资源简介 (共59张PPT)3.2 信息系统安全与防护第三章 信息系统安全1.掌握常用数据加密的方法,口令与密钥,理解简单加密算法的原理。2.学会身份认证与安全相关知识,认识计算机病毒并掌握防治的方法。3.能在应用信息系统的过程中,及时发现系统潜在的安全隐患,并应用技术手段做好安全防范工作。目 录CONTENTS知识梳理01例题精析02随堂检测03课时作业04知识梳理1一、数据加密与安全确保数据的________、________、____________、________,这是密码学要实现的主要安全目标。为此,需要通过加密措施保护信息的保密性,采用数字签名保护信息的不可否认性,同时为了避免数据灾难,确保数据的完整性,还需要重视数据的容灾备份和恢复。保密性完整性不可否认性存在性1.密码与密钥(1)口令与密码口令(Password)用于认证用户身份。密码通常是指按特定编码规则编成,用于对通信双方的数据信息进行从明文到密文变换的符号。密码是一种“混淆”技术,就是隐蔽了真实内容的符号序列,把用公开的、标准的信息编码表示的信息,通过一种变换手段将其变为除通信双方外的其他人所不能读懂的信息编码,这种独特的信息编码就是密码。(2)密钥的概念密钥(Key)是指在密码算法中引进的控制参数,对一个算法采用不同的参数值,其解密结果就不同。加密算法中的控制参数称加密密钥,解密算法中的控制参数称解密密钥。密码系统包括______、______、______和__________四个方面。原有的信息称为明文(简称P);明文经过加密变换后的形式称为密文(简称C);由明文变为密文的过程称为加密(简称E),通常由加密算法来实现,如右图所示;由密文还原成明文的过程称为解密(简称D)。常见的加密函数形式:C=Ek1(P);常见的解密函数形式:P=Dk2(C)。明文密文密钥密码算法(3)简单加密算法教材主要介绍了__________、__________、__________三种简单加密算法。①替代密码。凯撒密码是应用密钥加密数据的经典例子。凯撒密码是一种简单的替代密码,通过正常顺序的明文字母表偏移一定字母替代来实现加密。②换位密码。换位密码的基本思想是将明文中的字母位置通过一定的规则__________。最简单的换位就是________,即将明文中的字母倒过来输出。③简单异或。异或运算,是一种逻辑运算,其数学符号为“?”。运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同,那么异或结果为1。如果两个值相同,那么异或结果为0。异或运算的运算特点:0?0=0,0?1=1,1?0=1,1?1=0替代密码换位密码简单异或重新排列逆序法2.对称与非对称密码体制密码体制,是指______、______、______以及实现______和__________的一套软件和硬件机制。根据加密密钥(通常记为Ke)和解密密钥(通常记为Kd)的关系,密码体制可以分为对称密码体制和非对称密码体制。若一种加密方法Ke=Kd,则称为对称密码体制或单钥密码体制。在对称密码体制中,著名的加密算法是IBM公司研制成功的________________。若一种加密方法Ke≠Kd,则称为非对称密码体制或双钥密码体制。在这种方法中,加密使用的密钥和解密使用的密钥不相同。在非对称密码体制中,著名的加密算法是____________。明文密文密钥加密解密算法DES分组算法RSA算法二、身份认证与安全为了系统的安全,需要对访问者进行管制和约束。身份认证用于检验访问者身份的合法性,控制哪些用户能够登录系统并获取系统资源,有效的身份识别是信息安全的保障。1.身份认证身份认证是用户在进入系统或访问受限数据资源时,系统对用户身份的鉴别过程。身份认证技术能够有效防止数据资源被非授权使用,保障数据资源的安全。身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证技术的不同可以大致分为以下三类:(1)用户名+口令的认证技术该认证技术最大的优点在于操作简单,不需要任何附加设施,且成本低、速度快,主要包括__________和__________。静态口令方式的用户名和口令是一次性产生,在使用过程中是固定不变的。动态口令是目前应用广泛的一种身份识别技术,主要有______________和____________这两种。(2)依靠生物特征识别的认证技术目前比较成熟的生物特征识别的认证技术有______________、______________、______________、______________等。生物特征识别的认证方式具有防伪性能好、随时随地可用等优点。静态口令动态口令动态短信口令动态口令牌指纹识别技术语音识别技术虹膜认证技术人脸识别技术(3)USB Key认证技术该认证方式采用软硬件相结合、一次一密的认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key 是一种采用USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key 内置的密码算法实现对用户身份的认证。常见的基于USB Key 的应用包括网上银行的“U盾”、支付宝的“支付盾”等。2.访问控制访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。非授权用户没有访问权限,授权用户有访问权限,但是授权用户中存在存取权限的差别,如读取、写入、执行、删除、追加等存取方式。(1)访问控制的概述访问控制(Access Control)一般是指系统对用户身份及其所属的预先定义的策略组,用以限制其使用数据资源的手段。系统管理员通常利用该手段控制用户对服务器、目录、文件等网络资源的访问。访问控制三个要素:主体(Subject)是指提出访问资源的具体请求或发起者,通常指用户或依照用户执行的指令;客体(Object)是指被访问的资源,即需要保护的资源;控制策略(Attribution),也称为授权,是指允许对资源执行的具体操作,主要是读、写、删除、拒绝访问等。(2)访问控制的功能及原理访问控制的基本功能:保证合法用户访问受保护的系统资源,防止非法用户访问受保护的系统资源,或防止合法用户访问非授权的系统资源。