5.1 信息系统应用中的安全风险
📌 学习目标
- 认识信息系统应用中存在的安全风险
- 理解人为、软硬件、网络、数据因素造成的风险
- 树立信息安全意识
一、信息系统安全风险概述
2016年12月27日,我国发布《国家网络空间安全战略》,提出捍卫网络空间主权、维护国家安全、保护关键信息基础设施等九项任务,将信息系统安全问题提升到了国家安全的重要层面。
信息系统安全风险问题存在于信息系统的各个环节,了解其中的成因直接关系到信息安全的解决策略的制订与方法实施。
二、人为因素造成的信息安全风险
典型案例:比特币病毒攻击
2017年5月,比特币病毒在全球疯狂传播,中国多所高校校园网服务器被攻击,大量目录文件被非法加密。如果想打开加密文件,就必须向黑客支付比特币解锁。
受影响对象:高校教研、教学以及科研成果 后果:各种论文和科研成果的丢失以及教学的停滞
人为因素分析
“人”是信息系统的使用者与管理者,是信息系统安全的薄弱环节。信息系统可以拥有最好的技术如防火墙、入侵检测系统等,但如果操作人员没有防范意识,信息系统仍然可能崩溃。
防范思路:
- 从政府层面加强立法工作
- 不断提高关键安全技术水平
- 使用者全面提高道德意识与技术防范水平
三、软硬件因素造成的信息安全风险
硬件安全风险
保护信息系统中的硬件免受危害或窃取,通常采用的方法是:
- 把硬件作为物理资产处理
- 严格限制对硬件的访问权限
- 确保信息安全
物理安全的破坏可直接导致信息的丢失。
软件安全风险
典型案例:Quadrooter漏洞(2016年)
黑客利用漏洞诱导用户安装恶意应用,在不需要请求任何特殊权限的情况下完全控制受影响的手机或平板电脑,包括访问用户软件数据和控制麦克风话筒等硬件。
软件安全问题来源:
- 软件开发中产生的错误
- 漏洞、故障、缺陷
- 开发过程中安全问题后置
- 为节省时间、资金、成本等因素造成
四、网络因素造成的信息安全风险
在家庭、学校或公共场所中,使用网络已成为非常便利的事情。与小组中的同学一起分析以下案例,填写表5-2。
案例:高中生黑客攻击校园网站事件 一所中学校园网站多日来连续遭受黑客攻击,黑客对网站内的一些数据随意进行增加、删除、改动,网站上的远程教学、网络招生、投稿等功能受到严重影响,数十篇论文丢失,网站几近瘫痪。肇事者是一名高中学生。
表5-2 网络安全风险分析表
| 安全风险 | 诱因 | 防范措施 |
|---|---|---|
网络诱因分析
| 诱因 | 说明 |
|---|---|
| 网络系统管理的复杂性 | 管理策略不得当会形成安全漏洞 |
| 网络信息的重要性 | 数据价值远超系统组件本身,信息与财富紧密关联 |
| 网络系统本身的脆弱性 | 信息存储密度高、易修改、能共享、网络传递方便 |
| 低风险的诱惑 | 隐蔽性强、被查获可能性小、高回报低风险 |
| 📎 知识延伸:IDS |
五、数据因素造成的信息安全风险
典型案例
案例一:论坛用户数据泄露
某论坛的数据库对用户密码仅使用了简单的MD5加密法,黑客能够快速破解出绝大部分明文密码,导致2300万用户数据泄漏。
案例二:社保系统漏洞
全国有超过多个省市的社保系统曝出高危漏洞,统计达5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
案例三:保险公司内控缺陷
某保险公司存在内控缺陷,客户信息真实性管理、银邮渠道业务管理等方面存在问题,面临泄露数以万计客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。
数据安全的重要性
通过信息系统采集、存储、处理和传输的数据,是具有很高价值的资产,其安全性格外重要。
📎 相关探究:调查_单位网站安全事件调查
六、知识延伸
相关术语
📝 本节小结
| 风险因素 | 主要表现 | 典型案例 |
|---|---|---|
| 人为因素 | 操作人员防范意识薄弱 | 比特币病毒攻击 |
| 软硬件因素 | 硬件物理安全、软件漏洞 | Quadrooter漏洞 |
| 网络因素 | 管理复杂、系统脆弱 | 校园网站被攻击 |
| 数据因素 | 数据泄露、加密不当 | 社保系统漏洞 |