安全性基础知识概括课件

第第10章章 安全性基础知识安全性基础知识8/1/20241l考查要点考查要点l安全性基本概念安全性基本概念l计算机病毒的防治计算机病毒的防治l计算机犯罪的防范计算机犯罪的防范l访问控制访问控制l加密与解密基础知识加密与解密基础知识l考题分布考题分布l近几年考试知识点均匀分布在网络安全技近几年考试知识点均匀分布在网络安全技术和网络故障排除以及密钥上。术和网络故障排除以及密钥上。8/1/20242l10.1 安全性基本概念安全性基本概念l10.2 计算机病毒和计算机犯罪概述计算机病毒和计算机犯罪概述l10.3 网络安全网络安全l10.4 访问控制访问控制l10.5 加密与解密加密与解密8/1/2024310.1 安全性基本概念安全性基本概念l计算机系统安全性是指为计算机系统建立和采取的各种计算机系统安全性是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件和数安全保护措施，以保护计算机系统中的硬件、软件和数据，防止因偶然或恶意的原因使系统遭到破坏，防止数据，防止因偶然或恶意的原因使系统遭到破坏，防止数据遭到更改或泄露等。据遭到更改或泄露等。l计算机系统是信息系统的重要组成部分。计算机系统是信息系统的重要组成部分。l机密性机密性l完整性完整性l可用性可用性l可控性可控性l可审计性可审计性8/1/2024410.2 计算机病毒和计算机犯罪概述计算机病毒和计算机犯罪概述l1.1.计算机病毒计算机病毒 计算机病毒是一段非常短的程序代码，会不断自我计算机病毒是一段非常短的程序代码，会不断自我复制、隐藏。病毒程序执行时，把自己传播到其他的计复制、隐藏。病毒程序执行时，把自己传播到其他的计算机系统和程序中。算机系统和程序中。携带有计算机病毒的程序被称为计算机病毒载体或携带有计算机病毒的程序被称为计算机病毒载体或被感染程序。被感染程序。8/1/20245我国当前面临的计算机病毒疫情我国当前面临的计算机病毒疫情l l 8/1/20246l 传染性传染性l 隐蔽性隐蔽性l 潜伏性潜伏性l 破坏性破坏性l 针对性针对性l 衍生性衍生性l 寄生性寄生性l 未知性未知性l计算机病毒的特性计算机病毒的特性8/1/20247l 系统引导型病毒：系统引导型病毒：在系统引导过程中感染，一般通在系统引导过程中感染，一般通在系统引导过程中感染，一般通在系统引导过程中感染，一般通过软盘传播过软盘传播过软盘传播过软盘传播l文件外壳性病毒：文件外壳性病毒：感染程序文件，破坏被感染程序感染程序文件，破坏被感染程序感染程序文件，破坏被感染程序感染程序文件，破坏被感染程序的可用性的可用性的可用性的可用性l 混合型病毒混合型病毒l 目录型病毒目录型病毒l 宏病毒：宏病毒：Word Word 或或或或 Excel Excel 文件中的破坏性的宏文件中的破坏性的宏文件中的破坏性的宏文件中的破坏性的宏l计算机病毒的类型计算机病毒的类型8/1/20248l2010-5l如如果果杀杀毒毒软软件件报报告告一一些些列列的的Word文文档档被被病病毒毒感感染染，则则可可以以推推断断病病毒毒类类型型是是（15），如如果果用用磁磁盘盘检检测测工工具具(CHKDSK、SCANDISK等等)检检测测磁磁盘盘发发现现大大量量文文件件链链接地址错误，表明磁盘可能被接地址错误，表明磁盘可能被(16)病毒感染。病毒感染。l(15)A.文件型文件型 B.引导型引导型 C.目录型目录型 D.宏病毒宏病毒l(16)A.文件型文件型 B.引导型引导型 C.目录型目录型 D.宏病毒宏病毒D B8/1/20249我国当前面临的计算机病毒疫情8/1/202410l 切切断断传传播播途途径径，对对被被感感染染的的硬硬盘盘和和机机器器进进行行彻彻底底的的消消毒毒处处理理，不不使使用用来来历历不不明明的的软软盘盘、U盘盘和和程程序序，定定期期检检查查机机器器的的存存储储介介质质，不不随随意意下下载载网网络络广广告、邮件等。告、邮件等。