资源简介

身份认证与安全　病毒与漏洞
1. 学会身份认证与安全相关知识,认识计算机病毒并掌握防治的方法。
2. 能在应用信息系统的过程中,及时发现系统潜在的安全隐患,并运用技术手段做好安全防范工作。
1. 身份认证与安全
(1)身份认证是用户在进入系统或访问受限数据资源时,系统对用户身份的鉴别过程。根据发展情况和认证技术的不同,身份认证可以大致分为以下三类:
①用户名＋口令的认证技术:操作简单、成本低、速度快,主要包括静态口令和动态口令。
②依靠生物特征识别的认证技术:优点是防伪性能好,随时随地可用。
③USB Key认证技术:软硬件相结合,一次一密的认证模式,很好地解决了安全性与易用性之间的矛盾。
(2)访问控制。
身份认证要解决的问题是用户是否有权限进入系统使用数据资源,而访问控制要解决的问题是用户对数据操作的权限。
①非授权用户没有访问权限,授权用户有访问权限,但存在存取权限的差别,如读取、写入、执行、删除、追加等存取方式。
②访问控制的三个要素:主体、客体、控制策略。主体是指提出访问资源的具体请求或发起者,通常指用户或依照用户执行的指令;客体是指被访问的资源,即需要保护的资源;控制策略,也称为授权,是指允许对资源执行的具体操作,主要是读、写、删除、拒绝访问等。
③访问控制的基本功能:保证合法用户访问受保护的系统资源, 防止非法用户访问受保护的系统资源, 或防止合法用户访问非授权的系统资源。如图所示为原理模型。
④系统管理员通过对用户账号权限大小的设置来管理数据的安全,目的是保证访问系统资源的用户是合法的,不同权限的用户所拥有的数据范围不一样。
2. 病毒及其防治
(1)病毒概述。
①计算机病毒:人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组计算机指令或者程序代码。它具有传染性、寄生性、隐蔽性、潜伏性、破坏性、可触发性等特征。
②手机病毒:具有计算机病毒的特征,是一种手机程序。如Cabir蠕虫病毒。
(2)病毒的危害:计算机感染病毒后,其系统运行速度会减慢、经常无故死机,还会出现文件长度发生变化、计算机存储的容量异常减少等问题;手机感染病毒后,通常会出现背景光不停闪烁、持续发出警告声、屏幕上显示乱码信息、按键操作失效等问题。
(3)病毒防治:坚持以预防为主、查杀为辅的原则。
①常见的病毒防治措施:安装并开启防火墙;安装应用系统补丁;安装防病毒软件;经常对系统和重要的数据进行备份。
②针对手机病毒:收到乱码信息后,及时删除;不接受陌生人的请求;保证下载内容的安全性;不随意连接公共场合的Wi－Fi。
3. 漏洞及其防护
(1)漏洞:一个系统存在的弱点或缺陷,应用软件中的漏洞远远多于操作系统中的漏洞,特别是Web应用系统中的漏洞。
(2)后门:漏洞中的一种,是有些程序编写人员为了方便进行某些调试和测试而预留的一些特权。
(3)根据黑客利用漏洞攻击的行为, 可以采用下列措施从技术上加以防护:
①使用防火墙(Firewall)来防止外部网络对内部网络的未经授权访问。
②经常使用安全监测与扫描工具来发现安全漏洞及薄弱环节,提高内部网络与系统的安全防护性能和抗破坏能力。
③使用有效的控制手段抓住入侵者。
④经常备份系统,以便在被攻击后能及时修复系统,将损失减少到最低程度。
(4)“黑客”一般是指热衷于计算机技术或解决难题、突破限制的高手。但是有些人利用网络进行捣乱和破坏,借此来炫耀自己的计算机“技术”,从而使“黑客”逐渐成为贬义词。
(5)防火墙技术。
