1、第2单元 信息系统的集成第1单元 信息系统的组成与功能第3单元 信息系统的设计与开发第4单元 信息系统的安全第5单元 信息社会的建设信息技术信息技术(必修(必修2 2)4.1 4.1 信息系统安全风险信息系统安全风险学习目标1.1.认识信息系统应用中存在的风险。认识信息系统应用中存在的风险。2.2.能够增强信息安全风险的防范意识。能够增强信息安全风险的防范意识。新课导入根据新闻视频,请思考:根据新闻视频,请思考:1.1.什么是电信诈骗?什么是电信诈骗?2.2.网络刷单行为是诈骗网络刷单行为是诈骗吗?吗?3.3.为什么嫌疑人是从老为什么嫌疑人是从老挝被押解回国的?挝被押解回国的?电信诈骗电信诈骗
2、是指犯罪分子通过电话、网络和短信的方式,编造虚假是指犯罪分子通过电话、网络和短信的方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给犯罪分子汇款、转账等犯罪行为。犯罪分子汇款、转账等犯罪行为。1 1、电信诈骗常见手段、电信诈骗常见手段电信诈骗有哪些常见手段?请通过网络查找,将找到的电信诈骗电信诈骗有哪些常见手段?请通过网络查找,将找到的电信诈骗常见手段填入下页表中,并针对电信诈骗可能带来的损失和危害进行常见手段填入下页表中,并针对电信诈骗可能带来的损失和危害进行讨论。讨论。任务一 制定学校图书管理信息系统开发方
3、案 活动1 分析建立学校图书管理信息系统是否可行诈骗手段诈骗手段 具体实施具体实施 损失和危害损失和危害冒充政府部门进行诈骗冒充政府部门进行诈骗声称根据国家政策要对事主购买的汽车、房产或农机具等进行退税、补贴,诱骗受害人持自己的银行卡在ATM上进行操作,骗取钱财使受害人受到财产损失 冒充税务稽查等诈骗冒充税务稽查等诈骗 利用中奖兑奖进行诈骗利用中奖兑奖进行诈骗 让受害人缴纳所谓的税费,骗取钱财。使受害人受到财产损失 利用虚假广告信息进行诈骗利用虚假广告信息进行诈骗 利用虚假广告,夸大宣传,使人上当。使受害人受到财产损失利用高薪招聘进行诈骗利用高薪招聘进行诈骗 利用高薪的幌子,让人缴纳中介费等。
4、使受害人受到财产损失利用银行卡消费进行诈骗利用银行卡消费进行诈骗 虚构亲人、朋友发生车祸的求助信息 使受害人受到财产损失虚构绑架、出车祸诈骗虚构绑架、出车祸诈骗犯罪嫌疑人谎称受害人亲人被绑架或出车祸,并让同伙在旁边假装受害人亲人大声呼救,要求速汇赎金,受害人因惊慌失措而上当受骗 使受害人受到财产损失表表4.1.1 4.1.1 电信诈骗分析表电信诈骗分析表使受害人受到财产损失声称需要银行账号和密码查账骗子打电话来,我们直接报警,让警察根据骗子的电话和账号,把他们骗子打电话来,我们直接报警,让警察根据骗子的电话和账号,把他们抓起来不就好了吗?抓起来不就好了吗?2.2.电信诈骗中的信息系统安全漏洞电
5、信诈骗中的信息系统安全漏洞 案例:案例:深圳市的张女士在接到银行客服、公安、检察院的一系列电话后,深圳市的张女士在接到银行客服、公安、检察院的一系列电话后,被骗走了被骗走了4444万元。万元。这显示的来电号码怎么是假的呢?这显示的来电号码怎么是假的呢?网络改号软件网络改号软件诈骗方式诈骗方式防骗要点防骗要点 防骗措施防骗措施诈骗规律诈骗规律公安机关破获的无数诈骗案件大都有一个特公安机关破获的无数诈骗案件大都有一个特点,就是犯罪分子索要受害人的银行卡、密点,就是犯罪分子索要受害人的银行卡、密码和账号。码和账号。凡是涉及自己账户和密码的凡是涉及自己账户和密码的事情、转账的事情一定要冷事情、转账的事
6、情一定要冷静,多想一想,多方求证静,多想一想,多方求证。金融网站金融网站 电信、银行、公安系统等有各自的网络平台。电信、银行、公安系统等有各自的网络平台。帐号密码要严格保密,不对帐号密码要严格保密,不对外泄露,不向别人转发验证外泄露,不向别人转发验证码短信。码短信。安全警示安全警示 没有任何单位设置所谓的没有任何单位设置所谓的“安全账号安全账号”。不随意相信不随意相信“安全账号安全账号”。退税欺骗退税欺骗 公安机关、税务部门、财政部门等都不会电公安机关、税务部门、财政部门等都不会电话缴费和退款。话缴费和退款。不随意不随意相信相信“退款提醒退款提醒”。其他其他 表表4.1.2 4.1.2 电信诈
