ICT 0417 学习笔记:数据安全 (第 8.3 节)

各位未来的 ICT 专家好!欢迎来到教学大纲中最关键的章节之一:数据安全。把你的数据——照片、论文和银行账户信息——想象成珍贵的宝藏。本章将教你如何筑起最大、最坚固的“数字保险箱”,来抵御数字窃贼。让我们一起来了解这些威胁以及相应的解决方案吧!

快速回顾:为什么数据安全如此重要?

数据安全的核心在于保持信息的机密性(只有获得授权的人才能查看)并确保其完整性(信息未被篡改)。如果没有强大的安全保障,企业会蒙受经济损失,个人则面临身份被盗的风险。

第一部分:数据威胁 (数字危险)

防御的第一步是了解你的敌人。以下是可能损害你数据的主要威胁:

1. 黑客攻击 (未授权访问)

定义: 黑客攻击 (Hacking) 指的是个人在未经授权的情况下访问计算机系统或网络,通常带有恶意目的(如窃取、破坏或滥用数据)。

类比:黑客就像闯入你家(网络)并偷走财物(数据)的窃贼。

抵御黑客攻击的措施:
  • 使用强密码并定期更换。
  • 安装防火墙 (详见第二部分)。
  • 使用加密技术,使窃取的数据无法被读取 (详见第二部分)。
  • 安装反恶意软件
2. 恶意软件 (病毒与木马)

定义: 恶意软件 (Malware) 是旨在干扰系统运行、窃取信息或获取未授权访问的程序的统称。病毒 (Virus) 是一种能够自我复制并依附于其他文件的恶意软件。

针对下载文件中的病毒的防范行动:

从互联网下载任何内容或使用便携式媒体(如 U 盘)传输文件时,必须格外小心。

  1. 下载时扫描: 始终运行最新的反恶意软件/杀毒软件。该软件会在文件下载时实时扫描,并拦截已知的威胁。
  2. 扫描存储媒体: 如果你插入了一个 U 盘,请确保你的杀毒软件在打开其中的任何文件之前先扫描该存储媒体
  3. 移除/隔离: 如果检测到恶意软件,软件会选择隔离 (Quarantine)(将可疑文件隔离开)或将其完全移除 (Remove)(删除)。
3. 社会工程学威胁 (钓鱼家族)

这些威胁并非直接破解系统,而是诱骗用户主动交出个人信息。

  1. 钓鱼攻击 (Phishing): 通过欺诈性通信(通常是电子邮件)冒充受信任的实体(如银行或社交媒体网站),以窃取敏感数据(用户名、密码、信用卡详细信息)。 类比:渔夫(罪犯)撒下一张大网(群发邮件),希望钓到受害者。
  2. 域名欺诈 (Pharming): 即使用户输入了正确的网址,也会被重定向到诈骗网站。这是通过篡改 DNS 记录实现的。
  3. 短信钓鱼 (Smishing): 通过短信 (SMS) 进行的钓鱼攻击。
  4. 语音钓鱼 (Vishing): 通过语音通话进行的钓鱼攻击,通常使用自动化系统诱导你输入银行卡信息。
如何预防社会工程学攻击:
  • 切勿点击未知发件人提供的链接或打开附件。
  • 如果电子邮件看起来可疑,请仔细核对发件人地址。
  • 如果系统要求输入登录信息,请直接访问该公司的官方网站(不要使用邮件中的链接)。
  • 使用最新的反间谍软件
⚠ 常见错误警示!

同学们经常混淆钓鱼攻击 (Phishing)域名欺诈 (Pharming)
钓鱼攻击: 你点击了邮件或短信中的恶意链接。
域名欺诈: 你输入了正确的地址,却被自动重定向到了假冒网站(技术手段更复杂)。

4. 银行卡欺诈

涉及非法使用支付卡(信用卡/借记卡)。

  • 肩窥 (Shoulder Surfing): 在 ATM 机或收银台通过物理观察偷看他人的 PIN 码或密码。预防:注意隐私,遮挡键盘。
  • 克隆卡 (Skimming): 通过安装在 ATM 机或 POS 终端上的隐藏设备,复制银行卡的磁条数据。预防:检查 ATM 机是否有异常附加装置,尽量使用芯片密码支付。
  • 键盘记录 (Key Logging): 使用软件或硬件记录计算机上的每一次按键,从而获取密码、卡号等敏感信息。预防:输入敏感信息时使用虚拟键盘,保持反恶意软件更新。

