信息系统安全技术.doc

中国石油大学（华东）现代远程教育 信息系统安全技术信息系统安全技术 综合复习资料考试题型及分值名词解释（每小题3分，共15分）单项选择题（每小题1分，共20分）填空题（每空2分，共20分）判断题（每小题1分，共10分）问答题（简答每小题10分，综合题15分，共35分）一、名词解释1、 安全漏洞：在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。2、 主动攻击：涉及修改数据流或创建错误的数据流，它包括假冒，重放，修改信息和拒绝服务等。 3、 被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。4、 保密性：确保信息不暴露给未授权的实体或进程。5、 完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。6、 可用性：得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。 7、 可控性：主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。8、 不可抵赖性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。 9、 对称密码体制：也称为私钥密码体制。加密和解密采用相同的密钥。因为加解密密钥相同，需要通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，从而实现数据的机密性和完整性。10、 公钥密码体制：加密和解密是相对独立的，加密和解密会使用两把不同的密钥，加密密钥(公开密钥)向公众公开，谁都可以使用，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥。11、 散列函数：又称hash函数，就是把任意长的输入消息串变化成固定长的输出串的一种函数。12、 数字签名：附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。13、 身份鉴别：用户进入（即使用）涉密信息系统前，系统要对用户的身份进行鉴别，以判断该用户是否为系统的合法用户。其目的是防止非法用户进入。这是系统安全控制的第一道防线。14、 访问控制：按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。15、 计算机病毒: 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。16、 特洛伊木马：是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道其他的功能，例如在你不了解的情况下拷贝文件或窃取你的密码。 17、 计算机蠕虫：一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。18、 防火墙：是位于两个或多个网络间，实施网络之间访问安全控制的一组组件集合。 19、 堡垒主机：是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。20、 非军事区：为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。21、 代理服务器：是介于浏览器和Web服务器之间的一台服务器，当通过代理服务器上网浏览时，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。22、 扫描器：扫描器会帮助攻击者找到目标系统哪个端口是开放的，从而判断目标机器上什么服务在运行。23、 公钥基础设施：所谓PKI 就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。PKI 是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。24、 数字证书：由权威机CA证书授权中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。二、单项选择题1、 GB/T 9387.2-1995共定义了_大类安全服务和_类安全机制【 D 】。