5.1信息系統(tǒng)的安全風險防范x1

信息系統(tǒng)的安全風險防范5.1信息系統(tǒng)應用中的安全風險5.2信息系統(tǒng)安全風險防范的技術和方法5.3合理使用信息系統(tǒng)第五章有哪些因素?

信息系統(tǒng)中的安全風險防范思考信息系統(tǒng)的我們帶來好處的同時，可能存在著哪些安全隱患？情景1：是否接到過推銷電話、詐騙電話？情景2：是否遇到過淘寶、微博等軟件崩潰？情景3：是否留意過一些軟件時不時就會提示要更新？情景4：為什么機房電腦、希沃一體機設置成還原模式？情景4：為什么密碼強度低時系統(tǒng)會提示重置為更復雜的密碼？學習新知造成信息系統(tǒng)安全風險的因素：人為因素軟硬件因素網(wǎng)絡因素數(shù)據(jù)因素探究活動：閱讀以下案例并思考，采用什么策略可以消除或減弱人為因素對信息系統(tǒng)安全造成的威脅？案例：2022年9月初，A教培公司員工紛紛反映，查詢學生信息的內(nèi)部系統(tǒng)網(wǎng)速極慢。技術部分析發(fā)現(xiàn)，有一員工ID正瘋狂查詢學生信息，大量擠占網(wǎng)速，經(jīng)排查，該ID已多次調(diào)出學生信息，在短短20天里發(fā)起查詢數(shù)十萬次，而持有該ID的員工正是8月中旬剛剛入職的汪某甲。還在公司上班的汪某甲被當場抓獲，交代了自己惡意獲取學生信息的事實，經(jīng)理指出:“該異常ID登錄的IP地址都在外地，而汪某甲卻一直在公司上班，他一定有共謀！”。警方順蔓摸瓜也很快抓獲遠在外省家鄉(xiāng)的汪某甲的親弟弟汪某乙，并在汪某乙的電腦里找到已被下載存儲的A公司學生信息2萬余組。汪某乙到案后交代說：“哥哥向我提供他的賬戶ID及密碼等信息，技術人員做好’爬蟲’軟件后遠程操作我的電腦查詢?！碧骄炕顒樱洪喿x以下案例并思考，采用什么策略可以消除或減弱人為因素對信息系統(tǒng)安全造成的威脅？案例后續(xù)處理：虹口區(qū)檢察院審理本案后認為，汪某甲、汪某乙經(jīng)事先共謀，違反國家有關規(guī)定，使用計算機程序非法獲取公民個人信息，情節(jié)嚴重，其行為均已觸犯《中華人民共和國刑法》，應當以侵犯公民個人信息罪分別追究其刑事責任。檢察官介紹，教培公司掌握海量學員個人信息，一旦泄露不僅對學員的人身及財產(chǎn)安全帶來隱患，也會對企業(yè)造成經(jīng)濟損失，更有損企業(yè)形象。企業(yè)更應加強信息安全管理和員工培訓，提升管理水平?！扇》墒侄巍訌姲踩庾R和管理水平信息系統(tǒng)安全風險——人為因素造成安全風險事件的原因所占比例/%人為因素52自然災害25技術錯誤10內(nèi)部人員作案10外部人員非法攻擊3人為因素占據(jù)的比例超過一半，成為信息系統(tǒng)安全風險的瓶頸問題。這些安全問題中95%是可以通過科學的信息安全管理來避免的。信息系統(tǒng)安全風險——人為因素“人”是信息系統(tǒng)的使用者與管理者，是信息系統(tǒng)安全的薄弱環(huán)節(jié)。一般體現(xiàn)在三個方面：采用什么策略消除或減弱人為因素造成的威脅？防范意識薄弱誤操作故意破壞政府層面加強立法工作提高關鍵安全技術水平使用者全面提高道德意識與技術防范水平學習新知造成信息系統(tǒng)安全風險的因素：人為因素軟硬件因素網(wǎng)絡因素數(shù)據(jù)因素觀察觀看視頻后請思考：共享充電寶存在什么安全隱患？▲硬件因素改裝后的共享充電寶變成惡意充電寶，會對連接的手機植入病毒以竊取個人隱私▲防范方法1.嚴格限制對硬件的訪問權限2.保護好信息系統(tǒng)的物理位置及本身的安全觀察:殺毒軟件查找電腦漏洞并修復軟件是信息系統(tǒng)中最難實施安全保護的部分。反映在開發(fā)中產(chǎn)生的錯誤：漏洞、故障、缺陷等。軟件因素案例1：智能汽車軟件漏洞2022年1月13日消息，19歲的黑客大衛(wèi)·科倫坡發(fā)現(xiàn)了特斯拉系統(tǒng)中某個軟件的漏洞，并通過該漏洞遠程入侵了13個國家的25輛特斯拉電動汽車。大衛(wèi)·科倫坡表示，通過漏洞可以使汽車被遠程控制，包括打開車窗、啟動車輛、禁用安全系統(tǒng)等，還可以通過車內(nèi)攝像頭探查司機、乘客是否在車內(nèi)?！婪斗椒ㄐ迯吐┒?、完善軟件設計軟件因素案例2：利用軟件漏洞“薅羊毛”2018年4月，在校大學生徐某利用肯德基APP客戶端和微信客戶端之間數(shù)據(jù)不同步的漏洞，一邊下單，一邊取消訂單，騙取肯德基的套餐兌換券和取餐碼。發(fā)現(xiàn)這個漏洞后，徐某不僅自己點餐，還做起了買賣，把用這種方法得到的肯德基套餐通過線上交易軟件低價出售給他人，從中非法獲利。他還將這個“方法”傳授給4名同學，造成肯德基品牌所有者百勝公司損失超過20萬元。最終，涉案5人因犯詐騙罪、傳授犯罪方法罪，被徐匯區(qū)人民法院判有期徒刑并處罰金。軟硬件因素案例：2023年10月23日“語雀”出現(xiàn)重大服務故障學習新知造成信息系統(tǒng)安全風險的因素：人為因素軟硬件因素網(wǎng)絡因素數(shù)據(jù)因素網(wǎng)絡因素關注：國家網(wǎng)絡安全宣傳周（每年的9月第3周）網(wǎng)絡安全攻擊侵入干擾破壞非法使用完整性真實性可用性保密性網(wǎng)絡防范保障數(shù)據(jù)信息觀察觀看視頻后思考：公共WiFi存在什么安全隱患？