高中信息技术必修2浙教版第3章第2节信息系统安全与防护课件

第3章信息系统安全浙教版（2019版）信息技术（高中）3.2信息系统安全与防护

必修2信息系统与社会1、数据加密与安全、身份认证2、病毒及其防治、漏洞及其防护学习目标重点：身份认证难点：病毒和漏洞的防护重难点课堂导入

人们享受着信息系统带来的便利,同时也面临着相应的风险。信息系统随时可能因为硬件损坏、软件故障、病毒感染、黑客入侵、信息泄露等受到侵害,造成重要数据的丢失,从而影响人们的工作与生活。信息系统的安全问题是动态的、变化的,新的攻击技术和手段不断出现,人们必须时刻注意安全防范。3.2.1数据加密与安全

2014年12月25日,大量12306网站用户数据在网络上疯狂传播,被泄露的数据达131653条,包括用户账号、明文密码、身份证号码和邮箱等信息。泄露事件发生后,12306网站回应称:“经核查,此次泄露事件中的泄露信息全部含有用户的明文密码,12306网站数据库中的所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”12306网站称已报警警方已介入调查。根据以上材料试着讨论:(1)用户数据是如何被泄露的?用户如何规避数据泄露风险?(2)非明文密码对数据安全起到怎样的作用?1、密码与密钥（1）口令与密码人们在日常生活中登录各种信息系统时,都需要输入密码,如登录计算机系统,需要输入密码;在宾馆房间想要上网,需要输入无线网络密码;从银行ATM机取款时需要输入密码。密码无处不在,它是保证数据安全的一道重要屏障。这里所谓的密码应该称作口令(Password),用于认证用户身份,并不是真正意义上的加密代码。密码通常是指按特定编码规则编成,用于对通信双方的数据信息进行从明文到密文变换的符号。总之,密码是一种“混淆”技术,就是隐蔽了真实内容的符号序列,把用公开的、标准的信息编码表示的信息,通过一种变换手段将其变为除通信双方外的其他人所不能读懂的信息编码,这种独特的信息编码就是密码。例如,某信息的公开编码为“helloworld”,通过某种加密算法后变为“drowolleh",得到的编码就是该信息的密码。图3.2.1Scytale棍子

密码最早起源于古希腊,通常是密码算法的简称,它由加密算法和解密算法组成。公元前5世纪,古希腊人使用一根叫作Scytale的棍子(如图3.2.1)来进行保密通信,送信人先把一张纸条绕棍子一圈,然后把需要加密的信息写在上面,接着打开纸后送给收信人。如果不知道棍子的直径是很难解密里面的内容的。在这个例子中,Scytale可以理解成是一种加密算法,如果暴露了这根棍子,也就没有秘密可言了。（2）密钥的概念为了数据安全，仅仅通过人为的事先约定来保守算法的秘密，这种算法称为受限算法。受限算法不利于进行标准化控制，而通过“密钥”可以解决这个问题。

密钥（key）是指在密码算法中引进的控制参数，对一个算法采用不同的参数值，其解密结果就不同。加密算法中的控制参数称加密密钥，解密算法中的控制参数称解密密钥。图3.2.2加密过程图3.2.3解密过程

