浙教版 (2019)必修2 信息系统与社会3.2 信息系统安全与防护完整版课件ppt

这是一份浙教版 (2019)必修2 信息系统与社会3.2 信息系统安全与防护完整版课件ppt，共42页。PPT课件主要包含了学习目标，重难点，课堂导入，密码与密钥，2密钥的概念，3简单加密算法，换位密码法，简单异或法，实践与体验，身份认证等内容，欢迎下载使用。

1、数据加密与安全、身份认证
2、病毒及其防治、漏洞及其防护
难点：病毒和漏洞的防护
人们享受着信息系统带来的便利,同时也面临着相应的风险。信息系统随时可能因为硬件损坏、软件故障、病毒感染、黑客入侵、信息泄露等受到侵害,造成重要数据的丢失,从而影响人们的工作与生活。信息系统的安全问题是动态的、变化的,新的攻击技术和手段不断出现,人们必须时刻注意安全防范。
3.2.1 数据加密与安全
2014年12月25日,大量12306网站用户数据在网络上疯狂传播,被泄露的数据达131653条,包括用户账号、明文密码、身份证号码和邮箱等信息。泄露事件发生后,12306网站回应称:“经核查,此次泄露事件中的泄露信息全部含有用户的明文密码,12306网站数据库中的所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”12306网站称已报警警方已介入调查。 根据以上材料试着讨论:(1)用户数据是如何被泄露的?用户如何规避数据泄露风险?(2)非明文密码对数据安全起到怎样的作用?
人们在日常生活中登录各种信息系统时,都需要输入密码,如登录计算机系统,需要输入密码;在宾馆房间想要上网,需要输入无线网络密码;从银行ATM机取款时需要输入密码。密码无处不在,它是保证数据安全的一道重要屏障。这里所谓的密码应该称作口令( Passwrd),用于认证用户身份,并不是真正意义上的加密代码。
密码通常是指按特定编码规则编成,用于对通信双方的数据信息进行从明文到密文变换的符号。总之,密码是一种“混淆”技术,就是隐蔽了真实内容的符号序列,把用公开的、标准的信息编码表示的信息,通过一种变换手段将其变为除通信双方外的其他人所不能读懂的信息编码,这种独特的信息编码就是密码。例如,某信息的公开编码为“ hellwrld”,通过某种加密算法后变为“ drw lleh",得到的编码就是该信息的密码。
图3.2.1 Scytale 棍子
密码最早起源于古希腊,通常是密码算法的简称,它由加密算法和解密算法组成。公元前5世纪,古希腊人使用一根叫作 Scytale的棍子(如图3.2.1)来进行保密通信,送信人先把一张纸条绕棍子一圈,然后把需要加密的信息写在上面,接着打开纸后送给收信人。如果不知道棍子的直径是很难解密里面的内容的。在这个例子中, Scytale可以理解成是一种加密算法,如果暴露了这根棍子,也就没有秘密可言了。
为了数据安全，仅仅通过人为的事先约定来保守算法的秘密，这种算法称为受限算法。受限算法不利于进行标准化控制，而通过“密钥”可以解决这个问题。
密钥（key）是指在密码算法中引进的控制参数，对一个算法采用不同的参数值，其解密结果就不同。加密算法中的控制参数称加密密钥，解密算法中的控制参数称解密密钥。
图3.2.2 加密过程
图3.2.3 解密过程
密码系统包括明文、密文、密钥和密码算法四个方面。原有的信息称为明文（Plaintext,简称P）;明文经过加密变换后的形式称为密文( Ciphertext,简称C);由明文变为密文的过程称为加密( Enciphering,简称E),通常由加密算法来实现,如图3.2.2所示;由密文还原成明文的过程称为解密( Deciphering,简称D),通常由解密算法来实现如图3.2.3所示。 常见的加密函数形式:C=Ek1(P);常见的解密函数形式:P=Dk2(C)。
替代加密的是将明文中的每个位置的字符用其他字符替代。如凯撒密码。
图3.2.4 密钥为3的凯撒密码
加密过程可表示为Ci=Ek1(Pi)=(Pi+3)md26,这里的密钥为3。明文“ hell wrld”由此可得到的密文是“ kh zrug”。解密时只要将密文中的每个字母左移3个字母即可得到明文,解密过程可表示为Pi=Dk2(Ci)=(Ci-3)md26。
