第7章信息安全与道德规范.ppt

7-1信息安全与道德规范7-2第七章 信息安全与职业道德u 7.1 信息安全概述信息安全概述 u 7.2 计算机病毒计算机病毒 u 7.3 计算机网络安全计算机网络安全 u 7.4 计算机职业道德计算机职业道德 信息安全与道德规范7-37.1 信息安全概述一、计算机系统安全一、计算机系统安全 1.1.计算机系统计算机系统 也称为计算机信息系统（也称为计算机信息系统（Computer Information System），是由计算机及其），是由计算机及其相关和配套的设备、设施（含网络）构成的，相关和配套的设备、设施（含网络）构成的，并按照一定的应用目标和规则对信息进行采并按照一定的应用目标和规则对信息进行采集、加工、存储、检索等处理的人机系统。集、加工、存储、检索等处理的人机系统。信息安全与道德规范7-47.1 信息安全概述 2.2.计算机系统面临的诸多威胁计算机系统面临的诸多威胁 计计算算机机系系统统计算机硬件计算机硬件计算机软件计算机软件数据数据实体实体信息信息对实体的对实体的威胁和攻击威胁和攻击对信息的对信息的威胁和攻击威胁和攻击信息泄露信息泄露信息破坏信息破坏(1)(1)对对实体实体的威胁和攻击的威胁和攻击 硬件硬件 软件软件(2)(2)对对信息信息的威胁和攻击的威胁和攻击 信息泄漏信息泄漏 信息破坏信息破坏信息安全与道德规范7-57.1 信息安全概述信息泄漏：信息泄漏：指故意或偶然地侦收、截获、窃取、指故意或偶然地侦收、截获、窃取、分析和收到系统中的信息，特别是系统中分析和收到系统中的信息，特别是系统中的机密和敏感信息，造成泄密事件。的机密和敏感信息，造成泄密事件。信息安全与道德规范7-67.1 信息安全概述信息破坏信息破坏：指由于偶然事故或人为因素破坏信息指由于偶然事故或人为因素破坏信息的机密性、完整性、可用性及真实性。的机密性、完整性、可用性及真实性。n偶然事故包括：计算机软硬件事故、工作人偶然事故包括：计算机软硬件事故、工作人员的失误、自然灾害的破坏、环境的剧烈变员的失误、自然灾害的破坏、环境的剧烈变化等引起的各种信息破坏。化等引起的各种信息破坏。n人为因素的破坏指，利用系统本身的脆弱性，人为因素的破坏指，利用系统本身的脆弱性，滥用特权身份或不合法地使用身份，企图修滥用特权身份或不合法地使用身份，企图修改或非法复制系统中的数据，从而达到不可改或非法复制系统中的数据，从而达到不可告人的目的。告人的目的。信息安全与道德规范7-77.1 信息安全概述3.3.计算机安全概念计算机安全概念n 静态描述（静态描述（ISOISO）为数据处理系统建立和采取的技术和管理的安为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然全保护，保护计算机硬件、软件数据不因偶然和恶意的原因遭到破坏、更改和泄露。和恶意的原因遭到破坏、更改和泄露。n 动态描述动态描述计算机的硬件、软件和数据受到保护，不因偶计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。统连续正常运行。信息安全与道德规范7-87.1 信息安全概述n计算机安全涉及的方面计算机安全涉及的方面物理安全（物理安全（Physical SecurityPhysical Security）保护计算机设备、设施（含网络）以及其他媒体免遭地保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。污染等）破坏的措施、过程。运行安全（运行安全（Operation SecurityOperation Security）为了保证系统功能，提供一套安全措施（如：风险分析、为了保证系统功能，提供一套安全措施（如：风险分析、审计跟踪、备份与恢复、应急等）来保护信息处理过审计跟踪、备份与恢复、应急等）来保护信息处理过程的安全。程的安全。