高中信息技术（必选3）X2-03-01加密技术与安全知识点

高中信息技术（必选3）X2-03-01加密技术与安全知识点整理一、课程主要学习内容概述本课程聚焦加密技术的核心原理、典型应用及信息安全的基础保障逻辑，旨在帮助学生理解加密技术在维护信息机密性、完整性和可用性中的核心作用。主要涵盖加密技术的基本概念与分类、对称加密技术、非对称加密技术、哈希函数的应用、数字签名与数字证书的原理及作用，以及常见信息安全威胁与防护措施等内容。通过学习，学生需掌握核心加密技术的工作机制，能区分不同加密方式的适用场景，理解数字签名、数字证书等安全技术的实现逻辑，并具备应对基础信息安全威胁的防护意识与初步能力。二、核心知识点梳理及配套练习题知识点1：加密技术基础概念核心内容：1.加密与解密的定义：加密是将明文（原始信息）通过加密算法转换为不可直接读取的密文的过程；解密是将密文通过解密算法还原为明文的过程。2.加密系统的基本组成：包括明文、密文、加密算法、解密算法、密钥（加密密钥与解密密钥）。3.加密技术的核心目的：保障信息的机密性，防止未授权者获取信息内容；辅助保障信息的完整性与不可否认性。4.加密技术的分类：按密钥类型可分为对称加密和非对称加密；按操作方式可分为流加密和分组加密。练习题下列关于加密技术的描述，错误的是（）

A.加密的核心是通过算法转换隐藏信息内容

B.加密过程必须依赖密钥，无密钥无法完成加密

C.解密是加密的逆过程，需要使用对应的解密算法和密钥

D.加密技术仅能保障信息的机密性，无法保障完整性

加密系统中，用于将明文转换为密文的关键要素不包括（）

A.明文本身B.加密算法C.数字证书D.加密密钥

简述加密技术的核心目的及加密系统的基本组成部分。请区分加密与解密的概念，并说明两者之间的关联。答案及解析答案：D

解析：加密技术的核心目的是保障信息机密性，同时结合哈希函数、数字签名等技术，可进一步保障信息的完整性（防止信息被篡改）和不可否认性，因此D选项表述错误。A、B、C选项均符合加密技术的基本定义和特性。答案：C

解析：加密过程的核心要素包括明文（原始信息）、加密算法（转换规则）、加密密钥（触发/控制转换的关键信息），三者共同作用生成密文。数字证书是用于验证密钥合法性的工具，不属于加密转换过程的直接要素，因此选择C。答案：核心目的：①保障信息机密性，防止未授权用户获取和读取信息内容；②辅助保障信息完整性（结合相关技术防止信息被篡改）和不可否认性（结合数字签名等技术追溯信息来源）。

基本组成部分：①明文：待加密的原始信息；②密文：加密后不可直接读取的信息；③加密算法：将明文转换为密文的数学规则；④解密算法：将密文还原为明文的数学规则（通常与加密算法对应）；⑤密钥：控制加密和解密过程的关键信息，分为加密密钥和解密密钥。答案：加密：指利用加密算法和加密密钥，将可直接读取的明文转换为不可直接读取的密文的过程，目的是隐藏信息内容。

解密：指利用解密算法和解密密钥，将密文还原为原始明文的过程，目的是恢复信息的可读取性。

关联：两者是互逆过程，依赖相同的算法体系和对应的密钥；加密的输出是解密的输入，只有使用与加密密钥匹配的解密密钥，才能通过解密算法正确还原明文。知识点2：对称加密技术核心内容：1.定义：加密和解密使用同一个密钥（或加密密钥与解密密钥可通过简单算法相互推导）的加密技术，又称私钥加密。2.典型算法：DES（数据加密标准，分组加密，密钥长度56位，安全性较低）、3DES（对DES的改进，多次加密，安全性提升）、AES（高级加密标准，分组加密，密钥长度128/192/256位，安全性高，应用广泛）。3.优点：加密和解密速度快，运算效率高，适合大量数据加密；算法实现简单，资源消耗少。4.缺点：密钥分发困难，需通过安全渠道传递密钥，否则易被拦截；密钥管理难度大，多用户场景下密钥数量激增（n个用户需n(n-1)/2个密钥）；无法实现数字签名，难以保障不可否认性。5.适用场景：内部数据传输（如企业内部文件共享）、本地数据加密（如手机文件加密）、对速度要求高的批量数据加密。练习题下列属于对称加密算法的是（）

