专题10 信息系统的安全（知识梳理+考点精讲精练+实战训练）（原卷版）

专题10信息系统的安全目录目录第一部分明晰学考要求·精准复习第二部分基础知识梳理·全面提升第三部分考点精讲精练·对点突破考点01数据保护意义考点02信息系统安全风险考点03信息系统安全技术考点04信息系统安全管理考点05信息系统安全意识第四部分实战能力训练·满分必刷专题考试内容要求对应学业质量水平信息系统的安全1.知道信息系统的安全风险。2.了解信息系统的安全技术。3.掌握信息系统的安全管理。4.树立信息安全意识。1.认识到信息系统应用过程中存在的风险，理解对数据进行保护的意义。熟悉信息系统安全防范的常用技术方法，养成规范的信息系统操作习惯，树立信息安全意识。2.认识信息系统对人们生活、工作与学习的重要性，在信息系统构建与应用的过程中，能够利用已有经验判断系统可能存在的信息安全风险，主动运用规避风险的思想与方法。一、信息系统的安全风险1.信息系统安全风险点风险点1：信息指犯罪分子通过电话、网络和短信方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子汇款、转账等犯罪行为。方式方法：冒充政府部门、利用中奖兑奖、利用虚假广告信息、利用高薪招聘、利用银行卡消费、虚构绑架（出车祸）诈骗等。风险点2：技术风险无线网络存在巨大的安全隐患，Wi-Fi热点有可能就是陷阱，家里的路由器也可能被恶意攻击者攻破。网民在毫不知情的情况下，个人敏感信息可能会遭盗取，甚至造成直接的经济损失。方式方法：钓鱼网站、不知情链接、信息系统漏洞等。【归纳】信息系统安全风险是由于技术缺陷、操作失误、恶意攻击或外部威胁等因素导致的潜在损失或损害，涉及数据泄露、服务中断、系统破坏和信誉损失等后果。2.信息系统风险来源一方面，在和上存在不完善性导致的漏洞和缺陷，导致信息系统有其脆弱性，存在一定的安全风险。另一方面，由引起的风险，如商业竞争、个人报复或因无意间的信息泄露。信息系统安全与否取决于两个因素：和。【注意】技术和管理是风险防范的两个重要因素。3.降低信息系统风险信息系统安全管理的最终目标是将信息系统安全风险降低到用户可接受的程度，保证系统的安全运行和使用。针对技术和设计上存在不完善性而产生的信息系统安全风险，我们可以通过来降低；针对人为因素造成的安全风险，我们可以通过来降低。1）降低风险。实施有效控制，将风险降低到可接受的程度，降低风险的途径包括、、。2）规避风险。放弃某些可能带来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网，使其免遭来自外部网络的攻击。3）转嫁风险。将风险全部或者部分地到其他责任方。4）接受风险。在实施了其他风险应对措施之后，对于残留的风险，可以选择接受。【归纳】措施有实施全面的安全策略，持续更新维护系统安全，采用强度高的密码，开展周期性安全检查，加强安全培训。4.信息系统安全信息系统安全主要是指和，其核心属性包括、、和，具体反映在安全、安全、安全、安全四个层面上。层次层面作用点信息安全的核心属性机密性真实性可控性可用性系统安全物理安全硬件√√√运行安全软件√√信息安全数据安全保护信息√√√内容安全攻击信息√√√√【归纳】确保硬件设备的安全，防止非法访问、盗窃或破坏。保护信息数据不被未授权访问、泄露、篡改或丢失。二、信息系统的安全技术1.软件层面影响信息系统安全的有病毒、木马和流氓软件等。1）病毒计算机病毒(ComputerVirus)：是在计算机程序中插入的破坏计算机功能或者数据的一个、一段可执行。计算机病毒的特性：、、、、、表现性和等。计算机病毒的生命周期：开发期→期→期→期→发现期→消化期→消亡期。2）木马木马的全称是特洛伊木马，是指通过特定的(木马程序)来控制计算机。木马通常有两个可执行程序：一个是，另一个是。“木马”程序与一般的病毒不同，它通过伪装自身吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程被种主机。