2014信息系统安全与社会责任.docVIP

第8章 信息系统安全与社会责任 主要内容： 本章主要介绍了信息安全的基本概念和影响信息安全的主要问题及解决的对策。主要从计算机病毒的产生、种类、特征与防治和网络黑客的常见攻击方法以及黑客的防范，信息安全的管理等方面进行了介绍。同时，介绍了数据加密、数字签名、防火墙等一些常见的信息安全技术。分析了网络道德存在的问题以及对社会的影响。 学习目标： 1．认识信息安全的基本概念、属性、管理和测评认证。 2．了解计算机病毒及其防治、网络黑客与黑客的防范。 3．认识信息安全中，管理因素的重要性。 4．认识网络道德存在的问题以及建立网络道德规范的必要性。 5．了解国家有关信息安全的法规。 8.1 信息安全概述 国际标准化组织(ISO)定义信息安全(lnformation Security)为“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露”。随着计算机应用范围的逐渐扩大以及信息内涵的不断丰富，信息安全涉及的领域和内涵也越来越广。信息安全不仅是保证信息的机密性、完整性、可用性、可控性和可靠性，并且从主机的安全技术发展到网络体系结构的安全，从单一层次的安全发展到多层次的立体安全。目前，涉及的领域还包括黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面。信息安全不仅关系到个人、企事业单位，还关系到国家安全。这些安全问题需要依靠密码、数字签名、身份认证、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制加以解决。 本节主要介绍了信息安全属性、管理以及信息安全的测评等信息。 8.1.1 信息安全的属性 不论应用那种安全机制解决信息安全问题，本质上都是为保证信息的各项安全属性，使信息的获得者对所获取信息充分信任。信息安全的基本属性有信息的完整性、可用性、保密性、可控性和可靠性，具体描述如下。 完整性（Integrity）是指信息在存储、传输和提取的过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。 可用性（Avaliability）指的是信息可被合法用户访问并能按要求顺序使用的特性，即在需要时就可取用所需的信息。 机密性（Confidentiality）指信息不泄漏给非授权的个人和实体，或供其使用的特性。 可控性（Controlability）指授权机构可随时控制信息的机密性。 可靠性（Reliability）指信息以用户认可的质量连续服务于用户的特性（包括信息的迅速、准确和连续地转移等），但也有人认为可靠性就是人们对信息系统而不是对信息本身的要求。 8.1.2 信息安全的管理体系 对信息安全的建设是一个系统工程，需要对系统中的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化。任何单个环节上的安全缺陷都会对系统的整体安全构成威胁。所以解决信息安全问题应该同时从技术和管理两方面着手。 从技术方面来讲，实现信息安全主要是解决网络系统本身存在的安全漏洞，比如TCP/IP协议的不完善，操作系统或程序对安全性考虑不足或不周等。目前解决这些问题的常用技术有：密码技术、入侵检测、虚拟专用网(VPN)技术、防火墙与防病毒技术、隐写与伪装、数字水印、认证与识别技术等。 从管理方面来讲，实现信息安全主要是健全组织内部的信息安全管理制度，以防止因为内部人员的误操作或因思想麻痹，没有足够的信息安全知识而引起的严重后果。解决管理方面的问题需要制订适当完备的信息安全发展策略和计划, 加强信息安全立法，实现统一和规范的管理, 积极制订信息安全国际和国家标准。 8.1.3 信息安全测评认证体系 目前，对于信息技术产品和系统的安全性的评估，国际上广泛采用的是信息技术安全评估通用准则（CC），此标准是现阶段中最完善的信息技术安全评估标准。 一个国家一般都有自己的国家信息安全测评认证体系，并且基本上都成立了专门的信息安全测评认证机构，认证机构一般由国家安全部门或国家标准化部门控制。中国国家信息安全测评认证中心是经国家授权，依据国家认证的法律、法规和信息安全管理的政策，并按照国际通用准则建立的中立的技术机构。它代表国家对信息技术、信息系统、信息安全产品以及信息服务的安全性进行实施测试、评估和认证，为社会提供相关的技术服务、为政府有关部门的信息安全行政管理和行政执法提供必要的技术支持。“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品或系统安全质量的最高认可。 经国家信息安全测评认证中心认证的产品或系统只是达到了国家规定的管理安全风险的能力，并不表示该产品完全消除了安全风险，中心的认证程序能够确保产品安全的风险降低到了国家标准规定和和公众可以接受的水平。中心的认证程序是一个动态的过程，中心将根据信息安全产品的技术发展和最终用户的要求，动态增加测试