A.RSAB.AESC.ECCD.SHA-256

关于对称加密技术的特点，下列说法正确的是（）

A.加密和解密使用不同密钥，安全性更高

B.密钥分发简单，适合多用户跨网络通信

C.加密速度快，适合大量数据的实时加密

D.可直接实现数字签名，保障信息不可否认性

某企业需要对内部员工之间传输的大量业务数据进行加密，要求加密速度快、实现成本低，请问应选择哪种加密技术？并说明理由。简述对称加密技术的核心缺点，并说明在实际应用中如何缓解这些缺点。对比DES和AES算法的异同，说明为何AES算法逐渐取代DES成为主流对称加密算法。答案及解析答案：B

解析：A选项RSA、C选项ECC均为非对称加密算法；D选项SHA-256是哈希函数，不属于加密算法；B选项AES是典型的对称加密算法，因此选择B。答案：C

解析：A选项错误，对称加密加密和解密使用同一密钥；B选项错误，对称加密密钥分发困难，不适合多用户跨网络通信；C选项正确，对称加密运算效率高，速度快，适合大量数据实时加密；D选项错误，对称加密无法实现数字签名，需结合非对称加密实现。答案：应选择对称加密技术（如AES算法）。

理由：①企业内部员工通信，数据量较大，对称加密速度快、运算效率高，可满足实时传输需求；②对称加密算法实现简单，硬件/软件部署成本低，符合企业成本控制需求；③内部通信场景下，密钥可通过企业内部安全渠道（如线下分发、内部加密服务器传递）分发，一定程度上规避密钥分发风险；④AES算法安全性高，密钥长度可选择128位及以上，能保障业务数据的机密性。答案：核心缺点：①密钥分发困难：需通过安全渠道传递密钥，跨网络场景下易被拦截；②密钥管理复杂：多用户场景下，密钥数量随用户数增长呈平方级增加，管理成本高；③无法实现不可否认性：因双方共享同一密钥，无法追溯信息发送方身份，易出现抵赖行为。

缓解措施：①密钥分发：采用“密钥交换协议”（如Diffie-Hellman协议）安全交换密钥；通过可信第三方（如密钥分发中心KDC）分发密钥；线下安全渠道分发密钥（适用于小规模场景）；②密钥管理：建立密钥管理系统（KMS），统一管理密钥的生成、分发、更新、销毁；采用会话密钥机制，每次通信生成临时密钥，降低密钥泄露风险；③不可否认性：结合非对称加密技术（如数字签名），用对称加密保障数据机密性，用非对称加密保障身份认证和不可否认性。答案：异同点：①相同点：均为分组对称加密算法，通过对固定长度的分组数据进行加密运算；均适用于批量数据加密，运算效率较高；②不同点：密钥长度不同，DES密钥长度为56位，AES密钥长度为128/192/256位；加密轮数不同，DES加密轮数为16轮，AES根据密钥长度不同为10/12/14轮；安全性不同，DES密钥长度较短，易被暴力破解，安全性较低，AES密钥长度更长，加密逻辑更复杂，安全性更高；应用场景不同，DES逐渐被淘汰，AES广泛应用于各类信息系统、通信协议（如SSL/TLS）中。

