资源简介

(共41张PPT)
第三章 信息系统安全
3.2 信息系统安全与防护
学习目标
掌握常用数据加密的方法，口令与密钥，理解简单加密算法的原理。
学会身份认证与安全相关知识，认识计算机病毒并掌握防治的方法。
能在应用信息系统的过程中，及时发现系统潜在的安全隐患，并应用技术手段做好安全防范工作。
人们享受着信息系统带来的便利，同时也面临着相应的风险。
信息系统的安全问题是动态的、变化的，新的攻击技术和手段不断出现，人们必须时刻注意安全防范。
例7 小李接到陌生人的电话，说他中奖1万元，并告诉他需要中国银行发给他的验证码才能给他转账，接着他收到了一条中国银行发来含有验证码的短信。李卫国正确的做法应该是 （ ）
A.相信自己中了奖
B.立即告诉陌生人短信验证码
C.和家人分享中奖的喜悦
D.认为这是诈骗电话并向公安机关举报
D
解析：接到陌生人中奖电话，应向官方网站等权威部门核实或直接向公安机关举报。
新课讲授
知识点3.2.1：数据加密与安全
确保数据的______、______、_________、______，这是密码学要实现的主要安全目标。为此，需要通过加密措施保护信息的保密性，采用数字签名保护信息的不可否认性，同时为了避免数据灾难，确保数据的完整性，还需要重视数据的________和_____。
1.密码与密钥
(1)口令与密码
口令(Password)用于认证用户身份，就是我们平时所谓的“密码”。
密码通常是指按特定编码规则，对通信双方的数据信息进行从明文到密文变换的一种技术方法。是一种“混淆”技术，是密码算法的简称，由加密算法和解密算法组成。
保密性
完整性
不可否认性
存在性
容灾备份
恢复
例6 密码强度检测。编写Python程序，实现如下功能：输入要检测的密码，输出密码强度结果。密码字符分为数字字符、字母和其他符号三类。密码强度的检测方法为：若密码位数少于8位，则不进行强度检测，给出提示“密码位数不能少于8位，请重新输入！”。若密码位数在8位及以上，则进行强度检测；若密码字符属于同一类字符，则密码强度为“弱”；若密码字符属于不同的二类字符，则密码强度为“中等”；若密码字符属于不同的三类字符，则密码强度为“强”。
(1)若输入“12abcd5！”，则输出结果为__________(选填，选字母：A.密码位数不能少于8位，请重新输入！ /B.弱 / C.中等 / D.强)。
D
(2)实现上述功能的程序如下，请在划线处填入合适的代码。
password＝input("请输入要检测的密码： ")
①____________
if n<8：
print("密码位数不能少于8位，请重新输入！ ")
else：
n1＝0
n2＝0
n3＝0
for i in range(0，n，1)：
②____________
if " 0 " <＝ch<＝ " 9 " ：
　　 　　　 n1＝1
elif " a " <＝ch<＝ " z " or " A " <＝ch<＝ " Z " ：
　　　　　　n2＝1
else：
　　 　　　 n3＝1
③____________
if x＝＝3：
print("强")
elif x＝＝2：
print("中等")
else：
print("弱")
n＝len(password)
ch＝password[i]
x＝n1＋n2＋n3
加密算法
解密算法
密码：dlrow olleh
明码：hello world
密码由加密算法和解密算法组成。
(2)密钥的概念
密钥(Key)是指在密码算法中引进的控制参数，对一个算法采用不同的参数值，其加、解密结果就不同。
加密算法中的控制参数称加密密钥，解密算法中的控制参数称解密密钥。
密码系统包括____、_____、____和________四个方面。
明文(简称P)：原有的信息
密文(简称C)：明文经过加密变换后的形式
加密(简称E)：由明文变为密文的过程，通常由加密算法实现
解密(简称D)：由密文还原成明文的过程，通常由解密算法实现
明文
密文
密钥
密码算法
解密函数P=Dk2(C)
加密函数C=Ek1(P)
(3)简单加密算法
主要介绍________、________、_______三种简单加密算法。
①替代密码：基本思想是将明文中的每个位置的字符用其他字符替代。凯撒密码是应用替代密码的经典例子，通过正常顺序的明文字母表偏移一定字母替代来实现加密。
替代密码
换位密码
简单异或
