内容正文:
信息系统安全
目录
信息安全与保护
01
02
信息系统安全与防护
3.1信息安全与保护
01
越来越多的信息泄露事件,凸现了大数据时代个人信息安全面临的新挑战。伴随电子
商务、社交网络、物联网、移动互联网的全面普及,个人信息安全风险也在不断升级。
信息泄露事件
01
第三方网站泄露
2011年程序员网站CSDN的600万
个人用户信息被泄露
02
政府网站泄露
2014年12306网站用户信息泄露等事件中我们不难发现
03
购物网站泄露
2016年京东登录信息泄露事件
个人信息的概述
个人一般信息是指除个人敏感信息以外的个人信息。
个人一般信息
个人敏感信息主要指一旦遭到泄
露或修改,会对信息主体造成不良影响的信息。
个人敏感信息
个人信息可以分为个人敏感信息和个人一般信息。
5
常见个人敏感一览表
个人敏感信息包括身份证号码、手机号码、政治观点、基因、指纹等。各行业对个人敏感信息的鉴定也有所不同,主要是依据接受服务的个人意愿和各自业务特点来确定。
名称 原因 造成危害
手机号 陌生人可以直接拨打电话 骚扰电话、电信诈骗
身份证号码 可以通过身份证号码查询到敏感信息 电信诈骗
基因 可以通过基因知道疾病等问题 定向推销
指纹 可以通过该信息直接破解指纹锁等信息 手机被破解
家庭住址 可以通过该信息直接找到对应的人 被人监视
....... .......
.......
人们为了获取某些网络应用服务,主动在其平台上注册账号,提供相应的资料,如姓名、身份证号码、邮箱地址、手机号码等一系列个人真实信息,平台数据库就记录了所有的个人信息;又如,参加某些商家或机构组织的问卷调查或抽奖活动,往往要求填写个人真实信息,这就相当于将个人信息主动提供给了这些商家或机构。另外,智能手机安装APP软件时,过度开放软件所需权限,无形中也增加了信息泄露的可能性。
(1)个人信息注册时无意泄露
个人信息泄露的渠道
(2)网上交流时被恶意窃取
网上交流越来越频繁,聊天、购物、购票、传输文件等操作都可以被记录下来,这些
记录下来的信息中不乏个人隐私,如购物平台的账号密码、银行卡号等。某些手机还会详尽记录用户的行踪数据,即便关闭其定位功能,个人的位置信息仍然可以被收集。
1.网上交流泄露
8
如果使用的计算机或手机遭受病毒、黑客等攻击或意外丢失,保存在计算机或手机中
的信息极易被泄露。特别是手机,如果随意丢弃或卖掉,即使删除或恢复到出厂前设置,其中的数据信息仍然有可能被不法分子恢复并窃取。
2.黑客、病毒获取
9
随着无线网络覆盖面越来越广,不法分子经常在公共场所建立所谓的免费Wi-Fi,诱
骗大家去使用。使用者的移动终端一旦使用此Wi-Fi上网,所有数据都有可能被不法分子窃取
3.钓鱼网站
10
个人信息的保护
国家立法
国家立法主要是由政府通过制定法律的方式,确立对个人信息隐私权的保护,并在此基础上建立相应的司法或者行政措施。
个人信息安全意识
对于个人而言,最为重要的保护措施是提升自身的信息安全意识,在日常生活和工作学习中多加注意,警惕可能发生的信息泄露情况,了解必要的保护措施,确保个人和他人的信息安全
行业自律
人们为了获取某种服务,往往需要在网络上提供个人信息
信息社会责任
网络运行安全
个人信息保护
协助和报告
个人信息保护责任由搜集限制原则、个人信息使用原则等九大原则组成
网络运行安全保护责任是网络服务提供者在网络安全法下的核心责任,由安全等级保护制度、实名制等六部分组成
协助和报告责任由网安事件报告、用户违法信息报告等六部分组成
12
03
02
01
合格的数字公民,是指“能够安全地、合法地、符合道德规范地使用数字化信息和工具的人
数字公民素养教育所包含的九要素:数字准入、数字商务、数字通信、数字素养、数字礼仪、数字法律、数字权责、数字健康、数字安全
信息社会中,信息法规主要由国家机关制定并通过法律法规形式强制性地予以规范,主要包括:知识产权法、信息安全法、信息公开法、新闻出版与传播法、电子商务法及有关计算机犯罪法律等
数字公民
数字公民概念
数字公民素养教育
信息法规与伦理
知识产权