AES取代DES的原因：①安全性不足：DES密钥长度仅56位，随着计算机运算能力的提升，暴力破解变得可行，无法满足现代信息安全需求；②AES算法安全性更高，密钥长度可灵活选择，能抵御当前主流破解手段；③AES运算效率不低于DES，且对硬件资源要求较低，可在各类设备（从嵌入式设备到服务器）上高效运行；④AES是国际通用标准，被多个国家和行业认可，兼容性和通用性更强，适合跨平台应用。知识点3：非对称加密技术核心内容：1.定义：加密和解密使用一对不同但相互关联的密钥（公钥和私钥）的加密技术，又称公钥加密。公钥可公开传播，私钥由用户自行保管，不可泄露。2.核心特性：公钥加密的信息只能用对应的私钥解密，私钥加密的信息只能用对应的公钥解密。3.典型算法：RSA（基于大整数因式分解难题，应用最广泛）、ECC（椭圆曲线加密，基于椭圆曲线离散对数难题，密钥长度短、运算效率高）。4.优点：密钥分发简单，公钥可公开传播，无需安全渠道；密钥管理容易，多用户场景下每个用户仅需保管一对密钥；可实现数字签名和身份认证，保障信息不可否认性和真实性。5.缺点：加密和解密速度慢，运算效率低，不适合大量数据加密；算法实现复杂，资源消耗较大。6.适用场景：密钥分发（如为对称加密分发密钥）、数字签名、身份认证（如网络登录认证）、少量敏感数据加密（如支付信息）。练习题关于非对称加密技术的密钥特性，下列说法正确的是（）

A.公钥和私钥可相互推导，任意一方均可用于加密和解密

B.公钥公开传播，私钥自行保管，两者无法相互推导

C.用公钥加密的信息，可同时用公钥和解密解密

D.私钥可公开，公钥需保密，避免被未授权用户获取

下列场景中，最适合采用非对称加密技术的是（）

A.企业内部大量财务数据的实时传输加密

B.向多个用户发送相同的加密营销邮件

C.电子商务平台中用户身份认证及订单签名

D.本地硬盘中大量视频文件的加密存储

简述非对称加密技术中“公钥”和“私钥”的关系及核心使用逻辑，并举例说明其在数字签名中的应用。某电子商务平台需要实现“用户登录身份认证”和“订单信息加密传输”两个功能，请说明如何结合非对称加密技术实现，并分析选择该方案的原因。对比RSA和ECC算法的特点，说明ECC算法在移动设备中的应用优势。答案及解析答案：B

解析：A选项错误，公钥和私钥是一对关联密钥，无法相互推导；B选项正确，非对称加密公钥可公开，私钥由用户专属保管，两者不可推导；C选项错误，用公钥加密的信息只能用对应的私钥解密；D选项错误，非对称加密中是公钥公开，私钥保密。答案：C

解析：A选项适合对称加密，非对称加密速度慢，不适合大量数据实时传输；B选项适合对称加密，向多个用户发送相同信息，用对称加密加密信息，公钥加密对称密钥即可，无需多次非对称加密；C选项适合非对称加密，身份认证可通过公钥验证私钥签名实现，订单签名可通过私钥加密、公钥验证实现，保障不可否认性；D选项适合对称加密，本地大量文件加密需速度快、效率高的加密方式。答案：关系：公钥和私钥是一对通过加密算法生成的关联密钥，两者相互对应且无法相互推导；公钥可公开传播，私钥由用户唯一保管，不可泄露。

核心使用逻辑：①加密场景：用接收方的公钥加密信息，只有接收方的私钥能解密，保障信息机密性；②签名场景：用发送方的私钥加密信息摘要（哈希值）生成数字签名，接收方用发送方的公钥验证签名，确认信息来源真实性和完整性。

数字签名应用举例：小明向小红发送文件，先对文件做哈希运算得到摘要；用自己的私钥对摘要加密生成数字签名，随文件一起发送；小红接收后，用小明的公钥解密数字签名得到摘要，同时对接收的文件做哈希运算得到新摘要；对比两个摘要，若一致则说明文件未被篡改，且确实由小明发送，避免小明抵赖。答案：实现方案：①用户登录身份认证：采用“私钥签名+公钥验证”模式。平台为每个用户分配一对密钥，公钥存储在平台服务器，私钥由用户保管（如存储在U盾、手机安全芯片）；用户登录时，用私钥对登录时间戳等随机信息签名，发送给平台；平台用用户的公钥验证签名，若验证通过则确认用户身份合法。②订单信息加密传输：采用“非对称加密+对称加密”混合模式。用户先生成一个临时对称密钥，用对称密钥加密订单信息；再用平台的公钥加密该对称密钥，与加密后的订单信息一起发送；平台接收后，用自己的私钥解密得到对称密钥，再用对称密钥解密订单信息。

