信息安全与职业道德.ppt

第七章节信息安全与职业道德 8 1信息安全概述8 2计算机病毒8 3职业道德与相关法规 8 1信息安全概述 本章学习目标8 1 1计算机信息安全8 1 2计算机信息面临的威胁8 1 3计算机信息系统互连标准8 1 4信息安全性的度量标准8 1 5计算机信息安全技术8 1 6计算机网络安全技术小练习 本章学习目标 通过本章学习 读者应该掌握以下内容 了解计算机安全 信息安全和网络安全 了解网络信息系统不安全的因素 了解信息安全需求和安全服务 了解信息安全标准 了解信息安全技术的有关概念 了解访问控制技术的有关概念 了解数据加密技术的有关概念 了解网络信息安全解决方案 理解个人网络信息安全策略 8 1 1计算机信息安全 计算机信息系统是一个由计算机实体 信息和人三部分组成的人机系统 计算机实体即计算机硬件体系结构 信息的主要形式是文件 人是信息的主体 信息系统以人为本 必然带来安全问题 人机交互是计算机信息处理的一种基本手段 也是计算机信息犯罪的入口 8 1 2计算机信息面临的威胁 计算机信息系统潜伏着严重的问题和不安全因素 计算机系统固有的缺陷 人为的因素 环境的影响等等 都不可避免地存在对计算机信息系统的威胁 1 计算机信息的脆弱性 1 信息处理环节中存在的不安全因素 2 计算机信息自身的脆弱性 信息系统自身的脆弱性主要包括有以下几个方面 计算机操作系统的脆弱性计算机网络系统的脆弱性数据库管理系统的脆弱性 8 1 2计算机信息面临的威胁 2 信息系统面临的威胁 1 自然灾害 2 人为因素或偶然事故构成的威胁 3 主机产品受制于人 4 黑客 攻击和计算机病毒的威胁 5 计算机犯罪的威胁 6 信息战的严重威胁 8 1 2计算机信息面临的威胁 3 计算机信息受到的攻击对计算机信息的人为故意威胁称为攻击攻击的目的主要是破坏信息的保密性 完整性 真实性 可用性和可控性 威胁和攻击的对象可分为两类 对实体的威胁和攻击 对信息的威胁和攻击 对计算机信息系统的攻击危害到信息系统的可用性 保密性和完整性 黑客 的攻击可分为主动攻击和被动攻击 8 1 2计算机信息面临的威胁 1 主动攻击主动攻击是指篡改系统中所含信息或者改变系统的状态及操作 因此主动攻击主要威胁信息的完整性 可用性和真实性 攻击方式有 冒充 篡改 抵赖 其它如 非法登录 非授权访问 破坏通信规程和协议等 2 被动攻击被动攻击是被动攻击一切窃密的攻击 被动攻击不会导致对系统中所含信息的任何改动 而且系统的操作和状态也不被改变 因此被动攻击主要威胁信息的保密性 攻击方式有 偷窃和分析 8 1 3计算机信息系统互连标准 ISO7498 2标准ISO7498 2标准是目前国际上普遍遵循的计算机信息系统互连标准 1989年12月ISO颁布了该标准的第二部分 即ISO7498 2标准 我国将其作为GB T9387 2标准 并予以执行 其中包括了五大类安全服务及提供这些服务所需要的八大类安全机制 8 1 3计算机信息系统互连标准 2安全服务安全服务是由参与通信的开放系统的某一层所提供的服务 它确保了该系统或数据传输具有足够的安全性 ISO7498 2标准确定了五大类安全服务 鉴别这种安全服务可以鉴别参与通信的对等体和数据源 访问控制这种安全服务提供的保护 能够防止未经授权而利用通过OSI可访问的资源 8 1 3计算机信息系统互连标准 数据保密性这种安全服务能够提供保护 以防止数据未经授权而泄漏 数据完整性这种安全服务用于对付主动威胁 不可否认向数据接收者提供数据来源和向数据发送者提供数据递交的证明 8 1 4信息安全性的度量标准 