信息系統(tǒng)的安全風(fēng)險(xiǎn)防范5.1信息系統(tǒng)應(yīng)用中的安全風(fēng)險(xiǎn)5.2信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)和方法5.3合理使用信息系統(tǒng)第五章有哪些因素?

信息系統(tǒng)中的安全風(fēng)險(xiǎn)防范回顧舊知信息系統(tǒng)的組成有哪些？學(xué)習(xí)新知造成信息系統(tǒng)安全風(fēng)險(xiǎn)的因素：人為因素軟硬件因素網(wǎng)絡(luò)因素?cái)?shù)據(jù)因素探究活動(dòng)1觀看視頻后思考：哪些因素造成了信息系統(tǒng)安全問題？人為因素：用戶沒有及時(shí)修補(bǔ)系統(tǒng)漏洞軟硬件因素：存在系統(tǒng)漏洞【主要因素】信息系統(tǒng)安全風(fēng)險(xiǎn)——人為因素“人”是信息系統(tǒng)的使用者與管理者，是信息系統(tǒng)安全的薄弱環(huán)節(jié)。一般體現(xiàn)在三個(gè)方面：采用什么策略消除或減弱人為因素造成的威脅？防范意識(shí)薄弱誤操作故意破壞政府層面加強(qiáng)立法工作提高關(guān)鍵安全技術(shù)水平使用者全面提高道德意識(shí)與技術(shù)防范水平探究活動(dòng)2-1觀看視頻后思考：哪些因素造成了信息系統(tǒng)安全問題？硬件因素：改裝后的共享充電寶變成惡意充電寶人為因素：黑客利用技術(shù)手段篡改硬件【主要因素】探究活動(dòng)2-2閱讀案例后思考：哪些因素造成了信息系統(tǒng)安全問題？軟件因素：利用了系統(tǒng)漏洞進(jìn)行成績修改人為因素：學(xué)生利用技術(shù)手段篡改成績【主要因素】案例：2017年12月，廣東省東莞理工學(xué)院發(fā)通報(bào)稱，一大四學(xué)生因5門考試掛科而入侵學(xué)校數(shù)據(jù)庫，并修改成績至合格線以上。經(jīng)研究決定，給予該生留校察看處分，處分期限12個(gè)月。該生利用學(xué)校教務(wù)系統(tǒng)的漏洞，通過所掌握的網(wǎng)絡(luò)技能入侵?jǐn)?shù)據(jù)庫，對(duì)自己不及格的科目成績進(jìn)行修改，使其全部成績都在合格線以上。信息系統(tǒng)安全風(fēng)險(xiǎn)——軟硬件因素物理安全的破壞可直接導(dǎo)致信息的丟失。保護(hù)信息系統(tǒng)中的硬件免受危害或竊取，方法是：軟件是信息系統(tǒng)中最難實(shí)施安全保護(hù)的部分。體現(xiàn)在開發(fā)中產(chǎn)生的錯(cuò)誤：嚴(yán)格限制對(duì)硬件的訪問權(quán)限保護(hù)好信息系統(tǒng)的物理位置及本身的安全漏洞故障缺陷完善軟件的設(shè)計(jì)方法是：探究活動(dòng)3觀看視頻后思考：哪些因素造成了信息系統(tǒng)安全問題？網(wǎng)絡(luò)因素：利用WiFi植入電腦病毒竊取信息人為因素：黑客利用技術(shù)手段【主要因素】信息系統(tǒng)安全風(fēng)險(xiǎn)——網(wǎng)絡(luò)因素網(wǎng)絡(luò)危害信息系統(tǒng)安全體現(xiàn)在：網(wǎng)絡(luò)發(fā)生危害信息安全的誘因包括以下幾個(gè)方面：重要信息被黑客竊取、篡改攻擊行為導(dǎo)致網(wǎng)絡(luò)崩潰1.網(wǎng)絡(luò)系統(tǒng)管理的復(fù)雜性2.網(wǎng)絡(luò)信息的重要性3.網(wǎng)絡(luò)系統(tǒng)本身的脆弱性4.低風(fēng)險(xiǎn)的誘惑探究活動(dòng)4觀看視頻后思考：哪些因素造成了信息系統(tǒng)安全問題？