A. 4、6 B. 5、7C. 3、8D. 5、82、 我国颁布的计算机信息系统安全保护等级划分准则定义了计算机信息系统安全保护能力的五个等级，以下操作系统中达到系统审计保护级安全的是【 C 】。A. Windows 9x系列B. DOS C. Windows NTD. Windows 3.13、 在Windows 2000计算机系统启动后，当用户开始登录时，可以按哪个组合键使Windows 2000启动登录进程，弹出登录对话框，让用户输入账号及口令【D 】。A. Ctrl+Alt+F1 B. Ctrl+Alt+ShiftC. Ctrl+Alt+SpaceD. Ctrl+Alt+Del4、 在Windows 2000种，为了设置本地文件访问权限，应该使用下列那种文件系统【 C 】。A. FATB. FAT32C. NTFSD. HPFS5、 下列那一组属于非对称密码算法【B 】。A. DESB. RSAC. DES、RSAD. MD56、 下列哪个不是计算机病毒的基本特征【C 】。A. 传染性B. 潜伏性C. 顽固性D. 破坏性7、 计算机病毒可通过那些途径传播【D 】。A. 磁盘、光盘、U盘B. 文件共享C. 电子邮件D. 以上3项全是8、 屏蔽子网结构防火墙通常包括以下配置【 C 】。A. 一个过滤路由器、一个堡垒主机B. 一个过滤路由器、一个双穴主机网关C. 两个过滤路由器、一个堡垒主机D. 两个过滤路由器、一个双穴主机网关9、 包过滤防火墙作用在TCP/IP的那个层次【 A 】。A. 网络层B.传输层C. 应用层D. 以上都不对10、 代理防火墙作用在TCP/IP的那个层次【 C 】。A. 网络层B. 传输层C. 应用层D. 以上3项都对11、 对“非军事区”DMZ而言，正确的解释是【 D 】。A. DMZ是一个非真正可信的网络部分B. DMZ网络访问控制策略决定允许或禁止进入通信C. 允许外部用户访问DMZ上合适的服务D. 以上3项都是12、 可信计算机系统评估准则定义了计算机系统安全保护能力的七个等级，那么根据该准则Window2000所达到的最高保护等级是【 C 】A. D级B. C1级C. C2级D. B1级13、 下列黑客的攻击方式中为主动攻击的是【 C 】A. 网络监听B. 流量分析C. 拒绝服务攻击D.以上3项都不对14、 用于确定用户所声明的身份的真实性的是【 D 】。A. 访问控制B. 完整性鉴别C. 不可否认D. 身份识别15、 假设存在一种密码算法：将每一个字母序号加5，即a加密成f，b加密成g，.。这种算法的密钥就是5，那么它属于【 A 】。A. 对称密码算法B. 非对称密码算法C. 单向函数D. 以上都不对16、 计算机病毒扫描软件的组成是【 C 】A. 仅有病毒特征代码库B. 仅有病毒扫描程序C. 病毒特征代码库和扫描程序D. 病毒扫描程序和杀毒程序17、 DES是对称密钥加密算法，下面属于非对称密钥加密算法的是【 C 】A. IDEAB. AESC. RSAD. MD518、 下列哪个不是计算机病毒的基本特征【 】。A. 传染性B. 潜伏性C. 多态性D. 破坏性19、 计算机病毒的基本结构不包括【 】。A. 引导模块B. 触发模块C. 传染模块D. 表现模块（计算机病毒的基本结构模式和工作机理）计算机病毒大致可以包括三个主要模块：1。病毒引导模块；2。病毒传染模块：*激活传染条件的判断部分，*传染功能的实现；3。病毒破坏表现模块：*触发破坏表现条件的判断部分，*破坏表现功能的实施部分。三个模块的作用：1。引导模块：*将病毒引入内存，使传染和破坏表现模块处于激活状态*保护内存中的病毒代码不被覆盖*设置病毒的激活条件和触发条件2。传染模块：#判断传染条件是否成立#如果成立，将病毒程序连接到宿主程序，实施病毒的传染过程#如果不成立，继续寻找下一个进行判断3。破坏表现模块：￥判断破坏表现条件是否成立￥所有条件都满足时，实施病毒的破坏表现功能虽然各种病毒的构成不一定就包含或者只限于上面三个模块（比如上面那帖子里面的伪病毒程序，就不包含破坏表现模块），但是相对来讲，这三个模块中的两个至少要包含在所有病毒中。