第1章信息与计算机基础知识—5.pptx

第1页 第六节 信息安全及职业道德一、信息安全的基本概念 1. 计算机信息安全 计算机信息系统是一个人机系统，基本组成有3部分：计算机实体、信息和人。在计算机信息系统中，信息的采集受制于人，信息的处理受制于人，信息的使用受制于人。人机交互是计算机信息处理的一种基本手段，也是计算机信息犯罪的入口。 计算机信息系统安全的范畴主要包括：实体安全、信息安全、运行安全和人员安全。 实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭破坏的措施、过程。破坏因素主要有人为破坏、雷电、有害气体、水灾、火灾、地震、环境故障。实体安全范畴包括环境安全、设备安全、媒体安全。计算机实体安全的防护是防止信息威胁和攻击的第一步，也是防止对信息威胁和攻击的天然屏障。 第2页 信息安全是指防止信息被故意地和偶然地非法授权、泄漏、更改、破坏或使信息被非法系统识别、控制。信息安全的目标是保证信息保密性、完整性、可用性、可控性。 信息安全范围主要包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别7个方面。 运行安全是指信息处理过程中的安全。运行安全范围主要包括系统风险管理、审计跟踪、备份与恢复、应急4个方面的内容。系统的运行安全检查是计算机信息系统安全的重要环节，用来保证系统能连续、正常地运行。 人员安全主要是指计算机工作人员的安全意识、法律意识、安全技能等。除少数难以预知和抗拒的天灾外，绝大多数灾害是人为的，由此可见人员安全是计算机信息系统安全工作的核心。人员安全检查主要是法规宣传、安全知识学习、职业道德教育和业务培训等。 第3页 2. 计算机信息面临的威胁 计算机信息系统本身的缺陷和人类社会存在的利益驱使，不可避免地存在对计算机信息系统的威胁。 (1) 计算机信息系统的脆弱性 计算机信息系统的脆弱性可从以下几个环节来分析。 ① 信息处理环节中存在的不安全因素 信息处理环节的脆弱性存在于：输入系统的数据容易被篡改或输入假数据。数据处理部分的硬件容易被破坏或盗窃，并且容易受电磁干扰或自身电磁辐射而造成信息泄漏。数据容易在传输线路上被截获，传输线路容易被破坏或盗窃。软件（包括操作系统、数据库系统和程序）容易被修改或破坏。输出信息的设备容易造成信息泄漏或被窃取。系统的存取控制部分的安全存取控制功能还比较薄弱。 ② 计算机信息系统自身的脆弱性 信息系统自身的脆弱性主要有以下3个方面。 计算机操作系统的脆弱性, 计算机网络系统的脆弱性, 数据库管理系统的脆弱性。 第4页 ③ 其他不安全因素 在信息处理方面也存在许多不安全因素，主要存在以下几个方面。 存储密度高。在一张磁盘或U盘中可以存储大量信息，很容易放在口袋中带出去，容易受到意外损坏或丢失，造成大量信息丢失。 数据可访问性。数据信息可以很容易地被复制下来而不留任何痕迹。 信息聚生性。信息系统的特点之一，就是能将大量信息收集在一起进行自动、高效地处理，产生很有价值的结果。当信息以分离的小块形式出现时，它的价值往往不大，但当将大量信息聚集在一起时，信息之间的相关特性，将极大地显示出这些信息的重要价值。信息的这种聚生性与其安全密切相关。 保密困难性。计算机系统内的数据都是可用的，尽管可以设许多关卡，但对一个熟悉计算机的人来说，获取数据并非很难。 介质的剩磁效应。存储介质中的信息有时是擦除不干净或不能完全擦除掉的，会留下可读信息的痕迹，一旦被利用，就会泄密。 电磁泄漏性。计算机设备工作时能够辐射出电磁波，任何人都可以借助仪器设备在一定的范围内收到它，尤其是利用高灵敏度仪器可以清晰地看到计算机正在处理的机密信息。 信息介质的安全隐患。在磁盘信息恢复技术方面，硬盘被格式化多遍，其残留信息仍能被恢复。当对磁盘“以旧换新”时，往往没有注意这种形式的信息外泄。 第5页 (2) 信息系统面临的威胁 计算机信息系统面临的威胁主要来自自然灾害构成的威胁、人为和偶然事故构成的威胁、计算机犯罪的威胁、计算机病毒的威胁和信息战的威胁等。 自然灾害构成的威胁有火灾、水灾、风暴、地震、电磁泄漏、干扰、环境(温度、湿度、振动、冲击、污染)影响。 人为或偶然事故构成的威胁有如下几方面：硬、软件的故障。工作人员的误操作。环境的突然变化，电源突然掉电或冲击。 计算机犯罪的威胁是指利用暴力和非暴力形式，故意泄露或破坏系统中的机密信息，以及危害系统实体的不法行为。 计算机病毒的威胁是指遭受为达到某种目的而编制的、具有破坏计算机或毁坏信息的能力、自我复制和传染能力的程序的攻击。 信息战的威胁是指为保持自己在信息上的优势、获取敌方信息并干扰敌方信息的信息系统、保护自己的信息系统所采取的行动。信息武器大体分为3类：具有特定骚扰或破坏功能的程序；具有扰乱或迷惑性能的数据信号；具有针对性信息擦除或干扰运行的噪声信号。 第6页 (3) 计算机