资源简介 (共52张PPT)5.1 信息系统应用中的安全风险5.2 信息系统安全风险防范的技术和方法5.3 合理使用信息系统第五章 信息系统的安全风险防范在全球信息化浪潮的推动下,计算机、网络、大数据等技术迅速发展,并渗透到政治、国防、经济及生活的各个领域,从根本上改变了社会形态及人们的生产生活方式。然而,信息系统安全问题既需要管理层重视相关法律法规的制定与完善,又需要各层面倡导与推广先进的管理手段与技术方法,更需要每一位应用者从国家、社会与合格公民的角度出发,增强信息系统安全风险防范意识,提高防范技术水平,以确保信息系统安全问题得到全面重视与高效落实,维护好国家利益及个人信息安全。本章将通过“信息系统的安全风险防范”项目,进行自主、协作、探究学习,让同学们认识信息系统应用过程中存在的风险,树立信息安全意识;熟悉信息系统安全风险防范的常用技术方法,养成规范的信息系统操作习惯;合理使用信息系统,负责任地发布、使用与传播信息,自觉遵守信息社会中的道德准则和法律法规,从而将知识建构、技能培养与思维发展融入运用数字化工具解决问题和完成任务的过程中,促进信息技术学科核心素养达成,完成项目学习目标。项目范例:校园网络信息系统的安全风险防范情境互联网时代,信息系统安全问题日趋严峻,上至国家安全,下到百姓生活安全,几乎无处不在,无处不有。我们所熟悉的校园网络信息系统也无法置身事外——校园网络信息系统通过网络将办公、教学、学习、宣传等所需涉及的硬件.(多媒体教室、学生机房等)、软件(教学软件、学校网站等)、数据(学生成绩、学校新闻等)及用户(教师、学生等)进行连接。然而,恶意软件、病毒在校园网中传播,黑客攻击等因素造成校园网网速变慢、信息丢失甚至网络瘫痪的严重后果,对校园网安全构成巨大威胁。造成这一系列问题的主要原因包括人的信息安全意识不强、信息安全法律法规不完善、信息安全管理和技术水平落后等。主题校园网络信息系统的安全风险防范规划根据项目范例的主题,在小组中组织讨论,利用思维导图工具,制订项目范例的学习规划,如图5-1所示。探究根据项目学习规划的安排,通过调查、案例分析、文献阅读和网上资料搜索,开展“校园网络信息系统的安全风险防范”项目学习探究活动,如表5-1所示。探究活动 学习内容 知识技能分析校园网络信息系统的风险及产生原因 造成信息系统应用安全风险的四个重要因系。 观察学校网络信息系统中的机器设备及其软件等的保护措施。 调查不同场所的网络信息系统应用风险及原因。 认识信息系统应用过程中的安全风险。认识信息系统安全风险防范的技术和方法 信息系统安全概念。 剖析P2RD模型在“校园网安全策略实例”中的应用原理与作用。 调查学校的校园网站在操作系统使用、用户权限设置等方面存在的风险及可采用的防范技术。 阅读学校机房设备及软件使用规范,并提建议。 熟悉信息系统安全防范的技术方法。养成规范的信息系统操作习惯。信息系统安全模型及安全策略。 信息系统安全风险防范的常用技术。 学会如何合理使用信息系统 树立信息安全意识。 查阅信息系统法律法规。 调查使用校园网络信息系统的相关场所所制订的相应管理制度。 讨论如何合理使用信息系统。 树立信息安全意识。合理使用信息系统。负责任地发布、使用与传播信息。自觉遵守信息社会中的道德准则和法律法规。信息系统安全操作规范。 认识信息社会的责任、道德与法律法规。 实施实施项目学习各项探究活动,进一步认识校园网络信息系统的安全风险防范。成果在小组开展项目范例学习过程中,利用思维导图工具梳理小组成员在“头脑风暴”活动中的观点,建立观点结构图,运用多媒体创作工具(如演示文稿、在线编辑工具等),综合加工和表达,形成项目范例可视化学习成果,并通讨冬种分言平台发布,共享创造、分享快乐。例如,运用在线编辑工具制作的“校园网络信息系统的安全风险防范”可视化报告,可以在教科书的配套学习资源包中查看,其目录截图如图5-2所示。评价根据教科书附录2的“项目活动评价表”,对项目范例的学习过程和学习成果在小组或班级上进行交流,开展项目学习活动评价。项目选题同学们以3~6人组成一个小组,选择下面一个参考主题,或者自拟一个感兴趣的主题,开展项目学习。1.图书馆信息系统的安全风险防范2.博物馆信息系统的安全风险防范3.移动学习系统的安全风险防范项规划各小组根据项目选题,参照项目范例的样式,利用思维导冈工目制订相应的项目方案。方案交流各小组将完成的方案在全班进行展示交流,师生共同探讨、完盖相应的项目方案。5.1信息系统应用中的安全风险2016年12月27日,我国发布《国家网络空间安全战略》,提出捍卫网络空间主权、维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖等九项任务,再次将信息系统应用中安全与风险问题提升到了国家安全的重要层面。信息系统安全风险问题存在于信息系统的各个环节,了解其中的成因直接关系到信息安全的解决策略的制订与方法实施。5.1.1人为因素造成的信息安全风险探究活动阅读阅读以下案例并思考:采用什么策略可以消除或减弱人为因素对信息系统安全造成的威胁 >案例2017年5月,比特币病毒在全球疯狂传播,中国多所高校校园网服务器被攻击,大量目录文件被非法加密。