第七章信息安全和職業(yè)道德7.1信息安全的基本概念7.2計(jì)算機(jī)病毒7.3計(jì)算機(jī)犯罪7.4計(jì)算機(jī)職業(yè)道德7.5軟件知識(shí)產(chǎn)權(quán)7.6信息技術(shù)的發(fā)展趨勢(shì)7.1信息安全的基本概念計(jì)算機(jī)信息安全的范疇

計(jì)算機(jī)信息系統(tǒng)安全主要包括：1．實(shí)體安全

實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭破壞的措施、過(guò)程。實(shí)體安全的范疇是指環(huán)境安全、設(shè)備安全、媒體安全。

2．運(yùn)行安全

運(yùn)行安全是指信息處理過(guò)程中的安全。運(yùn)行安全范圍主要包括系統(tǒng)風(fēng)險(xiǎn)管理、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急四個(gè)方面的內(nèi)容。

3．信息安全

信息安全是指防止信息財(cái)產(chǎn)被故意地和偶然地非法授權(quán)泄漏、更改、破壞、或使信息被非法系統(tǒng)識(shí)別、控制。信息安全范圍主要包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問(wèn)控制、加密、鑒別七個(gè)方面。

4．人員安全

人員安全主要是指計(jì)算機(jī)工作人員的安全意識(shí)、法律意識(shí)、安全技能等。7.1信息安全的基本概念計(jì)算機(jī)信息面臨的威脅1．計(jì)算機(jī)信息的脆弱性（1）信息處理環(huán)節(jié)中存在的不安全因素?cái)?shù)據(jù)輸入：輸入數(shù)據(jù)容易被篡改或輸入假數(shù)據(jù)。數(shù)據(jù)處理：數(shù)據(jù)處理部分的硬件容易被破壞或盜竊，并且容易受電磁干擾或自身電磁輻射而造成信息泄漏；數(shù)據(jù)傳輸：通信線路上的信息容易被截獲，線路容易被破壞或盜竊；軟件：操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和程序容易被修改或破壞；輸出部分：輸出信息的設(shè)備容易造成信息泄漏或被竊取；存取控制：系統(tǒng)的安全存取控制功能還比較薄弱。7.1信息安全的基本概念（2）計(jì)算機(jī)信息自身的脆弱性計(jì)算機(jī)操作系統(tǒng)的脆弱性：操作系統(tǒng)不安全性是信息不安全的重要原因。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的脆弱性：網(wǎng)絡(luò)協(xié)議建立時(shí)，基本沒(méi)有考慮安全問(wèn)題。通信網(wǎng)絡(luò)也存在弱點(diǎn)，通過(guò)未受保護(hù)的線路可以訪問(wèn)系統(tǒng)內(nèi)部，通信線路可以被搭線竊聽(tīng)和破壞。數(shù)據(jù)庫(kù)管理系統(tǒng)的脆弱性：數(shù)據(jù)庫(kù)管理系統(tǒng)安全必須與操作系統(tǒng)的安全級(jí)別相同。7.1信息安全的基本概念（3）其他不安全因素①存儲(chǔ)密度高：在一張磁盤(pán)或一條磁帶中可以存儲(chǔ)大量信息，很容易放在口袋中帶出去，容易受到意外損壞或丟失，造成大量信息丟失。②數(shù)據(jù)可訪問(wèn)性：數(shù)據(jù)信息可以很容易地被拷貝下來(lái)而不留任何痕跡。③信息聚生性：信息系統(tǒng)的特點(diǎn)之一，就是能將大量信息收集在一起進(jìn)行自動(dòng)、高效地處理，產(chǎn)生很有價(jià)值的結(jié)果。④保密困難性：計(jì)算機(jī)系統(tǒng)內(nèi)的數(shù)據(jù)都是可用的。⑤介質(zhì)的剩磁效應(yīng)：存儲(chǔ)介質(zhì)中的信息有時(shí)是擦除不干凈或不能完全擦除掉，會(huì)留下可讀信息的痕跡。⑥電磁泄漏性：計(jì)算機(jī)設(shè)備工作時(shí)能夠輻射出電磁波，可借助儀器設(shè)備在一定的范圍內(nèi)收到它，尤其是利用高靈敏度儀器可以清晰地看到計(jì)算機(jī)正在處理的機(jī)密信息。⑦信息介質(zhì)的安全隱患：磁盤(pán)信息恢復(fù)技術(shù)，能恢復(fù)被格式化多遍的硬盤(pán)信息。7.1信息安全的基本概念計(jì)算機(jī)信息安全技術(shù)