凯撒密码算法的程序实现程序分四个模块:字符转换、加密、解密、主函数调用,可以通过四个自定义函数change()、 encrypt()、 decrypt()、main()来实现。1.自定义字符转换函数 change(),该函数实现把输入的字符串cde,转换为a~z之间的小写字母字符串。2.自定义加密函数 encrypt(),根据输入的明文字符串cde和密钥key进行加密,生成密文 cde_new。3.自定义解密函数 decrypt(),根据输入的密文字符cde和密钥key进行解密,生成明文 cde_new。4.自定义主函数 main()。运行 main(),通过1、2来进行加、解密选择。5.调用函数main()。
②换位密码。换位密码的基本思想是将明文中的字母位置通过一定的规则重新排列。最简单的换位就是逆序法,即将明文中的字母倒过来输出。例如 明文: Hw are yu? 密文：?uv era wh
③简单异或。异或运算,是一种逻辑运算,其数学符号为“⊕”。运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同,那么异或结果为1。如果两个值相同,那么异或结果为0。异或运算具有如下特点:0⊕0=0,0⊕1=1,1⊕0=1,1⊕1=0 对于任意一个字符,都可以用二进制编码形式来表示,字符的异或运算就是对每位进行运算。例如,字符串“ Hell"(8位 ASCII表示:0100100001100101011011000110110001101111)可以按如下的方式用密钥10110001进行加密:0100100001100101011011000110110001101111(P—明文)⊕101100110110001101100011011000110110001(K—密钥)=111001101010011011101110111011101110(C—密文)简单异或加密,就是将明文与密钥进行异或运算,解密则是对密文用同一密钥进行异或运算。即P⊕K=CC ⊕ K=P
2、对称与非对称密码体制
图3.2.7 对称密码体制模型
若一种加密方法Ke=Kd,则称为对称密码体制或单钥密码体制。在对称密码体制中,著名的加密算法是IBM公司研制成功的DES( Data Encryptin Standard,数据加密标准)分组算法。对称密码体制模型如图3.2.7所示
若一种加密方法Ke≠Kd,则称为非对称密码体制或双钥密码体制。在这种方法中加密使用的密钥和解密使用的密钥不相同。在非对称密码体制中,著名的加密算法是RSA算法。
Wrd文档安全保护 人们在学习、工作时,经常要处理大批量的隐私或机密文档。为了确保文档的安全,人们会采取一些技术上的措施来保护文档不被他人看见。下面的实践将有助于我们理解文档安全保护的重要性。 实践内容：1.标记为最终版本。 2.用密码进行加密。3.限制编辑 4.限制访问。5.添加数字签名。 实践步骤:1、新建一个空白Wrd文档,输入你的姓名和爱好等信息,并保存。2.单击“文件”选项卡中的“信息”,选择“保护文档”,然后选择相应的实验项目,如选择“用密码进行加密”。在加密文档对话框中键入密码,然后单击“确定”。重新输入密码,然后再次单击“确定”,文档加密完成。关闭文件后重新打开该文档时,系统会提醒用户输入刚刚设定的密码,输入正确密码后方可看到文件中的内容。
3.2.2 身份认证与安全
高考志愿遭篡改事件时有发生。某校高三考生田某、许某被同班同学陈某篡改了高考志愿,某地考生常某的高考志愿也被其同学郭某篡改……涉事者既有考生的同学,也有教师,对受害考生造成极大困扰。纵观近年来发生的高考志愿被篡改事件,账号和密码泄露往往是直接原因。这与被篡改者自身疏忽大意有很大的关系,也与信息系统对虚拟身份的识别技术相关。 高考填报志愿是关系到考生前途命运的事情。每个考生都应该提高安全意识,不要向别人包括同窗好友透露自己的账号、密码,填报的时候也应该独立操作。如果每个人都树立起安全意识,维护自身权益,篡改志愿这样的事件很大程度上就能避免。 根据以上材料试着讨论:(1)在未得到他人允许的情况下,能否使用通过非正常渠道获取的口令登录他人的系统?(2)在用户使用系统的过程中,口令起到了认证和保护的作用,人们应如何保护自己的口令安全?(3)由于口令安全等级不高,人们还可以采用哪些方法进行身份鉴别?(4)信息系统如何做到既识别虚拟身份又识别真实身份?
