3.2.2-身份认证、病毒与漏洞 课件- 2021-2022学年浙教版（2019）高中信息技术必修2

第三章 信息系统安全 必修2 信息系统与社会 3.2.2 身份认证、病毒与漏洞 3.2 信息系统安全与保护 1 案例回顾 高考志愿被篡改事件 2 案例教训 1、未经他人允许，通过非正常渠道获取口令登录他人系统，都是不允许的，甚至是违法的。 2、口令是登录系统的一种认证和保护方式，我们应提高自身的安全意识，保护好口令的安全。 例如，学校统一发布的初始密码，必须及时修改。 3 1.身份认证 为了系统的安全，需要对访问者进行管制和约束。 例如：身份认证，访问控制。 身份认证就是用于检验访问者身份的合法性，控制哪些用户能够登录系统并获取系统资源，有效的身份识别是信息安全的保障。 口令就是一种身份认证，但其安全等级不高，容易泄露。那么，我们还应采用哪些方法进行安全有效的身份鉴别呢？ 4 1）用户名+口令的认证技术 主要包括：静态口令和动态口令 动态口令：动态短信口令和动态口令牌 优点：操作简单，不需要任何附加设施，成本低，速度快。 5 2）依靠生物特征识别的认证技术 利用不同的人具有相同生物特征的可能性是极低的这一特点，进行生物特征识别认证技术来鉴别身份。 目前比较成熟的认证技术： 指纹识别、语音识别、虹膜认证、人脸识别 优点：防伪性能好，使用方便，随时随地可用。 6 拓展链接 指纹识别技术 7 3）USB Key认证技术 采用软硬件相结合，一次一密的认证模式，既安全，又容易使用。 例如：网上银行的“U盾”、支付宝的“支付盾”等 8 2.访问控制 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。即解决用户对数据操作的权限。 非授权用户没有访问权限，授权用户有访问权限，但授权用户中也存在存取权限的差别，例如，读取、写入、执行、删除、追加等存取方式。 9 1）访问控制概述 访问控制一般的指系统对用户身份及其所属的预先定义的策略组，用以限制其使用数据资源的手段。 系统管理员通常利用该手段控制用户对服务器、目录、文件等网络资源的访问。 访问控制三个要素： 主体：提出访问资源的具体请求或发起者，即用户； 客体：被访问的资源，即需要保护的资源； 控制策略：也称授权，指允许对资源执行的具体操作； 例如：读、写、删除、拒绝访问等。 10 2）访问控制的功能及原理 访问控制的基本功能：保证合法用户访问受保护的系统资源，防止非法用户访问受保护的系统资源，或防止合法用户访问