▲網(wǎng)絡因素黑客可能通過公共WiFi入侵用戶手機，利用某些軟件漏洞來植入病毒從而竊取個人信息分析網(wǎng)絡安全風險案例：某日，一所中學校園網(wǎng)站管理員前往網(wǎng)監(jiān)支隊報案，稱該校網(wǎng)站多日來連續(xù)遭受黑客攻擊。黑客對該校網(wǎng)站內(nèi)的一些數(shù)據(jù)隨意進行增加、刪除、改動，網(wǎng)站上的遠程教學、網(wǎng)絡招生、投稿等功能受到嚴重影響，數(shù)十篇論文丟失，網(wǎng)站幾近癱瘓。很快，警方將肇事機器鎖定在一臺家庭主機上，通過摸排，嫌疑人的身份逐漸浮出水面，讓人吃驚的是，令網(wǎng)站癱瘓的黑客是一名高中學生。該名學生承認，自己通過在網(wǎng)站上下載的黑客程序，對幾所學校的校園網(wǎng)站實施攻擊，而其動機只是為了向網(wǎng)友炫耀自己的黑客技術。網(wǎng)絡因素網(wǎng)絡危害信息系統(tǒng)安全體現(xiàn)在：網(wǎng)絡發(fā)生危害信息安全的誘因包括以下幾個方面：重要信息被黑客竊取、篡改攻擊行為導致網(wǎng)絡崩潰1.網(wǎng)絡系統(tǒng)管理的復雜性2.網(wǎng)絡信息的重要性3.網(wǎng)絡系統(tǒng)本身的脆弱性4.低風險的誘惑學習新知造成信息系統(tǒng)安全風險的因素：人為因素軟硬件因素網(wǎng)絡因素數(shù)據(jù)因素數(shù)據(jù)因素通過信息系統(tǒng)采集、存儲、處理和傳輸?shù)臄?shù)據(jù)，是具有很高價值的資產(chǎn)，其安全性格外重要。分析：閱讀以下材料（P118），分析事件成因及處理辦法材料一：某論壇的數(shù)據(jù)庫對用戶密碼僅使用了簡單的MD5加密法，黑客能夠快速破解出絕大部分明文密碼，這導致2300萬用戶數(shù)據(jù)泄漏，這些用戶數(shù)據(jù)包括用戶名、注冊郵箱、加密后的密碼等。▲成因：加密方法簡單▲處理方法：采用更安全的加密方式材料二：2015年，中國產(chǎn)業(yè)信息網(wǎng)公布一起重大信息泄露事件：全國有超過多個省市的社報系統(tǒng)曝出高危漏洞，統(tǒng)計達5279.4萬條，涉及人員數(shù)量達數(shù)千萬，其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。市面上隨處可售的個人信息，除了一部分是持有信息者主動售賣外，有接近3成的比例來自社保系統(tǒng)的漏洞被利用?！梢颍很浖┒幢焕谩幚矸椒ǎ盒迯吐┒捶治觯洪喿x以下材料（P118），分析事件成因及處理辦法材料三：2016年，保監(jiān)會發(fā)函通報某保險公司存在內(nèi)控缺陷，要求進行整改。保監(jiān)會指出，該公司在客戶信息真實性管理、銀郵渠道業(yè)務管理、團險業(yè)務管理、公司治理、財務基礎管理等方面存在問題及內(nèi)控缺陷。除了公司內(nèi)控問題外，該公司此前還被曝出存在嚴重信息系統(tǒng)安全漏洞，面臨泄露數(shù)以萬計客戶銀行卡號、密碼、開戶行地址、身份證等敏感信息的風險。分析：閱讀以下材料（P118），分析事件成因及處理辦法▲成因：公司存在內(nèi)控缺陷（管理問題）；安全漏洞▲處理方法：科學的信息安全管理案例：AI配音翻譯“以假亂真觀察▲加強公民生物特征數(shù)據(jù)的保護信息系統(tǒng)安全風險——數(shù)據(jù)因素數(shù)據(jù)因素造成的風險一般來自：保障數(shù)據(jù)安全的方法：數(shù)據(jù)的泄露數(shù)據(jù)的損壞分開不同地方存放數(shù)據(jù)給數(shù)據(jù)加密控制訪問權限修復安全漏洞信息系統(tǒng)應用中的安全風險人為因素防范意識弱、誤操作、故意破壞軟硬件因素硬件物理安全；軟件開發(fā)的缺陷網(wǎng)絡因素黑客竊取信息、攻擊網(wǎng)絡數(shù)據(jù)因素數(shù)據(jù)泄露、數(shù)據(jù)損壞小結實踐請嘗試分析12306訂票系統(tǒng)中存在的安全風險及防范方法網(wǎng)絡訂票系統(tǒng)因素風險防范方法人員軟硬件網(wǎng)絡數(shù)據(jù)實踐請嘗試分析網(wǎng)絡訂票系統(tǒng)中存在的安全風險及防范方法網(wǎng)絡訂票系統(tǒng)因素風險防范方法人員軟硬件網(wǎng)絡數(shù)據(jù)密碼設置太簡單；使用第三方軟件搶票導致泄露個人信息設置安全性更高的密碼；官方渠道購票服務器損壞；惡意軟件搶票黑客入侵、攻擊入侵檢測；設置防火墻用戶數(shù)據(jù)泄露；數(shù)據(jù)丟失數(shù)據(jù)加密；數(shù)據(jù)備份保障設備安全；完善系統(tǒng)設計課堂練習1.某公司的內(nèi)部文件，活動內(nèi)容以及設計方案遭到泄露，其大多數(shù)原因都不是遭到黑客攻擊，而是IT部門沒有及時注銷離職員工的郵箱及相關業(yè)務系統(tǒng)的賬號和權限。這樣的信息安全問題主要由（

