1、5.15.1信息系统应用中的安全风险 教材p115-p118 2016年12月27日,我国发布国家网络空间安全战略,提出捍卫网络空间主权、维护国家安 全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖等九项任务,再次将信息系统 应用中安全与风险问题提升到了国家安全的重要层面。信息系统安全风险问题存在于信息系统 的各个环节,了解其中的成因直接关系到信息安全的解决策略的制订与方法实施。 5.1.1人为因素造成的信息安全风险 探究活动 阅读 阅读以下案例并思考:采用什么策略可以消除或减弱人为因素对信息系统安全造成的威胁? 案例 2017年5月,比特币病毒在全球疯狂传播,中国多所高校校园网服务器
2、被攻击,大量目录文件被非法加密。如果想打开加 密文件,就必须向黑客支付比特币解锁,而且是花钱购买比特币解锁。校园网的数据主要是高校教研、教学以及科研成 果,对于学校来讲尤其重要。受比特币病毒攻击所面临的结果将是各种论文和科研成果的丢失以及教学的停滞。 “人”是信息系统的使用者与管理者,是信息系统安全的薄弱环节。信息系统可以拥有最好的 技术如防火墙、入侵检测系统等,但如果操作人员没有防范意识,信息系统仍然可能崩溃。 中国有句古语“解铃还需系铃人”。信息系统安全是个社会系统工程,除了从政府层面加强立法 工作,还需要不断提高关键安全技术水平,更需要使用者全面提高道德意识与技术防范水平。 5.1.2软
3、硬件因素造成的信息安全风险 观察 学校电脑室通常会采用一些措施限制学生对机器设备某些功能的使用权,比如禁用USB口、将 系统盘设置为自动还原等。观察所在学校电脑室对机器设备及其中安装的软件等的保护措施。 阅读以下案例,与小组中的同于比子的安全漏洞。 案例 2016年,某信息安全研究公司发现了一种被称为“Quadrooter”的漏洞,黑客利用这种漏洞诱导用户安装恶意应用,在 并不需要请求任何特殊权限的情况下完全控制受影响的手机或平板电脑,包括访问用户软件数据和控制麦克风话筒等硬 件。全球众多机型受到这种漏洞影响。 保护信息系统中的硬件免受危害或窃取,通常采用的方法是:先把硬件作为物理资产处理,再
4、严格 限制对硬件的访问权限,以确保信息安全。保护好信息系统的物理位置及本身的安全是重中之重, 因为物理安全的破坏可直接导致信息的丢失。 软件是信息系统中最难实施安全保护的部分,主要反映在软件开发中产生的错误,如漏洞、故 障、缺陷等问题。在生活中,智能手机崩溃、存在控制缺陷的汽车被召回等事件,都是软件开发 过程中安全问题后置或为节省时间、资金、成本与人力等因素造成的。 5.1.3网络因素造成的信息安全风险 信息资源在网络环境中共享、传播,一些重要的信息极有可能被网络黑客窃取、篡改,也可能 因为攻击行为导致网络崩溃而出现信息丢失,严重时可能波及信息产业正常发展,甚至会造成 人类社会的动荡。因此,为
5、保证网络安全、有序地运行,世界各国相继制定和调整了网络安全战略, 增设专门机构,加大人员和资金的投入,最大限度地维护网络信息安全和利益。 分析 在家庭、学校或公共场所中,使用网络已成为非常便利的事情。与小组中的同学一起分析以下案例, 填 案例 某日,一所中学校园网站管理员前往网监支队报案,称该校网站多日来连续遭受黑客攻击。里客对该校网站内的一些数据随意 进行增加、删除、改动,网站上的远程教学、网络招生投稿等功能受到严重影响,数十篇论文丢失,网站几近瘫痪。 很快,警方将肇事机器锁定在一台家庭主机上,通过摸排,嫌疑人的身份逐渐浮出水面,让人吃惊的是,令网站瘫痪的黑客是 一名高中学生。 该名学生承认
6、,自己通过在网站上下载的黑客程序,对几所学校的校园网站实施攻击,而其动机只是为了向网友炫耀自己的黑 客技术。写表5-2。 通常网络发生危害信息安全的诱因包括以下几个方面: (1)网络系统管理的复杂性。 网络与计算机信息系统管理的复杂性造成了工作中稍有不慎或管理策略不得当,都会形成安全漏洞,而这些安全隐患对少 数技术水平高、法制观念不强而想获取非法利益的人创造了条件。 (2)网络信息的重要性。 大数据时代的海量数据,使信息、机密、财富之间产生紧密的关联,从而构成信息安全的重要因素。很多情况下,数据 和信息的价值远远超过网络系统各组件本身。因此,大量的信息安全事件直接指向了数据。通过渗透网络系统窃
7、取机密 信息,能够获取钱财,对于那些法律意识薄弱、道德水平低下但却有着高超的计算机网络技术的人,其诱惑力是不言而 喻的,因此一些人铤而走险,以身试法。 (3)网络系统本身的脆弱性。 计算机网络本身的脆弱性是诱发危害网络信息安全的根本原因。信息存储密度高、易修改、能共享、网络传递方便,导 致大量信息中隐藏非法信息而不易被察觉,一旦被攻击将损失惨重;信息易修改给正常工作带来了方便,但修改不留印迹 也给犯罪分子创造了机会;网络传递快捷方便,但传递过程中的电磁泄漏、搭线窃听、接收方身份识别困难等问题,也 使得危害网络信息事件频频发生。 (4)低风险的诱惑。 危害信息安全的行为都具有共同的特征:一是需要
8、相关技术;二是隐蔽性较强,被查获的可能性相对较小;三是高回报低风 险。因此,从犯罪心理学角度来看,低风险的诱惑也是许多人冒险犯罪的重要原因。 5.1.4数据因素造成的信息安全风险 通过信息系统采集、存储、处理和传输的数据,是具有很高价值的资产,其安全性格外重要。 分析 阅读以下材料,分析事件成因及处理办法,在小组中分享自己的看法。 材料一 某论坛的数据库对用户密码仅使用了简单的MD5加密法,黑客能够快速破解出绝大部分明文密码,这导致2300万用户数 据泄漏,这些用户数据包括用户名、注册邮箱、加密后的密码等。 材料二 2015年,中国产业信息网公布一起重大信息泄漏事件:全国有超过多个省市的社保系
9、统曝出高危漏洞,统计达5279.4万 条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。市面上随处可售的 个人信息,除了一部分是持有信息者主动售卖外,有接近3成的比例来自社保系统的漏洞被利用。 材料三 2016年,保监会发函通报某保险公司存在内控缺陷,要求进行整改。保监会指出,该公司在客户信息真实性管理、银邮 渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在问题及内控缺陷。除了公司内控问题外,该公司此 前还被曝出存在严重信息系统安全漏洞,面临泄露数以万计客户银行卡号、密码、开户行地址、身份证等敏感信息的风 险。 调查 走访学校、社区、公司等单位,向网站管理员进行咨询,了解单位网站是否曾经遭遇被黑客攻击、系统崩溃、信息丢失 或数据破坏等的情况,都是什么原因造成的。撰写一份简短的调查报告。 项目实施 各小组根据项目选题及拟订的项目方案,结合本节所学知识,对所选定的信息系统进行分析。 1.分析该信息系统可能存在的安全风险。 2.分析造成该信息系统安全风险的因素。