（1）用户名+口令的认证技术
主要包括静态口令和动态口令。静态口令方式的用户名和口令是一次性产生，在使用过程中固定不变的。动态口令是目前应用广泛的一种身份识别技术，主要有动态短信口令和动态口令处于两种。
（2）依靠生物特征识别认证技术
由于不同的人具有相同生物特征的可能性是极低的,生物特征识别认证技术主要是根据这一点进行身份识别。该认证技术须事先对用户身上某些生物特征进行采集,将采集到的数据保存到数据库中,在进行身份识别时,将识别得到的特征数据与数据库中已有的特征数据进行比较,从而完成身份识别,达到事先指定的相似度才允许通过。目前比较成熟的认证技术有指纹识别技术、语音识别技术、虹膜认证技术、人脸识别技术等。 生物特征识别的认证方式具有防伪性能好、随时随地可用等优点。伴随着自动识别技术和生产技术的发展,生物识别设备成本降低,其准确性和稳定性不断提高,已被人们所接受。
（3）usb key 认证技术
该认证方式采用软硬件相结合、一次一密的认证模式,很好地解决了安全性与易用性之间的矛盾。 USB Key是一种采用USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用 USB Key内置的密码算法实现对用户身份的认证。常见的基于 USB Key的应用包括网上银行的“U盾”、支付宝的“支付盾”等。
近年来,指纹识别技术在各行各业得到广泛应用,例如,带有指纹识别功能的手机、指纹门禁系统、指纹签到系统等。请上网查找资料,完成一篇关于指纹识别系统工作原理的报告,并进行展示交流。
访问控制( Access Cntrl)一般是指系统对用户身份及其所属的预先定义的策略组用以限制其使用数据资源的手段。系统管理员通常利用该手段控制用户对服务器、目录、文件等网络资源的访问。 访问控制三个要素:主体( Subject)是指提出访问资源的具体请求或发起者,通常指用户或依照用户执行的指令;客体( Object)是指被访问的资源,即需要保护的资源;控制策略( Attributin),也称为授权,是指允许对资源执行的具体操作,主要是读、写、删除、拒绝访问等。
（2）访问控制的功能及原理
图3.2.8 访问控制原理模型
访问控制：保证合法用户访问，防止非法用户访问。
①系统管理员应根据各部门不同用户业务的实际需求对访问系统的用户分别建立账户或组策略,分别施行授予或撤销管理措施和执行过程。以学校电子班牌应用系统为例,其用户账户组成主要有:系统管理员、行政组、教务组、年级组、班主任组、普通教师组等,不同的账户访问全校师生数据库的权限是不同的。②系统管理员授予用户的身份应具有唯一性,不允许多人共享一个账户。③对系统中任何用户的登录都应进行身份识别。身份识别的技术应根据用户所处的部门和拥有的权限大小来确定。④保证有足够的口令强度和防攻击能力,确保核心数据的访问安全。用户必须使用符合系统管理要求的口令,并妥善保护好自己的口令。系统管理员要经常对特殊权限账号的用户和部门进行核查,及时收回不再使用的账号。
3.2.3 病毒及其防治
2014年8月2日,一款名为“××神器”的恶意手机病毒在全国范围内爆发式传播。该软件能恶意窃取手机用户短信、邮件、手机银行密码等信息。,一天之内,“××神器”群发500万条诈骗短信,按每条短信0.1元计算,相当于造成所有中招手机用户共计50万元的话费损失。而这一病毒的制造者李某才19岁,是某大学软件系的大一学生。 8月2日下午,警方在嫌疑人李某家里将其抓获。9个小时,“××神器”木马案告破。在李某的电脑内,警方缴获了此款木马的源代码和开发教程,并在李某手机里发现了银行资金变动、开户资料支付宝等第三方支付工具的动态口令以及个人隐私等大量公民个人信息。 此次遇到“××神器”木马的制造者仅是个“菜鸟”纯属幸运,也仅仅是消耗点话费和流量,而目前比较流行的是手机支付病毒木马,其背后已形成黑色产业链。诈骗分子通过获取的手机号码、身份证号码、银行账号,可以利用支付宝等以手机号码注册的网络支付工具发起快捷支付申请,当手机支付短信验证码发送至受害人手机上的时候,手机短信拦截木马则会拦截这些短信,并将支付验证码发送至犯罪分子手机中,通过验证码完成盗刷银行卡。同时,还将屏蔽银行发来的支付成功短信提示。摘自2014年8月6日《北京青年报》根据以上材料试着讨论(1)手机病毒与计算机病毒相比,有哪些新的特点(2)对于不断出现的新病毒、新攻击,我们应当如何建立更安全的防护体系?
