软件设计师——信息安全知识

 

 
 

  

安全属性

• 保密性：最小授权原则、防暴露、信息加密、物理保密
• 完整性：安全协议、校验码、密码校验、数字签名、公证
• 可用性：综合保障（IP过滤、业务流控制、路由选择控制、审计跟踪）
• 不可抵赖性：数字签名

 
 

 
 

 
 

加密技术

  加密技术是最常用的安全保密手段，数据加密技术的关键在于加密/解密算法和密钥管理。数据加密的基本过程就是对原来为明文的文件或数据按某种加密算法进行处理，使其成为不可读的一段代码，通常称为“密文”。“密文”只能在输入相应的密钥之后才能显示出原来的内容，通过这样的途径使数据不被窃取。

  在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络信息的通信安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。

对称加密

对称加密（又称为私人秘钥加密/共享秘钥加密)：加密与解密使用同一秘钥。

特点：
1、加密强度不高，但效率高；
2、密钥分发困难。
（大量明文为了保证加密效率一般使用对称加密）
常见对称密钥加密算法：DES、3DES（三重 DES）、RC-5、IDEA、AES 算法。

 
 

• DES：替换 + 移位、56 位密钥、64 位数据块、速度快、密钥易产生
    DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密，每次加密可对64位的输入数据进行16轮编码，经一系列替换和移位后，输入的64位原始数据转换成完全不同的64位输出数据。DES 算法运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于在专用芯片上实现。

  扫描二维码关注公众号，回复： 14978863 查看本文章

• 3DES（三重DES）：在 DES 的基础上采用三重 DES，即用两个 56 位的密钥 K1、K2
  加密：K1 加密——>K2 解密——>K1 加密
  解密：K1 解密——>K2 加密——>K1 解密

• AES：高级加密标准 Rijndael 加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES。对其要求是“至少与3DES一样安全”。
    AES 算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES使用几种不同的方法来执行排列和置换运算。
    AES 是一个迭代的、对称密钥分组的密码，它可以使用 128、192 和 256位密钥，并且用 128 位（16 字节）分组加密和解密数据。

• RC-5：RSA 数据安全公司的很多产品都使用了 RC-5。

• IDEA算法：128 位密钥、64 位数据块、比 DES 的加密性好、对计算机功能要求相对低，PGP。
    IDEA 是在 DES 算法的基础上发展起来的，类似于三重 DES。IDEA 的密钥为 128 位，这么长的密钥在今后若干年内应该是安全的。类似于 DES，IDEA 算法也是一种数据块加密算法，它设计了一系列加密轮次,每轮加密都使用从完整的加密密钥中生成的一个子密钥。IDEA 加密标准由PGP（PrettyGood Privacy）系统使用。

 
 

 
 

 
 

非对称加密

非对称加密（又称为公开密钥加密）：密钥必须成对使用（公钥加密，相应的私钥解密）。
  与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（Publickey）和私有密钥（Privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。

特点：非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费的时间长、速度慢，不适合于对文件加密，而只适用于对少量数据进行加密。
常见非对称密钥加密算法：RSA、ECC

非对称加密有两个不同的体制，如下图：

  非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其他方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。

• RSA：512 位（或 1024 位）密钥、计算量极大、难破解
    一种公钥加密算法，它按照下面的要求选择公钥和密钥。
    (1）选择两个大素数 p 和 q（大于10¹⁰⁰） 。
    (2）令n = p × q 和 z - (p - 1) × (q - 1)。
    (3）选择 d 与 z 互质。
    (4）选择 e，使 e × d = 1(mod z)。
    明文 P 被分成 k 位的块，k 是满足 2^k < n 的最大整数，于是有 0 ≤ P < n。加密时计算
  C = P^e^(mod n)，这样公钥为（e,n）。解密时计算p = C^d^(mod n)，即私钥为（d, n）。
    例如，设 p = 2，q = 11，n = 33，z = 20，d = 7，e = 3，C = P³(mod 33)，P = C⁷(mod 33)，则有 C = 2³(mod 33) = 8(mod 33) = 8
    P = 8⁷(mod 33) = 2097152(mod 33) = 2
    RSA 算法的安全性是基于大素数分解的困难性。攻击者可以分解已知的 n，得到 p 和 q，然后可得到 z，最后用 Euclid 算法，由 e 和 z 得到 d。但是要分解 200 位的数，需要 40 亿年；分解 500 位的数，则需要 1025 年。

• Elgamal：其基础是 Diffie-Hellman 密钥交换算法

• ECC：椭圆曲线算法

• 其它非对称算法包括：背包算法、Rabin、D-H

 
 

 
 

 
 

信息摘要

单向散列函数（单向Hash函数)、固定长度的散列值。
  Hash（哈希）函数提供了这样一种计算过程：输入一个长度不固定的字符串，返回一串固定长度的字符串，又称 Hash 值。单向 Hash 函数用于产生信息摘要。Hash 函数主要可以解决以下两个问题：在某一特定的时间内，无法查找经 Hash 操作后生成特定 Hash 值的原报文；也无法查找两个经 Hash 操作后生成相同 Hash 值的不同报文。这样，在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。