數(shù)據(jù)因素：數(shù)據(jù)泄露帶來安全風(fēng)險(xiǎn)信息系統(tǒng)安全風(fēng)險(xiǎn)——數(shù)據(jù)因素?cái)?shù)據(jù)因素造成的風(fēng)險(xiǎn)一般來自：保障數(shù)據(jù)安全的方法：數(shù)據(jù)的泄露數(shù)據(jù)的損壞分開不同地方存放數(shù)據(jù)給數(shù)據(jù)加密信息系統(tǒng)應(yīng)用中的安全風(fēng)險(xiǎn)人為因素防范意識(shí)弱、誤操作、故意破壞軟硬件因素硬件物理安全；軟件開發(fā)的缺陷網(wǎng)絡(luò)因素黑客竊取信息、攻擊網(wǎng)絡(luò)數(shù)據(jù)因素?cái)?shù)據(jù)泄露、數(shù)據(jù)損壞小結(jié)重要術(shù)語和常用技術(shù)信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)和方法學(xué)習(xí)新知信息系統(tǒng)安全風(fēng)險(xiǎn)的重要術(shù)語：威脅攻擊入侵漏洞脆弱性風(fēng)險(xiǎn)說明：入侵者通過防火墻上的某個(gè)端口訪問網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)的重要術(shù)語1.威脅威脅是指經(jīng)常存在的、對(duì)信息或信息資產(chǎn)具有潛在危險(xiǎn)的人、實(shí)體或其他對(duì)象，也稱為威脅主體，即針對(duì)信息或系統(tǒng)的潛在危險(xiǎn)。說明：被動(dòng)攻擊:某人偶然讀取了敏感信息，但沒有使用的意圖。主動(dòng)攻擊：黑客試圖入侵信息系統(tǒng)。2.攻擊攻擊是不斷地對(duì)資產(chǎn)進(jìn)行蓄意或無意破壞，或損害信息、或損壞信息系統(tǒng)的一種行為。類型：主動(dòng)攻擊與被動(dòng)攻擊、蓄意攻擊與無意攻擊、直接攻擊或間接攻擊等。信息系統(tǒng)安全風(fēng)險(xiǎn)的重要術(shù)語說明：入侵是主動(dòng)、有意圖地對(duì)合法系統(tǒng)進(jìn)行攻擊，獲取未授權(quán)軟硬件資源及數(shù)據(jù)的訪問與控制。3.入侵人侵是敵手通過攻克系統(tǒng)的訪問控制保護(hù)，得到對(duì)第三方數(shù)據(jù)的非授權(quán)訪問。信息系統(tǒng)安全風(fēng)險(xiǎn)的重要術(shù)語說明：漏洞：如軟件包缺陷、未受保護(hù)的系統(tǒng)端口、暴露、風(fēng)險(xiǎn)、偽造等。4.漏洞漏洞是一個(gè)天然的缺陷，猶如沒有上鎖的門，它是信息系統(tǒng)自身存在的弱點(diǎn)或錯(cuò)誤，使信息暴露在被攻擊或被破壞的情況下。信息系統(tǒng)安全風(fēng)險(xiǎn)的重要術(shù)語說明：如：未安裝補(bǔ)丁的應(yīng)用程序或操作系統(tǒng)軟件；

服務(wù)器和工作站上未實(shí)施密碼管理等。5.脆弱性脆弱性是一種軟件、硬件、過程或人為缺陷，它的存在說明了缺少應(yīng)該使用的安全措施或者安全措施有缺陷。信息系統(tǒng)安全風(fēng)險(xiǎn)的重要術(shù)語說明：網(wǎng)絡(luò)沒有安裝入侵檢測(cè)系統(tǒng)，在不引人注意的情況下被攻擊且很晚才被發(fā)現(xiàn)的可能性就會(huì)較大。6.風(fēng)險(xiǎn)風(fēng)險(xiǎn)是威脅主體利用脆弱性的可能性以及相應(yīng)的業(yè)務(wù)影響。信息系統(tǒng)安全風(fēng)險(xiǎn)的重要術(shù)語信息系統(tǒng)安全性、便利性與成本的關(guān)系信息系統(tǒng)不存在絕對(duì)的安全，因?yàn)榘踩院捅憷约俺杀局g有著矛盾的關(guān)系。安全性便利性成本信息系統(tǒng)安全模型及安全策略信息系統(tǒng)安全模型的種類很多，其中一種叫：P2DR模型，該模型包括策略、防護(hù)、檢測(cè)和響應(yīng)四個(gè)部分。策略：描述了系統(tǒng)中哪些資源要得到保護(hù)；如何實(shí)現(xiàn)對(duì)資源的保護(hù)。防護(hù)：預(yù)防安全事件的發(fā)生；發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；正確使用系統(tǒng),防止意外威脅；防止惡意威脅。檢測(cè)：發(fā)現(xiàn)新的威脅和弱點(diǎn)，并通過循環(huán)反饋來及時(shí)作出有效的響應(yīng)。響應(yīng)：在檢測(cè)到安全漏洞和安全事件時(shí),通過及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的安全性調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài)。