1．計(jì)算機(jī)信息的安全體系

信息安全體系就是要將有非法侵入信息傾向的人與信息隔離開(kāi)。計(jì)算機(jī)信息安全體系保護(hù)分七個(gè)層次：信息；安全軟件；安全硬件；安全物理環(huán)境；法律、規(guī)范和紀(jì)律；職業(yè)道德；人。7.1信息安全的基本概念2．計(jì)算機(jī)信息的實(shí)體安全

（1）實(shí)體安全的主要內(nèi)容

實(shí)體：計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）。

實(shí)體安全：是指為了保證計(jì)算機(jī)信息系統(tǒng)安全可靠運(yùn)行，確保計(jì)算機(jī)信息系統(tǒng)在對(duì)信息進(jìn)行采集、處理、傳輸、存儲(chǔ)過(guò)程中，不至于受到人為或自然因素的危害，導(dǎo)致信息丟失、泄漏或破壞，而對(duì)計(jì)算機(jī)設(shè)備、設(shè)施、環(huán)境人員等采取適當(dāng)?shù)陌踩胧?/p>

實(shí)體安全主要分為環(huán)境安全、設(shè)備安全和媒體安全三個(gè)方面。

①環(huán)境安全：主要包括區(qū)域保護(hù)和災(zāi)難保護(hù)。

②設(shè)備完全：主要包括設(shè)備的防毀、防盜、防止電磁信息輻射泄漏和干擾及電源保護(hù)等方面。

③媒體安全：主要包括媒體數(shù)據(jù)的安全及媒體本身的安全。

（2）實(shí)體安全的基本要求

實(shí)體安全的基本要求是：中心周圍100m內(nèi)沒(méi)有危險(xiǎn)建筑；設(shè)有監(jiān)控系統(tǒng)；有防火、防水設(shè)施；機(jī)房環(huán)境（溫度、濕度、潔凈度）達(dá)到要求；防雷措施；配備有相應(yīng)的備用電源；有防靜電措施；采用專線供電；采取防盜措施等。7.1信息安全的基本概念（3）應(yīng)急技術(shù)

應(yīng)急技術(shù)是在風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上制定的應(yīng)急計(jì)劃和應(yīng)急措施。

應(yīng)急計(jì)劃的制定主要考慮3個(gè)方面的因素：緊急反應(yīng)、備份操作和恢復(fù)措施。

對(duì)應(yīng)的應(yīng)急措施：緊急行動(dòng)方案；信息資源備份，設(shè)備備份；快速恢復(fù)技術(shù)。

（4）容錯(cuò)存儲(chǔ)技術(shù)

容錯(cuò)存儲(chǔ)技術(shù)主要用于信息備份與保護(hù)的應(yīng)急措施中，它是非常有效的信息安全保護(hù)技術(shù)。這些技術(shù)主要有：

自制冗余度：利用雙硬盤(pán)自動(dòng)備份每日的數(shù)據(jù)。

磁盤(pán)鏡像：稱為熱備份技術(shù)，在信息處理時(shí)，通過(guò)智能控制器和軟件同時(shí)對(duì)兩個(gè)物理驅(qū)動(dòng)器進(jìn)行信息的寫(xiě)入。

磁盤(pán)雙工：磁盤(pán)雙工通過(guò)提供兩個(gè)控制器供信息處理和成對(duì)的驅(qū)動(dòng)器記錄信息。7.1信息安全的基本概念4．信息安全技術(shù)

（1）加強(qiáng)操作系統(tǒng)的安全保護(hù)

用戶的認(rèn)證：通過(guò)口令和核心硬件系統(tǒng)賦予的特權(quán)對(duì)身份進(jìn)行驗(yàn)證。

存儲(chǔ)器保護(hù)：拒絕非法用戶非法訪問(wèn)存儲(chǔ)器區(qū)域，加強(qiáng)I/O設(shè)備訪問(wèn)控制，限制過(guò)多的用戶通過(guò)I/O設(shè)備進(jìn)入信息和文件系統(tǒng)。

操作系統(tǒng)開(kāi)發(fā)時(shí)留下的隱蔽通道應(yīng)及時(shí)封閉，對(duì)核心信息采用隔離措施。

（2）數(shù)據(jù)庫(kù)的安全保護(hù)

