTPS。【答案：（43) A】【試題9-23】 2012年11月真題41在下列安全協(xié)議中，與TLS功能相似的協(xié)議是（41)。A. PGP B.SSL C.HTTPS D.IPSec解析：安全套接層（Secure Socket Layer, SSL)是Netscape公司設(shè)計(jì)的主要用于Web的安全傳輸協(xié)議。IETF將SSL作了標(biāo)準(zhǔn)化，標(biāo)準(zhǔn)文獻(xiàn)是RFC 2246,并將其稱為傳輸層安全性（Transport Layer Security, TLS)， 從技術(shù)上講TLS與SSL的差別非常微小。TLS提供了客戶機(jī)與服務(wù)器之間的安全連接。【答案：（41) B】【試題9-24】 2012年11月真題45IPSec中的安全關(guān)聯(lián)（Security Associations)三元組是（45)。 A.<安全參數(shù)索引SPI,目標(biāo)IP地址，安全協(xié)議> B.<安全參數(shù)索引SPI,源IP地址，數(shù)字證書> C.<安全參數(shù)索引SPI,目標(biāo)IP地址，數(shù)字證書> D.<安全參數(shù)索引SPI,源IP地址，安全協(xié)議>解析：安全關(guān)聯(lián)SA利用一個(gè)三元組（安全參數(shù)索引SPI、目的IP地址、安全協(xié)議）唯一標(biāo)識(shí)。【答案：（45) A】【試題9-25】 2010年11月真題47下列隧道協(xié)議中工作在網(wǎng)絡(luò)層的是（47)。A.SSL B. L2TP C.IPSec D.PPTP解析：在Internet上建立隧道可以在不同的協(xié)議層實(shí)現(xiàn)。工作在第二層的隧道協(xié)議有點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)、第2層隧道協(xié)議（L2TP)等；IPSec是IETF定義的一組協(xié)議，工作在網(wǎng)絡(luò)層，用于增強(qiáng)BP網(wǎng)絡(luò)的安全性；安全套接字（SSL)是傳輸層安全協(xié)議，用于實(shí)現(xiàn)Web安全通行。【答案：（47) C】應(yīng)用層安仝協(xié)議一、S-HTTP安全的超文本傳輸協(xié)議(SecurityHTTP, S-HTTP)是一個(gè)面向報(bào)文的安全通信協(xié)議，是HTTP協(xié)議的擴(kuò)展，其設(shè)計(jì)目的是保證商業(yè)貿(mào)易信息的傳輸安全，促進(jìn)電子商務(wù)的發(fā)展。S-HTTP為HTTP客戶端和服務(wù)器端提供了各種安全機(jī)制，適用于潛在的各類Web用戶。S-HTTP 的語法與HTTP一樣，為了與HTTP報(bào)文區(qū)別，S-HTTP使用了協(xié)議指示器Secure-HTTP/1.4。目前，SSL基本取代了SHTTP。大多數(shù)Web交易均采用傳統(tǒng)的HTTP協(xié)議，并使用經(jīng)過SSL加密 的HTTP報(bào)文傳輸敏感的交易信息。二、電子郵件安全——PGPPGP (Pretty Good Privacy)是一個(gè)完整的電子郵件安全軟件包,包括加密、鑒別、電子簽名和壓縮等技術(shù)。PGP并沒有使用什么新的概念，它只是將現(xiàn)有的一些算法（如MD5、RSA以及IDEA等）綜合在一起而已。PGP提供數(shù)據(jù)加密和數(shù)字簽名兩種服務(wù)。圖9-15所示為PGP的加密過程。數(shù)字加密機(jī)制可以應(yīng)用于本地存儲(chǔ)文件，也可以應(yīng)用于網(wǎng)絡(luò)上傳輸?shù)碾娮余]件。數(shù)字簽名機(jī)制用于數(shù)據(jù)源身份認(rèn)證和報(bào)文完整性驗(yàn)證。PGP使用RSA公鑰證書班行身份認(rèn)證，使用IDEA (128位密鑰）進(jìn)行數(shù)據(jù)加密,使用MD5進(jìn)行數(shù)據(jù)完整性認(rèn)證。三、S/MIMES/MIME(Security/Multipurpose Internet Mail Extensions)是RSA數(shù)據(jù)安全公司開發(fā)的軟件。S/MIME提供的安全服務(wù)有報(bào)文完整性驗(yàn)證、數(shù)字簽名和數(shù)據(jù)加密。S/MIME可以添加在郵件系統(tǒng)的用戶代理中，用于提供安全的電子郵件傳輸服務(wù)，也可以加入其他的傳輸機(jī)制中，安全地傳輸任何MIME報(bào)文，甚至可以添加在自動(dòng)報(bào)文傳輸代理中,在Internet中安全地傳送由軟件生成的FAX報(bào)文。