  信息摘要简要地描述了一份较长的信息或文件，它可以被看作一份长文件的“数字指纹”信息摘要用于创建数字签名，对于特定的文件而言，信息摘要是唯一的。信息摘要可以被公开它不会透露相应文件的任何内容。
  常用的消息摘要算法有 MD5，SHA 等，市场上广泛使用的 MD5，SHA 算法的散列值分别为 128 和 160 位，由于 SHA 通常采用的密钥长度较长，因此安全性高于 MD5。

MD5 算法具有以下特点:
(1）压缩性：任意长度的数据，算出的 MD5 值长度都是固定的（128 位）。
(2）容易计算：从原数据计算出 MD5 值很容易。
(3）抗修改性：对原数据进行任何改动，即使只修改 1 个字节，所得到的 MD5 值都有很大区别。
(4）强抗碰撞：已知原数据和其 MD5 值，想找到一个具有相同 MD5 值的数据（即伪造数据）是非常困难的。

 
 

 
 

 
 

数字签名

数字签名主要经过以下几个过程。
(1）信息发送者使用一个单向散列函数（Hash函数）对信息生成信息摘要。
(2）信息发送者使用自己的私钥签名信息摘要。
(3）信息发送者把信息本身和已签名的信息摘要一起发送出去。
(4）信息接收者通过使用与信息发送者使用的同一个单向散列函数（Hash函数）对接收的信息本身生成新的信息摘要，再使用信息发送者的公钥对信息摘要进行验证，以确认信息发送者的身份和信息是否被修改过。

数字签名常用算法：RSA、DSA、ECDSA椭圆曲线数字签名算法。

 
 

 
 

 
 

网络安全协议

1、安全协议分层

2、HTTPS 协议是 HTTP 协议与 SSL 协议的结合，默认端口号 443。

3、PGP 协议是邮件安全协议。

4、SET 协议是电子商务安全协议，涉及电子交易安全。

5、SSH：为建立在应用层基础上的安全协议。SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。

 
 

 
 

 
 

网络攻击

1、信息安全 5 个基本要素

• 机密性：确保信息不暴露给未经授权的实体或进程。（加密）
• 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已经被篡改。（摘要）
• 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
• 可控性：可以控制授权范围内的信息流向及行为方式。（用户权限控制）
• 可审查性：对出现的信息安全问题提供调查的依据和手段。（审计）
   
   

2、常见攻击行为

• 被动攻击：收集信息为主，破坏保密性。
• 主动攻击：主动攻击的类别主要有：中断（破坏可用性），篡改（破坏完整性），伪造（破坏真实性）。

攻击类型	攻击名称	描述
被动攻击	窃听（网络监听）	用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。
	业务流分析	通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从而发现有价值的信息和规律。
	非法登录	有些资料将这种方式归为被动攻击方式。
主动攻击	假冒身份	通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。
	抵赖	这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。
	旁路控制	攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。
	重放攻击	所截获的某次合法的通信数据拷贝，出于非法的目的而被重新发送。
	拒绝服务（DOS）	对信息或其他资源的合法访问被无条件地阻止。

 
 

 
 

 
 

常见的防御手段

（1）防火墙技术

（2）漏洞扫描

  入侵者可以利用系统漏洞侵入系统，系统管理员可以通过漏洞扫描技术，及时了解系统存在的安全问题，并采取相应措施来提高系统的安全性。

（3）入侵检测 IDS

  基于数据源的分类——一审计功能、记录安全性日志。基于检测方法——异常行为检测。

 
 

 
 

 
 

