安全性基礎(chǔ)知識概述

第10章安全性基礎(chǔ)知識1/31/20231考查要點安全性基本概念計算機病毒的防治計算機犯罪的防范訪問控制加密與解密基礎(chǔ)知識考題分布近幾年考試知識點均勻分布在網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)故障排除以及密鑰上。1/31/2023210.1安全性基本概念10.2計算機病毒和計算機犯罪概述10.3網(wǎng)絡(luò)安全10.4訪問控制10.5加密與解密1/31/2023310.1安全性基本概念計算機系統(tǒng)安全性是指為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件和數(shù)據(jù)，防止因偶然或惡意的原因使系統(tǒng)遭到破壞，防止數(shù)據(jù)遭到更改或泄露等。計算機系統(tǒng)是信息系統(tǒng)的重要組成部分。機密性完整性可用性可控性可審計性1/31/2023410.2計算機病毒和計算機犯罪概述1.計算機病毒計算機病毒是一段非常短的程序代碼，會不斷自我復(fù)制、隱藏。病毒程序執(zhí)行時，把自己傳播到其他的計算機系統(tǒng)和程序中。攜帶有計算機病毒的程序被稱為計算機病毒載體或被感染程序。1/31/20235我國當前面臨的計算機病毒疫情

1/31/20236傳染性隱蔽性潛伏性破壞性針對性衍生性寄生性未知性計算機病毒的特性1/31/20237系統(tǒng)引導(dǎo)型病毒：在系統(tǒng)引導(dǎo)過程中感染，一般通過軟盤傳播文件外殼性病毒：感染程序文件，破壞被感染程序的可用性混合型病毒目錄型病毒宏病毒：Word或Excel文件中的破壞性的宏計算機病毒的類型1/31/202382010-5如果殺毒軟件報告一些列的Word文檔被病毒感染，則可以推斷病毒類型是（15），如果用磁盤檢測工具(CHKDSK、SCANDISK等)檢測磁盤發(fā)現(xiàn)大量文件鏈接地址錯誤，表明磁盤可能被(16)病毒感染。(15)A.文件型B.引導(dǎo)型C.目錄型D.宏病毒(16)A.文件型B.引導(dǎo)型C.目錄型D.宏病毒DB1/31/20239我國當前面臨的計算機病毒疫情1/31/202310切斷傳播途徑，對被感染的硬盤和機器進行徹底的消毒處理，不使用來歷不明的軟盤、U盤和程序，定期檢查機器的存儲介質(zhì)，不隨意下載網(wǎng)絡(luò)廣告、郵件等。安裝真正有效的防毒軟件或防病毒卡建立安全管理制度，提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。提高網(wǎng)絡(luò)反病毒能力。計算機病毒防治1/31/2023112.計算機犯罪計算機犯罪行為往往具有隱蔽性、智能性和嚴重的社會危害性。計算機犯罪是一種高技術(shù)犯罪。1/31/20231210.3網(wǎng)絡(luò)安全計算機網(wǎng)絡(luò)安全是指計算機、網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到的保護，不因偶然的或惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)和可靠地運行，使網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全涉及的主要內(nèi)容運行系統(tǒng)安全信息系統(tǒng)的安全信息傳播的安全信息內(nèi)容的安全1/31/202313網(wǎng)絡(luò)安全技術(shù)主動防御保護技術(shù)數(shù)據(jù)加密身份認證訪問控制權(quán)限設(shè)置虛擬專用網(wǎng)絡(luò)劃分物理保護及安全管理防火墻技術(shù)入侵檢測技術(shù)安全掃描技術(shù)審計跟蹤被動防御保護技術(shù)1/31/202314物理安全策略網(wǎng)絡(luò)訪問控制技術(shù)計算機網(wǎng)絡(luò)安全策略入網(wǎng)訪問控制網(wǎng)絡(luò)的權(quán)限控制目錄級安全控制屬性安全控制網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)檢測和鎖定控制網(wǎng)絡(luò)端口和節(jié)點的安全控制防火墻控制1/31/20231510.4訪問控制訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪問權(quán)限訪問控制策略口令自主訪問控制DAC強制訪問控制MAC基于角色的訪問控制RBAC1/31/20231610.5加密與解密加密技術(shù)是一種重要的安全保密措施，是最常用的安全保密手段。數(shù)據(jù)加密就是對明文（未經(jīng)加密的數(shù)據(jù)）按照某種加密算法（數(shù)據(jù)的變換算法）進行處理，從而形成難以理解的密文（經(jīng)過加密的數(shù)據(jù)）。即使密文被截獲，入侵者（或竊聽者）也無法理解其真正的含義，從而防止信息泄露。加密技術(shù)包括算法和密鑰。1/31/202317對稱加密對稱加密采用了對稱密碼編碼技術(shù)，它的特點是加密和解密時使用相同的密鑰。非對稱加密公開密鑰和私有密鑰1/31/202318