信息技术安全性评估通用准则 通常简称为通用准则 CC 是评估信息技术产品和系统安全特性的基础准则 建立之目的是让各种独立的安全评估结果具有可比性 从而能互相认知 通用准则内容分为3部分 简介和一般模型 安全功能要求 安全保证要求 8 1 4信息安全性的度量标准 在安全保证要求部分又分为以下7种评估保证级 评估保证级别1 EAL1 功能测试 评估保证级别2 EAL2 结构测试 评估保证级别3 EAL3 功能测试与校验 评估保证级别4 EAL4 系统的设计 测试和评审 评估保证级别5 EAL5 半形式化设计和测试 评估保证级别6 EAL6 半形式化验证的设计和测试 评估保证级别7 EAL7 形式化验证的设计和测试 8 1 5计算机信息安全技术 计算机信息系统安全包括实体安全 运行安全 信息安全和人事安全四个方面 1 计算机信息的实体安全在计算机信息系统中 计算机及其相关的设备 设施 含网络 统称为计算机信息系统的 实体 实体安全是指为了保证计算机信息系统安全可靠运行 确保计算机信息系统在对信息进行采集 处理 传输 存储过程中 不至于受到人为或自然因素的危害 导致信息丢失 泄漏或破坏 而对计算机设备 设施 环境人员等采取适当的安全措施 实体安全主要分为环境安全 设备安全和媒体安全三个方面 实体安全的基本要求 就是要采取一些保护计算机设备 设施 含网络 通信设备 以及其他媒体免地震 水灾 火灾 有害气体和其他环境事故 如电磁污染 破坏的措施 过程 尤其是机房的安全措施 计算机机房建设应遵循国标GB2887 89 计算机场地技术条例 和GB9361 88 计算机场地安全要求 8 1 5计算机信息安全技术 2 信息运行安全技术为保障整个计算机信息系统功能的安全实现 提供一套安全措施 来保护信息处理过程的安全 这方面的技术主要有 风险分析2 审计跟踪技术3 应急技术4 容错存储技术 8 1 5计算机信息安全技术 3 信息安全技术计算机信息安全技术是指信息本身安全性的防护技术 以免信息被故意地和偶然地破坏 主要有以下几个安全防护技术 1 加强操作系统的安全保护2 数据库的安全保护3 访问控制4 密码技术 8 1 5计算机信息安全技术 4 密码技术密码技术是对信息直接进行加密的技术 是维护信息安全的有力手段 通常情况下 人们将可懂的文本称为明文 将明文变换成的不可懂的文本称为密文 从明文到密文的转换过程叫加密 其逆过程 即把密文变换成明文的过程叫解密 明文与密文的相互变换是可逆的变换 并且只存在唯一的 无误差的可逆变换 目前主流的密码学方法根据密钥类型不同分为两大类 保密密钥算法和公开密钥算法 8 1 5计算机信息安全技术 数据加密技术按作用的不同 数据加密技术主要分为四种 1 数据传输加密技术 2 数据存储加密技术 3 数据完整性鉴别技术 4 密钥管理技术 8 1 5计算机信息安全技术 6 访问控制访问控制是指对主体访问客体的权限或能力的限制 以及限制进入物理区域 出入限制 和限制使用计算机系统和计算机存储数据的过程 存取限制 其作用是对需要访问系统及其数据的人进行识别 并检验其合法身份 可分为自主访问控制和强制访问控制 自主访问控制简称DAC 通常被内置于操作系统中 允许命名用户以用户或用户组的身份规定并控制对资源的共享 强制访问控制简称MAC 是在将系统中的主体和客体分类的基础上进行控制访问 8 1 5计算机信息安全技术 7 访问控制机制 1 身份认证 身份认证是为了使某些授予许可权限的权威机构满意 而提供所要求的身份认证的过程 2 系统访问控制 系统访问控制是指计算机的操作系统所能提供访问控制的机制 