粤教版高中信息技术 必修2《5-1 信息系统应用中的安全风险》课件

这是一份粤教版高中信息技术 必修2《5-1 信息系统应用中的安全风险》课件，共40页。
第5章 信息系统的安全风险防范第2课时 信息系统应用中的安全风险 2016年12月27日，我国发布《国家网络空间安全战略》，提出捍卫网络空间主权、维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖等九项任务，再次将信息系统应用中安全与风险问题提升到了国家安全的重要层面。 信息系统安全风险问题存在与信息系统的各个环节，了解其中的成因直接关系到信息安全的解决策略的制定与方法实施。课堂导入1.了解人为因素造成的信息安全风险。2.了解软硬件因素造成的信息安全风险。3.了解网络因素造成的信息安全风险。4.了解数据因素造成的信息安全风险。5.认识到信息系统在应用过程中存在的风险。6.知道信息系统的组成与功能。7.能预判可能存在的信息泄露等安全风险。学习目标一、人为因素造成的信息安全风险二、软硬件因素造成的信息安全风险三、网络因素造成的信息安全风险四、数据因素造成的信息安全风险目录一、人为因素造成的信息安全风险人为因素造成的信息安全风险 观看下面的视频，思考我们在以后高三填报志愿的时候应该怎么做才能避免这样的情况发生呢？各小组讨论造成这样的事故是什么原因导致的呢？人为因素造成的信息安全风险2016年河北高考志愿被篡改事件人为因素造成的信息安全风险 考生如何避免这样的事情发生在自己身上呢？其实也很简单，只需要做到三点。1.在第一时间更改志愿填报网站的原始密码；2.要保护好自己的身份信息，包括身份证号、网站账号和密码，不告诉这些信息告诉任何人；3.在志愿填报后尽量每天打开网站检查一下志愿填报情况，如有异常历史报警。人为因素造成的信息安全风险 阅读以下案例并思考：采用什么策略可以彻底消除或者减弱人为因素对信息系统安全造成的威胁？如果不能，应该如何减弱？并结合我们的生活实际，思考并讨论，生活中遇到的人为因素造成的信息安全风险事件有哪些？在班级内分享。人为因素造成的信息安全风险 2017年5月12日，比特币勒索病毒在全球爆发。黑客利用勒索病毒，攻击主机并加密主机上存储的文件，然后要求支付赎金。全球100多 个国家或地区，超过10万台计算机遭到攻击和感染，教育、金融、能源、医疗等众多行业受到严重影响。我国多地的出入境、派出所等公安网疑似遭遇了病毒袭击，不得不一度暂时停办出入境业务;勒索病毒也侵袭到生产网络中，中石油旗下不少加油站也因遭受病毒袭击一度“断网”，使在线支付业务一度中断;我国部分高校的网络也被感染，大量实验室数据和学生毕业设计文档被加密,损失比较严重。人为因素造成的信息安全风险 “人”是信息系统的使用者和管理者，是信息系统安全的薄弱环节。信息系统可以拥有最好的技术，例如防火墙、入侵检测等，但是如果操作人员没有防范意识，信息系统仍然会崩溃。 因此，人为因素并不能彻底消除，但是我们可以采取以下的策略减少损失：1.从政府层面加强立法工作。2.不断提高关键安全技术水平。3.使用着全面提高道德意识和技术防范水平。人为因素造成的信息安全风险 生活中遇到的人为因素造成的信息安全风险还有：1.暗网公开世上最大规模密码泄密事件。2.2017年，广东省东莞理工学院学生入侵学校数据库修改成绩事件。人为因素造成的信息安全风险小结：人为因素造成的信息安全风险二、软硬件因素造成的信息安全风险软硬件因素造成的信息安全风险 学校机房通常会采用一些措施限制学生对机器设备某些功能的使用权，例如禁用USB接口、将系统盘设置为自动还原、禁用网络等。请各小组观察机房内对机器设备以及其中安装的软件等的保护措施。 阅读以下案例，组内讨论学校的这些措施能否可以阻止类似的安全漏洞。软硬件因素造成的信息安全风险 2016年，某信息安全研究公司发现了一种被称为“Quadrooter”的漏洞，黑客利用这种漏洞诱导用户安装恶意程序，在并不需要请求任何特殊权限的情况下控制受影响的计算机，包括访问用户软件数据和控制麦克风话筒等硬件，全球多种机型都受到这种漏洞的影响。软硬件因素造成的信息安全风险保护信息系统的硬件免受危害或窃取，通常采用的方法有：1.把硬件作为物理资产处理。2.严格限制对硬件的访问权限。3.保护好信息系统的物理位置。软硬件因素造成的信息安全风险 软件是信息系统中最难实施安全保护的部分，主要反映在软件开发中产生的错误，例如漏洞、故障、缺陷等问题。在生活中，智能手机崩溃、存在控制缺陷的汽车被召回等事件，都是软件开发过程中安全问题后置或为节省时间、资金、成本和人力等因素造成的。软硬件因素造成的信息安全风险各小组讨论，生活中有没有遇到的其他由于软硬件原因造成的信息安全问题。软硬件因素造成的信息安全风险生活中遇到的软硬件因素造成的信息安全风险还有：1.1994年8月1日，由于一只松鼠通过位于康涅狄格网络主计算机附近的一条电话线挖洞，造成电源紧急控制系统损坏，NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。2.2017年10月，出现了针对物联网设备的病毒。这种病毒利用连接到互联网的路由器、摄像头等设备中的漏洞，把僵尸程序传播到互联网上，感染并控制大批在线主机，形成了一个大面积僵尸网络群，危害指数非常高。