计算机病毒与木马

1、常见的病毒、木马命名

• 系统病毒（前缀：Win32、PE、W32，如：KCOM——Win32.KCOM）

• 蠕虫病毒（如：恶鹰——Worm.BBeagle、熊猫烧香、红色代码、爱虫病毒）

• 木马病毒、黑客病毒（如：QQ 消息尾巴木马——Trojan.QQ3344）

• 脚本病毒（如：红色代码——Script.Redlof）

• 宏病毒（如：梅丽莎——Macro.Melissa）

• 后门病毒（如：灰鸽子——Backdoor. Win32.Huigezi）

• 病毒种植程序病毒（冰河播种者——Dropper.BingHe2.2C）

• 破坏性程序病毒（杀手命令——Harm.Command.Killer）

• 玩笑病毒（如：女鬼——Jioke.Grl ghost）

• 捆绑机病毒（如：捆绑 QQ一Binder.QQPass.QQBin）

2、常见的病毒分类

（1）文件型计算机病毒感染可执行文件（包括EXE和COM 文件）

（2）引导型计算机病毒影响软盘或硬盘的引导扇区。

（3）目录型计算机病毒能够修改硬盘上存储的所有文件的地址。

（4）宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件。

3、病毒的特性

计算机病毒的特性包括隐蔽性、传染性、潜伏性、触发性和破坏性等。

• 传染性：正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的，而计算机病毒一旦进入计算机并得以执行，会搜寻其他符合其感染条件的程序或存储介质，确定目标后将自身代码插入其中，达到自我繁殖的目的。
• 隐蔽性：计算机病毒代码通常设计得非常短小，它附在正常程序中或磁盘较隐蔽的地方，或以隐藏文件形式出现,如果不经过代码分析，病毒程序与正常程序是不容易区别的，具有很强的隐蔽性。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里感染大量程序，而且受到感染后，计算机系统通常仍能正常运行，用户不会感到任何异常。
• 潜伏性：大部分计算机病毒感染系统之后一般不会马上发作，可长期隐藏在系统中，只有在满足其特定条件时才启动表现(破坏）模块。破坏性:任何计算机病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机的工作效率，占用系统资源，重者可导致系统崩溃。
• 破坏性：计算机系统一旦感染了病毒程序，系统的稳定性将受到不同程度的影响。一般情况下，计算机病毒发作时，由于其连续不断的自我复制，大部分系统资源被占用，从而减缓了计算机的运行速度，使用户无法正常使用。严重者，可使整个系统瘫痪，无法修复，造成损失。
• 触发性：一般情况下，计算机病毒侵入系统后，并不会立刻发作，而是较为隐蔽地潜伏在某个程序或某个磁盘中，当达到病毒程序所敲定的触发条件，例如设定日期为触发条件或设定操作为触发条件，当条件满足预设时，病毒程序立即自动执行，并且不断地进行自我复制和传染其它磁盘，对系统进行破坏。

 
 

 
 

 
 

题目举例

---

AES是一种（）算法。

• A. 公钥加密
• B. 流密码
• C. 分组加密
• D. 消息摘要

【试题解析】∶AES是一个迭代的、对称密钥分组的密码，它可以使用128、192和256位密钥。并且使用128位分组密和解密数据。

---

下列算法中，不属于公开密钥加密算法的是（）。

• A. ECC
• B. DSA
• C. RSA
• D. DES

【试题解析】∶公开密钥加密(public-key cryptography)，也称为非对称加密(asymmetric cryptography)，一种密码学算法类型，在这种密码学方法中，需要一对密钥，一个是私人密钥，另一个则是公开密钥。
常见的公钥加密算法有:RSA、EiGamal、背包算法、Rabin (RSA的特例)、迪菲-赫尔曼密钥交换协议中的公钥加密算法、椭圆曲线加密算法（liptic Curve Cryptography,ECC) ;DSA数字签名(又称公钥数字签名），将摘要信息用发送者的私钥加密，接收者只有用发送者的公钥才能解密被加密的摘要信息，也是属于公开密钥加密算法。
DES是典型的私钥加密体制，属于对称加密，不属于公开秘钥加密，所以本题选择D选项。

---

DES是（）算法。

• A. 公开密钥加密
• B. 共享密钥加密
• C. 数字签名
• D. 认证

【试题解析】∶对于非对称加密又称为公开密钥加密，而共享密钥加密指对称加密。常见的对称加密算法有：DES,三重DES、RC-5、IDEA、AES，因此本题选择B选项。

---

可用于数字签名的算法是（）。

• A. RSA
• B. IDEA
• C. RC4
• D. MD5

【试题解析】∶IDEA 算法和 RC4 算法都是对称加密算法，只能用来进行数据加密。MD5 算法是消息摘要算法，只能用来生成消息摘要，无法进行数字签名。
RSA 算法是典型的非对称加密算法，主要具有数字签名和验签的功能。

---

以下关于认证和加密的叙述中，错误的是（）。

• A. 加密用以确保数据的保密性
• B. 认证用以确保报文发送者和接收者的真实性
• C. 认证和加密都可以阻止对手进行被动攻击
• D. 身份认证的目的在于识别用户的合法性，阻止非法用户访问系统

【试题解析】∶认证一般有账户名/口令认证、使用摘要算法认证和基于PKI的认证。
认证只能阻止主动攻击，不能阻止被动攻击。A、B、D都说法都是正确的，C选项说法错误。故答案选择C选项。

---

在安全通信中，S将所发送的信息使用（）进行数字签名，T收到该消息后可利用（）验证该消息的真实性。

问题一

• A. S的公钥
• B. S的私钥
• C. T的公钥
• D. T的私钥

问题二

• A. S的公钥
• B. S的私钥
• C. T的公钥
• D. T的私钥

【试题解析】∶数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。
数字签名是个加密的过程，数字签名验证是个解密的过程。保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

---

利用报文摘要算法生成报文摘要的目的是（）。

• A. 验证通信对方的身份防止假冒
• B. 对传输数据进行加密防止数据被窃听
• C. 防止发送言否认发送过数据
• D. 防止发送的报文被篡改

【试题解析】∶报文摘要是用来保证数据完整性的。传输的数据一旦被修改，摘要就不同了。只要对比两次摘要就可确定数据是否被修改过。

---

用户A和B要进行安全通信，通信过程需确认双方身份和消息不可否认。A和B通信时可使（）来对用户的身份进行认证；使用（）确保消息不可否认。

问题一

• A. 数字证书
• B. 消息加密
• C. 用户私钥
• D. 数字签名

问题二

• A. 数字证书
• B. 消息加密
• C. 用户私钥
• D. 数字签名

【试题解析】∶第一空考查的是关于用户身份进行认证也就是数字签名的认证，这里使用的应该是发送方的公钥，这4个选项中，能包含发送方公钥的只有A选项数字证书;
第二空确保消息不可否认，也就是考查确保发送者身份的不可抵赖，所以这里使用的应该是发送方的数字签名。

