信息系统安全与社会责任(1)

8.1信息安全8.2信息安全的问题及对策8.3社会责任与职业道德规范第8章信息系统安全与社会责任第8章信息系统安全与社会责任主要内容:本章主要介绍信息安全的基本概念和影响信息安全的主要问题及解决的对策。主要从计算机病毒的产生、种类、特征与防治和网络黑客的常见攻击方法以及黑客的防范，信息安全的管理等方面进行了介绍。同时，介绍了数据加密、数字签名、防火墙等一些常见的信息安全技术。分析了网络道德存在的问题以及对社会的影响。第8章信息系统安全与社会责任学习目标:1．认识信息安全的基本概念、属性、管理和测评认证;了解计算机病毒及其防治、网络黑客与黑客的防范;认识信息安全中，管理因素的重要性2．了解网络道德存在的问题以及建立网络道德规范的必要性3．了解国家有关信息安全的法规第8章信息系统安全与社会责任8.1.1信息安全8.1.2信息安全的属性8.1.3信息安全的管理体系8.1.4信息安全测评认证体系8.1信息安全8.1信息安全8.1.1信息安全国际标准化组织(ISO)定义信息安全是指为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。8.1.1信息安全后续8.1.2节8.1.2信息安全的属性1.完整性（Integrity）信息在存储、传输和提取的过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。2.可用性（Avaliability）信息可被合法用户访问并能按要求顺序使用的特性，即在需要时就可取用所需的信息。8.1.2信息安全的属性本节待续3.机密性（Confidentiality）信息不泄漏给非授权的个人和实体，或供其使用的特性。4.可控性（Controlability）授权机构可随时控制信息的机密性。5.可靠性（Reliability）信息以用户认可的质量连续服务于用户的特性。8.1.2信息安全的属性后续8.1.3节8.1.3信息安全的管理体系解决信息安全问题应该同时从技术和管理两方面着手技术方面:实现信息安全主要是解决网络系统本身存在的安全漏洞管理方面:实现信息安全主要是健全组织内部的信息安全管理制度，以防止因为内部人员的误操作或因思想麻痹，没有足够的信息安全知识而引起的严重后果8.1.3信息安全的管理体系后续8.1.4节8.1.4信息安全测评认证体系一个国家一般都有自己的国家信息安全测评认证体系，并且基本上都成立了专门的信息安全测评认证机构，认证机构一般由国家安全部门或国家标准化部门控制“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品或系统安全质量的最高认可经国家信息安全测评认证中心认证的产品或系统只是达到了国家规定的管理安全风险的能力，并不表示该产品完全消除了安全风险，中心的认证程序能够确保产品安全的风险降低到了国家标准规定和和公众可以接受的水平8.1.4信息安全测评认证体系后续8.2节8.2.1计算机病毒与防治8.2.2网络黑客与网络攻防8.2.3常见信息安全技术介绍8.2.4信息安全管理8.2信息安全的问题及对策第8章信息系统安全与社会责任8.2.1计算机病毒与防治1.计算机病毒《中华人民共和国计算机信息系统安全保护条例》定义计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码8.2.1计算机病毒与防治本节待续2.计算机病毒的产生1983年11月，世界上第一个计算机病毒在美国实验室诞生1986年，世界上第一个传染个人电脑兼容机的“巴基斯坦”病毒产生1988年，计算机病毒开始传入我国8.2.1计算机病毒与防治本节待续3.计算机病毒的种类按照病毒文件的传染方式分类：(1)引导区型病毒(2)文件型病毒(3)网络型病毒(4)混合型病毒8.2.1计算机病毒与防治本节待续按照连接方式分类(1)源码型病毒(2)入侵型病毒(3)操作型病毒(4)外壳型病毒按照破坏性分类(1)良性病毒(2)恶性病毒(3)极恶性病毒(4)灾难性病毒8.2.1计算机病毒与防治本节待续4.计算机病毒的特征隐蔽性潜伏性传染性激发性破坏性5.病毒的清除与预防以预防为主兼杀为辅正确而安全地使用计算机8.2.1计算机病毒与防治本节待续防范病毒的具体措施（1）不用盗版软件和来历不明的磁盘。将外来盘拷入计算机之前，一定要用多种杀毒软件交叉检查清杀。（2）经常对系统和重要的数据进行备份。（3）对重要内容的软盘要及时贴上写保护条。（4）经常用杀毒软件对系统(硬盘和软盘)进行病毒检测和清杀。（5）保存一份硬盘的主引导记录档案。（6）一旦发现被病毒感染，用户应及时采取措施，保护好数据，利用杀毒软件对系统进行查毒消毒处理。及时根除毒源，以免扩散造成更大的损失。8.2.1计算机病毒与防治后续8.2.2节1.网络黑客黑客(Hacker):电脑技术上的行家或那些热哀于解决问题和克服限制的人网络世界中常见的黑客业余电脑爱好者职业的入侵者电脑高手8.2.2网络黑客与网络攻防8.2.2网络黑客与网络攻防本节待续2.黑客入侵的目的好奇心与成就感当作入侵其他重要机器的跳板盗用系统资源窃取机密资料恶意攻击8.2.2网络黑客与网络攻防本节待续3.常见的黑客攻击方法口令入侵攻击猜测法和穷尽法字典法网络监听工具攻击炸弹攻击特洛伊木马IP或端口攻击8.2.2网络黑客与网络攻防本节待续4.