【正文】 信息安全與道德規(guī)范 72 第七章 信息安全與職業(yè)道德 ? 信息安全概述 ? 計(jì)算機(jī)病毒 ? 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 計(jì)算機(jī)職業(yè)道德 信息安全與道德規(guī)范 73 第七章 信息安全與職業(yè)道德 ? 信息安全概述 ? 計(jì)算機(jī)系統(tǒng)安全 ? 信息安全的概念 ? 信息安全的基本屬性 ? 信息安全技術(shù) ? 計(jì)算機(jī)病毒 ? 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 計(jì)算機(jī)職業(yè)道德 信息安全與道德規(guī)范 74 (1) ? 計(jì)算機(jī)系統(tǒng) 也稱為計(jì)算機(jī)信息系統(tǒng)（ Computer Information System），是由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，并按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、檢索等處理的人機(jī)系統(tǒng)。 信息安全與道德規(guī)范 75 (2) ? 計(jì)算機(jī)系統(tǒng)面臨的諸多威脅 ? 對(duì) 實(shí)體 的威脅和攻擊 ? 硬件 ? 軟件 ? 對(duì) 信息 的威脅和攻擊 ? 信息泄漏 ? 信息破壞 信息安全與道德規(guī)范 76 計(jì)算機(jī)系統(tǒng)與面臨的威脅 計(jì) 算 機(jī) 系 統(tǒng) 計(jì)算機(jī)硬件 計(jì)算機(jī)軟件 數(shù)據(jù) 實(shí)體 信息 對(duì)實(shí)體的 威脅和攻擊 對(duì)信息的 威脅和攻擊 信息泄露 信息破壞 信息安全與道德規(guī)范 77 對(duì)信息的威脅和攻擊 ? 信息泄露 信息泄露是指故意或偶然地偵收、截獲、竊取、分析和收到系統(tǒng)中的信息，特別是系統(tǒng)中的機(jī)密和敏感信息，造成泄密事件。 ? 信息破壞 信息破壞是指由于偶然事故或人為因素破壞信息的機(jī)密性、完整性、可用性及真實(shí)性。 ? 偶然事故包括：計(jì)算機(jī)軟硬件事故、工作人員的失誤、自然災(zāi)害的破壞、環(huán)境的劇烈變化等引起的各種信息破壞。 ? 人為因素的破壞指，利用系統(tǒng)本身的脆弱性，濫用特權(quán)身份或不合法地使用身份，企圖修改或非法復(fù)制系統(tǒng)中的數(shù)據(jù)，從而達(dá)到不可告人的目的。 信息安全與道德規(guī)范 78 (3) ?計(jì)算機(jī)安全概念 ? 靜態(tài)描述 為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。 ? 動(dòng)態(tài)描述 計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運(yùn)行。 信息安全與道德規(guī)范 79 (4) ? 計(jì)算機(jī)安全涉及的方面 ? 物理安全（ Physical Security） 保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施、過程。 ? 運(yùn)行安全（ Operation Security） 為了保證系統(tǒng)功能，提供一套安全措施（如：風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急等）來(lái)保護(hù)信息處理過程的安全。 ? 信息安全（ Information Security） 防止信息財(cái)產(chǎn)被故意地或偶然地非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制。 信息安全與道德規(guī)范 710 計(jì)算機(jī)系統(tǒng)安全的內(nèi)容 計(jì)算機(jī)系統(tǒng)安全 物理安全 運(yùn)行安全 信息安全 環(huán)境安全 設(shè)備安全 媒體安全 風(fēng)險(xiǎn)分析 審計(jì)跟蹤 備份與恢復(fù) 應(yīng)急 操作系統(tǒng)安全 數(shù)據(jù)庫(kù)安全 網(wǎng)絡(luò)安全 病毒防護(hù) 訪問控制 加密 鑒別 信息安全與道德規(guī)范 711 第七章 信息安全與職業(yè)道德 ? 信息安全概述 ? 計(jì)算機(jī)系統(tǒng)安全 ? 信息安全的概念 ? 信息安全的基本屬性 ? 信息安全技術(shù) ? 計(jì)算機(jī)病毒 ? 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 計(jì)算機(jī)職業(yè)道德 信息安全與道德規(guī)范 712 （ 1） ? 信息安全的概念 ? 信息安全是指防止信息財(cái)產(chǎn)被故意或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)辨識(shí)、控制，即確保信息的完整性、保密性、可用性和可控性。 ? 信息安全產(chǎn)品和系統(tǒng)的安全評(píng)價(jià) ? 信息系統(tǒng)采取分級(jí)保護(hù)和評(píng)價(jià) 信息安全與道德規(guī)范 713 （ 2） ? TCSEC （可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則 ， Trusted Computer Standards Evaluation Criteria ） 四個(gè)安全等級(jí)，七個(gè)級(jí)別： ? 