加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的功能：構(gòu)架安全的數(shù)據(jù)庫(kù)系統(tǒng)結(jié)構(gòu)，確保邏輯結(jié)構(gòu)機(jī)制的安全可靠；強(qiáng)化密碼機(jī)制；嚴(yán)格鑒別身份和訪問(wèn)控制，加強(qiáng)數(shù)據(jù)庫(kù)使用管理和運(yùn)行維護(hù)等。

（3）訪問(wèn)控制

訪問(wèn)控制是限制合法進(jìn)入系統(tǒng)用戶的訪問(wèn)權(quán)限，主要包括：授權(quán)、確定存取權(quán)限和實(shí)施權(quán)限。主要技術(shù)有：目錄表訪問(wèn)控制、訪問(wèn)控制表、訪問(wèn)控制矩陣等。

（4）密碼技術(shù)

主要技術(shù)是通過(guò)某種變換算法將信息（明文）轉(zhuǎn)化成別人看不懂的符號(hào)（密文），在需要時(shí)又可以通過(guò)反變換將密文轉(zhuǎn)換成明文，前者稱為加密，后者稱為解密。密鑰是指控制加密算法和解密算法中實(shí)現(xiàn)的關(guān)鍵信息。7.1信息安全的基本概念1．計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)采用五層網(wǎng)絡(luò)系統(tǒng)安全體系結(jié)構(gòu)：網(wǎng)絡(luò)層安全性、系統(tǒng)安全性、用戶安全性、應(yīng)用程序安全性、數(shù)據(jù)安全性。

網(wǎng)絡(luò)層安全性：控制具有危險(xiǎn)行為能力的的用戶入網(wǎng)。

系統(tǒng)安全性：防止病毒、黑客對(duì)網(wǎng)絡(luò)的破壞和侵入。

用戶安全性：強(qiáng)有力的身份認(rèn)證，確保用戶的密碼不被他人所破譯。

應(yīng)用程序安全性：保證只有合法的用戶才能夠?qū)μ囟ǖ臄?shù)據(jù)進(jìn)行操作。

數(shù)據(jù)安全性：機(jī)密數(shù)據(jù)是否處于機(jī)密狀態(tài)及安全的空間。7.1信息安全的基本概念2．網(wǎng)絡(luò)安全技術(shù)（1）網(wǎng)絡(luò)加密技術(shù)①保密密鑰法保密密鑰法也叫對(duì)稱密鑰法，這類加密方法在加密和解密時(shí)使用同一把密鑰，這個(gè)密鑰只有發(fā)信人和收信人知道。②公開(kāi)密鑰法公開(kāi)密鑰法也稱為不對(duì)稱加密。這類加密方法需要用到兩個(gè)密鑰：一個(gè)私人密鑰和一個(gè)公開(kāi)密鑰。在準(zhǔn)備傳輸數(shù)據(jù)時(shí)，發(fā)信人先用收信人的公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密；再把加密后的數(shù)據(jù)發(fā)送給收信人；收信人在收到信件后要用自己的私人密鑰對(duì)它進(jìn)行解密。7.1信息安全的基本概念③數(shù)字簽名

“數(shù)字簽名”是通過(guò)某種加密算法在一條地址消息的尾部添加一個(gè)字符串，而收件人可以根據(jù)這個(gè)字符串驗(yàn)明發(fā)件人身份的一種技術(shù)。數(shù)字簽名的作用與手寫(xiě)簽名相同，能惟一的確定簽名人的身份，同時(shí)還能在簽名后對(duì)數(shù)據(jù)內(nèi)容是否又發(fā)生了變化進(jìn)行驗(yàn)證。

數(shù)字簽名的基本工作過(guò)程分兩部分：發(fā)送方工作；接收方工作。7.1信息安全的基本概念需要發(fā)送方完成的工作：

Ⅰ．通過(guò)特殊的軟件得到該發(fā)送信息的一個(gè)信息標(biāo)記。

Ⅱ．用自己從某個(gè)頒證機(jī)構(gòu)申請(qǐng)到的私人密鑰加密這個(gè)標(biāo)記。

需要接收方完成的工作：

Ⅰ．求出接收到的內(nèi)容的信息標(biāo)記。

Ⅱ．用自己的公開(kāi)密鑰解密該內(nèi)容的信息標(biāo)記。

如果兩個(gè)標(biāo)記相同，就可以認(rèn)定自己收到的信息準(zhǔn)確無(wú)誤。7.1信息安全的基本概念（4）虛擬專用網(wǎng)（VPN）