以下用一个伪C语言描述病毒的工作流程，以大家对照上面那个帖子的源代码，分析一下每部分代码是包含在哪个模块里面的，相关的一些技术实现以及各种病毒的工作机理和代码我们CCISS将会在以后给大家提供，请关注伪C描述如下：/*引导模块功能*/将病毒程序寄生于宿主程序中；加载计算机程序；病毒程序随其宿主程序的运行进入系统；传染模块的实现代码；破坏功能模块的实现代码；main()调用引导功能模块；A：do 寻找传染对象； if（传染条件不满足） goto A; while(满足传染条件)； 调用传染功能模块； while(满足破坏条件) 激活病毒程序； 调用破坏功能模块； 运行宿主程序； if 不关机 goto A; else 关机；20、 屏蔽主机结构防火墙包括以下配置【 B 】。A. 仅一个过滤路由器B. 一个过滤路由器、一个堡垒主机C. 仅一个堡垒主机D. 两个过滤路由器、一个堡垒主机21、 对周边网络而言，不正确的解释是【 】。A. 周边网络是一个非真正可信的网络部分B. 周边网络访问控制策略决定允许或禁止进入通信C. 允许周边网络访问内部网络中合适的服务D. 允许外部用户访问周边网络上合适的服务22、 防火墙最基本的功能是【 】。A. 访问控制功能B. 集中管理功能C. 全面的日志功能D. 内容控制功能23、 屏蔽主机结构过滤防火墙中，堡垒主机位于【 B 】。A. 外部网络B. 内部网络C. 周边网络D. 以上说法均不正确24、 屏蔽子网结构过滤防火墙中，堡垒主机位于【 C 】。A. 外部网络B. 内部网络C. 周边网络D. 以上均有可能25、 关于防火墙，以下那种说法是错误的【 A 】A. 防火墙能阻止来自内部的威胁B. 防火墙能控制进出内网的信息包C. 防火墙不能防病毒D. 防火墙能隐藏内部IP地址26、 在中华人民共和国信息系统安全保护条例中定义：计算机病毒是指编制者在计算机程序中设计的破坏计算机功能或者数据，影响计算机使用并且能够【 C 】的一组计算机指令或者程序代码。A. 自我删除B. 自我修改属性C. 自我复制D. 自我隐藏27、 以下对病毒防治描述不准确的是【 D 】A. 病毒防治应该以预防为主B. 目前的反病毒产品不可能自动防治今后的所有病毒C. 反病毒软件必须经常更新或升级D. 使用最新的反病毒产品就可以查杀所有病毒，并能正确恢复被病毒感染的文件28、 计算机病毒的核心模块是【 B 】A. 引导模块B. 传染模块C. 触发模块D. 表现模块29、 下列关于病毒的说法正确是【 C 】。A. 病毒只会感染可执行文件B. 系统经反病毒软件检测和杀毒后，该系统内就没有病毒了C. 干净的移动介质只要写保护就不会感染病毒D. 联网的计算机只要不主动下载网上的文件就不会感染病毒30、 防火墙是指【 C 】。A、一个特定软件B、一个特定硬件C、执行访问控制策略的一组系统D、一批硬件的总称31、 “公开密钥密码体制”的含义是【 C 】。A. 将所有密钥公开 B. 将私有密钥公开，公开密钥保密C. 将公开密钥公开，私有密钥保密 D. 两个密钥都保密32、 防火墙用于将Internet和内部网络隔离，【 B 】。A. 是防止Internet火灾的硬件设施B. 是信息系统安全的软件和硬件设施C. 是抗病毒破坏的软件和硬件设施D. 是起抗电磁干扰作用的硬件设施33、 认证是指核实真实身份的过程，是防止以下那种攻击的重要技术【A 】A、假冒攻击B、拒绝服务攻击C、窃听攻击D、病毒攻击34、 入侵检测系统一般从实现方式上分为两种，既基于主机的入侵检测系统和【 D 】A、基于服务器的入侵检测系统B、基于工作站的入侵检测系统C、基于PC机的入侵检测系统D、基于网络的入侵检测系统35、 安全体系结构中定义的抗抵赖服务指的是【 C 】。A. 数据原发证明的抗抵赖B. 数据交付证明的抗抵赖C. 数据原发证明和交付证明的抗抵赖D. 以上均不对36、 下列恶意程序不依赖于主机程序的是【 C 】A、蠕虫B、病毒C、木马D、逻辑炸弹37、 使用一个包过滤路由器和一个堡垒主机构成的的防火墙是【B 】。A、双重宿主主机体系结构B、屏蔽主机体系结构C、屏蔽子网体系结构D、以上说法均不正确38、 PKI中认证中心CA的核心职能是【 D 】A、注册用户信息B、公布黑名单C、撤消用户的证书D、签发和管理数字证书39、 用户A利用公钥体制向用户B发送保密信息，那么用户A使用的加密密钥是【 C 】。A、用户A的公钥B、用户A的私钥C、用户B的公钥D、用户B的私钥40、 用户A利用公钥体制向用户B发送签名信息，那么用户A使用的密钥是【 B 】。