密码系统包括明文、密文、密钥和密码算法四个方面。原有的信息称为明文（Plaintext,简称P）;明文经过加密变换后的形式称为密文(Ciphertext,简称C);由明文变为密文的过程称为加密(Enciphering,简称E),通常由加密算法来实现,如图所示;由密文还原成明文的过程称为解密(Deciphering,简称D),通常由解密算法来实现如图所示。常见的加密函数形式:C=Ek1(P);常见的解密函数形式:P=Dk2(C)。（3）简单加密算法A、替代加密算法替代加密的是将明文中的每个位置的字符用其他字符替代。如凯撒密码。图3.2.4密钥为3的凯撒密码加密过程可表示为Ci=Ek1(Pi)=(Pi+3)mod26,这里的密钥为3。明文“helloworld”由此可得到的密文是“khoozruog”。解密时只要将密文中的每个字母左移3个字母即可得到明文,解密过程可表示为Pi=Dk2(Ci)=(Ci-3)mod26。凯撒密码算法的程序实现程序分四个模块:字符转换、加密、解密、主函数调用,可以通过四个自定义函数change()、encrypt()、decrypt()、main()来实现。1.自定义字符转换函数change(),该函数实现把输入的字符串code,转换为a~z之间的小写字母字符串。2.自定义加密函数encrypt(),根据输入的明文字符串code和密钥key进行加密,生成密文code_new。3.自定义解密函数decrypt(),根据输入的密文字符code和密钥key进行解密,生成明文code_new。4.自定义主函数main()。运行main(),通过1、2来进行加、解密选择。5.调用函数main()。B、换位密码法②换位密码。换位密码的基本思想是将明文中的字母位置通过一定的规则重新排列。最简单的换位就是逆序法,即将明文中的字母倒过来输出。例如明文:Howareyou?

密文：?uoverawohC、简单异或法③简单异或。异或运算,是一种逻辑运算,其数学符号为“⊕”。运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同,那么异或结果为1。如果两个值相同,那么异或结果为0。异或运算具有如下特点:0⊕0=0,0⊕1=1,1⊕0=1,1⊕1=0对于任意一个字符,都可以用二进制编码形式来表示,字符的异或运算就是对每位进行运算。例如,字符串“Hello"(8位ASCII表示可以按如下的方式用密钥10110001进行加密:明文)密钥)密文)简单异或加密,就是将明文与密钥进行异或运算,解密则是对密文用同一密钥进行异或运算。即P⊕K=CC⊕K=P2、对称与非对称密码体制图3.2.7对称密码体制模型若一种加密方法Ke=Kd,则称为对称密码体制或单钥密码体制。在对称密码体制中,著名的加密算法是IBM公司研制成功的DES(DataEncryptionStandard,数据加密标准)分组算法。对称密码体制模型如图所示若一种加密方法Ke≠Kd,则称为非对称密码体制或双钥密码体制。在这种方法中加密使用的密钥和解密使用的密钥不相同。在非对称密码体制中,著名的加密算法是RSA算法。实践与体验3.2.2身份认证与安全高考志愿遭篡改事件时有发生。某校高三考生田某、许某被同班同学陈某篡改了高考志愿,某地考生常某的高考志愿也被其同学郭某篡改……涉事者既有考生的同学,也有教师,对受害考生造成极大困扰。