S/MIME的安全功能基于加密信息語法標(biāo)準(zhǔn)PKCS#7 (RFC2315)和X.509v3證書，密鑰長(zhǎng)度是動(dòng)態(tài)可變的，具有很高的靈活性。四、安全的電子交易安全的電子交易（Secure Electronic Transaction, :SET)用于電子商務(wù)的行業(yè)規(guī)范，是一種應(yīng)用在Internet上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的是為了保證網(wǎng)絡(luò)交易的安全。SET主要使用“電子認(rèn)證”技術(shù)作為保密電子交易安全進(jìn)行的基礎(chǔ)，其認(rèn)證過程使用RSA和DES算法。（1）SET提供的服務(wù) .SET提供以下三種服務(wù)。•在交易涉及的對(duì)方之間提供安全信道。•使用X.509數(shù)字證書實(shí)現(xiàn)安全的電子交易。•保證信息的機(jī)密性。（2）SET交易過程SET交易發(fā)生的先決條件是，每一個(gè)持卡人（客戶）必須擁有一個(gè)唯一的電子（數(shù)字）證書，且由客戶確定口令，并用這個(gè)口令對(duì)數(shù)字證書、私鑰、信用卡號(hào)碼以及其他信息進(jìn)行加密存儲(chǔ)，這些與符合SET協(xié)議的軟件一起組成了一個(gè)SET “電子錢包”。圖9-16展示了SET交易過程中，持卡人、商家、支付網(wǎng)關(guān)、收單銀行和發(fā)卡機(jī)構(gòu)之間的數(shù)據(jù)交換過程。五、Kerberos認(rèn)證Kerberos是MIT為校園網(wǎng)用戶訪問服務(wù)器進(jìn)行身份認(rèn)證而設(shè)計(jì)的安全協(xié)議，它可以防止偷聽和重放攻擊，保護(hù)數(shù)據(jù)的完整性。Kerberos系統(tǒng)為分布式計(jì)算環(huán)境提供了一種對(duì)用戶雙方進(jìn)行驗(yàn)證的認(rèn)證方法。它使網(wǎng)絡(luò)上進(jìn)行通信的用戶相互證明自己的身份，同時(shí)又可選擇防止竊聽或中繼攻擊。它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶進(jìn)行身份驗(yàn)證，確認(rèn)其是否為合法用戶，若是合法用戶則再審核該用戶是否有權(quán)利對(duì)其所請(qǐng)求的服務(wù)器或主機(jī)進(jìn)行訪問。從加密算法上來講，其驗(yàn)證是建立在對(duì)稱加密（DES)的基礎(chǔ)上的，它采用可信任的第三方——密鑰分配中心（KDC)保存與所有密鑰持有者通信的主密鑰（秘有密鑰）。Kerberos的目標(biāo)在于3個(gè)領(lǐng)域：認(rèn)證、授權(quán)和記賬審計(jì)。認(rèn)證過程如圖9-17所示。（1）客戶將自己的用戶名以明文方式發(fā)送給認(rèn)證服務(wù)器AS，申請(qǐng)初始票據(jù)。（2）認(rèn)證服務(wù)器AS確認(rèn)A為合法客戶后，生成一個(gè)一次性會(huì)話密鑰Ks和一個(gè)票據(jù)KTCS(A,Ks), 并用客戶A的密鑰KdP密這兩個(gè)數(shù)據(jù)包后傳給客戶A，要求用戶輸入密碼。（3）客戶A收到上述兩個(gè)數(shù)據(jù)包后，用自己的密鑰Ka解密獲得會(huì)話密鑰Ks和票據(jù)KT(3S(A，Ks)。客戶A將獲得的票據(jù)Ktgs(A,Ks)、應(yīng)用服務(wù)器名V以及用于會(huì)話密鑰加密的時(shí)間戳（用于防止重放攻擊）發(fā)送給票據(jù)授予服務(wù)器TGS，請(qǐng)求會(huì)話票據(jù)。（4）票據(jù)授予服務(wù)器TGS收到上述數(shù)據(jù)包后，向客戶A返回它與服務(wù)器V通信的會(huì)話票據(jù)Kav,這個(gè)會(huì)話票據(jù)Kav是用客戶A的密鑰和應(yīng)用服務(wù)器V的密鑰進(jìn)行加密。（5）客戶A使用從票據(jù)授予服務(wù)器TGS獲取的會(huì)話票據(jù)KAV發(fā)送給應(yīng)用服務(wù)器V請(qǐng)求登錄，并且附上用KAV加密的時(shí)間戳，以防止重放攻擊。（6）服務(wù)器V通過用KAV加密的時(shí)間戳進(jìn)行應(yīng)答，完成認(rèn)證過程。【試題9-26】 2013年5月真題431411_是支持電子郵件加密的協(xié)議。