3.蠕虫病毒。软硬件因素造成的信息安全风险小结：软硬件因素造成的信息安全风险三、网络因素造成的信息安全风险网络因素造成的信息安全风险 信息资源在网络环境中共享、传播，一些重要的信息极有可能被网络黑客窃取、篡改，也可能因为攻击行为导致网络崩溃而出现信息丢失，严重时可能波及信息产业正常发展，甚至会造成人类社会的动荡。 因此，为了保证网络安全、有序地进行，世界各地相继制定和调整了网络安全战略，增设专门机构，加大人员和资金的投入，最大限度地维护网络信息安全和利益。网络因素造成的信息安全风险 某日，一所中学校园网站管理员前往网监支队报案，称该校网站多日来连续遭受黑客攻击。黑客对该校网站内的一些数据随意进行增加、删除、改动，网站上的远程教学、网络招生、投稿等功能受到严重影响，数十篇论文丢失，网站几近瘫痪。 很快，警方将肇事机器锁定在一台家庭主机上，通过摸排，嫌疑人的身份逐渐浮出水面，令人吃惊的是，领网站瘫痪的黑客是一名高中生。 改名学生承认，自己通过在网站上下载的黑客程序，对几所学校的校园网站攻击，其动机只是为了向网友炫耀自己的黑客技术。网络因素造成的信息安全风险蹭公共wifi网络因素造成的信息安全风险 市民张先生使用公共场的WiFi后，电脑被黑客入侵、银行均被未丢失的情况下，网银被他人在两天内盗刷69次，卡上的6万多仅剩余500元。更可怕的是，他的手机也被黑客做了手脚，接受信息提醒短信的功能被全部屏蔽，所发生的69次交易他根本没有收到任何提示，钱就在不知不觉中被转走了。网络因素造成的信息安全风险各小组讨论，结合生活实际，分享生活中遇到的由于网络原因造成的信息安全问题。网络因素造成的信息安全风险各小组讨论，结合生活实际，分享生活中遇到的由于网络原因造成的信息安全问题。1.澳大利亚马卢奇污水处理厂非法入侵事件。网络因素造成的信息安全风险各小组根据前面的几个案例，讨论通常网络发生危害的信息安全的诱因包括哪些方面？网络因素造成的信息安全风险通常，网络发生危害信息安全的诱因包括以下几个方面：1.网络系统管理的复杂性。2.网络信息的重要性。3.网络系统本身的脆弱性。4.低风险的诱惑。网络因素造成的信息安全风险1、网络系统管理的复杂性。 网络与计算机信息系统管理的复杂性造成了工作中稍有不慎或管理策略不得当，都会形成安全漏洞，而这些安全隐患对少数技术水平高、法制观念不强而想获取非法利益的人创造了条件。2、网络信息的重要性。 大数据时代的海量数据，使信息、机密、财富之间产生紧密的关联，从而构成信息安全的重要因素。很多情况下，数据和信息的价值远远超过网络系统各组件本身。因此，大量的信息安全事件直接指向了数据，通过渗透网络系统窃取机密信息，能够获取钱财，对于那些法律意识薄弱、道德水平地下但却有着高超的计算机网络技术的人，其诱惑力是不言而喻的，因此一些人铤而走险，以身试法。网络因素造成的信息安全风险3.网络系统本身的脆弱性。 计算机网络本身的脆弱性是诱发危害网络信息安全的根本原因，信息存储密度高，易修改、能共享、网络传递方便，导致大量信息中隐藏非法信息而不易被察觉，一旦被攻击将损失惨重；信息易修改给正常工作带来了方便，但修改不留印记也给犯罪分子创造了机会；网络传递快捷方便，但传递过程中的电磁泄露、搭线窃听、接收方身份识别困难等问题，也使得危害网络信息事件频频发生。4.低风险的诱惑。 危害信息安全的行为都具有共同的特征：一是需要相关技术；二是隐蔽性较强，被检获得可能性相对较小；三是高回报低风险。因此，从犯罪心理学角度来看，低风险的诱惑也是许多人冒险犯罪的重要原因。网络因素造成的信息安全风险小结：网络因素造成的信息安全风险四、数据因素造成的信息安全风险数据因素造成的信息安全风险 通过信息系统采集、存储、处理和传输的数据，是具有很高价值的资产，其安全性格外重要。 各小组阅读以下的几个案例材料，分享事件成因以及处理办法。数据因素造成的信息安全风险 某论坛的数据库对用户密码仅使用了简单的MD5加密法，黑客能够快速破解出绝大部分明文密码，这导致2300万用户数据泄露，这些用户数据包括用户名、注册邮箱、加密后的密码等。数据因素造成的信息安全风险 2015年，中国产业信息网公布一起重大信息泄露事件：全国有超过多个省市的社保系统爆出高危漏洞，统计达5279.4万条，设计人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。市面上随处可售的个人信息，除了一部分是持有信息者主动售卖外，有近3成的比例来自社保系统的漏洞被利用。数据因素造成的信息安全风险 2016年，保监会发函通报某保险公司存在内控缺陷，要求进行整改。保监会指出，该公司在客户信息真实性管理、银邮渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在问题以及内控缺陷。除了公司内控问题外，该公司此前还爆出存在严重信息系统安全漏洞，面临泄露数以万计客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。数据因素造成的信息安全风险本课程总结：数据因素造成的信息安全风险小结：数据因素造成的信息安全风险