第五章 信息系统的安全风险风范
【知识结构体系】
人为因素软硬件因素网络因素数据因素
安全风险
威胁攻击入侵
重要术语
漏洞脆弱性
信息系统的安全风险防范
技术与方法
P2DR安全模型
风险
策略、防护、检测、响应
加密技术认证技术主机系统安全技术
常用技术
网络与系统安全应急响应技术恶意代码检测与防范技术人工智能在反病毒中的应用
树立信息安全意识
合理使用信息系统
信息系统安全操作规范信息社会的道德准则与法律法规
1 / 6
【知识梳理】
一、信息系统应用中的安全风险
(一)人为因素
1.原因:人是信息系统的使用者与管理者,是信息系统的薄弱环节。 2.策略: ✓ 加强立法
✓ 提高关键安全技术水平
✓ 全面提高道德意识与技术防范水平 (二)软硬件因素
1.对硬件的保护:
✓ 把硬件作为物理资产 ✓ 严格限制访问权限
2.对软件的保护:及时为软件打补丁或修复漏洞 (三)网络因素
1.风险:
✓ 网络黑客窃取、篡改信息; ✓ 网络崩溃导致信息丢失。 2.诱因:
✓ 网络系统管理的复杂性 ✓ 网络信息的重要性 ✓ 网络系统本身的脆弱性 ✓ 低风险的诱惑 (四)数据因素
采集、存储、处理、传输过程中的安全问题 二、信息系统安全风险防范的技术与方法
(一)信息系统安全风险防范的重要术语
1.威胁:对信息、系统或信息资产有潜在危险的人、实体或其他对象 2.攻击:对信息、信息系统或信息资产进行蓄意或无意破坏 3.入侵:对网络或联网系统的未授权访问与控制 4.漏洞:信息系统自身存在的缺陷 5.脆弱性:物理环境、组织、过程、人员、管理、配置、硬件、软件、信息都存在的缺陷
6.风险:威胁主体利用脆弱性,采用一定的途径和方式,对信息、信息系统或信息资产造成损害或损失,从而形成风险。
2 / 6
(二)信息系统安全模型及安全策略
1.信息系统安全性、便利性与成本的关系
2. P2DR模型
(1)策略:根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。
✓ 网络安全策略包括:访问控制策略、加密通信策略、身份认证策略和回复备份策略。
(2)防护:数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
(3)检测:实时监控、IT审计
(4)响应:关闭服务、跟踪、反击、消除影响。
3.信息系统安全策略分析
(1)非技术层面:预防意识、管理保障措施、应急响应机制。 (2)技术层面:
①物理方面:物理系统
措施:环境维护、防盗、防火、防静电、防雷击。 ②逻辑方面:操作系统、数据库系统、应用系统和网络系统 措施:访问控制、信息加密。
(三)信息系统安全风险防范的常用技术
1.加密技术:防止信息被窃取
(1)加密:将数据变换成某种形式,进而隐藏信息
(2)解密:将隐藏的数据反变换成原样,进而恢复信息 (3)密码分析:研究高效算法破译密码以获取机密信息
3 / 6
2.认证技术
(1)目的:验证信息发送者的身份、验证信息的完整性。 (2)方法:口令字、物理手段、生物手段。 3.主机系统安全技术
(1)目的:保护计算机操作系统、保护运行在计算机上的信息系统技术 (2)技术手段: ①操作系统安全技术
✓ 用户账号控制机制:区分普通用户和管理员等不同角色对软件的使用权限 ✓ 强制完整性控制机制 ✓ 用户界面特权隔离机制 ✓ 网络访问保护机制 ②数据库安全技术
✓ 安全数据库管理系统 ✓ 外包数据库安全
✓ 云数据库/云存储安全
4.网络与系统安全应急响应技术 (1)防火墙技术
✓ 阻挡非法用户的侵入
✓ 记录计算机网络之中的数据信息
✓ 防止工作人员访问存在安全隐患的网站
(2)入侵检测技术: 检查损坏或企图损坏系统的机密性、完整性及可用性等行为的一类安全技术
(3)应急响应技术: 在网络被破坏前后所采取的的预防、应对措施 5.恶意代码检测与防范技术: 主要是指以危害信息的安全等不良意图的程序,一般潜伏在受害计算机系统中实施破坏或窃取信息
