資源簡介

信息系統應用中的安全風險
學習目標
認識信息系統應用過程中的安全風險。
學習內容
2016年12月27日,我國發布《國家網絡空間安全戰略》，提出捍衛網絡空間主權、維 護國家安全、保護關鍵信息基礎設施、加強網絡文化建設、打擊網絡恐怖等九項任務，再 次將信息系統應用中安全與風險問題提升到了國家安全的重要層面。信息系統安全風險問 題存在于信息系統的各個環節，了解其中的成因直接關系到信息安全的解決策略的制訂與 方法實施。
人為因素造成的信息安全風險
“人”是信息系統的使用者與管理者，是信息系統安全的薄弱環節。信息系統可以 擁有最好的技術如防火墻、入侵檢測系統等，但如果操作人員沒有防范意識，信息系統 仍然可能崩潰。
中國有句古語“解鈴還需系鈴人”。信息系統安全是個社會系統工程，除了從政府層 面加強立法工作，還需要不斷提高關鍵安全技術水平，更需要使用者全面提高道德意識與 技術防范水平。
軟硬件因素造成的信息安全風險
保護信息系統中的硬件免受危害或竊取，通常釆用的方法是：先把硬件作為物理資產 處理，再嚴格限制對硬件的訪問權限，以確保信息安全。保護好信息系統的物理位置及本 身的安全是重中之重，因為物理安全的破壞可直接導致信息的丟失。
軟件是信息系統中最難實施安全保護的部分，主要反映在軟件開發中產生的錯誤，如 漏洞、故障、缺陷等問題。在生活中，智能手機崩潰、存在控制缺陷的汽車被召回等事 件，都是軟件開發過程中安全問題后置或為節省時間、資金、成本與人力等因素造成的。
網絡因素造成的信息安全風險,
信息資源在網絡環境中共享、傳播，一些重要的信息極有可能被網絡黑客竊取、篡 改，也可能因為攻擊行為導致網絡崩潰而出現信息丟失，嚴重時可能波及信息產業正常發 展，甚至會造成人類社會的動蕩。因此，為保證網絡安全、有序地運行，世界各國相繼制 定和調整了網絡安全戰略，增設專門機構，加大人員和資金的投入，最大限度地維護網絡 信息安全和利益。
通常網絡發生危害信息安全的誘因包括以下幾個方面：
(1)網絡系統管理的復雜性。
網絡與計算機信息系統管理的復雜性造成了工作中稍有不慎或管理策略不得當,都會 形成安全漏洞，而這些安全隱患對少數技術水平高、法制觀念不強而想獲取非法利益的人 創造了條件。
(2)網絡信息的重要性。
大數據時代的海量數據，使信息、機密、財富之間產生緊密的關聯，從而構成信息安 全的重要因素。很多情況下，數據和信息的價值遠遠超過網絡系統各組件本身。因此，大量的信息安全事件直接指向了數據。通過滲透網絡系統竊取機密信息，能夠獲取錢財，對 于那些法律意識薄弱、道德水平低下但卻有著高超的計算機網絡技術的人，其誘惑力是不 言而喻的，因此一些人鋌而走險，以身試法。
(3 )網絡系統本身的脆弱性。
計算機網絡本身的脆弱性是誘發危害網絡信息安全的根本原因。信息存儲密度高、易 修改、能共享、網絡傳遞方便，導致大量信息中隱藏非法信息而不易被察覺，一旦被攻擊 將損失慘重；信息易修改給正常工作帶來了方便，但修改不留印跡也給犯罪分子創造了機 會；網絡傳遞快捷方便，但傳遞過程中的電磁泄漏、搭線竊聽、接收方身份識別困難等問 題，也使得危害網絡信息事件頻頻發生。
(4)低風險的誘惑。
危害信息安全的行為都具有共同的特征：一是需要相關技術；二是隱蔽性較強，被查 獲的可能性相對較小；三是高回報低風險。因此，從犯罪心理學角度來看，低風險的誘惑 也是許多人冒險犯罪的重要原因。
數據因素造成的信息安全風險
通過信息系統采集、存儲、處理和傳輸的數據，是具有很高價值的資產，其安全性格外重要。

展開更多......

收起↑