(3)用户账户管理系统管理员通过对用户账号权限大小的设置来管理数据的安全,目的是保证访问系统资源的用户是合法的,不同权限的用户所拥有的数据范围不一样。三、病毒及其防治病毒已成为攻击计算机系统、手机等移动终端系统的主要载体,随着技术的进步与发展,其攻击威力越来越大、攻击范围越来越广,极大地威胁着信息系统的安全。1.病毒概述(1)计算机病毒计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组____________或者__________。它具有________、________、________、________、________、__________等特征。计算机指令程序代码传染性寄生性隐蔽性潜伏性破坏性可触发性(2)手机病毒手机病毒具有计算机病毒的特征,是一种手机程序。通过发送短信、微信、彩信及无线上网等方式进行传播,用户手机中毒后会导致个人资料被删、隐私泄露、自动拨打电话和发信息等,以致被恶意扣费,甚至会损毁 SIM卡、芯片等硬件,导致使用者无法正常使用手机。(3)病毒的危害计算机系统中毒后,可能会引发一些异常情况,常见的有系统运行速度减慢、系统经常无故发生死机、文件长度发生变化、计算机存储的容量异常减少、系统引导速度减慢、文件丢失或损坏、计算机屏幕上出现异常显示、计算机系统的蜂鸣器出现异常声响、磁盘卷标发生变化和系统不识别硬盘等。手机感染病毒后,通常会出现背景光不停闪烁、持续发出警告声、屏幕上显示乱码信息、按键操作失效、用户信息无缘无故被修改、自动向他人手机发送大量短信、死机或自动关机、资料丢失和通信网络瘫痪等现象。2.病毒防治为了尽可能地降低病毒感染的风险,应坚持以__________、__________的原则,正确地使用计算机、手机等设备。常见的防治措施如下:①安装并开启防火墙,防止黑客和病毒利用系统服务和漏洞入侵系统。②安装应用系统补丁,防止病毒利用系统或程序的漏洞进行传染。③安装防病毒软件,定时更新病毒资料库和扫描系统,一旦发现被病毒感染,用户应及时采取措施,保护好数据,利用杀毒软件对系统进行处理,以免病毒扩散造成更大的损失。④经常对系统和重要的数据进行备份,还可把重要的数据加密后存放到云盘上。预防为主查杀为辅四、漏洞及其防护1.漏洞及其修复(1)漏洞的概述漏洞是指一个系统存在的弱点或缺陷。漏洞可能来自应用软件或操作系统,由于设计时的缺陷或编码时的错误而产生的,也可能来自逻辑流程上的不合理或程序员为了某种方便而留下的隐患。应用软件中的漏洞远远多于操作系统中的漏洞,特别是Web应用系统中的漏洞,占据信息系统漏洞的绝大部分。(2)后门后门(Trap Door),漏洞中的一种,是有些程序编写人员为了方便进行某些调试和测试而预留的一些特权,通过这些预设的特权,他们可以不经过安全检查而获得访问权;有些则是入侵者在完成入侵后,为了能够继续保持对系统的访问特权而预留的权限。(3)漏洞的防护系统管理人员可以通过漏洞扫描技术对所管理的系统和网络进行安全审查,检测系统中的安全脆弱环节,及时更新系统,堵住漏洞。根据黑客利用漏洞攻击的行为,还可以采用下列措施从技术上加以防护:①使用防火墙(Firewall)来防止外部网络对内部网络的未经授权访问。②经常使用安全监测与扫描工具来发现安全漏洞及薄弱环节,加强内部网络与系统的安全防护性能和抗破坏能力。③使用有效的控制手段抓住入侵者。经常使用网络监控工具对网络和系统的运行情况进行实时监控,追查系统漏洞所在,及时发现黑客或入侵者的不良企图及越权使用,防患于未然。此外,还需经常备份系统,以便在被攻击后能及时修复系统,将损失减少到最低程度。2.黑客及其防范(1)黑客非法进入计算机网络,并利用网络进行捣乱和破坏,借此来炫耀自己的计算机技术的一类群体。(2)防火墙技术防火墙一般是由硬件和软件组合而成的复杂系统,也可以只是软件系统。防火墙是在外部网络和内部网络之间、公共网络与专用网络之间构造的一道安全保护屏障,用来在两个网络之间实施存取控制策略,它可以确定哪些内部服务允许外部访问,哪些外部人员被许可访问所允许的内部服务,哪些外部服务可由内部人员访问,从而保护内部网络免受非法用户的入侵。防火墙主要由______________、__________、________和__________组成。防火墙按技术分类,主要分为地址转换防火墙、数据包过滤防火墙和代理防火墙等;按形态分类,主要分为____________、____________等。服务访问规则验证工具包过滤应用网关硬件防火墙软件防火墙例题精析2例1 下列关于信息安全的说法,正确的是( )C解析 本题考查信息安全知识。选项A,朋友转发的网页链接不一定是安全的;选项B,安装了杀毒软件的电脑也有可能遇到病毒库中没有的病毒而中毒;选项C,为了提高信息的安全,我们经常对我们的数据进行加密;选项D,手机的指纹识别解锁技术只能增加手机的信息安全,但不能确保所有信息的安全,因此正确答案为C。A.打开朋友转发的网页链接一定是安全的B.安装了杀毒软件后电脑就不会感染病毒C.数据加密是一种提高信息安全性的有效措施D.手机的指纹识别解锁技术能确保手机所有信息的安全例2 某医院网上预约挂号系统有预约挂号、信息查询、用户留言等功能,下列关于该系统安全和信息社会责任的说法,正确的是( )解析 本题考查信息安全和信息社会责任。A选项实名预约可以控制预约的次数。B选项不同用户应设置不同的操作权限。C选项信息有个人隐私。D选项网上留言应该符合法律和道德规范。AA.实名认证有助于减少恶意预约B.可对不同用户设置相同的操作权限C.医院可以给附近药店共享用户个人信息D.用户可以在留言区随意发表观点变式训练1 下列有关该信息系统安全和信息社会责任的说法,正确的是( )A.为服务器安装防火墙可抵御一切外来攻击B.将出、入户数据保存在网络云盘可有效提升安全性C.为家庭成员设置不同的系统权限能减少安全隐患D.户主可以私自将拜访人员的录像发布在网络上解析 A选项防火墙并不能抵御一切攻击;B选项出入户数据属于隐私数据放在网络云盘上需要进行加密才能提升安全性,否则容易泄露;D选项未经拜访人员同意,不能私自将人员录像公布在网络上。C例3 凯撒密码是一种简单的置换密码,通过换位来实现加密。