知识产权通常是指法律规定的人们对于自己创造或拥有的智力成果所享有的各种权利
的总称,包括相应的人身权利和财产权利。知识产权从本质上说是一种无形财产权,是智力成果或者是知识产品,是一种无形财产或者是一种没有形体的精神财富,是创造性的智力劳动所创造的劳动成果。知识产权还可以包括书籍、歌曲、电影、绘画、发明、公式和计算机程序等。自1982年以来,我国颁布了《中华人民共和国专利法》《中华人民共和国商标法》《中华人民共和国著作权法》《计算机软件保护条例》等一系列法律法规,《中华人民共和国刑法》的“分则”部分第三章第七节以八条的篇幅确定了知识产权犯罪的有关内容,从而确定了中国知识产权的刑法保护制度。
就信息技术领域而言,知识产权的保护主要是指对知识产权权利人在微电子设备、计
算机设备、通信设备等硬件的设计制造以及软件的原创成果的保护。
开发者设计开发的计算机软件,在开发完成之日起就受到法律的保护。软件的使用
者应树立法制观念,遵守相关的法律规定,自觉使用正版软件,抵制盗版及未经授权的软件。未经软件版权人的允许,不得对其软件进行复制、修改、传播等操作,更不能进行商业性转让、销售等侵权活动
14
开源运动【自由软件(Free Software)运动】
20世纪80年代兴起的自由软件(Free Software)运动,虽然强调软件要自由使用、复制、研究、修改和分发,但也需要遵循“自由软件授权协议”。
自媒体时代
随着信息技术的发展和进步,以个人传播为主,基于现代化、电子化手段,向不特定
的人群或特定的个体传递信息的自媒体时代已经到来,人人皆可为“记者”,随时随地利
用手中的手机或其他移动设备,拍摄视频、照片或录制声音、编辑文本,第一时间发布信
息到网站、微博、贴吧、朋友圈。自媒体给信息的传播带来了巨大的方便。
发布新闻、传递信息在自媒体时代已不再是媒体记者的专利,信息流传的模式从“我
不在现场”变为“我在现场”。进行社会舆论监督、反映社情民意是自媒体带给人们最大
的好处。但是,普通民众在突发事件现场对事件进行“现场直播”时,如果没有经过专业
训练,虽对事件的解决能够起到一些推动作用,但也会出现一些伦理失范现象,比如“网
络谣言”“网络诽谤”等。
自媒体在享有通信自由权、信息传播自由权、信息选择权时,也理应承担道德上的责
任和义务。自媒体时代,我们在传播信息时要提升自律能力,加强自身新闻素养,遵循传
播伦理规范,避免不良信息的产生和传播。
3.2信息系统安全与防护
02
人们享受着信息系统带来的便利,同时也面临着相应的风险。信息系统随时可能因
为硬件损坏、软件故障、病毒感染、黑客入侵、信息泄露等受到侵害,造成重要数据的丢
失,从而影响人们的工作与生活。信息系统的安全问题是动态的、变化的,新的攻击技术
和手段不断出现,人们必须时刻注意安全防范。
3.2.1 数据加密与安全
在当今社会,大量信息以数据形式存放在信息系统里,并通过公共信道传输,数据面
临着被非授权读取、截获、篡改、伪造等一系列安全问题。确保数据的保密性、完整性、
不可否认性、存在性,这是密码学要实现的主要安全目标。为此,需要通过加密措施保护
信息的保密性,采用数字签名保护信息的不可否认性,同时为了避免数据灾难,确保数据
的完整性,还需要重视数据的容灾备份和恢复。
18
【1】密码与密钥
(1)口令与密码
人们在日常生活中登录各种信息系统时,都需要输入密码,如登录计算机系统,需要输入密码;在宾馆房间想要上网,需要输入无线网络密码;从银行ATM机取款时需要输入密码。密码无处不在,它是保证数据安全的一道重要屏障。从严格意义上讲,这里所谓的密码应该称作口令(Password),用于认证用户身份,并不是真正意义上的加密代码。密码通常是指按特定编码规则,对通信双方的数据信息进行从明文到密文变换的一种技术方法。总之,密码是一种“混淆”技术,就是把用公开的、标准的信息编码表示的信息,通过一种变换手段将其变为除通信双方外的其他人所不能读懂的信息编码,这种独特的信息编码算法就是密码。
(2)密钥的概念
