資源簡介

(共24張PPT)
第五章
信息系統的安全風險防范
1
信息系統應用中的安全風險
2
防范的技術和方法
CONTENT
3
合理使用信息系統
情境導入
互聯網時代，信息系統安全問題日趨嚴峻，上至國家安全，下到百姓生活安全，幾乎無處不在，無處不有。我們所熟悉的校園網絡信息系統也無法置身事外。
校園網絡信息系統通過網絡將辦公、教學、學習、宣傳等所需涉及的硬件、軟件、數據及用戶進行連接。然而，惡意軟件、病毒在校園網中傳播，黑客攻擊等因素造成校園網網速變慢、信息丟失甚至網絡癱瘓的嚴重后果，對校園網安全構成巨大威脅。
信息系統應用中的安全風險
信息系統應用中的安全風險
1
人為因素造成的信息安全風險
在視頻案例中，是什么原因造成校園網系統的安全受到威脅？
黑客利用病毒攻擊系統
使用者和管理者缺乏防范意識
人為因素
信息系統應用中的安全風險
1
人為因素造成的信息安全風險
采用什么策略可以消除或減弱人為因素對信息系統安全造成的威脅？
除了從政府層面加強立法工作，還需要不斷提高關鍵安全技術水平，更需要使用者全面提高道德意識與技術防范水平。
信息系統應用中的安全風險
2019年1月20號凌晨，拼多多平臺出現了重大漏洞。任何用戶的賬戶都可以直接領取一張百元的優惠券。有朋友肯定會說，一張百元的優惠券沒什么呀，只是優惠券而已。但是最致命的問題在于這張優惠券是沒有門檻的，沒有任何限制，在拼多多全平臺都可以直接的抵扣使用。有不少的網友直接用這一張百元優惠券充值了話費、q幣等等虛擬物品，而且也已經到賬。雖然說這一漏洞在今天上午已經被緊急修復，但是這一晚上對于拼多多的平臺來講，損失絕對是空前的。根據有關消息稱，這一次的漏洞問題可能會讓拼多多直接損失上百億元。
對于這一次的漏洞問題，官方回應表示，這是一次團伙行動，通過一個過期的優惠券漏洞改成了目前的無門檻百元優惠券，而進行的不正當謀利。目前，拼多多平臺已經修復了漏洞，并且已經向公安機關進行報案。對已經出現的損失，目前拼多多方面也在積極的進行追回。
信息系統應用中的安全風險
2
軟硬件因素造成的信息安全風險
軟件開發中產生的錯誤，如漏洞、故障、缺陷等問題。
信息系統的物理位置及本身的安全。
硬件因素
軟件因素
信息系統應用中的安全風險
3
網絡因素造成的信息安全風險
網絡發生危害信息安全的誘因：
網絡系統管理的復雜性
網絡信息的重要性
網絡系統本身的脆弱性
低風險的誘惑
信息系統應用中的安全風險
4
數據因素造成的信息安全風險
數據泄露會造成什么樣的影響？
通過信息系統采集、存儲、處理和傳輸的數據，是具有很高價值的資產，其安全性格外重要。
小結
人為因素
軟硬件因素
網絡因素
數據因素
造成信息安全風險的因素有哪些？
防范的技術和方法
信息系統
不存在絕對的安全
安全性
便利性
成本
信息系統的安全不能僅從技術入手，還得從系統的管理角度切入，才能尋找到較合理的解決策略。
防范的技術和方法
P2DR安全模型
P2DR 模型是在整體的安全策略的控制和指導下，在綜合運用防護工具（如防火墻、操作系統身份認證、加密等）的同時，利用檢測工具（如漏洞評估、入侵檢測等）了解和評估系統的安全狀態，通過適當的反應將系統調整到“最安全”和“風險最低”的狀態。防護、檢測和響應組成了一個完整的、動態的安全循環，在安全策略的指導下保證信息系統的安全。
防范的技術和方法
對于以計算機及網絡為主體的信息系統，其安全策略可以從非技術和技術兩個方面來考慮。
其中非技術策略方面主要包括預防意識、管理保障措施、應急響應機制等三個方面；技術策略分為物理和邏輯兩大方面，主要包括物理系統、操作系統、數據庫系統、應用系統和網絡系統等五個層面。
防范的技術和方法
防范的技術和方法
認證技術
任何人都可以使用我們學校綜合樓一樓的智能借書柜嗎？
我們在借書或還書之前，是如何登錄賬號的？
除了用學號和密碼登錄之外，還有什么方法可以登錄？
想一想
防范的技術和方法
信息系統安全風險防范的常用技術
加密技術
認證技術
主機系統安全技術
網絡與系統安全應急響應技術
操作系統安全技術
數據庫安全技術
防火墻技術
入侵檢測技術
應急響應技術
惡意代碼檢測與防范技術
人工智能在反病毒中的應用
合理使用信息系統
1
樹立信息安全意識
95% 的信息系統安全問題可以通過科學的信息安全管理來避免。
如制定信息安全的政策法規，制訂各類規范的操作程序，加強人員安全意識與法律意識，各類風險評估等。
合理使用信息系統
1
樹立信息安全意識
網絡與計算機環境中的 知識產權 往往與網絡及計算機安全直接相關。
保護軟件、數據庫、數字內容、算法等不被他人盜用。
合理使用信息系統
2
信息系統安全操作規范
必要性
人為因素是信息系統安全問題產生的主要原因
規范操作是消除過程因素造成的潛在安全威脅的必要策略
意義
加強信息系統的運行管理，提高工作質量和管理有效性，實現計算機系統維護、操作規范化，確保計算機系統安全、可靠運作。
同學們在教室或電腦室使用校園網絡時，有哪些行為是不安全的？
合理使用信息系統
3
信息社會的道德準則與法律法規
(1) 未經允許，不進入他人計算機信息網絡或者使用他人計算機網絡信息資源。
(2) 未經允許，不對計算機信息網絡功能進行刪除、修改或者增加。
(3) 未經允許，不對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加。
(4) 不故意制作、傳播計算機病毒等破壞性程序。
(5) 不做危害計算機信息網絡安全的其他事。
網上道德規范
合理使用信息系統
3
信息社會的道德準則與法律法規
道德是自律的規范，法律是他律的規范。
對于一些已經造成重大危害的行為，必須通過法律的手段來制裁。
練習題
1、小明和朋友在一家餐廳聚會后，發現手機賬戶信息被盜，最大原因可能是（ ）
A.采用了二維碼付款 B.在餐廳里用APP播放視頻
C.添加了朋友的微信 D.連接不安全的Wi-Fi，被盜取信息
2、影響信息系統安全的三大因素是（ ）造成的潛在安全威脅、過程因素造成的潛在安全威脅、網絡因素造成的潛在安全威脅。
A.人員 B.過程 C.網絡 D.數據
D
A
練習題
3、2017年6月1日起施行的《中華人民共和國網絡安全法》總則第一條是：為了保障網絡安全，維護網絡空間主權和國家安全、（ ），保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。
A.國有企事業單位利益 B.私人企業利益
C.國家利益 D.社會公共利益
D

展開更多......

收起↑