选择原因：①身份认证采用非对称加密，可实现身份唯一性验证，避免密码被盗用带来的安全风险，保障不可否认性；②订单传输采用混合模式，兼顾安全性和效率：非对称加密保障对称密钥的安全分发，对称加密保障订单信息的高效加密，解决了非对称加密速度慢、不适合大量数据加密的问题；③公钥可公开传播，无需安全渠道分发，降低了密钥管理难度，适合电子商务平台多用户场景。答案：RSA与ECC算法特点对比：①安全性基础：RSA基于大整数因式分解难题，ECC基于椭圆曲线离散对数难题；②密钥长度：相同安全性下，ECC密钥长度远短于RSA（如160位ECC密钥安全性相当于1024位RSA密钥）；③运算效率：ECC加密解密速度快于RSA，资源消耗更少；④兼容性：RSA应用更广泛，支持多数现有系统，ECC兼容性逐步提升。

ECC在移动设备中的应用优势：①移动设备（如手机、平板）存储容量有限，ECC密钥长度短，占用存储资源少，适合设备存储；②移动设备运算能力和电池续航有限，ECC运算效率高，可减少设备算力消耗，延长续航时间；③移动设备多用于无线通信（如4G、5G、WiFi），数据传输量受限，ECC密钥和加密数据体积小，可减少通信带宽占用，提升传输速度；④相同密钥长度下ECC安全性更高，能在有限资源下保障移动设备数据（如支付信息、个人隐私）的安全。知识点4：哈希函数与信息完整性核心内容：1.定义：哈希函数是一种单向数学函数，可将任意长度的输入（明文）转换为固定长度的输出（哈希值/消息摘要），无法通过哈希值反推原始输入。2.核心特性：①单向性：仅能由明文计算哈希值，无法由哈希值还原明文；②固定输出性：无论输入长度如何，输出哈希值长度固定；③抗碰撞性：难以找到两个不同的明文，使其计算出的哈希值相同（分为弱抗碰撞性和强抗碰撞性）；④雪崩效应：输入信息微小变化，会导致哈希值发生巨大变化。3.典型算法：MD5（128位输出，安全性较低，存在碰撞漏洞）、SHA-1（160位输出，安全性中等，逐渐被淘汰）、SHA-2系列（如SHA-256，256位输出，安全性高，应用广泛）、SHA-3系列（新型哈希算法，兼容性更强）。4.核心应用：①信息完整性校验：通过对比原始信息和接收信息的哈希值，判断信息是否被篡改；②密码存储：存储用户密码的哈希值，而非明文，提升密码安全性；③数字签名的基础：对信息计算哈希值，再对哈希值签名，减少签名数据量。5.注意事项：哈希函数仅保障信息完整性，不保障机密性，需结合加密技术使用。练习题下列不属于哈希函数核心特性的是（）

A.单向性B.可解密性C.抗碰撞性D.雪崩效应

用户在某网站注册时，网站存储的是用户密码的哈希值而非明文，其主要目的是（）

A.提升密码加密速度B.减少存储容量占用

C.防止网站数据库泄露后密码被直接获取D.便于密码找回

简述哈希函数“雪崩效应”的含义，并说明其在信息完整性校验中的作用。某用户下载一个软件安装包后，如何利用哈希函数验证该安装包是否被篡改？请描述具体步骤。对比MD5和SHA-256算法的安全性，说明为何现在多数系统不再使用MD5存储用户密码。答案及解析答案：B

解析：哈希函数的核心特性包括单向性、固定输出性、抗碰撞性、雪崩效应，其本质是单向函数，不具备可解密性（无法由哈希值反推明文），因此选择B。答案：C

解析：A选项错误，哈希函数是单向运算，不存在“加密速度”的优化需求；B选项错误，哈希值固定长度，存储容量与短密码明文相近，减少存储容量不是主要目的；C选项正确，若数据库泄露，攻击者仅获取哈希值，无法直接得到明文密码，提升密码安全性；D选项错误，存储哈希值不便于密码找回，密码找回通常需通过重置机制。答案：雪崩效应含义：当输入信息发生极其微小的变化（如一个比特位的改变）时，输出的哈希值会发生巨大变化（几乎所有比特位都不同），如同雪崩般连锁反应。