例3 凯撒密码是一种简单的置换密码，通过替代来实现加密。假设密文按照小写字母表是由正常顺序的明文字母表右移2个字母得到，则明文单词“big”加密后得到的密文为 （ ）
A.dik
B.elj
C.ekj
D.dki
D
解析：根据凯撒密码运算规则，将每个英文字母都按照小写字母表顺序往右移动2个字母，因此得到密文为dki。
例3变式训练 例3中，加密的小写字母向右移2位的Python表达式为 （ ）
A.Ci＝(Pi＋2－97)% 26＋97
B.Ci＝(Pi＋23)% 26
C.Ci＝(Pi＋2)% 26
D.Ci＝(Pi－23)% 26
A
解析：26个字母循环。
②换位密码：基本思想是将明文中的字符位置通过一定的规则________。最简单的换位就是______，即将明文中的字符倒过来输出。
重新排列
逆序法
例如：
明文：Do you love me
密文： em evol uoy oD
③简单异或：异或运算，是一种逻辑运算，其数学符号为“ ”。运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同，那么异或结果为1。如果两个值相同，那么异或结果为0。运算特点：
0 0＝0，0 1＝1，1 0＝1，1 1＝0
例：字符串“Hello”可以按如下方式用密钥10110001进行加密：
01001000 01100101 01101100 01101100 01101111 （P-明文）
10110001 10110001 10110001 10110001 10110001 （K-密钥）
=11111001 11010100 11011101 11011101 11011110 （C-密文）
就是将明文与密钥进行异或运算，解密则是对密文用同一密钥进行异或运算。即：
P K=C
C K=P
例4 用简单异或加密法对明文“1011”进行加密，得到的密文为“1001”，则密钥是 （ ）
A.0010
B.1010
C.1101
D.0011
A
解析：异或运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同，那么异或结果为1。如果两个值相同，那么异或结果为0。根据运算规则反推可知密钥为0010。
例4变式训练 算式(7)10 (11)10的计算结果为 （ ）
A.1111
B.1010
C.1100
D.0011
C
解析：根据运算规则，将十进制数7和11分别转化为二进制0111和1011，然后根据异或运算的法则得到结果为1100。
2.对称与非对称密码体制
密码体制，是指_____、____、____以及实现____和________的一套软件和硬件机制。
密码体制可以分为对称密码体制和非对称密码体制。
对称密码体制（单钥密码体制）：加密密钥Ke=解密密钥Kd。
如：著名的加密算法是IBM公司研制成功的___________。
非对称密码体制（双钥密码体制）：加密密钥Ke≠解密密钥Kd。
如：著名的加密算法是________。
明文
密文
密钥
加密
解密算法
DES分组算法
RSA算法
知识点3.2.2：身份认证与安全
通过对数据源加密可以提高信息的保密性，而人们利用信息系统对数据进行访问，也是引起数据不安全的一个重要环节。
为了系统的安全，需要对访问者进行管制和约束。身份认证用于检验访问者身份的合法性，控制哪些用户能够登录系统并获取系统资源，有效的身份识别是信息安全的保障。
1.身份认证
概念：是用户在进入系统或访问受限数据资源时，系统对用户身份的鉴别过程。
作用：能够有效防止数据资源被非授权使用，保障数据资源的安全。
根据身份认证的发展情况和认证技术的不同可以大致分为以下三类：
(1)用户名＋口令的认证技术
优点：在于操作简单，不需要任何附加设施，且成本低、速度快，主要包括________和________。
静态口令：用户名和口令是一次性产生，在使用过程中固定不变。
动态口令：应用广泛的一种身份识别技术，主要有____________和__________这两种。
静态口令
动态口令
动态短信口令
动态口令牌
(2)依靠生物特征识别的认证技术
不同的人具有相同生物特征的可能性是极低的，生物特征识别的认证方式具有防伪性能好、随时随地可用等优点。
目前比较成熟的生物特征识别认证技术有__________、________、___________、___________等。
指纹识别技术
语音识别技术
虹膜认证技术
人脸识别技术
(3)USB Key认证技术
