mg m網絡安全表9-1歷年考題知識點分布統計表年份試題分布分值考核要點2013 (上)34， 39, 41-457病毒、防火墻配置、三重DES、報文摘要、PGP協議、L2TP數據包、入侵檢測2013 (下)19-20, 42-456CHAP協議、DoS攻擊、PKI體制、報文摘要算法SHA-1、公開密鑰加密算法2012 (上)42-454認證技術、釣魚網站、MD5算法、HTTPS、PGP2012 (下）41-45,686加密算法、認證技術、SSL、IPSec安全關聯三元組、2011 (上）42-44,46-508數字簽名方案、報文摘要算法、HTTP、Kerberor認證 系統、病毒2011 (下)41-455報文摘要的長度、安全電子郵件的協議、Kerberos2010 (上)39-41,434HTTPS協議、計算機宏病毒、DES算法2010 (下）41,45-507RSA算法、報文摘要算法MD5、隧道協議、IEEE802.11i所采用的加密算法、公鑰加密體系命題要點安全性的基本概念：網絡安全威脅，網絡安全漏洞，安全攻擊，基本安全技術，安全措施的目的。信息加密技術：加密原理，經典的加密技術、私鑰和公鑰加密標準（DES、IDES、RSA等）。認證技術：三種認證技術（基于共享密鑰的認證、Needham-Schroeder認證、基于公鑰的認證），數字簽名，數字證書，報文摘要，密鑰管理。VPN: VPN的主要實現技術，VPN的解決方案，第二層隧道協議，IPsec工作原理，安全套接層SSL。安全協議：S-HTTP、PGP、S/MIME、SET、Kerberos認證。•非法入侵和病毒的防護：防火墻、入侵檢測、計算機病毒保把。網絡安全的基本概念一、網絡安全威脅網絡安全威脅:是對網絡安全缺陷的潛在利用。這些缺陷可能導致非授權訪問、信息泄露、資源耗盡、資源被盜或者被破壞等。網絡安全威脅的種類有：（1)竊聽。如搭線竊聽、:安裝通信監視器和讀取網上的信息等。（2）假冒。某個實體假裝成另一個實體，并獲取該實體的權限。（3）重放。重復一份報文或報文的一部分,以便產生一個被授權效果。（4）流量分析。通過對網上信息流的觀察和分析推斷出網上傳輸的有用信息。（5）數據完整性破壞。有意或無意地修改或破壞信息系統，或者在非授權和不能檢測的方式下對數據進行修改。（6）拒絕服務。通過發送大量的請求來消耗和占用過多的服務資源，使得網絡服務不能響應 正常的請求。（7）資源的非授權訪問。與所定義的安全策略不一致的使用。（8）后門和特洛伊木馬。通過替換系統合法程序，或者在合法程序中插入惡意代碼，以實現非授權攻擊，從而達到某種特定的目的。（9）病毒。（10）誹謗。二、網絡安全漏洞網絡安全隱患主要表現在以下幾個方面：（1）物理性安全。凡是能夠讓非授權機器物理接入的地方，都會存在潛在的安全問題。（2）軟件安全漏洞。（3)不兼容使用的安全漏洞。(4)選擇自認合適的安全哲理。這是一種對安全概念的理解和直覺。完美的軟件、受保護的硬件和兼容部件并不能保證正常而有效地工作,除非用戶選擇了適當的安全策略和打開了能增加其系統安全的部件。三、網絡攻擊網絡攻擊是某種安全威脅的具體實現，當信息從信源向信宿流動時,可能受到各種類型的攻擊。網絡攻擊可以分為被動攻擊、主動攻擊、物理臨近攻擊、內部人員攻擊、分發攻擊幾類。(1)被動攻擊被動攻擊是對信息的保密性進行攻擊,即通過竊聽網絡上傳輸的信息并加以分析從而獲得有價值的情報，伹它并不修改信息的內容。它的目標是獲得正在傳送的信息,其特點是偷聽或監視信息的傳遞。主要預防手段是數據加密等。（2）主動攻擊主動攻擊是攻擊信息來源的真實性、信息傳輸的完整性和系統服務的可用性，有意對信息進行修改、插入和刪除。主要攻擊形式有：假冒、重放、欺騙、消息篡改和拒絕服務等。主要預防手段是防火墻、入侵檢測技術等。（3）物理臨近攻擊未授權者可在物理上接近網絡、系統或設備，其目的是修改、收集或拒絕訪問信息。（4）內部人員攻擊有的內部人員被授權在信息安全處理系統的物理范圍內，或對信息安全處理系統具有直接訪問權，他們可能會攻擊網絡。（5）分發攻擊分發攻擊是指在軟件和硬件開發出來之后和安裝之前這段時間，或者當它從一個地方傳到另一個地方時，攻擊者惡意修改軟硬件。四、基本安全技術目前的網絡安全措施有：•數據加密•數字簽名•身份認證•防火墻•入侵檢測五、安全措施的目標（1）訪問控制。確保會話對方有權做它所聲稱的事情。（2）認證。確保會話對方的資源同它聲稱的一致。（3）完整性。確保接收到的信息同發送的一致。（4）審計。確保任何發生的交易在事后可以被證實，發信者和收信者都認為交換發生過，即所謂的不可抵賴性。（5）保密。確保敏感信息不被竊聽。【試題9-1】 2013年11月真題42下列網絡攻擊行為中，屬于DoS攻擊的是（42)A.特洛伊木馬攻擊 B. SYN Flooding攻擊 C.端口欺騙攻擊 D.IP欺騙攻擊解析：DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。DoS具有代表性 的攻擊手段包括PingofDeath、TearDrop、UDPflood、Synflood、LandAttack、IPSpoofmgDoS等。【答案：（42) B】信息加密技術—、信息加密技術概述信息安全的核心是密碼技術。數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非授權者不能了解被加密的內容。需要隱藏的信息稱為明文；產生的結果稱為密文；加密時使用的變換規則稱為密碼算法。二、網絡中的加密技術（1）鏈路加密每條通信鏈路上的加密是獨立實現的，通常對每條鏈路使用不同的加密密鑰。•優點：對用戶來說是透明的。•缺點：報文是以明文形式在各節點內，在中間節點暴露了信息的內容，需要節點本身必須是安全的。（2）節點到節點加密解決在節點中數據是明文的缺點，在中間節點里裝有加密、解密的保護裝置，由這個裝置來完成一個密鑰向另一個密鑰的變換。（3）端到端加密在源節點和目的節點中對傳送的PDU (協議數據單元）進行加密和解密。•優點：報文的安全性不會因中間節點的不可靠而受到影響。•缺點：PDU的控制信息部分（例如源節點地址、目_的節點地址、路由信息等）不能被加密，否則中間節點就不能正確選擇路由。三、數據加密原理一般的數據加密模型如圖9-1所示。在發送端，把明文X用加密算法E和加密密鑰K加密，變換成密文Y,即Y=Ek(X);在接收端利用解密算法D和解密密鑰K對密文C解密，得到明文X。四、經典的加密技術經典的加密方法主要使用了替換加密、換位加密和一次性填充3種加密技術。（1）替換加密。用一個字母替換另一個字母。（2）換位加密。按照一定的規律重排字母的順序。（3）一次性填充。