資源簡(jiǎn)介

(共39張PPT)
觀看并思考：視頻中的Ellie遭受到了什么危機(jī)？
Ellie的個(gè)人信息遭到泄露，但她通過禁止軟件跟蹤、加密郵件地址等方式保護(hù)了個(gè)人的信息安全
信息系統(tǒng)的安全風(fēng)險(xiǎn)防范
信息技術(shù)必修二《信息系統(tǒng)與社會(huì)》
第五章
信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)和方法
合理使用信息系統(tǒng)
信息系統(tǒng)應(yīng)用中的安全風(fēng)險(xiǎn)
信息系統(tǒng)應(yīng)用中的安全風(fēng)險(xiǎn)
01
1. 人為因素造成的信息安全風(fēng)險(xiǎn)
信息系統(tǒng)可以擁有最好的技術(shù)，例如防火墻、入侵檢測(cè)等，但是如果操作人員沒有防范意識(shí)、誤操作、故意破壞，信息系統(tǒng)仍然可能崩潰。
原因
防范措施
1. 從政府層面加強(qiáng)立法工作。
2. 不斷提高關(guān)鍵安全技術(shù)水平。
3. 使用者全面提高道德意識(shí)與技術(shù)防范水平。
身份認(rèn)證
權(quán)限管理
常用防范技術(shù)
2. 軟硬件因素造成的信息安全風(fēng)險(xiǎn)
軟件是信息系統(tǒng)中最難實(shí)施安全保護(hù)的部分，主要是在軟件開發(fā)中產(chǎn)生的錯(cuò)誤，如軟件漏洞、故障、缺陷等。
原因
防范措施
1. 把硬件作為物理資產(chǎn)處理。
2. 嚴(yán)格限制對(duì)硬件的訪問權(quán)限。
3. 保護(hù)好信息系統(tǒng)的物理位置及本身的安全。
硬件因素，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端等硬件損壞。
3. 網(wǎng)絡(luò)因素造成的信息安全風(fēng)險(xiǎn)
信息資源在網(wǎng)絡(luò)環(huán)境中共享、傳播，一些重要的信息極有可能被網(wǎng)絡(luò)黑客竊取、篡改，也可能因?yàn)楣粜袨閷?dǎo)致網(wǎng)絡(luò)崩潰而出現(xiàn)信息丟失，嚴(yán)重時(shí)可能波及信息產(chǎn)業(yè)正常發(fā)展，甚至?xí)斐扇祟惿鐣?huì)的動(dòng)蕩。
公共場(chǎng)所Wi-Fi
需謹(jǐn)慎使用
3. 網(wǎng)絡(luò)因素造成的信息安全風(fēng)險(xiǎn)
1. 網(wǎng)絡(luò)系統(tǒng)管理的復(fù)雜性：網(wǎng)絡(luò)與計(jì)算機(jī)信息系統(tǒng)管理的復(fù)雜性造成了工作中稍有不慎或管理策略不得當(dāng)，都會(huì)形成安全漏洞。
2. 網(wǎng)絡(luò)信息的重要性：大數(shù)據(jù)時(shí)代的海量數(shù)據(jù)使信息、機(jī)密、財(cái)富之間產(chǎn)生緊密關(guān)聯(lián)。數(shù)據(jù)和信息的價(jià)值遠(yuǎn)遠(yuǎn)超過網(wǎng)絡(luò)系統(tǒng)各組件本身。通過滲透網(wǎng)絡(luò)系統(tǒng)竊取機(jī)密信息能夠獲取錢財(cái)。
3. 網(wǎng)絡(luò)系統(tǒng)本身的脆弱性：計(jì)算機(jī)網(wǎng)絡(luò)本身的脆弱性是誘發(fā)網(wǎng)絡(luò)信息安全的根本原因。
4. 低風(fēng)險(xiǎn)的誘惑：需要相關(guān)技術(shù)；隱蔽性較強(qiáng)；高回報(bào)低風(fēng)險(xiǎn)。
誘因
4. 數(shù)據(jù)因素造成的信息安全風(fēng)險(xiǎn)
通過信息系統(tǒng)采集、存儲(chǔ)、處理和傳輸?shù)臄?shù)據(jù)，是具有很高價(jià)值的資產(chǎn)，其安全性格外重要。
原因
防范措施
1. 數(shù)據(jù)加密
2. 分開存儲(chǔ)
數(shù)據(jù)泄露、數(shù)據(jù)損壞
騷擾電話
個(gè)人信息泄露
練一練
1. 下列選項(xiàng)中，非人為因素影響網(wǎng)絡(luò)安全的是（ ）
A. 非法竊取用戶信息 B. 制作和傳播網(wǎng)絡(luò)病毒
C. 強(qiáng)磁場(chǎng)影響 D. 修改服務(wù)器用戶信息
