信息系统安全学习目标学习本章，你将了解到：主要内容系统脆弱性与滥用1信息系统安全与控制的商业价值2建立安全与控制的管理框架保护信息资源的技术与工具43MIS实践5网站安全案例2009年全年中国大陆网站监测到被篡改数量有4.2万个网站被黑客篡改其中：政府网站被篡改2765个2010年1-2月中国大陆网站监测到被篡改数量4185个网站被黑客篡改其中：政府网站被篡改764个6月份：大量高校网站被黑（包括北大、清华、浙大）（依据“国家计算机网络应急技术处理协调中心”报告）网站安全案例简介•病毒作者李俊（男，25岁，武汉新洲区人）•编写日期：2006年10月16日•截至到2月底，CNCERT/CC监测发现11万个IP地址的主机被“熊猫烧香”病毒感染•销售给120余人，非法获利10万余元•被捕日期：2007年2月12日•被判刑4年熊猫烧香网站安全案例波士顿凯尔特人大败间谍软件球队教练、员工的笔记本在几点和机场连接公共Wi-Fi，感染恶意间谍软件；访问公司内部系统时，就可能将恶意间谍软件植入公司内部系统；使用Mi5NetworksWebgate的安全应用程序阻止间谍软件侵入公司内部网络，并阻止被植入间谍软件的计算机将数据传输到间谍软件所连接的另一端。系统脆弱性与滥用•未经授权的访问•访问•窃听•嗅探•篡改信息•盗窃和欺诈•辐射•黑客攻击•病毒和蠕虫•盗窃和欺诈•故意破坏•拒绝服务攻击客户端通信线路企业服务器企业系统硬件操作系统软件•盗窃数据•复制数据•篡改数据•硬件鼓掌•软件故障数据库现代信息系统可能遭受的最常见威胁基于Web的应用体系结构通常包括Web客户端、服务器以及连接到数据库的企业信息系统。每一个组成部分都可能面对安全挑战和漏斗。体系的任意缓解都有可能被水灾、火灾、停电或其他电力故障所干扰。系统脆弱性与滥用现代信息系统可能遭受的最常见威胁TCP连接欺骗IP欺骗实现数据监听窃取、插入、删除传输层网络层数据链路层物理层认证、访问控制、保密性应用层系统脆弱性与滥用互联网的脆弱性通过电缆调制解调器或数字用户线路（DSL）接入网络的计算机更易被外接入侵，因为他们使用固定的互联网地址，跟容易被识别。如果基于互联网技术的电话服务网络不再安全的专用网络上运行，那么它比交换语音网络更易遭受破坏。黑客可以通过入侵支持VoIP的服务器，窃听回话内容或关闭语音服务。电子邮件、即时通信（IM）和对等文件共享的广泛使用也会使系统易遭破坏。系统脆弱性与滥用无线网络的安全挑战蓝牙和Wi-Fi...