把明文變為位串，選擇一個等長的隨機位串作為密碼，對二者進行按位異或，得到密文。五、對稱密鑰密碼體制對稱密鑰加密的發送和接收數據的雙方必須使用相同的/對稱的密鑰對明文進行加密和解密運算。常用的對稱加密算法有：DES、IDEA、TDEA、AES、RC2、RC4、RC5等算法（1）數據加密標準（DES)：一種分組密碼，在加密前，先對整個明文進行分組。每一個組長為64位。然后對每個64位二進制數據進行加密處理，經過16輪迭代，產生一組64位密文數據。最后將各組密文串接起來，即得出整個密文。使用的密鑰為56位。（2）三重DES:使用兩個密鑰，執行三次DES算法，如圖9-2所示。其密鑰長度是112位。（3）國際數據加密數據算法（IDEA)：IDEA的密碼長是128位，若采用強行攻擊,對付IDEA將是對付DES工作量的272=4.7X1021倍，因此，它的安全性是比較好，是目前數據加密中應用得較為廣泛的一種密碼體制。六、公開密鑰密碼體制公開密鑰密碼體制也叫非對稱密鑰加密。每個用戶都有一對密鑰：公開密鑰和私有密鑰。公鑰對外公開，私鑰由個人秘密保存；用其中一把密鑰來加密，另一把密鑰來解密。雖然私有密鑰 SK是由公開密鑰PK決定的，但不能根據PK計算出SK。其原理如下圖9-3所示。（1）RSA算法：基于數論中尋求兩個大素數比較簡單，而將它們的乘積分解開則極其困難。每個用戶有兩個密鑰：加密密鑰PK={e，n}和解密密鑰SK= {d,n}。用戶把加密密鑰公開，使得系統中任何其他用戶都可使用，而對解密密鑰中的d則保密。N為兩個大素數p和q之積（素數p和分一般為100位以上的十進數）,e和d滿足一定的關系。攻擊者已知e和n時也并不能求出d。（2）其他的公鑰加密算法：ElGamal算法也是一種常用的公鑰加密算法，它是基于公鑰密碼體制和橢圓曲線加密體系，既能用于數據加密，也能用于數字簽名。背包加密算法以其加密、解密速度快而引人注意，但是大多數一次背包體制均被破譯了，因此很少有人使用。【試題9-2】 2013年5月真題41利用三重DES進行加密，以下說法IH確的是（41)。A.三重DES的密鑰長度是56位 B.三重DES使用三個不同的密鑰進行加密C.三重DES的安全性高于DES D.三重DES的加密速度比DES快解析：3DES (或稱為Triple DES)是三重數據加密算法（TDEA, Triple Data Encryption Algorithm)塊密碼的通稱。它相當于是對每個數據塊應用三次DES加密算法。由于計算機運算能力的增強，原版DES密碼的密鑰長度變得容易被暴力破解；3DES即是設計用來提供一種相對簡單的方法，即通過增加DES的密鑰長度來避免類似的攻擊，而不是設計一種全新的塊密碼算法。【答案：（41)C】【試題9-3】 2013年11月真題45下面算法中，不屬于公開密鑰加密算法的是（45)。A. ECC B. DSA C. RSA D. DES解析：常見的公鑰加密算法有:RSA、ElGamal、背包算法、Rabin (RSA的特例）、迪菲一赫爾曼密鑰交換協議中的公鑰加密算法、橢圓曲線加密算法（英語：Elliptic Curve Cryptography, ECC)。DES不屬于公開密鑰加密算法。【答案：（45) D】【試題9-4】 2012年11月真題44 SDES是一種（44)算法。A.共享密鑰 B.公開密鑰 C.報文摘要 D.訪問控制解析:DES是使用最廣泛的共享密鑰加密算法。3DESC或稱為Triple DES)是三重數據加密算法(TDEA, Triple Data Encryption Algorithm)塊密碼的通稱。它相當于是對每個數據塊應用三次DES加密算法。【答案：（44) A】【試題9-5】 2011年11月真題46公鑰體系中，用戶甲發送給用戶乙的數據要用（46)講行加密。A.甲的公鑰 B.甲的私鑰C.乙的公鑰 D.乙的私鑰解析：公開密鑰密碼體制也叫非對稱密鑰加密。每個用戶都有一對密鑰：公開密鑰和私有密鑰。公鑰對外公開，私鑰由個人秘密保存；用其中一把密鑰來加密，另一把密鑰來解密。雖然秘密密鑰SK是由公開密鑰PK決定的，但不能根據PK計算出SK。其原理如圖9-4所示：【答案：（46) C】【試題9-6】 2011年11月真題41~42某報文的長度是1000字節，利用MD5計算出來的報文摘要長度是（41)位，利用SHA計算出來的報文摘要長度是（42)位。（41）A. 64 B. 128 C. 256 D. 160（42）A. 64 B. 128 C. 256 D. 160解析：MD5算法以任意長的報文作為輸入，算法的輸出是產生一個128位的報文摘要。SHA的算法建立在MD5的基礎上，SHA-1是1994年修訂的版本，該算法可以接收的輸入報文小于264位，產生160位的報文摘要。【答案：（41) B； (42) D】【試題9-7】 2010年5月真題43以下關于加密算法的敘述中，正確的是(43)。A.DES算法采用128位的密鑰進行加密B.DES算法采用兩個不同的密鑰進行加密C.三重DES算法采用3個不同的密鑰進行加密D.三重DES算法采用2個不同的密鑰進行加密解析：DES是一個分組加密算法，它以64位為分組對數據加密。它的密鑰長度是64位，但實際有效的密鑰只是56位。3DES是DES算法擴展其密鑰長度的一種方法，它使用兩把密鑰對報文執行三次常規的DES加密，在第一層、第三層中使用相同的密鑰。【答案：（43) D】【試題9-8】 2010年11月真題41按照RSA算法，若選兩奇數p=5, q=3,公鑰e=7,則私鑰d為（41)。A. 6 B. 7 C. 8 D. 9解析：RSA算法密鑰選取過程為：①選取兩個質數，這里p=5, q=3②計算n=pq=15, z=(p-1)(q-1)=8.③選取小于n的整數e，并且和z沒有公約數。這里e=7,滿足條件。找到數d,滿足ed-1被2整除，題目中選項8滿足條件。【答案：（41) B】【試題9-9】 2010年11月真題48IEEE 802.1 li所采用的加密算法為 （48)。A. DES B. 3DES C. IDEA D. AES解析：IEEE802.11i規定使用802.1認證和密鑰管理方式，在數據加密方面，定義了TKIP(TemporalKey Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP( Wireless Robust Authenticated Protocol) 3種加密機制。其中TKIP釆用WEP機制里的RC4作為核心加密算法，可以通過在現有的設備上升級固件和驅動程序的方法達到提高WLAN安全的目的。