第五章-信息系統(tǒng)的安全風(fēng)險(xiǎn)防范 復(fù)習(xí) 課件 2021-2022學(xué)年粵教版（2019）高中信息技術(shù)必修2

5.信息系統(tǒng)的安全風(fēng)險(xiǎn)防范主講人：***粵教版信息技術(shù)必修二《信息系統(tǒng)與社會(huì)》【知識(shí)體系】信息系統(tǒng)的安全風(fēng)險(xiǎn)防范安全風(fēng)險(xiǎn)人為因素軟硬件因素網(wǎng)絡(luò)因素?cái)?shù)據(jù)因素技術(shù)與方法重要術(shù)語(yǔ)威脅、攻擊、入侵、漏洞、脆弱性、風(fēng)險(xiǎn)P2DR安全模型策略、防護(hù)、檢測(cè)、響應(yīng)常用技術(shù)加密技術(shù)、認(rèn)證技術(shù)、主機(jī)系統(tǒng)安全技術(shù)……合理使用信息系統(tǒng)【知識(shí)梳理】一、信息系統(tǒng)應(yīng)用中的安全風(fēng)險(xiǎn)（一）人為因素1.原因：人是信息系統(tǒng)的使用者與管理者，是信息系統(tǒng)的薄弱環(huán)節(jié)。2.策略：（二）軟硬件因素1.對(duì)硬件的保護(hù)：2.對(duì)軟件的保護(hù)：及時(shí)為軟件打補(bǔ)丁或修復(fù)漏洞加強(qiáng)立法提高關(guān)鍵安全技術(shù)水平全面提高道德意識(shí)與技術(shù)防范水平把硬件作為物理資產(chǎn)嚴(yán)格限制訪問(wèn)權(quán)限【知識(shí)梳理】一、信息系統(tǒng)應(yīng)用中的安全風(fēng)險(xiǎn)（三）網(wǎng)絡(luò)因素1.風(fēng)險(xiǎn)：2.誘因：（四）數(shù)據(jù)因素：采集、存儲(chǔ)、處理、傳輸過(guò)程中的安全問(wèn)題網(wǎng)絡(luò)黑客竊取、篡改信息；網(wǎng)絡(luò)崩潰導(dǎo)致信息丟失。網(wǎng)絡(luò)系統(tǒng)管理的復(fù)雜性網(wǎng)絡(luò)信息的重要性網(wǎng)絡(luò)系統(tǒng)本身的脆弱性低風(fēng)險(xiǎn)的誘惑【知識(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（一）信息系統(tǒng)安全風(fēng)險(xiǎn)防范的重要術(shù)語(yǔ)1.威脅：對(duì)信息、系統(tǒng)或信息資產(chǎn)有潛在危險(xiǎn)的人、實(shí)體或其他對(duì)象2.攻擊：對(duì)信息、信息系統(tǒng)或信息資產(chǎn)進(jìn)行蓄意或無(wú)意破壞3.入侵：對(duì)網(wǎng)絡(luò)或聯(lián)網(wǎng)系統(tǒng)的未授權(quán)訪問(wèn)與控制4.漏洞：信息系統(tǒng)自身存在的缺陷5.脆弱性：物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件、信息都存在的缺陷6.風(fēng)險(xiǎn)：威脅主體利用脆弱性，采用一定的途徑和方式，對(duì)信息、信息系統(tǒng)或信息資產(chǎn)造成損害或損失，從而形成風(fēng)險(xiǎn)?！局R(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（一）信息系統(tǒng)安全風(fēng)險(xiǎn)防范的重要術(shù)語(yǔ)【知識(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（二）信息系統(tǒng)安全模型及安全策略1.信息系統(tǒng)安全性、便利性與成本的關(guān)系【知識(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（二）信息系統(tǒng)安全模型及安全策略2.P2DR模型（1）策略：根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等?！揪W(wǎng)絡(luò)安全策略包括】訪問(wèn)控制策略、加密通信策略、身份認(rèn)證策略和回復(fù)備份策略。（2）防護(hù)：數(shù)據(jù)加密、身份認(rèn)證、訪問(wèn)控制、授權(quán)和虛擬專用網(wǎng)（VPN）技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。