資源簡介

(共20張PPT)
4.1 信息系統安全風險
第4單元 信息系統的安全
教科版 高中信息技術 必修2
信息處理、信息傳遞越來越依賴于現代化的信息系統。不法分子通過攻擊網站、計算機系統等，竊取私密信息，造成經濟損失，威脅人身甚至國家安全。如果對信息系統安全掉以輕心，對安全風險置之不理，安全事件一旦發生，可能會給個人、企業、國家帶來難以估量的損失甚至災難。
認識信息系統應用過程中存在的風險。
增強信息安全風險的防范意識。
學習目標
案例一：電信詐騙中的信息系統安全漏洞
深圳市的張女士在接到使用改號軟件假冒銀行客服、公安、檢察院的一系列電話后，被騙走了44萬元。而讓張女士不能接受的是，這些來電號碼，顯示的確實是銀行和公安局的電話號碼，因此她才一步步走入了犯罪分子布下的陷阱。張女士不解，為何騙子能用銀行和公安局的電話號碼給她打電話
案例二：認識無線網絡中的安全風險
Wi-fi熱點下的釣魚陷阱
黑客提供一個名字與商家類似的免費Wi-Fi接入點吸引網民接入。一旦連接到黑客設定的Wi-Fi熱點，上網的所有數據包，都會經過黑客設備轉發，這些信息都可以被截留下來分析，一些沒有加密的通信就可以被直接查看到。
無線網絡中的信息系統漏洞攻擊
攻擊者首先會使用各種黑客工具破解無線路由器的連接密碼，如果破解成功，黑客就可以成功連接路由器，與用戶共享一個局域網。攻擊者除了免費享用網絡帶寬，還會嘗試登錄無線路由器管理后臺，如圖4.1.3所示。
信息系統的安全風險主要來自兩大方面。
一方面， 在技術和設計上存在不完善性，漏洞和缺陷隨之而來，導致信息系統有其脆弱性，存在一定的安全風險。
另一方面，由人為因素引起的風險，出于商業競爭、個人報復等動機對信息系統網絡進行攻擊；或因無意間的信息泄露，使犯罪分子有了可乘之機。
1
信息系統一旦遭受破壞， 不僅會使重要信息泄漏，而且還會對個人、企業造成重大損失。
2
從理論與實踐上講，絕對安全的信息系統并不存在，風險總是客觀存在的。安全是風險與成本的綜合平衡。必須正確地評估，從實際出發，突出重點，以便采取科學、客觀、經濟和有效的措施。
01
降低信息系統安全風險
針對人為因素造成的安全風險，我們可以通過管理手段來降低。
因此，信息系統安全與否取決于兩個因素：技術和管理。
針對技術和設計上存在不完善性而產生的信息系統安全風險，我們可以通過安全技術來降低；
因此，信息系統安全與否取決于兩個因素：技術和管理。
信息系統安全管理的最終目標是將信息系統安全風險降低到用戶可接受的程度，保證系統的安全運行和使用。
降低風險。實施有效控制，將風險降低到可接受的程度，實際上就是力圖減小威脅發生的可能性和帶來的影響，降低風險的途徑包括以下幾個方面。
減少威脅：如安裝惡意軟件檢測或防御程序，減少信息系統受惡意軟件攻擊的機會。
減少弱點：如通過安全意識培訓，強化相關人員的安全意識與安全操作能力。
降低影響：如制訂災難恢復計劃和業務連續性計劃，做好備份。
規避風險。有時候，可以選擇放棄某些可能帶來風險的業務或資產，以此規避風險。例如，將重要的計算機系統與互聯網隔離，使其免遭來自外部網絡的攻擊。
轉嫁風險。將風險全部或者部分地轉移到其他責任方，如購買商業保險。
接受風險。在實施了其他風險應對措施之后，對于殘留的風險，可以選擇接受。
如下表所示，信息系統安全主要是指系統安全和信息安全，其核心屬性包括機密性、真實性、 可控性和可用性，具體反映在物理安全、運行安全、數據安全、內容安全四個層面上。
層次 層面 作用點 信息安全的核心屬性
機密性 真實性 可控性 可用性
系統安全 物理安全 硬件 √ √ √
運行安全 軟件 √ √ √
信息安全 數據安全 保護信息 √ √ √
內容安全 攻擊信息 √ √ √ √
系統安全反映的是信息系統所面臨的安全問題。
物理安全涉及的是硬件設施方面的安全問題；
運行安全涉及的是操作系統、數據庫、應用系統等軟件方面的安全問題。
信息安全是任何國家、政府、部門、行業都十分重視的問題，是不容忽視的國家安全戰略。
信息安全所反映的是信息自身所面臨的安全問題。
數據安全是以保護數據不受外界的侵擾為目的，包括與泄密、偽造、篡改等有關的行為;
內容安全則是反過來對流動的數據進行限制，包括可以對指定的數據進行選擇性的阻斷、修改、轉發等特定的行為。
活動：請評估與自己有關的信息安全
影響信息安全的行為 自我核查 改進做法
密碼是否向好朋友透露？ □是 □否
密碼是否太簡單？太短？是自己的姓名或生日等？ □是 □否
沒有修改過默認密碼？ □是 □否
怕忘記，所以將密碼寫在銀行卡背面？ □是 □否
會不會在有人圍在身邊時輸入密碼？ □是 □否
上網瀏覽時，是否會因為好奇，試著下載并運行一些不知道其功能的程序？ □是 □否
通過網絡，了解“高考志愿被篡改”事件，重視與自己有關的信息安全問題。
小結
認識信息系統應用過程中存在的風險，增強信息安全風險的防范意識。
謝謝
第4單元 信息系統的安全

展開更多......

收起↑