资源简介

信息系统应用中的安全风险
学习目标
认识信息系统应用过程中的安全风险。
学习内容
2016年12月27日,我国发布《国家网络空间安全战略》，提出捍卫网络空间主权、维 护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖等九项任务，再 次将信息系统应用中安全与风险问题提升到了国家安全的重要层面。信息系统安全风险问 题存在于信息系统的各个环节，了解其中的成因直接关系到信息安全的解决策略的制订与 方法实施。
人为因素造成的信息安全风险
“人”是信息系统的使用者与管理者，是信息系统安全的薄弱环节。信息系统可以 拥有最好的技术如防火墙、入侵检测系统等，但如果操作人员没有防范意识，信息系统 仍然可能崩溃。
中国有句古语“解铃还需系铃人”。信息系统安全是个社会系统工程，除了从政府层 面加强立法工作，还需要不断提高关键安全技术水平，更需要使用者全面提高道德意识与 技术防范水平。
软硬件因素造成的信息安全风险
保护信息系统中的硬件免受危害或窃取，通常釆用的方法是：先把硬件作为物理资产 处理，再严格限制对硬件的访问权限，以确保信息安全。保护好信息系统的物理位置及本 身的安全是重中之重，因为物理安全的破坏可直接导致信息的丢失。
软件是信息系统中最难实施安全保护的部分，主要反映在软件开发中产生的错误，如 漏洞、故障、缺陷等问题。在生活中，智能手机崩溃、存在控制缺陷的汽车被召回等事 件，都是软件开发过程中安全问题后置或为节省时间、资金、成本与人力等因素造成的。
网络因素造成的信息安全风险,
信息资源在网络环境中共享、传播，一些重要的信息极有可能被网络黑客窃取、篡 改，也可能因为攻击行为导致网络崩溃而出现信息丢失，严重时可能波及信息产业正常发 展，甚至会造成人类社会的动荡。因此，为保证网络安全、有序地运行，世界各国相继制 定和调整了网络安全战略，增设专门机构，加大人员和资金的投入，最大限度地维护网络 信息安全和利益。
通常网络发生危害信息安全的诱因包括以下几个方面：
(1)网络系统管理的复杂性。
网络与计算机信息系统管理的复杂性造成了工作中稍有不慎或管理策略不得当,都会 形成安全漏洞，而这些安全隐患对少数技术水平高、法制观念不强而想获取非法利益的人 创造了条件。
(2)网络信息的重要性。
大数据时代的海量数据，使信息、机密、财富之间产生紧密的关联，从而构成信息安 全的重要因素。很多情况下，数据和信息的价值远远超过网络系统各组件本身。因此，大量的信息安全事件直接指向了数据。通过渗透网络系统窃取机密信息，能够获取钱财，对 于那些法律意识薄弱、道德水平低下但却有着高超的计算机网络技术的人，其诱惑力是不 言而喻的，因此一些人铤而走险，以身试法。
(3 )网络系统本身的脆弱性。
计算机网络本身的脆弱性是诱发危害网络信息安全的根本原因。信息存储密度高、易 修改、能共享、网络传递方便，导致大量信息中隐藏非法信息而不易被察觉，一旦被攻击 将损失惨重；信息易修改给正常工作带来了方便，但修改不留印迹也给犯罪分子创造了机 会；网络传递快捷方便，但传递过程中的电磁泄漏、搭线窃听、接收方身份识别困难等问 题，也使得危害网络信息事件频频发生。
(4)低风险的诱惑。
危害信息安全的行为都具有共同的特征：一是需要相关技术；二是隐蔽性较强，被查 获的可能性相对较小；三是高回报低风险。因此，从犯罪心理学角度来看，低风险的诱惑 也是许多人冒险犯罪的重要原因。
数据因素造成的信息安全风险
通过信息系统采集、存储、处理和传输的数据，是具有很高价值的资产，其安全性格外重要。

展开更多......

收起↑