如果想打开加密文件,就必须向黑客支付比特币解锁,而且是花钱购买比特币解锁。校园网的数据主要是高校教研、教学以及科研成果,对于学校来讲尤其重要。受比特币病毒攻击所面临的结果将是各种论文和科研成果的丢失以及教学的停滞。“人”是信息系统的使用者与管理者,是信息系统安全的薄弱环节。信息系统可以拥有最好的技术如防火墙、入侵检测系统等,但如果操作人员没有防范意识,信息系统仍然可能崩溃。中国有句古语“解铃还需系铃人”。信息系统安全是个社会系统工程,除了从政府层面加强立法工作,还需要不断提高关键安全技术水平,更需要使用者全面提高道德意识与技术防范水平。5.1.2软硬件因素造成的信息安全风险观察学校电脑室通常会采用一些措施限制学生对机器设备某些功能的使用权,比如禁用USB口、将系统盘设置为自动还原等。观察所在学校电脑室对机器设备及其中安装的软件等的保护措施。阅读以下案例,与小组中的同于比子的安全漏洞。>案例2016年,某信息安全研究公司发现了一种被称为“Quadrooter”的漏洞,黑客利用这种漏洞诱导用户安装恶意应用,在并不需要请求任何特殊权限的情况下完全控制受影响的手机或平板电脑,包括访问用户软件数据和控制麦克风话筒等硬件。全球众多机型受到这种漏洞影响。保护信息系统中的硬件免受危害或窃取,通常采用的方法是:先把硬件作为物理资产处理,再严格限制对硬件的访问权限,以确保信息安全。保护好信息系统的物理位置及本身的安全是重中之重,因为物理安全的破坏可直接导致信息的丢失。软件是信息系统中最难实施安全保护的部分,主要反映在软件开发中产生的错误,如漏洞、故障、缺陷等问题。在生活中,智能手机崩溃、存在控制缺陷的汽车被召回等事件,都是软件开发过程中安全问题后置或为节省时间、资金、成本与人力等因素造成的。5.1.3网络因素造成的信息安全风险信息资源在网络环境中共享、传播,一些重要的信息极有可能被网络黑客窃取、篡改,也可能因为攻击行为导致网络崩溃而出现信息丢失,严重时可能波及信息产业正常发展,甚至会造成人类社会的动荡。因此,为保证网络安全、有序地运行,世界各国相继制定和调整了网络安全战略,增设专门机构,加大人员和资金的投入,最大限度地维护网络信息安全和利益。分析在家庭、学校或公共场所中,使用网络已成为非常便利的事情。与小组中的同学一起分析以下案例,填>案例某日,一所中学校园网站管理员前往网监支队报案,称该校网站多日来连续遭受黑客攻击。里客对该校网站内的一些数据随意进行增加、删除、改动,网站上的远程教学、网络招生投稿等功能受到严重影响,数十篇论文丢失,网站几近瘫痪。很快,警方将肇事机器锁定在一台家庭主机上,通过摸排,嫌疑人的身份逐渐浮出水面,让人吃惊的是,令网站瘫痪的黑客是一名高中学生。该名学生承认,自己通过在网站上下载的黑客程序,对几所学校的校园网站实施攻击,而其动机只是为了向网友炫耀自己的黑客技术。写表5-2。通常网络发生危害信息安全的诱因包括以下几个方面:(1)网络系统管理的复杂性。网络与计算机信息系统管理的复杂性造成了工作中稍有不慎或管理策略不得当,都会形成安全漏洞,而这些安全隐患对少数技术水平高、法制观念不强而想获取非法利益的人创造了条件。(2)网络信息的重要性。大数据时代的海量数据,使信息、机密、财富之间产生紧密的关联,从而构成信息安全的重要因素。很多情况下,数据和信息的价值远远超过网络系统各组件本身。因此,大量的信息安全事件直接指向了数据。通过渗透网络系统窃取机密信息,能够获取钱财,对于那些法律意识薄弱、道德水平低下但却有着高超的计算机网络技术的人,其诱惑力是不言而喻的,因此一些人铤而走险,以身试法。(3)网络系统本身的脆弱性。计算机网络本身的脆弱性是诱发危害网络信息安全的根本原因。信息存储密度高、易修改、能共享、网络传递方便,导致大量信息中隐藏非法信息而不易被察觉,一旦被攻击将损失惨重;信息易修改给正常工作带来了方便,但修改不留印迹也给犯罪分子创造了机会;网络传递快捷方便,但传递过程中的电磁泄漏、搭线窃听、接收方身份识别困难等问题,也使得危害网络信息事件频频发生。(4)低风险的诱惑。危害信息安全的行为都具有共同的特征:一是需要相关技术;二是隐蔽性较强,被查获的可能性相对较小;三是高回报低风险。因此,从犯罪心理学角度来看,低风险的诱惑也是许多人冒险犯罪的重要原因。5.1.4数据因素造成的信息安全风险通过信息系统采集、存储、处理和传输的数据,是具有很高价值的资产,其安全性格外重要。分析阅读以下材料,分析事件成因及处理办法,在小组中分享自己的看法。>材料一某论坛的数据库对用户密码仅使用了简单的MD5加密法,黑客能够快速破解出绝大部分明文密码,这导致2300万用户数据泄漏,这些用户数据包括用户名、注册邮箱、加密后的密码等。>材料二2015年,中国产业信息网公布一起重大信息泄漏事件:全国有超过多个省市的社保系统曝出高危漏洞,统计达5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。