---

用户B收到用户A带数字签名的消息M，为了验证M的真实性，首先需要从CA获取用户A的数字证书，并利用（）验证该证书的真伪，然后利用（）验证M的真实性。

问题一

• A. CA的公钥
• B. B的私钥
• C. A的公钥
• D. B的公钥

问题二

• A. CA的公钥
• B. B的私钥
• C. A的公钥
• D. B的公钥

【试题解析】∶数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，就好比日常生活中个人身份证一样。数字证书是由一个权威机构证书授权中心(CA）发行的。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。其中证书授权中心的数字签名是用它自己的私钥完成的，而它的公钥也是公开的，大家可以通过它的公钥来验证该证书是否是某证书授权中心发行的，以达到验证数字证书的真实性。
因此要想验证用户A数字证书的真伪，需要用CA的公钥来完成，而因为消息M是A用其私钥加密后的结果，要验证其真实性，就需要用A的公钥来解密，如果能解密，说明消息M是A用其私钥进行了签名的。

---

SQL是一种数据库结构化查询语言，SQL注入攻击的首要目标是（）。

• A. 破坏Web服务
• B. 窃取用户口令等机密信息
• C. 攻击用户浏览器，以获得访问权限
• D. 获得数据库的权限

【试题解析】∶SQL注入攻击，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。其首要目的是获取数据库访问权限。

---

Kerberos系统中可通过在报文中加入（）来防止重放攻击。

• A. 会话密钥
• B. 时间戳
• C. 用户ID
• D. 私有密钥

【试题解析】∶重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks)，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。
Kerberos系统采用的是时间戳方案来防止重放攻击，这种方案中，发送的数据包是带时间戳的，服务器可以根据时j间戳来判断是否为重放包，以此防止重放攻击。

---

下列攻击行为中，属于典型被动攻击的是（）。

• A. 拒绝服务攻击
• B. 会话拦截
• C. 系统干涉
• D. 修改数据命令

【试题解析】∶A选项拒绝服务(DOS) :对信息或其它资源的合法访问被无条件地阻止。
B选项会话拦截:未授权使用一个已经建立的会话。
D选项修改数据命令:截获并修改网络中传输的数据命令。
ABD为主动攻击。
C选项系统干涉:指的是攻击者获取系统访问权，从而干涉系统的正常运行，一般可以归于被动攻击。

---

为了攻击远程主机，通常利用（）技术检测远程主机状态。

• A. 病毒查杀
• B. 端口扫描
• C. QQ聊天
• D. 身份认证

【试题解析】∶端口扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息。

---

ARP攻击造成网络无法跨网段通信的原因是（）。

• A. 发送大量ARP报文造成网络拥塞
• B. 伪造网关ARP报文使得数据包无法发送到网关
• C. ARP攻击破坏了网络的物理连通性
• D. ARP攻击破坏了网关设备

【试题解析】∶ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，它通过伪造网关ARP报文与你通信，而使得你的数据包无法发送到真正的网关，从而造成网络无法跨网段通信。

---

下列网络攻击行为中，属于DoS攻击的是（）。

• A. 特洛伊木马攻击
• B. SYN Flooding攻击
• C. 端口欺骗攻击
• D. IP欺骗攻击

【试题解析】∶DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务，如果一群地痞流氓要DoS餐馆的话，手段会很多，比如霸占着餐桌不结账，堵住餐馆的大门不让路，骚扰餐馆的服务员或厨子不能干活，甚至更恶…SYN Flooding攻击便是Dos攻击的典型代表，该攻击以多个随机的源主机地址向目的路由器发送SYN包，而在收到目的路由器的SYNACK后并不回应，这样，目的路由器就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务，甚至导致路由器崩溃。服务器要等待超时(Time Out)才能断开已分配的资源。

---

以下关于拒绝服务攻击的叙述中，不正确的是（）。

• A. 拒绝服务攻击的目的是使计算机或者网络无法提供正常的服务
• B. 拒绝服务攻击是不断向计算机发起请求来实现的
• C. 拒绝服务攻击会造成用户密码的泄漏
• D. DDoS是一种拒绝服务攻击形式

【试题解析】∶拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果:一是迫使服务器的缓冲区满，不接收新的请求;二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。DDos是分布式Dos的缩写，也是拒绝服务攻击的一种形式。从原理可以看出拒绝服务攻击Dos不会造成密码的泄露。

---

震网（Stuxnet）病毒是一种破坏工业基础设施的恶意代码，利用系统漏洞攻击工业控制系统，是一种危害性极大的（）。

• A. 引导区病毒
• B. 宏病毒
• C. 木马病毒
• D. 蠕虫病毒

【试题解析】∶震网（Stuxnet），指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网（Stuxnet）病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础(能源）设施的"蠕虫"病毒，比如核电站，水坝,国家电网。
A 选项引导区病毒破坏的是引导盘、文件目录等，B 选项宏病毒破坏的是 OFFICE 文件相关，C 选项木马的作用一般强调控制操作。

---

（）不是蠕虫病毒。

• A. 熊猫烧香
• B. 红色代码
• C. 冰河
• D. 爱虫病毒

【试题解析】∶熊猫烧香是一种经过多次变种的"蠕虫病毒"变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，这是名副其实的病毒，拥有感染传播功能，2007年1月初肆虐网络，它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其他计算机程序、系统破坏严重。2013年6月病毒制造者张顺和李俊伙同他人开设网络赌场案，再次获刑。
“红色代码病毒是2001年一种新型网络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。
冰河是一种木马软件。
2000年5月4日，一种名为"我爱你’的电脑病毒开始在全球各地迅速传播。这个病毒是通过Microsoft Outlook电子邮件系统传播的，邮件的主题为"ILOVEYOU”，并包含一个附件。一旦在Microsoft Outlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。"我爱你病毒，又称·爱虫"病毒，是一种蠕虫病毒，它与1999年的梅丽莎病毒非常相似。据称，这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃。