假设密文按照小写字母表是由正常顺序的明文字母表右移2个字母得到,则明文单词“big”加密后得到的密文为( )解析 根据凯撒密码运算规则,将每个英文字母都按照小写字母表顺序往右移动2个字母,因此得到密文为dki。DA.dik B.elj C.ekj D.dki变式训练2 例3中,加密的小写字母向右移2位的Python表达式为( )A.Ci=(Pi+2-97)% 26+97B.Ci=(Pi+23)% 26C.Ci=(Pi+2)% 26D.Ci=(Pi-23)% 26A例4 用简单异或加密法对明文“1011”进行加密,得到的密文为“1001”,则密钥是( )解析 异或运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同,那么异或结果为1。如果两个值相同,那么异或结果为0。根据运算规则反推可知密钥为0010。AA.0010 B.1010 C.1101 D.0011变式训练3 算式(7)10?(11)10的计算结果为( )A.1111 B.1010 C.1100 D.0011解析 根据运算规则,将十进制数7和11分别转化为二进制0111和1011,然后根据异或运算的法则得到结果为1100。C例5 计算机病毒本质上是( )解析 计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组计算机指令或者程序代码。AA.一种有破坏性的程序B.使用计算机时容易感染的一种疾病C.一种计算机硬件系统故障D.计算机软件系统故障A.所有的防御措施都不是绝对安全的,重要数据还要及时采取加密、备份等措施B.有些病毒利用了系统漏洞进行传播,应及时更新打补丁C.在防火墙上关闭相应的端口,可以大大降低内网计算机中毒的概率D.所有被病毒破坏的计算机文件都可以修复解析 本题考查计算机病毒。并非所有被病毒破坏的计算机文件都可以修复,有些是无法修复的,故本题选D选项。D例6 密码强度检测。编写Python程序,实现如下功能:输入要检测的密码,输出密码强度结果。密码字符分为数字字符、字母和其他符号三类。密码强度的检测方法为:若密码位数少于8位,则不进行强度检测,给出提示“密码位数不能少于8位,请重新输入!”。若密码位数在8位及以上,则进行强度检测;若密码字符属于同一类字符,则密码强度为“弱”;若密码字符属于不同的二类字符,则密码强度为“中等”;若密码字符属于不同的三类字符,则密码强度为“强”。(1)若输入“12abcd5!”,则输出结果为__________(选填,选字母:A.密码位数不能少于8位,请重新输入! / B.弱 / C.中等 / D.强)。(2)实现上述功能的程序如下,请在划线处填入合适的代码。password=input("请输入要检测的密码:")①____________if n<8:print("密码位数不能少于8位,请重新输入!")else:n1=0n2=0n3=0for i in range(0,n,1):②____________if "0"<=ch<="9":n1=1elif "a"<=ch<="z" or "A"<=ch<="Z":n2=1else:n3=1③____________if x==3:print("强")elif x==2:print("中等")else:print("弱")答案 (1)D (2)①n=len(password) ②ch=password[i] ③x=n1+n2+n3解析 本题考查密码强度检测知识,通过Python程序设计知识,巩固对密码安全性的正确认识。由于密码的强度不只是和长度有关,而且和其复杂性密切相关。(1)密码中包含三类字符,因此密码强度为“强”。(2)①检测密码长度并将其赋值给变量n。②给变量ch赋值,并分类进行讨论。③根据代码可知,变量x用于存储密码的复杂性,将n1、n2和n3相加可以满足x的需要,故答案为x=n1+n2+n3。例7 小李接到陌生人的电话,说他中奖1万元,并告诉他需要中国银行发给他的验证码才能给他转账,接着他收到了一条中国银行发来含有验证码的短信。李卫国正确的做法应该是( )解析 本题主要考查信息安全。接到陌生人中奖电话,应向官方网站等权威部门核实或直接向公安机关举报,因此D选项正确。DA.相信自己中了奖B.立即告诉陌生人短信验证码C.和家人分享中奖的喜悦D.认为这是诈骗电话并向公安机关举报A.USB Key认证技术的优点主要有安全性高、易用性好B.生物特征识别认证防伪性良好,随时随地可用C.身份认证的主要含义是授权不同用户对数据操作的权限D.访问控制主要是为了防止合法用户访问非授权的系统资源解析 本题主要考查信息安全。身份认证主要是防止非授权用户对数据资源的非法使用。C随堂检测31.当我们登录某网页时,需要输入用户名和密码,以此来进入系统,它是保护数据安全的一道屏障。其中的密码在严格意义上讲是( )B解析 这个密码应该称作口令,用于认证用户身份,并不是真正意义上的加密代码。A.密码 B.口令C.加密算法 D.密钥A.TCP协议用于管理被传输信息的完整性B.管理人员共享同一个账户,可提高管理效率C.该系统采用的网络类型属于局域网D.可以用替代加密等加密算法加强数据安全B解析 B选项共享同一个帐户,不利于信息的安全。3.下列关于信息系统安全的说法正确的是( )C解析 本题考查信息系统的安全。A选项凯撒密码的密文是用正常顺序的明文字母表偏移一定字母替代得到的,属于替代密码。B选项身份认证解决的问题是用户是否有权限进入系统使用数字资源,访问控制解决的问题是用户对数据操作的权限。D选项防火墙用来在两个网络之间实施存取控制策略,保护内部网络免受非法用户的入侵,不具备防止病毒的功能。A.凯撒密码是换位密码法的经典例子B.身份认证解决的问题是用户对数据操作的权限C.采用数据加密保护信息的保密性,采用数字签名保护信息的不可否认性D.安装防火墙能够防止黑客或病毒入侵系统,因此无需再安装防病毒软件A.异地容灾是一种保护数据安全的措施B.数据加密是为了提高数据自身的完整性C.防火墙可以是由硬件和软件组成的复杂系统D.身份认证技术能够有效防止数据资源被非授权使用B解析 A选项磁盘阵列、异地容灾等是一种数据安全的措施。B选项数据加密是提高数据自身的安全性。C选项防火墙既可以是单独的软件,也可以是硬件和软件组成的复杂的系统。