市面上随处可售的个人信息,除了一部分是持有信息者主动售卖外,有接近3成的比例来自社保系统的漏洞被利用。>材料三2016年,保监会发函通报某保险公司存在内控缺陷,要求进行整改。保监会指出,该公司在客户信息真实性管理、银邮渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在问题及内控缺陷。除了公司内控问题外,该公司此前还被曝出存在严重信息系统安全漏洞,面临泄露数以万计客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。调查走访学校、社区、公司等单位,向网站管理员进行咨询,了解单位网站是否曾经遭遇被黑客攻击、系统崩溃、信息丢失或数据破坏等的情况,都是什么原因造成的。撰写一份简短的调查报告。项目实施各小组根据项目选题及拟订的项目方案,结合本节所学知识,对所选定的信息系统进行分析。1.分析该信息系统可能存在的安全风险。2.分析造成该信息系统安全风险的因素。5.2信息系统安全风险防范的技术和方法信息系统的安全风险来自多方面,,包括人为的和非人为的、有意的和无意的等。随着信息系统安全问题的复杂度不断提高,危害信息系统安全的手段、方法也不断变化。人们越来越深刻地认识到信息系统安全不能仅从技术人手,还得从系统的管理角度切人,才能寻找到一个较合理的解决策略。5.2.1信息系统安全风险的重要术语探究活动讨论阅读学习资源包“第五章\课本素材\中国互联网网络安全报告.pdf”,与同学分享其中关于信息安全的技术方法。信息安全风险术语 描述 说明威胁 威胁是指经常存在的、对信息或信息资入侵者通过防火墙上的某个端口访问网络、产具有潜在危险的人、实体或其他对象,侵害知识产权、某位雇员造成的可能泄露机密也称为威胁主体,即针对信息或系统的潜信息或破坏文件完整性的意外错误、蓄意信息在危险。 入侵者通过防火墙上的某个端口访问网络、侵害知识产权、某位雇员造咸的可能泄露机密信息或破坏文件完整性的意外错误、蓄意信息敲诈、软件攻击、技术淘汰等。攻击 敲诈、软件攻击、技术淘汰等。攻击是不断地对资产进行蓄意或无意破坏,或损害信息、或损坏信息系统的一种某人偶然读取了敏感信息,但没有使用该信行为。它分为主动攻击与被动攻击、蓄意息的意图,为被动攻击。黑客试图入侵信息系攻击与无意攻击、直接攻击或间接攻击等统,则为主动攻击。类型。 某人偶然读取了敏感信息,但没有使用该信息的意图,为被动攻击。黑客试图人侵信息系统,则为主动攻击。入侵 人侵是敌手通过攻克系统的访问控制休护,得到对第三方数据的非授权访问。 人侵是主动、有意图地对合法系统进行攻击,获取未授权软硬件资源及数据的访问与控制。漏洞 漏洞是一个天然的缺陷,优如没有上锁的门,它是信息系统自身存在的弱点或错误,使信息暴露在被攻击或被破坏的情况下。 信息系统的不断大型化,造成控制与管理的复杂程序不断增加,漏洞也越来越多,如软件包缺陷、未受保护的系统端口、暴露、风险、伪造等。脆弱性 脆弱性是一种软件、硬件、过程或人为缺陷,它的存在说明了缺少应该使用的安全措施或者安全措施有缺陷。 如未安装补丁的应用程序或操作系统软件,服务器和工作站上未实施密码管理等。风险 风险是威胁主体利用脆弱性的可能性以及相应的业务影响。 网络没有安装入侵检测系统,在不引人注意的情况下被攻击且很晚才被发现的可能性就会较大。信息系统安全风险的术语如表5-3所示。5.2.2信息系统安全模型及安全策略1.信息系统安全性、便利性与成本的关系信息系统不存在绝对的安全,因为安全性和便利性及成本之间有着矛盾的关系。提高了安全性,相应地就会降低便利性;而提高了安全性,势必增大成本;易用性越好,安全性可能就越低,如图5-3所示。2.P2DR安全模型从信息系统安全的目标来看,信息系统安全是一个综合性的问题,需要通过建模的思想来解决信息系统安全管理问题,安全模型能精确和形象地描述信息系统的安全特征,描述和解释安全相关行为。精确的安全模型能提高对关键安全需求的理解层次,从中开发出一套安全性的评估准则。信息系统安全模型的种类很多,各有特点。下面我们介绍一种常用的安全模型—P2DR模型,如图5-4所示。该模型包括策略(Policy)、防护(Protection)、检测( Detection)和响应(Response)四个主要部分。分析查阅学习资源包“第五章\课本素材\家庭Wi-Fi与公共免费Wi-Fi的使用安全策略.doc”,研究其中的密码设置策略,运用《数据与计算》模块中程序设计的内容分析密码设置得越长、数字与字母混合形成的密码较安全的原理。( 1)策略根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括:访问控制策略、加密通信策略、身份认证策略和备份恢复策略等。(2)防护通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,让用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。