---

以下关于木马程序的叙述中，正确的是（）。

• A. 木马程序主要通过移动磁盘传播
• B. 木马程序的客户端运行在攻击者的机器上
• C. 木马程序的目的是使计算机或网络无法提供正常的服务
• D. Sniffer是典型的木马程序

【试题解析】∶传播方式:
1、通过邮件附件、程序下载等形式传播，因此A选项错误。
2、通过伪装网页登录过程，骗取用户信息进而传播。
3、通过攻击系统安全漏洞传播木马，大量黑客使用专门的黑客工具来传播木马。木马程序危害在于多数有恶意企图，例如占用系统资源，降低电脑效能，危害本机信息安全(盗取QQ账号、游戏账号甚至银行账号)，将本机作为工具来攻击其他设备等，因此，C选项错误；
4、Sniffer是用于拦截通过网络传输的TCPIP/UDPICMP等数据包的一款工具，可用于分析网络应用协议，用于网络编程的调试、监控通过网络传输的数据、检测木马程序等，因此D选项错误。
本题只有B选项是正确的。

---

近年来，在我国出现各类病毒中（）病毒通过木马形式感染智能手机。

• A. 欢乐时光
• B. 熊猫烧香
• C. X卧底
• D. CIH

【试题解析】∶X卧底软件是一种安装在手机里的监控软件。

---

通过内部发起连接与外部主机建立联系，由外部主机控制并盗取用户信息的恶意代码为（）。

• A. 特洛伊木马
• B. 蠕虫病毒
• C. 宏病毒
• D. CIH病毒

【试题解析】∶特洛伊木马一种秘密潜伏的能够通过远程网络进行控制的恶意程序，它使控制者可以控制被秘密植入木马的计算机的一切资源和行为。
蠕虫病毒是一种常见的利用网络进行复制和传播的病毒。病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。
宏病毒是一种寄存在文档或模板的宏中的病毒。一旦打开这样的文档，其中的宏就会被执行，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒，有时还会破坏计算机的BIOS。

---

宏病毒一般感染以（）为扩展名的文件。

• A. EXE
• B. COM
• C. DOC
• D. DLL

【试题解析】∶宏病毒是一种脚本病毒，它的最主要特征是它是一种寄存在文档或模板的宏中的计算机病毒。宏病毒主要感染文件有Word、Excel的文档。并且会驻留在Normal面板上。宏病毒的前缀是:Macro，第二前缀是: Word、Excel其中之一。如: Macro.Word.WhiteScreen、美丽莎(Macro.Melissa)等。
在本题中，题目给出的4个选项中，扩展名为DOC的一般为Word文档，因此容易感染宏病毒。

---

杀毒软件报告发现病毒Macro.Melssa，由该病毒名称可以推断病毒类型是（），这类病毒主要感染目标是（）。

问题一

• A. 文件型
• B. 引导型
• C. 目录型
• D. 宏病毒

问题二

• A. EXE或COM可执行文件
• B. Word或Excel文件
• C. DLL系统文件
• D. 磁盘引导区

【试题解析】∶计算机病毒的分类方法有许多种，按照最通用的区分方式，即根据其感染的途径以及采用的技术区分，计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录型计算机病毒。
文件型计算机病毒感染可执行文件（包括EXE和COM文件)。
引导型计算机病毒影响软盘或硬盘的引导扇区。
目录型计算机病毒能够修改硬盘上存储的所有文件的地址。
宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件，从文件名可以看出Macro.Melissa是一种宏病毒，所以题中两空的答案是D和B。

---

感染"熊猫烧香"病毒后的计算机不会出现（）的情况。

• A. 执行文件图标变成熊猫烧香
• B. 用户信息被泄漏
• C. 系统运行变慢
• D. 破坏计算机主板

【试题解析】∶熊熊猫烧香是一种感染型的蠕虫病毒，它能感染系统中exe,~、 pif,src,html和asp等文件，还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三柱香的模样。

---

多形病毒指的是（）的计算机病毒。

• A. 可在反病毒检测时隐藏自己
• B. 每次感染都会改变自己
• C. 可以通过不同的渠道进行传播
• D. 可以根据不同环境造成不同破坏

【试题解析】∶多形病毒是一种较为高级的病毒，这种病毒在每次感染后会改变自己。

---

计算机感染特洛伊木马后的典型现象是（）。

• A. 程序异常退出
• B. 有未知程序试图建立网络连接
• C. 邮箱被垃圾邮件填满
• D. Windows系统黑屏

【试题解析】∶特洛伊木马是一种通过网络传播的病毒，分为客户端和服务器端两部分，服务器端位于被感染的计算机，特洛伊木马服务器端运行后会试图建立网络连接，所以计算机感染特洛伊木马后的典型现象是有未知程序试图建立网络连接。

---

下列不能用于远程登录或控制的是（）。

• A. IGMP
• B. SSH
• C. Telnet
• D. RFB

【试题解析】∶IGMP:属于网络的组播协议，不能实现相关应用层的远程登录。
SSH: SSH为建立在应用层基础上的安全协议。SSH是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。
Telnet: Telnet协议是TCPIP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。
RFB:RFB (Remote Frame Buffer远程帧缓冲)协议是一个用于远程访问图形用户界面的简单协议。由于RFB协议工作在帧缓冲层，因此它适用于所有的窗口系统和应用程序。