3）流氓软件“流氓软件”是介于病毒和正规软件之间的软件。如果计算机中有流氓软件，可能会出现某种。例如，用户使用计算机上网时，会不断跳出窗口等。【归纳】1.病毒：，感染文件系统，增加系统负荷，可能引起系统不稳定。2.木马：成合法程序，盗取用户数据，控制目标计算机，破坏机密信息。3.流氓软件：，擅自更改设定，频繁弹出广告，影响使用者的电脑体验。2.病毒防范1）安装，定期进行全盘病毒、木马扫描，经常更新杀毒软件。2）安装或者安装自带防火墙的杀毒软件。3）经常进行操作系统和重要软件的，尤其要注意安装安全补丁以修复漏洞。4）不随意、陌生人发来的电子邮件或通过QQ传递的文件或网址。5）使用移动存储器前，先病毒。6）禁用浏览器中不必要的。7）经常查看系统的，去除不必要的启动服务。3.技术实施1）防火墙：是指一种将内部网和公众访问网分开的方法，它实际上是一种技术。是在两个网络通信时执行的一种尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。2）防火墙的规则：Windows防火墙的高级安全设置中，有针对程序和端口的防火墙规则，可以创建防火墙规则，以允许本地计算机向程序、系统服务、计算机或用户发送流量，或者从程序、系统服务、计算机或用户接收流量。规则：来自的程序、服务、用户等访问本地计算机。规则：计算机上的程序、服务、用户等访问外网。【注意】防火墙的设置接触的较少，可以有针对性的提醒和指导。三、信息系统的安全管理1.信息系统安全事件的原因一是信息设备使用人员不足。二是不当。三是不法分子恶意。2.信息系统安全管理措施1）管理①内部制度：如机房管理制度。②管理标准：ISO/IEC27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理标准，为各种类型的组织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范。2）管理阶段信息系统安全管理，可以类比校园安全防护。信息系统安全管理可划分为阶段、阶段和阶段。信息系统安全管理阶段功能表所属阶段校园安全防护信息系统安全管理事先防御围墙隔离门卫核查特殊接送网络隔离访问控制加密传输实时监测视频监控保卫巡逻火灾探测病毒监控入侵检测系统/用户行为监控事后响应报警、急救事故认定、问责修复、加固报警、急救取证、问责修复、加固3）技术管理安全技术和安全产品技术是实现安全目标的，管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个，是实现信息安全目标的必由之路。3.信息系统安全管理模型从考虑，做到遵循“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”的管理思路，建立一套完整的信息系统安全管理体系。4.信息系统安全管理决策要点1）制定信息安全管理方针和多层次的，以便为各项信息安全管理活动提供指引和支持。2）通过风险评估来充分发掘组织真实的信息。3）遵循的理念。4）加强人员的和安全教育。5）足够重视并提供的支持。6）持有管理、改进的思想。7）以业务持续发展为目标，达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。【归纳】信息安全管理需重视数据保护、访问控制、风险评估、安全意识培训、合规性遵循、事故响应计划和持续监控，确保信息安全策略与组织目标一致，同时适应技术发展和威胁环境的变化。四、信息安全意识信息安全意识是指用户对信息安全重要性的，以及采取相应措施保护信息安全的性，涉及对信息资产的价值、潜在威胁的认识，以及对安全政策的。包括对个人隐私保护、、、恶意软件防范等方面的认识。通过教育培训、政策制定、技术手段应用等方式提升安全意识。【注意】定期更新安全知识、警惕异常行为、遵守安全规定、使用复杂密码、定期更换密码等。