7、骗防范措施电信诈骗防范措施3.3.电信诈骗防范措施电信诈骗防范措施1.Wi-Fi1.Wi-Fi热点下的热点下的钓鱼陷阱钓鱼陷阱许多商家为了招揽客户,会提供免费的许多商家为了招揽客户,会提供免费的WI-FIWI-FI接入服务。接入服务。黑客会利用此机会提供一个名字和商家类黑客会利用此机会提供一个名字和商家类似的免费似的免费WI-FIWI-FI接入服务,甚至会利用信号覆盖接入服务,甚至会利用信号覆盖面积有限的特点设置一个和商家一模一样的面积有限的特点设置一个和商家一模一样的WI-WI-FIFI接入服务。接入服务。用户上网的数据包,都是经过黑客的设备用户上网的数据包,都是经过黑客的设备转发,这些新都
8、可以被截留下来分析。转发,这些新都可以被截留下来分析。活动2 认识无线网络中的安全风险2.2.无线网络中的信息系统无线网络中的信息系统漏洞攻击漏洞攻击黑客会连接商家的网络,与用户共享一个局黑客会连接商家的网络,与用户共享一个局域网,免费享用网络带宽,还会登录无线路由器域网,免费享用网络带宽,还会登录无线路由器的管理后台,并给手机或电脑用户装载木马。的管理后台,并给手机或电脑用户装载木马。3.3.无线网络中的风险防范措施无线网络中的风险防范措施网络支付(网络支付(QQQQ、微信、支付宝等)已成为人们日常生活中重要工具,、微信、支付宝等)已成为人们日常生活中重要工具,很多支付很多支付行为都是通过无
9、线网络进行的行为都是通过无线网络进行的,在利用网络支付工具进行购物时,我们有没有意识在利用网络支付工具进行购物时,我们有没有意识到安全隐患的存在呢?到安全隐患的存在呢?通过小组探究的方式讨论如下两个问题:通过小组探究的方式讨论如下两个问题:(1 1)如何快速准确地识别冒牌如何快速准确地识别冒牌Wi-FiWi-Fi?(2 2)如果你的手机自动连接到了冒牌如果你的手机自动连接到了冒牌Wi-FiWi-Fi上,你可以采取什么措施?上,你可以采取什么措施?防范措施防范措施防范要点防范要点你的防范措施你的防范措施防范措施一防范措施一谨慎使用公共场合的谨慎使用公共场合的Wi-FiWi-Fi热点热点官方机构提
10、供的而且有验证机制的官方机构提供的而且有验证机制的Wi-FiWi-Fi,可以,可以找工作人员确认后连接使用。其他可以直接连找工作人员确认后连接使用。其他可以直接连接且不需要验证的公共接且不需要验证的公共Wi-FiWi-Fi风险较高,背后有风险较高,背后有可能是钓鱼陷阱。可能是钓鱼陷阱。遇到直接连接且不需要验证或密码的遇到直接连接且不需要验证或密码的公共公共Wi-FiWi-Fi时,你的做法是:时,你的做法是:关闭关闭wifiwifi连接连接。防范措施二防范措施二不在公共不在公共Wi-FiWi-Fi热点下进行热点下进行敏感信息操作敏感信息操作尽量不要进行网络购物和网银的操作,避免重尽量不要进行网络
11、购物和网银的操作,避免重要的个人敏感信息遭到泄露,甚至被黑客银行要的个人敏感信息遭到泄露,甚至被黑客银行转账。转账。连接公共连接公共Wi-FiWi-Fi时,若需要进行网络购时,若需要进行网络购物和使用网上银行等操作,你的做法物和使用网上银行等操作,你的做法是是:改用数据连接或其他支付方式改用数据连接或其他支付方式。防范措施三防范措施三养成良好的养成良好的Wi-FiWi-Fi使用习惯使用习惯手机会把使用过的手机会把使用过的Wi-FiWi-Fi热点都记录下来,如果热点都记录下来,如果Wi-FiWi-Fi开关处于打开状态,手机就会不断向周边开关处于打开状态,手机就会不断向周边进行搜寻,一旦遇到同名的
