高中信息技术华东师大版必修2第二节 了解信息系统的风险与防范措施教课内容课件ppt

这是一份高中信息技术华东师大版必修2第二节 了解信息系统的风险与防范措施教课内容课件ppt，共25页。PPT课件主要包含了课堂导入，体验思考，安全漏洞，分析归纳，防火墙，1身份认证，2访问控制，3数据加密，4修补漏洞，作业练习等内容，欢迎下载使用。
信息系统在帮助我们完成工作和生活中的各项任务时,其背后可 能隐藏着一些不安全的因素,这些因素随时随地可能会对信息系统的 正常运行构成威胁,如果不能及时加以防范,可能会导致我们个人、集体乃至国家的利益遭受损失。
当人们享受着信息系统所带来的便利时,一些麻烦可能也会不期而至。例如,网络瘫痪导致无法正常 工作和生活;经常接到陌生人的骚扰电话和垃圾邮件;银行卡在手,账户内的钱款却不翼而飞;计算机中的 重要数据莫名泄露或顷刻化为乌有等。对上述这些体验,相信我们并不陌生。 思考:上述事例为什么会发生? 信息系统在应用过程中可能存在哪些风险? 我们应该怎样进行规避和防范?
一、信息系统的安全与风险
阅读下面的案例,填写表 4.2中的相关问题。 案例1 2018年 6月的某一天,由于某著名 ISP和旗下某公司网站的光缆都因老化出现断裂,从而发 生严重的服务中断,导致当日有数千万的企业客户或个人客户无法上网、观看有线电视或拨打 IP电话。 案例2 2016年 8月的某一天,接到大学录取通知书的小徐,因被骗走学费,过度伤心导致不幸离世。 事情过程是:不法分子入侵了某省“2016高考网上报名信息系统”,并植入木马病毒,然后将窃取的 1800 条高中毕业生资料卖给另一犯罪团伙,该团伙给小徐拨打诈骗电话,并诱导其将近万元学费全部转入了骗 子的账户。 案例3 2017年 1月底的一天,某全球知名仓库管理系统的运维人员在深夜维护数据库的过程中,错 误地执行了删除数据库目录的命令,导致近 300GB数据被删除,该公司的官方网站数小时无法访问。
表 4.2 信息系统安全案例分析
2. 根据上述提供的案例,结合自己的经验及所见所闻,从信息系统组成要素的角度,与同伴一起讨论并归纳信息系统在运行过程中可能出现的风险。
1. 信息安全与信息系统安全
当前,人们的日常生活、社会各领域的系统运转以及国家的经济 建设和国防,都会涉及信息安全。可以说,没有信息安全,就没有完全意义上的国家安全,也就没有真正的政治安全、军事安全和经济安全。 “信息安全”是指信息系统中的硬件、软件、数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改和泄露,系统连续可靠正常地运行, 信息服务不中断。简单地说,信息安全主要是确保信息的完整性、保 密性、可用性和可控性。
主要包括地震、水灾、火灾 等不可抗力因素造成设备损坏;电源故障造成设备断电;设备被盗、被 毁、老化导致数据丢失或功能失灵;温度、湿度过高导致设备无法正常运行等。
系统软件安全风险的产生通常是攻击者通过系统软件漏洞入侵 系统,传播病毒或窃取机密资料。因此,计算机系统软件中存在的安 全漏洞是攻击者实施攻击的关键。案例2中的黑客就是通过目标主 机的漏洞,植入木马病毒成功入侵的。
信息系统中运行的 Web服务和数据库服务作为信息系统的核心 和重要组成部分,非常容易受到黑客的攻击,风险比较大。
信息系统安全离不开严格的管理制度和威严的法律法规。如果相关的安全管理制度 及各类防范措施缺乏,相应的法律法规以及政 策不健全,都会影响信息系统的安全。
数据安全风险已经在必修1模块中学习过了
安全漏洞简称漏洞,是指硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。漏洞的产生可能源于硬件、软件或协议设计时产生的缺陷,也可能源于软件编码时产生的错误等。漏洞问题会长期存在,随着时间的推移,旧的漏洞会经过不断修补而消失,新的漏洞又会不断地显现出来。
图 4.4 非法网络攻击示意图
在前一章的学习中,我们规划并搭建了一个小型物流信息系统,尽管系统规模比较小,但同样也存在着风险。请与同伴一起讨论该小型物流信息系统在应用过程中可能存在哪些风险? 它们分别对应信息系统安全的哪个层面?