虛擬專網(wǎng)（VPN）是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)，尤其是Internet聯(lián)接而成的邏輯上的虛擬子網(wǎng)。VPN技術(shù)采用了鑒別、訪問(wèn)控制、保密性、完整性等措施，以防信息被瀉露、篡改和復(fù)制。

有兩種VPN模式：直接模式和隧道模式。直接模式VPN使用IP和編址來(lái)建立對(duì)VPN上傳輸?shù)臄?shù)據(jù)的直接控制。對(duì)數(shù)據(jù)加密，采用基于用戶身份的鑒別，而不是基于IP地址。隧道模式使用IP幀作為隧道發(fā)送分組。大多數(shù)VPN都運(yùn)行在IP骨干網(wǎng)上，數(shù)據(jù)加密通常有3種方法：具有加密功能的防火墻、帶有加密功能的路由器和單獨(dú)的加密設(shè)備。

（5）其他安全技術(shù)：身份驗(yàn)證技術(shù)、數(shù)字證書(shū)等。7.2計(jì)算機(jī)病毒計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒的分類：文件型病毒（非常駐型病毒和常駐型病毒）、引導(dǎo)型病毒、網(wǎng)絡(luò)型病毒。病毒的傳播途徑：主要通過(guò)軟盤(pán)、光盤(pán)、網(wǎng)絡(luò)來(lái)擴(kuò)散。計(jì)算機(jī)病毒的特點(diǎn)：傳染性、隱蔽性、潛伏性、破壞性。計(jì)算機(jī)病毒的危害：可分為破壞性病毒和干擾性病毒兩類。計(jì)算機(jī)病毒防護(hù)：思想防護(hù)、管理防護(hù)、使用防護(hù)。常用殺毒軟件：目前流行的查殺病毒軟件：瑞星查殺毒軟件、KV3000、金山毒霸、Norton、Scan、KILL等7.3計(jì)算機(jī)犯罪2．常見(jiàn)的計(jì)算機(jī)犯罪類型：

（1）非法入侵計(jì)算機(jī)信息系統(tǒng)。利用竊取口令等手段，滲入計(jì)算機(jī)系統(tǒng)，用以干擾、篡改、竊取或破壞。

（2）利用計(jì)算機(jī)實(shí)施貪污、盜竊、詐騙和金融犯罪等活動(dòng)。

（3）利用計(jì)算機(jī)傳播反動(dòng)和色情等有害信息。

（4）知識(shí)產(chǎn)權(quán)的侵權(quán)：主要是針對(duì)電子出版物和計(jì)算機(jī)軟件。

（5）網(wǎng)上經(jīng)濟(jì)詐騙。

（6）網(wǎng)上誹謗，個(gè)人隱私和權(quán)益遭受侵權(quán)。

（7）利用網(wǎng)絡(luò)進(jìn)行暴力犯罪。

（8）破壞計(jì)算機(jī)系統(tǒng)，如病毒危害等。7.3計(jì)算機(jī)犯罪3．計(jì)算機(jī)犯罪的特點(diǎn)：行為隱蔽、技術(shù)性強(qiáng)、遠(yuǎn)距離作案、作案迅速，發(fā)展趨勢(shì)非常迅速，危害巨大，發(fā)生率的上升勢(shì)頭前所未有，且具有社會(huì)化、國(guó)際化的特點(diǎn)。