12、热点就会自动进行进行搜寻,一旦遇到同名的热点就会自动进行连接,存在被钓鱼的风险。连接,存在被钓鱼的风险。当我们进入公共区域后,对于手机当我们进入公共区域后,对于手机Wi-Wi-FiFi,你的做法:把,你的做法:把Wi-FiWi-Fi关闭或调成锁关闭或调成锁屏后不再自动连接,避免在自己不知屏后不再自动连接,避免在自己不知道的情况下连接上恶意道的情况下连接上恶意Wi-FiWi-Fi。防范措施四防范措施四对家中的无线路由器加强安对家中的无线路由器加强安全设置全设置无线路由器管理后台的登录账户、密码一般默无线路由器管理后台的登录账户、密码一般默认为认为adminadmin,如不更改会造成安全隐患。,如
13、不更改会造成安全隐患。Wi-Fi Wi-Fi密码选择密码选择WPA2WPA2加密认证方式,相对复杂的密码加密认证方式,相对复杂的密码可大大提高黑客破解的难度。可大大提高黑客破解的难度。对无线路由器的登录账户、密码设置,对无线路由器的登录账户、密码设置,你的做法是:你的做法是:定期修改其帐户和密码,定期修改其帐户和密码,密码设置为稍复杂的密码设置为稍复杂的。防范措施五防范措施五安装客户端安全软件安装客户端安全软件对于黑客常用的钓鱼网站等攻击手法,安全软对于黑客常用的钓鱼网站等攻击手法,安全软件可以及时拦截提醒。件可以及时拦截提醒。不管在手机端还是计算机端,都应安不管在手机端还是计算机端,都应安装
14、安全软件。装安全软件。表表4.1.3 4.1.3 无线网络风险防范措施无线网络风险防范措施信息系统的安全风险主要来自两大方面:信息系统的安全风险主要来自两大方面:1.1.在技术和设计上存在不完善性;在技术和设计上存在不完善性;2.2.由人为因素引起的风险:商业竞争、个人报复等动机对信息系由人为因素引起的风险:商业竞争、个人报复等动机对信息系统网络攻击;或因无意间的信息泄露,使犯罪分子有了可乘之机。统网络攻击;或因无意间的信息泄露,使犯罪分子有了可乘之机。绝对安全的信息系统不存在,风险是客观存在的。绝对安全的信息系统不存在,风险是客观存在的。信息系统安全风险来源信息系统安全与否取决于两个因素:信
15、息系统安全与否取决于两个因素:技术和管理。技术和管理。1.1.降低风险降低风险(1 1)减少风险:安装恶意检测防御软件)减少风险:安装恶意检测防御软件(2 2)减少弱点:培养安全意识与安全操作能力)减少弱点:培养安全意识与安全操作能力(3 3)降低影响:如制订灾难恢复计划和业务连续性计划,做好备份。)降低影响:如制订灾难恢复计划和业务连续性计划,做好备份。降低信息系统安全风险2.2.规避风险规避风险有时候,可以选择放弃某些可能带来风险的业务或资产,以此规避风险。有时候,可以选择放弃某些可能带来风险的业务或资产,以此规避风险。3.3.转嫁风险转嫁风险将风险转移到其他责任方,如购买商业保险。将风险
16、转移到其他责任方,如购买商业保险。4.4.接受风险接受风险在实施了其他风险对于措施之后,对于残留的风险,可以选择接受。在实施了其他风险对于措施之后,对于残留的风险,可以选择接受。我们的生活和学习中用到的信息系统有很多,应该采取什么样的方我们的生活和学习中用到的信息系统有很多,应该采取什么样的方法来评估这些信息系统是安全的呢?法来评估这些信息系统是安全的呢?案例:案例:20122012年年6 6月月3030日上午,四川某高中十余名考生反映,自己所填日上午,四川某高中十余名考生反映,自己所填高考二专志愿均被修改为四川某某职业学院。调查发现,的确有人通过高考二专志愿均被修改为四川某某职业学院。调查发
17、现,的确有人通过考生正常网报入口在网报系统关闭前的很短时间内,使用该高考考生的考生正常网报入口在网报系统关闭前的很短时间内,使用该高考考生的报名号、密码等信息进行登录并修改了志愿。报名号、密码等信息进行登录并修改了志愿。活动3 评估信息系统是否安全影响信息安全的行为影响信息安全的行为自我核查自我核查改进做法改进做法密码是否向好朋友透露?密码是否向好朋友透露?是 否 密码是否太简单?太短?是自己的姓名或生日等?密码是否太简单?太短?是自己的姓名或生日等?是 否 没有修改过默认密码?没有修改过默认密码?是 否 怕忘记,所以将密码写在银行卡背面?怕忘记,所以将密码写在银行卡背面?是 否 会不会在有人