l 安装真正有效的防毒软件或防病毒卡安装真正有效的防毒软件或防病毒卡l 建建立立安安全全管管理理制制度度，提提高高包包括括系系统统管管理理员员和和用用户在内的人员的技术素质和职业道德修养。户在内的人员的技术素质和职业道德修养。l 提高网络反病毒能力。提高网络反病毒能力。l计算机病毒防治计算机病毒防治8/1/202411l2.2.计算机犯罪计算机犯罪 计算机犯罪行为往往具有隐蔽性、智能性和严重计算机犯罪行为往往具有隐蔽性、智能性和严重的社会危害性。的社会危害性。计算机犯罪是一种高技术犯罪。计算机犯罪是一种高技术犯罪。8/1/20241210.3 网络安全网络安全l计算机网络安全是指计算机、网络系统硬件、软计算机网络安全是指计算机、网络系统硬件、软件以及系统中的数据受到的保护，不因偶然的或件以及系统中的数据受到的保护，不因偶然的或恶意的原因而遭到破坏、更改、泄露，确保系统恶意的原因而遭到破坏、更改、泄露，确保系统能连续和可靠地运行，使网络服务不中断。能连续和可靠地运行，使网络服务不中断。l网络安全涉及的主要内容网络安全涉及的主要内容l 运行系统安全运行系统安全l 信息系统的安全信息系统的安全l 信息传播的安全信息传播的安全l 信息内容的安全信息内容的安全8/1/202413l网络安全技术网络安全技术l 主动防御保护技术主动防御保护技术l数据加密数据加密l身份认证身份认证l访问控制访问控制l权限设置权限设置l虚拟专用网络划分虚拟专用网络划分l物理保护及安全管物理保护及安全管理理l防火墙技术防火墙技术l入侵检测技术入侵检测技术l安全扫描技术安全扫描技术l审计跟踪审计跟踪l 被动防御保护技术被动防御保护技术8/1/202414l 物理安全策略物理安全策略l 网络访问控制技术网络访问控制技术l计算机网络安全策略计算机网络安全策略l入网访问控制入网访问控制l网络的权限控制网络的权限控制l目录级安全控制目录级安全控制l属性安全控制属性安全控制l网络服务器安全控制网络服务器安全控制l网络检测和锁定控制网络检测和锁定控制l网络端口和节点的安全控制网络端口和节点的安全控制l防火墙控制防火墙控制8/1/20241510.4 访问控制访问控制l 访问控制的访问控制的主要任务主要任务是保证网络资源不被非法使是保证网络资源不被非法使用和非法访问。用和非法访问。l 访问权限访问权限l 访问控制策略访问控制策略l 口令口令l自主访问控制自主访问控制DACl强制访问控制强制访问控制MACl基于角色的访问控制基于角色的访问控制RBAC8/1/20241610.5 加密与解密加密与解密l加密技术加密技术是一种重要的安全保密措施，是最常用是一种重要的安全保密措施，是最常用的安全保密手段。的安全保密手段。l数据加密数据加密就是对明文（未经加密的数据）按照某就是对明文（未经加密的数据）按照某种加密算法（数据的变换算法）进行处理，从而种加密算法（数据的变换算法）进行处理，从而形成难以理解的密文（经过加密的数据）。即使形成难以理解的密文（经过加密的数据）。即使密文被截获，入侵者（或窃听者）也无法理解其密文被截获，入侵者（或窃听者）也无法理解其真正的含义，从而防止信息泄露。真正的含义，从而防止信息泄露。l加密技术加密技术包括算法和密钥。包括算法和密钥。8/1/202417l对称加密对称加密 对称加密采用了对称密码编码技术，它的对称加密采用了对称密码编码技术，它的特点是加密和解密时使用相同的密钥。特点是加密和解密时使用相同的密钥。l非对称加密非对称加密 公开密钥和私有密钥公开密钥和私有密钥8/1/202418 发送报文时，发送方用一个哈希函数从报文文本中生发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要成报文摘要,然后用自己的私人密钥对这个摘要进行加密，然后用自己的私人密钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，接收方首先用发送方的公用密钥来对报文附加给接收方，接收方首先用发送方的公用密钥来对报文附加的数字签名进行解密的数字签名进行解密,接着再用与发送方一样的哈希函数接着再用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，如果这两个摘要从接收到的原始报文中计算出报文摘要，如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。