采用软硬件相结合、一次一密的认证模式，很好地解决了安全性与易用性之间的矛盾。采用USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。常见的基于USB Key的应用包括网上银行的“U盾”、支付宝的“支付盾”等。
2.访问控制
身份认证要解决的问题是用户是否有权限进入系统使用数据资源，而访问控制要解决的问题是用户对数据操作的权限。
访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。非授权用户没有访问权限，授权用户有访问权限，但是授权用户中存在存取权限的差别，如读取、写入、执行、删除、追加等存取方式。
(1)访问控制的概述
访问控制(Access Control)一般是指系统对用户身份及其所属的预先定义的策略组，用以限制其使用数据资源的手段。系统管理员通常利用该手段控制用户对服务器、目录、文件等网络资源的访问。
访问控制三个要素：
主体：资源访问的提出者
客体：被访问的资源
控制策略（授权）：允许对资源执行的具体操作(读、写、删除、拒绝访问等)
(2)访问控制的功能及原理
基本功能：保证合法用户访问受保护的系统资源，防止非法用户访问受保护的系统资源，或防止合法用户访问非授权的系统资源。
(3)用户账户管理
系统管理员通过对用户账号权限大小的设置来管理数据的安全，目的是保证访问系统资源的用户是合法的，不同权限的用户所拥有的数据范围不一样。
用户权限授予策略具体如下：
①系统管理员根据实际需求对用户分别建立账户或策略组
②系统管理员授予用户唯一身份，不允许多人共享一个账户
③用户登录过程需要身份认证（身份识别）
④保证用户口令有足够的强度和防攻击能力
例8 下列关于身份认证和访问控制的说法中，不正确的是 （ ）
A.USB Key认证技术的优点主要有安全性高、易用性好
B.生物特征识别认证防伪性良好，随时随地可用
C.身份认证的主要含义是授权不同用户对数据操作的权限
D.访问控制主要是为了防止合法用户访问非授权的系统资源
C
解析：身份认证要解决的问题是用户是否有权限进入系统使用数据资源，而访问控制要解决的问题是用户对数据操作的权限。
知识点3.2.3：病毒及其防治
病毒已成为攻击计算机系统、手机等移动终端系统的主要载体，随着技术的进步与发展，其攻击威力越来越大、攻击范围越来越广，极大地威胁着信息系统的安全。
1.病毒概述
(1)计算机病毒
是指人为编制的具有破坏计算机功能或者毁坏数据，影响计算机系统的使用，并能自我复制的一组_________或者________。
它具有______、_____、_____、______、_____、_______等特征。
(2)手机病毒
具有计算机病毒的特征，是一种手机程序。通过发送短信、微信、彩信及无线上网等方式进行传播，用户手机中毒后会导致个人资料被删、隐私泄露、自动拨打电话和发信息等，以致被恶意扣费，甚至会损毁SIM卡、芯片等硬件。如：Cabir蠕虫病毒。
计算机指令
程序代码
传染性
寄生性
隐蔽性
潜伏性
破坏性
可触发性
例5 计算机病毒本质上是 （ ）
A.一种有破坏性的程序
B.使用计算机时容易感染的一种疾病
C.一种计算机硬件系统故障
D.计算机软件系统故障
A
解析：计算机病毒是指人为编制的具有破坏计算机功能（软硬件）或者毁坏数据，影响计算机系统的使用，并能自我复制的一组计算机指令或者程序代码。
(3)病毒的危害
计算机：
(1)系统运行速度减慢
(2)系统经常无故发生死机
(3)文件长度发生变化
(4)计算机存储的容量异常减少
(5)系统引导速度减慢
(6)文件丢失或损坏 　
(7)计算机屏幕上出现异常显示
(8)计算机系统的蜂鸣器出现异常声响
(9)磁盘卷标发生变化
(10)系统不识别硬盘
、、、、、、
手机：
(1)背景光不停闪烁
(2)持续发出警告声
(3)屏幕上显示乱码信息
(4)按键操作失效
(5)用户信息无缘无故被修改
(6)自动向他人手机发送大量短信 　
(7)死机或自动关机
(8)资料丢失
(9)通信网络瘫痪
、、、、、、
(4)病毒防治
为了尽可能地降低病毒感染的风险，应坚持以_______、_______的原则，正确地使用计算机、手机等设备。
预防为主
查杀为辅
常见的防治措施如下：
①安装并开启防火墙
②安装应用系统补丁
③安装防病毒软件
④经常对系统和重要的数据进行备份
金山毒霸
360安全卫士
瑞星杀毒软件
针对手机病毒，还应做到：
①收到乱码信息后，及时删除