信息系統(tǒng)安全策略分析安全策略非技術(shù)預(yù)防意識(shí)管理保障措施應(yīng)急響應(yīng)機(jī)制技術(shù)物理方面邏輯方面操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)系統(tǒng)信息系統(tǒng)風(fēng)險(xiǎn)防范的常用技術(shù)1.加密技術(shù)2.認(rèn)證技術(shù)3.主機(jī)系統(tǒng)安全技術(shù)4.網(wǎng)絡(luò)與系統(tǒng)安全應(yīng)急響應(yīng)技術(shù)5.惡意代碼檢測(cè)與防范技術(shù)6.人工智能技術(shù)在反病毒中的應(yīng)用√√信息系統(tǒng)風(fēng)險(xiǎn)防范的常用技術(shù)1.加密技術(shù)目的：防止信息被竊取?；驹恚涸诎l(fā)送端將數(shù)據(jù)變換成某種難以理解的形式，把信息隱藏起來，在接收端通過反變換恢復(fù)數(shù)據(jù)的原樣。發(fā)送端接收端解密加密亂碼傳送信息系統(tǒng)風(fēng)險(xiǎn)防范的常用技術(shù)1.加密技術(shù)體驗(yàn)：凱撒密碼在密碼學(xué)中，愷撒密碼（英語：Caesarcipher），是一種最簡單且最廣為人知的加密技術(shù)。它是一種替換加密的技術(shù)，明文中的所有字母都在字母表上向后（或向前）按照一個(gè)固定數(shù)目進(jìn)行偏移后被替換成密文。①對(duì)hello進(jìn)行加密（偏移5位）②對(duì)fklqd進(jìn)行解密（偏移3位）mjqqtchina信息系統(tǒng)風(fēng)險(xiǎn)防范的常用技術(shù)2.認(rèn)證技術(shù)認(rèn)證有兩個(gè)目的：一是驗(yàn)證信息發(fā)送者的身份，以防止有可能冒充發(fā)送者身份信息的情況出現(xiàn)；二是驗(yàn)證信息的完整性。在用戶身份認(rèn)證中，口令字(即密碼)是當(dāng)前最簡易的方法。信息系統(tǒng)風(fēng)險(xiǎn)防范的常用技術(shù)4.網(wǎng)絡(luò)與系統(tǒng)安全應(yīng)急響應(yīng)技術(shù)（1）防火墻技術(shù)防火墻是位于不可信的外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的一個(gè)網(wǎng)絡(luò)安全設(shè)備或由多個(gè)硬件設(shè)備和相應(yīng)軟件組成的系統(tǒng)。意識(shí)和規(guī)范合理使用信息系統(tǒng)合理使用信息系統(tǒng)1.樹立信息安全意識(shí)2.信息系統(tǒng)安全操作規(guī)范3.信息社會(huì)的道德準(zhǔn)則與法律法規(guī)約束自己防范他人！??！學(xué)習(xí)新知——樹立信息安全意識(shí)維護(hù)信息安全獲取傳送檢索處理存儲(chǔ)完整性真實(shí)性可用性保密性信息學(xué)習(xí)新知——樹立信息安全意識(shí)1.信息安全管理造成安全風(fēng)險(xiǎn)事件的原因所占比例/%人為因素52自然災(zāi)害25技術(shù)錯(cuò)誤10內(nèi)部人員作案10外部人員非法攻擊3人為因素占據(jù)的比例超過一半，成為信息系統(tǒng)安全風(fēng)險(xiǎn)的瓶頸問題。這些安全問題中95%是可以通過科學(xué)的信息安全管理來避免的。學(xué)習(xí)新知——樹立信息安全意識(shí)2.知識(shí)產(chǎn)權(quán)保護(hù)及其意義網(wǎng)絡(luò)與計(jì)算機(jī)環(huán)境中的知識(shí)產(chǎn)權(quán)往往與網(wǎng)絡(luò)及計(jì)算機(jī)安全直接相關(guān)。軟件數(shù)據(jù)庫數(shù)字內(nèi)容算法學(xué)習(xí)新知——信息系統(tǒng)安全操作規(guī)范1.信息系統(tǒng)規(guī)范操作的必要性人為因素是信息系統(tǒng)安全問題產(chǎn)生的主要原因；規(guī)范操作是消除過程因素造成潛在安全威脅的必要策略。