4.1 信息系统安全风险导学案-2024-2025学年教科版（2019）高中信息技术必修二

4.1 信息系统安全风险 【学习目标】 1.了解诈骗的常见方式和实施过程，认识信息系统中存在的安全风险。 2.了解诈骗中的信息系统安全漏洞，掌握有效的诈骗防范措施。 3.了解无线网络的安全漏洞。学会规避无线网络信息安全风险的基本方法。 4.学会针对信息系统安全问题做出科学、专业的判断，知法、懂法和守法，增强信息安全风险防范意识。 【知识框架】 知识点1：电信诈骗 1.电信诈骗是指犯罪分子通过 、 和 的方式，编造 信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子汇款、转账等犯罪行为。 2.电信诈骗的表现形式 成官方人员、税务稽查，以及通过虚构的中奖、广告、高薪职位、银行卡消费、绑架和车祸等情景进行欺诈的手段。 1）网络改号软件：利用网络改号软件，实现在用户手机上显示篡改过的电话号码。 2）金融网站（钓鱼网站诈骗） 3）安全警示短信诈骗 4）黑客攻击、木马盗取 3.电信诈骗的防范 冷静、多想想、多方求证， 。 知识点2：无线网络中的安全隐患 无线网络存在巨大的安全隐患，免费 热点有可能就是钓鱼陷阱，家里的路由器也可能被 攻击者攻破。在毫不知情的情况下，个人 信息可能会遭盗取，甚至造成直接的经济损失。 1）Wi-Fi热点下的钓鱼陷阱： 被黑客截获、转发或分析。 2）无线网络中的信息系统漏洞攻击：只要Wi-Fi被 过一次，就容易被犯罪分子破解。不仅使我们的个人隐私和财产会受到威胁，连正常的家庭生活都可能被监控。 防范措施： 1.慎重使用公共Wi-Fi，确认 可连接使用。 2.不在公共Wi-Fi下进行 信息操作。 3.养成良好的Wi-Fi的使用习惯。 4.无线路由器加强 设置，如加密、设置访问限制等。 5.安装客户端安全软件，如 、 。 知识点3：信息安全风险 1.来源 1）在技术和设计上存在 性，有漏洞、缺陷等，导致系统具有脆弱性。 2）由 的因素引起的风险，如商业竞争、个人报复等动机导致的攻击和信息泄露。 从理论与实践上讲，绝对 的信息系统并不存在，风险总是 存在的。安全是风险与成本的综合平衡。 2.降低信息系统安全风险 1）技术：针对技术和设计上存在不完善性而产生的信息系统安全风险。 2）管理：针对人为因素造成的安全风险。 信息系统安全与否取决于两个因素： 和 。 信息系统安全管理的最终目标是将信息系统安全风险降低到用户 的程度，保证系统的安全运行和使用。 3.降低风险的途径。 (1)安装恶意软件检测或防御程序来 威胁，减少信息系统受攻击的机会。 (2)通过安全意识培训 弱点，如强化相关人员的安全意识与安全操作能力。 (3)制订灾难恢复计划和业务连续性计划 影响，如做好备份。 (4)可以选择放弃某些可能带来风险的业务或资产，以此 风险。 (5)将风险全部或者部分地 到其他责任方，如购买商业保险。 (6)在实施了其他风险应对措施之后，对于残留的风险可以选择 。 知识点4：评估信息系统安全 1.安全事件分析：信息作为一种 ，对于人类具有特别重要的意义。信息系统安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息系统的 。 2.评估信息安全：通过分析和核查影响信息安全的 ，评估当前的信息安全程度。 3.信息安全和系统安全：主要是指 和 ，其 属性包括机密性、真实性、可控性和可用性，具体反映在 安全、 安全、 安全、 安全四个层面。信息安全是是不容忽视的国家安全 。 【课后练习】 1.下列关于防范网络诈骗的叙述,不正确的是( ) A.不要轻信网上的中奖信息 B.不相信、不参加网上的传销活动 C.不要轻易去会见网友 D.不在网上购物 2.要防范电信诈骗，我们应该（ ） A.涉及账户转账的事情一定要冷静，多方求证 B.有公安的电话证明对方身份即可以信任 C.相信公安税务部门的电话缴费和退款 D.可以登录对方发送的网站链接加以仔细甄别 3.警方根据多年打击防范电信诈骗的工作经验，总结提炼了“三个凡是”防诈骗口诀。“三个凡是”的内容是(　) ①凡是自称行政等部门来电要求转账等都是诈骗 ②凡是未经认证的网站发布购物等信息都是诈骗 ③凡是用电话、网络等方式要求转账等都是诈骗 ④凡是陌生人的来电都是诈骗 A.①②③ B.③②④ C.②③④ D.①②④ 4.电信诈骗是指犯罪分子通过电话、网络和短信方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子汇款、转账等犯罪行为,目前的电信诈骗手段花样翻新，以下容易受骗上当的操作是（ ） A.