②不接受陌生请求
③保证下载内容的安全性
④不随意连接公共场合的WiFi
例5变式训练 2017年5月，勒索病毒在全球爆发。黑客通过攻击主机，并加密主机上存储的文件，要求受害者支付赎金。以下关于防范病毒的描述错误的是 （ ）
A.所有的防御措施都不是绝对安全的，重要数据还要及时采取加密、备份等措施
B.有些病毒利用了系统漏洞进行传播，应及时更新打补丁
C.在防火墙上关闭相应的端口，可以大大降低内网计算机中毒的概率
D.所有被病毒破坏的计算机文件都可以修复
D
解析：并非所有被病毒破坏的计算机文件都可以修复，有些是无法修复的。
例1 下列关于信息安全的说法，正确的是 （ ）
A.打开朋友转发的网页链接一定是安全的
B.安装了杀毒软件后电脑就不会感染病毒
C.数据加密是一种提高信息安全性的有效措施
D.手机的指纹识别解锁技术能确保手机所有信息的安全
C
解析：
选项A，朋友转发的网页链接不一定是安全的；
选项B，安装了杀毒软件的电脑也有可能遇到病毒库中没有的病毒而中毒；
选项D，手机的指纹识别解锁技术只能增加手机的信息安全，但不能确保所有信息的安全。
知识点3.2.4：漏洞及其防护
1.漏洞及其修复
(1)漏洞的概述
在系统或软件开发时由于各种原因而留下的隐患。
(2)后门
漏洞中的一种。
是有些程序编写人员为了方便进行某些调试和测试而预留的一些特权，通过这些预设的特权，他们可以不经过安全检查而获得访问权；
有些则是入侵者在完成入侵后，为了能够继续保持对系统的访问特权而预留的权限。
(3)漏洞的防护
通过漏洞扫描技术对所管理的系统和网络进行安全审查，检测系统中的安全脆弱环节，及时更新系统，堵住漏洞。
根据黑客利用漏洞攻击的行为，还可以采用下列措施从技术上加以防护：
①使用防火墙(Firewall)来防止外部网络对内部网络的未经授权访问。
②经常使用安全监测与扫描工具来发现安全漏洞及薄弱环节，加强内部网络与系统的安全防护性能和抗破坏能力。
③使用有效的控制手段抓住入侵者。经常使用网络监控工具对网络和系统的运行情况进行实时监控，追查系统漏洞所在，及时发现黑客或入侵者的不良企图及越权使用，防患于未然。
此外，还需经常备份系统，以便在被攻击后能及时修复系统，将损失减少到最低程度。
2.黑客及其防范
(1)黑客
到处收集黑客工具，利用网络进行捣乱和破坏，借此来炫耀自己的计算机技术的一类群体。
(2)防火墙技术
一般是由硬件和软件组合而成的复杂系统，也可以只是软件系统，如Windows系统自带的防火墙。
防火墙可以有效地挡住外来的攻击，对进出的数据进行监视，并能自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开与该主机的任何连接，保护内部网络资源的安全。
防火墙主要由___________、_______、______和_______组成。
按技术分类：主要分为地址转换防火墙、数据包过滤防火墙和代理防火墙等；
按形态分类：主要分为__________、_________等。
服务访问规则
验证工具
包过滤
应用网关
硬件防火墙
软件防火墙
例2 小明搭建“室内环境监测系统”，实现如下功能：当室内亮度达到系统设定的阈值时，系统使用执行器放下窗帘，当窗台湿度达到系统设定的阈值时，系统使用执行器关闭窗户，并且系统将采集到的数据通过室内 Wi－Fi 保存到服务器的数据库中。关于该系统的信息安全及数据传输，不正确的是 （ ）
A.系统客户端获取数据库数据需通过 TCP/IP 协议
B.系统进行病毒防护需坚持预防为主，查杀为辅的原则
C.该系统所有的用户通过身份认证后即可访问数据库中所有系统资源
D.安装防火墙可有效防止外部网络的攻击
C
解析：身份认证要解决的问题是用户是否有权限进入系统使用数据资源，而访问控制要解决的问题是用户对数据操作的权限。
例2变式训练 下列做法不利于该信息系统安全的是 （ ）
A.将系统生成的3D动画在互联网上发布
B.对系统中的视频裁判开放所有权限以便他们能观察到所有数据
C.给每一位视频操作室人员分配一个绑定的“人脸识别”帐号
D.系统后台管理员注销某位“提前透露世界杯比赛结果”的内部操作人员帐号
B
解析：要设置合适的权限，才有利于信息系统的安全。
课堂小结
信息系统安全与防护
密码与密钥
对称与非对称密码体制
数据加密与安全
身份认证与安全
身份认证
访问控制
病毒及其防治
病毒概述
病毒防治
漏洞及其防护
漏洞及其修复
黑客及其防范

展开更多......

收起↑