纵观近年来发生的高考志愿被篡改事件,账号和密码泄露往往是直接原因。这与被篡改者自身疏忽大意有很大的关系,也与信息系统对虚拟身份的识别技术相关。高考填报志愿是关系到考生前途命运的事情。每个考生都应该提高安全意识,不要向别人包括同窗好友透露自己的账号、密码,填报的时候也应该独立操作。如果每个人都树立起安全意识,维护自身权益,篡改志愿这样的事件很大程度上就能避免。根据以上材料试着讨论:(1)在未得到他人允许的情况下,能否使用通过非正常渠道获取的口令登录他人的系统?(2)在用户使用系统的过程中,口令起到了认证和保护的作用,人们应如何保护自己的口令安全?(3)由于口令安全等级不高,人们还可以采用哪些方法进行身份鉴别?(4)信息系统如何做到既识别虚拟身份又识别真实身份?1、身份认证（1）用户名+口令的认证技术主要包括静态口令和动态口令。静态口令方式的用户名和口令是一次性产生，在使用过程中固定不变的。动态口令是目前应用广泛的一种身份识别技术，主要有动态短信口令和动态口令处于两种。（2）依靠生物特征识别认证技术由于不同的人具有相同生物特征的可能性是极低的,生物特征识别认证技术主要是根据这一点进行身份识别。该认证技术须事先对用户身上某些生物特征进行采集,将采集到的数据保存到数据库中,在进行身份识别时,将识别得到的特征数据与数据库中已有的特征数据进行比较,从而完成身份识别,达到事先指定的相似度才允许通过。目前比较成熟的认证技术有指纹识别技术、语音识别技术、虹膜认证技术、人脸识别技术等。生物特征识别的认证方式具有防伪性能好、随时随地可用等优点。伴随着自动识别技术和生产技术的发展,生物识别设备成本降低,其准确性和稳定性不断提高,已被人们所接受。（3）usbkey认证技术该认证方式采用软硬件相结合、一次一密的认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种采用USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。常见的基于USBKey的应用包括网上银行的“U盾”、支付宝的“支付盾”等。近年来,指纹识别技术在各行各业得到广泛应用,例如,带有指纹识别功能的手机、指纹门禁系统、指纹签到系统等。请上网查找资料,完成一篇关于指纹识别系统工作原理的报告,并进行展示交流。问题与讨论2、访问控制（1）访问控制的概述访问控制(AccessControl)一般是指系统对用户身份及其所属的预先定义的策略组用以限制其使用数据资源的手段。系统管理员通常利用该手段控制用户对服务器、目录、文件等网络资源的访问。访问控制三个要素:主体(Subject)是指提出访问资源的具体请求或发起者,通常指用户或依照用户执行的指令;客体(Object)是指被访问的资源,即需要保护的资源;控制策略(Attribution),也称为授权,是指允许对资源执行的具体操作,主要是读、写、删除、拒绝访问等。（2）访问控制的功能及原理图3.2.8访问控制原理模型访问控制：保证合法用户访问，防止非法用户访问。（3）用户账户管理3.2.3病毒及其防治2014年8月2日,一款名为“××神器”的恶意手机病毒在全国范围内爆发式传播。该软件能恶意窃取手机用户短信、邮件、手机银行密码等信息。,一天之内,“××神器”群发500万条诈骗短信,按每条短信元计算,相当于造成所有中招手机用户共计50万元的话费损失。而这一病毒的制造者李某才19岁,是某大学软件系的大一学生。

