第五章 信息安全与社会责任 复习（学案）-高中信息技术粤教版（2019）必修2

第五章信息系统的安全风险防范一、信息系统应用中的安全风险1.人为因素造成的信息安全风险：人是信息系统的使用者和管理者，是信息系统安全的薄弱环节。2.软硬件因素造成的信息安全风险：保护信息系统中的硬件免受危害或窃取，通常采用的方法是：先把硬件作为物理资产处理，再严格限制对硬件的访问权限，以确保信息安全。软件是信息系统中最难实施安全保护的部分，如漏洞、故障、缺陷等。3.网络因素造成的信息安全风险：网络系统管理的复杂性、网络信息的重要性、网络系统本身的脆弱性、低风险的诱惑。计算机网络本身的脆弱性是诱发危害网络信息安全的根本原因。低风险的诱惑；危害信息安全的行为都具有共同的特征：一是需要相关技术；二是隐蔽性较强；三是高回报低风险。4.数据因素造成的信息安全风险：通过信息系统采集、存储、处理和传输的数据，是具有很高价值的资产，其安全性格外重要。二、信息系统安全风险防范的技术与方法（一）信息系统安全风险的重要术语信息安全风险术语威胁、攻击、入侵、漏洞、脆弱性、风险（二）信息系统安全模型及安全策略（1）信息系统安全性、便利性与成本的关系信息系统不存在绝对的安全，因为安全性和便利性及成本之间有着矛盾的关系。（2）P2DR安全模型P2DR安全模型包括：策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）四个主要部分。策略：是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。网络安全策略包括：访问控制策略、加密通信策略、身份认证策略、备份恢复策略。防护：采用的防护技术包括：数据加密、身份认证、访问控制、授权和虚拟专用网（VPN）技术、防火墙、安全扫描和数据备份。检测：是动态响应和加强防护的依据。采用的技术一般有实时监控和IT审计。响应：在检测到安全漏洞和安全事件时，通过及时的响应措施将网络系统的安全性调整到风险最低的状态。主要方法包括：关闭服务、跟踪、反击、消除影响。（3）信息系统安全策略分析信息系统安全策略可从非技术和技术两个方面来考虑。非技术策略包括预防意识、管理保障措施、应急响应机制三个层面；技术策略包括物理和逻辑两大方面，主要包括物理系统、操作系统、数据库系统、应用系统和网络系统。（三）信息系统安全风险防范的常用技术当通信安全问题出现时，就有通过密码技术对通信进行加密的技术方法，以保证数据的保密性和完整性。1.加密技术。密码与密匙，密码通常是指按特定编码规则编成，用于通信双方的数据信息从明文到密文变换的符号。密码最早起源于古希腊。密匙是指在密码算法中引进的控制参数，加密算法中的控制参数称为加密密匙，解密算法中的控制参数称为解密密匙。2.认证技术。认证有两个目的，一是验证信息发送者的身份，以防假冒冒充；二是验证信息的完整性。主要包括：用户名+口令的认证技术，依靠生物特征识别的认证技术，USBKey认证技术。3.主机系统安全技术：是指用于保护计算机操作系统和运行与其上的信息系统的技术，包括操作系统安全技术、数据库安全技术。4.网络与系统安全应急响应技术，包括防火墙技术和入侵检测技术和应急响应技术。入侵检测系统（IDS）；“黑客”指计算机系统的非法入侵者。5.恶意代码检测与防范技术。6人工智能技术在反病毒中的应用。专家系统的核心是知识库和推理机。三、合理使用信息系统维护信息安全：为确保信息内容在获取、存储、处理、解锁和传送中，保持其保密性、完整性、可用性和真实性。保密性：指保证信息不泄露给未经授权的人。完整性：指防止信息被未经授权者篡改。可用性：指保证信息及信息系统确实能够为授权使用者使用。真实性：指对信息及信息系统的使用和控制是真实可靠的。（一）树立信息安全意识1.信息安全管理：是指通过维护信息的保密性、完整性、可用性和真实性等来管理和保护信息系统资源的一项体制，包含对信息系统安全保障进行指导、规范和管理的一系列活动和过程。造成安全风险事件的原因：人为因素、自然灾害、技术错误、内部人员作案、外部人员非法攻击。2.知识产权保护及其意义。软件著作权，数据库，数字内容，获得专利的算法

知识产权是指人类智力劳动所产生的的智力劳动成果所有权。网络与计算机环境中的知识产权往往与网络及计算机安全直接相关。信息系统安全操作规范1.信息系统安全操作规范必要性1.人为因素是信息系统安全问题产生的主要原因，因此，提高人们信息安全意识，加强信息安全管理，提高遵守信息安全法律法规观念越来越引起重视。2.规范操作是消除过程因素造成的潜在安全威胁的必要策略。过程是指运用信息系统完成特定任务所设定的流程或指令。2.信息系统安全操作规范意义信息系统规范操作就是要按照信息系统既定标准、规范的要求进行操作。其目的是加强信息系统的运行管理，提高工作质量和管理有效性，实现计算机系统维护、操作规范化，确保计算机系统安全、可靠运作。3.信息社会的道德准则与法律法规1.网络上存在的问题：不良信息毒化网络“空气”、网上犯罪、虚假信息严重影响网络信息的真实性，信息垃圾泛滥成灾。2.遵守网络道德规范：（1）未经允许，不进入他人计算机信息网络或者使用他人计算机网络信息资源。