第五章--信息系统的安全风险防范 复习 课件 2021—2022学年粤教版（2019）高中信息技术必修2

5.信息系统的安全风险防范 主讲人：*** 粤教版信息技术必修二《信息系统与社会》 【知识体系】 信息系统的 安全风险防范 安全风险 人为因素 软硬件因素 网络因素 数据因素 技术与方法 重要术语 威胁、攻击、入侵、 漏洞、脆弱性、风险 P2DR安全模型 策略、防护、检测、响应 常用技术 加密技术、认证技术、 主机系统安全技术…… 合理使用信息系统 2 【知识梳理】 一、信息系统应用中的安全风险 （一）人为因素 1.原因：人是信息系统的使用者与管理者，是信息系统的薄弱环节。 2.策略： （二）软硬件因素 1.对硬件的保护： 2.对软件的保护：及时为软件打补丁或修复漏洞 加强立法 提高关键安全技术水平 全面提高道德意识与技术防范水平 把硬件作为物理资产 严格限制访问权限 【知识梳理】 一、信息系统应用中的安全风险 （三）网络因素 1.风险： 2.诱因： （四）数据因素：采集、存储、处理、传输过程中的安全问题 网络黑客窃取、篡改信息； 网络崩溃导致信息丢失。 网络系统管理的复杂性 网络信息的重要性 网络系统本身的脆弱性 低风险的诱惑 【知识梳理】 二、信息系统安全风险防范的技术与方法 （一）信息系统安全风险防范的重要术语 1.威胁：对信息、系统或信息资产有潜在危险的人、实体或其他对象 2.攻击：对信息、信息系统或信息资产进行蓄意或无意破坏 3.入侵：对网络或联网系统的未授权访问与控制 4.漏洞：信息系统自身存在的缺陷 5.脆弱性：物理环境、组织、过程、人员、管理、配置、硬件、软件、信息都存在的缺陷 6.风险：威胁主体利用脆弱性，采用一定的途径和方式，对信息、信息系统或信息资产造成损害或损失，从而形成风险。 【知识梳理】 二、信息系统安全风险防范的技术与方法 （一）信息系统安全风险防范的重要术语 【知识梳理】 二、信息系统安全风险防范的技术与方法 （二）信息系统安全模型及安全策略 1.信息系统安全性、便利性与成本的关系 【知识梳理】 二、信息系统安全风险防范的技术与方法 （二）信息系统安全模型及安全策略 2. P2DR模型 （1）策略：根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。 【网络安全策略包括】访问控制策略、加密通信策略、身份认证策略和回复备份策略。 （2）防护：数据加密、身份认证、访问控制、授权和虚拟专用网（VPN）技