發(fā)送報文時，發(fā)送方用一個哈希函數(shù)從報文文本中生成報文摘要,然后用自己的私人密鑰對這個摘要進行加密，這個加密后的摘要將作為報文的數(shù)字簽名和報文一起發(fā)送給接收方，接收方首先用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進行解密,接著再用與發(fā)送方一樣的哈希函數(shù)從接收到的原始報文中計算出報文摘要，如果這兩個摘要相同、那么接收方就能確認該數(shù)字簽名是發(fā)送方的。

數(shù)字簽名有兩種功效：

一是能確定消息確實是由發(fā)送方簽名并發(fā)出來的，因為別人假冒不了發(fā)送方的簽名。

二是數(shù)字簽名能確定消息的完整性。因為數(shù)字簽名的特點是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一次數(shù)字簽名涉及到一個哈希函數(shù)、發(fā)送者的公鑰、發(fā)送者的私鑰?！?/31/202319歷年真題解析1/31/2023202010-11下列選項中，防范網(wǎng)絡(luò)監(jiān)聽最有效的方法是（15）。(15)A.安裝防火墻B.采用無線網(wǎng)絡(luò)傳輸C.數(shù)據(jù)加密D.漏洞掃描C

數(shù)據(jù)加密屬于主動防御技術(shù)

1/31/202321VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN涉及的關(guān)鍵安全技術(shù)中不包括（16）。(15)A.隧道技術(shù)B.加密技術(shù)C.入侵檢測技術(shù)D.身份認證技術(shù)C1/31/2023222009-5下面關(guān)于加密的說法中，錯誤的是（15）。A．數(shù)據(jù)加密的目的是保護數(shù)據(jù)的機密性B．加密過程是利用密鑰和加密算法將明文轉(zhuǎn)換成密文的過程C．選擇密鑰和加密算法的原則是保證密文不可能被破解D．加密技術(shù)通常分為非對稱加密技術(shù)和對稱密鑰加密技術(shù)解析：數(shù)據(jù)加密是利用密鑰和加密算法將明文轉(zhuǎn)換成密文從而保護數(shù)據(jù)機密性的方法。加密算法分為非對稱加密和對稱密鑰加密兩類。任何加密算法在原理上都是可能被破解的，加密的原則是盡量增加破解的難度，使破解在時間上或成本上變得不可行，所以選項C是錯誤的。

1/31/2023232009-5下面關(guān)于防火墻功能的說法中，不正確的是（16）。A．防火墻能有效防范病毒的入侵

B．防火墻能控制對特殊站點的訪問

C．防火墻能對進出的數(shù)據(jù)包進行過濾

D．防火墻能對部分網(wǎng)絡(luò)攻擊行為進行檢測和報警

解析：防火墻的基本功能是包過濾，能對進出防火墻的數(shù)據(jù)包包頭中的IP地址和端口號進行分析處理，從而可以控制對特殊站點的訪問、能對進出的數(shù)據(jù)包進行過濾、能對部分網(wǎng)絡(luò)攻擊行為進行檢測和報警；但對于數(shù)據(jù)包的內(nèi)容一般無法分析處理，所以防火墻本身不具備防范病毒入侵的功能，防火墻一般與防病毒軟件一起部署。，所以選項A是錯誤的。