8月2日下午,警方在嫌疑人李某家里将其抓获。9个小时,“××神器”木马案告破。在李某的电脑内,警方缴获了此款木马的源代码和开发教程,并在李某手机里发现了银行资金变动、开户资料支付宝等第三方支付工具的动态口令以及个人隐私等大量公民个人信息。此次遇到“××神器”木马的制造者仅是个“菜鸟”纯属幸运,也仅仅是消耗点话费和流量,而目前比较流行的是手机支付病毒木马,其背后已形成黑色产业链。诈骗分子通过获取的手机号码、身份证号码、银行账号,可以利用支付宝等以手机号码注册的网络支付工具发起快捷支付申请,当手机支付短信验证码发送至受害人手机上的时候,手机短信拦截木马则会拦截这些短信,并将支付验证码发送至犯罪分子手机中,通过验证码完成盗刷银行卡。同时,还将屏蔽银行发来的支付成功短信提示。摘自2014年8月6日《北京青年报》根据以上材料试着讨论(1)手机病毒与计算机病毒相比,有哪些新的特点(2)对于不断出现的新病毒、新攻击,我们应当如何建立更安全的防护体系?1、病毒概述（1）计算机病毒计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使用,并能自我复制的一组计算机指令或者程序代码。它具有传染性、寄生性、隐蔽性、潜伏性、破坏性、可触发性等特征。美国计算机病毒硏究专家弗雷德·科恩(fredCohen)最早提出“计算机病毒”一词。1983年,世界上出现了第一例被证实的计算机病毒。（2）手机病毒手机病毒具有计算机病毒的特征,是一种手机程序。通过发送短信、微信、彩信及无线上网等方式进行传播,用户手机中毒后会导致个人资料被删、隐私泄露、自动拨打电话和发信息等,以致被恶意扣费,甚至会损毁SIM卡、芯片等硬件,导致使用者无法正常使用手机。2004年6月,出现真正意义上的手机病毒—Cabir蠕虫病毒。（3）病毒的危害计算机系统中毒后,可能会引发一些异常情况,常见的有系统运行速度减慢、系统经常无故发生死机、文件长度发生变化、计算机存储的容量异常减少、系统引导速度减慢文件丢失或损坏、计算机屏幕上出现异常显示、计算机系统的蜂鸣器出现异常声响、磁盘卷标发生变化和系统不识别硬盘等。手机感染病毒后,通常会出现背景光不停闪烁、持续发出警告声、屏幕上显示乱码信息、按键操作失效、用户信息无缘无故被修改、自动向他人手机发送大量短信、死机或自动关机、资料丢失和通信网络瘫痪等现象。2、病毒防治①安装并开启防火墙,防止黑客和病毒利用系统服务和漏洞入侵系统。②安装应用系统补丁,防止病毒利用系统或程序的漏洞进行传染。③安装防病毒软件,定时更新病毒资料库和扫描系统,一旦发现被病毒感染,用户应及时采取措施,保护好数据,利用杀毒软件对系统进行处理,以免病毒扩散造成更大损失。④经常对系统和重要的数据进行备份,还可把重要的数据加密后存放到云盘上。3.2.4漏洞及其防护小故事《别忘了关门》,说动物园的管理员突然发现袋鼠从围栏里跳了出来,经过分析,大家一致认为:袋鼠之所以能跳出来完全是因为围栏太低。所以决定将围栏加高。没想到,第二天袋鼠还能跳出来,于是,围栏被继续加高。但是,令这些管理员们惊恐万分的是,无论围栏加高多少,袋鼠们都会在第二天跳出来。领导们一不做二不休,安装了最先进的监控设备,轮流值班,24小时守着这些白天看起来特别听话的袋鼠。终于,他们发现了问题所在真正的“罪魁祸首”是管理员忘记锁上的门,袋鼠们晚上居然是通过大门“堂堂正正”跳出来的,真是让人哭笑不得。类比信息系统,系统的安全除了故事中的围栏之外,还有那道千万别忘记关的门,以及那颗永远别忘记关门的心—安全意识—根据以上材料试着讨论。(1)“忘记关门”对系统会造成怎样的危害?(2)为了安全,动物园的管理员是否应该把“门”堵死?(3)开门与堵门之间,需要怎样的安全技术支撑?1、漏洞及其修复（1）漏洞的概述漏洞可能来自应用软件或操作系统,由于设计时的缺陷或编码时的错误而产生的,也可能来自逻辑流程上的不合理或程序员为了某种方便而留下的隐患。这些缺陷、错误或不合理之处可能被有意或无意利用,从而对系统造成威胁,如信息系统被攻击或控制、重要资料被窃取、用户数据被篡改等,就好比上述故事中袋鼠可以随时通过那扇忘记锁的门跳出围栏一样。事实证明,应用软件中的漏洞远远多于操作系统中的漏洞,特别是web应用系统中的漏洞,占据信息系统漏洞的绝大部分。（2）后门后门(TrapDoor),漏洞中的一种,是有些程序编写人员为了方便进行某些调试和测试而预留的一些特权,通过这些预设的特权,他们可以不经过安全检查而获得访问权;有些则是入侵者在完成入侵后,为了能够继续保持对系统的访问特权而预留的权限。（3）漏洞的防护根据黑客利用漏洞攻击的行为,还可以采用下列措施从技术上加以防护:①使用防火墙(Firewal)来防止外部网络对内部网络的未经授权访问,建立网络信息系统的对外安全屏障,以便对外部网络与内部网络之间交流的数据进行检测,符合的予以放行,不符合的则拒之门外,对黑客利用漏洞入侵可以起到很好的防护作用。②经常使用安全监测与扫描工具来发现安全漏洞及薄弱环节,加强内部网络与系统的安全防护性能和抗破坏能力。当网络或系统被黑客攻击时,可用此类工具及时发现黑客人侵的迹象,并及时进行处理。③使用有效的控制手段抓住入侵者。经常使用网络监控工具对网络和