CCMP機制基于AES (Advanced Encryption Standard)加密算法和CCM (Counter-Mode/CBC-MAC)認證方式，使得WLAN的安全程度大大提高，是實現RSN的強制性要求。WRAP機制基于AES加密算法和OCB (OffsetCodebook),是一種可選的加密機制。【答案：（48) D】【試題9-10】 2010年11月真題49~50公鑰體系中，私鑰用于（49),公鑰用于（50)。（49）A.解密和簽名 B.加密和簽名 C.解密和認證 D.加密和認證（50）A.解密和簽名 B.加密和簽名 C.解密和認證 D.加密和認證解析：在公鑰體系亦即非對稱密鑰體制中，每個用戶都有一對密鑰：公鑰和私鑰，公鑰對外公開，私鑰由個人秘密保存。因此通常采用公鑰加密，私鑰解密。認證技術用于辨別用戶的真偽，有基于對稱加密的認證方法，也有基于公鑰的認證。在基于公鑰的認證中，通信雙方用對方的公鑰加密，用各自的私鑰解密。 在簽名中用私鑰簽名消息，公鑰驗證簽名。【答案：(49) A； (50) D】認證技術一、三種認證技術（1）基于共享密鑰的認證通信雙方有一個共享的密鑰，要依賴于一個雙方都信賴的密鑰分發中心（Key Distribution Center, KDC)。認證過程如圖9-5所示。A向KDC發出消息（這個消息的一部分用尤A加密了），說明自己要和B進行通信，并指出了與B會話的密鑰KDC知道A的意圖后構造一個消息發給B，B用知解密后就得到了A和KS，然后就可以與A會話了。注意：主動攻擊者可以對基于共享密鑰的認證方式進行重發攻擊。(2) Needham-Schroeder認證協議這是一種多次提問-響應協議，可以對付重放攻擊，關鍵是每一個會話回合都有一個新的隨機數在起作用，其應答過程如圖9-6所示。（3）基于公鑰的認證通信雙方都用對方的公鑰加密，用各自的私鑰解密。具體過程如圖9-7所示。通信報文中有A 和B指定的隨機數Ra和Rb,因此能排除重放的可能性。二、數字簽名數字簽名是用于確認發送者身份和消息完整性的一個加密的消息摘要。數字簽名應滿足以下3點：①接收者能夠核實發送者;②發送者事后不能抵賴對報文的簽名;③接收者不能偽造對報文的簽名。數字簽名可以利用對稱密碼體系（如DES)、公鑰密碼體系或公證體系來實現。最常用的實現方法是建立在公鑰密碼體系和單向散列函數算法（如MD5、SHA)的組合基礎上。(1)基于密鑰的數字簽名基于密鑰的數字簽名系統中要有收發雙方共同信賴的仲裁人，如圖9-8所示。其中，BB是A和B共同信賴的仲裁，KA*KB分別是A和B與BB之間的密鑰，KBB是只有BB掌禪的密鑰，P是A發給B的消息，t是時間戳。由BB解讀A發的報文，然后產生一個簽名的消息KBB(A，t，P),并裝配成發給B的報文；B可以解密該報文，閱讀消息P，并保留證據。(2)基于公鑰密碼體系的數字簽名利用公鑰加密算法的數字簽名系統如圖9-9所示。這樣的簽名方法是符合可靠性原則的，即簽字是可以被確認的；簽字是無法被偽造的；簽字是無法重復使用的；文件被簽字以后是無法被篡改的；簽字具有不可否認性。如果A方否認了，B可以拿出Da(P),并用A的公鑰Ea解密得到P,從而 證明P是A發送的；如果B把消息篡改了，當A要求B出示原來的DA(P)時，B拿不出來。三、報文摘要（1）報文摘要的工作原理報文摘要是單向的散列函數，以變長的信息輸入，把其壓縮成一個定長的值輸出。若輸入的信息改變了，則輸出的定長值（摘要）也會相應改變。從數據完整性保護的角度來看，報文摘要可為制定 的數據產生一個不可仿造的特征，偽造一個報文并使其具有相同的報文摘要是計算不了的。（2）MD5MD5是目前廣泛使用的報文摘要算法，它對任意長度的報文進行運算，最后得到128位的MD報文摘要代碼^（3）安全散列算法（SHA)SHA是另一種報文摘要算法，它對512位長的數據塊進行復雜運算，但產生的散列值是160位。SHA比MD5更安全，但計算速度比MD5慢。（4）散列式報文認證碼散列式報文認證碼（HMAC)是利用對稱密鑰生產報文認證碼的散列算法可以提供數據完整性、數據源身份認證。HMAC使用現有的散列函數H而不用修改其代碼，這樣可以使用已有的H代碼庫，而且可以隨 時用一個散列函數代替另一個散列函數。HMAC-MD5:已經被IETF指定為Internet安全協議IPsec的驗證機制，提供數據源認證和數據完整性保護。四、數字證書（1）數字證書的概念數字證書解決了公開密鑰密碼體制下密鑰的發布和管理問題，用戶可以公開其公鑰，而保留其私鑰。一般包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名的數據。數字證書是一個經證書認證中心（CA)數字簽名的包含公開密鑰擁有者信息和公開密鑰的文件。 認證中心作為權威的、可信賴的、公正的第三方機構，專門負責為各種認證需求提供數字證書服務。 目前得以廣泛使用的證書標準是X.509。表9-2所示的是X.509數字證書中的各個數字域的含義。表9-2 X.509數字證書格式域含義版本號證書版本號，不同版本的證書格式不同序列號序列號,同一身份驗證機構簽發的證書序列號唯一簽名算法簽署證書所用的簽名算法，包括必要的參數發行者建立和簽署證書的CA名稱有效期包括有效期的起始時間和終止時間主體名_證書持有人的名稱，以及這一證書用來證明私鑰用戶對應的公開密鑰主體的公鑰主體的公開密鑰、使用這一公開密鑰的算法的標識符及參數發行者唯一標識符(可選）證書頒發者的唯一標識符主體唯一標識符(可選）證書擁有者的唯一標識符擴充域(可選）可選的標準和專用功能字段，如基本限制字段和密鑰用法字段簽名CA用自己的私鑰對上述域的哈希值進行數字簽名的結果（2）證書的獲取任何一個用戶要得到CA中心的公鑰，就能得到該CA中心為該用戶簽署的公鑰。由于證書是不可偽造的，因此對于存放證書的目錄無須施加特別的保護。由于一個公鑰用戶擁有的可信任管理中心數量有限，要與大量不同管理域的用戶建立安全通信需要CA間建立信任關系。一個證書鏈是從一個自簽名的根證書開始，前一個證書主體是后一個證書的發放者。也就是說，該主體對后一個證書進行簽名。一般來說,對證書鏈的處理需要考慮每個證書相關的信任關系。（3）證書的吊銷若用戶的數字證書到了有效期、用戶私鑰已被泄露、用戶放棄使用原CA中心的服務或者CA中心私鑰泄露都需要吊銷用戶的數字證書。為此，CA中心維護有一個證書吊銷列表CRL,以供用戶查詢。五、密鑰管理密鑰管理是指處理密鑰自產生到最終銷毀的整個過程中的有關問題，包括系統的初始化，密 鑰的產生、存儲、備份/恢復、裝入、分配、保護、更新、控制、丟失、吊銷和銷毀。在美國信息保障技術框架(IATF)中定義了密鑰管理體制主要有三種：一種適用于封閉網的技術，以傳統的密鑰分發中心為代表的KMI機制;二是適用于開放網的PKI機制;三是適用于規模化專用網的SPK技術。