C
2. 下列選項(xiàng)中，不屬于計(jì)算機(jī)網(wǎng)絡(luò)安全的是（ ）
A. 網(wǎng)上系統(tǒng)信息的安全 B. 網(wǎng)上信息傳播的安全
C. 網(wǎng)上信息內(nèi)容的安全 D. 網(wǎng)上信息更新的快慢
D
信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)和方法
02
威脅
攻擊
入侵
漏洞
風(fēng)險(xiǎn)
脆弱性
（書P119 表5-3重要信息安全風(fēng)險(xiǎn)術(shù)語）
1. 信息系統(tǒng)安全風(fēng)險(xiǎn)的重要用語
信息系統(tǒng)不存在絕對(duì)的安全，因?yàn)榘踩院捅憷砸约俺杀局g有著矛盾的關(guān)系。
提高安全性，相應(yīng)地就會(huì)降低便利性。
提高安全性，相應(yīng)地就會(huì)增大成本。
易用性越好，安全性就可能會(huì)越低。
信息系統(tǒng)安全性、便利性與成本的關(guān)系：
2. 信息系統(tǒng)安全模型及安全策略
安全水平與安全成本/損失關(guān)系圖
P2DR安全模型：
策略（Policy）
防護(hù)（Protection）
檢測(cè)（Detection）
響應(yīng)（Response）
2. 信息系統(tǒng)安全模型及安全策略
P2DR安全模型：
策略（Policy）
策略是模型的核心，所有的防護(hù)、檢測(cè)和響應(yīng)都是依據(jù)安全策略實(shí)施的。
網(wǎng)絡(luò)安全策略:
（1）訪問控制策略 （2）加密通信策略
（3）身份認(rèn)證策略 （4）備份恢復(fù)策略
2. 信息系統(tǒng)安全模型及安全策略
P2DR安全模型：
常用防護(hù)技術(shù):
（1）數(shù)據(jù)加密：明文、密文 （2）身份認(rèn)證
（3）訪問控制 （4）授權(quán)和虛擬專用網(wǎng)（VPN）技術(shù)
（5）防火墻 （6）安全掃描
（7）數(shù)據(jù)備份：完全備份、增量備份、差異備份
防護(hù)（Protection）
2. 信息系統(tǒng)安全模型及安全策略
鏡像技術(shù)：把數(shù)據(jù)從一臺(tái)計(jì)算機(jī)上原樣復(fù)制到另一臺(tái)計(jì)算機(jī)上。
刻錄技術(shù)：將數(shù)據(jù)用光盤刻錄機(jī)保存到光盤上。
可懂的文本
不可懂的文本
P2DR安全模型：
采用技術(shù):
是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)。
檢測(cè)（Detection）
（1）實(shí)時(shí)監(jiān)控
（2）IT審計(jì)
IT審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過程，主要是判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整性、有效率利用組織的資源、有效果地實(shí)現(xiàn)組織目標(biāo)地過程。
2. 信息系統(tǒng)安全模型及安全策略
P2DR安全模型：
主要方法：
檢測(cè)到安全漏洞時(shí)，通過及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的安全性調(diào)整到最低風(fēng)險(xiǎn)。
（1）關(guān)閉服務(wù) （2）跟蹤
（3）反擊 （4）消除影響
響應(yīng)（Response）
2. 信息系統(tǒng)安全模型及安全策略
信息系統(tǒng)安全策略分析：（書P122 頁 表5-4）
2. 信息系統(tǒng)安全模型及安全策略
計(jì)算機(jī)的安全威脅主要來自于：
（1）非法訪問
（2）惡意代碼
（3）脆弱口令
面對(duì)信息系統(tǒng)安全問題的安全措施包括：
（1）防火墻
（2）防病毒
（3）漏洞掃描
（4）入侵檢測(cè)
（5）公鑰基礎(chǔ)設(shè)施（PKI）
（6）VPN
主要防范措施是：
及時(shí)更新修復(fù)計(jì)算機(jī)漏洞以預(yù)防、檢測(cè)和減小計(jì)算機(jī)系統(tǒng)（軟硬件）用戶執(zhí)行未授權(quán)活動(dòng)所造成的后果。
