信息系統(tǒng)應用中的安全風險課件-粵教版（2019）高中信息技術必修2

信息技術信息系統(tǒng)與社會必修2粵教版普通高中教科書5.1信息系統(tǒng)應用中的安全風險12人為因素造成的信息安全風險軟硬件因素造成的信息安全風險CONTENTS目

錄32網(wǎng)絡因素造成的信息安全風險數(shù)據(jù)因素造成的信息安全風險人為因素信息系統(tǒng)安全風險案例

2017年5月,比特幣病毒在全球瘋狂傳播，中國多所高校校園網(wǎng)服務器被攻擊，大量目錄文件被非法加密。如果想打開加密文件，就必須向黑客支付比特幣解鎖，而且是花錢購買比特幣解鎖。校園網(wǎng)的數(shù)據(jù)主要是高校教研、教學以及科研成果，對于學校來講尤其重要。受比特幣病毒攻擊所面臨的結(jié)果將是各種論文和科研成果的丟失以及教學的停滯。人為因素信息系統(tǒng)安全風險

“人”是信息系統(tǒng)的使用者與管理者，是信息系統(tǒng)安全的薄弱環(huán)節(jié)。信息系統(tǒng)可以擁有最好的技術如防火墻、入侵檢測系統(tǒng)等，但如果操作人員沒有防范意識，信息系統(tǒng)仍然可能崩潰。

中國有句古語“解鈴還需系鈴人”。信息系統(tǒng)安全是個社會系統(tǒng)工程,除了從政府層面加強立法工作,還需要不斷提高關鍵安全技術水平，更需要使用者全面提高道德意識與技術防范水平。軟硬件因素信息系統(tǒng)安全風險案例2016年，某信息安全研究公司發(fā)現(xiàn)了一種被稱為“Quadrooter”的漏洞，黑客利用這種漏洞誘導用戶安裝惡意應用，在并不需要請求任何特殊權(quán)限的情況下完全控制受影響的手機或平板電腦,包括訪問用戶軟件數(shù)據(jù)和控制麥克風話筒等硬件。全球眾多機型受到這種漏洞影響。

保護信息系統(tǒng)中的硬件免受危害或竊取，通常采用的方法是:先把硬件作為物理資產(chǎn)處理,再嚴格限制對硬件的訪問權(quán)限,以確保信息安全。保護好信息系統(tǒng)的物理位置及本身的安全是重中之重,因為物理安全的破壞可直接導致信息的丟失。軟件是信息系統(tǒng)中最難實施安全保護的部分，主要反映在軟件開發(fā)中產(chǎn)生的錯誤，如漏洞、故障、缺陷等問題。在生活中，智能手機崩潰、存在控制缺陷的汽車被召回等事件,都是軟件開發(fā)過程中安全問題后置或為節(jié)省時間、資金、成本與人力等因素造成的。。軟硬件因素信息系統(tǒng)安全風險網(wǎng)絡因素信息系統(tǒng)安全風險案例

某日，一所中學校園網(wǎng)站管理員前往網(wǎng)監(jiān)支隊報案，稱該校網(wǎng)站多日來連續(xù)遭受黑客攻擊。里客對該校網(wǎng)站內(nèi)的一些數(shù)據(jù)隨意進行增加、刪除、改動，網(wǎng)站上的遠程教學、網(wǎng)絡招生投稿等功能受到嚴重影響,數(shù)十篇論文丟失，網(wǎng)站幾近癱瘓。

很快，警方將肇事機器鎖定在一臺家庭主機上，通過摸排，嫌疑人的身份逐漸浮出水面，讓人吃驚的是，令網(wǎng)站癱瘓的黑客是一名高中學生。

該名學生承認，自己通過在網(wǎng)站上下載的黑客程序，對幾所學校的校園網(wǎng)站實施攻擊，而其動機只是為了向網(wǎng)友炫耀自己的黑客技術。網(wǎng)絡因素信息系統(tǒng)安全風險網(wǎng)絡發(fā)生危害信息安全的誘因信息系統(tǒng)安全風險1.網(wǎng)絡系統(tǒng)管理的復雜性