1/31/2023242009-11能防范重放攻擊的技術(shù)是（15）。(15)A.加密B.數(shù)字簽名C.數(shù)字證書D.時間戳重放攻擊又稱重播攻擊，是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程。這種攻擊會不斷惡意或欺詐性地重復(fù)一個有效的數(shù)據(jù)傳輸，重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進行。重放攻擊的防御方案——時間戳、提問與應(yīng)答、序號和會話劫持。D1/31/202325某網(wǎng)站向CA申請了數(shù)字證書，用戶通過（16）來驗證網(wǎng)站的真?zhèn)巍?15)A.CA的簽名B.證書中的公鑰C.網(wǎng)站的私鑰D.用戶的公鑰ACA(CertificationAuthority)是認證機構(gòu)的國際通稱，是指對數(shù)字證書的申請者發(fā)放、管理、取消數(shù)字證書的機構(gòu)。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書（在證書上簽字），以防證書被偽造或篡改。

1/31/202326A1/31/202327D1/31/2023282006為增強訪問網(wǎng)頁的安全性，可以采用（15）協(xié)議；為證明數(shù)據(jù)發(fā)送者的身份與數(shù)據(jù)的真實性需使用（16）。15)A.TelnetB.POP3C.HTTPSD.DNS16)A散列算法B.時間戳C數(shù)字信封D.加密算法CC1/31/202329數(shù)字信封

在數(shù)字信封中，信息發(fā)送方采用對稱密鑰來加密信息內(nèi)容，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱數(shù)字信封）之后，將它和加密后的信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開加密信息。1/31/2023302006在公司內(nèi)網(wǎng)中部署（16）可以最大限度防范內(nèi)部攻擊。15)A.防火墻B.電磁泄密及防護系統(tǒng)C.郵件過濾系統(tǒng)D.入侵檢測系統(tǒng)D1/31/2023312005●__(28)__不能減少用戶計算機被攻擊的可能性。

供選擇的答案：

(28)A．選用比較長和復(fù)雜的用戶登錄口令B．使用防毒軟件

C．盡量避免開放過多的網(wǎng)絡(luò)服務(wù)D．定期掃描系統(tǒng)硬盤碎片

D1/31/202332●__(29)__不是通信協(xié)議的基本元素。

供選擇的答案：

(29)A．格式B．語法C．傳輸介質(zhì)D．計時

C1/31/2023332005使用FTP協(xié)議進行文件下載時，__(30)__。

供選擇的答案：

(30)A．包括用戶名和口令在內(nèi)，所有傳輸?shù)臄?shù)據(jù)都不會被自動加密

B．包括用戶名和口令在內(nèi)，所有傳輸?shù)臄?shù)據(jù)都會被自動加密

C．用戶名和口令是加密傳輸?shù)?，而其他?shù)據(jù)則以明文方式傳輸

D．用戶名和口令是不加密傳輸?shù)模渌麛?shù)據(jù)是加密傳輸?shù)?/p>

A1/31/2023342004在以下關(guān)于電子郵件的敘述中，__(4)__是不正確的。

(4)A．打開來歷不明的電子郵件附件可能會傳染計算機病毒

B．在網(wǎng)絡(luò)擁塞的情況下，發(fā)送電子郵件后，接收者可能幾個小時后才能收到

C．在試發(fā)電子郵件時，可以向自己的Email郵箱發(fā)送一封郵件

D．電子郵箱的容量指的是用戶當前使用的計算機上，分配給電子郵箱的硬盤容量D1/31/2023352004在計算機系統(tǒng)的日常維護工作中，應(yīng)當注意硬盤工作時不能__(28)__。另外，需要防范病毒，而__(29)__是不會被病毒感覺的。

(28)A．大聲喧嘩B．有強烈震動C．裝入程序D．有日光照射

(29)A．電子郵件B．硬盤C．軟盤D．ROMBD

1/31/2023362004●使用IE瀏覽器瀏覽網(wǎng)頁時，出于安全方面考慮，需要禁止執(zhí)行JavaScript，可以在IE中__(30)__。

(30)A．禁用ActiveX控件B．禁用Cookie

C．禁用沒有標記為安全的ActiveX控件D．禁用腳本

D

1/31/2023372004在網(wǎng)絡(luò)通信中，當消息發(fā)出后，接收方能確認消息確實