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)（重點(diǎn)）
（1）加密技術(shù)：
基本原理：
在發(fā)送端將數(shù)據(jù)變換成某種難以理解的形式，把信息隱藏起來，在接收端通過反變換恢復(fù)數(shù)據(jù)的原樣。
目的：防止信息被竊取
明文
密文
加密
發(fā)信方
密文
明文
解密
收信方
Internet
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
信息加密
密碼分析
（1）加密技術(shù)——“墨子號(hào)”量子衛(wèi)星
利用量子密鑰實(shí)現(xiàn)加密數(shù)據(jù)傳輸與視訊通信
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
（2）認(rèn)證技術(shù)：
方法：口令字（即密碼）、驗(yàn)證碼
目的：
（1）驗(yàn)證信息發(fā)送者的身份，以防止有可能冒充發(fā)送者身份信息的情況出現(xiàn)。
（2）驗(yàn)證信息的完整性。
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
（3）主機(jī)系統(tǒng)安全技術(shù)：
目的：
用于保護(hù)計(jì)算機(jī)操作系統(tǒng)和運(yùn)行于其上的信息系統(tǒng)的技術(shù)
技術(shù)手段：
（1）操作系統(tǒng)安全技術(shù)
（2）數(shù)據(jù)庫安全技術(shù)
操作系統(tǒng)安全技術(shù)發(fā)揮作用，系統(tǒng)進(jìn)行用戶賬號(hào)控制
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
（4）網(wǎng)絡(luò)與系統(tǒng)安全應(yīng)急響應(yīng)技術(shù)：
① 防火墻技術(shù)
② 入侵檢測(cè)技術(shù)
③ 應(yīng)急響應(yīng)技術(shù)
防火墻技術(shù)示意圖
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
防火墻技術(shù)
防火墻技術(shù)是位于不可信的外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間(2個(gè)網(wǎng)絡(luò)之間)的一個(gè)網(wǎng)絡(luò)安全設(shè)備或由多個(gè)硬件設(shè)備和相應(yīng)軟件組成的系統(tǒng)。
基本類型：包過濾防火墻、代理網(wǎng)關(guān)、包檢查型防火墻和混合型防火墻。
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
防火墻與預(yù)防火災(zāi)無關(guān)！
（5）惡意代碼檢測(cè)與防范技術(shù)：
惡意代碼的防治包括預(yù)防、機(jī)理分析、檢測(cè)和清除等環(huán)節(jié)
惡意代碼是指故意編制或設(shè)置的、對(duì)網(wǎng)絡(luò)或系統(tǒng)會(huì)產(chǎn)生威脅或潛在威脅的計(jì)算機(jī)代碼。
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
木馬病毒：它與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”去感染其他文件。它通過將自身偽裝吸引用戶下載執(zhí)行。
（5）惡意代碼檢測(cè)與防范技術(shù)：
計(jì)算機(jī)病毒：指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)正常使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
傳播性
破壞性
隱蔽性
寄生性、觸發(fā)性
（5）惡意代碼檢測(cè)與防范技術(shù)：
計(jì)算機(jī)病毒的防護(hù)：
不要打開可疑的電子郵件附件
注意可疑鏈接和超鏈接
不要從盜版或不受信任的網(wǎng)站下載
安裝防病毒軟件并經(jīng)常進(jìn)行掃描
使用防火墻
注意外部存儲(chǔ)設(shè)備（如 CD、DVD 和 USB）的安全性
備份計(jì)算機(jī)數(shù)據(jù)