密钥(Key)是指在密码算法中引进的控制参数,对一个算法采用不同的参数值,其解密结果就不同。加密算法中的控制参数称加密密钥,解密算法中的控制参数称解密密钥。密 码 系 统 包 括 明 文、 密 文、 密 钥 和 密 码 算 法 四 个 方 面。 原 有 的 信 息 称 为 明 文(Plaintext,简称P);明文经过加密变换后的形式称为密文(Ciphertext,简称C);由明文变为密文的过程称为加密(Enciphering,简称E),通常由加密算法来实现,如图1所示;由密文还原成明文的过程称为解密(Deciphering,简称D),通常由解密算法来实现,如图2所示。
(2)密钥的概念
密钥(Key)是指在密码算法中引进的控制参数,对一个算法采用不同的参数值,其解密结果就不同。加密算法中的控制参数称加密密钥,解密算法中的控制参数称解密密钥。密 码 系 统 包 括 明 文、 密 文、 密 钥 和 密 码 算 法 四 个 方 面。 原 有 的 信 息 称 为 明 文(Plaintext,简称P);明文经过加密变换后的形式称为密文(Ciphertext,简称C);由明文变为密文的过程称为加密(Enciphering,简称E),通常由加密算法来实现,如图1所示;由密文还原成明文的过程称为解密(Deciphering,简称D),通常由解密算法来实现,如图2所示。
21
(3)简单加密算法
替代加密法的基本思想是将明文中的每个位置的字符用其他字符替代。凯撒密码是应用替代方法加密的经典例子
替代密码
换位密码法的基本思想是将明文中的字符位置通过一定的规则重新排列。最简单的换位就是逆序法,即将明文中的字符倒过来输出
换位密码法
。异或运算,是一种逻辑运算,其数学符号为“⊕”。运算时要求把参与运算的数转换为二进制数再进行按位运算。如果两个值不相同,那么异或结果为1,如果两个值相同,那么异或结果为0
简单异或法
03
02
01
替代加密法
例如:密文字母表是用正常顺序的明文字母表右移3个字母替代得到的,如下图所示。加密过程可用代码表示为
chr((ord(x)-65+3)%26+65)
这里的密钥为3。明文“hello world”由此可得到的密文是“khoor zruog”。解密时只要将密文中的每个字母用左移3个字母替代即可得到明文,解密过程可用代码表示为
chr((ord(x)-65-3)%26+65)
换位密码法
明文:How are you?
密文:?uoy era woH
最简单的换位就是逆序法,即将明文中的字符倒过来输出。例如:
异或运算
异或运算:相同的0,不同的出1
对于任意一个字符,都可以用二进制编码形式来表示,字符的异或运算就是对每位进
行运算。例如,字符串“Hello”(8位ASCII表示:01001000 01100101 01101100 01101100
01101111 )可以按如下的方式用密钥10110001进行加密:
01001000 01100101 01101100 01101100 01101111 (P—明文)
⊕ 10110001 10110001 10110001 10110001 10110001 (K—密钥)
= 11111001 11010100 11011101 11011101 11011110 (C—密文)
2. 对称与非对称密码体制
密码体制,是指明文、密文、密钥以及实现加密和解密算法的一套软件和硬件机制。
根据加密密钥(通常记为Ke)和解密密钥(通常记为Kd)的关系,密码体制可以分为对称
密码体制和非对称密码体制。
若一种加密方法Ke=Kd,则称为对称密码体制或单钥密码体制。在对称密码体制中,
著名的加密算法是IBM公司研制成功的DES
分组算法。对称密码体制模型如左图所示。若一种加密方法Ke≠Kd,则称为非对称密码体制或双钥密码体制。在这种方法中,加密使用的密钥和解密使用的密钥不相同。在非对称密码体制中,著名的加密算法是RSA算法
3.2.2 身份认证与安全
3.2.1小节介绍了对数据源的加密保护。而人们利用信息系统对数据进行访问,也是引
起数据不安全的一个重要环节。为了系统的安全,需要对访问者进行管制和约束。身份认