在信息完整性校验中的作用：①若信息在传输或存储过程中被篡改（即使是微小篡改），通过哈希函数计算得到的新哈希值会与原始哈希值差异极大，便于快速发现信息被篡改；②避免攻击者通过微调信息内容，生成与原始哈希值相同的伪造信息，提升完整性校验的可靠性；③增强哈希函数的抗篡改能力，保障校验结果的准确性。答案：具体步骤：①获取原始哈希值：从软件官方网站获取该安装包对应的原始哈希值（通常为SHA-256或MD5值，官方会公开标注）；②计算本地哈希值：在本地计算机上，使用哈希函数工具（如Windows命令行certutil、第三方工具HashCalc），对下载后的安装包文件计算哈希值，选择与官方一致的哈希算法（如SHA-256）；③对比哈希值：将本地计算的哈希值与官方公布的原始哈希值进行对比；④结果判断：若两个哈希值完全一致，说明安装包未被篡改；若不一致，说明安装包可能被篡改或下载错误，需重新从官方渠道下载。答案：安全性对比：①MD5算法：输出128位哈希值，存在明显的碰撞漏洞，攻击者可通过特定方法构造两个不同的明文，使其生成相同的MD5哈希值，安全性较低；②SHA-256算法：输出256位哈希值，抗碰撞性强，目前尚未发现有效的碰撞攻击方法，安全性远高于MD5。

不再使用MD5存储密码的原因：①碰撞漏洞导致安全风险：攻击者可利用MD5的碰撞漏洞，构造与用户原始密码哈希值相同的伪造密码，从而登录用户账户；②计算机运算能力提升：MD5哈希值长度较短，随着计算机运算能力的提升，暴力破解MD5哈希值的难度降低，攻击者可通过彩虹表等工具快速破解简单密码的MD5哈希值；③行业标准升级：SHA-256等更安全的哈希算法已成为行业主流，多数系统为保障用户数据安全，逐步淘汰MD5，采用安全性更高的哈希函数存储密码。知识点5：数字签名与数字证书核心内容：一、数字签名1.定义：基于非对称加密技术，发送方用私钥对信息的哈希值进行加密，生成的加密数据即为数字签名，用于验证信息来源真实性和完整性。2.核心流程：①发送方：对原始信息计算哈希值（摘要）→用私钥对哈希值加密生成数字签名→将原始信息+数字签名发送给接收方；②接收方：对接收的原始信息计算哈希值→用发送方的公钥解密数字签名得到原始哈希值→对比两个哈希值，一致则验证通过。3.核心作用：①身份认证：确认信息发送方身份，防止假冒；②信息完整性：验证信息是否被篡改；③不可否认性：防止发送方事后抵赖发送过信息。4.注意事项：数字签名不保障信息机密性，需结合加密技术对原始信息加密。二、数字证书1.定义：由权威第三方机构（CA，证书授权中心）颁发的，用于证明公钥归属的电子文件，解决公钥分发过程中的身份认证问题（防止公钥被篡改或假冒）。2.核心内容：包含用户身份信息、用户公钥、CA签名、证书有效期等信息。3.核心作用：①验证公钥合法性：证明公钥确实属于对应的用户/机构，防止公钥被假冒；②解决“公钥信任”问题：通过CA的权威背书，建立用户之间的信任关系。4.核心流程（证书验证）：①用户获取对方的数字证书→用CA的公钥解密证书中的CA签名→验证证书内容是否完整、有效期是否合法→确认证书中的公钥为对方合法公钥。5.常见类型：个人数字证书、企业数字证书、服务器数字证书（如SSL证书，用于网站HTTPS加密）。练习题数字签名的核心作用不包括（）

A.保障信息机密性，防止信息被未授权读取

B.验证信息来源真实性，防止假冒发送

C.保障信息完整性，防止信息被篡改

D.实现不可否认性，防止发送方抵赖

关于数字证书的描述，错误的是（）

A.数字证书由权威CA机构颁发，用于证明公钥归属

B.数字证书包含用户公钥、身份信息及CA签名

C.验证数字证书时，需用证书持有者的私钥解密CA签名

D.数字证书可解决公钥分发过程中的身份认证问题

简述数字签名的完整流程，并说明其如何同时实现身份认证和信息完整性验证。某电子商务平台需要保障用户与平台之间的通信安全，防止“中间人攻击”（攻击者拦截并篡改公钥），请问应如何利用数字证书解决该问题？分析数字签名与数字证书之间的关系，说明为何数字签名需要结合数字证书才能更好地发挥作用。答案及解析答案：A

