1、第五章 信息系统的安全风险防范Security risk prevention of information system一中学小江老师目 录CONTENTS信息系统应用中的安全风险信息系统安全风险防范的技术和方法合理使用信息系统新闻:安全意识:科技,信息系统应用中的安全风险互联网时代,信息系统安全问题日趋严峻,上至国家安全,下到百姓生活安全,几乎无处不在,无处不有。随着信息系统技术的快速发展,与其相关的安全风险也在不断增加。黑客攻击、病毒泛滥、隐私侵犯、数据泄露等问题已经成为了互联网时代的热门话题。因此,加强信息系统安全风险管理,提高信息安全意识和技能,已成为了一个迫切的需要。培养人们的风险
2、意识,提高信息安全意识和技能,深刻地认识到信息安全的重要性,了解信息系统的基础知识、常见安全风险以及防范措施,为保护信息系统安全做出贡献。Security risks in information system applications信息系统应用中的安全风险信息系统应用中的安全风险人为因素造成的信息安全风险01软硬件因素造成的信息安全风险02网络因素造成的信息安全风险03数据因素造成的信息安全风险041人为因素造成的信息安全风险Information security risk caused by human factors探究活动:人”是信息系统的使用者与管理者,是信息系统安全的薄弱环节,
3、观看视频案例,思考:采用什么策略可以消除或减弱人为因素对信息系统安全造成威胁。填写项目学习活动记录表“探究活动 项目实施”栏目中的“活动1”的内容。比特币勒索病毒视频人为因素造成的信息安全风险 “人”是信息系统的使用者与管理者,是信息系统安全的薄弱环节。信息系统可以拥有最好的技术如防火墙、入侵检测系统等,但如果操作人员没有防范意识,信息系统仍然可能崩溃。2软硬件因素造成的信息安全风险The hardware and software factors of information security risk常见信息系统安全漏洞 严重的弱密码和未及时更改给系统安全带来了巨大的风险,容易被外部攻击者
4、利用,从而导致系统的数据遭到窃取;另外,恶意软件和病毒的攻击也是信息系统安全面临的一大威胁。通过网络与移动媒介等方式,病毒和恶意软件会影响系统的稳定性和完整性,导致机密数据遭到损坏或丢失。社交工程和钓鱼邮件是常见的非技术攻击手段,攻击者通常会试图通过诱骗、欺骗等手段获取机密信息。应当通过进行信息教育和提高公民的安全意识来预防此类攻击;此外,未经授权的访问和物理入侵也是系统安全面临的威胁之一,因此需要加强物理安全措施并实施访问控制策略。同时,对于不安全的网络配置和共享,应当采取严格的访问控制策略,以确保数据只在必要的情况下被访问和共享。观看视频,思考:采用什么策略可以消除或减弱软硬件因素对信息系
5、统安全造成威胁。不当行为:员工对公司计算机设备的不当使用可能导致安全威胁。例如:不当使用电子邮件、不当存储敏感信息、不定期更新密码等。网络黑客行为会导致安全威胁,他们会试图入侵计算机系统,研究如何获取敏感信息或破坏业务。此类威胁的成本难以预测,可能导致巨大的损失。我们需要加强安全意识教育,定期对系统漏洞和风险进行精确识别和预测,采用多层次的技术手段和综合性防护方案,保护网络安全。安全风险潜在威胁看似无害的USB设备 可能带来网络攻击视频软硬件因素造成的信息安全风险保护信息系统中的硬件免受危害或窃取,通常采用的方法是:先把硬件作为物理资产处理,再严格限制对硬件的访问权限,以确保信息安全。软件是信
6、息系统中最难实施安全保护的部分。3网络因素造成的信息安全风险Network factors of information security risk信息资源在网络环境中共享、传播,一些重要的信息极有可能被网络黑客窃取、篡改,也可能因为攻击行为导致网络崩溃而出现信息丢失,严重时可能波及信息产业正常发展,甚至会造成人类社会的动荡。因此,为保证网络安全、有序地运行,世界各国相继制定和调整了网络安全战略,增设专门机构,加大人员和资金的投人,最大限度地维护网络信息安全和利益。安全风险潜在威胁案例分析:案例 菜日,一所中学校园网站管理员前往网监支队报案,称该校网站多日来连续迪受黑客攻击。黑容对该校网站内的
7、一些数据随意进行增加、删除、政动,网站上的近程教学、网络招生、投稿等功能受到严重影响,数十篇论文丢失,网沽几近瘫痪。很快,警方将肇事机器锁定在一台家庭主机上,通过模排,嫌疑人的身份逐渐浮出水面,让人吃惊的是,令网站瘫痪的黑客是一名高中学生。该名学生承认,自己通过在网站上下载的黑客程序,对几所学校的校园网站实施玫 击,而其动机只是为了向网友炫耀自己的黑容技术。安全风险安全风险诱因诱因防范措施防范措施表5-2 网络安全风险分析表网络因素造成的信息安全风险信息资源在网络环境中共享、传播,一些重要的信息有可能被窃取、篡改甚至丢失。通常网络发生信息安全的诱因包括:1.网络系统管理的复杂性 2.网络信息的
8、重要性 3.网络系统本身的脆弱性 4.低风险的诱惑4数据因素造成的信息安全风险Data factors of information security risk数据因素造成的信息安全风险通过信息系统采集、存储、处理和传输的数据,是具有很高价值的资产,其安全性格外重要。分析事件成因及处理办法,在小组中分享自己的看法。材料一 某论坛的数据库对用户密码仅使用了简单的MD5加密法,黑容能够快速破解出绝大部分明文密码,这导致2300万用户数据泄漏,这些用户数据包括用户名、注册邮箱、加密后的密码等。材料二 2015年,中国产业信息网公布一起重大信息泄漏事件:全国有超过多个省市的社保系统曝出高危漏洞,统计达
9、5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。市面上随处可售的个人信息,除了一部分是持有信息者主动售卖外,有接近3成的比例来自社保系统的漏洞被利用。材料三 2016年,保监会发西通报菜保险公司存在内控缺陷,要求进行盛政。保监会指出,该公司在客户信息真实性管理、银邮樂道业务管理、团险业务管理、公司治理、财务悲础管理等方面存在问题及内控缺陷。除了公司内控问题外,该公司此前还被曝出;存在严重信息系统安全漏洞,西临泄露数以万计客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。案例分析:小组依照项目范例,结合本组选题,继续项目学习。编号研究内容工具与方法1信息系统应用中的安全风险探究、观察、分析、调查2信息系统安全风险防范的技术和方法探究、讨论、实践、体验、调查3合理使用信息系统探究、调查、阅读、讨论规划方案Thank YouContinue to work hard