任何要求自己打款、汇钱的行为都要特别慎重 B.在短信、QQ、微信对话中都应尽量不提及银行卡号、密码等个人信息，以免被诈骗分子利用 C.当收到“请将钱汇入××账户”的短信或网聊中熟人提出借款之类的请求时，先不要着急汇款，应拨通对方电话确认后再操作 D.对于银行或朋友发来的短信中自带的链接，可以放心打开 5.为了提升班级同学的网络安全意识，张阳准备在班会上做网络安全教育主题报告，普及家全问题以及应对策略。张阳首先下载了关于我国网民遭遇各类网络安全问题的数据，如下表所示。 为防止账号或者密码被盗，张阳列举了日常生活中设置密码的习惯让大家辨别，做法可取的是（ ） A.使用身份证号码后6位或者自己生日作为密码 B.设置有规律字母或者简单好记的数字为密码 C.财产、支付类账户密码高强度并定期更换 D.为了方便记忆，所有账号使用同一个密码 6.接到疑似网络诈骗的电话时，以下哪种处置行为是恰当的（ ） A.按对方要求提供家庭成员信息及电话 B.按对方要求点击相关链接填写隐私资料 C.按对方要求进行转账 D.拨打防诈骗专线电话核实，不提供隐私信息 7.在网购过程中，若接到电话或短信称“您网购的物品因系统临时故障导致订单失效，需要联系客服办理激活或解冻，电话***,网址***”。正确的做法是（ ） A.拨打对方发送的电话号码进行咨询 B.登录官方网站查看订单详情 C.打开对方发送的网址查看订单详情 D.给对方回电话或者短信询问详情 8.使用不设防免费Wi-Fi，可能带来的问题有（ ） ① 误入钓鱼网站② 泄密个人信息③ 被“下载”恶意软件④ 可观的经济利益 A.①②④ B.①②③④ C.①④ D.①②③ 9.以下关于网络钓鱼的说法中，不正确的是（ ） A.网络钓鱼融合了伪装、欺骗等多种攻击方式 B.网络钓鱼与Web服务没有关系 C.典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上 D.网络钓鱼通常以交谈、欺骗、假冒或口语等方式,从合法用户那里套取用户系统的秘密 10.数据安全主要的威胁是（ ） ①计算机病毒②黑客攻击③数据存储介质损坏 ④个人失误⑤数据备份 A.①②③④ B.①②③⑤ C.①②④⑤ D.②③④⑤ 11.X公司的一些内部文件遭到泄露，其大多数原因都不是遭到黑客攻击，而是IT部门没有及时注销离职员工的账号和权限。X公司遇到这样的信息安全问题主要是由（ ）引起的。 A.人为因素 B.软硬件因素 C.网络因素 D.数据因素 12.以下哪种安全措施可有效防止黑客攻击（ ） A.安装杀毒软件 B.使用弱口令 C.不更新系统补丁 D.数据不备份 13.在公共场所黑客提供一个与商家名字类似的免费Wi-Fi接入点,并吸引网民接入，网民在毫不知情的情况下,就可能面临个人敏感信息遭盗取的情况程，甚至造成直接的经济损失。这种手段被称为( ) A.Wi-Fi钓鱼陷阱 B.Wi-Fi接入点被偷梁换柱 C.黑客主动攻击 D.攻击家用路由器 14.Wi-F为我们的生活带来便利同时,也存在巨大的安全隐患。下列说法错误的是( )  A.谨慎使用公共场合的Wi-Fi B.家里的Wi-F可以设置简单密码方便家人使用 C.不设置开放的Wi-Fi热点,避免陌生人连接 D.使用公共场合Wi-Fi时,尽量不要进行支付操作 15.某APP免费连接周边Wi-Fi，然而免费只是噱头，该APP会获取并上传用户手机中已经存储的Wi-Fi账号密码，且有大量的广告影响用户正常使用手机。下列说法正确的是( ) A.只要能在网上下载到的APP都是安全、合法的， B.在用户不知情的情况下上传信息，侵犯隐私 C.APP能实现免费上网，就可以放心用 D.该软件能帮助用户实现免费上网，应积极推广 16.随意接入免密码Wi-Fi发送文件、随意蹭网可能存在的安全风险是（ ） A.手机被盗 B.文件无法正常发送 C.账户资金被盗刷 D.使用的网络流量需要收费 17.降低某单位所面临的信息安全风险，可能的处理手段不包括（ ） A.通过科学的系统设计、及时更新系统补丁，减少信息系统自身的缺陷 B.通过数据的冷热备份、安装备用服务器等冗余手段来提升信息系统的可靠性 C.建立必要的安全制度和部署必要的技术手段，防范人为的失误和黑客的攻击 D.通过业务外包的方式，转嫁所有的安全风险 18.2016年，某信息安全研究公司发现了一种被称为“Quadooter"的漏洞，黑客利用这种漏洞诱导用户安装恶意应用，在并不需要请求任何特殊权限的情况下，完全控制受影响的手机或电脑平板，包括访问用户软件数据和控制麦克风话筒等硬件。这是（ ）造成的信息安全风险。 A.网络因素B.人为因素C.软硬件因素D.数据因素 19.