防火墙一般是由硬件和软件组合而成的复杂系统,也可以只是软件系统。防火墙是在外部网络和内部网络之间、公共网络与专用网络之间构造的一道安全保护屏障,用来在两个网络之间实施存取控制策略,从而保护内部网络免受非法用户的入侵。防火墙主要由服务访问规则、验证工具、包过滤和应用网关组成。如图所示为防火墙功能。
【例1】 某校使用了智能作业批改及反馈系统:教师通过账号密码在APP或浏览器中登录平台,向平台上传作业信息;学生完成作业后扫描答题卡,系统自动批改作业,并通过识别答题卡中手写的班级、姓名和学号识别学生信息。教师可以通过平台查询答题情况,并反馈学生的作业情况,同时为每名学生自动生成专属错题集,以便学生纠错订正。下列关于该信息系统的安全的说法,正确的是(　D　)
A. 教师在公共电脑上利用浏览器记住密码功能,上网即可自动登录平台,不会引起密码的泄露
B. 系统安装防火墙可以抵挡外部攻击,故不需要安装其他杀毒软件
C. 系统为学生和教师两类用户设置相同的访问权限
D. 将重要的数据备份,保障数据的安全
【解析】 本题考查信息系统安全知识。浏览器自动记住密码可以方便登录,但公共计算机下容易造成密码泄露及账号信息被盗,A错误;病毒的入侵方式有多种,只有防火墙是不够的,B错误;系统应该为不同类型的用户设置不同的权限,否则可能引起不必要的数据资源泄露,C错误。
【例2】 (2023·浙江学考)小张从北京出差至杭州。出发前,他在手机上登录12306售票系统购买火车票、完成支付,检票时刷身份证通过闸机。到杭州站下车后,小张在手机导航软件中通过语音输入目的地进行行程路线规划,打车前往宾馆,途中导航软件会在地图中实时显示道路拥堵状况等信息。下列关于信息安全的说法,正确的是(　D　)
A. 用手机进行支付操作不会造成个人信息的泄露
B. 小张购买火车票过程中未经过身份认证
C. 手机不连接火车站和宾馆的Wi－Fi,就不会感染病毒
D. 备份手机中的重要数据可以提高数据的安全性
【解析】 本题考查信息安全知识。用手机进行支付操作可能会造成个人信息的泄露,例如用户名等信息,A错误;用户在购买火车票时需要经过身份认证,例如提供身份证等信息,B错误;手机在正常使用过程中也可能感染病毒,例如在接收文件时也有可能感染病毒,C错误;备份重要数据无疑可以提高数据的安全性,D正确。
【例3】 Meta ERP是一款集成化的企业管理软件系统。它将企业的所有业务流程数字化,从采购、生产、销售到客户服务,实现端到端的全流程数字化管理,通过大数据、人工智能等技术, 可为企业提供数据分析和预测服务,帮助企业实现智能化决策。下列关于信息系统安全和信息社会责任的行为,错误的是(　D　)
A. 系统管理员采用USB Key身份认证技术
B. 为系统不同的授权用户设置相应的权限
C. 防止黑客的攻击要定期进行漏洞检测、及时更新系统
D. 企业购买该系统之后,允许转卖给其他企业使用
【解析】 本题考查信息系统安全和社会责任。企业购买该系统之后,转卖给其他企业使用违反软件版权,D符合题意。
【例4】 下列关于信息安全的说法,正确的是(　C　)
A. 身份认证解决的是用户对各类数据操作的权限问题
B. 访问控制解决的是用户能否正确进入系统的权限问题
C. 防火墙可以只是软件系统
D. 用户名＋口令的认证技术必须添加能发送动态口令的专用设备
【解析】 身份认证解决的是防止数据资源被非授权使用,保障数据资源的安全,A错误;访问控制解决的是用户对数据操作的权限,B错误;用户名＋口令的认证技术优点在于操作简单,不需要任何附加设施,D错误。
