5.2 信息系统安全风险防范的技术与方法 课件-2022-2023学年粤教版（2019）高中信息技术必修2

第五章 信息系统的安全风险防范 Security risk prevention of information system 汇报人： 古田县第一中学 小江老师 1 目录 CONTENTS 信息系统应用中的安全风险 信息系统安全风险防范的技术与方法 合理使用信息系统 2 思考： 观看视频，了解六个常见网络信息安全隐患，思考如何防范？ 六个常见网络信息安全隐患视频 3 信息系统安全风险防范的技术和方法 信息系统的安全风险来自多方面，包括人为的和非人为的、有意的和无意的等。随着层息系统安全问题的复杂度不断提高，危害信息系统安全的手段、方法也不断变化。人们 世来越深刻地认识到信息系统安全不能仅从技术人手，还得从系统的管理角度切人，才能寻找到一个较合理的解决策略。 4 Security risks in information system applications 信息系统安全风险防范的技术和方法 5 信息系统应用中的安全风险 信息系统安全风险重要术语 01 信息系统安全模型及安全策略 02 信息系统安全风险常用技术 03 6 1 信息系统安全风险重要术语 Information security risk caused by human factors 7 探究活动: 通过阅读学习资源包及老师提供的资源，体验信息系统安全风险防范过程的技术方法，同时填写《项目学习活动记录表》“探究活动 项目实施”栏目中的“活动2”的内容。 知识技能 举例描述漏洞、入侵、风险等网络信息安全术语。     分析对比各个信息系统安全模型及安全策略的优缺点   查询资料，分析某个案例说明信息系统安全风险防范常用的技术和方法的应用情况     8 项目实施： 观看视频，完成表格。 信息安全风险术语视频 9 项目实施： 信息安全风险术语 描述 说明 威胁 攻击 入侵 漏洞 脆弱性 风险 10 2 信息系统安全模型及安全策略 Information system security model and security policy 11 信息系统安全性、便利性与成本的关系 信息系统不存在绝对的安全，因为安全性和便利性及成本之问有着矛盾的关系。 提高全性，相应地就会降低便利性；而提高了安全性，势必增大成本；易用性越好，安全能就越低，如图所示。 安全水平与安全成本/损失关系图 12 P2DR安全模型 网络安全体系是一项复杂的系统工程，需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合，构建一体化的整体安全屏障。针对网络安全防护，美国曾提出多个网络安全体系模型和架构，其中比较经典的包括PDRR模型、P2DR模型、IATF框架和黄金标准框架。 P2DR模型以基于时间的安全理论（Time Based Security）这一数学模型作为论述基础。该理论的基本原理是：信息安全相关的所有活动，无论是攻击行为、防护行为、检测行为和响应行为等都要消耗时间，因此可以用时间来衡量一个体系的安全性和安全能力。 13 P2DR安全模型 P2DR模型是在整体安全策略的控制和指导下，在综合运用防护工具（如防火墙、操作系统身份认证、加密等手段）的同时，利用检测工具（如漏洞评估、入侵检测等系统）评估系统的安全状态，使系统保持在最低风险的状态。安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）组成了一个完整动态的循环，在安全策略的指导下保证信息系统的安全。P2DR模型提出了全新的安全概念，即安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来实现。 自主学习：家庭WiFi与公共免费WiFi的使用安全策略.doc 14 响应 防护 检测 策略 Policy 在检测到安全漏洞和安全事件时，通过及时的响应措施将网络系统的安全性调整到风险最低的状态。评估系统受到的危害与损失，恢复系统功能和数据，启动备份系统等，主要方法包括：关闭服务、跟踪、反击、消除影响。 检测是动态响应和加强防护的依据，通过不断地检测和监控网络系统，来发现新的威胁和弱点，并通过循环反馈来及时做出;有效的响应。当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。 采用的技术一般有实时监控和IT审计。 通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生； 通过定期检查来发现可能存在的系统脆弱性；通过教育等手段，让用户和操作员正确使用系统，防止意外威胁；通过访问控制、监视等手段来防止恶意威胁。 采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虛拟专用网 (VPN）技术、防火墙、安全扫描和数据备份等。 根据风险分析产生的安全策略描述了中哪些资源要得到保护，以及如何实现对它们的保护等。策略是模型的