【正文】 信息安全與道德規(guī)范 72 第七章 信息安全與職業(yè)道德 ? 信息安全概述 ? 計算機病毒 ? 計算機網(wǎng)絡(luò)安全 ? 計算機職業(yè)道德 信息安全與道德規(guī)范 73 第七章 信息安全與職業(yè)道德 ? 信息安全概述 ? 計算機系統(tǒng)安全 ? 信息安全的概念 ? 信息安全的基本屬性 ? 信息安全技術(shù) ? 計算機病毒 ? 計算機網(wǎng)絡(luò)安全 ? 計算機職業(yè)道德 信息安全與道德規(guī)范 74 (1) ? 計算機系統(tǒng) 也稱為計算機信息系統(tǒng)（ Computer Information System），是由計算機及其相關(guān)和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，并按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、檢索等處理的人機系統(tǒng)。 信息安全與道德規(guī)范 75 (2) ? 計算機系統(tǒng)面臨的諸多威脅 ? 對 實體 的威脅和攻擊 ? 硬件 ? 軟件 ? 對 信息 的威脅和攻擊 ? 信息泄漏 ? 信息破壞 信息安全與道德規(guī)范 76 計算機系統(tǒng)與面臨的威脅 計 算 機 系 統(tǒng) 計算機硬件 計算機軟件 數(shù)據(jù) 實體 信息 對實體的 威脅和攻擊 對信息的 威脅和攻擊 信息泄露 信息破壞 信息安全與道德規(guī)范 77 對信息的威脅和攻擊 ? 信息泄露 信息泄露是指故意或偶然地偵收、截獲、竊取、分析和收到系統(tǒng)中的信息，特別是系統(tǒng)中的機密和敏感信息，造成泄密事件。 ? 信息破壞 信息破壞是指由于偶然事故或人為因素破壞信息的機密性、完整性、可用性及真實性。 ? 偶然事故包括：計算機軟硬件事故、工作人員的失誤、自然災(zāi)害的破壞、環(huán)境的劇烈變化等引起的各種信息破壞。 ? 人為因素的破壞指，利用系統(tǒng)本身的脆弱性，濫用特權(quán)身份或不合法地使用身份，企圖修改或非法復(fù)制系統(tǒng)中的數(shù)據(jù)，從而達到不可告人的目的。 信息安全與道德規(guī)范 78 (3) ?計算機安全概念 ? 靜態(tài)描述 為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。 ? 動態(tài)描述 計算機的硬件、軟件和數(shù)據(jù)受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運行。 信息安全與道德規(guī)范 79 (4) ? 計算機安全涉及的方面 ? 物理安全（ Physical Security） 保護計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施、過程。 ? 運行安全（ Operation Security） 為了保證系統(tǒng)功能，提供一套安全措施（如：風(fēng)險分析、審計跟蹤、備份與恢復(fù)、應(yīng)急等）來保護信息處理過程的安全。 ? 信息安全（ Information Security） 防止信息財產(chǎn)被故意地或偶然地非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識、控制。 信息安全與道德規(guī)范 710 計算機系統(tǒng)安全的內(nèi)容 計算機系統(tǒng)安全 物理安全 運行安全 信息安全 環(huán)境安全 設(shè)備安全 媒體安全 風(fēng)險分析 審計跟蹤 備份與恢復(fù) 應(yīng)急 操作系統(tǒng)安全 數(shù)據(jù)庫安全 網(wǎng)絡(luò)安全 病毒防護 訪問控制 加密 鑒別 信息安全與道德規(guī)范 711 第七章 信息安全與職業(yè)道德 ? 信息安全概述 ? 計算機系統(tǒng)安全 ? 信息安全的概念 ? 信息安全的基本屬性 ? 信息安全技術(shù) ? 計算機病毒 ? 計算機網(wǎng)絡(luò)安全 ? 計算機職業(yè)道德 信息安全與道德規(guī)范 712 （ 1） ? 信息安全的概念 ? 信息安全是指防止信息財產(chǎn)被故意或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)辨識、控制，即確保信息的完整性、保密性、可用性和可控性。 ? 信息安全產(chǎn)品和系統(tǒng)的安全評價 ? 