(1)工作环节:预防、机理分析、检测和清楚
(2)种类:病毒、蠕虫、木马、僵尸病毒、间谍软件、Rootkit… 6.人工智能技术在反病毒中的应用
(1)根据计算机病毒的表现手段和方式,采用人工智能方法编制检测病毒软件,建立防治计算机病毒专家系统。
(2)专家系统的核心:知识库和推理机
4 / 6
三、合理使用信息系统
(一)树立信息安全意识
1.信息安全管理
✓ 维护信息安全:确保信息内容在获取、存储、处理、检索和传送中,保存其保密性、完整性、可用性和真实性。 ✓ 人为造成计算机系统安全风险事件的原因:人为75%,自然灾害(25%) 2.知识产权保护及其意义
✓ 知识产权保护的范围:软件、数据库、数字内容、算法。 (二)信息系统安全操作规范
1.信息系统规范操作的必要性
(1)人为因素是信息系统安全问题产生的主要原因。 (2)规范操作是消除过程因素造成的潜在威胁的必要策略 2.信息系统规范操作及其意义
✓ 目的:加强信息系统的运行管理,提高工作质量和管理有效性,实现计算机系统维护、操作规范化,确保计算机系统安全、可靠运作。
(三)信息社会的道德准则与法律法规
1.网上道德规范 存在问题 在网上传播不良信息 网上犯罪 虚假信息 信息垃圾 沉溺游戏 造成危害 毒化网络“空气”,对青少年的身心造成危害 会对经济、人身等造成严重后果 严重影响人们对信息真实性判断,降低了信息的可信度 让人无法对信息作出正确、有效的选择 对青少年的心理和生理造成严重的负面影响 (1)未经允许,不进人他人计算机信息网络或者使用他人计算机网络信息资源。
(2)未经允许,不对计算机信息网络功能进行删除、修改或者增加。 (3)未经允许,不对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
(4)不故意制作、传播计算机病毒等破坏性程序。 (5)不做危害计算机信息网络安全的其他事。 2.信息安全法律法规
《国家网络空间安全战略》
《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法》
5 / 6
【典型例题】
1.下列行为符合网络行为规范的是( ) A.未经许可随意使用别人的计算机资源 B.利用高效算法破译别人的密码 C.给别人发大量的垃圾邮件
D.不在网上发布存在安全漏洞的驱动程序
2.马老师组织几百名学生在计算机教室同时填写调查问卷,结果出现卡顿、乱码、闪退等情况,甚至不能出现问卷页面。究其主要原因是学生集中报名,进而造成网络拥堵。像这种情况,是由于( )而造成信息系统不可靠、不安全。
A.人为因素
B.软硬件因素
C.网络因素
D.数据因素
3.小智在某餐厅参加毕业聚餐,结果发现手机账户信息被盗,最大原因可能是( )。
A.采用了二维码付款 C.添加了朋友的微信
B.在餐厅里用APP播放视频 D.连接不安全的Wi-Fi,被盗取信息
4.某公司的内部文件,活动内容以及设计方案遭到泄露,通过多方面调查,发现是 IT 部门没有及时注销离职员工的邮箱及相关业务系统的账号和权限。这样的信息安全问题主要是由( ) 引起的。
A.人为因素 C.网络因素
B.软硬件因素 D.数据因素
5.小马作为某公司的信息系统管理员,在员工离职时都要停用该员工曾经使用过的相关信息系统的账号,这样的操作规范属于( ) 。
A.员工基本守则
B.奖惩制度 D.入职离职规范
C.信息系统安全的操作规范
6.到银行取款,要求输入密码,这属于网络安全技术中的认证技术。( ) 7.目前在内部网与外部网之间,检查网络传送的数据是否会对网络安全构成威胁的主要设备是路由器。( ) 【参考答案】
题号 1 2 3 4 5 6 7 答案 D B D A C B B 6 / 6
因篇幅问题不能全部显示,请点此查看更多更全内容