第5章 信息安全与职业道德.ppt

第5章 信息安全和职业道德 5.1 信息安全的基本概念 5.2 计算机病毒 5.3 计算机犯罪 5.4 计算机职业道德 5.5 软件知识产权 随着计算机应用的日益普及，带来了许多社会问题，如：沉迷网络游戏和聊天、黄色网站和虚假信息、传播病毒、黑客入侵、网络攻击、信息窃取、利用计算机金融犯罪、网上信誉、网络犯罪等等，其中计算机信息安全问题尤为突出，成为全社会共同关注的焦点。为了普及和增强计算机信息安全知识，提高计算机用户对计算机信息系统的安全保护能力，本章对计算机信息系统的安全和网络道德等问题作一些简单介绍。 5.1 信息安全的基本概念 5.1.1 计算机信息安全 5.1.2 计算机信息面临的威胁 5.1.3 计算机信息安全技术 5.1.4 计算机网络安全技术 5.1.1 计算机信息安全 一、计算机信息的基本概念 计算机信息系统是指由计算机及其相关的配套设备、设施（含网络）构成的，并按照一定的应用目标和规则对信息进行处理的人机系统。这里的规则是指对信息的内容、格式、结构和处理制定的约束机制；处理形式有采集、加工、存储、传输和检索等；处理设备有计算机、存储介质、传输通道；人机是指人机交互。 计算机信息系统是一个人机系统，基本组成有3部分：计算机实体、信息和人。 计算机实体即计算机硬件体系结构，主要包括：计算机硬件及各种接口、计算机外部设备、计算机网络、通信设备、通信线路和通信信道。 信息的主要形式是文件，它包括：操作系统、数据库、网络功能、各种应用程序等。计算机实体只有和信息结合成为计算机信息系统之后才有价值。计算机实体是有价的，信息系统是无价的，客观存在的损害往往会造成难以弥补的损失。 人是信息的主体。信息系统以人为本，必然带来安全问题。在信息系统作用的整个过程中：信息的采集受制于人、信息的处理受制于人、信息的使用受制于人、人既需要信息又害怕信息、信息既能帮助人又能危害人。人机交互是计算机信息处理的一种基本手段，也是计算机信息犯罪的入口。 二、计算机信息安全的范畴 计算机信息系统安全主要包括：实体安全、信息安全、运行安全和人员安全。 三、计算机系统安全等级 为了有效地保护信息，防范各种可能的入侵，帮助系统设计者和使用者明确系统安全的程度，必须有一个安全等级的标准和内容。美国国防部制订了《可信赖计算机评估准则（Trusted Computer Standards Evaluation Criteria）》将信息处理的等级和采取的应对策略划分为多个安全等级。此安全等级分为4类7级，依照各类、级的安全从低到高，依次是D级、C1级、C2级、B1级、B2级、B3级和A1级（超A1级）。子类的数字越大，它所承担的安全责任就越高。 5.1.2 计算机信息面临的威胁 计算机信息系统本身的缺陷和人类社会存在的利益驱使，不可避免地存在对计算机信息系统的威胁。只有知道这种威胁来自何方，才能进行有效地防范。 一、计算机信息的脆弱性 计算机本身的脆弱性是计算机信息系统受到攻击威胁的主要原因。计算机本身的脆弱性使其防御能力薄弱、被非法访问而无任何痕迹、各种误操作而遭受破坏。认识计算机脆弱性是提高计算机信息系统安全的前提。计算机信息系统的脆弱性可从以下几个环节来分析。 1．信息处理环节中存在的不安全因素 2．计算机信息自身的脆弱性 3．其他不安全因素 三、计算机信息受到的攻击 对计算机信息的人为故意威胁称为攻击。威胁和攻击的对象可分为两类：对实体的威胁和攻击；对信息的威胁和攻击。信息攻击的目的是针对信息保密性、完整性、可用性、可控性的破坏。 对实体的威胁和攻击主要是威胁和攻击计算机及其外部设备和网络。如各种自然灾害和人为的破坏、设备故障、场地、环境、电磁场干扰或电磁泄漏、战争破坏、媒体被盗或遗失。 对信息的威胁和攻击主要原因有两种：信息泄漏和信息破坏。前者是偶然地或故意地获得目标系统中的信息，其手段有侦收、截获、窃取、分析破译；后者是偶然事故或人为破坏信息，其手段有利用系统对计算机信息系统的攻击危害到信息系统的可用性、保密性和完整性本身的脆弱性、滥用特权身份、不合法地使用、修改或非法复制系统中的数据。 对计算机信息系统的攻击危害到信息系统的可用性、保密性和完整性。 实 例 1987年1月1日美国的马萨诸塞州技术学院在使用PDP-11计算机时，连入了政府数据网。该网与麻省理工学院的计算机相连，某个学生侵入到政府的几个信