二、信息系统的安全防范
根据我们使用各类信息系统的经验,针对小型物流信息系统存在的各种风险,说说降低这些风险的措 施,并将讨论结果填入表 4.3中。
表 4.3 小型物流信息系统的安全防范措
1. 信息系统安全防范的原则
在事故发生前,我们要以“防”为主,做好充分预案,防患于未然, 尽量避免出现损失或使损失降到最低。 例如,在物理安全层面,为了防止设备损坏或老化,要做到规范操作、定期更新;对重要的设备(如网络服务器),要事先做好备份;为了防止意外断电,可以为重要设备准备不间断电源,以保证在突发断电的情况下系统能正常运转。
在网络安全层面,要安装防火墙并做好相关防护设置,实现对网络访问的严格控制,严防黑客实施网络攻击。在软件安全和数据安全层面,既要做好漏洞扫描和修补工作,又要安装并利用防毒软件定期查毒,做到即时更新病毒库,同时还要严把对信息系统数据的访问控制关;对数据库中的数据要进行加密和定期备份,以防数据被盗、丢失或破坏。 在管理安全层面,不仅要制订完善的安全管理机制,还要求管理者在 强化信息安全意识的前提下严格执行管理制度,提高责任心,保障信息系统的安全和平稳运转。
防火墙是网络安全的第一道防线,一般位于网络的边界,其主要功能是保护可信网络,使其免受来自非可信网络的威胁。它可以是一台有访问控制策略的路由器,或是一台有多个网络接口的硬件设备,也可 以是一款被安装的软件。 防火墙可以分为个人防火墙和分布式防火墙。个人防火墙是一种安装在个人计算机中的软件。它可以监控计算机中的数据,阻止黑客入侵,是保障个人计算机安全接入网络的有效措 施。分布式防火墙则负责对网络边界、各子网和网络内部各设备的安全防护。
如果事故已经发生,系统已遭受损失,我们就需要用“治”的办法采取解除或隔离措施,及时止损。例如,系统感染病毒后,我们首先要做的是有效隔离病毒的传播途径,然后用杀毒软件查杀病毒。 如果系统中的数据遭到破坏,我们还可以在清除病毒后用事先的备份数据进行恢复,这样可以最大程度地保证系统的安全。
2. 信息系统安全防范的常用方法
身份认证是用户在使用信息系统时,系统对用户身份的识别和确认过程,是保证信息系统安全的基本措施。 “用户名+密码”是采用输入用户名和密码进行登录和身份管理的一种较常见的身份认证方式。
访问控制中比较常见的一种方法是对用户名和密码进行身份识别,以确保访问的用户是系统所允许的。这样可以有效控制非法用户 登录,避免非法用户使用和修改数据。 实现访问控制的另一种方法是网络权限控制,即在计算机网络中,通过为用户设置不同的级别来控制用户的访问权限,如高级别用户可以对全部资源有浏览、下载、修 改、删除的权限,而低级别用户只有浏览、下载指定资源的权限。
以我们常用的社交软件为例,请找出其中的哪些设置属于访问控制? 具体涉及哪些权限? 思考在该 系统中设置访问控制的目的是什么? 请你与同伴按照不同的需求进行设置,并相互体验其效果。
图 4.5 信息加密与解密过程示意图
信息系统软件存在安全风险,漏洞扫描既是攻击者探寻、入侵主机的一种最常见手段,也是管理员检测系统漏洞、发现安全隐患、提高 系统安全性的有效方法。 管理员实施漏洞扫描就是通过探测的方式,分析计算机系统内是否存在不合理的信息,并在分析漏洞的基础上,达到检测的目的。 管理员要对服务器及软件做好定期维护,定期扫描并及时安装正规渠道 发布的补丁程序,做好漏洞的修补工作。目前,主流的安全防护软件 都自带漏洞扫描和修补功能,可方便地为系统修补漏洞。此外,对操 作系统漏洞、网络服务漏洞和应用服务漏洞等进行扫描并解析的综合 扫描工具也有很多,国内比较著名的有X-Scan、Nmap等。
1. 请阐述什么是信息安全。2. 请列举信息系统风险有哪些。 3. 请咨询老师或专业人员,也可以上网查询资料,了解并梳理学校校园网的安全防护措施,填写在表 4.5中。
表 4.5 学校校园网安全防护措施表
4. 回顾本章第二节节首“体验思考”中所列举的事例,分别说出: (1)各事例中破坏了信息安全的什么特性? (2)各事例中的信息系统发生了怎样的风险? 可能涉及的信息系统安全层面有哪些? (3)如何防范各事例中出现的风险?