5.1信息系统的安全风险防范x1

信息系统的安全风险防范5.1信息系统应用中的安全风险5.2信息系统安全风险防范的技术和方法5.3合理使用信息系统第五章有哪些因素?

信息系统中的安全风险防范思考信息系统的我们带来好处的同时，可能存在着哪些安全隐患？情景1：是否接到过推销电话、诈骗电话？情景2：是否遇到过淘宝、微博等软件崩溃？情景3：是否留意过一些软件时不时就会提示要更新？情景4：为什么机房电脑、希沃一体机设置成还原模式？情景4：为什么密码强度低时系统会提示重置为更复杂的密码？学习新知造成信息系统安全风险的因素：人为因素软硬件因素网络因素数据因素探究活动：阅读以下案例并思考，采用什么策略可以消除或减弱人为因素对信息系统安全造成的威胁？案例：2022年9月初，A教培公司员工纷纷反映，查询学生信息的内部系统网速极慢。技术部分析发现，有一员工ID正疯狂查询学生信息，大量挤占网速，经排查，该ID已多次调出学生信息，在短短20天里发起查询数十万次，而持有该ID的员工正是8月中旬刚刚入职的汪某甲。还在公司上班的汪某甲被当场抓获，交代了自己恶意获取学生信息的事实，经理指出:“该异常ID登录的IP地址都在外地，而汪某甲却一直在公司上班，他一定有共谋！”。警方顺蔓摸瓜也很快抓获远在外省家乡的汪某甲的亲弟弟汪某乙，并在汪某乙的电脑里找到已被下载存储的A公司学生信息2万余组。汪某乙到案后交代说：“哥哥向我提供他的账户ID及密码等信息，技术人员做好’爬虫’软件后远程操作我的电脑查询。”探究活动：阅读以下案例并思考，采用什么策略可以消除或减弱人为因素对信息系统安全造成的威胁？案例后续处理：虹口区检察院审理本案后认为，汪某甲、汪某乙经事先共谋，违反国家有关规定，使用计算机程序非法获取公民个人信息，情节严重，其行为均已触犯《中华人民共和国刑法》，应当以侵犯公民个人信息罪分别追究其刑事责任。检察官介绍，教培公司掌握海量学员个人信息，一旦泄露不仅对学员的人身及财产安全带来隐患，也会对企业造成经济损失，更有损企业形象。企业更应加强信息安全管理和员工培训，提升管理水平。▲采取法律手段▲加强安全意识和管理水平信息系统安全风险——人为因素造成安全风险事件的原因所占比例/%人为因素52自然灾害25技术错误10内部人员作案10外部人员非法攻击3人为因素占据的比例超过一半，成为信息系统安全风险的瓶颈问题。这些安全问题中95%是可以通过科学的信息安全管理来避免的。信息系统安全风险——人为因素“人”是信息系统的使用者与管理者，是信息系统安全的薄弱环节。一般体现在三个方面：采用什么策略消除或减弱人为因素造成的威胁？防范意识薄弱误操作故意破坏政府层面加强立法工作提高关键安全技术水平使用者全面提高道德意识与技术防范水平学习新知造成信息系统安全风险的因素：人为因素软硬件因素网络因素数据因素观察观看视频后请思考：共享充电宝存在什么安全隐患？▲硬件因素改装后的共享充电宝变成恶意充电宝，会对连接的手机植入病毒以窃取个人隐私▲防范方法1.严格限制对硬件的访问权限2.保护好信息系统的物理位置及本身的安全观察:杀毒软件查找电脑漏洞并修复软件是信息系统中最难实施安全保护的部分。反映在开发中产生的错误：漏洞、故障、缺陷等。软件因素案例1：智能汽车软件漏洞2022年1月13日消息，19岁的黑客大卫·科伦坡发现了特斯拉系统中某个软件的漏洞，并通过该漏洞远程入侵了13个国家的25辆特斯拉电动汽车。大卫·科伦坡表示，通过漏洞可以使汽车被远程控制，包括打开车窗、启动车辆、禁用安全系统等，还可以通过车内摄像头探查司机、乘客是否在车内。▲防范方法修复漏洞、完善软件设计软件因素案例2：利用软件漏洞“薅羊毛”2018年4月，在校大学生徐某利用肯德基APP客户端和微信客户端之间数据不同步的漏洞，一边下单，一边取消订单，骗取肯德基的套餐兑换券和取餐码。发现这个漏洞后，徐某不仅自己点餐，还做起了买卖，把用这种方法得到的肯德基套餐通过线上交易软件低价出售给他人，从中非法获利。他还将这个“方法”传授给4名同学，造成肯德基品牌所有者百胜公司损失超过20万元。最终，涉案5人因犯诈骗罪、传授犯罪方法罪，被徐汇区人民法院判有期徒刑并处罚金。软硬件因素案例：2023年10月23日“语雀”出现重大服务故障学习新知造成信息系统安全风险的因素：人为因素软硬件因素网络因素数据因素网络因素关注：国家网络安全宣传周（每年的9月第3周）网络安全攻击侵入干扰破坏非法使用完整性真实性可用性保密性网络防范保障数据信息观察观看视频后思考：公共WiFi存在什么安全隐患？▲网络因素黑客可能通过公共WiFi入侵用户手机，利用某些软件漏洞来植入病毒从而窃取个人信息分析网络安全风险案例：某日，一所中学校园网站管理员前往网监支队报案，称该校网站多日来连续遭受黑客攻击。