解析：数字签名的核心作用是身份认证、信息完整性验证和不可否认性，其本身不保障信息机密性。若需保障信息机密性，需结合加密技术（如用接收方公钥加密原始信息），因此选择A。答案：C

解析：A、B、D选项均符合数字证书的定义和作用；C选项错误，验证数字证书时，需用CA机构的公钥解密证书中的CA签名，而非证书持有者的私钥，因此选择C。答案：完整流程：①发送方处理：a.对需要发送的原始信息（如文件、消息）进行哈希运算，生成固定长度的信息摘要（哈希值）；b.发送方使用自己的私钥对该信息摘要进行加密，生成数字签名；c.将原始信息和数字签名捆绑在一起，发送给接收方。②接收方验证：a.接收方分离原始信息和数字签名；b.对接收的原始信息进行相同的哈希运算，生成新的信息摘要；c.接收方使用发送方的公钥对数字签名进行解密，得到发送方生成的原始信息摘要；d.对比新生成的信息摘要和解密得到的原始信息摘要。

身份认证实现：只有发送方的私钥能加密生成数字签名，接收方用发送方的公钥能成功解密签名，说明该签名确实由发送方生成，从而确认发送方身份的真实性，防止假冒。

信息完整性实现：若信息在传输过程中被篡改，接收方对篡改后信息计算的新摘要会与发送方原始摘要不一致；通过对比摘要，可判断信息是否被篡改，保障信息完整性。答案：解决方案：采用“数字证书+HTTPS协议”模式，具体步骤如下：①电子商务平台向权威CA机构申请服务器数字证书，证书中包含平台的服务器公钥、平台身份信息（如域名、企业名称）及CA机构的数字签名；②用户访问平台时，平台自动向用户浏览器发送该数字证书；③用户浏览器内置权威CA机构的公钥，浏览器用CA公钥解密证书中的CA签名，验证证书的合法性（如有效期、身份信息一致性）；④验证通过后，浏览器确认证书中的服务器公钥为平台合法公钥，后续通信中用该公钥加密会话密钥（用于加密后续传输的用户数据）；⑤后续用户与平台的通信数据，用会话密钥加密传输，同时平台对关键信息（如订单）添加数字签名，用户通过证书中的公钥验证签名。

防中间人攻击原理：中间人无法伪造CA机构的数字签名，若中间人拦截并篡改平台公钥，生成的伪造证书会因CA签名验证失败被浏览器识别；用户仅信任经CA验证的合法公钥，从而避免使用中间人伪造的公钥，防止中间人拦截、篡改通信数据。答案：关系：数字证书是数字签名的信任基础，数字签名依赖数字证书解决公钥信任问题，两者结合形成完整的信息安全保障体系。

原因：数字签名的验证依赖发送方的公钥，若公钥在分发过程中被中间人篡改或假冒，接收方会使用错误的公钥验证签名，导致签名验证失败或被欺骗。数字证书由权威CA机构颁发，通过CA的权威背书证明公钥的合法性：①数字证书包含公钥及对应的用户身份信息，CA对证书内容签名，保障证书不被篡改；②接收方通过CA的公钥验证证书合法性后，可确认证书中的公钥确实属于发送方，避免使用假冒公钥；③只有结合数字证书，才能解决“公钥归属”的信任问题，确保数字签名的验证过程有效，使数字签名的身份认证、不可否认性等作用真正落地。若没有数字证书，公钥分发过程中易出现安全漏洞，数字签名的安全性无法保障。知识点6：常见信息安全威胁与防护措施核心内容：1.常见信息安全威胁：①恶意软件攻击：病毒（依附于其他文件，具有传染性）、蠕虫（可独立传播，无需依附文件）、木马（伪装正常软件，窃取信息或控制设备）、勒索病毒（加密用户数据，索要赎金）；②网络攻击：中间人攻击（拦截并篡改通信数据）、DDoS攻击（分布式拒绝服务，占用服务器资源，导致服务瘫痪）、SQL注入攻击（利用网站漏洞，插入恶意SQL语句，窃取数据库信息）、密码破解（暴力破解、字典破解等）；③信息泄露：用户密码明文存储、公钥被假冒、个人信息被非法收集和传播；④人为失误：密码设置简单、随意点击陌生链接、泄露密钥等。2.核心防护措施：①技术防护：安装杀毒软件和防火墙，定期更新系统和软件；采用加密技术（对称+非对称）保护数据传输和存储；使用数字证书保障公钥合法性；开启多因素认证（如密码+验证码+U盾）提升账户安全性；②管理防护：制定信息安全管理制度，规范密钥分发和管理；定期开展信息安全培训，提升用户安全意识；定期备份数据，应对勒索病毒等攻击；③个人防护：设置复杂密码，定期更换；不点击陌生链接，不下载未知来源软件；妥善保管个人密钥和数字证书，不随意泄露。练习题下列属于网络攻击中的“中间人攻击”的是（）