练考点01数据保护意义【典型例题1】（2024-全国）电脑上的数据一旦数据丢失，就有可能造成难以估量的损失。下面说法不正确的是（）A．对于个人而言，在硬盘上做好重要文件的备份就能确保数据安全B．对于企业而言，可以利用复制、镜像、持续备份等技术做好数据保护C．《中华人民共和国网络安全法》的实行，说明国家对于网络数据安全越来越重视D．使用手机中的定位、导航、移动支付，都有可能造成隐私的泄露【典型例题2】（2024-全国）信息技术正在快速地改变着世界，数据保护也越来越重要，下列对数据保护理解有误的是（）A．加密、校验都是保护数据的方法 B．数据安全已上升至国家战略层次C．目前尚无绝对安全的数据保护手段 D．移动终端中的数据不需要采取安全防范措施对点专攻1.关于数据保护的描述，正确的是（）A．数据保护只涉及硬件层面B．备份是保护数据一种非常有效的方式C．手机等移动设备安装APP时，最好开放所有权限D．病毒是运行在Windows系统中的程序，不能在Android和iOS系统中运行2.下列选项中，不是数据保护方法的是（）A．安装杀毒软件和防火墙 B．数据压缩 C．数据备份 D．数据加密考点02信息系统安全风险【典型例题1】（2024-江苏）关于信息系统安全风险，下列说法错误的是（）A．技术和设计上的漏洞，会导致系统存在安全风险B．人为的不良动机会对信息系统带来安全风险C．信息系统一旦遭到破坏，就可能对个人和社会造成重大损失D．绝对安全的信息系统是存在的【典型例题2】（2023-上海）为了实时监控博物馆内藏品的状态，需加强风险防范来确保信息系统的安全。以下关于信息系统常见风险说法正确的是（）A．设备老化导致数据丢失或功能失灵属于物理安全风险B．攻击者通过系统软件漏洞入侵系统传播病毒属于管理安全风险C．黑客入侵系统窃取信息和开展非法的网络攻击行为属于网络安全风险D．对系统权限没有设置足够的层级属于软件安全风险对点专攻1.关于信息系统安全，以下说法正确的是（）A．只要电力供应稳定，信息系统就不会面临安全风险B．安装了防病毒软件，信息系统就不可能遭受病毒攻击C．定期对数据进行备份，可以确保信息系统数据的完整性D．实施严格的用户身份验证，可以增强系统数据的安全性2.以下属于信息系统应用中安全风险因素的是（）①软件因素 ②硬件因素 ③经济因素 ④数字因素A．③④ B．①② C．①④ D．②③考点03信息系统安全技术【典型例题1】（2023-江苏）目前，网店页面的URL，通常都是以https：//开头，这在信息系统安全中属于（）技术。A．防火墙 B．身份认证 C．加密技术 D．解密技术【典型例题2】（2023-广东）不属于信息系统安全风险防范常用技术的是（）A．加密技术 B．认证技术 C．压缩与解压技术 D．恶意代码检测与防范技术对点专攻1.随着信息技术的发展，手机银行受到了人们的青睐，在自助注册手机银行或进行账户关联时，系统会对客户进行人脸识别，该方式运用了信息系统安全风险防范的（）A．加密技术 B．认证技术 C．主机系统安全技术 D．网络与系统安全应急响应技2.华为“Mate40”手机可以通过“人脸识别”的方式解锁手机屏幕，“人脸识别”在信息系统安全中属于（）技术。A．加密 B．解密 C．认证 D．防火墙考点04信息系统安全管理【典型例题1】（2023-江苏）依据信息系统安全管理的阶段，下列属于事先防御阶段的是（）A．网络隔离 B．病毒监控 C．入侵检测 D．系统行为监控【典型例题2】（2024-江苏）信息系统安全管理过程中，最重要的因素是（）A．技术 B．人员 C．管理制度 D．设备对点专攻1.信息系统安全管理可以分为事先防御阶段、实时监测阶段和事后响应阶段。下列安全管理措施中，不属于实时监测阶段的是（）A．网络隔离 B．病毒监控 C．入侵检测 D．系统、用户行为监控2. 以下不属于信息系统安全管理目的是（）A．转嫁风险 B．避免出错 C．减少弱点 D．