D选项身份认证可以有效地加强对数据资源的权限管理和分配。5.下列关于信息系统安全的说法,正确的是( )D解析 采用数字签名是一种身份认证。A.重要数据可以通过加密提升安全性,无需再备份B.采用数字签名是为了确保数据的完整性C.在信息系统中,授权用户不存在存取权限的差别D.生物特征识别的认证方式具有防伪性能好、随时随地可用等优点6.下列关于信息系统硬件和信息安全的说法正确的是( )B解析 本题考查信息系统硬件和信息安全相关知识点。A选项计算机硬件五大组成部分,缺少控制器。C选系统可能还有误操作等安全隐患。D选项系统登录口令需要定期修改以保证安全性。A.计算机硬件主要由运算器,存储器,输入设备和输出设备组成B.存储器分为主存储器、辅助存储器和高速缓冲存储器,计算机上的硬盘属于辅助存储器C.服务器上已经安装了防火墙和杀毒软件,无需经常备份服务器的数据D.系统登录口令无须经常修改,以免忘记7.下列关于信息系统安全的说法,正确的是( )D解析 本题考查了信息安全相关知识点。A选项需要定期对防火墙进行升级;B选项后门可能会成为黑客入侵的途径;C选项用户通过身份认证后还需要对其进行访问控制,在权限范围内访问系统内的数据。A.安装防火墙后可阻挡所有外部攻击,因此无需对防火墙进行升级B.为了便于管理,系统发布时应保留为测试系统而预留的后门C.用户通过身份认证后可以访问管理系统内的所有数据D.为降低计算机病毒感染的风险,应坚持预防为主、查杀为辅的原则A.对该系统采取病毒防护措施B.对师生登录信息进行加密存储C.及时更新系统防堵漏洞D.通过共享账户高效管理数据D解析 本题考查信息系统的安全。A.将系统生成的3D动画在互联网上发布B.对系统中的视频裁判开放所有权限以便他们能观察到所有数据C.给每一位视频操作室人员分配一个绑定的“人脸识别”账号D.系统后台管理员注销某位“提前透露世界杯比赛结果”的内部操作人员账号B解析 本题考查信息系统安全。B选项要设置合适的权限,才有利于信息系统的安全。A.系统客户端获取数据库数据需通过TCP/IP协议B.系统进行病毒防护需坚持预防为主,查杀为辅的原则C.该系统所有的用户通过身份认证后即可访问数据库中所有系统资源D.安装防火墙可有效防止外部网络的攻击C解析 本题考查信息系统安全。C选项每个用户应该有自己的权限,访问相应的资源。A.对系统中关键数据进行加密存储和传输B.访问系统数据时启用身份认证和访问控制策略C.在内部网络和外部网络之间安装硬件防火墙D.为了便于管理,在系统中预留一些便于调试和测试的后门D解析 本题考查信息系统的安全。D选项便于调试和测试的后门会被黑客利用。4课时作业A.替代密码 B.穷举密码C.换位密码 D.简单异或B解析 简单加密算法包含替代密码、换位密码、简单异或等三种。A.密码体制是指明文、密文、密钥以及实现加密和解密算法的一套软件和硬件机制B.密码体制可以分为对称密码体制和非对称密码体制C.若一种加密方法加密密钥和解密密钥相同,则称为对称密码体制或单钥密码体制D.在非对称密码体制中,著名的加密算法是DES算法D解析 DES加密算法属于对称密码体制。故本题选项D错误。3.算式(7)10?(8)10的计算结果为( )A解析 根据运算规则,将十进制数7和8分别转化为二进制0111和1000,然后根据异或运算的法则得到结果为1111。A.1111 B.1010C.1100 D.0011A.用户名+口令 B.生物特征识别C.控制策略 D.USB KeyC解析 身份鉴别有以下三种:(1)用户名+口令的认证技术,(2)依靠生物特征识别的认证技术,(3)USB Key认证技术。故本题选项C错误。5.关于某信息系统的信息安全及数据传输,说法正确的是( )BA.由于有国家立法和行业自律,所以个人无需提升自身的信息安全意识B.系统进行病毒防护需坚持预防为主,查杀为辅的原则C.任何用户通过身份认证后即可访问该系统中所有的资源D.防火墙构造在外部网路和内部网络之间,其功能仅能由软件实现6.智慧停车系统采用“移动互联网+云计算+大数据”模式,具有车位实时数据采集、状态监控、车位查找、停车绑定、在线支付及执法监管等强大功能。用户通过APP进行车位预定、根据车牌号进行车位查找和停车费的在线支付等。关于智慧停车系统的安全与防护的说法,正确的是( )C解析 A选项网际协议用于设备的连接。B选项短信验证属于动态密码。D选项不同的身份应该有不同的权限。A.网际协议(IP)作用是管理被传送信息的完整性B.登录在线支付APP时收到的短信验证属于静态口令C.可用替代加密、换位加密等加密算法强化数据的安全D.该系统用户通过身份认证后即可访问数据库中所有系统资源A.用户名+口令的认证技术最大的优点是操作简单且不要任何附加设施B.依靠生物特征识别的认证技术包含语音识别技术、虹膜认证技术等C.身份认证主要是为了防止合法用户访问非授权的系统资源、一次一密的认证模式D.USBKey认证技术采用软硬相结合C解析 D选项身份认证用于检验访问者身份的合法性,控制哪些用户能够登录系统并获取系统资源,有效的身份识别是信息安全的保障。8.小林统计了一首英文诗中的字母出现频率,把出现频率最高的10个字母组成一套编码,将自己生日中的8个数字转换成对应字符,其中小林的生日、出现频率最高的10个字母组成的编码、转换后的字符串在密码系统中分别是( )C解析 加密的功能是将看得懂的信息转换成不能理解的密文。A.明文,密文,密钥 B.密文,密钥,明文C.明文,密钥,密文 D.密钥,明文,密文A.用户个人敏感信息遭到泄露或修改,可能会对用户造成不良影响B.平台账号认证的目的是为了提高用户信息的安全性C.用户需提高个人信息安全意识,不轻易通过平台发送个人敏感信息D.平台信息注册是个人信息泄露的唯一渠道D解析 个人信息泄露有中病毒等多种途径。10.下列关于信息系统安全与防护的说法,正确的是( )D解析 本题考查信息系统安全与防护。A选项密码是一种“混淆”技术,就是把用公开的、标准的信息编码表示的信息,通过一种变换手段将其变为除通信双方外的其他人所不能读懂的信息编码,这种独特的信息编码算法就是密码。B选项对称密码体制是指加密密钥和解密密钥相同。C选项连接公共场合的Wi-Fi需要输入密码,隐私信息通用有可能被窃取。A.密码是一种“混淆”技术,其目标是将信息转变为一种任何人都读不懂的编码B.