(3)检测是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,并通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。采用的技术一般有实时监控和IT审计。(4)响应在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态。评估系统受到的危害与损失,恢复系统功能和数据,启动备份系统等,主要方法包括:关闭服务、跟踪、反击、消除影响。3.信息系统安全策略分析对于以计算机及网络为主体的信息系统,其安全策略可从非技术和技术两个方面来考虑。其中非技术策略方面主要包括预防意识、管理保障措施、应急响应机制等三个层面;技术策略分为物理和逻辑两大方面,主要包括物理系统、操作系统、数据库系统、应用系统和网络系统等五个层面。本节只考虑技术策略方面,分析如表5-4所示。实践根据P2DR模型和表5-4信息系统安全策略分析,参考图5-5,对校园网进行安全策略分析。5.2.3信息系统安全风险防范的常用技术因为不同的信息技术发展阶段对信息系统安全的关注和需求有所不同,信息系统安全风险防范的常用技术方法总是伴随着问题的不断变化而逐步完善的。当通信安全问题出现时,就有通过密码技术对通信进行加密的技术方法,以保证数据的保密性和完整性。计算机的安全威胁主要是来自非法访问、恶意代码、脆弱口令等,主要防范措施是及时更新修复计算机漏洞以预防、检测和减小计算机系统(软硬件)用户执行未授权活动所造成的后果。信息系统安全问题,主要是确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全措施一般有:防火墙、防病毒、漏洞扫描、入侵检测、公钥基础设施(PKI)、 VPN等。对于网络空间安全/信息安全保障问题,需要关注的是其安全威胁来自黑客、恐怖分子、信息战、自然灾难、电力中断等。1.加密技术信息加密的目的是防止信息被窃取。加密的基本原理是:在发送端将数据变换成某种难以理解的形式,把信息隐臧起来,在接收端通过反变换恢复数据的原样。信息加密与密码分析是一对矛盾的两个方面。加密是研究如何生成高保密性的有效算法,使受保护的数据处于安全状态。密码分析是研究高效算法破译密码以获取机密信息。采用密码技术的信息系统的安全性主要取决于对密钥的保护。传统加密方法的加密密钥K与解密密钥P是相同的。密钥由通信双方约定并秘密掌握,如果丢失了密钥,加密的数据就很容易被破译。数千年来,人类一直希望实现绝对安全的通信,但传统的方法没有绝对的安全,至多只是在密钥保密的前提下增加破译密文的难度和延长破译的时间。然而,随着科技的发展,量子世界带来了震撼,科学家们制作出量子密钥,这是目前人类最安全的加密方式。量子密钥采用单光子作为载体,任何干扰和复制都会让密码立即失效,中止涌信中所有窃听行为。我国的“墨子号”量子科学实验卫星利用量子密钥实现加密数据传输和视讯通信。体验加密与解密是问题的两个方面。对于用户有保密需求和隐私保护要求的文件,如设计方案、合同草案和练习试题,从安全的角度看我们通常做一些简单的压缩加密。但有时桃因为文件太久没有读取使用,忘记了密码,此时就需要破解软件,运用一些加解密技术与策略在一定程序上破解之前设定的密码。如图5-6所示的软F午Inteore KAR PasswordRecovery,可以对一些简单加密的压缩文件进行恢复。同学们可在学习资源包“第五章\课本素材”中找到该软件并安装,尝试使用它对自己的文件进行破解恢复。同学们也可以尝试用Python来编程,实现用穷举法分别暴力枚举3位和6位的纯数字密码,研究对于不同长度密码穷举算法的时间效率。2.认证技术认证有两个目的:一是验证信息发送者的身份,以防止有可能冒充发关者身份信息的情况出现;二是验证信息的完整性。在用户身份认证中,口令字(即密码)是当前最简易的方法。在用白接入和登录到信息系统时,需要输入用户名和口令字,系统经过对比确定该访问者是否为合法用户,再决定是否让其进入系统。口令字的方法虽简单,但安全性不够,在安全性要求较高的系统中,可以采用物理手段甚至生物手段来识别。3.主机系统安全技术主机系统安全技术是指用于保护计算机操作系统和运行于其上的信息系统的技术,具体包括操作系统安全技术、数据库安全技术和可信计算技术等。例如:操作系统安全技术需要解决用户的账户控制、内存与进程保护等;而数据库安全技术需要解决业务数据的完整性、安全检索和敏感数据保护等问题。(1)操作系统安全技术。一般地,操作系统安全机制包括用户账号控制机制、强制完整性控制机制、用户界面特权隔离机制、网络访问保护机制等措施。用户账号控制机制的目的在于使用户能够使用标准用户权限而不是管理员权限运行系统,这样用户不会有意或无意地修改系统设置,破坏他人的敏感信息,即使受到恶意软件攻击,也不会导致系统安全设置被篡改,达到增强系统安全性的目的。(2)数据库安全技术。