4．計(jì)算機(jī)犯罪的常用技術(shù)手段：

（1）數(shù)據(jù)欺騙：非法篡改數(shù)據(jù)或輸入數(shù)據(jù)。

（2）特洛伊木馬術(shù)：非法裝入秘密指令或程序，由計(jì)算機(jī)實(shí)施犯罪活動(dòng)。

（3）香腸術(shù)：從金融信息系統(tǒng)中一點(diǎn)一點(diǎn)地竊取存款，如竊取各戶頭上的利息尾數(shù)，積少成多。7.3計(jì)算機(jī)犯罪（4）邏輯炸彈：輸入犯罪指令，以便在指定的時(shí)間或條件下抹除數(shù)據(jù)文件或破壞系統(tǒng)的功能。（5）陷阱術(shù)：利用計(jì)算機(jī)硬、軟件的某些斷點(diǎn)或接口插入犯罪指令或裝置。（6）寄生術(shù)：用某種方式緊跟享有特權(quán)的用戶打入系統(tǒng)或在系統(tǒng)中裝入“寄生蟲(chóng)”。（7）超級(jí)沖殺：用共享程序突破系統(tǒng)防護(hù)，進(jìn)行非法存取或破壞數(shù)據(jù)及系統(tǒng)功能。（8）異步攻擊：將犯罪指令摻雜在正常作業(yè)程序中，以獲取數(shù)據(jù)文件。（9）廢品利用：從廢棄資料、磁盤(pán)、磁帶中提取有用信息或進(jìn)一步分析系統(tǒng)密碼等。（10）偽造證件：偽造信用卡、磁卡、存折等。7.4計(jì)算機(jī)職業(yè)道德1．道德：是社會(huì)意識(shí)形態(tài)長(zhǎng)期進(jìn)化而形成的一種制約，是一定社會(huì)關(guān)系下，調(diào)整人與人之間以及人和社會(huì)之間的關(guān)系的行為規(guī)范總和。

2．計(jì)算機(jī)職業(yè)道德：是指在計(jì)算機(jī)行業(yè)及其應(yīng)用領(lǐng)域所形成的社會(huì)意識(shí)形態(tài)和倫理關(guān)系下，調(diào)整人與人之間、人與知識(shí)產(chǎn)權(quán)之間、人與計(jì)算機(jī)之間、以及人和社會(huì)之間的關(guān)系的行為規(guī)范總和。7.4計(jì)算機(jī)職業(yè)道德3．計(jì)算機(jī)職業(yè)道德規(guī)范：美國(guó)計(jì)算機(jī)倫理協(xié)會(huì)總結(jié)、歸納了以下計(jì)算機(jī)倫理十戒。（1）不應(yīng)該用計(jì)算機(jī)去傷害他人。（2）不應(yīng)該影響他人的計(jì)算機(jī)工作。（3）不應(yīng)該到他人的計(jì)算機(jī)里去窺探。（4）不應(yīng)該用計(jì)算機(jī)去偷竊。（5）不應(yīng)該用計(jì)算機(jī)去做假證明。（6）不應(yīng)該復(fù)制或利用沒(méi)有購(gòu)買的軟件。（7）不應(yīng)該未經(jīng)他人許可的情況下使用他人的計(jì)算機(jī)資源。（8）不應(yīng)該剽竊他人的精神作品。（9）應(yīng)該注意你正在編寫(xiě)的程序和你正在設(shè)計(jì)系統(tǒng)的社會(huì)效應(yīng)。（10）應(yīng)該始終注意，你在使用計(jì)算機(jī)是在進(jìn)一步加強(qiáng)你對(duì)同胞的理解和尊敬。7.5軟件知識(shí)產(chǎn)權(quán)軟件知識(shí)產(chǎn)權(quán)

我國(guó)保護(hù)計(jì)算機(jī)軟件知識(shí)產(chǎn)權(quán)的法律體系已經(jīng)基本建成。1990年的《中華人民共和國(guó)著作權(quán)法》，是我國(guó)首次把計(jì)算機(jī)軟件作為一種知識(shí)產(chǎn)權(quán)（著作權(quán)）列入法律保護(hù)的范疇。1991年的《計(jì)算機(jī)軟件保護(hù)條例》，對(duì)保護(hù)計(jì)算機(jī)軟件著作權(quán)人的權(quán)益，鼓勵(lì)計(jì)算機(jī)軟件的開(kāi)發(fā)和流通，促進(jìn)計(jì)算機(jī)應(yīng)用事業(yè)的發(fā)展起到重要的作用。1994年的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，首次針對(duì)計(jì)算機(jī)信息系統(tǒng)安全進(jìn)行保護(hù)的法規(guī)。

2002年的《計(jì)算機(jī)軟件著作權(quán)登記辦法》，軟件著作權(quán)的申請(qǐng)、登記、公告等。7.6信息技術(shù)的發(fā)展趨勢(shì)2．電子商務(wù)電子商務(wù)（ElectronicCommerce,EC）是一種運(yùn)用信息技術(shù)的現(xiàn)代商業(yè)經(jīng)營(yíng)方法，可滿足企業(yè)、商貿(mào)、消費(fèi)者的需求，以達(dá)到降低成本、改進(jìn)產(chǎn)品和服務(wù)質(zhì)量、提高服務(wù)傳遞速度的目的。3