【例5】 全屋智能系统能将智能音箱、智能门锁等智能设备联动,让它们相互之间协同运行,从而提升居家的便利性、舒适性、安全性,带来更好的居住体验。用户通过计算机或手机上的APP进行查询、控制等操作。全屋智能系统优点诸多,但是也存在一些弊端:如操作比较复杂,老年人和小孩可能不会使用;存在网络安全隐患,用户个人隐私可能被泄露;标准不统一,升级维护麻烦等。下列关于该信息系统身份认证与安全的说法,错误的是(　C　)
A. 智能门锁的指纹识别属于依靠生物特征识别的认证技术
B. 全屋智能APP登录时可以使用用户名＋口令的认证方式
C. 用户登录成功后可以访问所有的系统资源
D. 数据加密有利于保证系统身份认证信息的安全性
【解析】 用户登录成功后,需要经过访问控制确定可以访问的系统资源,C符合题意。
【例6】 为了方便乘客坐地铁出行,北京地铁联合某科技公司开发了一款北京地铁二维码乘车系统。乘客下载相关手机APP后,无须排队购票,在进口时扫描手机二维码后即可进入,出站时再扫一次二维码,即可自动支付乘车费用。为了增强该信息系统的安全性,下列操作中,错误的是(　A　)
A. 将服务器的内存容量增大
B. 为服务器安装防病毒软件
C. 为外部设备接入无线网络时设置强密码
D. 为该系统网络通信增添防火墙等网络设备
【解析】 将服务器的内存容量增大,无法提升信息系统的安全性,A符合题意。
1. 下列选项中,不属于计算机病毒特征的是(　C　)
A. 破坏性 B. 传染性
C. 免疫性 D. 潜伏性
【解析】 计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,并能自我复制的一组计算机指令或者程序代码;它具有传染性、寄生性、隐蔽性、潜伏性、破坏性和可触发性等特征,C符合题意。
2. 下列选项中,不属于身份认证的是(　C　)
A. 用户名＋口令
B. 依靠生物特征识别　
C. 访问控制　
D. USB Key 认证
【解析】 访问控制不属于身份认证,C符合题意。
3. 下列关于计算机病毒本质的说法,正确的是(　A　)
A. 一种有破坏性的程序 B. 使用计算机时容易感染的一种疾病
C. 一种计算机硬件系统故障　 D. 计算机软件系统故障
【解析】 计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组计算机指令或者程序代码,A正确。
4. 下列关于信息系统安全与防护的说法,正确的是(　D　)
A. 密码是一种“混淆”技术,其目标是将信息转变为一种任何人都读不懂的编码
B. 对称密码体制是指加密算法和解密算法相同
C. 连接公共场合的Wi－Fi需要输入密码,可以确保手机中的隐私信息不被窃取
D. 防火墙技术可以有效阻挡来自外部的攻击,保护内部网络的安全
【解析】 密码是一种“混淆”技术,就是把用公开的、标准的信息编码表示的信息,通过一种变换手段将其变为除通信双方外的其他人所不能读懂的信息编码,这种独特的信息编码算法就是密码,A错误;对称密码体制是指加密密钥和解密密钥相同,B错误;连接公共场合的Wi－Fi需要输入密码,隐私信息也有可能被窃取,C错误。
5. 下列关于身份认证与安全的说法,正确的是(　B　)
A. 身份认证要解决的是用户对数据操作的权限
B. 动态口令比静态口令的安全性要高
C. 生物特征识别的认证技术防伪性能比较差
D. 信息系统对通过身份认证的用户访问数据没有限制
【解析】 身份认证是系统对用户身份的鉴别过程,判断用户能否进入系统,A错误;依靠生物特征识别的认证技术防伪性能好,C错误;访问控制要解决的问题是用户对数据操作的权限,信息系统对通过身份认证的用户访问数据的权限不同,D错误。
6. 下列关于网络“黑客”的说法,正确的是(　C　)