计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组计算机指令或者程序代码。它具有传染性、寄生性、隐蔽性、潜伏性、破坏性、可触发性等特征。美国计算机病毒硏究专家弗雷德·科恩( fred Chen)最早提出“计算机病毒”一词。1983年,世界上出现了第一例被证实的计算机病毒。
手机病毒具有计算机病毒的特征,是一种手机程序。通过发送短信、微信、彩信及无线上网等方式进行传播,用户手机中毒后会导致个人资料被删、隐私泄露、自动拨打电话和发信息等,以致被恶意扣费,甚至会损毁SIM卡、芯片等硬件,导致使用者无法正常使用手机。2004年6月,出现真正意义上的手机病毒— Cabir蠕虫病毒。
计算机系统中毒后,可能会引发一些异常情况,常见的有系统运行速度减慢、系统经常无故发生死机、文件长度发生变化、计算机存储的容量异常减少、系统引导速度减慢文件丢失或损坏、计算机屏幕上出现异常显示、计算机系统的蜂鸣器出现异常声响、磁盘卷标发生变化和系统不识别硬盘等。 手机感染病毒后,通常会出现背景光不停闪烁、持续发出警告声、屏幕上显示乱码信息、按键操作失效、用户信息无缘无故被修改、自动向他人手机发送大量短信、死机或自动关机、资料丢失和通信网络瘫痪等现象。
①安装并开启防火墙,防止黑客和病毒利用系统服务和漏洞入侵系统。②安装应用系统补丁,防止病毒利用系统或程序的漏洞进行传染。③安装防病毒软件,定时更新病毒资料库和扫描系统,一旦发现被病毒感染,用户应及时采取措施,保护好数据,利用杀毒软件对系统进行处理,以免病毒扩散造成更大损失。④经常对系统和重要的数据进行备份,还可把重要的数据加密后存放到云盘上。
针对手机病毒,还应做到:①收到乱码信息后,及时删除,以免手机感染病毒。②不接受陌生请求。如果有陌生设备请求连接,不要轻易接受,因为手机病毒会自动搜索无线范围内的设备进行病毒的传播。③保证下载内容的安全性。网上资源丰富,但很多病毒就隐藏在这些资源中,这就要求用户在使用手机下载资源时要确保下载站点的安全可靠。不要浏览危险网站,尤其是弹出式广告特别多的网站。④不随意连接公共场合的Wi-Fi。如今Wi-Fi已经成为人们手机上网的主要方式,尤其在公共场合。但在享受其便利的同时,也要更多地关注网上钓鱼、盗取账号、窃取隐私等各种安全隐患。
3.2.4 漏洞及其防护
小故事《别忘了关门》,说动物园的管理员突然发现袋鼠从围栏里跳了出来,经过分析,大家一致认为:袋鼠之所以能跳出来完全是因为围栏太低。所以决定将围栏加高。没想到,第二天袋鼠还能跳出来,于是,围栏被继续加高。但是,令这些管理员们惊恐万分的是,无论围栏加高多少,袋鼠们都会在第二天跳出来。领导们一不做二不休,安装了最先进的监控设备,轮流值班,24小时守着这些白天看起来特别听话的袋鼠。终于,他们发现了问题所在真正的“罪魁祸首”是管理员忘记锁上的门,袋鼠们晚上居然是通过大门“堂堂正正”跳出来的,真是让人哭笑不得。 类比信息系统,系统的安全除了故事中的围栏之外,还有那道千万别忘记关的门,以及那颗永远别忘记关门的心—安全意识—根据以上材料试着讨论。(1)“忘记关门”对系统会造成怎样的危害?(2)为了安全,动物园的管理员是否应该把“门”堵死?(3)开门与堵门之间,需要怎样的安全技术支撑?