網(wǎng)絡與計算機信息系統(tǒng)管理的復雜性造成了工作中稍有不慎或管理策略不得當,都會形成安全漏洞,而這些安全隱患對少數(shù)技術水平高、法制觀念不強而想獲取非法利益的人創(chuàng)造了條件。網(wǎng)絡發(fā)生危害信息安全的誘因信息系統(tǒng)安全風險2.網(wǎng)絡信息的重要性

大數(shù)據(jù)時代的海量數(shù)據(jù)，使信息、機密、財富之間產(chǎn)生緊密的關聯(lián),從而構(gòu)成信息安全的重要因素。很多情況下，數(shù)據(jù)和信息的價值遠遠超過網(wǎng)絡系統(tǒng)各組件本身。因此,大量的信息安全事件直接指向了數(shù)據(jù)。通過滲透網(wǎng)絡系統(tǒng)竊取機密信息，能夠獲取錢財，對于那些法律意識薄弱、道德水平低下但卻有著高超的計算機網(wǎng)絡技術的人，其誘惑力是不言而喻的,因此一些人鋌而走險，以身試法。網(wǎng)絡發(fā)生危害信息安全的誘因信息系統(tǒng)安全風險3.網(wǎng)絡系統(tǒng)本身的脆弱性計算機網(wǎng)絡本身的脆弱性是誘發(fā)危害網(wǎng)絡信息安全的根本原因。信息存儲密度高、易修改、能共享、網(wǎng)絡傳遞方便，導致大量信息中隱藏非法信息而不易被察覺,一旦被攻擊將損失慘重;信息易修改給正常工作帶來了方便，但修改不留印跡也給犯罪分子創(chuàng)造了機會;網(wǎng)絡傳遞快捷方便，但傳遞過程中的電磁泄漏、搭線竊聽、接收方身份識別困難等問題，也使得危害網(wǎng)絡信息事件頻頻發(fā)生。網(wǎng)絡發(fā)生危害信息安全的誘因信息系統(tǒng)安全風險4.低風險的誘惑

危害信息安全的行為都具有共同的特征:一是需要相關技術;二是隱蔽性較強,被查獲的可能性相對較小;三是高回報低風險。因此,從犯罪心理學角度來看,低風險的誘惑也是許多人冒險犯罪的重要原因。網(wǎng)絡發(fā)生危害信息安全的誘因信息系統(tǒng)安全風險1.網(wǎng)絡系統(tǒng)管理的復雜性2.網(wǎng)絡信息的重要性3.網(wǎng)絡系統(tǒng)本身的脆弱性4.低風險的誘惑數(shù)據(jù)因素信息系統(tǒng)安全風險材料一某論壇的數(shù)據(jù)庫對用戶密碼僅使用了簡單的MD5加密法，黑客能夠快速破解出絕大部分明文密碼，這導致2300萬用戶數(shù)據(jù)泄漏，這些用戶數(shù)據(jù)包括用戶名、注冊郵箱、加密后的密碼等。>材料二2015年，中國產(chǎn)業(yè)信息網(wǎng)公布一起重大信息泄漏事件:全國有超過多個省市的社保系統(tǒng)曝出高危漏洞，統(tǒng)計達5279.4萬條，涉及人員數(shù)量達數(shù)千萬，其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。市面上隨處可售的個人信息，除了一部分是持有信息者主動售賣外，有接近3成的比例來自社保系統(tǒng)的漏洞被利用。>材料三2016年，保監(jiān)會發(fā)函通報某保險公司存在內(nèi)控缺陷，要求進行整改。保監(jiān)會指出，該公司在客戶信息真實性管理、銀郵渠道業(yè)務管理、團險業(yè)務管理、公司治理、財務基礎管理等方面存在問題及內(nèi)控缺陷。除了公司內(nèi)控問題外，該公司此前還