信息安全和病毒防护

一、信息安全的基本要素

计算机安全是指计算机资产的安全，是要保证这些计算机资产不受自然和人为的有害因素的威胁和危害。计算机资产是由系统资源和信息资源两大部分组成。

信息安全有5个基本要素：保密性、完整性、可用性、可控性与可审查性。

（1）保密性：确保信息不暴露给未授权的实体或进程。

（2）完整性：只有得到允许的人才能修改数据，并能够判别出数据是否已被篡改。

（3）可用性：得到授权的实体在需要时可访问数据。

（4）可控性：可以控制授权范围内的信息流向及行为方式。

（5）可审查性：对出现的安全问题提调查的依据和手段。

二、加密技术

加密技术是最常用的安全保密手段，数据加密技术的关键在于加密/解密算法和密钥管理。数据加密的基本过程就是对原来为明文的文件或数据按某种加密算法进行处理，使其成为不可读的一段代码，通常称为“密文”。“密文”只能在输入相应的密钥之后才能显示出原来的内容，通过这样的途径使数据不被窃取。

1．对称加密技术

（1）发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。常用的对称加密算法有DES、三重DES、RC-5等。

（2）数据加密标准(DES)：主要采用替换和移位的方法加密。

（3）三重DES：在DES的基础上采用三重DES，其效果相当于将密钥猜测难度加倍。

2．非对称加密技术

（1）非对称加密技术的算法需要两个密钥：公开密钥和私有密钥。公开密钥和私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，只有用对应的公开密钥才能解密。

（2）算法——RSA算法：是一种公钥加密算法，其安全性是基于大素数分解的困难性。

3．密钥管理

密钥管理主要是指密钥对的安全管理，包括密钥产生、密钥备份、密钥恢复和密钥更新等。

三、认证技术

1．基本概念

认证技术主要解决网络通信过程中通信双方的身份认证。认证过程涉及到加密和密钥交换。认证方法一般有账户名/口令认证、使用摘要算法认证和基于PKI的认证。常用的认证技术有：Hash函数与信息摘要、数字签名、SSL协议和数字时间戳技术。

2．数字签名

数字签名是用于确认发送者身份和消息完整性的一个加密的消息摘要。数字签名应满足以下3点：①接收者能够核实发送者；②发送者事后不能抵赖对报文的签名；③接收者不能伪造对报文的签名。

数字签名可以利用对称密码体系（如DES）、公钥体系或公证体系来实现。最常用的实现方法是建立在公钥密码体系和单向散列函数算法（如MD5、SHA）的组合基础上。

以下基于公钥密码体系的数字签名：假设A要发送一个电子文件给B，那么，A、B双方只需经过下面三个步骤即可，如图1-8所示。

A用其私钥加密文件，这便是签字过程；A将加密的图 1-8 数字签名的实现文件送到B；B用A的公钥解开A送来的文件，并验证签名是否成立。

这样的签名方法是符合可靠性原则的，即，签字是可以被确认的；签字是无法被伪造的；签字是无法重复使用的；文件被签字以后是无法被篡改的；签字具有无可否认性。

3．数字证书

数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。

数字证书解决了公开密钥密码体制下密钥的发布和管理问题，用户可以公开其公钥，而保留其私钥。一般包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。

四、病毒防护

1．病毒定义

编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2．病毒分类

按危害性分为良性病毒和恶性病毒；

按寄生方式分为代替式病毒、链接式病毒、转储式病毒、填充式病毒和覆盖式病毒等；按病毒感染的途径，病毒分为引导型病毒、文件型病毒和复合型病毒。

3．防病毒技术

预防病毒技术：在病毒尚未入侵或刚刚入侵时，就拦截、阻击病毒的入侵或立即报警。检测病毒技术：通过对病毒的特征来进行判断的侦测技术，如自身校验、关键字、文件长度的变化等。消除病毒技术：通过对病毒的分析，开发出具有杀病毒程序并恢复原文件的软件。

4．病毒的特点

（1）寄生性：计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。

（2）传染性：计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。

（3）潜伏性：有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间难以觉察，等到条件具备的时候就爆炸开来，对系统进行破坏。

