资源简介

(共24张PPT)
第五章
信息系统的安全风险防范
1
信息系统应用中的安全风险
2
防范的技术和方法
CONTENT
3
合理使用信息系统
情境导入
互联网时代，信息系统安全问题日趋严峻，上至国家安全，下到百姓生活安全，几乎无处不在，无处不有。我们所熟悉的校园网络信息系统也无法置身事外。
校园网络信息系统通过网络将办公、教学、学习、宣传等所需涉及的硬件、软件、数据及用户进行连接。然而，恶意软件、病毒在校园网中传播，黑客攻击等因素造成校园网网速变慢、信息丢失甚至网络瘫痪的严重后果，对校园网安全构成巨大威胁。
信息系统应用中的安全风险
信息系统应用中的安全风险
1
人为因素造成的信息安全风险
在视频案例中，是什么原因造成校园网系统的安全受到威胁？
黑客利用病毒攻击系统
使用者和管理者缺乏防范意识
人为因素
信息系统应用中的安全风险
1
人为因素造成的信息安全风险
采用什么策略可以消除或减弱人为因素对信息系统安全造成的威胁？
除了从政府层面加强立法工作，还需要不断提高关键安全技术水平，更需要使用者全面提高道德意识与技术防范水平。
信息系统应用中的安全风险
2019年1月20号凌晨，拼多多平台出现了重大漏洞。任何用户的账户都可以直接领取一张百元的优惠券。有朋友肯定会说，一张百元的优惠券没什么呀，只是优惠券而已。但是最致命的问题在于这张优惠券是没有门槛的，没有任何限制，在拼多多全平台都可以直接的抵扣使用。有不少的网友直接用这一张百元优惠券充值了话费、q币等等虚拟物品，而且也已经到账。虽然说这一漏洞在今天上午已经被紧急修复，但是这一晚上对于拼多多的平台来讲，损失绝对是空前的。根据有关消息称，这一次的漏洞问题可能会让拼多多直接损失上百亿元。
对于这一次的漏洞问题，官方回应表示，这是一次团伙行动，通过一个过期的优惠券漏洞改成了目前的无门槛百元优惠券，而进行的不正当谋利。目前，拼多多平台已经修复了漏洞，并且已经向公安机关进行报案。对已经出现的损失，目前拼多多方面也在积极的进行追回。
信息系统应用中的安全风险
2
软硬件因素造成的信息安全风险
软件开发中产生的错误，如漏洞、故障、缺陷等问题。
信息系统的物理位置及本身的安全。
硬件因素
软件因素
信息系统应用中的安全风险
3
网络因素造成的信息安全风险
网络发生危害信息安全的诱因：
网络系统管理的复杂性
网络信息的重要性
网络系统本身的脆弱性
低风险的诱惑
信息系统应用中的安全风险
4
数据因素造成的信息安全风险
数据泄露会造成什么样的影响？
通过信息系统采集、存储、处理和传输的数据，是具有很高价值的资产，其安全性格外重要。
小结
人为因素
软硬件因素
网络因素
数据因素
造成信息安全风险的因素有哪些？
防范的技术和方法
信息系统
不存在绝对的安全
安全性
便利性
成本
信息系统的安全不能仅从技术入手，还得从系统的管理角度切入，才能寻找到较合理的解决策略。
防范的技术和方法
P2DR安全模型
P2DR 模型是在整体的安全策略的控制和指导下，在综合运用防护工具（如防火墙、操作系统身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测等）了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。
防范的技术和方法
对于以计算机及网络为主体的信息系统，其安全策略可以从非技术和技术两个方面来考虑。
其中非技术策略方面主要包括预防意识、管理保障措施、应急响应机制等三个方面；技术策略分为物理和逻辑两大方面，主要包括物理系统、操作系统、数据库系统、应用系统和网络系统等五个层面。
防范的技术和方法
防范的技术和方法
认证技术
任何人都可以使用我们学校综合楼一楼的智能借书柜吗？
我们在借书或还书之前，是如何登录账号的？
除了用学号和密码登录之外，还有什么方法可以登录？
想一想
防范的技术和方法
信息系统安全风险防范的常用技术
加密技术
认证技术
主机系统安全技术
网络与系统安全应急响应技术
操作系统安全技术
数据库安全技术
防火墙技术
入侵检测技术
应急响应技术
恶意代码检测与防范技术
人工智能在反病毒中的应用
合理使用信息系统
1
树立信息安全意识
95% 的信息系统安全问题可以通过科学的信息安全管理来避免。
如制定信息安全的政策法规，制订各类规范的操作程序，加强人员安全意识与法律意识，各类风险评估等。
合理使用信息系统
1
树立信息安全意识
网络与计算机环境中的 知识产权 往往与网络及计算机安全直接相关。
保护软件、数据库、数字内容、算法等不被他人盗用。
合理使用信息系统
2
信息系统安全操作规范
必要性
人为因素是信息系统安全问题产生的主要原因
规范操作是消除过程因素造成的潜在安全威胁的必要策略
意义
加强信息系统的运行管理，提高工作质量和管理有效性，实现计算机系统维护、操作规范化，确保计算机系统安全、可靠运作。
同学们在教室或电脑室使用校园网络时，有哪些行为是不安全的？
合理使用信息系统
3
信息社会的道德准则与法律法规
(1) 未经允许，不进入他人计算机信息网络或者使用他人计算机网络信息资源。
(2) 未经允许，不对计算机信息网络功能进行删除、修改或者增加。
(3) 未经允许，不对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
(4) 不故意制作、传播计算机病毒等破坏性程序。
(5) 不做危害计算机信息网络安全的其他事。
网上道德规范
合理使用信息系统
3
信息社会的道德准则与法律法规
道德是自律的规范，法律是他律的规范。
对于一些已经造成重大危害的行为，必须通过法律的手段来制裁。
练习题
1、小明和朋友在一家餐厅聚会后，发现手机账户信息被盗，最大原因可能是（ ）
A.采用了二维码付款 B.在餐厅里用APP播放视频
C.添加了朋友的微信 D.连接不安全的Wi-Fi，被盗取信息
2、影响信息系统安全的三大因素是（ ）造成的潜在安全威胁、过程因素造成的潜在安全威胁、网络因素造成的潜在安全威胁。
A.人员 B.过程 C.网络 D.数据
D
A
练习题
3、2017年6月1日起施行的《中华人民共和国网络安全法》总则第一条是：为了保障网络安全，维护网络空间主权和国家安全、（ ），保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。
A.国有企事业单位利益 B.私人企业利益
C.国家利益 D.社会公共利益
D

展开更多......

收起↑