無(wú)保護(hù)級(jí) （ D類） ? 自主保護(hù)級(jí) （ C類） ? 強(qiáng)制保護(hù)級(jí)（ B類） ? 驗(yàn)證保護(hù)級(jí)（ A類） 信息安全與道德規(guī)范 714 可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則 (TCSEC) 可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則(TCSEC) D類 C類 B類 A類 D1：最小保護(hù) C1： 自主安全保 護(hù) C2：受控的訪問保護(hù) B1： 標(biāo)志安全保護(hù) B2：結(jié)構(gòu)保護(hù) B3：安全域 A1：驗(yàn)證設(shè)計(jì) 等級(jí) 級(jí)別 安全性 高 低 信息安全與道德規(guī)范 715 無(wú)保護(hù)級(jí) D類 ? D1的安全等級(jí) 最低 ，說(shuō)明整個(gè) 系統(tǒng)是不可信的 。 ? D1系統(tǒng)只為文件和用戶提供安全保護(hù)，對(duì) 硬件沒有任何保護(hù) 、操作系統(tǒng)容易受到損害、沒有身份認(rèn)證。 ? D1系統(tǒng)最普通的形式是 本地操作系統(tǒng)（如MS— DOS， Windows95/98），或者是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。 信息安全與道德規(guī)范 716 自主保護(hù)級(jí) （ C類） ? 該類安全等級(jí)能夠提供 審慎的保護(hù) ， 并為用戶的行動(dòng)和責(zé)任提供審計(jì)能力 。 ? C類安全等級(jí)可劃分為 C1和 C2兩類 。 ? C1系統(tǒng)對(duì) 硬件進(jìn)行 某種程度的 保護(hù) ， 將 用戶和數(shù)據(jù)分開 。 ? C2系統(tǒng)比 C1系統(tǒng) 加強(qiáng)了審計(jì)跟蹤 的要求 。 ? 能夠達(dá)到 C2級(jí)的常見操作系統(tǒng)有： UNIX，Linux， Windows NT， Windows2020和Windows XP。 信息安全與道德規(guī)范 717 強(qiáng)制保護(hù)級(jí)（ B類） ? B類安全等級(jí)可分為 B B2和 B3三類。 ? B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。如果用戶沒有與安全等級(jí)相連，系統(tǒng)就不會(huì)讓用戶存取對(duì)象。 ? B1稱為標(biāo)志安全保護(hù) ，即使是 文件的擁有者也不允許 改變其權(quán)限。 ? B2稱為結(jié)構(gòu)保護(hù) ，必須滿足 B1系統(tǒng)的所有要求，另外還給設(shè)備分配單個(gè)或多個(gè)安全級(jí)別。 ? B3稱為安全域保護(hù) ，必須符合 B2系統(tǒng)的所有安全需求，使用安裝硬件的方式來(lái)加強(qiáng)安全性，要求用戶通過一條可信任途徑連接到系統(tǒng)上。 信息安全與道德規(guī)范 718 驗(yàn)證保護(hù)級(jí)（ A類） ? A系統(tǒng)的安全級(jí)別 最高 ，包括了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。 ? 目前， A類安全等級(jí)只包含 A1一個(gè)安全類別。 ? A1包含了較低級(jí)別的所有特性。 ? A1要求系統(tǒng)的設(shè)計(jì)必須是從 數(shù)學(xué)角度 上 經(jīng)過驗(yàn)證 的，而且必須進(jìn)行秘密通道和可信任分布的分析。 信息安全與道德規(guī)范 719 第七章 信息安全與職業(yè)道德 ? 信息安全概述 ? 計(jì)算機(jī)系統(tǒng)安全 ? 信息安全的概念 ? 信息安全的基本屬性 ? 信息安全技術(shù) ? 計(jì)算機(jī)病毒 ? 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 計(jì)算機(jī)職業(yè)道德 信息安全與道德規(guī)范 720 完整性是指信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。 可用性是指可被授權(quán)實(shí)體訪問并按需求使用的特性。 可靠性是指可以控制授權(quán)范圍內(nèi)的信息流向及行為方式，對(duì)信息的傳播及內(nèi)容具有控制能力的特性。 保密性是指確保信息不泄露給未授權(quán)用戶、實(shí)體或進(jìn)程，不被非法利用 不可抵賴性又稱為不可否認(rèn)性或真實(shí)性。是指信息的行為人要對(duì)自己的信息行為負(fù)責(zé)，不能抵賴自己曾經(jīng)有過的行為，也不能否認(rèn)曾經(jīng)接到對(duì)方的信息。通常將數(shù)字簽名和公證機(jī)制一同使用來(lái)保證不可否認(rèn)性。 ? 可用性（ Availability） ? 可靠性（ Controllability） ? 完整性（ Integrity） ? 不可抵賴性（ NonRepudiation） ? 保密性（ Confidentiality） 信息安全與道德規(guī)范 721 信息安全的基本屬性與安全效果