相同、那么接收方就能确认该数字签名是发送方的。数字签名有两种功效：数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数数字签名的值也将发生变化。不同的文件将得到不同的数字签名。字签名。一次数字签名涉及到一个哈希函数、发送者的一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。公钥、发送者的私钥。”8/1/202419历年真题解析历年真题解析8/1/202420l2010-11l下列选项中，防范网络监听最有效的方法是下列选项中，防范网络监听最有效的方法是（15）。l(15)A.安装防火墙安装防火墙 B.采用无线网络传输采用无线网络传输 C.数据加密数据加密 D.漏洞扫描漏洞扫描C 数据加密属于主动防御技术数据加密属于主动防御技术 8/1/202421lVPN 即即虚拟专用网虚拟专用网，是通过一个公用网络（通常是因特网）建立一个，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，道。通常，VPN 是对企业内部网的扩展，通过它可以帮助远程用户、是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。接，并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。虚拟专用网。lVPN涉及的关键安全技术中不包括涉及的关键安全技术中不包括（16）。l(15)A.隧道技术隧道技术 B.加密技术加密技术 C.入侵检测技术入侵检测技术 D.身份认证技术身份认证技术C8/1/202422l2009-5l下面关于加密的说法中，错误的是下面关于加密的说法中，错误的是（15）。lA数据加密的目的是保护数据的机密性数据加密的目的是保护数据的机密性lB加密过程是利用密钥和加密算法将明文转换成密文加密过程是利用密钥和加密算法将明文转换成密文的过程的过程lC选择密钥和加密算法的原则是保证密文不可能被破选择密钥和加密算法的原则是保证密文不可能被破解解lD加密技术通常分为非对称加密技术和对称密钥加密加密技术通常分为非对称加密技术和对称密钥加密技术技术解析：解析：数据加密是利用密钥和加密算法将明文转换成密文从而保护数据数据加密是利用密钥和加密算法将明文转换成密文从而保护数据机密性的方法。加密算法分为非对称加密和对称密钥加密两类。机密性的方法。加密算法分为非对称加密和对称密钥加密两类。任何加密算法在原理上都是可能被破解的，加密的原则是尽量增任何加密算法在原理上都是可能被破解的，加密的原则是尽量增加破解的难度，使破解在时间上或成本上变得不可行，所以选项加破解的难度，使破解在时间上或成本上变得不可行，所以选项C是错误的。是错误的。8/1/202423l2009-5l下面关于防火墙功能的说法中，不正确的是下面关于防火墙功能的说法中，不正确的是（16）。l A防火墙能有效防范病毒的入侵防火墙能有效防范病毒的入侵l B防火墙能控制对特殊站点的访问防火墙能控制对特殊站点的访问l C防火墙能对进出的数据包进行过滤防火墙能对进出的数据包进行过滤l D防火墙能对部分网络攻击行为进行检测和报警防火墙能对部分网络攻击行为进行检测和报警 解析：解析：防防火火墙墙的的基基本本功功能能是是包包过过滤滤，能能对对进进出出防防火火墙墙的的数数据据包包包包头头中中的的IP地地址址和和端端口口号号进进行行分分析析处处理理，从从而而可可以以控控制制对对特特殊殊站站点点的的访访问问、能能对对进进出出的的数数据据包包进进行行过过滤滤、能能对对部部分分网网络络攻攻击击行行为为进进行行检检测测和和报报警警；但但对对于于数数据据包包的的内内容容一一般般无无法法分分析析处处理理，所所以以防防火火墙墙本本身身不不具具备备防防范范病病毒毒入入侵侵的的功功能能，防防火火墙墙一一般般与与防防病病毒毒软软件件一一起起部部署署。