A. PGP B. PKI C. SET D. kerberos解析：PGP(Pretty Good Privacy),是一個(gè)基于RSA公匙加密體系的郵件加密軟件。可以用它對(duì)郵件保密以防止非授權(quán)者閱讀，它還能對(duì)郵件加上數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者，并能確信郵件沒有被篡改。它可以提供一種安全的通訊方式，而事先并不需奏任何保密的渠道用來傳遞密匙。【答案：（43) A】【試題9-27】 2012年5月真題68安全電子郵件使用（68)協(xié)議。A.PGP B.HTTPS C.MIME D.DES解析：PGP (Pretty Good Privacy):是一個(gè)完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名和壓縮等技術(shù)。【答案：（68) A】【試題9-28】2011年5月真題48~49HTTPS的安全機(jī)制工作在（48)。而S-HTTP的安全機(jī)制工作在（49)。（48）A.網(wǎng)絡(luò)層 B.傳輸層 C.應(yīng)用層 D.物理層（49）A.網(wǎng)絡(luò)層 B.傳輸層 C.應(yīng)用層 D.物理層解析：HTTP工作在傳輸層；安全起文本傳輸協(xié)議(Secure Hypertext Transfer Protocol, S-HTTP)是一種 結(jié)合HTTP而設(shè)計(jì)的消息的安全通信協(xié)議，工作在應(yīng)用層。【答案：（48) B; (49) C】【試題9-29】 2011年5月真題46~47解析：客戶A將自己的用戶名以明文方式發(fā)送給認(rèn)證服務(wù)器AS,申請(qǐng)初始票據(jù)。認(rèn)證服務(wù)器AS確認(rèn)A為合法客戶后，生成一個(gè)一次性會(huì)話密鑰Ks和一個(gè)票據(jù)KTas(A，Ks),并用客戶A的密鑰KA加密這兩個(gè)數(shù)據(jù)包 后傳給客戶A，要求用戶輸入密碼。客戶A收到上述兩個(gè)數(shù)據(jù)包后，用自己的密鑰KA解密獲得會(huì)話密鑰Ks和票據(jù)KTC3S(A, Ks).客戶A將獲得的票據(jù)Ktcjs(A, Ks),應(yīng)用服務(wù)器名V以及用于會(huì)話密鑰加密的時(shí)間戳（用于 防止重放攻擊）發(fā)送給票據(jù)授予服務(wù)器TGS,請(qǐng)求會(huì)話票據(jù)。票據(jù)授予服務(wù)器TGS收到上述數(shù)據(jù)包后，向客戶A返回它與服務(wù)器V通信的會(huì)話票據(jù)Kav，這個(gè)會(huì)話票據(jù)Kav是用客戶A的密鑰和應(yīng)用服務(wù)器V的密鑰進(jìn)行加密。客戶A使用從票據(jù)授予服務(wù)器TGS獲取的會(huì)話票據(jù)KAV發(fā)送給應(yīng)用服務(wù)器V請(qǐng)求登錄，并且附上用KAV加密的時(shí)間戳，以防止重放攻擊。服務(wù)器V通過用KAV加密的時(shí)間戳進(jìn)行應(yīng)答，完成認(rèn)證過程。【答案：（46) B； (47) C】【試題9-30】 2011年11月真題43以下安全協(xié)議中，用來實(shí)現(xiàn)安全電子郵件的協(xié)議是（43)。A.IPsec B. L2TP C. PGP D. PPTP解析：PGP (Pretty Good Privacy)是一個(gè)完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名和壓縮等技術(shù)。PGP并沒有使用什么新的概念，它只是將現(xiàn)有的一些算法（如MD5、RSA及IDEA)等綜合在一起而已。PGP提供數(shù)據(jù)加密和數(shù)字簽名兩種服務(wù)。【答案：（43) C】【試題9-31】2011年11月真題44~45Kerberos由認(rèn)證服務(wù)器(AS)和票證授予服務(wù)器（TGS)兩部分組成，當(dāng)用戶A通過Kerberos向服務(wù)器V請(qǐng)求服務(wù)時(shí)，認(rèn)證過程如圖9-18所示，圖中①處為（44),②處為（45)。解析：Kerberos的目標(biāo)在于3個(gè)領(lǐng)域：認(rèn)證、授權(quán)和記賬審計(jì)。認(rèn)證過程如下：（1）客戶A將自己的用戶名以明文方式發(fā)送給認(rèn)證服務(wù)器AS,申請(qǐng)初始票據(jù)。（2）認(rèn)證服務(wù)器AS確認(rèn)A為合法客戶后，生成一個(gè)一次性會(huì)話密鑰&和一個(gè)票據(jù)Ktgs(A，Ks),并用客戶 A的密鑰KA加密這兩個(gè)數(shù)據(jù)包后傳給客戶A,要求用戶輸入密碼。