18、围在身边时输入密码?会不会在有人围在身边时输入密码?是 否 上网浏览时,是否会因为好奇,试着下载并运行上网浏览时,是否会因为好奇,试着下载并运行一些不知道其功能的程序?一些不知道其功能的程序?是 否 表表4.1.5 4.1.5 信息系统安全行为与危害评估表信息系统安全行为与危害评估表信息安全和系统安全 信息系统安全主要是指系统安全和信息安全,其核心属性包括机密信息系统安全主要是指系统安全和信息安全,其核心属性包括机密性、真实性、可控性和可用性,具体反映在物理安全、运行安全、数据性、真实性、可控性和可用性,具体反映在物理安全、运行安全、数据安全、内容安全四个层面上。安全、内容安全四个层面上。层次
19、层次层面层面作用点作用点信息安全的核心属性信息安全的核心属性机密性机密性真实性真实性可控性可控性可用性可用性系统安全系统安全物理安全物理安全硬件硬件 运行安全运行安全软件软件 信息安全信息安全数据安全数据安全保护信息保护信息 内容安全内容安全攻击信息攻击信息 表表4.1.6 4.1.6 信息系统安全的层次框架体系信息系统安全的层次框架体系“钓鱼钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URLURL地址地址以及页面内容,或利用真实网站服务器上的漏洞,在其站点的某些网页中插入危险的以及页面内容,或利用真实网站服务器上的
20、漏洞,在其站点的某些网页中插入危险的HTMHTML L代码,以此来骗取用户银行卡或信用账号、密码等个人资料。不少账户被盗就是因为访代码,以此来骗取用户银行卡或信用账号、密码等个人资料。不少账户被盗就是因为访问了钓鱼网站。公共问了钓鱼网站。公共WIFIWIFI为植入钓鱼网站提供了便利。为植入钓鱼网站提供了便利。要避免被钓,应要注意使用安全的网络,一方面,应对别人发来的网址多留心,因要避免被钓,应要注意使用安全的网络,一方面,应对别人发来的网址多留心,因为这个地址可能与你熟悉的网站,如淘宝、网上银行等的域名非常接近,打开的页面也为这个地址可能与你熟悉的网站,如淘宝、网上银行等的域名非常接近,打开的
21、页面也几乎和真实的网站一致,但是实际进入的是一个伪装的钓鱼网站。另一方面,尽量选择几乎和真实的网站一致,但是实际进入的是一个伪装的钓鱼网站。另一方面,尽量选择具有安全认证功能的浏览器。这些浏览器能够自动提示打开的页面是否安全,避免用户具有安全认证功能的浏览器。这些浏览器能够自动提示打开的页面是否安全,避免用户进入钓鱼网站。对于智能手机用户,要使用有关的客户端软件时,应尽量选择官方渠道进入钓鱼网站。对于智能手机用户,要使用有关的客户端软件时,应尽量选择官方渠道下载,不要安装来路不明的客户端软件。下载,不要安装来路不明的客户端软件。拓展知识:警惕钓鱼网站练习巩固1.1.如果给自己的网络账号设置密码
22、,以下密码安全性最高的是(如果给自己的网络账号设置密码,以下密码安全性最高的是()A.12345678A.12345678B.20010321B.20010321C.aqz6325#C.aqz6325#2.2.小王接到一个号称小王接到一个号称XXXX银行的电话,电话里说信用卡被透支银行的电话,电话里说信用卡被透支1010万元,银万元,银行要为他实施财产保全,要求他提供信用卡密码或者将钱汇入安全账户,行要为他实施财产保全,要求他提供信用卡密码或者将钱汇入安全账户,小王应该如何应对?(小王应该如何应对?()A.A.信任并告诉密码信任并告诉密码B.B.挂掉电话,拨打银行电话或到营业网点查询挂掉电话,拨打银行电话或到营业网点查询C.C.将钱汇入安全账户将钱汇入安全账户C CB B课堂小结课堂小结