A、用户A的公钥B、用户A的私钥C、用户B的公钥D、用户B的私钥41、 未经授权故意访问计算机系统和网络的行为被称为【 A 】。A、入侵攻击B、拒绝服务攻击C、扫描攻击D、假冒攻击42、 计算机系统中最常用的用户身份鉴别方式是【 C 】。A、智能卡B、指纹扫描C、用户名/口令D、身份证43、 信息系统安全的最基本目标“CIA”是指【 B 】。A、机密性、完整性、鉴别B、机密性、完整性、可用性C、机密性、完整性、抗抵赖性D、机密性、访问控制、鉴别网络安全的5个基本要素分别是机密性，完整性，可用性，可靠性，真实性 病毒寄生方式分：引导型病毒，病毒文件型病毒和复合型病毒3种 防火墙：分组过滤防火墙，应用代理防火墙和状态检测防火墙 NMAP可实现4种扫描，ping扫描，TCP CONNECT端口扫描，TCP同步端口扫描和UDP端口扫描 入侵检测系统的4各组件：事件分析器，事件产生器，响应单元和事件数据库44、 由操作系统决定主体的访问控制权限的是【 A 】。A、自主访问控制B、基于角色的访问控制C、强制访问控制D、基于令牌的访问控制45、 下列哪项是保证用户口令安全的良好行为【 D 】。A、不把口令写下来B、口令中组合大小写字母，并包含数字和特殊符号C、定期改变口令D、以上三项都是46、 以下不属于公钥基础设施的组成部分的是【 A 】。A、对称密码B、CRLC、CAD、公钥证书47、 防火墙中的DMZ主要用于【 C 】。A、提供没有防火墙保护的、到Internet的方便连接B、提供一个诱捕黑客的场所C、在不受信任的和受信任的网络之间充当缓冲区，提供Internet可访问的服务D、以上三项都不是48、 IDS主要用于实现【B 】。A、防止未授权的访问B、发现未授权的访问C、VPND、以上三项都不是49、 IDS的两个主要类型是【 A 】。A、基于主机的和基于网络的B、基于特征的和基于事件的C、智能的和被动的D、智能的和主动的50、 下列口令最好的是【 A 】。A、Itdm63S!B、helloC、link99D、TommyJones51、 Microsoft把软件更新、补丁和新功能集成为一个大的自安装软件包，称为【C 】。A、HotfixB、PatchC、ServicePackD、Update52、 一段必须通过自我复制把自己附加到另一个文件进行传播的恶意代码是【 B 】。A、蠕虫B、病毒C、特洛伊木马D、逻辑炸弹53、 试图通过渗透网络和计算机系统进行传播的恶意代码是【A 】。A、蠕虫B、病毒C、特洛伊木马D、逻辑炸弹54、 减少受到蠕虫攻击的可能途径的最佳方法是【 D 】。A、安装防火墙软件B、安装防病毒软件C、安装入侵检测系统D、确保系统及服务都安装了最新补丁55、 下列不属于防火墙主要技术的是【 D 】。A、包过滤技术B、状态检测技术C、代理技术D、病毒检测技术三、填空题1、 计算机通信过程中存在的主要威胁有_ 中断_、_截获_ 、_篡改_、和_伪造_。2、 计算机信息系统面临的威胁大体可分为2类：一类是对_信息_的威胁，另一类是对_系统_的威胁，因而其安全目标集中体现为_机密性_和_完整性_两大目标。3、 计算机信息系统的安全需求主要包括：_保密性_、_完整性_、_可用性_、_可控性_、不可抵赖性_和可存活性。4、 计算机信息系统安全的基本目标是实现信息的_机密性_、_完整性_、_可用性_和资源的合法使用。5、 人对信息系统安全的威胁主要表现为无意失误和恶意攻击，其中恶意攻击根据其影响通常又可分为2类：_主动攻击_和_被动攻击_。6、 PDRR模型指的是_保护_、_检测_、_响应_和_恢复_四个方面。7、 根据加密和解密过程是否使用相同的密钥，密码算法可分为_对称密钥体制_和_非对称密钥体制_两类。8、 现代密码系统的五个组成部分是_明文空间_、_密文空间_、_密钥空间_、_加密算法_和_解密算法_。9、 DES算法的分组长度是_64_位，有效密钥长度是_56_位，IDEA算法的密钥长度是_128_位。10、 根据密码算法对明文信息的加密方式，对称密码体制常分为_序列密码体制_和_分组密码体制_两类。11、 现代密码系统的安全性都是基于_对密钥_的安全性，而不是基于对算法细节的保密。12、 密码攻击者攻击密码的方法主要有三种：_穷举攻击_、统计分析攻击和数学分析攻击。13、 对信息系统的基本威胁包括：_信息泄露_、_信息破环_、服务拒绝_和_非授权访问_。14、 对信息的威胁可分为2类：_无意失误_和_恶意攻击_。