资源简介

(共47张PPT)
信息系统的安全风险防范
5.1 信息系统应用中的安全风险
5.2 信息系统安全风险防范的技术和方法
5.3 合理使用信息系统
第五章
有哪些因素
信息系统中的安全风险防范
回顾旧知
信息系统的组成有哪些？
学习新知
造成信息系统安全风险的因素：
人为
因素
软硬件因素
网络
因素
数据
因素
探究活动1
思考：
哪些因素造成了信息系统安全问题？
人为因素：用户没有及时修补系统漏洞
软硬件因素：存在系统漏洞
【主要因素】
信息系统安全风险——人为因素
“人” 是信息系统的使用者与管理者，是信息系统安全的薄弱环节。
一般体现在三个方面：
采用什么策略消除或减弱人为因素造成的威胁？
防范意识薄弱
误
操作
故意
破坏
政府层面加强立法工作
提高关键安全技术水平
使用者全面提高道德意识与技术防范水平
探究活动2-1
思考：
哪些因素造成了信息系统安全问题？
硬件因素：改装后的共享充电宝变成恶意充电宝
人为因素：黑客利用技术手段篡改硬件
【主要因素】
探究活动2-2
阅读案例后思考：
哪些因素造成了信息系统安全问题？
软件因素：利用了系统漏洞进行成绩修改
人为因素：学生利用技术手段篡改成绩
【主要因素】
案例：
2017年12月，广东省东莞理工学院发通报称，一大四学生因5门考试挂科而入侵学校数据库，并修改成绩至合格线以上。经研究决定，给予该生留校察看处分，处分期限12个月。该生利用学校教务系统的漏洞，通过所掌握的网络技能入侵数据库，对自己不及格的科目成绩进行修改，使其全部成绩都在合格线以上。
信息系统安全风险——软硬件因素
物理安全的破坏可直接导致信息的丢失。
保护信息系统中的硬件免受危害或窃取，方法是：
软件是信息系统中最难实施安全保护的部分。
体现在开发中产生的错误：
严格限制对硬件的访问权限
保护好信息系统的物理位置及本身的安全
漏洞
故障
缺陷
完善软件的设计
方法是：
探究活动3
思考：
哪些因素造成了信息系统安全问题？
网络因素：利用WiFi植入电脑病毒窃取信息
人为因素：黑客利用技术手段
【主要因素】
信息系统安全风险——网络因素
网络危害信息系统安全体现在：
网络发生危害信息安全的诱因包括以下几个方面：
重要信息被黑客窃取、篡改
攻击行为导致网络崩溃
1.网络系统管理的复杂性
2.网络信息的重要性
3.网络系统本身的脆弱性
4.低风险的诱惑
探究活动4
思考：
哪些因素造成了信息系统安全问题？
数据因素：数据泄露带来安全风险
信息系统安全风险——数据因素
数据因素造成的风险一般来自：
保障数据安全的方法：
数据的泄露
数据的损坏
分开不同地方存放数据
给数据加密
小结
重要术语和常用技术
信息系统安全风险防范的技术和方法
学习新知
信息系统安全风险的重要术语：
威胁
攻击
入侵
漏洞
脆弱性
风险
说明：
入侵者通过防火墙上的某个端口访问网络
信息系统安全风险的重要术语
1.威胁
威胁是指经常存在的、对信息或信息资产具有潜在危险的人、实体或其他对象，也称为威胁主体，即针对信息或系统的潜在危险。
说明：
被动攻击:某人偶然读取了敏感信息，但没有使用的意图。
主动攻击：黑客试图入侵信息系统。
2.攻击
攻击是不断地对资产进行蓄意或无意破坏，或损害信息、或损坏信息系统的一种行为。
类型：主动攻击与被动攻击、蓄意攻击与无意攻击、直接攻击或间接攻击等。
信息系统安全风险的重要术语
说明：
入侵是主动、有意图地对合法系统进行攻击，获取未授权软硬件资源及数据的访问与控制。
3.入侵
人侵是敌手通过攻克系统的访问控制保护，得到对第三方数据的非授权访问。