第一部分要点总结: 威胁包括黑客攻击(系统入侵)、恶意软件(有害程序)、社会工程学(诱骗用户)和银行卡欺诈(窃取物理卡片信息)。防御既需要技术手段,也需要用户提高警惕。

第二部分:数据保护 (构建数字保险箱)

我们通常会混合使用多种方法,以确保只有获得授权的用户才能访问数据,并确保数据即使落入他人之手也依然安全。

1. 身份验证方法
用户 ID 和密码

目的与功能: 这是最基础的安全手段。用户 ID 用于识别用户,密码用于验证用户身份。通过限制只有掌握秘密凭据的人才能访问系统,从而提高安全性。

为了提高安全性,密码必须是强密码(长度长,包含大小写字母、数字和符号),并且应该定期更换。

生物识别

特征与应用: 生物识别 (Biometrics) 利用人的独特生理特征(生物特征数据)来核实身份。

例子包括: 指纹识别、虹膜/视网膜扫描、面部识别和语音识别。
它们常用于高安全性的访问控制或解锁移动设备,因为它们比密码更难伪造。

双重身份验证 (2FA)

目的与功能: 双重身份验证 (2FA) 要求用户在访问前提供两种不同类型的验证

例子: 登录银行账户时,你可能需要提供:
1. 你知道的内容(密码)
2. 你拥有的设备(发送到你手机上的一次性临时验证码)。
功能: 这大大提高了安全性,因为即使黑客窃取了你的密码(第一重因素),如果没有你的手机(第二重因素),他们也无法进入账户。

2. 数据安全措施
加密 (Encryption)

目的: 加密是指使用复杂的密钥将数据转换成无法识别的格式(称为密文)的过程。只有拥有正确密钥的人才能将其解密并阅读原始数据(即明文)。

加密对于保护各类场景下的数据至关重要:

  • 硬盘: 防止设备丢失或被盗时其中的文件被读取。
  • 电子邮件: 确保邮件内容在传输过程中不被拦截者读取。
  • 云存储: 保护存储在远程服务器上的数据。
  • HTTPS 网站: 确保互联网上的安全传输(详见下文 SSL)。
防火墙 (Firewall)

目的与功能: 防火墙在私有网络(如你的家用电脑或学校网络)与外部网络(如互联网)之间充当屏障(数字围墙)。

功能: 它根据预设的一系列规则检查所有传入和传出的网络流量。它会拦截未经授权的访问,并阻止有害数据包进入或离开系统。

安全套接层 (SSL) 与数字证书

当你安全浏览网页时,会看到“HTTPS”和一个小锁图标,这表明已采取了安全措施。

  1. 安全套接层 (SSL): 该协议在服务器(网站主机)和客户端(你的网页浏览器)之间提供一条加密链路,确保双方传输的所有数据保持私密且完整。
  2. 数字证书: 在 SSL 建立加密链路之前,服务器会出示一份数字证书

数字证书的目的与内容: 证书就像一张数字护照,用于确认该网站是合法真实的。

数字证书包含的内容包括:

  • 证书持有者的公钥。
  • 证书持有者的姓名和组织。
  • 证书的序列号和有效期。
  • 颁发机构(证书颁发机构,CA)的数字签名。

你知道吗? SSL 目前已大部分被其继任者 TLS (传输层安全协议) 取代,但人们仍习惯用 SSL 来描述整体安全过程。

✓ 快速回顾:数据保护(关键词)
  • 密码/用户 ID: 基本身份验证(确认你是谁)。
  • 2FA: 分层安全保障(你知道的 + 你拥有的)。
  • 生物识别: 生理特征核实(指纹)。
  • 防火墙: 控制进出网络流量(把门人)。
  • 加密: 将数据搅乱成密文(秘密编码)。
  • SSL/数字证书: 为网页浏览建立加密、受验证的链路(HTTPS)。

恭喜你!现在你已经了解了数据面临的主要威胁以及保护信息的强大策略。请确保在你的数字生活中也应用这些安全措施!