信息安全（信息安全（Information SecurityInformation Security）防止信息财产被故意地或偶然地非授权泄露、更改、破防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。坏或使信息被非法的系统辨识、控制。信息安全与道德规范7-97.1 信息安全概述n计算机系统安全的内容计算机系统安全的内容计计算算机机系系统统安安全全物理安全物理安全运行安全运行安全信息安全信息安全环境安全环境安全设备安全设备安全媒体安全媒体安全风险分析风险分析审计跟踪审计跟踪备份与恢复备份与恢复应急应急操作系统安全操作系统安全数据库安全数据库安全网络安全网络安全病毒防护病毒防护访问控制访问控制加密加密鉴别鉴别信息安全与道德规范7-107.1 信息安全概述二、信息安全的概念二、信息安全的概念 1.1.信息安全的定义信息安全的定义 信息安全是指防止信息财产被故意或偶信息安全是指防止信息财产被故意或偶然的非授权泄露、更改、破坏或信息被非法然的非授权泄露、更改、破坏或信息被非法的系统辨识、控制，即确保信息的完整性、的系统辨识、控制，即确保信息的完整性、保密性、可用性和可控性。保密性、可用性和可控性。2.2.信息安全产品和系统的安全评价信息安全产品和系统的安全评价 信息系统采取分级保护和评价信息系统采取分级保护和评价信息安全与道德规范7-117.1 信息安全概述nTCSEC TCSEC（可信计算机系统评价准则（可信计算机系统评价准则 ，Trusted Computer Standards Evaluation Trusted Computer Standards Evaluation Criteria Criteria）四个安全等级，七个级别：四个安全等级，七个级别：无保护级无保护级（D类）类）自主保护级自主保护级（C类）类）强制保护级（强制保护级（B类）类）验证保护级（验证保护级（A类）类）信息安全与道德规范7-127.1 信息安全概述nTCSECTCSEC标准体系标准体系可信计算机可信计算机系统评价准系统评价准则则(TCSEC)D类类C类类B类类A类类D1：最小保护：最小保护C1：自主安全保护：自主安全保护C2：受控的访问保护受控的访问保护B1：标志安全保护：标志安全保护B2：结构保护：结构保护B3：安全域：安全域A1：验证设计：验证设计等级等级级别级别安全性安全性高高低低信息安全与道德规范7-137.1 信息安全概述无保护级无保护级 （D D类）类）n D1D1的安全等级的安全等级最低最低，说明整个，说明整个系统是不可系统是不可信的信的。nD1D1系统只为文件和用户提供安全保护，对系统只为文件和用户提供安全保护，对硬件没有任何保护硬件没有任何保护、操作系统容易受到损、操作系统容易受到损害、没有身份认证。害、没有身份认证。nD1D1系统最普通的形式是系统最普通的形式是本地操作系统（如本地操作系统（如MSMSDOSDOS，Windows95/98Windows95/98），或者是一个完），或者是一个完全没有保护的网络。全没有保护的网络。信息安全与道德规范7-147.1 信息安全概述自主保护级自主保护级 （C C类）类）n该类安全等级能够提供该类安全等级能够提供审慎的保护审慎的保护，并为用户的，并为用户的行动和责任提供审计能力。行动和责任提供审计能力。nC C类安全等级可划分为类安全等级可划分为C1C1和和C2C2两类。两类。nC1C1系统对系统对硬件进行硬件进行某种程度的某种程度的保护保护，将，将用户和数用户和数据分开据分开。nC2C2系统比系统比C1C1系统系统加强了审计跟踪加强了审计跟踪的要求。的要求。n能够达到能够达到C2C2级的常见操作系统有：级的常见操作系统有：UNIXUNIX，LinuxLinux，Windows NTWindows NT，Windows2000Windows2000和和Windows XPWindows XP。