3 资源访问控制 资源访问控制的思想是 计算机系统中的各种资源都包含有一个控制用户访问的控制信息 当用户试图访问该资源时 系统应查看资源的访问控制信息和用户的身份证明 检查用户是否有权访问该资源 8 1 6计算机网络安全技术 网络系统安全体系结构计算机网络采用的5层次网络系统安全体系结构 此理论已得到了国际网络安全界的广泛承认和支持 数据安全性加密应用程序安全性访问控制授权用户安全性用户 组 管理单机登录密权系统安全性反病毒风险评估入侵检测审计分析网络层安全性防火墙通信安全网络安全体系结构 8 1 6计算机网络安全技术 2 网络面临的威胁网络所面临的威胁大体可分为两种 一是对网络中信息的威胁 二是对网络中设备的威胁 可能遇到的主要威胁有 1 非授权访问 2 信息泄漏或丢失 3 破坏数据完整性 4 拒绝服务攻击 5 利用网络传播病毒 8 1 6计算机网络安全技术 2 网络安全的防护技术 1 网络密码技术密码学是研究信息系统加密和解密变换的一门科学 是保护信息安全最主要的手段之一 目前主流的密码学方法根据密钥类型不同分为两大类 保密密钥算法和公开密钥算法 2 防火墙技术对付黑客和黑客程序的有效方法是安装防火墙 使用信息过滤设备 防止恶意 未经许可的访问 8 1 6计算机网络安全技术 3 Web网中的安全技术目前解决Web安全的技术主要有两种 安全协议套接字层SSL SecureSocketLayer的缩写 和安全超文本传输协议SHTTP SecureHyperTextTransportProtocol的缩写 协议 4 虚拟专用网虚拟专用网是虚拟私有网络 VPN VirtualPrivateNetwork 的简称 它是一种利用公共网络来构建的私有专用网络 为了保障信息的安全 VPN技术采用了鉴别 访问控制 保密性 完整性等措施 以防信息被泄露 篡改和复制 5 其他安全技术其他网络安全技术还有 身份验证 数字证书等等 在此不一一介绍 8 1 6计算机网络安全技术 3 个人网络信息安全策略下面的防范方法和措施将有助于解决一些网络安全的问题 1 谨防特洛伊木马 2 借助ISP或Modem的防火墙功能 3 关闭 共享 4 不厌其烦的安装补丁程序 5 尽量关闭不需要的组件和服务程序 6 使用代理服务器 小练习 判断题1 计算机信息系统面临的威胁最主要来自于 黑客 攻击和计算机病毒的威胁 2 操作系统是计算机信息系统最基础 最核心的部分 只有加强了操作系统本身的安全性 才能从根本上解决信息安全问题 3 密码学是研究信息系统加密和解密变换的一门科学 是保护信息安全最主要的手段之一 4 主动攻击对计算机信息系统的主要危害是破坏信息系统的保密性 简答题1 计算机信息面临的主要威胁有哪些 2 简述数据加密技术有哪几种 3 怎样加强计算机信息和网络的安全性 8 2计算机病毒 本章学习目标8 2 1计算机病毒的概念8 2 2典型病毒介绍8 2 3计算机病毒的防护小练习 本章学习目标 通过本章学习 读者应该掌握以下内容 1 了解计算机病毒的基本知识 2 掌握计算机病毒的预防 3 掌握计算机病毒的消除 8 2 1计算机病毒概述 1 什么是计算机病毒计算机病毒 ComputerViruses 对计算机资源的破坏是一种属于未经授权的恶意破坏行为 中华人民共和国计算机信息系统安全保护条例 第二十八条对计算机病毒作了定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏资料 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 