【試題9-11】 2013年5月真題42利用報文摘耍算法生成報文摘要的目的是（42)。A.驗證通信對方的身價，防止假冒 B.對傳輸數據進行加密，防止數據被竊聽C.防止發送方否認發送過的數據 D.防止發送的報文被篡改解析：消息摘要是用來保證數據完整性的。傳輸的數據一旦被修改那么計算出的摘要就不同，只要對比兩次摘要就可確定數據是否被修改過。利用報文摘要算法生成報文摘要的目的是防止發送的報文被篡改。 【答案：（42) D】【試題9-12】 2013年11月真題43PKI體制中，保證數字證書不被篡改的方法是 （43)A.用CA的私鑰對數字證書簽名 B.用CA的公鑰對數字證書簽名C.用證書主人的私鑰對數字證書簽名 D.用證書主人的公鑰對數字證書簽名解析：PKI (Public Key Infrastructure,公鑰基礎架構）是一套以公鑰技術為基礎、提供安全服務的架構，由認證機構(CA)，數字證書庫，密鑰備份和恢復，證書作廢系統，應用接口等組成。CA是PKI的核心，CA的主要功能有：證書發放、證書管理（更新、撤消、驗證）。保證數字證書不被篡改的方法是用CA的公鑰對數字證書簽名。【答案：（43) B】【試題9-13】 2013年11月真題44報文摘要算法SHA-1輸出的位數是 （44)。A. 100位 B. 128位 C.160位 D. 180位解析：SHA-1是一種數據加密算法，該算法的思想是接收一段明文，然后以一種不可逆的方式將它轉換成一段（通常更小）密文，也可以簡單的理解為取一串輸入碼（稱為預映射或信息），并把它們轉化為長度較短、位數固定的輸出序列即散列值（也稱為信息摘要或信息認證代碼）的過程。該算法輸入報文的長度不限，產生的輸出是一個160位的報文摘要。輸入是按512位的分組進行處理的。SHA-1是不可逆的、防沖突，并具有良好的雪崩效應。【答案：(44) C】【試題9-14】 2012年5月真題44甲和乙要進行通信，甲對發送的消息附加了數字簽名，乙收到該消息后利用（44)驗證該消息的真實性。A.甲的公鑰 B.甲的私鑰 C.乙的公鑰 D.乙的私鑰解析：認證技術用于辨別用戶的真偽，有基于對稱加密的認證方法，也有基于公鑰的認證。在基于公鑰的認證中，通信雙方用對方的公鑰加密，用各自的私鑰解密。在簽名中用私鑰簽名消息，公鑰驗證簽名。 【答案：(44) 】【試題9-15】 2012年5月真題45下列算法中，(45)屬于摘要算法。A.DES B.MD5 C.Diffie-Hellman D.AES解析：MD5是目前廣泛使用的報文摘要算法，它對任意長度的報文進行運算，最后得到128位的MD報文摘要代碼。【答案：（45) B】【試題9-16】 2012年11月真題42~43用戶B收到用戶A帶數字簽名的消息M,為了驗證M的真實性，首先需要從CA獲取用戶的數字證書，并 利用（42)驗證該證書的真偽,然后利用（43）驗證M的真實性。（42）A.CA的公鑰 B.B的私鑰 C.A的公鑰 D.B的公鑰（43）A.CA的公鑰 B.B的私鑰 C.A的公鑰 D.B的公鑰解析：考查加密和解密，由于消息M是帶數字簽名的，所以首先要獲取數字證書，并用CA的公鑰驗證證書真偽，然后用發送者的公鑰來驗證消息的真實性。【答案：（42) A； (43) C】【試題9-17】 2012年5月真題43~44圖9-10所示為一種數字簽名方案，網上傳送的報文是 （43),防止A抵賴的證據是 （44)。（43）A. P B. Da(P) C. EB(Da(P)) D. Da（44）A. P B. Da(P) C. EB(Da(P)) D. Da解析：利用公鑰加密算法的數字簽名系統如上圖所示。這樣的簽名方法是符合可靠性原則的，即簽字是可以被確認的；簽字是無法被偽造的；簽字是無法重復使用的；文件被簽字以后是無法被篡改的；簽字具有不可否認性。如果A方否認了，B可以拿出Da(P),并用A的公鑰EA解密得到P,從而證明P是A發送的；如果B把消息篡改了，當A要求B出示原來的DA(P)時，B拿不出來。【答案：（43) C； (44) B】【試題9-18】 2011年5月真題42下列選項中，同屬于報文摘要算法的是 （42)。A.DES和MD5 B. MD5和SHA-1C.RSA和SHA-1 D. DES和RSA解析：MD5是MIT的RonRivest(RFC 1321)提出的。算法以任意長的報文作為輸入，算法的輸出是產生一個128位的報文摘要。SHA的算法建立在MD5的基礎上，SHA-1是1994年修訂的版本，該算法可以接收的輸入報文小于264位，產生160位的報文摘要。【答案：（42) B】【試題9-19】 2010年11月真題45~46報文摘要算法MD5的輸出是 （45) 位,SHA-1的輸出是 （46) 位。（45）A. 56 B. 128 C. 160 D. 168（46）A. 56 B. 128 C. 160 D. 168解析：MD5算法以任意長的報文作為輸入，算法的輸出是產生一個128位的報文摘要。SHA的算法建立在MD5的基礎上，SHA-1是1994年修訂的版本，該算法可以接收的輸入報文小于264位，產生160位的報文摘 要。【答案：（45) B； (46) C】虛擬專用網—、虛擬專用網的工作原理（1）虛擬專用網的概念虛擬專用網（Virtual Private Network, VPN)，是一種建立在公用網上的，由某一組織或某一群用戶專用的通信網絡。其虛擬性表現在任意一對VPN用戶之間沒有專用的物理連接,而是通過ISP 提供的公用網絡來實現通信的；其專業性表現在VPN之外的用戶無法訪問VPN內部的網絡資源，VP&內部用戶之間可以實現安全通信。（2）實現VPN的關鍵技術實現VPN的關鍵技術主要有隧道技術、加解密技術、密鑰管理技術和身份認證技術。（3）VPN的分類按VPN的部署模式分類，有端到端、運營商一企業和內部運營三種模式。按VPN的服務類型分類有Internet VPN、Access VPN和Extranet VPN三種類型。按VPN的技術分類有基于鏈路層的二層隧道技術、基于網絡層的三層隧道技術和基于高層協 議實現的VPN三種技術。（4）VPN的解決方案VPN的解決方案有以下三種。access VPN:用于遠程用戶需要及時地訪問intranet和extranet，如出差流動員工、遠程辦公人員和遠程小辦公室，通過公用網終與企業的intranet和extranet建立私有的網絡連接。通常利用了二層網絡隧道技術建立VPN隧道連接來傳輸私有網絡數據。intranet VPN:通過公用網絡進行企業各個分布點互連，是傳統的專線網或其他企業網的擴展或替代形式。extranet VPN:通過一個使用專用連接的共享基站設施，將客戶、供應商、合作伙伴或興趣群體連接到企業內部網。