（3）檢測(cè)：實(shí)時(shí)監(jiān)控、IT審計(jì)（4）響應(yīng)：關(guān)閉服務(wù)、跟蹤、反擊、消除影響。【知識(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（二）信息系統(tǒng)安全模型及安全策略3.信息系統(tǒng)安全策略分析（1）非技術(shù)層面：預(yù)防意識(shí)、管理保障措施、應(yīng)急響應(yīng)機(jī)制。（2）技術(shù)層面：①物理方面：物理系統(tǒng)措施：環(huán)境維護(hù)、防盜、防火、防靜電、防雷擊。②邏輯方面：操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)措施：訪問(wèn)控制、信息加密。【知識(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（三）信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)1.加密技術(shù)：防止信息被竊?。?）加密：將數(shù)據(jù)變換成某種形式，進(jìn)而隱藏信息（2）解密：將隱藏的數(shù)據(jù)反變換成原樣，進(jìn)而恢復(fù)信息（3）密碼分析：研究高效算法破譯密碼以獲取機(jī)密信息2.認(rèn)證技術(shù)（1）目的：驗(yàn)證信息發(fā)送者的身份、驗(yàn)證信息的完整性。（2）方法：口令字、物理手段、生物手段?！局R(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（三）信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)3.主機(jī)系統(tǒng)安全技術(shù)（1）目的：保護(hù)計(jì)算機(jī)操作系統(tǒng)、保護(hù)運(yùn)行在計(jì)算機(jī)上的信息系統(tǒng)技術(shù)（2）技術(shù)手段：①操作系統(tǒng)安全技術(shù)：②數(shù)據(jù)庫(kù)安全技術(shù)：用戶賬號(hào)控制機(jī)制：區(qū)分普通用戶和管理員等不同角色對(duì)軟件的使用權(quán)限強(qiáng)制完整性控制機(jī)制用戶界面特權(quán)隔離機(jī)制網(wǎng)絡(luò)訪問(wèn)保護(hù)機(jī)制安全數(shù)據(jù)庫(kù)管理系統(tǒng)外包數(shù)據(jù)庫(kù)安全云數(shù)據(jù)庫(kù)/云存儲(chǔ)安全【知識(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（三）信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)4.網(wǎng)絡(luò)與系統(tǒng)安全應(yīng)急響應(yīng)技術(shù)（1）防火墻技術(shù)（2）入侵檢測(cè)技術(shù):（3）應(yīng)急響應(yīng)技術(shù):阻擋非法用戶的侵入記錄計(jì)算機(jī)網(wǎng)絡(luò)之中的數(shù)據(jù)信息防止工作人員訪問(wèn)存在安全隱患的網(wǎng)站檢查損壞或企圖損壞系統(tǒng)的機(jī)密性、完整性及可用性等行為的一類安全技術(shù)。在網(wǎng)絡(luò)被破壞前后所采取的的預(yù)防、應(yīng)對(duì)措施【知識(shí)梳理】二、信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)與方法（三）信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)5.惡意代碼檢測(cè)與防范技術(shù):（1）工作環(huán)節(jié)：預(yù)防、機(jī)理分析、檢測(cè)和清楚（2）種類：病毒、蠕蟲、木馬、僵尸病毒、間諜軟件、Rootkit…6.人工智能技術(shù)在反病毒中的應(yīng)用（1）根據(jù)計(jì)算機(jī)病毒的表現(xiàn)手段和方式，采用人工智能方法編制檢測(cè)病毒軟件，建立防治計(jì)算機(jī)病毒專家系統(tǒng)。