通俗地说 计算机病毒 ComputerVirus 简称CV 是能够侵入计算机系统并给计算机系统带来危害的一种具有自我繁殖能力的程序代码 8 2 1计算机病毒概述 计算机病毒的特征 1 传染性 2 隐蔽性 3 潜伏性 4 破坏性 8 2 1计算机病毒概述 3 计算机病毒的分类计算机病毒的分类方法很多 按其产生的后果可分为良性病毒和恶性病毒 若按病毒攻击的对象可以分为以下四种 1 引导型病毒 2 文件型病毒是文件侵染者 3 混合型病毒 4 宏病毒 8 2 1计算机病毒概述 4 计算机病毒的表现特征 1 机器不能正常启动 2 运行速度降低 3 内存空间迅速减少 4 文件内容和长度有所改变 5 经常出现 死机 现象 6 外部设备工作异常 8 2 2典型病毒介绍 1986年 世界上只有1种已知的计算机病毒 1990年 这一数字剧增至80种 1999年以前 全球病毒总数约18000种 2000年2月 计算机病毒的总数已激增至4 6万种 在1990年11月以前 平均每个星期发现一种新的计算机病毒 现在 每天就会出现10 15种新病毒 8 2 2典型病毒介绍 1 尼姆达 Nimda 病毒 尼姆达 病毒具有集邮件传播 主动攻击服务器 实时通讯工具传播 FTP协议传播 网页浏览传播为一体的传播手段 2 求职信 Wantjob 病毒 求职信 Wantjob 病毒不仅具有尼姆达病毒功能 而且在感染计算机后还不停地查询内存中的进程 检查是否有一些杀毒软件的存在 如AVP NAV NOD Macfee等 3 CIH病毒CIH病毒是迄今为止发现的最阴险的病毒之一 也是发现的首例直接破坏计算机系统硬件的病毒 8 2 2典型病毒介绍 4 VBS LoveLetter 我爱你 病毒这个病毒是通过MicrosoftOutlook电子邮件系统传播的 邮件的主题为 ILOVEYOU 并包含一个附件 一旦在MicrosoftOutlook里打开这个邮件 系统就会自动复制并向地址簿中的所有邮件地址发送这个病毒 5 红色代码 红色代码 病毒不同于以往的文件型病毒和引导型病毒 它只存在于内存中 传染时不通过文件这一常规载体 可以直接从一台计算机内存感染到另一台计算机的内存 并且它采用随机产生IP位址的方式 搜索未被感染的计算机 一旦病毒感染了计算机后 会释放出一个 特洛伊木马 程序 从而为入侵者大开方便之门 8 2 3计算机病毒的防护 计算机用户要树立正确的计算机病毒的防治思想 预防为主 诊治结合 要从加强系统管理入手 杜绝计算机病毒的传染渠道 计算机病毒防护的主要应从以下几个方面入手 一 思想防护二 管理防护三 使用防护四 打好安全补丁五 警惕邮件附件六 使用防毒软件 小练习 1 什么是计算机病毒 2 简述计算机病毒的特征 3 计算机犯罪的类型包括有哪些 4 计算机的防护应该从几方面入手 8 3信息技术职业道德与法律 本章学习目标8 3 1职业道德8 3 2软件的知识产权8 3 3增强软件知识产权的保护意识8 3 4用户的行为规范8 3 5我国信息安全相关政策法规小练习 本章学习目标 通过本章学习 读者应该掌握以下内容 1 了解法规及职业道德概述2 理解网络用户行为规范3 理解我国软件知识产权保护法规的基本内容 4 了解相关法律法规 8 3 1职业道德 道德正是法律的行为规范的补充 但它是非强制性的 属自律范畴 美国计算机伦理协会总结 归纳了以下计算机职业道德规范 称为 计算机伦理十戒 1 不应该用计算机去伤害他人 2 不应该影响他人的计算器工作 3 不应该到他人的计算机里去窥探 4 不应该用计算机去偷窃 