对称密码体制是指加密算法和解密算法相同C.连接公共场合的Wi-Fi需要输入密码,可以确保手机中的隐私信息不被窃取D.防火墙技术可以有效阻挡来自外部的攻击,保护内部网络的安全3.2 信息系统安全与防护课时目标1.掌握常用数据加密的方法,口令与密钥,理解简单加密算法的原理。2.学会身份认证与安全相关知识,认识计算机病毒并掌握防治的方法。3.能在应用信息系统的过程中,及时发现系统潜在的安全隐患,并应用技术手段做好安全防范工作。一、数据加密与安全确保数据的 、 、 、 ,这是密码学要实现的主要安全目标。为此,需要通过加密措施保护信息的保密性,采用数字签名保护信息的不可否认性,同时为了避免数据灾难,确保数据的完整性,还需要重视数据的 和 。 1.密码与密钥(1)口令与密码口令(Password)用于认证用户身份。密码通常是指按特定编码规则编成,用于对通信双方的数据信息进行从明文到密文变换的符号。密码是一种“混淆”技术,就是隐蔽了真实内容的符号序列,把用公开的、标准的信息编码表示的信息,通过一种变换手段将其变为除通信双方外的其他人所不能读懂的信息编码,这种独特的信息编码就是密码。(2)密钥的概念密钥(Key)是指在密码算法中引进的控制参数,对一个算法采用不同的参数值,其解密结果就不同。加密算法中的控制参数称加密密钥,解密算法中的控制参数称解密密钥。密码系统包括 、 、 和 四个方面。原有的信息称为明文(简称P);明文经过加密变换后的形式称为密文(简称C);由明文变为密文的过程称为加密(简称E),通常由加密算法来实现,如下图所示;由密文还原成明文的过程称为解密(简称D)。 常见的加密函数形式:C=Ek1(P);常见的解密函数形式:P=Dk2(C)。(3)简单加密算法教材主要介绍了 、 、 三种简单加密算法。 ①替代密码。凯撒密码是应用密钥加密数据的经典例子。凯撒密码是一种简单的替代密码,通过正常顺序的明文字母表偏移一定字母替代来实现加密。②换位密码。换位密码的基本思想是将明文中的字母位置通过一定的规则 。最简单的换位就是 ,即将明文中的字母倒过来输出。 ③简单异或。异或运算,是一种逻辑运算,其数学符号为“?”。运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同,那么异或结果为1。如果两个值相同,那么异或结果为0。异或运算的运算特点:0?0=0,0?1=1,1?0=1,1?1=02.对称与非对称密码体制密码体制,是指 、 、 以及实现 和 的一套软件和硬件机制。根据加密密钥(通常记为Ke)和解密密钥(通常记为Kd)的关系,密码体制可以分为对称密码体制和非对称密码体制。若一种加密方法Ke=Kd,则称为对称密码体制或单钥密码体制。在对称密码体制中,著名的加密算法是IBM公司研制成功的 。 若一种加密方法Ke≠Kd,则称为非对称密码体制或双钥密码体制。在这种方法中,加密使用的密钥和解密使用的密钥不相同。在非对称密码体制中,著名的加密算法是 。 二、身份认证与安全为了系统的安全,需要对访问者进行管制和约束。身份认证用于检验访问者身份的合法性,控制哪些用户能够登录系统并获取系统资源,有效的身份识别是信息安全的保障。1.身份认证身份认证是用户在进入系统或访问受限数据资源时,系统对用户身份的鉴别过程。身份认证技术能够有效防止数据资源被非授权使用,保障数据资源的安全。身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证技术的不同可以大致分为以下三类:(1)用户名+口令的认证技术该认证技术最大的优点在于操作简单,不需要任何附加设施,且成本低、速度快,主要包括 和 。静态口令方式的用户名和口令是一次性产生,在使用过程中是固定不变的。动态口令是目前应用广泛的一种身份识别技术,主要有 和 这两种。 (2)依靠生物特征识别的认证技术目前比较成熟的生物特征识别的认证技术有 、 、 、 等。生物特征识别的认证方式具有防伪性能好、随时随地可用等优点。 (3)USB Key认证技术该认证方式采用软硬件相结合、一次一密的认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key 是一种采用USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key 内置的密码算法实现对用户身份的认证。常见的基于USB Key 的应用包括网上银行的“U盾”、支付宝的“支付盾”等。2.访问控制访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。非授权用户没有访问权限,授权用户有访问权限,但是授权用户中存在存取权限的差别,如读取、写入、执行、删除、追加等存取方式。(1)访问控制的概述访问控制(Access Control)一般是指系统对用户身份及其所属的预先定义的策略组,用以限制其使用数据资源的手段。系统管理员通常利用该手段控制用户对服务器、目录、文件等网络资源的访问。访问控制三个要素:主体(Subject)是指提出访问资源的具体请求或发起者,通常指用户或依照用户执行的指令;客体(Object)是指被访问的资源,即需要保护的资源;控制策略(Attribution),也称为授权,是指允许对资源执行的具体操作,主要是读、写、删除、拒绝访问等。(2)访问控制的功能及原理访问控制的基本功能:保证合法用户访问受保护的系统资源,防止非法用户访问受保护的系统资源,或防止合法用户访问非授权的系统资源。(3)用户账户管理系统管理员通过对用户账号权限大小的设置来管理数据的安全,目的是保证访问系统资源的用户是合法的,不同权限的用户所拥有的数据范围不一样。三、病毒及其防治病毒已成为攻击计算机系统、手机等移动终端系统的主要载体,随着技术的进步与发展,其攻击威力越来越大、攻击范围越来越广,极大地威胁着信息系统的安全。1.病毒概述(1)计算机病毒计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组 或者 。它具有 、 、 、 、 、 等特征。 (2)手机病毒手机病毒具有计算机病毒的特征,是一种手机程序。