1、粤教版普通高中教科书5.1信息系统应用中的安全风险12人为因素造成的信息安全风险软硬件因素造成的信息安全风险CONTENTS目录32网络因素造成的信息安全风险数据因素造成的信息安全风险人为因素信息系统安全风险案例案例 2017年年5月月,比特币病毒在全球疯狂传播,中国多所高校校园比特币病毒在全球疯狂传播,中国多所高校校园网服务器被攻击,大量目录文件被非法加密。如果想打开加密文网服务器被攻击,大量目录文件被非法加密。如果想打开加密文件,就必须向黑客支付比特币解锁,而且是花钱购买比特币解锁。件,就必须向黑客支付比特币解锁,而且是花钱购买比特币解锁。校园网的数据主要是高校教研、教学以及科研成果,对于
2、学校来校园网的数据主要是高校教研、教学以及科研成果,对于学校来讲尤其重要。受比特币病毒攻击所面临的结果将是各种论文和科讲尤其重要。受比特币病毒攻击所面临的结果将是各种论文和科研成果的丢失以及教学的停滞。研成果的丢失以及教学的停滞。人为因素信息系统安全风险 “人人”是信息系统的使用者与管理者,是信息系统安全的薄弱环节。信息系是信息系统的使用者与管理者,是信息系统安全的薄弱环节。信息系统可以拥有最好的技术如防火墙、入侵检测系统等,但如果操作人员没有防范统可以拥有最好的技术如防火墙、入侵检测系统等,但如果操作人员没有防范意识,信息系统仍然可能崩溃。意识,信息系统仍然可能崩溃。中国有句古语中国有句古语
3、“解铃还需系铃人解铃还需系铃人”。信息系统安全是个社会系统工程。信息系统安全是个社会系统工程,除了除了从政府层面从政府层面加强立法加强立法工作工作,还需要还需要不断提高关键安全技术水平不断提高关键安全技术水平,更需要使用者全更需要使用者全面提高道德意识与技术防范水平面提高道德意识与技术防范水平。软硬件因素信息系统安全风险案例案例2016年,某信息安全研究公司发现了一种被称为年,某信息安全研究公司发现了一种被称为“Quadrooter”的漏洞,的漏洞,黑客利用这种漏洞诱导用户安装恶意应用,在并不需要请求任何特殊权限黑客利用这种漏洞诱导用户安装恶意应用,在并不需要请求任何特殊权限的情况下完全控制受
4、影响的手机或平板电脑的情况下完全控制受影响的手机或平板电脑,包括访问用户软件数据和控制包括访问用户软件数据和控制麦克风话筒等硬件。全球众多机型受到这种漏洞影响。麦克风话筒等硬件。全球众多机型受到这种漏洞影响。保护信息系统中的硬件免受危害或窃取,通常采用的方法是保护信息系统中的硬件免受危害或窃取,通常采用的方法是:先把硬件作为物先把硬件作为物理资产处理理资产处理,再严格限制对硬件的访问权限再严格限制对硬件的访问权限,以确保信息安全。保护好信息系统的物以确保信息安全。保护好信息系统的物理位置及本身的安全是重中之重理位置及本身的安全是重中之重,因为物理安全的破坏可直接导致信息的丢失。因为物理安全的破
5、坏可直接导致信息的丢失。软件是信息系统中最难实施安全保护的部分,主要反映在软件开发中产生的软件是信息系统中最难实施安全保护的部分,主要反映在软件开发中产生的错误,如漏洞、故障、缺陷等问题。在生活中,智能手机崩溃、存在控制缺陷的错误,如漏洞、故障、缺陷等问题。在生活中,智能手机崩溃、存在控制缺陷的汽车被召回等事件汽车被召回等事件,都是软件开发过程中安全问题后置或为节省时间、资金、成本都是软件开发过程中安全问题后置或为节省时间、资金、成本与人力等因素造成的。与人力等因素造成的。软硬件因素信息系统安全风险网络因素信息系统安全风险案例案例 某日,一所中学校园网站管理员前往网监支队报案,称该校网站多某日
