信息安全与职业道德

第七章节信息平安与职业道德8.1 信息平安概述8.2 计算机病毒8.3 职业道德与相关法规8.1 信息平安概述本章学习目标 计算机信息平安 计算机信息面临的威胁 计算机信息系统互连标准 信息平安性的度量标准 计算机信息平安技术 计算机网络平安技术小练习HOME本章学习目标通过本章学习，读者应该掌握以下内容：了解计算机平安、信息平安和网络平安。了解网络信息系统不平安的因素。了解信息平安需求和平安效劳。了解信息平安标准。了解信息平安技术的有关概念。了解访问控制技术的有关概念。了解数据加密技术的有关概念。了解网络信息平安解决方案。理解个人网络信息平安策略。HOME上一页8.1.1计算机信息平安 计算机信息系统是一个由计算机实体、信息和人三局部组成的人机系统。计算机实体即计算机硬件体系结构，信息的主要形式是文件，人是信息的主体，信息系统以人为本，必然带来平安问题，人机交互是计算机信息处理的一种根本手段，也是计算机信息犯罪的入口。HOME上一页8.1.2计算机信息面临的威胁 计算机信息系统潜伏着严重的问题和不平安因素，计算机系统固有的缺陷、人为的因素、环境的影响等等，都不可防止地存在对计算机信息系统的威胁。 1.计算机信息的脆弱性(1).信息处理环节中存在的不平安因素。 (2).计算机信息自身的脆弱性. 信息系统自身的脆弱性主要包括有以下几个方面。计算机操作系统的脆弱性计算机网络系统的脆弱性数据库管理系统的脆弱性HOME上一页8.1.2计算机信息面临的威胁2.信息系统面临的威胁 (1).自然灾害： (2).人为因素或偶然事故构成的威胁： (3).主机产品受制于人 (4).“黑客〞攻击和计算机病毒的威胁 (5).计算机犯罪的威胁 (6).信息战的严重威胁。HOME上一页8.1.2计算机信息面临的威胁3.计算机信息受到的攻击 对计算机信息的人为成心威胁称为攻击 攻击的目的主要是破坏信息的保密性、完整性、真实性、可用性和可控性。威胁和攻击的对象可分为两类：对实体的威胁和攻击；对信息的威胁和攻击。 对计算机信息系统的攻击危害到信息系统的可用性、保密性和完整性。 “黑客〞的攻击可分为主动攻击和被动攻击。上一页HOME8.1.2计算机信息面临的威胁1.主动攻击 主动攻击是指篡改系统中所含信息或者改变系统的状态及操作。因此主动攻击主要威胁信息的完整性、可用性和真实性。攻击方式有：冒充、篡改、抵赖、其它如：非法登录、非授权访问、破坏通信规程和协议等。2.被动攻击 被动攻击是被动攻击一切窃密的攻击。被动攻击不会导致对系统中所含信息的任何改动，而且系统的操作和状态也不被改变，因此被动攻击主要威胁信息的保密性。攻击方式有：偷窃和分析。HOME上一页计算机信息系统互连标准ISO7498-2标准 ISO7498-2标准是目前国际上普遍遵循的计算机信息系统互连标准。1989年12月ISO公布了该标准的第二局部，即ISO7498-2标准，我国将其作为GB/T9387-2标准，并予以执行。其中包括了五大类平安效劳及提供这些效劳所需要的八大类平安机制。HOME上一页计算机信息系统互连标准2 平安效劳 平安效劳是由参与通信的开放系统的某一层所提供的效劳，它确保了该系统或数据传输具有足够的平安性。ISO7498-2标准确定了五大类平安效劳：鉴别 这种平安效劳可以鉴别参与通信的对等体和数据源。访问控制 这种平安效劳提供的保护，能够防止未经授权而利用通过OSI可访问的资源。HOME上一页计算机信息系统互连标准数据保密性 这种平安效劳能够提供保护，以防止数据未经授权而泄漏。数据完整性 这种平安效劳用于对付主动威胁。不可否认 向数据接收者提供数据来源和向数据发送者提供数据递交的证明。

HOME上一页信息平安性的度量标准 信息技术平安性评估通用准那么，通常简称为通用准那么〔CC〕，是评估信息技术产品和系统平安特性的根底准那么。建立之目的是让各种独立的平安评估结果具有可比性，从而能互相认知。 通用准那么内容分为3局部：简介和一般模型，平安功能要求，平安保证要求。