数据库安全是涉及信息安全技术领域与数据库技术领域的一个典型交叉学科,它的发展历程与同时代的数据库技术、信息安全技术的发展趋势息息相关。关于数据库安全技术中较有代表性的是安全数据库管理系统、外包数据库安全、云数据库/云存储安全等技术。其中安全数据库管理系统中,除了数据库认证、访问控制、审计等基本安全功能外,关键技术集中在数据库形式化安全模型、数据库加密、多级安全数据库事务模型及数据库隐形通道分析等;外包数据库安全包括外包数据库检索技术、查询验证技术、访问控制技术和数据库水印技术;云数据库/云存储安全主要集中在海量信息安全检索关键技术、海量数据完整性验证及海量数据隐私保护技术等方面。4.网络与系统安全应急响应技术(1)防火墙技术。防火墙是位于不可信的外部网络和被保护的内部网络之间的一个网络安全设备或由多个硬件设备和相应软件组成的系统,如图5-7所示。防火墙的基本类型可分为包过滤防火墙、代理网关、包检查型防火墙和混合型防火墙。(2)入侵检测技术。人侵检测技术是用干检测损宝术个图损牢玄宏的机密性完整性及可用性等行为的一类安全技术。这类技术通过太恶R护网敛书O然中郊里捻设冬来监视受保护网络或系统的状态与活动,根据所采集的数据,采用相应的检测万法友现非度仪叹悉忘的系统与网络行为,并为防范入侵行为提供支持手段。一个入侵检测系统(IDS)需要解决三方面的问题:首先,它需要允分开可靠地采集网络和系统中的数据、提供描述网络和系统行为的特征;其次,它必须根据以上数据和特征,高效并准确地判断网络和系统行为的性质;最后,它需要为防范网络和系统人侵提供手段。(3)应急响应技术。应急响应是指在网络被破坏的前后采取相应的预防、应对措施。一般分为前期响应、中期响应与后期响应三个阶段,它们跨越紧急安全事件发生和应急响应的前后。前期响应是指预案和计划、准备资源、系统和数据备份、保障业务的连续性等。中期响应的任务是准确地查明信息系统遭受了何种程度的损害并摸清灾害发生的原因,认定灾害发生的责任,制订下一步的安全策略和追踪、取证。后期响应的目的是确定新的安全策略,并得到新的安全配置,它主要包括提高系统的安全性、进行安全评估、制订并执行新的安全策略等。5.恶意代码检测与防范技术恶意代码的防治包括预防、机理分析、检测和清除等环节。其中恶意代码的预防是指抵御恶意代码的传播和感染,它的方法主要是切断传播和感染的途径或破坏它们实施的条件,并需要配合一定的管理制度,以提高恶意代码预防技术的实施效果;恶意代码机理分析是指恶意代码的传播、感染和触发机制;恶意代码检测方法主要用于确定感染目标中存在恶意代码的种类,主要包括特征代码法、校验和法、行为监测法、软件模拟法、比较法和感染实验法;恶意代码的清除,是指尽量在保全被感染程序功能的情况下移除恶意代码或使其失效。6.人工智能技术在反病毒中的应用传统程序设计方法编制的反病毒软件,一般局限于固定模式和参数的计算、检测或者消除,总是滞后于新的计算机病毒的出现。根据计算机病毒的表现手段和方式,采用人工智能方法编制检测病毒软件,建立防治计算机病毒专家系统,可以在动态运行过程中不断学习和总结经验,以改进和提高。专家系统的核心是知识库和推理机。调查以所在学校的校园网站作为对象,通过浏览、使用网站,阅读教师提供的网站服务器配置说明,或参观服务器所在的中心机房等途径开展以下调查内容:(1)服务器采用什么操作系统,是否或使用哪种数据库,是否或具各哪种防火墙,它们的安全级别分别如何 (2)网站和服务器分别都有哪些类型的用户,分别有什么权限,这些权限如何管理 (3)网站和服务器可能存在哪些风险 尝试说出可采用的安全防范技术。项目实施各小组根据项目选题及拟订的项目万策,第合个节所字知识,分析所选定的信息系统安全风险防范的技术与方法。1.信息系统安全风险防范的方法要从技不和非投不两个方面进行考虑。2.针对信息系统的不同组成部分,安全风应防范的技不各不相同,要有所区分。5.3合理使用信息系统信息安全不仅影响到人们日常的生产、生活,还关系到整个国家的安全,成为日益严峻的问题。随着网络通信与互联规模的扩大、媒体信息传播方式的普及,信息安全问题日益突出。5.3.1 树立信息安全意识维护信息安全,可以理解为确保信息内容在获取、存储、处理、检索和传送中,保持其保密性、完整性、可用性和真实性。信息的保密性是指保证信息不泄漏给未经授权的人;完整性是指防止信息被未经授权者篡改;可用性就是保证信息及信息系统确实能够为授权使用者所用;真实性是指对信息及信息系统的使用和控制是真实可靠的。对于信息系统的使用者来说,要掌握信息的特性,树立信息安全意识,负责任地发布、使用与传播信息。1.信息安全管理表5-5是国家计算机应急响应中心发布的数据,所有的计算机安全风险事件中,人为因素占据的比例超过一半,成为信息系统安全风险的瓶颈问题。而深人分析后发现,属于管理方间的原囚比重高达70%以上,更值得引起人们重视的是这些安全问题中95%是可以通过科字的后息女全管理来避免的。从统计数据可以明显看出,管理因素是信息系统它全促瞎休系中重要的组成部分。它涉及信息系统女全的各个方面,包括制定信息安全的政策法规。制订各类规范的操作程序,加强人贝女主息识与法律意识,各类风险评估等。