---

通常使用（）为IP数据报文进行加密。

• A. IPSec
• B. PP2P
• C. HTTPS
• D. TLS

【试题解析】∶A选项：IPSec工作于网络层，为IP数据报文进行加密。
B选项：PP2P工作于数据链路层，用于链路加密。
C选项：HTTPS是HTTP与SSL的结合体，为传输层以上层次数据加密。
D选项：TLS安全传输层协议用于在两个通信应用程序之间提供保密性和数据完整性。

---

下列协议中，属于安全远程登录协议的是（）。

• A. TLS
• B. TCP
• C. SSH
• D. TFTP

【试题解析】∶A选项：TLS安全传输层协议用于在两个通信应用程序之间提供保密性和数据完整性。
B选项：TCP是可靠的传输层协议，与安全无关。
C选项：SSH为Secure Shell 的缩写，由IETF的网络工作小组(Network Working Group）所制定;SSH为建立在应用层和传输层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。本题选择C选项。
D选项：TFTP(Trivial File Transfer Protocol,简单文件传输协议)是TCPIP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。

---

下列协议中，与电子邮箱服务的安全性无关的是（）。

• A. SSL
• B. HTTPS
• C. MIME
• D. PGP

【试题解析】∶MIME它是一个多用途互联网邮件扩展类型的标准，扩展了电子邮件标准，使其能够支持多媒体信息传输，与安全无关。与安全电子邮件相关的是S/MIME安全多用途互联网邮件扩展协议。
A选项SSL和B选项HTTPS涉及邮件传输过程的安全，D选项PGP(全称: Pretty Good Privacy，优良保密协议)，是一套用于信息加密、验证的应用程序，可用于加密电子邮件内容。

---

网络管理员通过命令行方式对路由器进行管理，需要确保ID、口令和会话内容的保密性，应采取的访问方式是（）。

• A. 控制台
• B. AUX
• C. TELNET
• D. SSH

【试题解析】∶SSH为Secure Shell的缩写，由IETF 的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

---

与HTTP相比，HTTPS协议对传输的内容进行加密，更加安全。HTTPS基于（）安全协议，其默认端口是（）。

问题一

• A. RSA
• B. DES
• C. SSL
• D. SSH

问题二

• A. 1023
• B. 443
• C. 80
• D. 8080

【试题解析】∶1、HTTPS是基于SSL(Secure Sockets Layer安全套接层)的。
2、http的端口号为80，而HTTPS的默认端口是443，注意区分。

---

（）协议在终端设备与远程站点之间建立安全连接。

• A. ARP
• B. Telnet
• C. SSH
• D. WEP

【试题解析】∶SSH为Secure Shell的缩写，由IETF 的网络工作小组(Network Working Group)所制定;SSH为建立在应用层和传输层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用sSH协议可以有效防止远程管理过程中的信息泄露问题。

---

PPP中的安全认证协议是（），它使用三次握手的会话过程传送密文。

• A. MD5
• B. PAP
• C. CHAP
• D. HASH

【试题解析】∶
一、安全认证介绍
1、PPP的NCP可以承载多种协议的三层数据包。
2、PPP使用LCP控制多种链路的参数(建立、认证、压缩、回拨)
二、PPP的认证类型
1、PPP的pap认证是通过二次握手建立认证(明文不加密)
2、PPP的chap质询握手认证协议，通过三次握手建立认证（密文采用MD5加密)
3、PPP的双向验证，采用的是chap的主验证风格
4、PPP的加固验证，采用的是两种(pap,chap）验证同时使用

---

下列安全协议中，与TLS最接近的协议是（）。

• A. PGP
• B. SSL
• C. HTTPS
• D. IPSec

【试题解析】∶
TLS是安全传输层协议的简称，用于在两个通信应用程序之间提供保密性和数据完整性。
SSL是安全套接层协议的简称，它也是一种为网络通信提供安全和数据完整性的协议，它与TLS非常接近，它们都是在传输层对网络连接进行加密。
PGP是一个基于RSA公匙加密体系的邮件加密软件。，用它可以对邮件保密以防止非授权者阅读。-
HTTPS即安全版的HTTP(超文本传输协议)的，它是在HTTP下加入SSL层，HTTPS的安全基础就是SSL。
IPSec是网络层的安全协议，它通过使用加密的安全服务来确保在网络上进行保密而安全的通讯。

---

防火墙通常分为内网、外网和DMZ三个区域，按照受保护程度，从低到高正确的排列次序为（）。

• A. 内网、外网和DMZ
• B. 外网、DMZ和内网
• C. DMZ、内网和外网
• D. 内网、DMZ和外网

【试题解析】∶在一个用路由器连接的局域网中，我们可以将网络划分为三个区域:安全级别最高的LAN Area(内网)，安全级别中等的DMZ区域和安全级别最低的Internet区域(外网)。三个区域因担负不同的任务而拥有不同的访问策略。我们在配置一个拥有DMZ区的网络的时候通常定义以下的访问控制策略以实现DMZ区的屏障功能。