信息系統(tǒng)采取分級保護和評價 信息安全與道德規(guī)范 713 （ 2） ? TCSEC （可信計算機系統(tǒng)評價準則 ， Trusted Computer Standards Evaluation Criteria ） 四個安全等級，七個級別： ? 無保護級 （ D類） ? 自主保護級 （ C類） ? 強制保護級（ B類） ? 驗證保護級（ A類） 信息安全與道德規(guī)范 714 可信計算機系統(tǒng)評價準則 (TCSEC) 可信計算機系統(tǒng)評價準則(TCSEC) D類 C類 B類 A類 D1：最小保護 C1： 自主安全保 護 C2：受控的訪問保護 B1： 標志安全保護 B2：結(jié)構(gòu)保護 B3：安全域 A1：驗證設(shè)計 等級 級別 安全性 高 低 信息安全與道德規(guī)范 715 無保護級 D類 ? D1的安全等級 最低 ，說明整個 系統(tǒng)是不可信的 。 ? D1系統(tǒng)只為文件和用戶提供安全保護，對 硬件沒有任何保護 、操作系統(tǒng)容易受到損害、沒有身份認證。 ? D1系統(tǒng)最普通的形式是 本地操作系統(tǒng)（如MS— DOS， Windows95/98），或者是一個完全沒有保護的網(wǎng)絡(luò)。 信息安全與道德規(guī)范 716 自主保護級 （ C類） ? 該類安全等級能夠提供 審慎的保護 ， 并為用戶的行動和責(zé)任提供審計能力 。 ? C類安全等級可劃分為 C1和 C2兩類 。 ? C1系統(tǒng)對 硬件進行 某種程度的 保護 ， 將 用戶和數(shù)據(jù)分開 。 ? C2系統(tǒng)比 C1系統(tǒng) 加強了審計跟蹤 的要求 。 ? 能夠達到 C2級的常見操作系統(tǒng)有： UNIX，Linux， Windows NT， Windows2020和Windows XP。 信息安全與道德規(guī)范 717 強制保護級（ B類） ? B類安全等級可分為 B B2和 B3三類。 ? B類系統(tǒng)具有強制性保護功能。如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用戶存取對象。 ? B1稱為標志安全保護 ，即使是 文件的擁有者也不允許 改變其權(quán)限。 ? B2稱為結(jié)構(gòu)保護 ，必須滿足 B1系統(tǒng)的所有要求，另外還給設(shè)備分配單個或多個安全級別。 ? B3稱為安全域保護 ，必須符合 B2系統(tǒng)的所有安全需求，使用安裝硬件的方式來加強安全性，要求用戶通過一條可信任途徑連接到系統(tǒng)上。 信息安全與道德規(guī)范 718 驗證保護級（ A類） ? A系統(tǒng)的安全級別 最高 ，包括了一個嚴格的設(shè)計、控制和驗證過程。 ? 目前， A類安全等級只包含 A1一個安全類別。 ? A1包含了較低級別的所有特性。 ? A1要求系統(tǒng)的設(shè)計必須是從 數(shù)學(xué)角度 上 經(jīng)過驗證 的，而且必須進行秘密通道和可信任分布的分析。 信息安全與道德規(guī)范 719 第七章 信息安全與職業(yè)道德 ? 信息安全概述 ? 計算機系統(tǒng)安全 ? 信息安全的概念 ? 信息安全的基本屬性 ? 信息安全技術(shù) ? 計算機病毒 ? 計算機網(wǎng)絡(luò)安全 ? 計算機職業(yè)道德 信息安全與道德規(guī)范 720 完整性是指信息未經(jīng)授權(quán)不能進行改變的特性，即信息在存儲或傳輸過程中保持不被偶然或蓄意刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。 可用性是指可被授權(quán)實體訪問并按需求使用的特性。 可靠性是指可以控制授權(quán)范圍內(nèi)的信息流向及行為方式，對信息的傳播及內(nèi)容具有控制能力的特性。 保密性是指確保信息不泄露給未授權(quán)用戶、實體或進程，不被非法利用 不可抵賴性又稱為不可否認性或真實性。是指信息的行為人要對自己的信息行為負責(zé)，不能抵賴自己曾經(jīng)有過的行為，也不能否認曾經(jīng)接到對方的信息。通常將數(shù)字簽名和公證機制一同使用來保證不可否認性。 ? 可用性（ Availability） ? 可靠性（ Controllability） ? 完整性（ Integrity） ? 不可抵賴性（ NonRepudiation） ? 保密性（ Confidentiality） 信息安全與道德規(guī)范 721 信息安全的基本屬性與安全效果