减少威胁考点05信息系统安全意识【典型例题1】（2023-江苏）在使用信息系统过程中养成规范的使用习惯，树立信息安全意识，以下说法错误的是（）A．不要随意扫描或点击陌生人的二维码，不要轻易打开他人发送的网页链接。B．不要随意打开电子邮件中的附件，在打开下载的附件前，先使用杀毒软件查杀病毒C．更换新手机后，删除旧手机中隐私信息后可以丢弃D．给智能手机，平板电脑等安装软件时要注意权限说明，对读取通信录、获取地理位置等权限的请求，要谨慎对待【典型例题2】（2023-江苏）小李通过网络购买一套运动服，收到快递后将包含个人手机号等信息的快递单销毁后再扔掉，你认为小李的做法（）A．具有信息安全意识，值得称赞 B．小题大作，直接丢入垃圾桶即可C．体现了垃圾分类意识 D．体现了环保意识对点专攻1.3.15晚会曝光某些手机APP，以免费Wi-Fi为名诱骗通过获取查看用户短信、日历等权限的方式，盗取个人隐私信息。关于个人信息及保护的说法不正确的是()A．个人信息可分为个人敏感信息和个人一般信息B．对于个人而言，最重要的保护措施是提升自身的信息安全意识C．个人敏感信息泄露或修改，有可能对信息主体造成不良的影响D．只要不上网，个人信息就不会泄露2.为了保障个人信息安全，下列措施有效的是（）A．关闭防火墙软件 B．提升自身的信息安全意识C．个人敏感信息保存在U盘中 D．个人账户的密码不要定期更改1、数据保护的方法有数据备份和数据加密，下列关于数据保护说法错误的是（）A.只要不访问互联网就可以防止木马的入侵B.连接可信无线网络C.合理设置智能终端的数据采集功能，保护个人隐私数据D.连接其他设备时，认真阅读操作提示和安全事项2、下列选项中，不是数据保护方法的是（）A.数据压缩 B.数据备份 C.数据加密 D.安装杀毒软件和防火墙3、信息社会的到来给我们带来了很多方便，同时也让个人信息有了更多泄密的可能。对个人信息进行加密是必不可少的数据保护方法，以下密码安全指数相对较高的是（）A.1234567890 B.abcdefghy C.abcd12345 D.ABC_952rg4、AI配音通过大量数据训练，模仿和学习人类声音，从而创作出个性化的作品。目前市面上有大量AI配音的小程序，用户选择授权账户、手机号、昵称等信息后，在程序内点击相应的人物声音并输入文字，便可借用他人的声音发表言论。成为其VIP会员，还能解锁更多丰富的人物声音。下列关于信息系统安全与信息社会责任的说法，正确的是（）A.AI配音作品使用他人声音发表的言论代表他人观点B.用户授权的手机号不属于个人敏感信息C.AI配音小程序在进行身份认证时，要解决的问题是用户是否有权限进入系统使用数据资源D.AI配音小程序的数据，均可面向所有用户公开使用5、下列关于信息系统安全与信息社会责任的说法，正确的是（）A.普通民众对突发事件进行“现场直播”只有好处没有坏处B.计算机病毒的防范应预防为主、查杀为辅C.信息系统只要部署了防火墙就能保证系统的安全D.访问控制的基本功能是保证所有用户访问所有系统资源6、由于系统设计存在缺陷，造成智能手机崩溃。这主要属于信息系统安全风险中的（）A.网络因素 B.数据因素 C.软件因素 D.人为因素7、信息系统安全管理可分为事先防御阶段、实时监测阶段和事后响应阶段。下列行为属于事后响应阶段的是（）A.修复加固 B.病毒监控 C.访问控制 D.保卫巡逻8、在银行自动取款机上取款时要输入密码，这属于网络安全技术中的（）A.加密传输技术 B.防火墙技术 C.病毒防治技术 D.身份认证技术9、以下哪项是信息系统安全技术中的主动防御措施？（）A.防火墙 B.加密技术 C.入侵检测系统 D.病毒扫描10、在信息系统安全管理中，哪种措施可以有效地防止数据泄露？（）A.数据加密 B.系统防火墙 C.访问控制 D.所有以上11、以下管理措施属于信息系统安全管理的事先防御阶段的是（）A.安装防火墙，设置防火墙规则 B.及时发现网络入侵行为C.调取系统运行日志 D.杀毒软件自动