对于信息安全风险的描述不正确的是？（ ） A.信息安全风险管理就是要做到零风险 B.在信息安全领域，风险就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性 C.风险管理就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程 D.风险评估就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。 20.下列操作存在信息安全风险的是( ) A.开启操作系统自动更新功能 B.用手机自带的收音机APP收听广播 C.启用Windows防火墙 D.浏览网页时，随意打开弹窗中的链接 21.学校存放学生学籍档案、成长档案的计算机由于硬盘损坏导致全部学生档案信息丢失，这是由( )引起的信息安全风险。 A.软件因素B.数据因素 C.网络因素 D.硬件因素 22.某科技公司为保护公司自主开发的高科技产品开发数据，降低信息系统应用中的安全风险，可以采取以下哪些措施（ ） A.加强员工安全意识培训B.定期进行安全漏洞扫描 C.定期进行病毒扫描D.以上都可以 23.关于信息系统安全风险，说法正确的是（ ） A.要实现绝对安全，主要工作在于防范人为因素 B.技术和设计上的不完善是安全风险的主要来源 C.采取科学严格的管理制度能有效降低信息系统的安全风险 D.信息系统风险在实施了安全措施后可以降为零 【学案答案】 1.电话 2.网络 3.短信 4.虚假 5.伪装 6.不相信 7.Wi-Fi 8.恶意 9.敏感 10.数据包 11.分享 12.安全 13.敏感 14.安全 15.防火墙 16.杀毒软件 17.不完善 18.人 19.安全 20.客观 21.技术 22.管理 23.可接受 24.减少 25.减少 26.降低 27.规避 28.转移 29.接受 30.资源 31.安全性 32.行为 33.系统安全 34.信息安全 35.核心 36.物理 37.运行 38.数据 39.内容 40.战略 【课后答案】 1.答案：D解析：购物时保持警惕，故选D不正确。 2.答案：A解析：和账户有关的，多方求证。选A。 3.答案：A解析：123是三个凡是的内容，故选A。 4.答案：D解析：短信中的链接可能是钓鱼网站的地址，故D容易上当。 5.答案：C解析：财产、支付类账户的密码采用高强度密码并定期更换是正确的，故选C。 6.答案：D解析：本题考查的是信息安全。接到疑似网络诈骗的电话时，应拨打防诈骗专线电话进行核实，不提供隐私信息。故选D。 7.答案：B解析：官网查看更安全，选B。 8.答案：D解析：带来的问题有1、2、3，故选D。 9.答案：B解析：网站钓鱼，故B错误。 10.答案：A解析：数据安全主要的威胁是计算机病毒、黑客攻击、存储介质损坏、个人失误等，故选A。 11.答案：A解析：本题考查的是信息安全。没有及时注销离职员工在 OA 系统里的账号和权限，导致公司的一些内部文件遭到泄露。这样的信息安全问题主要是由人为因素引起的。故本题应选A。 12.答案：A解析：安装杀毒软件可以有效的防止黑客攻击，选A。 13.答案：A解析：通过用相似的名字来混淆视听，属于钓鱼性质，故选A。 14.答案：B解析：家里的密码也要符合一定的安全要求，防止被陌生人猜出来。故B错误 15.答案：B解析：题干说的可能是“wifi万能钥匙”。该软件会将你家里的wifi分享给别人上网，造成数据泄露侵犯隐私，被央视专门开了一期节目批判。故选B。 16.答案：C解析：账户资金被盗刷是可能的风险，故选C。 17.答案：D解析：D选项在不可能转嫁所有的风险，外包的方式可以解决技术的问题，信息安全事件主要还是人员的问题。 18.答案：C解析：通过软件来控制硬件，故为软硬件的因素，故选C。 19.答案：A解析：信息安全风险最低限度是可接受的风险，故A错误。 20.答案：D解析：“开启操作系统自动更新功能”和“启用Windows防火墙”属于操作系统官方层次的操作，信息安全风险很低。 “用手机自带的收音机APP收听广播”，手机自带的收音机APP应该是经过手机厂商审核的，所以信息安全风险较低。“浏览网页时，随意打开弹窗中的链接”，太随意了信息安全风险很高。 21.答案：D解析：本题主要考查信息安全。学校存放学生学籍档案、成长档案的计算机由于硬盘损坏导致全部学生档案信息丢失，这是由硬件因素引起的信息安全风险，故本题选D选项。 22.答案：D解析：降低信息系统应用中的安全风险的措施ABC都是，故选D。 23.答案：C解析：AD都是绝对化，B是技术和管理，故选C。 学科网（北京）股份有限公司 $$