（2）專家系統(tǒng)的核心：知識(shí)庫(kù)和推理機(jī)主要是指以危害信息的安全等不良意圖的程序，一般潛伏在受害計(jì)算機(jī)系統(tǒng)中實(shí)施破壞或竊取信息【知識(shí)梳理】三、合理使用信息系統(tǒng)（一）樹立信息安全意識(shí)1.信息安全管理2.知識(shí)產(chǎn)權(quán)保護(hù)及其意義知識(shí)產(chǎn)權(quán)保護(hù)的范圍：維護(hù)信息安全：確保信息內(nèi)容在獲取、存儲(chǔ)、處理、檢索和傳送中，保存其保密性、完整性、可用性和真實(shí)性。人為造成計(jì)算機(jī)系統(tǒng)安全風(fēng)險(xiǎn)事件的原因：人為（75%），自然災(zāi)害（25%）軟件數(shù)據(jù)庫(kù)數(shù)字內(nèi)容算法?！局R(shí)梳理】三、合理使用信息系統(tǒng)（二）信息系統(tǒng)安全操作規(guī)范1.信息系統(tǒng)規(guī)范操作的必要性（1）人為因素是信息系統(tǒng)安全問(wèn)題產(chǎn)生的主要原因。（2）規(guī)范操作是消除過(guò)程因素造成的潛在威脅的必要策略2.信息系統(tǒng)規(guī)范操作及其意義

（1）加強(qiáng)信息系統(tǒng)的運(yùn)行管理（2）提高工作質(zhì)量和管理有效性（3）實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)維護(hù)、操作規(guī)范化（4）確保計(jì)算機(jī)系統(tǒng)安全、可靠運(yùn)作【知識(shí)梳理】三、合理使用信息系統(tǒng)（三）信息社會(huì)的道德準(zhǔn)則與法律法規(guī)1.網(wǎng)上道德規(guī)范2.信息安全法律法規(guī)存在問(wèn)題造成危害在網(wǎng)上傳播不良信息毒化網(wǎng)絡(luò)“空氣”，對(duì)青少年的身心造成危害網(wǎng)上犯罪會(huì)對(duì)經(jīng)濟(jì)、人身等造成嚴(yán)重后果虛假信息嚴(yán)重影響人們對(duì)信息真實(shí)性判斷，降低了信息的可信度信息垃圾讓人無(wú)法對(duì)信息作出正確、有效的選擇沉溺游戲?qū)η嗌倌甑男睦砗蜕碓斐蓢?yán)重的負(fù)面影響《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》【典型例題】1.下列行為符合網(wǎng)絡(luò)行為規(guī)范的是()A.未經(jīng)許可隨意使用別人的計(jì)算機(jī)資源B.利用高效算法破譯別人的密碼C.給別人發(fā)大量的垃圾郵件D.不在網(wǎng)上發(fā)布存在安全漏洞的驅(qū)動(dòng)程序2.馬老師組織幾百名學(xué)生在計(jì)算機(jī)教室同時(shí)填寫調(diào)查問(wèn)卷，結(jié)果出現(xiàn)卡頓、亂碼、閃退等情況，甚至不能出現(xiàn)問(wèn)卷頁(yè)面。究其主要原因是學(xué)生集中報(bào)名，進(jìn)而造成網(wǎng)絡(luò)擁堵。像這種情況，是由于()而造成信息系統(tǒng)不可靠、不安全。A.人為因素 B.軟硬件因素 C.網(wǎng)絡(luò)因素 D.數(shù)據(jù)因素DB【典型例題】3.小智在某餐廳參加畢業(yè)聚餐，結(jié)果發(fā)現(xiàn)手機(jī)賬戶信息被盜，最大原因可能是()。A.采用了二維碼付款 B.在餐廳里用APP播放視頻C.添加了朋友的微信 D.連接不安全的Wi-Fi,被盜取信息4.某公司的內(nèi)部文件，活動(dòng)內(nèi)容以及設(shè)計(jì)方案遭到泄露，通過(guò)多方面調(diào)查，發(fā)現(xiàn)是IT部門沒(méi)有及時(shí)注銷離職員工的郵箱及相關(guān)業(yè)務(wù)系統(tǒng)的賬號(hào)和權(quán)限。這樣的信息安全問(wèn)題主要是由()引起的。A.人為因素 B.軟硬件因素C.網(wǎng)絡(luò)因素 D.數(shù)據(jù)因素DA【典型例題】5.小馬作為某公司的信息系統(tǒng)管理員，在員工離職時(shí)都要停用該員工曾經(jīng)使用過(guò)的相關(guān)信息系統(tǒng)的賬號(hào)，這樣的操作規(guī)范屬于()