（3）客戶A收到上述兩個(gè)數(shù)據(jù)包后，用自己的密鑰Ka解密獲得會(huì)話密鑰Ks和票據(jù)Ktgs(A,Ks)„客戶A將獲得的票據(jù)Ktgs(A，KS）、應(yīng)用服務(wù)器名V以及用于會(huì)話密鑰加密的時(shí)間戳（用于防止重放攻擊）發(fā)送給票據(jù)授予服務(wù)器TGS,請(qǐng)求會(huì)話票據(jù)。（4）票據(jù)授予服務(wù)器TGS收到上述數(shù)據(jù)包后，向客戶A返回它與服務(wù)器V通信的會(huì)話票據(jù)Kav，這個(gè)會(huì)話票據(jù)KAV是用客戶A的密鑰和應(yīng)用服務(wù)器V的密鑰進(jìn)行加密。（5）客戶A使用從票據(jù)授予服務(wù)器TGS獲取的會(huì)話票據(jù)Kav發(fā)送給應(yīng)用服務(wù)器V請(qǐng)求登錄，并且附上用Kav加密的時(shí)間戳，以防止重放攻擊。（6）服務(wù)器V通過用KAV加密的時(shí)間戳進(jìn)行應(yīng)答，完成認(rèn)證過程。【答案：（44) A； (45) D】【試題9-32】 2010年5月真題39HTTPS采用（39)協(xié)議實(shí)現(xiàn)安全網(wǎng)站訪問。A. SSL B. IPSec C. PGP D. SET解析：SSL是傳輸層安全協(xié)議，用于實(shí)現(xiàn)Web的安全通信。SSL/TLS在Web安全通信中稱為HTTPS。利用HTTPS協(xié)議，能在客戶端和服務(wù)器之間進(jìn)行防竊聽、防篡改及防偽造的通信，實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整 性、服務(wù)器認(rèn)證和可選的客戶端認(rèn)證。【答案：（39) A】人侵檢測(cè)技術(shù)與防火墻一、入侵檢測(cè)入侵檢測(cè)系統(tǒng)（IDS)通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從 中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測(cè)、記錄、報(bào)警、響應(yīng)的動(dòng)態(tài)安全技術(shù)，不僅能檢測(cè)來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。一個(gè)基本的入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問題：一是如何充分并可靠地提取描述行為特征的數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判斷行為的性質(zhì)。(1)入侵檢測(cè)系統(tǒng)的構(gòu)成 DARPA提出的公共入侵檢測(cè)框架（CIDF)由4個(gè)模塊組成：事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應(yīng)單元，如圖9-19所示。(2)入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)共有兩大類，即異常入侵檢測(cè)技術(shù)和濫用入侵檢測(cè)技術(shù)。二、防火墻防火墻通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 (1)防火墻的基本類型•包過濾型防火墻：通過訪問控制表，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，來確定是否允許該數(shù)據(jù)包通過。•應(yīng)用網(wǎng)關(guān)防火墻：它工作在應(yīng)用層，能針對(duì)特別的網(wǎng)絡(luò)應(yīng)用協(xié)議制定數(shù)據(jù)過濾規(guī)則。•代理服務(wù)器防火墻：它工作在OSI模型的應(yīng)用層，主要使用代理技術(shù)來阻斷內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信，達(dá)到隱藏內(nèi)部網(wǎng)絡(luò)的目的。•狀態(tài)檢測(cè)防火墻：也叫自適應(yīng)防火墻或動(dòng)態(tài)包過濾防火墻。這種防火墻能通過狀態(tài)檢測(cè)技術(shù)動(dòng)態(tài)記錄、維護(hù)各個(gè)連接的協(xié)議狀態(tài)，并且在網(wǎng)絡(luò)層和IP之間插入一個(gè)檢查模塊，對(duì)IP包的信息進(jìn)行分析檢測(cè)，以決定是否允許通過防火墻。