---

包过滤防火墙对（）的数据报文进行检查。

• A. 应用层
• B. 物理层
• C. 网络层
• D. 链路层

【试题解析】∶在一个用路由器连接的局域网中，我们可以将网络划分为三个区域:安全级别最高的LAN Area(内网)，安全级别中等的DMZ区域和安全级别最低的Internet区域(外网)。三个区域因担负不同的任务而拥有不同的访问策略。我们在配置一个拥有DMZ区的网络的时候通常定义以下的访问控制策略以实现DMZ区的屏障功能。

---

（）防火墙是内部网和外部网的隔离点，它可对应用层的通信数据流进行监控和过滤。

• A. 包过滤
• B. 应用级网关
• C. 数据库
• D. Web

【试题解析】∶包过滤防火墙:包过滤防火墙一般有一个包检查块(通常称为包过滤器)，数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在网络层和数据链路层之间，不符合本题要求。
应用级网关防火墙:应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有的通信都必须经应用层代理软件转发，它可对应用层的通信数据流进行监控和过滤。
数据库防火墙:数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，数据库防火墙部署于应用服务器和数据库之间，不符合本题要求。
Web防火墙: Web防火墙是入侵检测系统，入侵防御系统的一种。从广义上来说，Web应用防火墙就是应用级的网站安全综合解决方案，与我们所讲到的防火墙概念有一定区别，不符合本题要求。

---

防火墙不具备（）功能。

• A. 记录访问过程
• B. 查毒
• C. 包过滤
• D. 代理

【试题解析】∶网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙丕可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。
防火墙的功能包括:访问控制;提供基于状态检测技术的ip地址、端口、用户和时间的管理控制;双向nat，提供ip地址转换和ip及tcp/udp端口映射，实现ip复用和隐藏网络结构:代理等。

---

网络系统中，通常把（)置于DMZ区。

• A. 网络管理服务器
• B. Web服务器
• C. 入侵检测服务器
• D. 财务管理服务器

【试题解析】∶DMZ是英文"demilitarized zone"的缩写，中文名称为"隔离区"，也称"非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

---

以下关于包过滤防火墙和代理服务防火墙的叙述中，正确的是（）。

• A. 包过滤成本技术实现成本较高，所以安全性能高
• B. 包过滤技术对应用和用户是透明的
• C. 代理服务技术安全性较高，可以提高网络整体性能
• D. 代理服务技术只能配置成用户认证后才建立连接

【试题解析】∶包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力，包过滤成本与它的安全性能没有因果关系，而应用程序和用户对于包过滤的过程并不需要了解，因此该技术对应用和用户是透明的，本题选择B选项。
代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少，所以不能提高网络整体性能，而代理对于用户认证可以设置。

---

防火墙的工作层次是决定防火墙效率及安全的主要因素，以下叙述中，正确的是（）。

• A. 防火墙工作层次越低，工作效率越高，安全性越高
• B. 防火墙工作层次越低，工作效率越低，安全性越低
• C. 防火墙工作层次越高，工作效率越高，安全性越低
• D. 防火墙工作层次越高，工作效率越低，安全性越高

【试题解析】∶防火墙工作层次越低，工作效率越高，安全性越低。防火墙工作层次越高，工作效率越低，安全性越高。

---

包过滤防火墙对数据包的过滤依据不包括（）。

• A. 源IP地址
• B. 源端口号
• C. MAC地址
• D. 目的IP地址

【试题解析】∶包过滤防火墙对数据包的过滤依据包括源IP地址、源端口号、目标IP地址和目标端口号。

---

所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性是指信息的（）。

• A. 完整性
• B. 可用性
• C. 保密性
• D. 不可抵赖性

【试题解析】∶数据的机密性（保密性)是指数据在传输过程中不能被非授权者偷看;
数据的完整性是指数据在传输过程中不能被非法篡改，本题涉及到修改的只有完整性;
数据的真实性(不可抵赖性）是指信息的发送者身份的确认或系统中有关主体的身份确认，这样可以保证信息的可信度;
可用性指的是发送者和接受者双方的通信方式正常。故正确答案选择A选项。

---

在网络安全管理中，加强内防内控可采取的策略有（）。

①控制终端接入数量

②终端访问授权，防止合法终端越权访问

③加强终端的安全检查与策略管理

④加强员工上网行为管理与违规审计

• A. ②③
• B. ②④
• C. ①②③④
• D. ②③④

【试题解析】∶加强内防内控主要通过访问授权、安全策略、安全检查与行为审计等多种安全手段的综合应用来实现。终端接入的数量影响的是网络的规模、数据交换的性能，不是内防内控关注的重点。

---

在lE浏览器中，安全级别最高的区域设置是（）。

• A. Internet
• B. 本地Intranet
• C. 可信任站点
• D. 受限站点

【试题解析】∶在lE浏览器中，安全级别最高的区域设置是受限站点。
其中Internet区域设置适用于Internet网站，但不适用于列在受信任和受限制区域的网站;本地Intranet区域设置适用于在Intranet中找到的所有网站;可信任站点区域设置适用于你信任的网站;而受限站点区域设置适用于可能会损坏你计算机或文件的网站，它的安全级别最高。