（4）隐蔽性：计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

（5）破坏性：计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。

（6）计算机病毒的可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。

怎么考

【试题 1-50】2011年 11月真题 7

利用（ 7）可以获取某FTP服务器中是否存在可写目录的信息。

（7）A. 防火墙系统  B.漏洞扫描系统

C. 入侵检测系统 D. 病毒防御系统

分析：漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序。安全漏洞通常指硬件、软件、协议的具体实现或系统安全策略方面存在的安全缺陷。FTP服务器中存在可写目录的信息是一个安全漏洞，可以被黑客利用，利用漏洞扫描系统可以获取某FTP服务器中是否存在可写目录的信息。答案为选项A。

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，保护内部网免受非法用户的侵入。入侵检测系统（简称“ IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。病毒防御系统是一个计算机防止黑客、病毒、木马的防御系统。病毒防御系统一般包括一个杀毒软件、一个病毒防火墙、一个木马黑客专杀和一个病毒监控。【答案： B】

【试题 1-51】2011年 11月真题 8

通过内部发起连接与外部主机建立联系，由外部主机控制并盗取用户信息的恶意代码为（8）。

（8）A. 特洛伊木马 B.蠕虫病毒

C. 宏病毒    D. CIH病毒

分析：特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。为了达到控制服务端主机的目的，木马往往要采用各种手段激活自己、加载运行。完整的木马程序一般由两个部分组成：一个是服务端（被控制端），一个是客户端（控制端）。“中了木马”就是指安装了木马的服务端程序，若你的电脑被安装了服务端程序，则拥有相应客户端的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码就无安全可言了。

蠕虫一般是通过复制自身在互联网环境下进行传播，蠕虫病毒的传染目标是互联网内的所有计算机，局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。但是CIH病毒只在windows 95、98和windows Me系统上发作，影响有限。【答案： A】

【试题 1-52】2011年 11月真题 9

从认证中心CA获取用户B的数字证书，该证书用（ 9）作数字签名；从用户B的数字证书中可获得B的公钥。

（9）A. CA的公钥   B. CA的私钥

C. B的公钥   D. B的私钥

分析：数字证书是用电子手段来证实一个用户的身份和对网络资源的访问权限。数字证书是由权威机构(CA)采用数字签名技术，颁发给用户，用以在数字领域中证实用户其本身的一种数字凭证。数字签名可以用来防止电子信息被修改而作伪；或冒用别人名义发送信息；或发出后又加以否认等情况的发生。数字证书中包含认证机构的签名，该签名用的是CA的私钥。【答案： B】

【试题 1-53】2011年 5月真题 7

用户A从CA获得用户B的数字证书，并利用（ 7）验证数字证书的真实性。

（7）A．B的公钥 B．B的私钥 C．CA的公钥 D．CA的私钥

分析：数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。每个用户设定一个仅为自己知道的私钥，用它进行解密和签名，同时设定一个公钥，由本人公开，为一组用户所共享，用于加密和验证。题目中要验证数字证书的真实性，因此需要使用CA的公钥。【答案： C】

【试题 1-54】2011年 5月真题 8

宏病毒一般感染以（ 8）为扩展名的文件。

（8）A．EXE B．COM C．DOC D．DLL 分析：宏病毒是一种寄存在文档或模板的宏中的计算机病毒，它利用了在Word和其他办公软件中发现

的特征，可感染Word、Excel等文件。DOC是Word文档的扩展名。【答案： C】

【试题 1-55】2010年 11月真题 7

如果使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法再处理

合法用户的请求，这种手段属于（7）攻击。

（7）A．拒绝服务 B．口令入侵 C．网络监听 D．IP欺骗

分析：拒绝服务攻击不断对网络服务系统进行干扰，改变其正常的工作流程，执行无关的程序使系统响应减慢甚至瘫痪，影响正常用户的使用。口令入侵是指使用某些合法用户的账号和口令登录到主机，然后再实施攻击活动。网络监控是主机的一种工作模式，在这种模式下，主机可以接收本网段在同一物理通道上传输的所有信息，如果两台通信的主机没有对信息加密，只要使用某些网络监听工具就可以很容易地截取包括口令和账户在内的信息资料。IP欺骗是黑客选定目标主机，找到一个被目标主机信任的主机，然后使得被信任的主机失去工作能力，同时采样目标主机发出的TCP序列号，猜出它的数据序列号。然后伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。【答案： A】