企業擁有與專用網絡的相同政策，包括安全、服務質量（QoS)、可管理性 和可靠性。二、第二層隧道協議虛擬專用網可以通過第二層隧道協議實現，這些隧道協議都是把數據封裝在點對點協議(PPP)的幀中在因特網上傳輸的。(1)點對點協議PPPPPP (Point to Point Protocol,點對點協議）是IETF推出的點到點類型線路的藪據鏈路層協議。 它解決了SLIP中的問題，并成為正式的因特網標準。PPP協議定義PAP和CHAP兩種驗證方式，同級系統可以使用這兩種認證相互進行標識。（2）點對點隧道協議PPTPPPTP (Point-to-Point Tunneling Protocol)是在1996年定義的第二層險道協議。PPTP定義了由PAC和PNS組成的客戶端/服務器結構，從而把NAS的功能分解給這兩個邏輯設備,以支持虛擬專用網。PAC即PPTP接入集中器（PPTP Access Conceiitrator)，可以連接一條或多條PSTN或ISDN撥號 線路，能進行PPP操作，并能處理PPTP協議。PNS即PPTP網絡服務器（PPTP Network Server)，建立在通用服務器平臺上的PPTP服釋器，運行TCP/IP協議，可以使用任何LAN和WAN接口硬件實現。（3）第二層隧道協議L2TP第二層險道協議（Layer 2 Tunneling Protocol, L2TP)是一種基于點對點協議PPP的二層隧道協議。L2TP擴展了PPP模型，允許第二層連接端點和PPP會話端點駐在由分組交換網連接的不同設備中。L2TP的典型結構如圖9-11所示。其中，LAC表示L2TP訪問集中器，是附屬在交換網絡上的具有接入功能和L2TP協議處理能力的設備；LNS是L2TP網絡服務器，是用于處理L2TP協議服務器端部分的軟件。在一個LNS和LAC對之間存在兩種類型的連接，一種是隧道（tunnel)連接，它定義了一個LNS和LAC對；另一種是會話（session)連接它復用在隧道連接之上，用于表示承載在隧道連接中的每個PPP會話過程。三、IPSecIPSec (IP安全）是指IETF以RFC形式公布的一組安全IP協議集，是在IP包級為IP業務提供保護的安全協議標準，其目的就是把安全機制引入IP協議，通過使用現代密碼學方法支持加密性和認證性服務，使用戶能有選擇地使用，并得到所期望的安全服務。IP的功能可以劃分為三類：認證頭(AH)、封裝安全負荷(ESP)、Internet密鑰交換協議（IKE)。（1）LPSecI作模式IPSec有兩種工作方模式：隧道模式和傳輸模式。隧道模式：用戶的整個IP數據包被用來計算附加報頭，且被加密，附加報頭和加密用戶數據被封裝在一個新的IP數據包中。傳輸模式：只是傳鈽層（如TCP、UDP)數據被用來計算附加報頭，附加報頭和被加密的傳輸層數據被放置在原IP報頭后面。（2）認證頭IPSec認證頭提供了數據完整性和數據源認證，但是不提供保密服務。AH包含了對稱密鑰的散列函數，使得第三方無法修改傳輸中的數據。IPSec支持的認證算法有：HMAC-MD5和 HMAC-SHA1。對于兩種工作模式，AH報文的封裝如圖9-1.2所示。（3）封裝安全負荷IPSec封裝安全負荷提供了數據加密功能。ESP利用對稱密鑰對IP數據進行加密，支持的加密 算法有DES-CBC、3DES-CBC、AES128:CBC。對于兩種工作模式，AH報文的封裝如圖9-13所示。(4)帶認證頭的ESPESP加密算法本身沒有提供認證功能，不能保證數據的完整性。帶認證頭的ESP則可以提供數據完整性服務。(5)Internet密鑰交換協議IPSec傳送認證或加密的數據之前，必須就協議、加密算法和使用密鑰進行協商。密鑰交換協議就提供這個功能，并在密鑰交換之前還要對遠程系統進行初始的認證。IKE實際上是ISAKMP、Oakley和SKEME這三個協議的混合體。ISAKMP提供了認證和密鑰交換的框架，但沒有給出具體的定義；Oakley描述了密鑰交換的模式；SKEME定義了密鑰交換技術。四、安全套接層（SSL)SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸，工作在應用層和傳輸層之間，如圖9-14所示。1999年IETF推出了傳輸層安全標準（Transport Layer Security，TLS),對SSL進行了擴展。 SSL/TLS 已經在Netscape Navigator和Internet Explorer中得到了廣泛的應用。（1）SSL的功能SSL具有以下三個基本功能：驗證身份、數據的機密性、報文的完整性。SSLVPN使用RSA或D-H握手協議來建立秘密隧道，使用3-DES、128位的RC4、ASE、MD5、 SHA-1等預加密、數據完整性和身份認證技術。由于SSL的安全連接是通過應用層的Web連接建立的，更適合移動用戶遠程訪問公司的虛擬專用網。HTTPS、FTPS, TELNETS、MAPS胃應用層SSL握手協議SSL修改密文協議SSL告警協議SSL層SSL 記錄協議TCP傳輸層IP網絡層圖9-14 SSL協議與TCP/IP協議間的關系SSL/TLS在Web安全通信中稱為HTTPS，也可以用在其他非Web的應用上。(2)SSL會話與SSL連接SSL會話是客戶與服務器之間的關聯，會話通過握手協議來創建。連接是提供恰當類型服務的傳輸。對于SSL，這樣的連接是點對點的關系。連接是短暫的，每一個連接與一個會話相聯系。(3)記錄協議SSL記錄層首先把上層的數據劃分成214字節的段，然后進行無損壓縮，計算MAC并且進行加密。（4）改變密碼協議 這個協議手改變安全策略。(5)警告協議SSL記錄層對當前傳輸中的錯誤發出警告，使得當前的會話失效，避免再產生新的會話。(6)握手協議會話狀態的密碼參數是在SSL握手階段產生的。其過程如下：①SSL客戶機連接至SSL服務器，并要求服務器驗證它自身的身份。②服務器通過發送它的數字證書證明其身份。③服務器發出一個請求，對客戶端的證書進行驗證。④協商用于加密的信息加密算法和用于完整性檢查的哈希函數。(7)密鑰交換算法在握手協議中采用非對稱算法來認證對方和生成共享密鑰。有RSA、Diffie-Hellman和Fortezza 三種算法可供選用。令怎么考令【試題9-20】 2013年5月真題44下面能正確表示L2TP數據包的封裝格式的是（44)。解析：L2TP是一種工業標準的Internet隧道協議，功能大致和PPTP協議類似，比如同樣可以對網絡數 據流進行加密。其封裝格式如選項B所示。