•自適應(yīng)代理防火墻：根據(jù)用戶的安全策略，動(dòng)態(tài)適應(yīng)傳輸中的分組流量。它整合了動(dòng)態(tài)包過濾防火墻技術(shù)和應(yīng)用代理技術(shù)，本質(zhì)上是狀態(tài)檢測(cè)防火墻。（2）防火墻的結(jié)構(gòu)•屏蔽路由器結(jié)構(gòu)：通常由過濾路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。•雙穴主機(jī)結(jié)構(gòu)：雙穴主機(jī)具有兩個(gè)網(wǎng)絡(luò)接口，它的位置位于內(nèi)部網(wǎng)絡(luò)與Internet的連接處，運(yùn)行應(yīng)用代理程序，充當(dāng)內(nèi)、外網(wǎng)絡(luò)之間的轉(zhuǎn)發(fā)器，如圖9-20所示。•屏蔽主機(jī)結(jié)構(gòu)：由屏蔽路由器與堡壘主機(jī)構(gòu)成，屏蔽路由器位于內(nèi)部網(wǎng)絡(luò)與Internet之間的連接處，而堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)上，如圖9-21所示。•屏蔽子網(wǎng)結(jié)構(gòu)：在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上增加了一個(gè)周邊防御網(wǎng)段，用以進(jìn)一步隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，如圖9-22所示。周邊防御網(wǎng)段是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的另一層安全網(wǎng)段，分別由內(nèi)、外兩個(gè)屏蔽路由器與它們相連。周邊防御網(wǎng)段所構(gòu)成的妄全子網(wǎng)又稱為“非軍事區(qū)”（DemilitrizedZone，DMZ)， 這一網(wǎng)段受到的安全威脅不會(huì)影響到內(nèi)部網(wǎng)絡(luò)。DMZ是放置公共信息的最佳位置，通常把WWW、 FTP、電子郵件、電子商務(wù)等服務(wù)器都存放在該區(qū)域。而內(nèi)部服務(wù)器、個(gè)人PC都應(yīng)用放置在內(nèi)網(wǎng)中。【試題9-33】 2013年5月真題39如果一臺(tái)CISIOPLX防火墻有如下的配置：(39)。PLX (config) #nameif etherentO fl securityOPLX (config) #nameif etherentl f2 securityOOPLX (config) #nameif etherent2 f3 security50那么以下說法正確的是解析：端口fl作為外部網(wǎng)絡(luò)接口，f2作為內(nèi)部網(wǎng)絡(luò)接口，fi連接DMZ區(qū)域。【答案：（39) C】【試題9-34】 2013年5月真題45圖9-23為DARPA提供的公共入侵檢測(cè)框架示意圖，該系統(tǒng)由四個(gè)模塊組成，其中模塊①~④對(duì)應(yīng)的正確名稱為（45)。 A.事件產(chǎn)生器、事件數(shù)據(jù)庫、事件分析器、響應(yīng)單元 B.事件分析器、事件產(chǎn)生器、響應(yīng)單元、事件數(shù)據(jù)庫 C.事件數(shù)據(jù)庫、響應(yīng)單元、事件產(chǎn)生器、事件分析器 D.響應(yīng)單元、事件分析器、事件數(shù)據(jù)庫、事件產(chǎn)生器解析：其中模塊①~④對(duì)應(yīng)的正確名稱為響應(yīng)單元、事件分析器、事件數(shù)據(jù)庫、事件產(chǎn)生器。【答案：（45) D】■病毒防護(hù)一、病毒定義按《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的規(guī)定，計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。在病毒的生存期內(nèi)，典型的病毒經(jīng)歷了下面的4個(gè)階段：潛伏階段。繁殖階段。出發(fā)階段。執(zhí)行階段。二、病毒分類對(duì)于最重要的病毒類型，建議如下的分類方法：•寄生病毒。將自己附加到可執(zhí)行文件中，當(dāng)被感染的程序執(zhí)行時(shí)，找到其他可執(zhí)行文件并感染。