通过发送短信、微信、彩信及无线上网等方式进行传播,用户手机中毒后会导致个人资料被删、隐私泄露、自动拨打电话和发信息等,以致被恶意扣费,甚至会损毁 SIM卡、芯片等硬件,导致使用者无法正常使用手机。(3)病毒的危害计算机系统中毒后,可能会引发一些异常情况,常见的有系统运行速度减慢、系统经常无故发生死机、文件长度发生变化、计算机存储的容量异常减少、系统引导速度减慢、文件丢失或损坏、计算机屏幕上出现异常显示、计算机系统的蜂鸣器出现异常声响、磁盘卷标发生变化和系统不识别硬盘等。手机感染病毒后,通常会出现背景光不停闪烁、持续发出警告声、屏幕上显示乱码信息、按键操作失效、用户信息无缘无故被修改、自动向他人手机发送大量短信、死机或自动关机、资料丢失和通信网络瘫痪等现象。2.病毒防治为了尽可能地降低病毒感染的风险,应坚持以 、 的原则,正确地使用计算机、手机等设备。常见的防治措施如下: ①安装并开启防火墙,防止黑客和病毒利用系统服务和漏洞入侵系统。②安装应用系统补丁,防止病毒利用系统或程序的漏洞进行传染。③安装防病毒软件,定时更新病毒资料库和扫描系统,一旦发现被病毒感染,用户应及时采取措施,保护好数据,利用杀毒软件对系统进行处理,以免病毒扩散造成更大的损失。④经常对系统和重要的数据进行备份,还可把重要的数据加密后存放到云盘上。四、漏洞及其防护1.漏洞及其修复(1)漏洞的概述漏洞是指一个系统存在的弱点或缺陷。漏洞可能来自应用软件或操作系统,由于设计时的缺陷或编码时的错误而产生的,也可能来自逻辑流程上的不合理或程序员为了某种方便而留下的隐患。应用软件中的漏洞远远多于操作系统中的漏洞,特别是Web应用系统中的漏洞,占据信息系统漏洞的绝大部分。(2)后门后门(Trap Door),漏洞中的一种,是有些程序编写人员为了方便进行某些调试和测试而预留的一些特权,通过这些预设的特权,他们可以不经过安全检查而获得访问权;有些则是入侵者在完成入侵后,为了能够继续保持对系统的访问特权而预留的权限。(3)漏洞的防护系统管理人员可以通过漏洞扫描技术对所管理的系统和网络进行安全审查,检测系统中的安全脆弱环节,及时更新系统,堵住漏洞。根据黑客利用漏洞攻击的行为,还可以采用下列措施从技术上加以防护:①使用防火墙(Firewall)来防止外部网络对内部网络的未经授权访问。②经常使用安全监测与扫描工具来发现安全漏洞及薄弱环节,加强内部网络与系统的安全防护性能和抗破坏能力。③使用有效的控制手段抓住入侵者。经常使用网络监控工具对网络和系统的运行情况进行实时监控,追查系统漏洞所在,及时发现黑客或入侵者的不良企图及越权使用,防患于未然。此外,还需经常备份系统,以便在被攻击后能及时修复系统,将损失减少到最低程度。2.黑客及其防范(1)黑客非法进入计算机网络,并利用网络进行捣乱和破坏,借此来炫耀自己的计算机技术的一类群体。(2)防火墙技术防火墙一般是由硬件和软件组合而成的复杂系统,也可以只是软件系统。防火墙是在外部网络和内部网络之间、公共网络与专用网络之间构造的一道安全保护屏障,用来在两个网络之间实施存取控制策略,它可以确定哪些内部服务允许外部访问,哪些外部人员被许可访问所允许的内部服务,哪些外部服务可由内部人员访问,从而保护内部网络免受非法用户的入侵。防火墙主要由 、 、 和 组成。 防火墙按技术分类,主要分为地址转换防火墙、数据包过滤防火墙和代理防火墙等;按形态分类,主要分为 、 等。 例1 下列关于信息安全的说法,正确的是 ( )A.打开朋友转发的网页链接一定是安全的B.安装了杀毒软件后电脑就不会感染病毒C.数据加密是一种提高信息安全性的有效措施D.手机的指纹识别解锁技术能确保手机所有信息的安全听课笔记:_________________________________________________________________________________________________________________________________________________________例2 某医院网上预约挂号系统有预约挂号、信息查询、用户留言等功能,下列关于该系统安全和信息社会责任的说法,正确的是 ( )A.实名认证有助于减少恶意预约B.可对不同用户设置相同的操作权限C.医院可以给附近药店共享用户个人信息D.用户可以在留言区随意发表观点听课笔记:_________________________________________________________________________________________________________________________________________________________变式训练1 下列有关该信息系统安全和信息社会责任的说法,正确的是 ( )A.为服务器安装防火墙可抵御一切外来攻击B.将出、入户数据保存在网络云盘可有效提升安全性C.为家庭成员设置不同的系统权限能减少安全隐患D.户主可以私自将拜访人员的录像发布在网络上例3 凯撒密码是一种简单的置换密码,通过换位来实现加密。假设密文按照小写字母表是由正常顺序的明文字母表右移2个字母得到,则明文单词“big”加密后得到的密文为 ( )A.dik B.eljC.ekj D.dki听课笔记:_________________________________________________________________________________________________________________________________________________________变式训练2 例3中,加密的小写字母向右移2位的Python表达式为 ( )A.Ci=(Pi+2-97)% 26+97B.Ci=(Pi+23)% 26C.Ci=(Pi+2)% 26D.Ci=(Pi-23)% 26例4 用简单异或加密法对明文“1011”进行加密,得到的密文为“1001”,则密钥是 ( )A.0010 B.1010C.1101 D.0011听课笔记:_________________________________________________________________________________________________________________________________________________________变式训练3 算式(7)10?