【答案:(44) B]【試題9-21】 2013年11月真題19~20CHAP協議是PPP鏈路中采用的二種身份認證協議，這種協議采用（19)握手方式周期性地驗證通信對方的身份，當認證服務器發出一個挑戰報文時，則終端就計算該報文的（20)并把結果返回服務器。（19）A.兩次 B.三次 C.四次 D.周期性（20）A.密碼 B.補碼 C. CHAP值 D. HASH值解析：CHAP全稱是PPP (點對點協議）詢問握手認證協議（Challenge Handshake Authentication Protocol)。該協議可通過三次握手周期性的校驗對端的身份，可在初始鏈路建立時完成時，在鏈路建立之后重復進行。通過遞增改變的標識符和可變的詢問值，可防止來自端點的重放攻擊，限制暴露于單個攻擊的時間。認證者根據它自己計算的HASH值來檢查應答，如果值匹配，認證得到承認；否則，連接應該終止。【答案：（19) B、(20) D】【試題9-22】 2012年5月真題43支持安全WEB服務的協議是（43)。A.HTTPS B.WINS C.SOAP D.HTTP解析：SSL/TLS在Web安全通信中被稱為HTTPS。【答案：（43) A】【試題9-23】 2012年11月真題41在下列安全協議中，與TLS功能相似的協議是（41)。A. PGP B.SSL C.HTTPS D.IPSec解析：安全套接層（Secure Socket Layer, SSL)是Netscape公司設計的主要用于Web的安全傳輸協議。IETF將SSL作了標準化，標準文獻是RFC 2246,并將其稱為傳輸層安全性（Transport Layer Security, TLS)， 從技術上講TLS與SSL的差別非常微小。TLS提供了客戶機與服務器之間的安全連接。【答案：（41) B】【試題9-24】 2012年11月真題45IPSec中的安全關聯（Security Associations)三元組是（45)。 A.<安全參數索引SPI,目標IP地址，安全協議> B.<安全參數索引SPI,源IP地址，數字證書> C.<安全參數索引SPI,目標IP地址，數字證書> D.<安全參數索引SPI,源IP地址，安全協議>解析：安全關聯SA利用一個三元組（安全參數索引SPI、目的IP地址、安全協議）唯一標識。【答案：（45) A】【試題9-25】 2010年11月真題47下列隧道協議中工作在網絡層的是（47)。A.SSL B. L2TP C.IPSec D.PPTP解析：在Internet上建立隧道可以在不同的協議層實現。工作在第二層的隧道協議有點對點隧道協議 (PPTP)、第2層隧道協議（L2TP)等；IPSec是IETF定義的一組協議，工作在網絡層，用于增強BP網絡的安全性；安全套接字（SSL)是傳輸層安全協議，用于實現Web安全通行。【答案：（47) C】應用層安仝協議一、S-HTTP安全的超文本傳輸協議(SecurityHTTP, S-HTTP)是一個面向報文的安全通信協議，是HTTP協議的擴展，其設計目的是保證商業貿易信息的傳輸安全，促進電子商務的發展。S-HTTP為HTTP客戶端和服務器端提供了各種安全機制，適用于潛在的各類Web用戶。S-HTTP 的語法與HTTP一樣，為了與HTTP報文區別，S-HTTP使用了協議指示器Secure-HTTP/1.4。目前，SSL基本取代了SHTTP。大多數Web交易均采用傳統的HTTP協議，并使用經過SSL加密 的HTTP報文傳輸敏感的交易信息。二、電子郵件安全——PGPPGP (Pretty Good Privacy)是一個完整的電子郵件安全軟件包,包括加密、鑒別、電子簽名和壓縮等技術。PGP并沒有使用什么新的概念，它只是將現有的一些算法（如MD5、RSA以及IDEA等）綜合在一起而已。PGP提供數據加密和數字簽名兩種服務。圖9-15所示為PGP的加密過程。數字加密機制可以應用于本地存儲文件，也可以應用于網絡上傳輸的電子郵件。數字簽名機制用于數據源身份認證和報文完整性驗證。PGP使用RSA公鑰證書班行身份認證，使用IDEA (128位密鑰）進行數據加密,使用MD5進行數據完整性認證。三、S/MIMES/MIME(Security/Multipurpose Internet Mail Extensions)是RSA數據安全公司開發的軟件。S/MIME提供的安全服務有報文完整性驗證、數字簽名和數據加密。S/MIME可以添加在郵件系統的用戶代理中，用于提供安全的電子郵件傳輸服務，也可以加入其他的傳輸機制中，安全地傳輸任何MIME報文，甚至可以添加在自動報文傳輸代理中,在Internet中安全地傳送由軟件生成的FAX報文。S/MIME的安全功能基于加密信息語法標準PKCS#7 (RFC2315)和X.509v3證書，密鑰長度是動態可變的，具有很高的靈活性。四、安全的電子交易安全的電子交易（Secure Electronic Transaction, :SET)用于電子商務的行業規范，是一種應用在Internet上、以信用卡為基礎的電子付款系統規范，目的是為了保證網絡交易的安全。SET主要使用“電子認證”技術作為保密電子交易安全進行的基礎，其認證過程使用RSA和DES算法。（1）SET提供的服務 .SET提供以下三種服務。•在交易涉及的對方之間提供安全信道。•使用X.509數字證書實現安全的電子交易。•保證信息的機密性。（2）SET交易過程SET交易發生的先決條件是，每一個持卡人（客戶）必須擁有一個唯一的電子（數字）證書，且由客戶確定口令，并用這個口令對數字證書、私鑰、信用卡號碼以及其他信息進行加密存儲，這些與符合SET協議的軟件一起組成了一個SET “電子錢包”。圖9-16展示了SET交易過程中，持卡人、商家、支付網關、收單銀行和發卡機構之間的數據交換過程。五、Kerberos認證Kerberos是MIT為校園網用戶訪問服務器進行身份認證而設計的安全協議，它可以防止偷聽和重放攻擊，保護數據的完整性。Kerberos系統為分布式計算環境提供了一種對用戶雙方進行驗證的認證方法。它使網絡上進行通信的用戶相互證明自己的身份，同時又可選擇防止竊聽或中繼攻擊。它的安全機制在于首先對發出請求的用戶進行身份驗證，確認其是否為合法用戶，若是合法用戶則再審核該用戶是否有權利對其所請求的服務器或主機進行訪問。從加密算法上來講，其驗證是建立在對稱加密（DES)的基礎上的，它采用可信任的第三方——密鑰分配中心（KDC)保存與所有密鑰持有者通信的主密鑰（秘有密鑰）。Kerberos的目標在于3個領域：認證、授權和記賬審計。認證過程如圖9-17所示。（1）客戶將自己的用戶名以明文方式發送給認證服務器AS，申請初始票據。（2）認證服務器AS確認A為合法客戶后，生成一個一次性會話密鑰Ks和一個票據KTCS(A,Ks), 并用客戶A的密鑰KdP密這兩個數據包后傳給客戶A，要求用戶輸入密碼。