2022年高中信息技术学业水平综合复习必修2 第五章 信息系统的安全风险防范(解析版).pdfVIP

2022年高中信息技术学业水平综合复习必修2第五章信息系统的安全风险防范(解析版)--第1页

2022年高中信息技术学业水平综合复习

必修2信息系统与社会第五章信息系统的安全风险防范

一、章节体系

二、知识点

5.1信息系统应用中的安全风险

5.1.1人为因素造成的信息安全风险

案例：2017年5月，比特币勒索事件，说明人为破坏是信息安全风险的因素；另外“人”是信息系统

的使用者与管理者，是信息系统安全的薄弱环节。使用者的安全技术水平和安全意识也很重要。

5.1.2软硬件因素造成的信息安全风险

案例：2016年发现“Quadrooter，高通曝”漏洞，黑客可以轻松控制你的安卓手机或平板电脑。

硬件的保护：硬件本身的安全是重点，严格限制硬件的访问权。软件的安全风险主要表现在漏洞、故

障、缺陷等。

5.1.3网络因素造成的信息安全风险

黑客窃取、篡改，网络攻击导致网络崩溃的信息丢失等。

（1）网络系统管理的复杂性。

（2）网络信息的重要性。海量数据，使信息、机密、财富之间产生关联，构成信息安全的重要因素。

第1页共9页

2022年高中信息技术学业水平综合复习必修2第五章信息系统的安全风险防范(解析版)--第1页

2022年高中信息技术学业水平综合复习必修2第五章信息系统的安全风险防范(解析版)--第2页

（3）网络系统本身的脆弱性。存储密度高、易修改、能共享、网络传递方便。

（4）低风险的诱惑。

5.1.4数据因素造成的信息安全风险

重要数据具有高价值的特点，影响其安全性。论坛注册用户信息泄漏，社保系统高危漏洞导致个人信

息泄漏，保险公司信息泄漏等。

5.2信息系统安全风险防范的技术和方法

5.2.1信息系统安全风险的重要术语

威胁：经常存在的对信息或信息资产具有潜在危险的人、实体或其他对象称为威胁主体。

攻击：不断地对资产进行蓄意或无意破坏，损害信息系统的行为。分为主动、被动攻击。

入侵：通过攻克系统的访问控制保护，得到第三方数据的非授权访问。

漏洞：信息系统的天然缺陷或错误。

脆弱性：软、硬件、过程或人为的缺陷。

风险：威胁主体利用脆弱性产生的业务影响。

5.2.2信息系统安全模型及安全策略

1.信息系统安全性、便利性与成本的关系。

信息系统不存在绝对的安全，安全性和便利性、成本之间有着矛盾的关系。如下图：

2.P2DR安全模型

P2DR安全模型：策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）

第2页共9页

2022年高中信息技术学业水平综合复习必修2第五章信息系统的安全风险防范(解析版)--第2页

2022年高中信息技术学业水平综合复习必修2第五章信息系统的安全风险防范(解析版)--第3页

（1）策略：模型的核心。包括访问控制、加密通信、身份认证和备份恢复策略。

（2）防护：通过修复系统漏洞、正确设计开发和安装系统预防；定期检查系统的脆弱性；通过教育，

让用户和操作员正确使用；通过访问控制、监视等手段防止威胁。

防护技术：数据加密、身份认证、访问控制、授权和虚拟专用网（VPN）技术、防火墙、安全扫描、

数据备份。

（3）检测：通过不断地检测和监控发现威胁和弱点。实时监控、IT审计。

（4）响应：高速安全风险为最低状态。关闭服务、跟踪、反击、消除影响。

3.信息系统安全策略分析

非技术策略：预防意识、管理保障措施、应急响应机制。

技术策略：物理方面--自然破坏防护、质量保护、人为破坏防护、性能匹配。措施：环境维护、防盗、

防火、防静电、防雷击、防电磁泄漏。

逻辑方面--操作系统--漏扫、访问机制、身份认证、审计、关闭不必要服务、病毒防护。

数据库系统--漏扫、口令管理、操作权限、数据库审计。

应用系统--