A. 一种不健康的网站
B. 不以真实姓名上网的人
C. 在网上侵入他人计算机系统的人
D. 不花钱上网的人
【解析】 “黑客”一般是指热衷于计算机技术或解决难题、突破限制的高手;但是,有些人搜集黑客工具,利用网络进行捣乱和破坏,借此来炫耀自己的计算机“技术”,而使“黑客”逐渐成为贬义词,C正确。
7. 下列关于信息系统安全的说法,正确的是(　C　)
A. 凯撒密码是换位密码法的经典例子
B. 身份认证解决的问题是用户对数据操作的权限
C. 采用数据加密保护信息的保密性,采用数字签名保护信息的不可否认性
D. 安装防火墙能够防止黑客或病毒入侵系统,因此无须再安装防病毒软件
【解析】 凯撒密码的密文是用正常顺序的明文字母表偏移一定个数字母替代得到的,属于替代密码,A错误;身份认证解决的问题是用户是否有权限进入系统使用数字资源,访问控制解决的问题是用户对数据操作的权限,B错误;防火墙用来在两个网络之间实施存取控制策略,保护内部网络免受非法用户的入侵,不具备防止病毒入侵的功能,D错误。
8. 下列关于身份认证的说法,正确的是(　D　)
A. 身份认证主要是为了防止合法用户访问非授权的系统资源
B. 身份认证技术可以百分之百地保证安全
C. USB Key认证技术属于依靠生物特征识别的认证技术
D. 用户名＋口令认证方式不需要附加设施
【解析】 访问控制主要是为了防止合法用户访问非授权的系统资源,A错误;身份认证技术无法百分之百地保证安全,B错误;USB Key认证技术采用软硬件相结合、一次一密的认证模式,C错误。身份认证与安全　病毒与漏洞
1. 学会身份认证与安全相关知识,认识计算机病毒并掌握防治的方法。
2. 能在应用信息系统的过程中,及时发现系统潜在的安全隐患,并运用技术手段做好安全防范工作。
1. 身份认证与安全
(1)身份认证是用户在进入系统或访问受限数据资源时,系统对用户身份的鉴别过程。根据发展情况和认证技术的不同,身份认证可以大致分为以下三类:
①用户名＋口令的认证技术:操作简单、成本低、速度快,主要包括静态口令和动态口令。
②依靠生物特征识别的认证技术:优点是防伪性能好,随时随地可用。
③USB Key认证技术:软硬件相结合,一次一密的认证模式,很好地解决了安全性与易用性之间的矛盾。
(2)访问控制。
身份认证要解决的问题是用户是否有权限进入系统使用数据资源,而访问控制要解决的问题是用户对数据操作的权限。
①非授权用户没有访问权限,授权用户有访问权限,但存在存取权限的差别,如读取、写入、执行、删除、追加等存取方式。
②访问控制的三个要素:主体、客体、控制策略。主体是指提出访问资源的具体请求或发起者,通常指用户或依照用户执行的指令;客体是指被访问的资源,即需要保护的资源;控制策略,也称为授权,是指允许对资源执行的具体操作,主要是读、写、删除、拒绝访问等。
③访问控制的基本功能:保证合法用户访问受保护的系统资源, 防止非法用户访问受保护的系统资源, 或防止合法用户访问非授权的系统资源。如图所示为原理模型。
④系统管理员通过对用户账号权限大小的设置来管理数据的安全,目的是保证访问系统资源的用户是合法的,不同权限的用户所拥有的数据范围不一样。
2. 病毒及其防治
(1)病毒概述。
①计算机病毒:人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组计算机指令或者程序代码。它具有传染性、寄生性、隐蔽性、潜伏性、破坏性、可触发性等特征。
②手机病毒:具有计算机病毒的特征,是一种手机程序。如Cabir蠕虫病毒。