6、,一所中学校园网站管理员前往网监支队报案,称该校网站多日来连续遭受黑客攻击。里客对该校网站内的一些数据随意进行增加、日来连续遭受黑客攻击。里客对该校网站内的一些数据随意进行增加、删除、改动,网站上的远程教学、网络招生投稿等功能受到严重影响删除、改动,网站上的远程教学、网络招生投稿等功能受到严重影响,数十篇论文丢失,网站几近瘫痪。数十篇论文丢失,网站几近瘫痪。很快,警方将肇事机器锁定在一台家庭主机上,通过摸排,嫌疑人很快,警方将肇事机器锁定在一台家庭主机上,通过摸排,嫌疑人的身份逐渐浮出水面,让人吃惊的是,令网站瘫痪的黑客是一名高中学的身份逐渐浮出水面,让人吃惊的是,令网站瘫痪的黑客是一名高中学
7、生。生。该名学生承认,自己通过在网站上下载的黑客程序,对几所学校的该名学生承认,自己通过在网站上下载的黑客程序,对几所学校的校园网站实施攻击,而其动机只是为了向网友炫耀自己的黑客技术。校园网站实施攻击,而其动机只是为了向网友炫耀自己的黑客技术。网络因素信息系统安全风险网络发生危害信息安全的诱因信息系统安全风险1.网络系统管理的复杂性 网络与计算机信息系统管理的复杂性造成了工作中稍有不慎或管理策略不得当,都会形成安全漏洞,而这些安全隐患对少数技术水平高、法制观念不强而想获取非法利益的人创造了条件。网络发生危害信息安全的诱因信息系统安全风险2.网络信息的重要性 大数据时代的海量数据,使信息、机密、
8、财富之间产生紧密的关联,从而构成信息安全的重要因素。很多情况下,数据和信息的价值远远超过网络系统各组件本身。因此,大量的信息安全事件直接指向了数据。通过渗透网络系统窃取机密信息,能够获取钱财,对于那些法律意识薄弱、道德水平低下但却有着高超的计算机网络技术的人,其诱惑力是不言而喻的,因此一些人铤而走险,以身试法。网络发生危害信息安全的诱因信息系统安全风险3.网络系统本身的脆弱性计算机网络本身的脆弱性是诱发危害网络信息安全的根本原因根本原因。信息存储密度高、易修改、能共享、网络传递方便,导致大量信息中隐藏非法信息而不易被察觉,一旦被攻击将损失惨重;信息易修改给正常工作带来了方便,但修改不留印迹也给
9、犯罪分子创造了机会;网络传递快捷方便,但传递过程中的电磁泄漏、搭线窃听、接收方身份识别困难等问题,也使得危害网络信息事件频频发生。网络发生危害信息安全的诱因信息系统安全风险4.低风险的诱惑 危害信息安全的行为都具有共同的特征:一是需要相关技术;二是隐蔽性较强,被查获的可能性相对较小;三是高回报低风险。因此,从犯罪心理学角度来看,低风险的诱惑也是许多人冒险犯罪的重要原因。网络发生危害信息安全的诱因信息系统安全风险1.网络系统管理的复杂性2.网络信息的重要性3.网络系统本身的脆弱性4.低风险的诱惑数据因素信息系统安全风险材料一某论坛的数据库对用户密码仅使用了简单的MD5加密法,黑客能够快速破解出绝
10、大部分明文密码,这导致2300万用户数据泄漏,这些用户数据包括用户名、注册邮箱、加密后的密码等。材料二2015年,中国产业信息网公布一起重大信息泄漏事件:全国有超过多个省市的社保系统曝出高危漏洞,统计达5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。市面上随处可售的个人信息,除了一部分是持有信息者主动售卖外,有接近3成的比例来自社保系统的漏洞被利用。材料三2016年,保监会发函通报某保险公司存在内控缺陷,要求进行整改。保监会指出,该公司在客户信息真实性管理、银邮渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在问题及内控缺陷。除了公司内控问题外,该公司此前还被曝出存在严重信息系统安全漏洞,面临泄露数以万计客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。数据因素信息系统安全风险 通过信息系统采集、存储、处理和传输的数据,是具有很高价值的资产,安全性格外重要。THANK YOU