15、 我国颁布的计算机信息系统安全保护等级划分准则定义了计算机信息系统安全保护能力的五个等级，从低到高依次是： _用户自主保护级_、系统审计保护级_、_安全标记保护级_、_结构化保护级_、_访问验证保护级_。16、 GB/T 9387.2-1995定义的安全服务是：_鉴别_、_访问控制_、数据完整性_、_数据机密性_、_抗抵赖_。17、 访问控制用于限定对信息系统的使用，包括对_访问主体_进行访问控制和对_访问客体_进行访问控制。18、 用户名/密码是目前主要的身份验证机制，密码不应该只由字母组成，而至少应该包括大写字母、小写字母、_数字_、_标点符号_中的3种。19、 对计算机系统的访问控制主要分为两种类型： _和_，所采用的访问控制策略主要有_、_和_。20、 鉴别服务用于判定通信中交互对象身份的真实性，包括_对等实体_鉴别和_数据源_鉴别。其目的是为了对抗_假冒_攻击和_重放_攻击21、 计算机病毒的结构主要有三部分构成，即_引导模块_、_传染模块_、_破坏模块_。22、 计算机病毒的基本特征是_非授权可执行性_、_隐蔽性_、_传染性_、_潜伏性_、_破坏性_、_可触发性_。23、 计算机病毒按寄生方式分为_引导型_、_文件型_、_复合型_三种类型。24、 实现远程控制的特洛伊木马程序包括_木马控制_、_木马配置_、_木马服务_ 三个部分。25、 计算机病毒防治技术包括_预防_、_检测_、_清除_三个方面。26、 防火墙体系结构的常见配置有：_屏蔽路由器_、_双宿主主机_、_屏蔽主机_、_屏蔽子网_。27、 按照防火墙对数据的处理方法，防火墙大致分为两类：_包过滤防火墙_、_代理防火墙_。28、 PKI提供的服务包括_鉴别服务_、_机密性服务_、_完整性服务_。29、 PKI的四种主要信任模型包括_认证机构（CA ）的严格层次结构_、_分布式信任结构_、_Web 模型_、_以用户为中心的信任_。30、 _扫描器_会帮助攻击者找到目标系统哪个端口是开放的，从而判断目标机器上什么服务在运行。四、判断题1、 可信计算机系统评估标准对计算机系统定义了7个安全级别。对2、 从攻击方式区分攻击类型，可分为被动攻击和主动攻击，被动攻击难以检测，主动攻击难以阻止。对3、 计算机系统安全性取决于系统中最薄弱的环节。对4、 00属于RFC规定的专用类地址。对5、 访问控制的目的是防止用户破坏系统。错6、 在Windows 2000中，为了设置本地文件访问权限，应该使用FAT32文件系统。错7、 是个公开的加密算法。错8、 假设存在一种密码算法：将每一个字母序号加5，即a加密成f，b加密成g，.。这种算法的密钥就是5，那么它属于对非称密钥密码算法。错9、 在代理防火墙上，每一个允许的协议都必须有自己的代理。错10、 计算机系统安全性取决于系统中是否安装了防火墙和防病毒软件。11、 拒绝服务是一种网络安全服务，它可以保护系统以防黑客对计算机网络的攻击。错12、 只要在计算机系统上安装和配置了反病毒软件就可以彻底解决病毒问题。错13、 访问控制的目的是防止对系统的非授权访问和非授权使用。对14、 漏洞扫描可以发现系统潜在的弱点，因而它可以保护计算机系统。对15、 防火墙具有多个接口，每一个接口都对应一个连接的网络。对16、 防火墙既可以防病毒，也可以防黑客入侵。错17、 包过滤防火墙所有连接都在防火墙处终止，并且还隐藏了防火墙背后系统的IP地址。对18、 目前有些计算机病毒可以利用系统漏洞主动传播。错19、 计算机病毒既可以感染计算机系统，也可以感染使用该计算机的人。错20、 可以在局域网的网关处安装一个病毒防火墙，从而解决整个局域网的防病毒问题。错21、 计算机病毒既可以通过网络上文件下载传播，也可以通过电子邮件传播。22、 文件型病毒是指以独立文件形式存在并能自我传播的病毒。错23、 只要采用多种最先进的安全技术就能使计算机系统达到最安全。错24、 木马程序通常伪装成具有其它功能的程序，传播速度很慢，主要传染计算机中的文件。对25、 防火墙既能防范来自系统外部人员的恶意的攻击，也能防范系统内部人员的恶意攻击。对26、 公开密钥密码体制比对称密钥密码体制更为安全。对27、 现代密码体制把算法和密钥分开，只需要保证密钥的保密性，算法是可以公开的。对28、 我的公钥证书是不能在网络上公开的，否则其他人可能假冒我的身份或伪造我的数字签名。