•存儲(chǔ)器駐留病毒。寄宿在主存中，作為駐留程序的一部分。從那時(shí)起，病毒感染每個(gè)執(zhí)行的程序。•引導(dǎo)區(qū)病毒。感染主引導(dǎo)記錄或引導(dǎo)記錄，并且當(dāng)系統(tǒng)從包含了病毒的磁盤啟動(dòng)時(shí)進(jìn)行傳播。•隱形病毒。能在反病毒軟件檢測(cè)時(shí)隱藏自己。•多形病毒。每次感染都會(huì)改變的病毒，使得不可能通過病毒的“簽名”來檢測(cè)自己。三、防病毒技術(shù)在所有計(jì)算機(jī)安全威脅中，計(jì)算機(jī)病毒是最為嚴(yán)重的，它不僅發(fā)生的頻率高、損失大，而且 潛伏性強(qiáng)、覆蓋面廣。計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力，它的防范是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。防病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒、消除病毒等技術(shù)。（1）預(yù)防病毒技術(shù)計(jì)算機(jī)病毒預(yù)防是指在病毒尚未入侵或剛剛?cè)肭謺r(shí)，就攔截、阻擊病毒的入侵或立即報(bào)警。（2）檢測(cè)病毒技術(shù)檢測(cè)病毒技術(shù)是通過對(duì)病毒的特征來進(jìn)行判斷的偵測(cè)技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等。病毒檢測(cè)一直是病毒防護(hù)的支柱，但隨著病毒的數(shù)目和可能的切入點(diǎn)的大量增加，識(shí)別古怪代碼串的進(jìn)程變得越來越復(fù)雜，而且容易產(chǎn)生錯(cuò)誤和疏忽。因此，建議防病毒技術(shù)應(yīng)將病毒檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理等多種功能集成起來，形成多層次防御體系，既具有穩(wěn)健的病毒檢測(cè)功能，又具有客戶機(jī)/服務(wù)器數(shù)據(jù)保護(hù)能力，也就是覆蓋全網(wǎng)的多層次方法。（3）消除病毒技術(shù)通過對(duì)病毒的分析，開發(fā)出具有殺病毒程序并恢復(fù)原文件的軟件。大量的病毒針對(duì)網(wǎng)上資源和應(yīng)用程序進(jìn)行攻擊，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因而要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)入口實(shí)時(shí)殺毒。對(duì)于內(nèi)部病毒，如客戶機(jī)感染的病毒，通過服務(wù)器防病毒功能，在病毒從客戶機(jī)向服務(wù)器轉(zhuǎn)移的過程中殺掉，把病毒感染的區(qū)域限制在最小范圍內(nèi)。 _【試題9-35】 2013年5月真題34近年來，在我國(guó)出現(xiàn)的各類病毒中，(34)病毒通過木馬形式感染智能手機(jī)。A.歡樂時(shí)光 B.熊貓燒香 C.X臥底 D.cm解析：近年來，一種名為“X臥底”的病毒肆虐智能手機(jī)領(lǐng)域，我國(guó)至少有15萬手機(jī)用戶感染。感染該病毒后，手機(jī)上的通話內(nèi)容、短信等私密信息將被泄露【答案：（34) C】【試題9-36】 2012年5月真題42以下關(guān)于釣魚網(wǎng)站的說法中，錯(cuò)誤的是（42)。A. Worm.Sasser病毒 B. Trojan.QQPSW病毒C. Backdoor.IRCBot病毒 D. Macro.Melissa 病毒解析:Worm表示蠕蟲，Trojan表示木馬，Backdoor表示后門，Macro表示宏。【答案：（50)A】【試題9-38】 2010年5月真題40~41殺毒軟件報(bào)告發(fā)現(xiàn)病毒Macro.Melissa,由該病毒名稱可以推斷出病毒類型是（40),這類病毒主要 感染目標(biāo)是（41)。（40）A.文件型 B.引導(dǎo)型 C.目錄型 D.宏病毒（41）A. EXE或COM可執(zhí)行文件 B.Word或Excel文件 C.DLL系統(tǒng)文件 D.磁盤引導(dǎo)區(qū)解析：Melissa病毒是一種快速傳播的能夠感染那些使用MS Word 97和MS Office 2000的計(jì)算機(jī)宏病毒。即使不知道Melissa病毒是什么也沒關(guān)系，因?yàn)榍懊嬗袀€(gè)Macro,表明這是宏病毒。【答案：（40) D； (41) B】