HOME上一页信息平安性的度量标准 在平安保证要求局部又分为以下7种评估保证级： •评估保证级别1〔EAL1〕——功能测试； •评估保证级别2〔EAL2〕——结构测试； •评估保证级别3〔EAL3〕——功能测试与校验； •评估保证级别4〔EAL4〕——系统的设计、测试和评审；•评估保证级别5〔EAL5〕——半形式化设计和测试； •评估保证级别6〔EAL6〕——半形式化验证的设计 和测试； •评估保证级别7〔EAL7〕——形式化验证的设计和 测试。HOME上一页计算机信息平安技术HOME上一页计算机信息系统平安包括实体平安、运行平安、信息平安和人事平安四个方面。1.计算机信息的实体平安在计算机信息系统中，计算机及其相关的设备、设施〔含网络〕统称为计算机信息系统的“实体〞。实体平安是指为了保证计算机信息系统平安可靠运行，确保计算机信息系统在对信息进行采集、处理、传输、存储过程中，不至于受到人为或自然因素的危害，导致信息丧失、泄漏或破坏，而对计算机设备、设施、环境人员等采取适当的平安措施。实体平安主要分为环境平安、设备平安和媒体平安三个方面。实体平安的根本要求，就是要采取一些保护计算机设备、设施〔含网络、通信设备〕以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故〔如电磁污染〕破坏的措施、过程。尤其是机房的平安措施，计算机机房建设应遵循国标GB2887-89?计算机场地技术条例?和GB9361-88?计算机场地平安要求?计算机信息平安技术2.信息运行平安技术 为保障整个计算机信息系统功能的平安实现，提供一套平安措施，来保护信息处理过程的平安，这方面的技术主要有：风险分析 2.审计跟踪技术 3.应急技术 4.容错存储技术HOME上一页计算机信息平安技术3.信息平安技术 计算机信息平安技术是指信息本身平安性的防护技术，以免信息被成心地和偶然地破坏。主要有以下几个平安防护技术： 1.加强操作系统的平安保护 2.数据库的平安保护 3.访问控制 4.密码技术HOME上一页8.1.5计算机信息平安技术4.密码技术 密码技术是对信息直接进行加密的技术，是维护信息平安的有力手段。通常情况下，人们将可懂的文本称为明文；将明文变换成的不可懂的文本称为密文。从明文到密文的转换过程叫加密。其逆过程，即把密文变换成明文的过程叫解密。明文与密文的相互变换是可逆的变换，并且只存在唯一的、无误差的可逆变换。 目前主流的密码学方法根据密钥类型不同分为两大类：保密密钥算法和公开密钥算法。HOME上一页计算机信息平安技术数据加密技术 按作用的不同，数据加密技术主要分为四种：

(1)数据传输加密技术。

(2)数据存储加密技术。

(3)数据完整性鉴别技术。

(4)密钥管理技术。HOME上一页8.1.5计算机信息平安技术6.访问控制 访问控制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域〔出入限制〕和限制使用计算机系统和计算机存储数据的过程〔存取限制〕。 其作用是对需要访问系统及其数据的人进行识别，并检验其合法身份。 可分为自主访问控制和强制访问控制。 自主访问控制简称DAC,通常被内置于操作系统中，允许命名用户以用户或用户组的身份规定并控制对资源的共享。 强制访问控制简称MAC，是在将系统中的主体和客体分类的根底上进行控制访问。HOME上一页8.1.5计算机信息平安技术7.访问控制机制 (1)身份认证。身份认证是为了使某些授予许可权限的权威机构满意，而提供所要求的身份认证的过程。 (2)系统访问控制。系统访问控制是指计算机的操作系统所能提供访问控制的机制。 (3)资源访问控制。资源访问控制的思想是，计算机系统中的各种资源都包含有一个控制用户访问的控制信息，当用户试图访问该资源时，系统应查看资源的访问控制信息和用户的身份证明，检查用户是否有权访问该资源。HOME上一页计算机网络平安技术网络系统平安体系结构计算机网络采用的5层次网络系统平安体系结构,此理论已得到了国际网络平安界的广泛成认和支持。

