【正文】 2022/2/8 第 9章 信息安全與社會責(zé)任 主講教師 郭松濤 Email： 高校計算機基礎(chǔ)教育系列課程 2022/2/8 本章教學(xué)計劃 理論教學(xué)（課堂教學(xué)）： 2學(xué)時 實驗教學(xué)（上機實習(xí)）： 0學(xué)時 本章教學(xué)重點 1. 信息安全概念 2. 病毒防范及網(wǎng)絡(luò)安全 3. 數(shù)據(jù)加密及數(shù)字簽名 4. 網(wǎng)絡(luò)道德規(guī)范 5. 信息安全相關(guān)的法律法規(guī) 6. 軟件知識產(chǎn)權(quán) 第 9章 信息安全與社會責(zé)任 2022/2/8 信息安全 計算機病毒 計算機安全技術(shù) 社會責(zé)任與職業(yè)道德規(guī)范 國家有關(guān)信息安全的法規(guī) 軟件知識產(chǎn)權(quán) 第 9章 信息安全與社會責(zé)任 2022/2/8 信息安全 計算機信息系統(tǒng)安全是指計算機資產(chǎn)安全，即計算機信息系統(tǒng)資源和信息不受自然和人為有害因素的威脅和危害。一切影響計算機安全的因素和保障計算機安全的措施都是計算機安全學(xué)研究的內(nèi)容。 2022/2/8 信息安全 信息安全的基本概念與狀況 1) 什么是信息安全 信息安全的主要目標(biāo)是保護(hù)計算機信息系統(tǒng)資源 （ 包括計算機設(shè)備 、 網(wǎng)絡(luò)傳輸 、 網(wǎng)絡(luò)設(shè)備 、 存儲介質(zhì) 、 軟件和計算機數(shù)據(jù)等 ） 免受毀壞 、 替換 、 盜竊和丟失 。 保證信息安全包括的策略和解決方案有： 訪問控制 、 選擇性訪問控制 、 病毒防范和計算機加密 、 系統(tǒng)規(guī)劃和管理 、 物理安全 、 網(wǎng)絡(luò)和通信安全 ， 等等 。 總之 ， 信息安全就是指 一個以計算機和網(wǎng)絡(luò)為業(yè)務(wù)處理手段的組織機構(gòu)本身的安全 ， 信息安全有時也簡稱為計算機安全 ， 實際上包括計算機本身 、 網(wǎng)絡(luò) 、 相關(guān)系統(tǒng)和數(shù)據(jù)的安全 。 2022/2/8 信息安全 信息安全的基本概念與狀況 1) 什么是信息安全 信息安全的 核心是數(shù)據(jù)安全 ， 數(shù)據(jù)安全主要指數(shù)據(jù)保密性和完整性 。 數(shù)據(jù)的保密性就是保證只有授權(quán)用戶可以訪問數(shù)據(jù) ， 而限制他人對數(shù)據(jù)訪問 。數(shù)據(jù)的保密性分為網(wǎng)絡(luò)傳輸保密性和數(shù)據(jù)存儲保密性 ， 后者主要通過訪問控制來實現(xiàn) 。 數(shù)據(jù)完整性的目的 ， 就是保證計算機系統(tǒng)上的數(shù)據(jù)和信息處于一種完整和沒受損害的狀態(tài) 。 影響數(shù)據(jù)完整性的因素很多 ， 可以通過訪問控制 、 數(shù)據(jù)備份和冗余設(shè)置來防止 。 2022/2/8 信息安全 信息安全的基本概念與狀況 2) 安全威脅 計算機系統(tǒng)的脆弱性主要來自于操作系統(tǒng)的不安全性 ， 在網(wǎng)絡(luò)環(huán)境下 ， 還來源于通信協(xié)議的不安全性 。 