信息系统安全管理是指通过维护信息的保密性、完救性可田性和真实性等来管理和保护信息系统资源的一项体制,也包含对信息系统安全保暗进行指导、规范和管理的一系列活动和过程。2.知识产权保护及其意义网络与计算机环境中的知识产权往往与网络及计算机安全直接相关。软件:包括由商业软件开发商开发的程序以及共享软件、专用软件和个人软件。数据库:可能包括因为具有潜在商业价值而收集并组织的数据。例如,天气预测数据库、地震预测数据库、水文情况预测数据库及经济形势预测等数据,都可以受到版权保护。数字内容:是指能够用计算机或其他数字设备以某种方式展现出来的,包括音视频文件、课件、网站内容和其他形式的数字作品。算法:已经获得专利的算法。探究活动调查调查所在学校的中心机房、多媒体网络教室等校园网络信息系统使用的相关场所所制订的相应管理制度,了解以下几个方面的内容:(1)各场所的管理制度分别包括了哪些方面的内容 (2)同学们在使用校园网络信息系统开展学习活动的过程中是否遇到或参与过以下不恰当的行为:私自携带带病毒的U盘等设备在学生电脑室使用;私自修改学生电脑的系统使其摆脱教师机控制或失去还原保护作用;恶意删改其他同学提交到教学网站的作业或将其修改成自己的作业……还有哪些不恰当行为请一一列举。学校所制订的相关管理制度是否涵盖了禁止以上不恰当行为的内容 (3)校园网络信息系统是一种资源公共服务平台,其中可能会有哪些涉及知识产权的资源(从学校、教师和学生三个方面分别列举) 学校所制订的相关管理制度是否涵盖保护知识产权的内容呢 (4)学校所制订的相关管理制度的意义或目的是什么 还有哪些不足或缺陷,提出建议。5.3.2信息系统安全操作规范随着网络通信与互联规模的扩大、新媒体信息传播方式的普及,使得许多不可能成为可能。因此,信息的可用性、机密性、完整性问题日益突出。例如,大数据带来的个人记录保存、数据挖掘和数据匹配能力技术让个人信息处于一个危险状态,相关非法的案例层出不穷。1.信息系统规范操作的必要性(1)人为因素是信息系统安全问题产生的主要原因。人为因素是研究信息系统安全管理有效性的一个主要方面。人为因素一般是指工作生活过程中,与人发生相互作用的一切因素。随着社会的发展,任何法规、标准、流程的实现过程,人为因素都有着决定性影响。因此,提高人们的信息安全意识,加强信息安全管理,提高遵守信息安全法律、法规观念等非技术安全策略越来越引起重视,成为衡量一个优秀的安全策略的重要指标。(2)规范操作是消除过程因素造成的潜在安全威胁的必要策略。所谓过程,是指运用信息系统完成特定任务所设定的流程或指令。因此,严格依照这些流程与指令规范地操作信息系统,是避免与消除过程因素造成的潜在安全威胁的必要策略。可以预测的是如果未授权的用户获得此过程,就会对信息系统的安全构成威胁。2.信息系统规范操作及其意义信息系统规范操作就是要按照信息系统既定标准、规范的要求进行操作。例如计算机信息系统管理规范中有机房突发事件处理规范、设备维护规范、文档编制规范、数据与软件归档规范等制度,其目的是加强该信息系统的运行管理,提高工作质量和管理有效性,实现计算机系统维护、操作规范化,确保计算机系统安全、可靠运作。阅读阅读以下材料,结合信息系统安全防护策略,思考各项规范制订的切入点及制订该规范的目的与意义。>材料一:学校机房数据保密及数据备份规范(1)根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。(2)禁止泄露、外借和转移专业数据信息。(3)未经批准不得随意更改业务数据。(4)网管人员制作数据的备份要异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。(5)业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中异地保存。(6)备份的数据由网管人员负责保管,备份的数据应在指定的数据保管室或指定的场所保管。(7)备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。>材料二:系统软件、应用软件管理规范(1)必须定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份。(2)为了便于对系统软件进行应用与管理,机房中须备有与系统软件有关的使用手册和各种指南等资料,以便维护人员查阅。这些资料未经许可,任何人不得拿出机房。应用软件人员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用系统运行流程图等进行分类归档,以便查阅。(3)禁止在服务器上进行试验性质的软件调试,禁止在服务器上随意安装软件。需要对服务器进行配置,必须在其他可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。(4)对会影响到全局的软件更改、调试等操作应先发布通知,并且应有充分的时间、方案、人员准备,才能进行软件配置的更改。