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
（6）人工智能技術(shù)在反病毒中的應(yīng)用：
傳統(tǒng)程序設(shè)計(jì)方法編制的反病毒軟件，一般局限于固定模式和參數(shù)的計(jì)算。檢測(cè)或者消除，總是滯后于新的計(jì)算機(jī)病毒的出現(xiàn)。根據(jù)計(jì)算機(jī)病毒的表現(xiàn)手段和方式，采用人工智能方法編制的檢測(cè)病毒軟件，建立防止計(jì)算機(jī)病毒專家系統(tǒng)，可以在動(dòng)態(tài)過程中不斷學(xué)習(xí)和總結(jié)經(jīng)驗(yàn)，以改進(jìn)和提高。
專家系統(tǒng)核心：
知識(shí)庫
推理機(jī)
國(guó)內(nèi)已有應(yīng)用：
瑞星EMS防毒系統(tǒng)
騰訊TPR-AI反病毒引擎
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
練一練
1. 在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略、保護(hù)網(wǎng)絡(luò)或計(jì)算機(jī)安全的軟件是（ ）
A. 防病毒軟件 B. 防木馬軟件 C. 防火墻 D. 操作系統(tǒng)
C
2. 一般地，人們把可懂的文本稱為明文，把明文變成不可懂的文本后，這樣
的文本稱為（ ）
A. 密文 B. 編碼 C. 數(shù)據(jù) D. 文檔
A
3. 計(jì)算機(jī)病毒是一種特殊的、能夠自我復(fù)制的計(jì)算機(jī)程序（ ）
√
4. 造成計(jì)算機(jī)不能正常工作的原因若不是硬件故障，就是計(jì)算機(jī)病毒（ ）
×
合理使用信息系統(tǒng)
03
（1）信息安全管理
國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)中心數(shù)據(jù)
造成安全風(fēng)險(xiǎn)事件的原因 所占比例 /%
人為因素 52
自然災(zāi)害 25
技術(shù)錯(cuò)誤 10
內(nèi)部人員作案 10
外部人員非法攻擊 3
信息系統(tǒng)安全管理是指通過維護(hù)信息的保密性、完整性、可用性和真實(shí)性等來管理和保護(hù)信息系統(tǒng)資源的一項(xiàng)體制，也包含對(duì)信息系統(tǒng)安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動(dòng)和過程。
屬于管理方面原因高達(dá)70%
其中95%的安全問題可以通過科學(xué)的信息安全管理來避免
1. 樹立信息安全意識(shí)
（2）知識(shí)產(chǎn)權(quán)保護(hù)及其意義
軟件：包括由商業(yè)軟件開發(fā)商開發(fā)的程序以及共享軟件、專用軟件和個(gè)人軟件。
數(shù)據(jù)庫：可能包括因?yàn)榫哂袧撛谏虡I(yè)價(jià)值而收集并組織的數(shù)據(jù)。例如天氣預(yù)測(cè)數(shù)據(jù)庫、地震預(yù)測(cè)數(shù)據(jù)庫、水文情況預(yù)測(cè)數(shù)據(jù)以及經(jīng)濟(jì)形勢(shì)預(yù)測(cè)等數(shù)據(jù)，都可以受到版權(quán)保護(hù)。
數(shù)字內(nèi)容：能夠用計(jì)算機(jī)或其他數(shù)字設(shè)備以某種方式展現(xiàn)出來的，包括音視頻文件、課件、網(wǎng)站內(nèi)容和其他形式的數(shù)字作品。
算法：已經(jīng)獲得專利的算法。
1. 樹立信息安全意識(shí)
（1）信息系統(tǒng)規(guī)范操作的必要性
① 人為因素是信息系統(tǒng)安全問題產(chǎn)生的主要原因。
② 規(guī)范操作是消除過程因素造成的潛在安全威脅的必要策略
（2）信息系統(tǒng)規(guī)范操作及其意義
定義：
信息系統(tǒng)規(guī)范操作就是要按照信息系統(tǒng)既定標(biāo)準(zhǔn)、規(guī)范的要求進(jìn)行操作
目的：