黑客对该校网站内的一些数据随意进行增加、删除、改动，网站上的远程教学、网络招生、投稿等功能受到严重影响，数十篇论文丢失，网站几近瘫痪。很快，警方将肇事机器锁定在一台家庭主机上，通过摸排，嫌疑人的身份逐渐浮出水面，让人吃惊的是，令网站瘫痪的黑客是一名高中学生。该名学生承认，自己通过在网站上下载的黑客程序，对几所学校的校园网站实施攻击，而其动机只是为了向网友炫耀自己的黑客技术。网络因素网络危害信息系统安全体现在：网络发生危害信息安全的诱因包括以下几个方面：重要信息被黑客窃取、篡改攻击行为导致网络崩溃1.网络系统管理的复杂性2.网络信息的重要性3.网络系统本身的脆弱性4.低风险的诱惑学习新知造成信息系统安全风险的因素：人为因素软硬件因素网络因素数据因素数据因素通过信息系统采集、存储、处理和传输的数据，是具有很高价值的资产，其安全性格外重要。分析：阅读以下材料（P118），分析事件成因及处理办法材料一：某论坛的数据库对用户密码仅使用了简单的MD5加密法，黑客能够快速破解出绝大部分明文密码，这导致2300万用户数据泄漏，这些用户数据包括用户名、注册邮箱、加密后的密码等。▲成因：加密方法简单▲处理方法：采用更安全的加密方式材料二：2015年，中国产业信息网公布一起重大信息泄露事件：全国有超过多个省市的社报系统曝出高危漏洞，统计达5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。市面上随处可售的个人信息，除了一部分是持有信息者主动售卖外，有接近3成的比例来自社保系统的漏洞被利用。▲成因：软件漏洞被利用▲处理方法：修复漏洞分析：阅读以下材料（P118），分析事件成因及处理办法材料三：2016年，保监会发函通报某保险公司存在内控缺陷，要求进行整改。保监会指出，该公司在客户信息真实性管理、银邮渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在问题及内控缺陷。除了公司内控问题外，该公司此前还被曝出存在严重信息系统安全漏洞，面临泄露数以万计客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。分析：阅读以下材料（P118），分析事件成因及处理办法▲成因：公司存在内控缺陷（管理问题）；安全漏洞▲处理方法：科学的信息安全管理案例：AI配音翻译“以假乱真观察▲加强公民生物特征数据的保护信息系统安全风险——数据因素数据因素造成的风险一般来自：保障数据安全的方法：数据的泄露数据的损坏分开不同地方存放数据给数据加密控制访问权限修复安全漏洞信息系统应用中的安全风险人为因素防范意识弱、误操作、故意破坏软硬件因素硬件物理安全；软件开发的缺陷网络因素黑客窃取信息、攻击网络数据因素数据泄露、数据损坏小结实践请尝试分析12306订票系统中存在的安全风险及防范方法网络订票系统因素风险防范方法人员软硬件网络数据实践请尝试分析网络订票系统中存在的安全风险及防范方法网络订票系统因素风险防范方法人员软硬件网络数据密码设置太简单；使用第三方软件抢票导致泄露个人信息设置安全性更高的密码；官方渠道购票服务器损坏；恶意软件抢票黑客入侵、攻击入侵检测；设置防火墙用户数据泄露；数据丢失数据加密；数据备份保障设备安全；完善系统设计课堂练习1.某公司的内部文件，活动内容以及设计方案遭到泄露，其大多数原因都不是遭到黑客攻击，而是IT部门没有及时注销离职员工的邮箱及相关业务系统的账号和权限。这样的信息安全问题主要由（

）引起的。A.网络因素B.人为因素C.软硬件因素D.数据因素BB.人为因素课堂练习2.央视3-15晚会曝光部分儿童智能手表为了压低成本使用过于老旧的操作系统，给消费者个人信息安全带来了无穷的后患。造成该信息安全风险的主要原因是（

）A.网络因素 B.硬件因素C.数据因素 D.软件因素DD.软件因素课堂练习3.近日，学校网站管理员发现有黑客攻击学校网站，对网站内的一些数据随意删改，致使远程教学、网络招生、投稿无法正常进行。下列因素是造成此次信息安全风险的是（

）A.人为因素造成的信息安全风险B.网络因素造成的信息安全风险C.软硬件因素造成的信息安全风险D.数据因素造成的信息安全风险BB.网络因素造成的信息安全风险课堂练习4.小王和朋友在一间商店相遇，在购物后发现手机账户信息被盗，最大可能的原因是（

）A.采用了二维码付款B.添加了朋友的微信C.在商店里用APP播放视频D.连接了不安全的Wi-Fi，被盗信息DD.连接了不安全的Wi-Fi，被盗信息课堂练习5.关于某校的门禁系统的安全防护，下列做法正确的是（ )A.管理员经常备份