(11)10的计算结果为 ( )A.1111 B.1010C.1100 D.0011例5 计算机病毒本质上是 ( )A.一种有破坏性的程序B.使用计算机时容易感染的一种疾病C.一种计算机硬件系统故障D.计算机软件系统故障听课笔记:_________________________________________________________________________________________________________________________________________________________变式训练4 2017年5月,勒索病毒在全球爆发。黑客通过攻击主机,并加密主机上存储的文件,要求受害者支付赎金。以下关于防范病毒的描述错误的是 ( )A.所有的防御措施都不是绝对安全的,重要数据还要及时采取加密、备份等措施B.有些病毒利用了系统漏洞进行传播,应及时更新打补丁C.在防火墙上关闭相应的端口,可以大大降低内网计算机中毒的概率D.所有被病毒破坏的计算机文件都可以修复例6 密码强度检测。编写Python程序,实现如下功能:输入要检测的密码,输出密码强度结果。密码字符分为数字字符、字母和其他符号三类。密码强度的检测方法为:若密码位数少于8位,则不进行强度检测,给出提示“密码位数不能少于8位,请重新输入!”。若密码位数在8位及以上,则进行强度检测;若密码字符属于同一类字符,则密码强度为“弱”;若密码字符属于不同的二类字符,则密码强度为“中等”;若密码字符属于不同的三类字符,则密码强度为“强”。(1)若输入“12abcd5!”,则输出结果为 (选填,选字母:A.密码位数不能少于8位,请重新输入! / B.弱 / C.中等 / D.强)。 (2)实现上述功能的程序如下,请在划线处填入合适的代码。password=input("请输入要检测的密码:")① if n<8: print("密码位数不能少于8位,请重新输入!")else: n1=0 n2=0 n3=0 for i in range(0,n,1): ② if "0"<=ch<="9": n1=1 elif "a"<=ch<="z" or "A"<=ch<="Z": n2=1 else: n3=1 ③ if x==3: print("强")elif x==2: print("中等")else: print("弱")听课笔记:_________________________________________________________________________________________________________________________________________________________例7 小李接到陌生人的电话,说他中奖1万元,并告诉他需要中国银行发给他的验证码才能给他转账,接着他收到了一条中国银行发来含有验证码的短信。李卫国正确的做法应该是 ( )A.相信自己中了奖B.立即告诉陌生人短信验证码C.和家人分享中奖的喜悦D.认为这是诈骗电话并向公安机关举报听课笔记:_________________________________________________________________________________________________________________________________________________________例8 下列关于身份认证和访问控制的说法中,不正确的是 ( )A.USB Key认证技术的优点主要有安全性高、易用性好B.生物特征识别认证防伪性良好,随时随地可用C.身份认证的主要含义是授权不同用户对数据操作的权限D.访问控制主要是为了防止合法用户访问非授权的系统资源听课笔记:_________________________________________________________________________________________________________________________________________________________1.当我们登录某网页时,需要输入用户名和密码,以此来进入系统,它是保护数据安全的一道屏障。其中的密码在严格意义上讲是 ( )A.密码 B.口令C.加密算法 D.密钥2.某中学智慧食堂就餐系统对食堂大数据分析,实现了学校食堂精准备餐,降低剩餐率。关于该信息系统的安全和防护,下列说法错误的是 ( )A.TCP协议用于管理被传输信息的完整性B.管理人员共享同一个账户,可提高管理效率C.该系统采用的网络类型属于局域网D.可以用替代加密等加密算法加强数据安全3.下列关于信息系统安全的说法正确的是 ( )A.凯撒密码是换位密码法的经典例子B.身份认证解决的问题是用户对数据操作的权限C.采用数据加密保护信息的保密性,采用数字签名保护信息的不可否认性D.安装防火墙能够防止黑客或病毒入侵系统,因此无需再安装防病毒软件4.下列关于信息的安全与防护的说法,不正确的是 ( )A.异地容灾是一种保护数据安全的措施B.数据加密是为了提高数据自身的完整性C.防火墙可以是由硬件和软件组成的复杂系统D.身份认证技术能够有效防止数据资源被非授权使用5.下列关于信息系统安全的说法,正确的是 ( )A.重要数据可以通过加密提升安全性,无需再备份B.采用数字签名是为了确保数据的完整性C.在信息系统中,授权用户不存在存取权限的差别D.生物特征识别的认证方式具有防伪性能好、随时随地可用等优点6.下列关于信息系统硬件和信息安全的说法正确的是 ( )A.计算机硬件主要由运算器,存储器,输入设备和输出设备组成B.存储器分为主存储器、辅助存储器和高速缓冲存储器,计算机上的硬盘属于辅助存储器C.服务器上已经安装了防火墙和杀毒软件,无需经常备份服务器的数据D.系统登录口令无须经常修改,以免忘记7.下列关于信息系统安全的说法,正确的是 ( )A.安装防火墙后可阻挡所有外部攻击,因此无需对防火墙进行升级B.为了便于管理,系统发布时应保留为测试系统而预留的后门C.用户通过身份认证后可以访问管理系统内的所有数据D.为降低计算机病毒感染的风险,应坚持预防为主、查杀为辅的原则8.