（3）客戶A收到上述兩個數據包后，用自己的密鑰Ka解密獲得會話密鑰Ks和票據KT(3S(A，Ks)。客戶A將獲得的票據Ktgs(A,Ks)、應用服務器名V以及用于會話密鑰加密的時間戳（用于防止重放攻擊）發送給票據授予服務器TGS，請求會話票據。（4）票據授予服務器TGS收到上述數據包后，向客戶A返回它與服務器V通信的會話票據Kav,這個會話票據Kav是用客戶A的密鑰和應用服務器V的密鑰進行加密。（5）客戶A使用從票據授予服務器TGS獲取的會話票據KAV發送給應用服務器V請求登錄，并且附上用KAV加密的時間戳，以防止重放攻擊。（6）服務器V通過用KAV加密的時間戳進行應答，完成認證過程。【試題9-26】 2013年5月真題431411_是支持電子郵件加密的協議。A. PGP B. PKI C. SET D. kerberos解析：PGP(Pretty Good Privacy),是一個基于RSA公匙加密體系的郵件加密軟件。可以用它對郵件保密以防止非授權者閱讀，它還能對郵件加上數字簽名從而使收信人可以確認郵件的發送者，并能確信郵件沒有被篡改。它可以提供一種安全的通訊方式，而事先并不需奏任何保密的渠道用來傳遞密匙。【答案：（43) A】【試題9-27】 2012年5月真題68安全電子郵件使用（68)協議。A.PGP B.HTTPS C.MIME D.DES解析：PGP (Pretty Good Privacy):是一個完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名和壓縮等技術。【答案：（68) A】【試題9-28】2011年5月真題48~49HTTPS的安全機制工作在（48)。而S-HTTP的安全機制工作在（49)。（48）A.網絡層 B.傳輸層 C.應用層 D.物理層（49）A.網絡層 B.傳輸層 C.應用層 D.物理層解析：HTTP工作在傳輸層；安全起文本傳輸協議(Secure Hypertext Transfer Protocol, S-HTTP)是一種 結合HTTP而設計的消息的安全通信協議，工作在應用層。【答案：（48) B; (49) C】【試題9-29】 2011年5月真題46~47解析：客戶A將自己的用戶名以明文方式發送給認證服務器AS,申請初始票據。認證服務器AS確認A為合法客戶后，生成一個一次性會話密鑰Ks和一個票據KTas(A，Ks),并用客戶A的密鑰KA加密這兩個數據包 后傳給客戶A，要求用戶輸入密碼。客戶A收到上述兩個數據包后，用自己的密鑰KA解密獲得會話密鑰Ks和票據KTC3S(A, Ks).客戶A將獲得的票據Ktcjs(A, Ks),應用服務器名V以及用于會話密鑰加密的時間戳（用于 防止重放攻擊）發送給票據授予服務器TGS,請求會話票據。票據授予服務器TGS收到上述數據包后，向客戶A返回它與服務器V通信的會話票據Kav，這個會話票據Kav是用客戶A的密鑰和應用服務器V的密鑰進行加密。客戶A使用從票據授予服務器TGS獲取的會話票據KAV發送給應用服務器V請求登錄，并且附上用KAV加密的時間戳，以防止重放攻擊。服務器V通過用KAV加密的時間戳進行應答，完成認證過程。【答案：（46) B； (47) C】【試題9-30】 2011年11月真題43以下安全協議中，用來實現安全電子郵件的協議是（43)。A.IPsec B. L2TP C. PGP D. PPTP解析：PGP (Pretty Good Privacy)是一個完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名和壓縮等技術。PGP并沒有使用什么新的概念，它只是將現有的一些算法（如MD5、RSA及IDEA)等綜合在一起而已。PGP提供數據加密和數字簽名兩種服務。【答案：（43) C】【試題9-31】2011年11月真題44~45Kerberos由認證服務器(AS)和票證授予服務器（TGS)兩部分組成，當用戶A通過Kerberos向服務器V請求服務時，認證過程如圖9-18所示，圖中①處為（44),②處為（45)。解析：Kerberos的目標在于3個領域：認證、授權和記賬審計。認證過程如下：（1）客戶A將自己的用戶名以明文方式發送給認證服務器AS,申請初始票據。（2）認證服務器AS確認A為合法客戶后，生成一個一次性會話密鑰&和一個票據Ktgs(A，Ks),并用客戶 A的密鑰KA加密這兩個數據包后傳給客戶A,要求用戶輸入密碼。（3）客戶A收到上述兩個數據包后，用自己的密鑰Ka解密獲得會話密鑰Ks和票據Ktgs(A,Ks)„客戶A將獲得的票據Ktgs(A，KS）、應用服務器名V以及用于會話密鑰加密的時間戳（用于防止重放攻擊）發送給票據授予服務器TGS,請求會話票據。（4）票據授予服務器TGS收到上述數據包后，向客戶A返回它與服務器V通信的會話票據Kav，這個會話票據KAV是用客戶A的密鑰和應用服務器V的密鑰進行加密。（5）客戶A使用從票據授予服務器TGS獲取的會話票據Kav發送給應用服務器V請求登錄，并且附上用Kav加密的時間戳，以防止重放攻擊。（6）服務器V通過用KAV加密的時間戳進行應答，完成認證過程。【答案：（44) A； (45) D】【試題9-32】 2010年5月真題39HTTPS采用（39)協議實現安全網站訪問。A. SSL B. IPSec C. PGP D. SET解析：SSL是傳輸層安全協議，用于實現Web的安全通信。SSL/TLS在Web安全通信中稱為HTTPS。利用HTTPS協議，能在客戶端和服務器之間進行防竊聽、防篡改及防偽造的通信，實現數據的機密性、完整 性、服務器認證和可選的客戶端認證。【答案：（39) A】人侵檢測技術與防火墻一、入侵檢測入侵檢測系統（IDS)通過對計算機網絡或系統中的若干關鍵點收集信息并對其進行分析，從 中發現是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測、記錄、報警、響應的動態安全技術，不僅能檢測來自外部的入侵行為，同時也監督內部用戶的未授權活動。一個基本的入侵檢測系統需要解決兩個問題：一是如何充分并可靠地提取描述行為特征的數據；二是如何根據特征數據，高效并準確地判斷行為的性質。(1)入侵檢測系統的構成 DARPA提出的公共入侵檢測框架（CIDF)由4個模塊組成：事件產生器、事件分析器、事件數據庫和響應單元，如圖9-19所示。(2)入侵檢測技術入侵檢測技術共有兩大類，即異常入侵檢測技術和濫用入侵檢測技術。二、防火墻防火墻通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。 (1)防火墻的基本類型•包過濾型防火墻：通過訪問控制表，檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素，來確定是否允許該數據包通過。•應用網關防火墻：它工作在應用層，能針對特別的網絡應用協議制定數據過濾規則。•代理服務器防火墻：它工作在OSI模型的應用層，主要使用代理技術來阻斷內部網絡和外部網絡之間的通信，達到隱藏內部網絡的目的。•狀態檢測防火墻：也叫自適應防火墻或動態包過濾防火墻。這種防火墻能通過狀態檢測技術動態記錄、維護各個連接的協議狀態，并且在網絡層和IP之間插入一個檢查模塊，對IP包的信息進行分析檢測，以決定是否允許通過防火墻。•自適應代理防火墻：根據用戶的安全策略，動態適應傳輸中的分組流量。它整合了動態包過濾防火墻技術和應用代理技術，本質上是狀態檢測防火墻。（2）防火墻的結構•屏蔽路由器結構：通常由過濾路由器實現，也可以用主機來實現。屏蔽路由器作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查。•雙穴主機結構：雙穴主機具有兩個網絡接口，它的位置位于內部網絡與Internet的連接處，運行應用代理程序，充當內、外網絡之間的轉發器，如圖9-20所示。•屏蔽主機結構：由屏蔽路由器與堡壘主機構成，屏蔽路由器位于內部網絡與Internet之間的連接處，而堡壘主機位于內部網絡上，如圖9-21所示。•屏蔽子網結構：在屏蔽主機結構的基礎上增加了一個周邊防御網段，用以進一步隔離內部網絡與外部網絡，如圖9-22所示。周邊防御網段是位于內部網絡與外部網絡之間的另一層安全網段，分別由內、外兩個屏蔽路由器與它們相連。周邊防御網段所構成的妄全子網又稱為“非軍事區”（DemilitrizedZone，DMZ)， 這一網段受到的安全威脅不會影響到內部網絡。DMZ是放置公共信息的最佳位置，通常把WWW、 FTP、電子郵件、電子商務等服務器都存放在該區域。而內部服務器、個人PC都應用放置在內網中。【試題9-33】 2013年5月真題39如果一臺CISIOPLX防火墻有如下的配置：(39)。PLX (config) #nameif etherentO fl securityOPLX (config) #nameif etherentl f2 securityOOPLX (config) #nameif etherent2 f3 security50那么以下說法正確的是解析：端口fl作為外部網絡接口，f2作為內部網絡接口，fi連接DMZ區域。【答案：（39) C】【試題9-34】 2013年5月真題45圖9-23為DARPA提供的公共入侵檢測框架示意圖，該系統由四個模塊組成，其中模塊①~④對應的正確名稱為（45)。 A.事件產生器、事件數據庫、事件分析器、響應單元 B.事件分析器、事件產生器、響應單元、事件數據庫 C.事件數據庫、響應單元、事件產生器、事件分析器 D.響應單元、事件分析器、事件數據庫、事件產生器解析：其中模塊①~④對應的正確名稱為響應單元、事件分析器、事件數據庫、事件產生器。【答案：（45) D】■病毒防護一、病毒定義按《中華人民共和國計算機信息系統安全保護條例》中的規定，計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。在病毒的生存期內，典型的病毒經歷了下面的4個階段：潛伏階段。繁殖階段。出發階段。執行階段。二、病毒分類對于最重要的病毒類型，建議如下的分類方法：•寄生病毒。將自己附加到可執行文件中，當被感染的程序執行時，找到其他可執行文件并感染。•存儲器駐留病毒。寄宿在主存中，作為駐留程序的一部分。從那時起，病毒感染每個執行的程序。•引導區病毒。感染主引導記錄或引導記錄，并且當系統從包含了病毒的磁盤啟動時進行傳播。•隱形病毒。能在反病毒軟件檢測時隱藏自己。•多形病毒。每次感染都會改變的病毒，使得不可能通過病毒的“簽名”來檢測自己。三、防病毒技術在所有計算機安全威脅中，計算機病毒是最為嚴重的，它不僅發生的頻率高、損失大，而且 潛伏性強、覆蓋面廣。計算機病毒具有不可估量的威脅性和破壞力，它的防范是網絡安全技術中重要的一環。防病毒技術包括預防病毒、檢測病毒、消除病毒等技術。（1）預防病毒技術計算機病毒預防是指在病毒尚未入侵或剛剛入侵時，就攔截、阻擊病毒的入侵或立即報警。（2）檢測病毒技術檢測病毒技術是通過對病毒的特征來進行判斷的偵測技術，如自身校驗、關鍵字、文件長度的變化等。病毒檢測一直是病毒防護的支柱，但隨著病毒的數目和可能的切入點的大量增加，識別古怪代碼串的進程變得越來越復雜，而且容易產生錯誤和疏忽。因此，建議防病毒技術應將病毒檢測、多層數據保護和集中式管理等多種功能集成起來，形成多層次防御體系，既具有穩健的病毒檢測功能，又具有客戶機/服務器數據保護能力，也就是覆蓋全網的多層次方法。（3）消除病毒技術通過對病毒的分析，開發出具有殺病毒程序并恢復原文件的軟件。大量的病毒針對網上資源和應用程序進行攻擊，這樣的病毒存在于信息共享的網絡介質上，因而要在網關上設防，在網絡入口實時殺毒。對于內部病毒，如客戶機感染的病毒，通過服務器防病毒功能，在病毒從客戶機向服務器轉移的過程中殺掉，把病毒感染的區域限制在最小范圍內。 _【試題9-35】 2013年5月真題34近年來，在我國出現的各類病毒中，(34)病毒通過木馬形式感染智能手機。A.歡樂時光 B.熊貓燒香 C.X臥底 D.cm解析：近年來，一種名為“X臥底”的病毒肆虐智能手機領域，我國至少有15萬手機用戶感染。感染該病毒后，手機上的通話內容、短信等私密信息將被泄露【答案：（34) C】【試題9-36】 2012年5月真題42以下關于釣魚網站的說法中，錯誤的是（42)。A. Worm.Sasser病毒 B. Trojan.QQPSW病毒C. Backdoor.IRCBot病毒 D. Macro.Melissa 病毒解析:Worm表示蠕蟲，Trojan表示木馬，Backdoor表示后門，Macro表示宏。【答案：（50)A】【試題9-38】 2010年5月真題40~41殺毒軟件報告發現病毒Macro.Melissa,由該病毒名稱可以推斷出病毒類型是（40),這類病毒主要 感染目標是（41)。（40）A.文件型 B.引導型 C.目錄型 D.宏病毒（41）A. EXE或COM可執行文件 B.Word或Excel文件 C.DLL系統文件 D.磁盤引導區解析：Melissa病毒是一種快速傳播的能夠感染那些使用MS Word 97和MS Office 2000的計算機宏病毒。即使不知道Melissa病毒是什么也沒關系，因為前面有個Macro,表明這是宏病毒。【答案：（40) D； (41) B】