【试题 1-56】2010年 11月真题 9

下列选项中，防范网络监听最有效的方法是（9）。

（9）安装防火墙 B．采用无线网络传输 C．数据加密 D．漏洞扫描

分析：当信息以明文形式在网络上传输时，监听并不是一件难事，只要将所使用的网络端口设置成(镜像)监听模式，便可以源源不断地截获网上传输的信息。但是，网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域局上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包。防范网络监听目前有这样几种常用的措施：从逻辑或物理上对网络分段，以交换式集线器代替共享式集线器，使用加密技术和划分虚拟局域网。【答案： C】

【试题 1-57】2010年 11月真题 66、67

公钥体系中，私钥用于（66），公钥用于（67）。

（66）A．解密和签名 B．加密和签名 C．解密和认证 D．加密和认证

（67）A．解密和签名 B．加密和签名 C．解密和认证 D．加密和认证

分析：在公钥体系（亦即非对称密钥体制）中，每个用户都有一对密钥：公钥和私钥，公钥对外公开，私钥由个人秘密保存。因此通常采用公钥加密，私钥解密。认证技术用于辨别用户的真伪，有基于对称加密的认证方法，也有基于公钥的认证。在基于公钥的认证中，通信双方用对方的公钥加密，用各自的私钥解密。在签名中用私钥签名消息，公钥验证签名。【答案：（66）A；（67）D】

【试题 1-58】2010年 5月真题 8、9

杀毒软件报告发现病毒Macro.Melissa，由该病毒名称可以推断病毒类型是（8），这类病毒主要感染目标是（9）。

（8）A．文件型 B引导型 C．目录型 D．宏病毒

（9）A． EXE或COM可执行文件 B．Word或Excel文件

C． DLL系统文件 D．磁盘引导区

分析：Melissa 病毒是一种快速传播的能够感染那些使用MS Word 97 和 MS Office 2000 的计算机宏病毒。即使不知道Melissa 病毒是什么也没关系，因为前面有个Macro，表明这是宏病毒。

【答案： （8）D；（9）B】

【试题 1-59】2009年 11月真题 9

某网站向CA申请了数字证书，用户通过（ 9）来验证网站的真伪。

（9）A．CA的签名 B．证书中的公钥 C．网站的私钥 D．用户的公钥

分 析：数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。它是一段包含用户身份信息、用户公钥信息及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。

数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。

为了保证网上信息传输双方的身份验证和信息传输安全，目前采用数字证书技术来实现，从而实现对传输信息的机密性、真实性、完整性和不可否认性。【答案：A】

【试题 1-60】2009年 5月真题 7

下面关于漏洞扫描系统的叙述，错误的是（7）。

（7）A．漏洞扫描系统是一种自动检测目标主机安全弱点的程序

B．黑客利用漏洞扫描系统可以发现目标主机的安全漏洞

C．漏洞扫描系统可以用于发现网络入侵者

D．漏洞扫描系统的实现依赖于系统漏洞库的完善

分 析：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞扫描针对的是系统漏洞的防御，防止恶意程序通过系统漏洞侵入系统，入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。选项C是入侵检测系统的功能。【答案：C】

【试题 1-61】2009年 5月真题 8

网络安全包含了网络信息的可用性、保密性、完整性和网络通信对象的真实性。其中，数字签名是对（8）的保护。

（8）A．可用性 B．保密性 C．连通性 D．真实性

分 析：网络安全的特征：【答案：D】

机密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性；完整性：只有得到允许的人才能

修改数据，并能够判别出数据是否已被篡改；可用性：可被授权实体访问并按需求使用的特性。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；网络通信对象的真实性：网络通信对象对信息的内容及传播具有控制能力。

数字签名是一种类似写在纸上的普通的物理签名，使用了公开密钥体系，使用的是发送方的密钥，保证了的信息的完整性是很容易验证的，而且数字签名还具有不可抵赖性，显然是对网络通信对象的真实性的保护。

【试题 1-62】2009年 5月真题 9

计算机感染特洛伊木马后的典型现象是（9）。

（9）A．程序异常退出 B．有未知程序试图建立网络连接

C．邮箱被垃圾邮件填满 D．Windows系统黑屏

分 析：特洛伊木马是黑客用来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳制作，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。感染后的现象有很多，比如屏幕上出现奇怪的对话框或消息框、无法在计算机上安装防病毒程序、或安装的防病毒程序无法运行等，其中最典型的就是有未知程序试图建立网络连接。【答案：B】