为保证该信息系统数据的安全性,下列做法中不合理的是 ( )A.对该系统采取病毒防护措施B.对师生登录信息进行加密存储C.及时更新系统防堵漏洞D.通过共享账户高效管理数据9.下列做法不利于该信息系统安全的是 ( )A.将系统生成的3D动画在互联网上发布B.对系统中的视频裁判开放所有权限以便他们能观察到所有数据C.给每一位视频操作室人员分配一个绑定的“人脸识别”账号D.系统后台管理员注销某位“提前透露世界杯比赛结果”的内部操作人员账号10.小明搭建“室内环境监测系统”,实现如下功能:当室内亮度达到系统设定的阈值时,系统使用执行器放下窗帘,当窗台湿度达到系统设定的阈值时,系统使用执行器关闭窗户,并且系统将采集到的数据通过室内Wi-Fi保存到服务器的数据库中。关于该系统的信息安全及数据传输,不正确的是 ( )A.系统客户端获取数据库数据需通过TCP/IP协议B.系统进行病毒防护需坚持预防为主,查杀为辅的原则C.该系统所有的用户通过身份认证后即可访问数据库中所有系统资源D.安装防火墙可有效防止外部网络的攻击11.为了保护该信息系统中数据的安全,下列做法不可行的是 ( )A.对系统中关键数据进行加密存储和传输B.访问系统数据时启用身份认证和访问控制策略C.在内部网络和外部网络之间安装硬件防火墙D.为了便于管理,在系统中预留一些便于调试和测试的后门3.2 信息系统安全与防护知识梳理一、保密性 完整性 不可否认性 存在性 容灾备份 恢复1.(2)明文 密文 密钥 密码算法 (3)替代密码 换位密码 简单异或 ②重新排列 逆序法2.明文 密文 密钥 加密 解密算法 DES分组算法 RSA算法二、1.(1)静态口令 动态口令 动态短信口令 动态口令牌 (2)指纹识别技术 语音识别技术 虹膜认证技术 人脸识别技术三、1.(1)计算机指令 程序代码 传染性 寄生性 隐蔽性 潜伏性 破坏性 可触发性2.预防为主 查杀为辅四、2.(2)服务访问规则 验证工具 包过滤 应用网关 硬件防火墙 软件防火墙例题精析例1 C [本题考查信息安全知识。选项A,朋友转发的网页链接不一定是安全的;选项B,安装了杀毒软件的电脑也有可能遇到病毒库中没有的病毒而中毒;选项C,为了提高信息的安全,我们经常对我们的数据进行加密;选项D,手机的指纹识别解锁技术只能增加手机的信息安全,但不能确保所有信息的安全,因此正确答案为C。]例2 A [本题考查信息安全和信息社会责任。A选项实名预约可以控制预约的次数。B选项不同用户应设置不同的操作权限。C选项信息有个人隐私。D选项网上留言应该符合法律和道德规范。]变式训练1 C [A选项防火墙并不能抵御一切攻击;B选项出入户数据属于隐私数据放在网络云盘上需要进行加密才能提升安全性,否则容易泄露;D选项未经拜访人员同意,不能私自将人员录像公布在网络上。]例3 D [根据凯撒密码运算规则,将每个英文字母都按照小写字母表顺序往右移动2个字母,因此得到密文为dki。]变式训练2 A例4 A [异或运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同,那么异或结果为1。如果两个值相同,那么异或结果为0。根据运算规则反推可知密钥为0010。]变式训练3 C [根据运算规则,将十进制数7和11分别转化为二进制0111和1011,然后根据异或运算的法则得到结果为1100。]例5 A [计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组计算机指令或者程序代码。]变式训练4 D [本题考查计算机病毒。并非所有被病毒破坏的计算机文件都可以修复,有些是无法修复的,故本题选D选项。]例6 (1)D (2)①n=len(password)②ch=password[i] ③x=n1+n2+n3解析 本题考查密码强度检测知识,通过Python程序设计知识,巩固对密码安全性的正确认识。由于密码的强度不只是和长度有关,而且和其复杂性密切相关。(1)密码中包含三类字符,因此密码强度为“强”。(2)①检测密码长度并将其赋值给变量n。②给变量ch赋值,并分类进行讨论。③根据代码可知,变量x用于存储密码的复杂性,将n1、n2和n3相加可以满足x的需要,故答案为x=n1+n2+n3。例7 D [本题主要考查信息安全。接到陌生人中奖电话,应向官方网站等权威部门核实或直接向公安机关举报,因此D选项正确。]例8 C [本题主要考查信息安全。身份认证主要是防止非授权用户对数据资源的非法使用。]随堂检测1.B [这个密码应该称作口令,用于认证用户身份,并不是真正意义上的加密代码。]2.B [B选项共享同一个帐户,不利于信息的安全。]3.C [本题考查信息系统的安全。A选项凯撒密码的密文是用正常顺序的明文字母表偏移一定字母替代得到的,属于替代密码。B选项身份认证解决的问题是用户是否有权限进入系统使用数字资源,访问控制解决的问题是用户对数据操作的权限。D选项防火墙用来在两个网络之间实施存取控制策略,保护内部网络免受非法用户的入侵,不具备防止病毒的功能。]4.B [A选项磁盘阵列、异地容灾等是一种数据安全的措施。B选项数据加密是提高数据自身的安全性。C选项防火墙既可以是单独的软件,也可以是硬件和软件组成的复杂的系统。D选项身份认证可以有效地加强对数据资源的权限管理和分配。]5.D [采用数字签名是一种身份认证。]6.B [本题考查信息系统硬件和信息安全相关知识点。A选项计算机硬件五大组成部分,缺少控制器。C选系统可能还有误操作等安全隐患。D选项系统登录口令需要定期修改以保证安全性。]7.D [本题考查了信息安全相关知识点。A选项需要定期对防火墙进行升级;B选项后门可能会成为黑客入侵的途径;C选项用户通过身份认证后还需要对其进行访问控制,在权限范围内访问系统内的数据。]8.D [本题考查信息系统的安全。]9.B [本题考查信息系统安全。B选项要设置合适的权限,才有利于信息系统的安全。]10.C [本题考查信息系统安全。C选项每个用户应该有自己的权限,访问相应的资源。]11.D [本题考查信息系统的安全。D选项便于调试和测试的后门会被黑客利用。] 展开更多...... 收起↑ 资源列表 3.2 信息系统安全与防护.docx 3.2 信息系统安全与防护.pptx
资源列表