2.信息系統(tǒng)規(guī)范操作及其意義加強(qiáng)信息系統(tǒng)的運(yùn)行管理提高工作質(zhì)量和管理有效性實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)維護(hù)、操作規(guī)范化確保計(jì)算機(jī)系統(tǒng)安全、可靠運(yùn)作學(xué)習(xí)新知——信息社會(huì)的道德準(zhǔn)則與法律法規(guī)1.網(wǎng)上道德規(guī)范《全國青少年網(wǎng)絡(luò)文明公約》學(xué)習(xí)新知——信息社會(huì)的道德準(zhǔn)則與法律法規(guī)2.信息安全法律法規(guī)2016年11月7日，全國人大常委會(huì)表決通過了《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》），決定于2017年6月1日起正式施行。學(xué)習(xí)新知——信息社會(huì)的道德準(zhǔn)則與法律法規(guī)2.信息安全法律法規(guī)課堂練習(xí)(1)某公司的內(nèi)部文件，活動(dòng)內(nèi)容以及設(shè)計(jì)方案遭到泄露，其大多數(shù)原因都不是遭到黑客攻擊，而是IT部門沒有及時(shí)注銷離職員工的郵箱及相關(guān)業(yè)務(wù)系統(tǒng)的賬號(hào)和權(quán)限。這樣的信息安全問題主要由（）引起的。A.網(wǎng)絡(luò)因素B.人為因素C.軟硬件因素D.數(shù)據(jù)因素BB.人為因素課堂練習(xí)(1)周末，李明一家四口來到餐廳就餐。入座后，通過掃描桌上二維碼進(jìn)入點(diǎn)餐界面，初次打開電子菜單界面時(shí)，部分圖片無法顯示，造成這種現(xiàn)象的原因可能是（）。A.網(wǎng)絡(luò)因素B.人為因素C.軟硬件因素D.數(shù)據(jù)因素AA.網(wǎng)絡(luò)因素課堂練習(xí)(2)馬老師組織幾百名學(xué)生在計(jì)算機(jī)教室同時(shí)填寫調(diào)查問卷，結(jié)果出現(xiàn)卡頓、亂碼、閃退等情況，甚至不能出現(xiàn)問卷頁面。究其主要原因是學(xué)生集中報(bào)名，進(jìn)而造成網(wǎng)絡(luò)擁堵。像這種情況，是由于（）而造成信息系統(tǒng)不可靠、不安全。A.人為因素B.軟硬件因素C.網(wǎng)絡(luò)因素D.數(shù)據(jù)因素BB.軟硬件因素課堂練習(xí)(3)去到銀行取款，計(jì)算機(jī)要求你輸入密碼，這屬于網(wǎng)絡(luò)安全技術(shù)中的（）。A.身份認(rèn)證技術(shù)

B.加密傳輸技術(shù)C.防火墻技術(shù)D.防病毒技術(shù)AA.身份認(rèn)證技術(shù)課堂練習(xí)(4)某音樂平臺(tái)App在申請(qǐng)可收集個(gè)人信息的權(quán)限時(shí)，正確做法是（）。A.直接使用就好B.默認(rèn)用戶同意C.應(yīng)同步告知收集使用的目的D.在隱秘或不易發(fā)現(xiàn)位置提示用戶CC.應(yīng)同步告知收集使用的目的課堂練習(xí)(4)（多選）人工智能技術(shù)應(yīng)用給我們的生活帶來極大便利，以下做法錯(cuò)誤的是（）。A．某App未經(jīng)授權(quán)利用人工智能技術(shù)采集用戶個(gè)人信息B．運(yùn)用指紋識(shí)別技術(shù)判別用戶身份、監(jiān)測(cè)交易賬戶C．利用某App的“AI換臉”功能將自己變成“明星臉”，惡搞明星獲取關(guān)注D．運(yùn)用自然語言處理技術(shù)識(shí)別電信網(wǎng)絡(luò)詐騙A、C課堂練習(xí)(5)（多選）網(wǎng)購給我們帶來諸多便利的同時(shí)，也讓我們面臨保護(hù)信息安全的困擾。下列說法正確的是（）。A.網(wǎng)購時(shí)使用正規(guī)電商平臺(tái)B.注冊(cè)賬號(hào)時(shí)只填必填項(xiàng)，設(shè)置復(fù)雜密碼C.啟用自動(dòng)登錄，避免輸入密碼時(shí)被他人看到D.公共WiFi隱患多，接入網(wǎng)購需謹(jǐn)慎A、