数据平安性加密应用程序平安性 访问控制授权用户平安性 用户(组)管理单机登录密权系统平安性反病毒风险评估入侵检测审计分析网络层平安性 防火墙通信平安 网络平安体系结构HOME上一页计算机网络平安技术2.网络面临的威胁 网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。 可能遇到的主要威胁有： (1)非授权访问 (2)信息泄漏或丧失 (3)破坏数据完整性 (4)拒绝效劳攻击 (5)利用网络传播病毒HOME上一页计算机网络平安技术2.网络平安的防护技术 (1)网络密码技术 密码学是研究信息系统加密和解密变换的一门科学，是保护信息平安最主要的手段之一。目前主流的密码学方法根据密钥类型不同分为两大类：保密密钥算法和公开密钥算法。 (2)防火墙技术 对付黑客和黑客程序的有效方法是安装防火墙，使用信息过滤设备，防止恶意、未经许可的访问。HOME上一页计算机网络平安技术(3)Web网中的平安技术 目前解决Web平安的技术主要有两种：平安协议套接字层SSL〔SecureSocketLayer的缩写〕和平安超文本传输协议SHTTP〔SecureHyperTextTransportProtocol的缩写〕协议。(4)虚拟专用网 虚拟专用网是虚拟私有网络〔VPN，VirtualPrivateNetwork〕的简称，它是一种利用公共网络来构建的私有专用网络。为了保障信息的平安，VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防信息被泄露、篡改和复制。(5)其他平安技术 其他网络平安技术还有：身份验证、数字证书等等，在此不一一介绍。HOME上一页计算机网络平安技术3.个人网络信息平安策略 下面的防范方法和措施将有助于解决一些网络平安的问题： (1)谨防特洛伊木马 (2)借助ISP或Modem的防火墙功能 (3)关闭“共享〞 (4)不厌其烦的安装补丁程序 (5)尽量关闭不需要的组件和效劳程序 (6)使用代理效劳器HOME上一页小练习判断题1.计算机信息系统面临的威胁最主要来自于“黑客〞攻击和计算机病毒的威胁。2.操作系统是计算机信息系统最根底、最核心的局部，只有加强了操作系统本身的平安性，才能从根本上解决信息平安问题。3.密码学是研究信息系统加密和解密变换的一门科学，是保护信息平安最主要的手段之一。4.主动攻击对计算机信息系统的主要危害是破坏信息系统的保密性。简答题1.计算机信息面临的主要威胁有哪些？2.简述数据加密技术有哪几种。3.怎样加强计算机信息和网络的平安性？HOME上一页8.2计算机病毒

本章学习目标

计算机病毒的概念

典型病毒介绍

计算机病毒的防护

小练习HOME上一页上一页本章学习目标通过本章学习，读者应该掌握以下内容：1.了解计算机病毒的根本知识。 2.掌握计算机病毒的预防。 3.掌握计算机病毒的消除。HOME计算机病毒概述1.什么是计算机病毒 计算机病毒〔ComputerViruses〕对计算机资源的破坏是一种属于未经授权的恶意破坏行为。 ?中华人民共和国计算机信息系统平安保护条例?第二十八条对计算机病毒作了定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏资料，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 通俗地说，计算机病毒〔ComputerVirus，简称CV〕是能够侵入计算机系统并给计算机系统带来危害的一种具有自我繁殖能力的程序代码。HOME上一页8.2.1计算机病毒概述计算机病毒的特征