29、 PKI中CA/RA的主要职责是颁发管理数字证书，验证用户身份的真实性。对30、 Norton Ghost是一款个人用户领域常用的系统快速备份和恢复工具。 对31、 信息保护就是保护系统运行中有关敏感信息的保密性、完整性、可用性、可控性和不可否认性。对32、 信息系统安全就是既要保护系统的信息和功能不受破坏，又要保证系统不存在可能遭受攻击的脆弱点，还能让授权用户根据自己的权限使用这些资源或功能。错33、 只要采用最先进的安全技术和使用多种安全产品就能实现系统的绝对安全。错34、 AES是对称密钥算法，RSA是非对称密钥算法。 对AES加密算法原理 随着对称密码的发展,DES数据加密标准算法由于密钥长度较小(56位),已经不适应当今分布式开放网络对数据加密安全性的要求，因此1997年NIST公开征集新的数据加密标准,即AES1。经过三轮的筛选,比利时Joan Daeman和Vincent Rijmen提交的Rijndael算法被提议为AES的最终算法。此算法将成为美国新的数据加密标准而被广泛应用在各个领域中。尽管人们对AES还有不同的看法,但总体来说,AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES设计有三个密钥长度:128,192,256位，相对而言，AES的128密钥比DES的56密钥强1021倍2。AES算法主要包括三个方面：轮变化、圈数和密钥扩展。本文以128为例，介绍算法的基本原理；结合AVR汇编语言，实现高级数据加密算法AES。 AES是分组密钥，算法输入128位数据，密钥长度也是128位。用Nr表示对一个数据分组加密的轮数（加密轮数与密钥长度的关系如表1所列）。每一轮都需要一个与输入分组具有相同长度的扩展密钥Expandedkey(i)的参与。由于外部输入的加密密钥K长度有限,所以在算法中要用一个密钥扩展程序(Keyexpansion)把外部密钥K扩展成更长的比特串,以生成各轮的加密和解密密钥。35、 公钥密码体制就是把密钥都公开。 对五、问答题1、 说明计算机信息系统安全的五个特性并解释其含义。保密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。可用性：得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。 可控性：主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。不可抵赖性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。2、 简述信息系统面临哪些基本威胁？计算机网络面临的安全威胁大体可分为两种：一是对网络本身的威胁，二是对网络中信息的威胁。对网络本身的威胁包括对网络设备和网络软件系统平台的威胁；对网络中信息的威胁除了包括对网络中数据的威胁外，还包括对处理这些数据的信息系统应用软件的威胁。 影响计算机网络安全的因素很多，对网络安全的威胁主要来自人为的无意失误、人为的恶意攻击和网络软件系统的漏洞和“后门”三个方面的因素。 人为的无意失误是造成网络不安全的重要原因。网络管理员在这方面不但肩负重任，还面临越来越大的压力。稍有考虑不周，安全配置不当，就会造成安全漏洞。另外，用户安全意识不强，不按照安全规定操作，如口令选择不慎，将自己的账户随意转借他人或与别人共享，都会对网络安全带来威胁。 人为的恶意攻击是目前计算机网络所面临的最大威胁。人为攻击又可以分为两类：一类是主动攻击，它以各种方式有选择地破坏系统和数据的有效性和完整性；另一类是被动攻击，它是在不影响网络和应用系统正常运行的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，导致网络瘫痪或机密泄漏。 网络软件系统不可能百分之百无缺陷和无漏洞。另外，许多软件都存在设计编程人员为了方便而设置的“后门”。这些漏洞和“后门”恰恰是黑客进行攻击的首选目标。3、 （1）什么是对称密钥密码算法和非对称密钥密码算法？各举一例。（2）说明各自有哪些优点和缺点？ 4、 什么是数字签名？简述述使用公钥加密技术的签名和验证过程。5、 什么是身份鉴别？简述当前计算机系统中通常采用那些方法鉴别用户身份？ 6、 用户名/口令是常用的用户认证形式，应如何选择安全的口令以对抗字典