網(wǎng)絡(luò)系統(tǒng)的威脅種類有： 物理威脅 、 網(wǎng)絡(luò)威脅 、 身份鑒別 、 編程 、 系統(tǒng)漏洞等 。 安全措施可以包括如下： 用備份和鏡像技術(shù)提高數(shù)據(jù)完整性；防毒；補丁程序；提高物理安全；構(gòu)筑Inter防火墻；廢品處理守則；仔細(xì)閱讀日志；加密；提防虛假的安全等 。 2022/2/8 信息安全 信息安全的基本概念與狀況 3) 信息安全的狀況 ? 嚴(yán)峻的國際化信息安全問題 2022年 2月 6日前后 ， 美國 YAHOO等 8家大型網(wǎng)站接連遭受黑客的攻擊 ， 給網(wǎng)站的正常網(wǎng)絡(luò)信息服務(wù)和相關(guān)的電子商務(wù)業(yè)務(wù)造成了很大的影響 ， 并一度造成了這些網(wǎng)站服務(wù)的中斷 。此次安全事故所造成的直接經(jīng)濟(jì)損失超過 10億美元 。 與以往的黑客入侵事件相比 ， 此次安全事故具有以下的特點： ① 攻擊直接針對商業(yè)應(yīng)用 ② 攻擊造成的損失巨大 ③ 信息網(wǎng)絡(luò)安全關(guān)系到全社會 2022/2/8 信息安全 信息安全的基本概念與狀況 3) 信息安全的狀況 ? 信息安全與高技術(shù)犯罪 ? 網(wǎng)絡(luò)安全產(chǎn)品仍然是國外產(chǎn)品占主導(dǎo)地位 ? 網(wǎng)絡(luò)入侵檢測 、 預(yù)警機制尚未建立 ? 技術(shù)手段和管理措施不配套 ， 缺乏應(yīng)急處理 、 快速反應(yīng)機制 ? 對網(wǎng)絡(luò)信息把關(guān)缺乏必要的信息檢測手段 ?網(wǎng)絡(luò)自身脆弱性、網(wǎng)絡(luò)安全設(shè)備的不可靠性 2022/2/8 信息安全 網(wǎng)絡(luò)黑客及網(wǎng)絡(luò)攻防 我們已經(jīng)生活在數(shù)字化的網(wǎng)絡(luò)空間里 ， 信息設(shè)備及其信息本身與我們的日常工作和生活息息相關(guān) 。 但是許多管理者或用戶對信息系統(tǒng)安全性的關(guān)注仍比較薄弱 ， 漫不經(jīng)心地考慮信息安全問題 ， 過于平常地處理數(shù)字化資料 ， 對網(wǎng)絡(luò)上的攻擊和防護(hù)的基本知識也缺乏了解 ， 他們更多地只是考慮網(wǎng)絡(luò)性能 、 效率和方便性 ，由此使得信息安全問題更為復(fù)雜化 。 關(guān)注黑客 、 關(guān)注信息安全 ，是每一位管理者和網(wǎng)絡(luò)用戶必須銘記的 。 1） 黑客 網(wǎng)絡(luò)黑客 （ Hacker） —— 指的是熟悉某種電腦系統(tǒng) 、 并具有極高的技術(shù)能力 、 長時間將心力投注在信息系統(tǒng)的研發(fā) 、 并且樂此不疲的人 。 像 UNIX系統(tǒng)的鼻祖 Ken Thompson， 或 GNU（ Gnu’s Not Unix） 團(tuán)隊的領(lǐng)導(dǎo)人 Richard Stallman， 就是典型的 Hacker。而我們現(xiàn)在認(rèn)為黑客是信息系統(tǒng)的非法入侵者 ， 比較準(zhǔn)確的說法應(yīng)當(dāng)是 “ Intruder（ 入侵者 ） ” 或 “ Cracker（ 破壞者 ） ” 。 2022/2/8 信息安全 網(wǎng)絡(luò)世界中常見的黑客大體有以下幾種： ? 