资源简介

(共25张PPT)
----信息系统安全风险与防范方法
研究网络订票系统安全问题
2010年1月30日，网站开通运行。每天23：00至次日7：00维护。
2013年12月，网站改版，增加了自动查询、自动提交订单、有票
提醒等功能，手机客户端正式开放。
2015年 1 月，余票查询系统迁移至阿里云计算平台。
2016年 8 月，每天售票时间由原来的7：00提前到6：00。
2017年12月，微信小程序上线。
支付方式由最初的银行卡支付，到先后增加支付宝和微信支付。
12306网络订票系统的发展历程
一、了解网络订票系统的工作过程
一、了解网络订票系统的工作过程
手机12306中国铁路购票流程：
一、了解网络订票系统的工作过程
一、了解网络订票系统的工作过程
手机12306中国铁路购票流程：
一、了解网络订票系统的工作过程
二、分析网络订票系统存在的安全风险
由硬件、软件、网络、数据和人员五要素构成的网络订票系统，如果任何一台硬件、一个软件、一条网络线路、一个数据出现问题、用户操作不当或者遇到恶意攻击，都会使网络订票系统陷入极大的信息安全风险中，导致出现用户购票出错、不能顺利取票、网银账号被盗等现象。
真的像官方所说，是由于“机房空调系统故障”吗？
你信吗？
　　
如果空调能说话了，它的第一句肯定会是：原来，不动，也中枪。
网络订票系统瘫痪的真正原因：
2010年1月30日，网站开通运行。每天23：00至次日7：00维护。
2013年12月，网站改版，增加了自动查询、自动提交订单、有票
提醒等功能，手机客户端正式开放。
2015年 1 月，余票查询系统迁移至阿里云计算平台。
2016年 8 月，每天售票时间由原来的7：00提前到6：00。
2017年12月，微信小程序上线。
支付方式由最初的银行卡支付，到先后增加支付宝和微信支付。
12306网络订票系统的发展历程
分析网络订票系统存在的安全风险
小组交流，通过上网查阅资料或参照教师提供的知识链接，分析网络订票系统可能存在的风险和原因，并从主观风险和客观风险两个方面对上述风险进行归类，填写下表。
活动一：
要素 风 险 原 因 主观风险/客观风险 导致的问题
硬件
软件
网络
数据
要素 风 险 原 因 主观风险/客观风险 导致的问题 建议
硬件
软件
网络
数据
服务器运行故障
停电
客观
黑客、病毒
恶意网站或不安全站点下载文件
人为误删改、病毒、黑客
网络购票出错
订票系统崩溃
未授权访问或网络被攻击
信息系统故障
主观/客观
主观
数据丢失
网络设备或资源不能用
主观/客观
网络购票出错
数据备份，防火墙，系统升级
UPS不间断电源，或者两套备用关键硬件部件（电源、内存、网络设备、通信线路等）
硬件防火墙、杀毒软件、及时更新升级
除上述建议外，数据加密技术加密，指纹或语音验证登陆
三、探寻网络订票系统安全风险防范的基本方法
降低信息系统的安全风险主要有两大类措施：
一、技术防范
设置防火墙
数据加密
病毒监控与防范
对称密匙加密技术（如网站地址开头为https)
软件防火墙（安装在服务器或个人计算机上的安全防护软件）
硬件防火墙(内置了防火墙功能的网络设备比如路由器）
非对称密匙加密技术(数字签名)
三、探寻网络订票系统安全风险防范的基本方法
降低信息系统的安全风险主要有两大类措施：
二、人为防范
制定相关法律法规、加强内部管理、对系统的使用者和管理者进行教育
养成规范的信息系统操作习惯，定期数据备份。备份可选择专用备份工具，如操作系统自带的备份程序、开源备份工具、云备份文件等，也用光盘或移动硬盘等备份介质。
【案例】
案例1：有一天，小文的邮箱中发现了几百封陌生人发来的邮件，于是就删除，可还不等删完，机器就死了……
注意！邮箱轰炸是一种杀伤力极其强大的网络武器。会干扰用户的电子邮件系统的正常使用，甚至邮件系统服务器的安全，造成网络系统瘫痪。
不随意公开自己的信箱地址，隐藏自己的电子邮件地址，谨慎使用自动回信功能；或者利用一些邮件工具软件如PoP-It来清除这些垃圾信息。
【案例】
【案例】
案例2：QQ聊天的时候，有一个消息自动发过来，如下文的文字及链接，不要轻易打开。
1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。
2. 呵呵，其实我觉得这个网站真的不错，你看看http://www.ktv***.com/
　 3. http://ni***. 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样
注意！千万不要点击不明来源的网站链接、电子邮件链接，其中很可能隐藏着大量的病毒、木马。
【案例】
【案例】
案例3：远程协助—骗！去年6月14日，陈某在一家淘宝网店购买一台42寸标价2003元的电视机，但因操作失误多付了2003元。因退款心切，在客服的要求下，陈某加了对方QQ，让对方远程操控自己的电脑“帮助退款”，结果被对方分7次转走6万余元。
注意！千万不要让陌生人远程操作你的电脑。因为一旦启动远程操控，任何人都可以在异地通过网络控制你的电脑。另外，淘宝交易需要加QQ沟通的，往往是诈骗。
【案例】
【案例】
案例4：在星巴克用手机无线上网时的小静，正惬意地发着微博，屏幕上突然跳出一个网页，打开后手机就出现了故障。去修理时才知道，手机被安装了木马程序，很可能遭到了黑客入侵。
　　
注意！在公共场合连接免费WiFi，最好不要使用网银、支付宝等，不要把自己的移动设备设成自动连接WiFi。
活动二：
以小组为单位查阅资料，收集案例，整理分析信息系统组成要素可采取的安全防范措施，最后汇总形成网络订票系统安全风险防范报告。。
要求：
1、在活动一收集的素材基础上进一步查阅相关资料。
2、各小组从“硬件”、“软件”、“网络”、“数据”和“人员”五要素任选其一， 确定
主题并上报教师。
3、利用Word文字处理软件制作报告并上传到教师机，样式可自由发挥，要求有文
和图片，主题鲜明。
(1)对于信息系统关键的硬件损坏，或遇到突发意外事件等不可抗力因素造成的故障，采用什么方法来防范比较好？
(2)病毒会对信息系统进行破坏,木马会窃取用户的重要信息.对此,可采用哪些方法来防范？
(3)信息系统如果有漏洞，容易遭黑客的攻击，如何防范？
(4) 购票者过多易造成信息系统瘫痪，可采取哪些技术手段解决？
(5)工作人员账户密码或者管理人员账户密码是否会泄露？有哪些泄露的途径？如何防范？
(6)公用免费Wi-Fi是否能窃取用户信息？若能，如何窃取的？用户需要如何防范？
(7)如何遵守相关法律法规，保证信息系统安全？

硬件
软件
人员
数据
人员
网络
项目活动问题：
思维导图：
分 类 评 价 标 准 评价结果或等级
基本项 主题明确，作品完整。
体现出积极向上，正确的信息社会责任意识。
能基本完成方案中预设的目标，条理清晰。
加分项 能呈现有别于其它成员的成果，有一定的创新思想。
主动探索、学习并合适地应用新知识和操作
能较好的解决现实中的问题，具有一定的推广价值。
项目活动作品评价得分表
组内成员互评表
分类 评 价 标 准 评价结果或等级
基本项 信息采集员在活动中表现。
图片处理负责人在活动中的表现。
报告合成负责人在活动中的表现。
加分项 评 价 标 准 成员名字
你认为在活动中哪个成员表现最突出？

展开更多......

收起↑