(5)对重大软件配置的更改,应先形成方案文件,经过讨论确认可行后,由具体负责的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。(6)不允许任何人员在服务器等核心设备上进行与工作范围无关的软件调试和操作。未经上级允许,不允许带领、指示他人进入机房、对网络及软件环境进行更改和操作。(7)对应用软件进行修改时,具体的功能修改、逻辑修改、程序变动等,都应有相应的文档记录,以备查阅。思考'以所在学校的校园网络信息系统为对象,为保障信息系统中的硬件、软件、信息等的安全运行或保持良好的使用状态,针对不同的用户应该如何规范其操作,尝试写一-份建议,为学校的校园网络信息系统的安全管理献策。5.3.3信息社会的道德准则与法律法规1.网上道德规范互联网的开放性和便捷性为人们参与网络传播提供了方便。然而,在人们享受网络科技成果的同时,也面临着诸多不容忽视的伦理道德问题。为建设良好的网终I杰,每个人都要加强思想道德修养,自觉按照社会主义道德的原则和要求规范自己的行为:依法律己,遵守《全国青少年网络文明公约》,法律禁止的事坚决不做,法律提倡的事积极去做;净化网络语言,坚决抵制网络有害信息和低俗之风,健康、合理、科学上网。为了维护信息安全,网上活动的参与者即创造、使用信息的人都要加强网络道德自律和提升网络素养,自觉遵守网络道德规范。具体来说要切实做到下面几点:(1)未经允许,不进入他人计算机信息网络或者使用他人计算机网络信息资源。(2)未经允许,不对计算机信息网络功能进行删除、修改或者增加。(3)未经允许,不对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。(4)不故意制作、传播计算机病毒等破坏性程序。(5)不做危害计算机信息网络安全的其他事。分析下面列出网线信真活动中存在的四个问题,请在表5-6中填写其他三个问题及造成的危害。(1》不良信息毒化网络“空气”。网络“空气”被森化的首要因素是色情传播。而且网上色情发展速度惊人。这些色情逢秽材料t*心文放峰瓦时回的“吹气”,上网者尤其是青少年的心灵极易受到毒害。让人忧虑的景、网大的“业”一下子还无法用技术加以杜绝,对网上传播“黄毒”的人也含禽戏z模以出点一-些西方国家。某些传播色情的行为甚至受到所谓“言论自由”的保护,只要在同百前面加上一些“警告语”或对浏览者的年龄加以“限制”,色情材料就可名正言顺地“登堂入室”。此外,一些邪教组织和恐怖主义组织,利用网络媒介大肆宣传反社会和反人类的思想,严重威胁着国家和社会的安定团站。(2)网上犯罪。某些人利用自身掌握的计算机挂术和网络技术,根据互联网的特点。从事各种犯罪活动,如窃取各臭机密情报、侵入并破坏他人的网络系统、传播各种计算机病毒等。还有一些人打着“言论自由”和“新闻自由”的幌子,在网上煽动他人从事犯罪活动,如在网上译谤他人、鼓动他人頫覆合法政权、从事恐怖活动、提供犯罪技术等。(3)虚假信息严重影响网络信息的真实性。互联网特有的开放性使任何上网者都可以发布自己的信息与观点,这些信息与观点带有很大的随意性,而且其真实性往往无法核实。这些信息直接影响了网格媒怵和网络信息的整体形象,使其可信度在人们心中大打折扣。(4)信息垃规泛滥成突。个人和组织在互联网上传播信息的空前自由,在为人类社会提供丰富多彩的信息的同时,也制造了大量信息垃圾。某些个人和组织不像以往的大众传播媒介那样对信息进行严格的把美和挑选,而是随心所欲地让信息源源不断地在网上驰骋,形成一个“资料太多而知识太少的嘈杂世界”。而且,过多的信悲也会使人们无所适从,无法在浩如烟海的信息中作出正确、有效的选择。2.信息安全法律法规道德是自律的规范,法律是他律的规范。法律和道德,相辅相成,仅仅依靠道德或技术进行信息管理,规范人们在信息活动中的行为是不够的,对于一些已经造成重大危害的行为,必须通过法律的手段来制裁。信息安全的法律法规是国家安全体系的重要内容,是安全保障体系建设中的必要环节。它明确信息安全的基本原则和基本制度、信息安全相关行为的规范、信息安全中各方的权利与义务、违反信息安全行为及相应的处罚。信息安全立法能够保护国家信息主权和社会公共利益,规范信息活动,保护信息权利,协调和解决信息网络社会产生的矛盾,打击、惩治信息网络空间的违法行为,同时依托信息安全的司法和执法来实施法定程序和法律活动。信息系统安全问题作为一项社会系统工程,既需要管理层重视相关法律法规的制定与完善,又需要各层面倡导与推广先进的管理手段与技术方法,更需要每一位应用者从国家、社会与合格公民的角度出发,提高安全防护责任意识与安全防范应用水平,以确保信息系统安全问题得到全面重视与高效落实,维护好国家利益及个人信息安全。2014年2月27日,中共中央成立网络安全和信息化领导小组,旨在着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网终宏全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政符,推动国家网络安全和信息化法治建设,不断增强安全保障能力。