高中信息技术 粤教版必修2《信息系统与社会》信息系统的安全风险防范《信息系统安全风险防范的技术和方法》 课件.pptx

安徽省桐城中学 刘夫诚第5章 信息系统的安全风险防范 第2课时 信息系统安全风险防范的技术和方法 1课前回顾 1课堂导入 信息系统的安全风险来自多方面，包括认为和非人为的、有意的和无意的等。随着信息系统安全问题的复杂度不断提高，危害信息系统安全的手段、方法也不断变化。 人们越来越深刻地认识到信息系统安全不能仅从技术入手，还得从系统地管理角度切入，才能寻找一个比较合理地解决策略。第2课时 信息系统安全风险防范的技术和方法 1学习目标1、熟悉信息系统安全风险防范的技术方法。2、养成规范的信息系统操作习惯。3、了解信息系统安全概念。第2课时 信息系统安全风险防范的技术和方法 2目录一、信息系统安全风险的重要术语二、信息系统安全模型及安全策略三、信息系统安全风险防范的常用技术第2课时 信息系统安全风险防范的技术和方法 一、信息系统安全风险的重要术语一信息系统安全风险的重要术语第2课时 信息系统安全风险防范的技术和方法 信息系统安全风险的术语：一信息系统安全风险的重要术语威胁攻击入侵漏洞风险脆弱性第2课时 信息系统安全风险防范的技术和方法 威胁是指经常存在的、对信息或信息资产具有潜在危险的人、实体或其他对象,也称为威胁主体,即对信息或系统的潜在危险。一信息系统安全风险的重要术语威胁 入侵者通过防火墙上的某个端口访问网络、侵害知识产权、某位雇员造成的可能泄露机密信息或破坏文件完整性的意外错误、蓄意信息敲诈、软件共计、技术淘汰等。说明第2课时 信息系统安全风险防范的技术和方法例如，黑客就是威胁。 攻击是不断地对资产进行蓄意或无意破坏，或损害信息、或损害信息系统的一种行为。它分为主动攻击与被动攻击、蓄意攻击与无意攻击、直接攻击或间接攻击等类型。一信息系统安全风险的重要术语攻击 某人偶然读取了敏感信息,但没有使用该信息的意图,为被动攻击。黑客试图入侵信息系统，则为主动攻击。例如，“永恒之蓝”可远程攻击Windows的445端口(文件共亨)，“永恒之蓝”能在电脑里执行任意代码。植入勒索病毒等恶意程序。说明第2课时 信息系统安全风险防范的技术和方法 入侵是敌手通过攻克系统的访问控制保护,得到对第三方数据的非授权访问。一信息系统安全风险的重要术语入侵 入侵是主动、有意图地对合法系统进行攻击，获取未授权软硬件资源及数据的访问与控制。例如，医药代表为推广自己的药品而入侵医院系统,植入木马,盗取信息说明第2课时 信息系统安全风险防范的技术和方法 漏洞是一个天然的缺陷,犹如没有上锁的门,它是信息系统自身存在的弱点或错误,使信息暴露在被攻击或被破坏的情况下。一信息系统安全风险的重要术语漏洞例如，人脸识别的漏洞、人脸识别的滥用。 信息系统的不断大型化，造成控制与管理的复杂程序不断增加，漏洞也越来越多，如软件包缺陷、未保护的系统端口、暴露、风险、伪造等。说明第2课时 信息系统安全风险防范的技术和方法 风险是威胁主体利用脆弱性的可能性以及相应的业务影响。一信息系统安全风险的重要术语风险例如，ETC存在被pos机盗刷的风险。 网络没有安装入侵检测系统，在不引人注意的情况下被攻击且很晚才被发现的可能性就会较大。说明第2课时 信息系统安全风险防范的技术和方法 脆弱性是一种软件、硬件、过程或认为缺陷,它的存在说明了缺少应该使用的安全措施或者安全措施有缺陷。一信息系统安全风险的重要术语脆弱性例如，未设置开机密码；安全措施有问题。 如未安装补丁的应用程序或操作系统软件，服务器和工作站上未实施密码管理等。说明第2课时 信息系统安全风险防范的技术和方法 第2课时 信息系统安全风险防范的技术和方法一信息系统安全风险的重要术语练习 1、一位计算机技能高超，且曾经从他人电脑非法窃取资料的学生。 2、一位学生未经该学校的允许，查阅了该学校的数据库管理系统。 3、2022年10月20日，一个学生正在破坏该学校的学籍管理系统。 4、学校食堂未对学生的身份信息进行加密存储。 各小组讨论并查找资料，校园网常见的安全威胁有哪些？一信息系统安全风险的重要术语任务一第2课时 信息系统安全风险防范的技术和方法 校园网常见的安全威胁有如下几种：1、普遍存在的计算机系统漏洞。2、垃圾邮件、不良信息的传播。3、来自网络外部的入侵、攻击等恶意破坏行为。4、内部用户的攻击行为。5、校园网内部用户对网络资源的滥用。6、计算机蠕虫、病毒泛滥。(比特币病毒对校园网的威胁一信息系统安全风险的重要术语任务一第2课时 信息系统安全风险防范的技术和方法 二、信息系统安全模型及安全策略二信息系统安全模型及安全策略第2课时 信息系统安全风险防范的技术和方法