）引起的。A.網(wǎng)絡因素B.人為因素C.軟硬件因素D.數(shù)據(jù)因素BB.人為因素課堂練習2.央視3-15晚會曝光部分兒童智能手表為了壓低成本使用過于老舊的操作系統(tǒng)，給消費者個人信息安全帶來了無窮的后患。造成該信息安全風險的主要原因是（

）A.網(wǎng)絡因素 B.硬件因素C.數(shù)據(jù)因素 D.軟件因素DD.軟件因素課堂練習3.近日，學校網(wǎng)站管理員發(fā)現(xiàn)有黑客攻擊學校網(wǎng)站，對網(wǎng)站內(nèi)的一些數(shù)據(jù)隨意刪改，致使遠程教學、網(wǎng)絡招生、投稿無法正常進行。下列因素是造成此次信息安全風險的是（

）A.人為因素造成的信息安全風險B.網(wǎng)絡因素造成的信息安全風險C.軟硬件因素造成的信息安全風險D.數(shù)據(jù)因素造成的信息安全風險BB.網(wǎng)絡因素造成的信息安全風險課堂練習4.小王和朋友在一間商店相遇，在購物后發(fā)現(xiàn)手機賬戶信息被盜，最大可能的原因是（

）A.采用了二維碼付款B.添加了朋友的微信C.在商店里用APP播放視頻D.連接了不安全的Wi-Fi，被盜信息DD.連接了不安全的Wi-Fi，被盜信息課堂練習5.關于某校的門禁系統(tǒng)的安全防護，下列做法正確的是（ )A.管理員經(jīng)常備份