(2)病毒的危害:计算机感染病毒后,其系统运行速度会减慢、经常无故死机,还会出现文件长度发生变化、计算机存储的容量异常减少等问题;手机感染病毒后,通常会出现背景光不停闪烁、持续发出警告声、屏幕上显示乱码信息、按键操作失效等问题。
(3)病毒防治:坚持以预防为主、查杀为辅的原则。
①常见的病毒防治措施:安装并开启防火墙;安装应用系统补丁;安装防病毒软件;经常对系统和重要的数据进行备份。
②针对手机病毒:收到乱码信息后,及时删除;不接受陌生人的请求;保证下载内容的安全性;不随意连接公共场合的Wi－Fi。
3. 漏洞及其防护
(1)漏洞:一个系统存在的弱点或缺陷,应用软件中的漏洞远远多于操作系统中的漏洞,特别是Web应用系统中的漏洞。
(2)后门:漏洞中的一种,是有些程序编写人员为了方便进行某些调试和测试而预留的一些特权。
(3)根据黑客利用漏洞攻击的行为, 可以采用下列措施从技术上加以防护:
①使用防火墙(Firewall)来防止外部网络对内部网络的未经授权访问。
②经常使用安全监测与扫描工具来发现安全漏洞及薄弱环节,提高内部网络与系统的安全防护性能和抗破坏能力。
③使用有效的控制手段抓住入侵者。
④经常备份系统,以便在被攻击后能及时修复系统,将损失减少到最低程度。
(4)“黑客”一般是指热衷于计算机技术或解决难题、突破限制的高手。但是有些人利用网络进行捣乱和破坏,借此来炫耀自己的计算机“技术”,从而使“黑客”逐渐成为贬义词。
(5)防火墙技术。
防火墙一般是由硬件和软件组合而成的复杂系统,也可以只是软件系统。防火墙是在外部网络和内部网络之间、公共网络与专用网络之间构造的一道安全保护屏障,用来在两个网络之间实施存取控制策略,从而保护内部网络免受非法用户的入侵。防火墙主要由服务访问规则、验证工具、包过滤和应用网关组成。如图所示为防火墙功能。
【例1】 某校使用了智能作业批改及反馈系统:教师通过账号密码在APP或浏览器中登录平台,向平台上传作业信息;学生完成作业后扫描答题卡,系统自动批改作业,并通过识别答题卡中手写的班级、姓名和学号识别学生信息。教师可以通过平台查询答题情况,并反馈学生的作业情况,同时为每名学生自动生成专属错题集,以便学生纠错订正。下列关于该信息系统的安全的说法,正确的是(　　)
A. 教师在公共电脑上利用浏览器记住密码功能,上网即可自动登录平台,不会引起密码的泄露
B. 系统安装防火墙可以抵挡外部攻击,故不需要安装其他杀毒软件
C. 系统为学生和教师两类用户设置相同的访问权限
D. 将重要的数据备份,保障数据的安全
【例2】 (2023·浙江学考)小张从北京出差至杭州。出发前,他在手机上登录12306售票系统购买火车票、完成支付,检票时刷身份证通过闸机。到杭州站下车后,小张在手机导航软件中通过语音输入目的地进行行程路线规划,打车前往宾馆,途中导航软件会在地图中实时显示道路拥堵状况等信息。下列关于信息安全的说法,正确的是(　　)
A. 用手机进行支付操作不会造成个人信息的泄露
B. 小张购买火车票过程中未经过身份认证
C. 手机不连接火车站和宾馆的Wi－Fi,就不会感染病毒
D. 备份手机中的重要数据可以提高数据的安全性
【例3】 Meta ERP是一款集成化的企业管理软件系统。它将企业的所有业务流程数字化,从采购、生产、销售到客户服务,实现端到端的全流程数字化管理,通过大数据、人工智能等技术, 可为企业提供数据分析和预测服务,帮助企业实现智能化决策。下列关于信息系统安全和信息社会责任的行为,错误的是(　　)
A. 系统管理员采用USB Key身份认证技术
B. 为系统不同的授权用户设置相应的权限
