(
课件网) 4.1 信息系统安全风险 第4单元 信息系统的安全 教科版 高中信息技术 必修2 信息处理、信息传递越来越依赖于现代化的信息系统。不法分子通过攻击网站、计算机系统等,窃取私密信息,造成经济损失,威胁人身甚至国家安全。如果对信息系统安全掉以轻心,对安全风险置之不理,安全事件一旦发生,可能会给个人、企业、国家带来难以估量的损失甚至灾难。 认识信息系统应用过程中存在的风险。 增强信息安全风险的防范意识。 学习目标 案例一:电信诈骗中的信息系统安全漏洞 深圳市的张女士在接到使用改号软件假冒银行客服、公安、检察院的一系列电话后,被骗走了44万元。而让张女士不能接受的是,这些来电号码,显示的确实是银行和公安局的电话号码,因此她才一步步走入了犯罪分子布下的陷阱。张女士不解,为何骗子能用银行和公安局的电话号码给她打电话 案例二:认识无线网络中的安全风险 Wi-fi热点下的钓鱼陷阱 黑客提供一个名字与商家类似的免费Wi-Fi接入点吸引网民接入。一旦连接到黑客设定的Wi-Fi热点,上网的所有数据包,都会经过黑客设备转发,这些信息都可以被截留下来分析,一些没有加密的通信就可以被直接查看到。 无线网络中的信息系统漏洞攻击 攻击者首先会使用各种黑客工具破解无线路由器的连接密码,如果破解成功,黑客就可以成功连接路由器,与用户共享一个局域网。攻击者除了免费享用网络带宽,还会尝试登录无线路由器管理后台,如图4.1.3所示。 信息系统的安全风险主要来自两大方面。 一方面, 在技术和设计上存在不完善性,漏洞和缺陷随之而来,导致信息系统有其脆弱性,存在一定的安全风险。 另一方面,由人为因素引起的风险,出于商业竞争、个人报复等动机对信息系统网络进行攻击;或因无意间的信息泄露,使犯罪分子有了可乘之机。 1 信息系统一旦遭受破坏, 不仅会使重要信息泄漏,而且还会对个人、企业造成重大损失。 2 从理论与实践上讲,绝对安全的信息系统并不存在,风险总是客观存在的。安全是风险与成本的综合平衡。必须正确地评估,从实际出发,突出重点,以便采取科学、客观、经济和有效的措施。 01 降低信息系统安全风险 针对人为因素造成的安全风险,我们可以通过管理手段来降低。 因此,信息系统安全与否取决于两个因素:技术和管理。 针对技术和设计上存在不完善性而产生的信息系统安全风险,我们可以通过安全技术来降低; 因此,信息系统安全与否取决于两个因素:技术和管理。 信息系统安全管理的最终目标是将信息系统安全风险降低到用户可接受的程度,保证系统的安全运行和使用。 降低风险。实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响,降低风险的途径包括以下几个方面。 减少威胁:如安装恶意软件检测或防御程序,减少信息系统受恶意软件攻击的机会。 减少弱点:如通过安全意识培训,强化相关人员的安全意识与安全操作能力。 降低影响:如制订灾难恢复计划和业务连续性计划,做好备份。 规避风险。有时候,可以选择放弃某些可能带来风险的业务或资产,以此规避风险。例如,将重要的计算机系统与互联网隔离,使其免遭来自外部网络的攻击。 转嫁风险。将风险全部或者部分地转移到其他责任方,如购买商业保险。 接受风险。在实施了其他风险应对措施之后,对于残留的风险,可以选择接受。 如下表所示,信息系统安全主要是指系统安全和信息安全,其核心属性包括机密性、真实性、 可控性和可用性,具体反映在物理安全、运行安全、数据安全、内容安全四个层面上。 层次 层面 作用点 信息安全的核心属性 机密性 真实性 可控性 可用性 系统安全 物理安全 硬件 √ √ √ 运行安全 软件 ... ...