---

网络安全体系设计可从物理线路安全、网络安全、系统安全、应用安全等方面来进行。其中，数据库容灾属于（）。

• A. 物理线路安全和网络安全
• B. 物理线路安全和应用安全
• C. 系统安全和网络安全
• D. 系统安全和应用安全

【试题解析】∶网络安全体系设计是逻辑设计工作的重要内容之一，数据库容灾属于系统安全和应用安全考虑范畴。

---

安全需求可划分为物理线路安全、网络安全、系统安全和应用安全。下面的安全需求中属于系统安全的是（），属于应用安全的是（）。

问题一

• A. 机房安全
• B. 入侵检测
• C. 漏洞补丁管理
• D. 数据库安全

问题二

• A. 机房安全
• B. 入侵检测
• C. 漏洞补丁管理
• D. 数据库安全

【试题解析】∶机房安全属于物理安全，入侵检测属于网络安全，漏洞补丁管理属于系统安全，而数据库安全则是应用安全。
安全防范体系的层次划分:
(1）物理环境的安全性。包括通信线路、物理设备和机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件和传输介质)、软硬件设备的安全性(替换设备、拆卸设备、增加设备)、设备的备份、防灾害能力、防干扰能力、设备的运行环境（温度、湿度、烟尘）和不间断电源保障等。
(2）操作系统的安全性。主要表现在三个方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制和系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。
(3）网络的安全性。网络层的安全问题主要体现在计算机网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等。
(4)应用的安全性。由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统和DNS等。此外，还包括病毒对系统的威胁。
(5)管理的安全性。包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个计算机网络的安全，严格的安全管理制度、明确的部门安全职责划分与合理的人员角色配置，都可以在很大程度上降低其他层次的安全漏洞。

---

用户在电子商务网站上使用网上银行支付时，必须通过（）在Internet与银行专用网之间进行数据交换。

• A. 支付网关
• B. 防病毒网关
• C. 出口路由器
• D. 堡垒主机

【试题解析】∶用户在电子商务网站上使用网上银行支付时，必须通过支付网关才能在Internet与银行专用网之间进行数据交换。A、支付网关:是银行金融网络系统和Internet网络之间的接口，是由银行操作的将Internet上传输的数据转换为金融机构内部数据的一组服务器设备，或由指派的第三方处理商家支付信息和顾客的支付指令。
B、防病毒网关:防病毒网关是一种网络设备，用以保护网络内（一般是局域网）进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能，同时部分设备也具有一定防火墙(划分Vlan)的功能。如果与互联网相连，就需要网关的防病毒软件。
C、出口路由器:一般指局域网出外网的路由器，或者指一个企业、小区、单位、城域网、省级网络、国家网络与外界网络直接相连的那台路由器。在网络间起网关的作用，是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。
D、堡垒主机:堡垒主机是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。

---

以下可以有效防治计算机病毒的策略是（）。

• A. 部署防火墙
• B. 部署入侵检测系统
• C. 安装并及时升级防病毒软件
• D. 定期备份数据文件

【试题解析】∶部署防火墙:防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术，并不能有效的防范病毒。
部署入侵检测系统:入侵检测系统（intrusion detection system，简称VIDS")是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。是对一种网络传输的监视技术，并不能有效的防范病毒。
安装并及时升级防病毒软件:针对于防病毒软件本身就是防范病毒最有效最直接的方式。
定期备份数据文件:数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。是为了防止系统数据流失，不能有效的防范病毒。

---

（）不属于入侵检测技术。

• A. 专家系统
• B. 模型检测
• C. 简单匹配
• D. 漏洞扫描

【试题解析】∶漏洞扫描为另一种安全防护策略。

---

利用（）可以获取某FTP服务器中是否存在可写目录的信息。

• A. 防火墙系统
• B. 漏洞扫描系统
• C. 入侵检测系统
• D. 病毒防御系统

【试题解析】∶防火墙是位于两个(或多个)网络间，实施网络间访问控制的一组组件的集合，它是一套建立在内外网络边界上的过滤封锁机制。防火墙的主要功能有:过滤掉不安全服务和非法用户;控制对特殊站点的访问;提供了监视
lnternet安全和预警的方便端点。
漏洞扫描系统通常是指基于漏洞数据库，通过扫描等手段，对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的，利用漏洞扫描系统可以获取某FTP服务器中是否存在可写目录的信息。
入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。病毒防御系统是一个用来防止黑客、病毒、木马的防御系统。

---

下列选项中，防范网络监听最有效的方法是（）。

• A. 安装防火墙
• B. 采用无线网络传输
• C. 数据加密
• D. 漏洞扫描

【试题解析】∶网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，使用网络监听便可以有效地截获网络上传送的数据。对网络监听最有效的防范方法是对传送的数据进行加密，这样即便传送的数据被截获，对方没有密钥，也很难获取到有用的信息。

---

下面关于漏洞扫描系统的叙述，错误的是（）。

• A. 漏洞扫描系统是—种自动检测目标主机安全弱点的程序
• B. 黑客利用漏洞扫描系统可以发现目标主机的安全漏洞
• C. 漏洞扫描系统可以用于发现网络入侵者
• D. 漏洞扫描系统的实现依赖于系统漏洞库的完善

【试题解析】∶漏洞扫描系统是一种自动检测目标主机安全弱点的程序，漏洞扫描系统的原理是根据系统漏洞库对系统可能存在的漏洞进行一一验证。黑客利用漏洞扫描系统可以发现目标主机的安全漏洞从而有针对性的对系统发起攻击;系统管理员利用漏洞扫描系统可以查找系统中存在的漏洞并进行修补从而提高系统的可靠性。漏洞扫描系统不能用于发现网络入侵者，用于检测网络入侵者的系统称为入侵检测系统。