A.攻击者发送大量请求，导致服务器无法正常提供服务

B.攻击者拦截用户与银行的通信，篡改转账金额后转发

C.攻击者伪装成正常软件，窃取用户手机中的支付信息

D.攻击者利用网站漏洞，插入恶意代码窃取数据库信息

为应对勒索病毒攻击，下列防护措施中最有效的是（）

A.安装杀毒软件，定期查杀病毒

B.定期备份重要数据，且备份数据离线存储

C.开启防火墙，禁止所有外部网络连接

D.使用强密码，定期更换账户密码

简述DDoS攻击的原理及危害，并说明企业应采取哪些措施防范DDoS攻击。分析个人用户在日常使用网络过程中，可能面临的主要信息安全威胁，并给出对应的防护建议。某企业发现部分员工存在密码设置简单、随意点击陌生邮件附件的情况，结合本知识点，为该企业设计一套信息安全防护方案。答案及解析答案：B

解析：A选项是DDoS攻击；B选项是中间人攻击，攻击者拦截通信并篡改数据；C选项是木马攻击；D选项是SQL注入攻击，因此选择B。答案：B

解析：勒索病毒的核心危害是加密用户数据，索要赎金，杀毒软件难以解密已加密数据，因此最有效的防护措施是定期备份数据且离线存储（避免备份数据被病毒加密）。A选项可防范病毒入侵，但无法应对已发生的勒索病毒攻击；C选项禁止所有外部连接不现实，影响企业正常业务；D选项强密码防护与勒索病毒攻击无直接关联，因此选择B。答案：原理：DDoS（分布式拒绝服务）攻击是攻击者控制大量被感染的设备（僵尸网络），向目标服务器发送海量的无效请求，占用服务器的CPU、内存、带宽等资源，导致服务器无法正常处理合法用户的请求，最终陷入瘫痪。

危害：①业务中断：目标服务器瘫痪，企业网站、APP等服务无法正常提供，影响用户使用，造成直接经济损失；②声誉受损：服务中断会降低用户对企业的信任度，损害企业品牌形象；③资源消耗：企业需投入大量人力、物力应对攻击，清理恶意请求，修复系统，增加运营成本。

防范措施：①技术防护：a.部署抗DDoS设备（如防火墙、流量清洗设备），对网络流量进行过滤，识别并拦截恶意请求；b.采用分布式服务器架构（如CDN加速、多地域节点部署），分散流量压力，避免单点故障；c.优化服务器配置，设置请求频率限制，拒绝异常高频请求；d.定期对服务器系统和软件进行漏洞修复，防止攻击者利用漏洞控制服务器。②管理防护：a.建立网络流量监控机制，实时监测流量异常，及时发现攻击迹象；b.制定DDoS攻击应急预案，明确攻击发生后的处理流程，快速响应；c.与网络服务提供商（ISP）合作，借助其骨干网络资源，在攻击源头拦截恶意流量；d.加强员工安全培训，避免员工设备被感染成为僵尸网络节点。答案：主要安全威胁及防护建议：①恶意软件攻击（病毒、木马、勒索病毒）：威胁：设备被感染，数据被窃取或加密，设备被控制。防护建议：安装正规杀毒软件和防火墙，定期更新病毒库