信息安全与道德规范7-157.1 信息安全概述强制保护级（强制保护级（B B类）类）nB B类安全等级可分为类安全等级可分为B1B1、B2B2和和B3B3三类。三类。nB B类系统具有强制性保护功能。如果用户没有与类系统具有强制性保护功能。如果用户没有与安全等级相连，系统就不会让用户存取对象。安全等级相连，系统就不会让用户存取对象。nB1B1称为标志安全保护称为标志安全保护，即使是，即使是文件的拥有者也不文件的拥有者也不允许允许改变其权限。改变其权限。nB2B2称为结构保护称为结构保护，必须满足，必须满足B1B1系统的所有要求，系统的所有要求，另外还给设备分配单个或多个安全级别。另外还给设备分配单个或多个安全级别。nB3B3称为安全域保护称为安全域保护，必须符合，必须符合B2B2系统的所有安全系统的所有安全需求，使用安装硬件的方式来加强安全性，要求需求，使用安装硬件的方式来加强安全性，要求用户通过一条可信任途径连接到系统上。用户通过一条可信任途径连接到系统上。信息安全与道德规范7-167.1 信息安全概述 验证保护级（验证保护级（A A类）类）nA A系统的安全级别系统的安全级别最高最高，包括了一个严格的设计、，包括了一个严格的设计、控制和验证过程。控制和验证过程。n目前，目前，A A类安全等级只包含类安全等级只包含A1A1一个安全类别。一个安全类别。nA1A1包含了较低级别的所有特性。包含了较低级别的所有特性。nA1A1要求系统的设计必须是从要求系统的设计必须是从数学角度数学角度上上经过验证经过验证的，而且必须进行秘密通道和可信任分布的分析。的，而且必须进行秘密通道和可信任分布的分析。信息安全与道德规范7-177.1 信息安全概述三、信息安全的概念三、信息安全的概念 可用性（可用性（AvailabilityAvailability）可靠性（可靠性（ControllabilityControllability）完整性（完整性（IntegrityIntegrity）不可抵赖性（不可抵赖性（Non-RepudiationNon-Repudiation）保密性（保密性（ConfidentialityConfidentiality）信息安全与道德规范7-187.1 信息安全概述n信息安全的基本属性与安全效果信息安全的基本属性与安全效果可用性可用性可靠性可靠性完整性完整性保密性保密性不可抵赖性不可抵赖性信息安全的信息安全的基本属性基本属性能用能用好用好用无错误无错误未泄露未泄露真实真实特性特性效果效果信息安全与道德规范7-197.1 信息安全概述n其他的安全属性其他的安全属性 可控性：可控性：可控性就是对信息及信息系统实施可控性就是对信息及信息系统实施安全监控。安全监控。管理机构对危害国家信息的来往、使用加管理机构对危害国家信息的来往、使用加密手段从事非法的通信活动等进行监视审计，密手段从事非法的通信活动等进行监视审计，对信息的传播及内容具有控制能力。对信息的传播及内容具有控制能力。可审查性：可审查性：使用审计、监控、防抵赖等安全使用审计、监控、防抵赖等安全机制，使得使用者（包括合法用户、攻击者、机制，使得使用者（包括合法用户、攻击者、破坏者、抵赖者）的行为有证可查，并能够对破坏者、抵赖者）的行为有证可查，并能够对网络出现的安全问题提供调查依据和手段。网络出现的安全问题提供调查依据和手段。信息安全与道德规范7-207.1 信息安全概述四、信息安全的技术四、信息安全的技术n 硬件安全技术硬件安全技术 n 软件安全技术软件安全技术n 数据安全技术数据安全技术n 网络安全技术网络安全技术n 病毒防治技术病毒防治技术 n 防计算机犯罪防计算机犯罪 信息安全与道德规范7-217.2 计算机病毒 一、计算机病毒的定义一、计算机病毒的定义 1.1.计算机病毒的定义计算机病毒的定义 计算机病毒是指编制或者在计算机程序计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算中插入的破坏计算机功能或数