第五章 信息系统的安全风险风范
【知识结构体系】
翻转气缸
【知识梳理】
一、信息系统应用中的安全风险
(一)人为因素
1.原因:人是信息系统的使用者与管理者,是信息系统的薄弱环节。 2.策略:
✓加强立法
✓提高关键安全技术水平
✓全面提高道德意识与技术防范水平
(二)软硬件因素
不倒翁沙袋1.对硬件的保护:
✓把硬件作为物理资产
✓严格限制访问权限蝶形胶布
2.对软件的保护:及时为软件打补丁或修复漏洞
1.风险:
✓网络黑客窃取、篡改信息;
✓网络崩溃导致信息丢失。
2.诱因:
✓网络系统管理的复杂性
✓网络信息的重要性
✓网络系统本身的脆弱性
✓低风险的诱惑
(四)数据因素
采集、存储、处理、传输过程中的安全问题
二、信息系统安全风险防范的技术与方法
(一)信息系统安全风险防范的重要术语
香仁夏露
1.威胁:对信息、系统或信息资产有潜在危险的人、实体或其他对象
2.攻击:对信息、信息系统或信息资产进行蓄意或无意破坏
3.入侵:对网络或联网系统的未授权访问与控制
4.漏洞:信息系统自身存在的缺陷
5.脆弱性:物理环境、组织、过程、人员、管理、配置、硬件、软件、信息都存在的缺陷
6.风险:威胁主体利用脆弱性,采用一定的途径和方式,对信息、信息系统或信息资产造成损害或损失,从而形成风险。
(二)信息系统安全模型及安全策略
1.信息系统安全性、便利性与成本的关系
2. P2DR模型
(1)策略:根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。
✓网络安全策略包括:访问控制策略、加密通信策略、身份认证策略和回复备份策略。
(2)防护:数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
(3)检测:实时监控、IT审计
(4)响应:关闭服务、跟踪、反击、消除影响。
3.信息系统安全策略分析
(1)非技术层面:预防意识、管理保障措施、应急响应机制。
(2)技术层面:
①物理方面:物理系统
措施:环境维护、防盗、防火、防静电、防雷击。
②逻辑方面:操作系统、数据库系统、应用系统和网络系统
措施:访问控制、信息加密。
(三)信息系统安全风险防范的常用技术
1.加密技术:防止信息被窃取
(1)加密:将数据变换成某种形式,进而隐藏信息
(2)解密:将隐藏的数据反变换成原样,进而恢复信息
(3)密码分析:研究高效算法破译密码以获取机密信息
2.认证技术
(1)目的:验证信息发送者的身份、验证信息的完整性。
(2)方法:口令字、物理手段、生物手段。
3.主机系统安全技术
(1)目的:保护计算机操作系统、保护运行在计算机上的信息系统技术
(2)技术手段:
①操作系统安全技术
✓用户账号控制机制:区分普通用户和管理员等不同角对软件的使用权限
✓强制完整性控制机制
✓用户界面特权隔离机制
✓网络访问保护机制
②数据库安全技术
✓安全数据库管理系统
✓外包数据库安全
✓云数据库/云存储安全
4.网络与系统安全应急响应技术
(1)防火墙技术
✓阻挡非法用户的侵入
✓记录计算机网络之中的数据信息
✓ 防止工作人员访问存在安全隐患的网站
(2)入侵检测技术: 检查损坏或企图损坏系统的机密性、完整性及可用性等行为的一类安全技术
(3)应急响应技术: 在网络被破坏前后所采取的的预防、应对措施
5.恶意代码检测与防范技术: 主要是指以危害信息的安全等不良意图的程序,一般潜伏在受害计算机系统中实施破坏或窃取信息
(1)工作环节:预防、机理分析、检测和清楚
(2)种类:病毒、蠕虫、木马、僵尸病毒、间谍软件、Rootkit…
6.人工智能技术在反病毒中的应用
(1)根据计算机病毒的表现手段和方式,采用人工智能方法编制检测病毒软件,建立防治计算机病毒专家系统。
邮购盒(2)专家系统的核心:知识库和推理机
三、合理使用信息系统
(一)树立信息安全意识
1.信息安全管理
✓维护信息安全:确保信息内容在获取、存储、处理、检索和传送中,保存其保密性、完整性、可用性和真实性。
✓人为造成计算机系统安全风险事件的原因:人为75%,自然灾害(25%)
2.知识产权保护及其意义
✓知识产权保护的范围:软件、数据库、数字内容、算法。
(二)信息系统安全操作规范
1.信息系统规范操作的必要性
(1)人为因素是信息系统安全问题产生的主要原因。
(2)规范操作是消除过程因素造成的潜在威胁的必要策略
2.信息系统规范操作及其意义
✓目的:加强信息系统的运行管理,提高工作质量和管理有效性,实现计算机系统维护、操作规范化,确保计算机系统安全、可靠运作。
(三)信息社会的道德准则与法律法规
1.网上道德规范
存在问题 | 造成危害 |
在网上传播不良信息 | 毒化网络“空气”,对青少年的身心造成危害 |
网上犯罪 | 会对经济、人身等造成严重后果 |
虚假信息 | 严重影响人们对信息真实性判断,降低了信息的可信度 |
信息垃圾 | 让人无法对信息作出正确、有效的选择 |
山体滑坡监测系统沉溺游戏 | 对青少年的心理和生理造成严重的负面影响 |
| |
(1)未经允许,不进人他人计算机信息网络或者使用他人计算机网络信息资源。
(2)未经允许,不对计算机信息网络功能进行删除、修改或者增加。
(3)未经允许,不对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
(4)不故意制作、传播计算机病毒等破坏性程序。
(5)不做危害计算机信息网络安全的其他事。
2.信息安全法律法规
《国家网络空间安全战略》
《中华人民共和国计算机信息系统安全保护条例》
《计算机信息网络国际联网安全保护管理办法》
【典型例题】
1.下列行为符合网络行为规范的是( )
A.未经许可随意使用别人的计算机资源
B.利用高效算法破译别人的密码
C.给别人发大量的垃圾邮件
D.不在网上发布存在安全漏洞的驱动程序
2.马老师组织几百名学生在计算机教室同时填写调查问卷,结果出现卡顿、乱码、闪退等情况,甚至不能出现问卷页面。究其主要原因是学生集中报名,进而造成网络拥堵。像这种情况,是由于( )而造成信息系统不可靠、不安全。
A.人为因素 B.软硬件因素 C.网络因素 D.数据因素
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议