C. 防止黑客的攻击要定期进行漏洞检测、及时更新系统
D. 企业购买该系统之后,允许转卖给其他企业使用
【例4】 下列关于信息安全的说法,正确的是(　　)
A. 身份认证解决的是用户对各类数据操作的权限问题
B. 访问控制解决的是用户能否正确进入系统的权限问题
C. 防火墙可以只是软件系统
D. 用户名＋口令的认证技术必须添加能发送动态口令的专用设备
【例5】 全屋智能系统能将智能音箱、智能门锁等智能设备联动,让它们相互之间协同运行,从而提升居家的便利性、舒适性、安全性,带来更好的居住体验。用户通过计算机或手机上的APP进行查询、控制等操作。全屋智能系统优点诸多,但是也存在一些弊端:如操作比较复杂,老年人和小孩可能不会使用;存在网络安全隐患,用户个人隐私可能被泄露;标准不统一,升级维护麻烦等。下列关于该信息系统身份认证与安全的说法,错误的是(　　)
A. 智能门锁的指纹识别属于依靠生物特征识别的认证技术
B. 全屋智能APP登录时可以使用用户名＋口令的认证方式
C. 用户登录成功后可以访问所有的系统资源
D. 数据加密有利于保证系统身份认证信息的安全性
【例6】 为了方便乘客坐地铁出行,北京地铁联合某科技公司开发了一款北京地铁二维码乘车系统。乘客下载相关手机APP后,无须排队购票,在进口时扫描手机二维码后即可进入,出站时再扫一次二维码,即可自动支付乘车费用。为了增强该信息系统的安全性,下列操作中,错误的是(　　)
A. 将服务器的内存容量增大
B. 为服务器安装防病毒软件
C. 为外部设备接入无线网络时设置强密码
D. 为该系统网络通信增添防火墙等网络设备
1. 下列选项中,不属于计算机病毒特征的是(　　)
A. 破坏性 B. 传染性
C. 免疫性 D. 潜伏性
2. 下列选项中,不属于身份认证的是(　　)
A. 用户名＋口令
B. 依靠生物特征识别　
C. 访问控制　
D. USB Key 认证
3. 下列关于计算机病毒本质的说法,正确的是(　　)
A. 一种有破坏性的程序 B. 使用计算机时容易感染的一种疾病
C. 一种计算机硬件系统故障　 D. 计算机软件系统故障
4. 下列关于信息系统安全与防护的说法,正确的是(　　)
A. 密码是一种“混淆”技术,其目标是将信息转变为一种任何人都读不懂的编码
B. 对称密码体制是指加密算法和解密算法相同
C. 连接公共场合的Wi－Fi需要输入密码,可以确保手机中的隐私信息不被窃取
D. 防火墙技术可以有效阻挡来自外部的攻击,保护内部网络的安全
5. 下列关于身份认证与安全的说法,正确的是(　　)
A. 身份认证要解决的是用户对数据操作的权限
B. 动态口令比静态口令的安全性要高
C. 生物特征识别的认证技术防伪性能比较差
D. 信息系统对通过身份认证的用户访问数据没有限制
6. 下列关于网络“黑客”的说法,正确的是(　　)
A. 一种不健康的网站
B. 不以真实姓名上网的人
C. 在网上侵入他人计算机系统的人
D. 不花钱上网的人
7. 下列关于信息系统安全的说法,正确的是(　　)
A. 凯撒密码是换位密码法的经典例子
B. 身份认证解决的问题是用户对数据操作的权限
C. 采用数据加密保护信息的保密性,采用数字签名保护信息的不可否认性
D. 安装防火墙能够防止黑客或病毒入侵系统,因此无须再安装防病毒软件
8. 下列关于身份认证的说法,正确的是(　　)
A. 身份认证主要是为了防止合法用户访问非授权的系统资源
B. 身份认证技术可以百分之百地保证安全
C. USB Key认证技术属于依靠生物特征识别的认证技术
D. 用户名＋口令认证方式不需要附加设施

展开更多......

收起↑