(1).传染性

(2).隐蔽性

(3).潜伏性

(4).破坏性HOME上一页8.2.1计算机病毒概述HOME上一页3.计算机病毒的分类 计算机病毒的分类方法很多。按其产生的后果可分为良性病毒和恶性病毒。假设按病毒攻击的对象可以分为以下四种： (1).引导型病毒。 (2).文件型病毒是文件侵染者。 (3).混合型病毒。 (4).宏病毒。8.2.1计算机病毒概述 4.计算机病毒的表现特征 (1).机器不能正常启动。 (2).运行速度降低。 (3).内存空间迅速减少。 (4).文件内容和长度有所改变。 (5).经常出现“死机〞现象。 (6).外部设备工作异常。HOME上一页8.2.2典型病毒介绍 1986年，世界上只有1种的计算机病毒。 1990年，这一数字剧增至80种。 1999年以前，全球病毒总数约18000种。 2000年2月，计算机病毒的总数已激增至4.6万种。在1990年11月以前，平均每个星期发现一种新的计算机病毒。现在，每天就会出现10~15种新病毒。HOME上一页8.2.2典型病毒介绍1.“尼姆达〞〔Nimda〕病毒 “尼姆达〞病毒具有集邮件传播、主动攻击效劳器、实时通讯工具传播、FTP协议传播、网页浏览传播为一体的传播手段。2.“求职信〞〔Wantjob〕病毒 “求职信〞〔Wantjob〕病毒不仅具有尼姆达病毒功能，而且在感染计算机后还不停地查询内存中的进程，检查是否有一些杀毒软件的存在〔如AVP/NAV/NOD/Macfee等〕。3.CIH病毒 CIH病毒是迄今为止发现的最阴险的病毒之一，也是发现的首例直接破坏计算机系统硬件的病毒。HOME上一页8.2.2典型病毒介绍4.VBS.LoveLetter〔我爱你〕病毒 这个病毒是通过MicrosoftOutlook电子邮件系统传播的，邮件的主题为“ILOVEYOU〞，并包含一个附件。一旦在MicrosoftOutlook里翻开这个邮件，系统就会自动复制并向地址簿中的所有邮件地址发送这个病毒。5.红色代码 “红色代码〞病毒不同于以往的文件型病毒和引导型病毒，它只存在于内存中，传染时不通过文件这一常规载体，可以直接从一台计算机内存感染到另一台计算机的内存，并且它采用随机产生IP位址的方式，搜索未被感染的计算机。一旦病毒感染了计算机后，会释放出一个“特洛伊木马〞程序，从而为入侵者大开方便之门。HOME上一页8.2.3计算机病毒的防护 计算机用户要树立正确的计算机病毒的防治思想。“预防为主，诊治结合〞，要从加强系统管理入手，杜绝计算机病毒的传染渠道。计算机病毒防护的主要应从以下几个方面入手： 一、思想防护 二、管理防护 三、使用防护 四、打好平安补丁 五、警惕邮件附件 六、使用防毒软件HOME上一页小练习1.什么是计算机病毒？2.简述计算机病毒的特征。3.计算机犯罪的类型包括有哪些？4.计算机的防护应该从几方面入手？HOME上一页8.3 信息技术职业道德与法律本章学习目标 职业道德 软件的知识产权 增强软件知识产权的保护意识 用户的行为标准 我国信息平安相关政策法规小练习HOME上一页本章学习目标 通过本章学习，读者应该掌握以下内容： 1.了解法规及职业道德概述 2.理解网络用户行为标准 3.理解我国软件知识产权保护法规的根本内容。 4.了解相关法律法规。HOME上一页8.3.1职业道德道德正是法律的行为标准的补充，但它是非强制性的，属自律范畴。美国计算机伦理协会总结、归纳了以下计算机职业道德标准，称为“计算机伦理十戒〞：1.不应该用计算机去伤害他人。2.不应该影响他人的计算器工作。3.不应该到他人的计算机里去窥探。4.不应该用计算机去偷窃。5.不应该用计算机去做假证明。6.不应该复制或利用没有购置的软件。7.不应该未经他人许可的情况下使用他人的计算机资源。8.不应该剽窃他人的精神作品。9.应该注意你正在编写的程序和你正在设计系统的社会效应。10.应该始终注意，你在使用计算机是在进一步加强你对同胞的理解和尊敬。HOME上一页8.3.2软件的知识产权 如果不严格执行知识产权保护法，制止未经许可的商业化盗用，任凭非法拷贝的盗版软件横行，势必严重侵犯软件研制者的合法权益，挫伤人们研制软件的积极性，使软件的知识产权得不到应有的尊重和保护，软件的真正价值不被人们所接受，谁还再去研制软件？计算机软件知识产权保护，关系到软件产业和软件企业的生存和开展，也是多年来软件工作者十分关注的重要问题。 计算机软件知识产权保护已经成为必须重视和解决的一个社会问题。解决软件著作权保护问题的根本措施是制定和完善软件保护法规，并严格执法；同时，加大宣传力度，树立人人尊重知识、尊重软件著作权的社会风气。HOME上一页8.3.3增强软件知识产权的保护意识目前，我国的软件企业在维护自身合法权益方面仍然与国外同类企业存在着较大的差距，在两个方面问题上比较突出：一是保护软件知识产权法制意识比较薄弱；二是知识产权归属关系不清。1.知识产权是一种无形的产权，是企业的重要财富，保护软件知识产权应当作为现代企业制度的一项根本内容。2.软件企业应增强知识产权保护意识并充分了解法律适用，如明确软件知识产权归属问题、软件技术秘密的认定、保密措施问题、专利的保护问题等等。3.软件企业应当学会按照经济合同标准调整各种关系。4.软件企业应尊重他人的知识产权，积极保护自己的合法权益。HOME上一页8.3.3