加強(qiáng)信息系統(tǒng)的運(yùn)行管理，提高工作質(zhì)量和管理有效性，實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)維護(hù)、操作規(guī)范化，確保計(jì)算機(jī)系統(tǒng)安全、可靠運(yùn)作。
2. 信息系統(tǒng)安全操作規(guī)范
網(wǎng)上道德規(guī)范
遵守《全國(guó)青少年網(wǎng)絡(luò)文明公約》，法律禁止的事堅(jiān)決不做，法律提倡的事積極去做，凈化網(wǎng)絡(luò)語言，堅(jiān)決抵制網(wǎng)絡(luò)有害信息和低俗之風(fēng)，健康、合理、科學(xué)上網(wǎng)。
(1)未經(jīng)允許，不進(jìn)入他人計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用他人計(jì)算機(jī)網(wǎng)絡(luò)信息資源。
(2)未經(jīng)允許，不對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加。
(3)未經(jīng)允許，不對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加。
(4)不故意制作、傳播計(jì)算機(jī)病毒等破壞性程序。
(5)不做危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的其他事。
3. 信息社會(huì)的道德準(zhǔn)則與法律法規(guī)
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是為保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展而制定的法律。
2016年11月7日，全國(guó)人大常委會(huì)表決通過了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。
3. 信息社會(huì)的道德準(zhǔn)則與法律法規(guī)
信息安全法律法規(guī)
練一練
1. 如今，微信朋友圈成為不少人最主要的信息傳播媒介，如果盲目轉(zhuǎn)發(fā)非法
或虛假的信息也是需要承擔(dān)法律責(zé)任的，可能要受到行政處罰，對(duì)于擾亂社
會(huì)秩序或造成嚴(yán)重后果的，還可能構(gòu)成（ ）
A. 經(jīng)濟(jì)犯罪 B. 刑事犯罪
C. 走私犯罪 D. 民事犯罪
B
練一練
2.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是為保障網(wǎng)絡(luò)安全，維護(hù)_______和國(guó)家安全、
社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健
康發(fā)展而制定的法律。由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于2016年11月7日發(fā)布，
梓2017年6月1日起施行。橫線上應(yīng)填（ ）
A. 網(wǎng)絡(luò)空間主權(quán) B. 網(wǎng)絡(luò)運(yùn)行安全
C. 網(wǎng)絡(luò)數(shù)據(jù)主權(quán) D. 網(wǎng)絡(luò)信息安全
A
信息系統(tǒng)的安全風(fēng)險(xiǎn)防范
信息系統(tǒng)應(yīng)用中的安全風(fēng)險(xiǎn)
信息系統(tǒng)的安全風(fēng)險(xiǎn)的技術(shù)和方法
合理使用信息系統(tǒng)
人為因素
軟硬件因素
網(wǎng)絡(luò)因素
數(shù)據(jù)因素
信息系統(tǒng)安全風(fēng)險(xiǎn)術(shù)語
信息系統(tǒng)安全模型及安全策略
信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)
P2DR模型
樹立安全意識(shí)
信息系統(tǒng)安全操作規(guī)范
信息社會(huì)的道德準(zhǔn)則與法律法規(guī)
課堂總結(jié)
加強(qiáng)信息系統(tǒng)安全意識(shí)，提高信息安全風(fēng)險(xiǎn)防范水平，
擔(dān)當(dāng)起應(yīng)有的信息社會(huì)責(zé)任，做信息社會(huì)的一名合格公民！

展開更多......

收起↑