如何防范黑客使用防火墙经常使用安全监测与扫描工具使用有效的控制手段抓住入侵者经常备份系统，以便在被攻击后能及时修复系统，将损失减少到最低程度。加强安全防范意识，有效地防止黑客的攻击。8.2.2网络黑客与网络攻防后续8.2.3节1.数据加密数据加密是应用信息安全的核心技术密码技术，将资料加密，以防止信息泄露的技术目前的加密体制可分为两类单密钥加密体制公用密钥体制8.2.3常见信息安全技术介绍8.2.3常见信息安全技术介绍本节待续2.数字签名数字签名是以电子形式存储的一种消息，可以在通信网络中传输，用于证明当事者身份的一种信息数字签名与手写签名的主要差别签名的文件不同验证的方法不同复制方法不同8.2.3常见信息安全技术介绍本节待续设计一个数字签名算法需要满足的条件签名者事后不能否认自己的签名。任何其他人都不能伪造签名，接收者能验证签。当双方签名的真伪发生争执时，法官或第三方能够解决双方之间的争执。8.2.3常见信息安全技术介绍本节待续3.防火墙技术防火墙(Firewall)是一种由软件、硬件构成的系统，用来在两个网络之间实施存取控制策略，防止内部的网络系统被人恶意破坏的一种网络安全产品。防火墙可以作为网络门户的保护防火墙还可提供许多网络连接时的应用8.2.3常见信息安全技术介绍本节待续4.其他常见技术访问控制入侵检测身份验证存取控制数据完整性安全协议8.2.3常见信息安全技术介绍后续8.2.4节1.信息安全管理原则规范化原则:各阶段都应遵循安全规范要求，根据组织安全需求，制定安全策略系统化原则:根据安全工程的要求，对系统各阶段，包括以后的升级、换代和功能扩展进行全面统一地考虑综合保障原则:人员、资金、技术等多方面综合保障以人为本原则:提高管理人员的技术素养和道德水平。8.2.4信息安全管理8.2.4信息安全管理本节待续首长负责原则:只有首长负责才能把安全管理落到实处预防原则:安全管理以预防为主，并要有一定的超前意识风险评估原则:根据实践对系统定期进行风险评估以改进系统的安全状况动态原则:根据环境的改变和技术的进步，提高系统的保护能力成本效益原则:根据资源价值和风险评估结果，采用适度的保护措施。均衡防护原则:整个系统的安全强度取决于最弱的一环8.2.4信息安全管理本节待续2.信息安全管理步骤第一步策划，根据法律、法规的要求和组织内部的安全需求制定信息安全方针、策略，进行风险评估，确定风险控制目标与控制方式第二步是按照既定方案实施组织所选择的风险控制手段第三步是在实践中检查上述制定的安全目标是否合适、控制手段是否能够保证安全目标的实现，系统还有哪些漏洞最后，采取相应的措施对系统进行改进8.2.4信息安全管理后续8.3节8.3.1网络道德的问题与现状8.3.2网络道德建设8.3.3软件知识产权8.3.4我国信息安全相关政策法规8.3社会责任与职业道德规范8.3社会责任与职业道德规范8.3.1网络道德的问题与现状滥用网络，降低了工作效率网络充斥了不健康的信息，人们会受到不良思潮的影响网络犯罪网络病毒窃取、使用他人的信息成果制造信息垃圾8.3.1网络道德的问题与现状后续8.3.2节8.3.2网络道德建设建立自主型道德确定网络道德原则明确网络道德规范价值观和责任感的教育8.3.2网络道德建设后续8.3.3节8.3.3软件知识产权计算机软件的研制和开发需要耗费大量的人力、物力和财力，是脑力劳动的创造性产物，是研制者智慧的结晶。为了保护计算机软件研制者的合法权益，增强知识产权和软件保护意识，我国政府于1991年6月颁布了《计算机软件保护条例》,并于同年的10月1日起开始实施。8.3.3软件知识产权后续8.3.4节8.3.4我国信息安全相关政策法规《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》《中国互联网络域名注册暂行管理办法》《中国互联网络域名注册实施细则》《中华人民共和国计算机信息系统安全保护条例》《关于加强计算机信息系统国际联网备案管理的通告》《中华人民共和国电信条例》中华人民共和国国务院令（第291号）《互联网信息服务管理办法》中华人民共和国国务院令（第292号）《从事开放经营电信业务审批管理暂行办法》《电子出版物管理规定》《关于对与国际联网的计算机信息系统进行备案工作的通知》8.3.4我国信息安全相关政策法规本节待续《计算机软件保护条例》《计算机信息网络国际联网出入口信道管理办法》《计算机信息网络国际联网的安全保护管理办法》《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机信息系统国际联网保密管理规定》《科学技术保密规定》《商用密码管理条例》《中国公用计算机互联网国际联网管理办法》《中国公众多媒体通信管理办法》《中华人民共和国保守国家秘密法》《中华人民共和国标准法》《中华人民共和国反不正当竞争法》《中华人民共和国国家安全法》《中华人民共和国海关法》《中华人民共和国商标法》《中华人民共和国人民警察法》8.3.4我国信息安全相关政策法规本节待续《中华人民共和国刑法》《中华人民共和国治安管理处罚条例法》《中华人民共和国专利法》8.3.4我国信息安全相关政策法规后续思考题思考题1.如何理解“解决信息安全问题应该同时从技术和管理两方面着手”这句话？2.请描述你所知道的信息安全技术。3.什么是计算机病毒？他有哪些特征？4.什么是网络黑客？黑客入侵的目的主要有哪些？5.黑客有哪些常见的攻击手段？如何防范黑客？第8章信息系统安全与社会责任第8章结束