青少年正值人生观与价值观形成的重要时期,在这个现实空间与虚拟空间相互交织的全新社会环境中,应加强信息系统安全意识,提高信息安全风险防范水平,自觉遵守信息安全法律法规,相当起应有的信息社会责任,做信息社会的一名合格公民!阅读查阅学习资源包“第五章\课本素材\部分信息系统法律法规清单.doc”,有针对性地选择前面案例中对应的条文,上网进行详细查阅。讨论结合自身使用垃口 .、心恼或记他单位信息系统的经历,说说在日常学习、生活与工你内给1品总尔跳、公从1用馆真系统,在班级内展开讨论。项目实施各小组根据项目洗题乃加社小顶日六安生人太节所学知识,进一步完善该项目方案中的各项学习活动,并参照项目范例的样式,撰写本组的项目成果报告。成果交流各小组运用数字化学习工具,将所完成的项目成果,在小组或班级上进行展示与交流,共享创造、分享快乐。活动评价各小组根据项目选题、拟订的项目方案、实施情况以及所形成的项目成果,利用教科书附录2的“项目活动评价表”,开展项目学习活动评价。拓展古典密码学(Cryptology )恺撒密码(Caesar's code)作为一种最古老的加密方法,在古罗马的时候已经很流行。为了防止敌方截获情报信件,恺撒(古希腊名将,又称罗马帝国的奠基者)把要传送的信息进行加密,然后采用密文传送情报。其方法是:通过把字母移动一定的位数来实现加密和解密,即明文中的所有字母都在字母表上向后(或向前)按照一个固定的数目进行偏移后被替换成密文。例如,当偏移量是3时,所有的字母A将被替换成D,B变成E,以此类推,X将变成A,Y变成B,Z变成C。假如加密信件中的密文为fdhvdu,经过解密后其明文应为caesaro由此可见,偏移位数就是恺撒密码加密和解密的密钥。其实基于统计学的原理,利用字母(包括其组合)的使用频率就可以找出密文和明文的对应关系,从而进行破解。所以科学家经过努力,提出了对称加密(分组加密)和非对称加密(公钥加密)方法,有效提高了加密系统的安全性,其中香农的概率统计研究观点影响深远。本章扼要回顾同学们通过本章学习,根据“信息系统的安全风险防范”知识结构图,扼要回顾、总结、归纳学过的内容,建立自己的知识结构体系。本章学业评价同学们完成下列测试题(更多的测试题可以在教科书的配套学习资源包中查看),并通过“本章扼要回顾”以及本章的项目活动评价,综合评价自己在信息技术知识与技能、解决实际问题的过程与方法,以及相关情感态度与价值观的形成等方面,是否达到了本章的学习目标。1.单选题(1)小明和朋友在一家餐厅聚会后,发现手机账户信息被盗,最大原因可能是(1))。A.采用了二维码付款B.在餐厅里用APP播放视频C.添加了朋友的微信D.连接不安全的Wi-Fi,被盗取信息(2)影响信息系统安全的三大因素是(A)造成的潜在安全威胁、过程因素造成的潜在安全威胁、网络因素造成的潜在安全威胁。A.人员B.过程C.网络D.数据(3)2017年6月1日起施行的《中华人民共和国网络安全法》总则第一条是:为了保障网络安全,维护网络空间主权和国家安全、(D),保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。A.国有企事业单位利益B.私人企业利益C国家利益D.社会公共利益2.思考题信息社会飞速发展,网络交流及表达工具不断更新(如QQ、博客、微博、微信和短视频等)。我们如何才能在虚实共存的网络社会中始终保持独立思辨的头脑 怎样才能成为有道德、守法律的网络公民 3.情境题(1)分析《中华人民共和国网络安全法》第三十九条内容对应信息系统安全模型的哪一层 应如何做好安全防范 阅读材料第三十九条国家网信部门应当统寿协调有关部门对关键信息基础设施的安全保护采取下列措施:(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;(二)定期组织关键信息基础伎池的运宫者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;(三)促进有关部门、关键信息基础仅施的运宫省以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;(四)对网络安全事件的应急处直与网络功能的恢及等,提供技术支持和协助。(2)阅读下列案例,分析其存在的安全问题,谈谈应采取什么操作规范才能较好地规避风险。阅读材料257万条公民银行个人信息被泄露2016年10月14日,某银行支行行长出售自己的查询账号给中间商,中间商将账号卖给有银行关系的“出单渠道”团伙,再由另外一家银行的员工进入该银行内网系统,大肆窃取个人信息贩卖获利。最后公安局网络安全保卫支队破获此案,抓获了包括银行管理层在内的犯罪团伙骨干分子15人。强大的防御往往是从内部被攻陷,内鬼是信息系统安全中较难防范的环节,利欲熏心的内鬼总能利用职权的便利,让传统的杀毒软件、防火墙,甚至内部权限等形同虚设。 展开更多...... 收起↑ 资源预览