信息系统安全风险的重要术语
说明：
漏洞：如软件包缺陷、未受保护的系统端口、暴露、风险、伪造等。
4.漏洞
漏洞是一个天然的缺陷，犹如没有上锁的门，它是信息系统自身存在的弱点或错误，使信息暴露在被攻击或被破坏的情况下。
信息系统安全风险的重要术语
说明：
如：未安装补丁的应用程序或操作系统软件；
服务器和工作站上未实施密码管理等。
5.脆弱性
脆弱性是一种软件、硬件、过程或人为缺陷，它的存在说明了缺少应该使用的安全措施或者安全措施有缺陷。
信息系统安全风险的重要术语
说明：
网络没有安装入侵检测系统，在不引人注意的情况下被攻击且很晚才被发现的可能性就会较大。
6.风险
风险是威胁主体利用脆弱性的可能性以及相应的业务影响。
信息系统安全风险的重要术语
信息系统安全性、便利性与成本的关系
信息系统不存在绝对的安全，因为安全性和便利性及成本之间有着矛盾的关系。
安全性 便利性 成本
信息系统安全模型及安全策略
信息系统安全模型的种类很多，其中一种叫：P2DR模型，该模型包括策略、防护、检测和响应四个部分。
策略：描述了系统中哪些资源要得到保护；如何实现对资源的保护。
防护：预防安全事件的发生；发现可能存在的系统脆弱性；正确使用系统,防止意外威胁；防止恶意威胁。
检测：发现新的威胁和弱点，并通过循环反馈来及时作出有效的响应。
响应：在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态。
信息系统安全策略分析
信息系统风险防范的常用技术
1.加密技术
2.认证技术
3.主机系统安全技术
4.网络与系统安全应急响应技术
5.恶意代码检测与防范技术
6.人工智能技术在反病毒中的应用
√
√
信息系统风险防范的常用技术
1.加密技术
目的：防止信息被窃取。
基本原理：在发送端将数据变换成某种难以理解的形式， 把信息隐藏起来，在接收端通过反变换恢复数据的原样。
发送端
接收端
解密
加密
乱码传送
信息系统风险防范的常用技术
1.加密技术
体验：凯撒密码
在密码学中，恺撒密码（英语：Caesar cipher），是一种最简单且最广为人知的加密技术。它是一种替换加密的技术，明文中的所有字母都在字母表上向后（或向前）按照一个固定数目进行偏移后被替换成密文。
①对hello进行加密（偏移5位）
②对fklqd进行解密（偏移3位）
mjqqt
china
信息系统风险防范的常用技术
2.认证技术
认证有两个目的：
一是验证信息发送者的身份，以防止有可能冒充发送者身份信息的情况出现；
二是验证信息的完整性。
在用户身份认证中，口令字(即密码)是当前最简易的方法。
信息系统风险防范的常用技术
4.网络与系统安全应急响应技术
（1）防火墙技术
防火墙是位于不可信的外部网络和被保护的内部网络之间的一个网络安全设备或由多个硬件设备和相应软件组成的系统。
意识和规范
合理使用信息系统
合理使用信息系统
1.树立信息安全意识
2.信息系统安全操作规范
3.信息社会的道德准则与法律法规
约束自己
防范他人
！！！
学习新知 — — 树立信息安全意识
维护信息安全
信息
学习新知 — — 树立信息安全意识
1.信息安全管理
造成安全风险事件的原因 所占比例/%
人为因素 52
自然灾害 25
技术错误 10
内部人员作案 10
外部人员非法攻击 3
人为因素占据的比例超过一半，成为信息系统安全风险的瓶颈问题。
这些安全问题中95%是可以通过科学的信息安全管理来避免的。
学习新知 — — 树立信息安全意识
2.知识产权保护及其意义
网络与计算机环境中的知识产权往往与网络及计算机安全直接相关。