某些業(yè)余電腦愛好者 ? 職業(yè)的入侵者 ? 某些電腦高手 ? Hacker級的 Cracker 黑客入侵大體有以下目的： ? 好奇心與成就感 ? 當(dāng)作入侵其他重要機器的跳板 ? 盜用系統(tǒng)資源 ? 竊取機密資料 ? 惡意攻擊 2022/2/8 信息安全 2）黑客常用的網(wǎng)絡(luò)攻擊形式 黑客攻擊通常分為以下 7種典型的模式： ? 監(jiān)聽網(wǎng)絡(luò) ? 密碼破解 ? 軟件漏洞 ? 掃描信息 ? 惡意代碼 ? 阻斷服務(wù) ? Social Engineering 2022/2/8 信息安全 3） 應(yīng)對黑客的典型防護(hù)模式 (1) 數(shù)據(jù)加密 (2) 身份認(rèn)證 (3) 存取控制 (4) 審計 (5) 監(jiān)控 (6) 掃描 2022/2/8 系統(tǒng)安全規(guī)劃與管理 計算機信息系統(tǒng)安全管理一般分為兩個層次 ， 一是安全立法 ， 二是行政管理 。 1） 立法 法律是規(guī)范人們一般社會行為的準(zhǔn)則 。 它從形式上分有憲法 、 法律 、法令 、 條令 、 條例和實施辦法 、 實施細(xì)則等多種形式 。 為了計算機信息系統(tǒng)的安全運行 ， 我國相繼制定了一系列的法律 、 法規(guī) 。 隨著計算機在我國的普及還應(yīng)進(jìn)一步完善 ， 使計算機的安全運行有法可依 。 2） 行政管理 ? 人員的教育與培訓(xùn)管理 ? 健全機構(gòu) 、 崗位設(shè)置和規(guī)章制度 ① 崗位責(zé)任制 ② 運行管理維護(hù)制度 ③ 計算機處理控制管理制度 ④ 文檔資料管理制度 信息安全 2022/2/8 3） 技術(shù)措施 安全技術(shù)措施是計算機系統(tǒng)安全的重要保證 ， 也是整個系統(tǒng)安全的物質(zhì)技術(shù)基礎(chǔ) 。 實施安全技術(shù) ， 不僅涉及計算機和外部 、 外圍設(shè)備 ， 即通信和網(wǎng)絡(luò)系統(tǒng)實體 ， 還涉及到數(shù)據(jù)安全 、 信息安全 、 網(wǎng)絡(luò)安全 、 運行安全 、 防病毒技術(shù) 、 站點的安全以及系統(tǒng)結(jié)構(gòu) 、 工藝和保密 、 壓縮技術(shù) 。 安全技術(shù)措施的實施應(yīng)貫徹落實在系統(tǒng)開發(fā)的各個階級 ， 從系統(tǒng)規(guī)劃 、 系統(tǒng)分析 、 系統(tǒng)設(shè)計 、 系統(tǒng)實施 、 系統(tǒng)評價到系統(tǒng)的運行 、 維護(hù)及管理 。 加強計算機的安全教育是消除計算機安全隱患的一種有效辦法 。 加強軟件市場管理 ， 加強版權(quán)意識的教育 ， 提高人們保護(hù)知識產(chǎn)權(quán)的意識 ， 打擊盜版軟件的非法出售以及侵犯知識產(chǎn)權(quán)的行為 。 加強計算機的內(nèi)部管理 ， 提高防火防盜的措施 ， 嚴(yán)禁非法人員使用計算機 ， 謹(jǐn)慎外來人員使用計算機 。 信息安全 2022/2/8 信息安全 計算機病毒 計算機安全技術(shù) 社會責(zé)任與職業(yè)道德規(guī)范 國家有關(guān)信息安全的法規(guī) 軟件知識產(chǎn)權(quán) 第 9章 信息安全與社會責(zé)任 2022/2/8 計算機病毒