，所以选项，所以选项A是错误的。是错误的。8/1/202424l2009-11l能防范重放攻击的技术是能防范重放攻击的技术是（15）。l(15)A.加密加密 B.数字签名数字签名 C.数字证书数字证书 D.时间戳时间戳l重放攻击又称重播攻击，是指攻击者发送一个目的主机已接收过的包，重放攻击又称重播攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。来达到欺骗系统的目的，主要用于身份认证过程。l这种攻击会不断恶意或欺诈性地重复一个有效的数据传输，重放攻击这种攻击会不断恶意或欺诈性地重复一个有效的数据传输，重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。可以由发起者，也可以由拦截并重发该数据的敌方进行。l重放攻击的防御方案重放攻击的防御方案 时间戳、提问与应答、序号和会话劫持。时间戳、提问与应答、序号和会话劫持。D8/1/202425l某网站向某网站向CA申请了数字证书，用户通过申请了数字证书，用户通过（16）来验证网来验证网站的真伪。站的真伪。l(15)A.CA的签名的签名 B.证书中的公钥证书中的公钥 C.网站的私钥网站的私钥 D.用户的公钥用户的公钥AlCA(Certification Authority)是是认认证证机机构构的的国国际际通通称称，是是指指对对数数字字证证书书的的申申请请者者发发放放、管管理理、取取消消数数字字证证书书的的机机构构。CA的的作作用用是是检检查查证证书书持持有有者者身身份份的的合合法法性性，并并签签发发证证书书（在在证证书书上上签签字字），以以防防证证书书被被伪造或篡改。伪造或篡改。8/1/202426A8/1/202427D8/1/202428l2006 为为增增强强访访问问网网页页的的安安全全性性，可可以以采采用用（15）协协议议；为为证证明明数数据据发发送送者者的的身身份份与与数数据据的真实性需使用（的真实性需使用（16）。）。l15)A.Telnet B.POP3 C.HTTPS D.DNS 16)A散列算法散列算法 B.时间戳时间戳 C数字信封数字信封 D.加密算法加密算法C C8/1/202429l数字信封数字信封 在数字信封中，信息发送方采用对称密钥来加密信息内容，在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。后使用对称密钥解开加密信息。8/1/202430l2006 在在公公司司内内网网中中部部署署（16）可可以以最最大大限限度度防范内部攻击。防范内部攻击。l15)A.防火墙防火墙 B.电磁泄密及防护系统电磁泄密及防护系统 C.邮件过滤系统邮件过滤系统 D.入侵检测系统入侵检测系统D 8/1/202431l2005 _(28)_不能减少用户计算机被攻击的不能减少用户计算机被攻击的可能性。可能性。供选择的答案：供选择的答案：(28)A选用比较长和复杂的用户登录口令选用比较长和复杂的用户登录口令 B使用防毒软件使用防毒软件 C尽量避免开放过多的网络服务尽量避免开放过多的网络服务 D定期扫描系统硬盘碎片定期扫描系统硬盘碎片 D8/1/202432l_(29)_不是通信协议的基本元素。不是通信协议的基本元素。供选择的答案：供选择的答案：(29)A格式格式 B语法语法 C传输介质传输介质 D计时计时C8/1/202433l2005 使用使用FTP协议进行文件下载时，协议进行文件下载时，_(30)_。