5 不应该用计算机去做假证明 6 不应该复制或利用没有购买的软件 7 不应该未经他人许可的情况下使用他人的计算机资源 8 不应该剽窃他人的精神作品 9 应该注意你正在编写的程序和你正在设计系统的社会效应 10 应该始终注意 你在使用计算机是在进一步加强你对同胞的理解和尊敬 8 3 2软件的知识产权 如果不严格执行知识产权保护法 制止未经许可的商业化盗用 任凭非法拷贝的盗版软件横行 势必严重侵犯软件研制者的合法权益 挫伤人们研制软件的积极性 使软件的知识产权得不到应有的尊重和保护 软件的真正价值不被人们所接受 谁还再去研制软件 计算机软件知识产权保护 关系到软件产业和软件企业的生存和发展 也是多年来软件工作者十分关注的重要问题 计算机软件知识产权保护已经成为必须重视和解决的一个社会问题 解决软件著作权保护问题的根本措施是制定和完善软件保护法规 并严格执法 同时 加大宣传力度 树立人人尊重知识 尊重软件著作权的社会风尚 8 3 3增强软件知识产权的保护意识 目前 我国的软件企业在维护自身合法权益方面仍然与国外同类企业存在着较大的差距 在两个方面问题上比较突出 一是保护软件知识产权法制意识比较薄弱 二是知识产权归属关系不清 1 知识产权是一种无形的产权 是企业的重要财富 保护软件知识产权应当作为现代企业制度的一项基本内容 2 软件企业应增强知识产权保护意识并充分了解法律适用 如明确软件知识产权归属问题 软件技术秘密的认定 保密措施问题 专利的保护问题等等 3 软件企业应当学会按照经济合同规范调整各种关系 4 软件企业应尊重他人的知识产权 积极保护自己的合法权益 8 3 3增强软件知识产权的保护意识 1990年9月7日 第七届全国人大常委会第十五次会议通过了 中华人民共和国著作权法 1991年6月4日 我国政府颁布了 计算机软件保护条例 并于1991年10月1日起施行 1999年4月 国务院发出了国家版权局 关于不得使用非法复制的计算机软件的通知 8 3 4用户的行为规范 网络用户的行为规范主要表现在一对一通信 一对多通信和信息服务提供等三个方面 对邮件的收发 我们应遵守以下几点行为规范 不发送垃圾邮件 不发送涉密内容的电子邮件 转发别人电子邮件时 不随意改动原文的内容 不给陌生人发送电子邮件 也不接受陌生人的电子邮件 不在网上进行人身攻击 讨论敏感话题 不运行通过电子邮件收到的软件程序 8 3 4用户的行为规范 不将一组中个别人的言论视为该组的言论 并进而责怪系统管理员 注意通信的内容要与该组的目的一致 注意区分与组中某个人的通信和与每一个人的通信 不能随意在组内进行传播 对于信息服务的提供而言 不能未经允许可就进入非开放的信息服务器 或使用别人的服务器作为自己信息传送的中转站 要遵守信息服务器管理员发布的各项规定 8 3 5我国信息安全相关政策法规 1994年2月18日公安部颁布了 中华人民共和国计算机信息系统安全保护条例 这是我国第一部计算机安全法规 是我国计算机安全工作的总纲领 1996年2月1日国务院颁布并施行 中华人民共和国计算机信息网络国际联网管理暂行规定 1996年4月9日原邮电部颁布并施行 计算机信息网络国际联网出入口信道管理办法 等相关法规 1997年3月14日 全国人大八届第五次会议修改并通过的 中华人民共和国刑法 中也增加了有关计算机犯罪处罚的条款 同年10月1日正式实施 1997年12月11日国务院批准 1997年12月30日公安部颁布并施行 计算机信息网络国际联网安全保护管理办法 小练习 我国第一部计算机安全法规是什么 软件企业应该怎样增强软件知识产权的保护意识