漏洞可能来自应用软件或操作系统,由于设计时的缺陷或编码时的错误而产生的,也可能来自逻辑流程上的不合理或程序员为了某种方便而留下的隐患。这些缺陷、错误或不合理之处可能被有意或无意利用,从而对系统造成威胁,如信息系统被攻击或控制、重要资料被窃取、用户数据被篡改等,就好比上述故事中袋鼠可以随时通过那扇忘记锁的门跳出围栏一样。事实证明,应用软件中的漏洞远远多于操作系统中的漏洞,特别是web应用系统中的漏洞,占据信息系统漏洞的绝大部分。
后门( Trap Dr),漏洞中的一种,是有些程序编写人员为了方便进行某些调试和测试而预留的一些特权,通过这些预设的特权,他们可以不经过安全检查而获得访问权;有些则是入侵者在完成入侵后,为了能够继续保持对系统的访问特权而预留的权限。
根据黑客利用漏洞攻击的行为,还可以采用下列措施从技术上加以防护:①使用防火墙( Firewal)来防止外部网络对内部网络的未经授权访问,建立网络信息系统的对外安全屏障,以便对外部网络与内部网络之间交流的数据进行检测,符合的予以放行,不符合的则拒之门外,对黑客利用漏洞入侵可以起到很好的防护作用。②经常使用安全监测与扫描工具来发现安全漏洞及薄弱环节,加强内部网络与系统的安全防护性能和抗破坏能力。当网络或系统被黑客攻击时,可用此类工具及时发现黑客人侵的迹象,并及时进行处理。③使用有效的控制手段抓住入侵者。经常使用网络监控工具对网络和系统的运行情况进行实时监控,追查系统漏洞所在,及时发现黑客或入侵者的不良企图及越权使用,进行相关处理,防患于未然。除此以外,还需经常备份系统,以便在被攻击后能及时修复系统,将损失减少到最低程度。
常用的漏洞扫描软件有X-scan、Namp、x-way等。
总有一些人,他们并不是真正的黑客,到处收集黑客工具,利用网络进行捣乱和破坏,借此来炫耀自己的计算机“技术”,正因为如此,“黑客”逐渐成为贬义词。
图3.2.9 防火墙功能
防火墙一般是由硬件和软件组合而成,也可以只是软件系统,如 Windws系统自带的防火墙。防火墙是在外部网络和内部网络之间、公共网络与专用网络之间构造的一道安全保护屏障,用来在两个网络之间实施存取控制策略,它可以确定哪些内部服务允许外部访问,哪些外部人员被许可访问所允许的内部服务,哪些外部服务可由内部人员访问,从而保护内部网络免受非法用户的入侵。防火墙主要由服务访问规则、验证工具、包过滤和应用网关组成防火墙可以有效地挡住外来的攻击,对进出的数据进行监视,并能自动统计、分析通防火墙的各种连接数据,探测出攻击者,立即断开与该主机的任何连接,保护内部网络资源的安全。
思考与练习1.用 Pythn实现简单的换位密码程序2.在陌生的计算机上登录QQ或支付宝等平台,往往需要手机认证方可登录。试述QQ或支付宝这样设计的目的是什么3.以列表形式比较各种身份识别技术的优缺点。4.查找资料,调查最近30年中爆发的典型的计算机病毒及其带来的危害并完成一篇报告,在同学中交流。