供选择的答案：供选择的答案：(30)A包括用户名和口令在内，所有传输的数据包括用户名和口令在内，所有传输的数据都不会被自动加密都不会被自动加密 B包括用户名和口令在内，所有传输的数据包括用户名和口令在内，所有传输的数据都会被自动加密都会被自动加密 C用户名和口令是加密传输的，而其他数据用户名和口令是加密传输的，而其他数据则以明文方式传输则以明文方式传输 D用户名和口令是不加密传输的，其他数据用户名和口令是不加密传输的，其他数据是加密传输的是加密传输的A8/1/202434l2004 在以下关于电子邮件的叙述中，在以下关于电子邮件的叙述中，_(4)_是不正是不正确的。确的。(4)A打开来历不明的电子邮件附件可能会传染打开来历不明的电子邮件附件可能会传染计算机病毒计算机病毒B在网络拥塞的情况下，发送电子邮件后，在网络拥塞的情况下，发送电子邮件后，接收者可能几个小时后才能收到接收者可能几个小时后才能收到C在试发电子邮件时，可以向自己的在试发电子邮件时，可以向自己的Email邮箱发送一封邮件邮箱发送一封邮件D电子邮箱的容量指的是用户当前使用的计电子邮箱的容量指的是用户当前使用的计算机上，分配给电子邮箱的硬盘容量算机上，分配给电子邮箱的硬盘容量 D8/1/202435l2004 在计算机系统的日常维护工作中，应当在计算机系统的日常维护工作中，应当注意硬盘工作时不能注意硬盘工作时不能_(28)_。另外，需要防。另外，需要防范病毒，而范病毒，而_(29)_是不会被病毒感觉的。是不会被病毒感觉的。(28)A大声喧哗大声喧哗 B有强烈震动有强烈震动 C装入程序装入程序 D有日光照射有日光照射(29)A电子邮件电子邮件 B硬盘硬盘 C软盘软盘 DROM B D 8/1/202436l2004 使用使用IE浏览器浏览网页时，出于安全浏览器浏览网页时，出于安全方面考虑，需要禁止执行方面考虑，需要禁止执行Java Script，可以，可以在在IE中中_(30)_。(30)A禁用禁用ActiveX控件控件 B禁用禁用Cookie C禁用没有标记为安全的禁用没有标记为安全的ActiveX控件控件 D禁用脚本禁用脚本 D 8/1/202437l2004 在网络通信中，当消息发出后，接收方在网络通信中，当消息发出后，接收方能确认消息确实是由声称的发送方发出的；同能确认消息确实是由声称的发送方发出的；同样，当消息接收到后，发送方能确认消息确实样，当消息接收到后，发送方能确认消息确实已由声称的接收方收到。这样的安全服务称为已由声称的接收方收到。这样的安全服务称为_(39)_ 服务。服务。(39)A.数据保密性数据保密性 B.数据完整性数据完整性 C.不可否认性不可否认性 D.访问控制访问控制 C 8/1/202438lOSI(Open System Interconnection)安全体安全体系方案系方案X.800将安全服务定义为通信开放系统将安全服务定义为通信开放系统协议层提供的服务，用来保证系统或数据传输协议层提供的服务，用来保证系统或数据传输有足够的安全性。有足够的安全性。X.800定义了五类可选的安定义了五类可选的安全服务。下列相关的选项中不属于这五类安全全服务。下列相关的选项中不属于这五类安全服务的是服务的是_(40)_。(40)A.数据保密性数据保密性 B.访问控制访问控制 C.认证认证 D.数据压缩数据压缩 D 8/1/202439l下列关于加密的叙述中，正确的是下列关于加密的叙述中，正确的是_(41)_。(41)A.DES属于公钥密码体制属于公钥密码体制B.RSA属于公钥密码体制，其安全性基属于公钥密码体制，其安全性基于大数因子分解困难于大数因子分解困难C.公钥密码体制的密钥管理复杂公钥密码体制的密钥管理复杂D.公钥密码体制中，加密和解密采用不公钥密码体制中，加密和解密采用不同的密钥，解密密钥是向社会公开的同的密钥，解密密钥是向社会公开的 B 8/1/202440l2002 数字签名技术可以用于对用户身份或信数字签名技术可以用于对用户身份或信息的真实性进行验证与鉴定，但是下列的息的真实性进行验证与鉴定，但是下列的 _(l)_ 行为不能用数字签名技术解决。行为不能用数字签名技术解决。(1)：A抵赖抵赖 B伪造伪造 C篡改篡改 D窃听窃听 D 8/1/202441