（2）未经允许，不对计算机信息网络功能进行删除、修改或增加。（3）未经允许，不对计算机信息网络中存储、处理或传输的数据和应用程序进行删除、修改或者增加。（4）不故意制作、传播计算机病毒等破坏性程序。（5）不做危害计算机信息网络安全的事。3.相关法律法规：（1）《全国青少年网络文明公约》（2）《中华人民共和国计算机信息系统安全保护条例》（3）《计算机信息网络系统安全保密管理暂行规定》（4）《计算机病毒防治管理办法》（5）《中华人民共和国网络安全法》二、病毒、病毒的危害以及防治（一）病毒及其特征1.计算机病毒是指人为编制的具有破坏计算机功能或者毁坏数据，影响计算机系统的使用，并且能够自我复制的一组计算机指令或者程序代码。雷德-科恩最早提出“计算机病毒”一词。2.计算机病毒的特征：传染性、寄生性、隐蔽性、潜伏性、破坏性、可触发性、不可预见性等。3.手机病毒：手机病毒具有计算机病毒的特征，是一种手机程序。2004年6月，出现真正意义的手机病——Cabir蠕虫病毒。（二）病毒的危害1.计算机系统中毒后，常会发生一些异常情况，例如系统运行速度减慢、卡顿、系统无故死机、文件长度发生变化、内存容量减少、文件丢失或损坏、屏幕上异常显示、系统不识别硬盘等。2.手机感染病毒后，通常会出现背景光不停闪烁、持续发出警告声、屏幕上显示乱码信息、按键操作失效、用户信息被修改、自动向他人发送大量短信、死机或者自动关机、资料丢失、网络通信瘫痪等现象。（三）病毒的防治1.安装并开启防火墙，防治黑客和病毒利用系统服务和漏洞入侵系统。2.安装应用系统补丁，防治病毒利用系统或程序的漏洞进行传染。3.安装防病毒软件，定期进行系统杀毒。4.经常对系统和重要数据进行备份，还可以把重要数据加密后存放在云盘上。5..不随意打开邮箱的不明链接。针对手机病毒，还应做到：1.收到乱码信息后，及时删除，以免手机感染病毒。2.不接受陌生请求，例如陌生蓝牙连接。3.保证下载内容的安全性。4.不随意连公共场合的Wi-Fi。恺撒密码算法程序恺撒密码（Caesar’scode）是一种最古老的加密方法。其方法是：通过把字母移动一定的位数来实现加密和解密，即明文中的所有字母都在字母表上向后（向前）按照一个固定的数目进行偏移后被替换成密文。程序分为四个模块：字符转换、加密、解密、主函数调用，可以通过四个定义函数change（）、encrypt（）、decrypt（）、main（）来实现。1.自定义字符转换函数change(),该函数实现把输入的字符串code,转换为a~z之间的小写字母字符串。2.自定义加密函数encrypt()，根据输入的明文字符串code和密钥key进行加密，生成密文code__new。3.自定义解密函数decrypt()，,根据输入的密文字符code和密钥key进行解密，生成明文code._new。4.自定义主函数main(。运行main(，通过1、2来进行加、解密选择。完整的程序清单粤教版必修二第五章章末测试一、选择题(每小题2分，共30分)1息系设备安全是信息系统安全的重要内容，其中设备的（）是指设备在一定时间内不出故障的概率。 A.完整性 B.稳定性 C.可靠性 D.保密性2.针对各种网络安全隐患与安全需求，目前普遍使用的安全防护技术中不包括（）A.安装多个操作系统 B.防火墙技术C.数据加密 D.数据备份与安全恢复3.在以下人为的恶意攻击行为中，属于主动攻击的是（）A.数据篡改及破坏B.数据窃听 C.数据流分析 D.非法访问4.到银行去取款，要求输人密码，这属于网络安全技术中的（）A.加密传输技术 B.身份认证技术 C.防火墙技术 D.防病毒技术5.以下哪项不是病毒特征()A.传播性 B.传染性 C.不可触发性 D.潜伏性6.以下哪项不是防火墙基本功能（）A.过滤进出网络数据 B.防止感染了病毒的文件传输C封堵某些禁止业务 D.管理进出网络的访问内容7.从安全属性对各种网络攻击进行分类，阻断攻击是针对（）的攻击。A.机密性 B.可用性 C.完整性 D.真实性8.防止盗用IP行为是利用防火墙的()A.防御攻击的功能B.访问控制功能C.IP地址和MAC地址绑定功能D.URL过滤功能9.小张和朋友在一家餐厅聚会后，发现手机账户信息被盗，最大原因可能是()A.采用了二维码付款B.在餐厅里用APP播放视频C.添加了朋友的微信D.连接不安全Wi-Fi，被盗取信息10.电子邮件的发件人利用某些特殊的电子邮件软件在短时间内不断重复地将电子邮件寄给同一个收件人，这种破坏方式叫做()A.邮件病毒 B.邮件炸弹 C.特洛伊木马 D.逻辑炸弹11.接到要求转账和索要密码的电话，下列哪个做法不正确()A.及时与发卡银行客户服务专用号码联系，鉴别通知真伪B.先谨慎核对其身份和账户名C.宁可信其有，不可信其无”，按电话指示做D.回拨电话，确认真假12.在手机信息通知中奖的骗术中，事主会被要求()A.见面 B.汇款交税 C.传真个人资料 D.以上都是13.下列不属于系统安全技术的是()A.防火墙 B.加密狗 C.认证 D.防病毒14.下列不属于电话诈骗套路的是()A.获奖缴税 B.支付工资 C.大额消费 D.欠费超支15.防火墙是指()A.一个特定软件B.一个特定