粤教版高中信息技术课件：信息系统安全风险防范的技术和方法.pptVIP

三 信息系统安全风险防范的常用技术 一、加密技术 三 信息系统安全风险防范的常用技术 明文 密文 加密 发信方 密文 明文 解密 收信方 Internet 二、认证技术 三 信息系统安全风险防范的常用技术 中物理 第5章 信息系统的安全风险防范 粤教版（2019） 信息技术（高中） 第3课时 信息系统安全风险防范的技术和方法 （必修二） 1 课堂导入 信息系统的安全风险来自多方面，包括认为和非人为的、有意的和无意的等。随着信息系统安全问题的复杂度不断提高，危害信息系统安全的手段、方法也不断变化。 人们越来越深刻地认识到信息系统安全不能仅从技术入手，还得从系统地管理角度切入，才能寻找一个比较合理地解决策略。 1 学习目标 1、熟悉信息系统安全风险防范的技术方法。 2、养成规范的信息系统操作习惯。 3、了解信息系统安全概念。 2 目录 一、信息系统安全风险的重要术语 二、信息系统安全模型及安全策略 三、信息系统安全风险防范的常用技术 一、信息系统安全风险的重要术语 一 信息系统安全风险的重要术语 信息系统安全风险的术语： 一 信息系统安全风险的重要术语 威胁是指经常存在的、对信息或信息资产具有潜在危险的人、实体或其他对象,也称为威胁主体,即对信息或系统的潜在危险。 一 信息系统安全风险的重要术语 入侵者通过防火墙上的某个端口访问网络、侵害知识产权、某位雇员造成的可能泄露机密信息或破坏文件完整性的意外错误、蓄意信息敲诈、软件共计、技术淘汰等。 说明 攻击是不断地对资产进行蓄意或无意破坏，或损害信息、或损害信息系统的一种行为。它分为主动攻击与被动攻击、蓄意攻击与无意攻击、直接攻击或间接攻击等类型。 一 信息系统安全风险的重要术语 某人偶然读取了敏感信息,但没有使用该信息的意图,为被动攻击。黑客试图入侵信息系统，则为主动攻击。 说明 入侵是敌手通过攻克系统的访问控制保护,得到对第三方数据的非授权访问。 一 信息系统安全风险的重要术语 入侵是主动、有意图地对合法系统进行攻击，获取未授权软硬件资源及数据的访问与控制。 说明 漏洞是一个天然的缺陷,犹如没有上锁的门,它是信息系统自身存在的弱点或错误,使信息暴露在被攻击或被破坏的情况下。 一 信息系统安全风险的重要术语 信息系统的不断大型化，造成控制与管理的复杂程序不断增加，漏洞也越来越多，如软件包缺陷、未保护的系统端口、暴露、风险、伪造等。 说明 脆弱性是一种软件、硬件、过程或认为缺陷,它的存在说明了缺少应该使用的安全措施或者安全措施有缺陷。 一 信息系统安全风险的重要术语 如未安装补丁的应用程序或操作系统软件，服务器和工作站上未实施密码管理等。 说明 风险是威胁主体利用脆弱性的可能性以及相应的业务影响。 一 信息系统安全风险的重要术语 网络没有安装入侵检测系统，在不引人注意的情况下被攻击且很晚才被发现的可能性就会较大。 说明 各小组讨论并查找资料，校园网常见的安全威胁有哪些？ 一 信息系统安全风险的重要术语 校园网常见的安全威胁有如下几种： 1、普遍存在的计算机系统漏洞。 2、垃圾邮件、不良信息的传播。 3、来自网络外部的入侵、攻击等恶意破坏行为。 4、内部用户的攻击行为。 5、校园网内部用户对网络资源的滥用。 6、计算机蠕虫、病毒泛滥。(比特币病毒对校园网的威胁 一 信息系统安全风险的重要术语 各小组讨论并查找资料，思考下列案例属于威胁、攻击、入侵、漏洞、脆弱性、风险中的哪一类? 1、一位计算机技能高超，且曾经从他人电脑非法窃取资料的人员。 2、他未经该公司的允许，查阅了该公司的用户及订单文件。 3、2021年10月20日，他正在破坏某公司的安全防卫系统。 4、该公司未对用户的订单信息进行加密存储。 一 信息系统安全风险的重要术语 各小组讨论并查找资料，思考下列案例属于威胁、攻击、入侵、漏洞、脆弱性、风险中的哪一类? 1、一位计算机技能高超，且曾经从他人电脑非法窃取资料的人员。 2、他未经该公司的允许，查阅了该公司的用户及订单文件。 3、2021年10月20日，他正在破坏某公司的安全防卫系统。 4、该公司未对用户的订单信息进行加密存储。 一 信息系统安全风险的重要术语 攻击 威胁 入侵 风险 二、信息系统安全模型及安全策略 二 信息系统安全模型及安全策略 信息系统不存在绝对的安全，因为安全性和便利性以及成本之间有着矛盾的关系。 二 信息系统安全模型及安全策略 一、信息系统安全性、便利性与成本的关系 二 信息系统安全模型及安全策略 各小组讨论以下问题： 1、提高安全性，便利性