证用于检验访问者身份的合法性,控制哪些用户能够登录系统并获取系统资源,有效的身
份识别是信息安全的保障。
27
身份认证
身份认证是用户在进入系统或访问受限数据资源时,系统对用户身份的鉴别过程。身份认证技术能够有效防止数据资源被非授权使用,保障数据资源的安全。然而,世上没有一种认证技术能确保百分之百的安全,安全只是相对的,一种新的安全技术产生一定会引发多种破解技术,好的认证技术只是增加了破解成本。身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证技术的不同可以大致分为以下三类:用户名+口令的认证技术、依靠生物特征识别的认证技术、USB Key认证技术
用户名+静态口令(密码)的认证技术
该认证技术最大的优点在于操作简单,不需要任何附加设施,且成本低、速度快。静态口令方式的用户名和口令是一次性产生,在使用过程中固定不变的。
用户名+动态口令(验证码)的认证技术
该认证技术最大的优点在于操作简单,不需要任何附加设施,且成本低、速度快。静态口令方式的用户名和口令是一次性产生,在使用过程中固定不变的。
依靠生物特征识别的认证技术
由于不同的人具有相同生物特征的可能性是极低的,生物特征识别认证技术主要是根据这一点进行身份识别。该认证技术须事先对用户身上某些生物特征进行采集,将采集到的数据保存到数据库中,在进行身份识别时,将识别得到的特征数据与数据库中已有的特征数据进行比较,从而完成身份识别,达到事先指定的相似度才允许通过。目前比较成熟的认证技术有指纹识别技术、语音识别技术、虹膜认证技术、人脸识别技术等。
生物特征识别的认证方式具有防伪性能好、随时随地可用等优点。伴随着自动识别技术和生产技术的发展,生物识别设备成本降低,其准确性和稳定性不断提高,已被人们所接受
USB Key认证技术
该认证方式采用软硬件相结合、一次一密的认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种采用USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。常见的基于USB Key的应用包括网上银行的“U盾”、支付宝的“支付盾”等。
32
访问控制
身份认证要解决的问题是用户是否有权限进入系统使用数据资源,而访问控制要解决的问题是用户对数据操作的权限。访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。非授权用户没有访问权限,授权用户有访问权限,但是授权用户中存在存取权限的差别,如读取、写入、执行、删除、追加等存取方式
访问控制三个要素:主体(Subject)是指提出访问资源的具体请求或发起者,通常指用户或依照用户执行的指令;客体(Object)是指被访问的资源,即需要保护的资源;控制策略(Attribution),也称为授权,是指允许对资源执行的具体操作,主要是读、写、删除、拒绝访问等。
访问控制的功能及原理
访问控制的基本功能:保证合法用户访问受保护的系统资源,防止非法用户访问受保
护的系统资源,或防止合法用户访问非授权的系统资源。其原理模型如下图所示。
用户账户管理
组策略
系统管理员应根据各部门不同用户业务的实际需求对访问系统的用户分别建立账户或组策略,分别施行授予或撤销管理措施和执行过程。以学校电子班牌应用系统为例,其用户账户组成主要有系统管理员、行政组、教务组、年级组、班主任组、普通教师组等,不同的账户访问全校师生数据库的权限是不同的
唯一性
系统管理员授予用户的身份应具有唯一性,不允许多人共享一个账户。
身份识别
对系统中任何用户的登录都应进行身份识别。身份识别的技术应根据用户所处的部
门和拥有的权限大小来确定。
口令强度
保证有足够的口令强度和防攻击能力,确保核心数据的访问安全。用户必须使用符合系统管理要求的口令,并妥善保护好自己的口令。系统管理员要经常对特殊权限账号的用户和部门进行核查,及时收回不再使用的账号。
35
3.2.3 病毒及其防治
病毒已成为攻击计算机系统、手机等移动终端系统的主要载体,随着技术的进步与发