软件
数据库
数字内容
算法
学习新知 — — 信息系统安全操作规范
1.信息系统规范操作的必要性
人为因素是信息系统安全问题产生的主要原因；
规范操作是消除过程因素造成潜在安全威胁的必要策略。
2.信息系统规范操作及其意义
加强信息系统的运行管理
提高工作质量和管理有效性
实现计算机系统维护、操作规范化
确保计算机系统安全、可靠运作
学习新知 — — 信息社会的道德准则与法律法规
1.网上道德规范
《全国青少年网络文明公约》
学习新知 — — 信息社会的道德准则与法律法规
2.信息安全法律法规
2016年11月7日，全国人大常委会表决通过了《中华人民共和国网络安全法》（以下简称《网络安全法》），决定于2017年6月1日起正式施行。
学习新知 — — 信息社会的道德准则与法律法规
2.信息安全法律法规
课堂练习
(1)某公司的内部文件，活动内容以及设计方案遭到泄露，其大多数原因都不是遭到黑客攻击，而是IT部门没有及时注销离职员工的邮箱及相关业务系统的账号和权限。这样的信息安全问题主要由（ ）引起的。
A.网络因素 B.人为因素
C.软硬件因素 D.数据因素
B
B.人为因素
课堂练习
(1)周末，李明一家四口来到餐厅就餐。入座后，通过扫描桌上二维码进入点餐界面，初次打开电子菜单界面时，部分图片无法显示，造成这种现象的原因可能是（ ）。
A.网络因素 B.人为因素
C.软硬件因素 D.数据因素
A
A.网络因素
课堂练习
(2)马老师组织几百名学生在计算机教室同时填写调查问卷，结果出现卡顿、乱码、闪退等情况，甚至不能出现问卷页面。究其主要原因是学生集中报名，进而造成网络拥堵。像这种情况，是由于（ ）而造成信息系统不可靠、不安全。
A.人为因素 B.软硬件因素
C.网络因素 D.数据因素
B
B.软硬件因素
课堂练习
(3)去到银行取款，计算机要求你输入密码，这属于网络安全技术中的（ ）。
A.身份认证技术 B.加密传输技术
C.防火墙技术 D.防病毒技术
A
A.身份认证技术
课堂练习
(4)某音乐平台App在申请可收集个人信息的权限时，正确做法是（ ）。
A.直接使用就好
B.默认用户同意
C.应同步告知收集使用的目的
D.在隐秘或不易发现位置提示用户
C
C.应同步告知收集使用的目的
课堂练习
(4) （多选）人工智能技术应用给我们的生活带来极大便利，以下做法错误的是（ ）。
A．某App未经授权利用人工智能技术采集用户个人信息
B．运用指纹识别技术判别用户身份、监测交易账户
C．利用某App的“AI换脸”功能将自己变成“明星脸”，恶搞明星获取关注
D．运用自然语言处理技术识别电信网络诈骗
A、C
课堂练习
(5)（多选）网购给我们带来诸多便利的同时，也让我们面临保护信息安全的困扰。下列说法正确的是（ ）。
A. 网购时使用正规电商平台
B. 注册账号时只填必填项，设置复杂密码
C. 启用自动登录，避免输入密码时被他人看到
D. 公共WiFi隐患多，接入网购需谨慎
A、B、D
课堂练习
(6)(多选)某网约车公司违法违规收集使用用户个人信息，接受国家网络安全审查办公室审查。以下关于信息安全的描述正确的有（ ）。
A.“人”是信息系统的使用者与管理者，是信息系统安全的薄弱环节
B.保护信息系统中的硬件免受危害或窃取，通常采用的方法是：把硬件作为物理资产处理，再严格限制对硬件的访问权限
C.信息资源在网络环境中共享、传播，一些重要的信息有可能被窃取、篡改
D.通过信息系统采集、存储、处理和传输的数据，可成为具有高价值的资产
A、B、
C、D

展开更多......

收起↑