展,其攻击威力越来越大、攻击范围越来越广,极大地威胁着信息系统的安全。
36
病毒概述
计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据,影响计算机系统的使
用,并能自我复制的一组计算机指令或者程序代码。它具有传染性、寄生性、隐蔽性、潜
伏性、破坏性、可触发性等特征
计算机病毒
手机病毒具有计算机病毒的特征,是一种手机程序。通过发送短信、微信、彩信及无线上网等方式进行传播,用户手机中毒后会导致个人资料被删、隐私泄露、自动拨打电话和发信息等,以致被恶意扣费,甚至会损毁 SIM卡、芯片等硬件,导致使用者无法正使用手机
手机病毒
计算机系统中毒后,可能会引发一些异常情况,常见的有系统运行速度减慢、系统经常无故发生死机、文件长度发生变化、计算机存储的容量异常减少、系统引导速度减慢、文件丢失或损坏、计算机屏幕上出现异常显示、计算机系统的蜂鸣器出现异常声响、磁盘卷标发生变化和系统不识别硬盘等
计算机病毒危害
手机感染病毒后,通常会出现背景光不停闪烁、持续发出警告声、屏幕上显示乱码信
息、按键操作失效、用户信息无缘无故被修改、自动向他人手机发送大量短信、死机或自
动关机、资料丢失和通信网络瘫痪等现象。
手机病毒危害
37
病毒防治
防止黑客和病毒利用系统服务和漏洞入侵系统。
安装并开启防火墙
防止病毒利用系统或程序的漏洞进行传染
安装应用系统补丁
安装病毒定时更新病毒资料库和扫描系统
安装防病毒软件
经常对系统和重要的数据进行备份,还可把重要的数据加密后存放到云盘上
备份
38
手机病毒防治
删除乱码信息
收到乱码信息后,及时删除,以免手机感染病毒。乱码信息带有病毒的可能性较大
不接受陌生请求
如果有陌生设备请求连接,不要轻易接受,因为手机病毒会自动搜索无线范围内的设备进行病毒的传播
确保下载内容安全
网上资源丰富,但很多病毒就隐藏在这些资源中,这就要求用户在使用手机下载资源时要确保下载站点的安全可靠。不要浏览危险网站,尤其是弹出式广告特别多的网站
不随便连WIFI
如今Wi-Fi已经成为人们手机上网的主要方式,尤其在公共场合。但在享受其便利的同时,也要更多地关注网上钓鱼、盗取账号、窃取隐私等
各种安全隐患。
3.2.4 漏洞及其防护
生活在数字化的网络空间里,信息系统与人们的日常生活和工作息息相关。然而,人
们对信息系统安全性的关注度还远远不够,对黑客利用系统漏洞进行网络攻击的危害缺乏
警惕性,也缺乏必要的防护知识
40
系统管理人员可以通过漏洞扫描技术对所管理的系统和网络进行安全审查,检测系统
中的安全脆弱环节,及时更新系统,堵住漏洞。如上面的动物园管理者,应经常巡视自己
所管辖的区域,及时关好大门,以免动物出去或其他非法人员闯入。
漏洞的防护
后门(Trap Door),漏洞中的一种,是有些程序编写人员为了方便进行某些调试和测试
而预留的一些特权,通过这些预设的特权,他们可以不经过安全检查而获得访问权;有些
则是入侵者在完成入侵后,为了能够继续保持对系统的访问特权而预留的权限。
后门
漏洞可能来自应用软件或操作系统,由于设计时的缺陷或编码时的错误而产生的,也可能来自逻辑流程上的不合理或程序员为了某种方便而留下的隐患。
漏洞的概述
漏洞及其修复
防止漏洞攻击
防止外部网络对内部网络的未经授权访问,建立网络信息系统的对外安全屏障,以便对外部网络与内部网络之间交流的数据进行检测,符合的予以放行,不符合的则拒之门外,对黑客利用漏洞入侵可以起到很好的防护作用。
使用防火墙(Firewall)
01
加强内部网络与系统的安全防护性能和抗破坏能力。当网络或系统被黑客攻击时,可用此类工具及时发现黑客入侵的迹象,并及时进行处理
经常使用安全监测与扫描工具来发现安全漏洞及薄弱环节
02
经常使用网络监控工具对网络和系统的运行情况进行实时监控,追查系统漏洞所在,及时发现黑客或入侵者的不良企图及越权使用,进行相关处理,防患于未然。
使用有效的控制手段抓住入侵者
03
便于在被攻击后能及时修复系统,将损失减少到最低程度。
备份系统
04
42
$$