《信息安全案例分析》PPT课件.ppt

案例一 机时问题。 张三是一个大型软件公司的程序员，其工作是编写 和测试一些工具软件。他所在的公司采用两班轮 换制：白天进行程序开发和联机操作，晚上完成 产品的批处理工作。张三通过访问工作负荷数据 了解到，晚上的批处理工作是白天编程工作的补 充。也就是说，在晚班时增加程序设计工作，不 会太多地影响他人使用计算机的操作性能。 张三利用晚班时间，花费几个小时编程，开发了一 个管理自己股票清单的程序，之后又回到他的公 司产品批处理工作。他的编程对系统消耗很小， 耗材很少，几乎察觉不到。 张三的做法违反法律吗？行为道德吗？ 案例一问题讨论。 1、资产拥有权问题。计算机资产与时间人员资产。 只为公司的工作需要提供资源。 2、一人行为对他人的影响问题。尽管程序对系统消 耗很小，程序也简单，一般情况也可能无影响。 但不能保证程序中没有漏洞。如有就会对系统造 成严重影响或故障。 3、普遍性问题。如果张三的行为可以接受，许多人 都这样作，就可能影响系统效率。 4、检测的可能性与处罚问题。不容易发觉并不是不 能检测到，如果公司确定他的行为不当，就会受 到处罚。 案例二 个人隐私权。 李国华是一个计算机记录员，在一个数据收集记录 部门工作，可以访问有关财产税记录的相关文件 。为了作一项科学研究，王爱民被授权访问记录 的数字部分，但无权访问相关人的姓名部分。 王爱民找到了想要使用的一些信息，但是需要对应 的姓名和地址信息。于是他向李国华索要相关人 的姓名、地址，以便与这些研究对象进行联系， 从而获得更多信息，开展进一步研究。 李国华是否应该将姓名、地址信息告诉王爱民呢？ 案例二 隐私权问题讨论。 1、工作权限与责任问题。记录员没有权力决定数据 信息是否可以给别人使用。应该请示上级。 2、隐私数据使用问题。科学研究只能访问统计数据 ，而不能随便访问涉及个人隐私的信息数据。 3、使用隐私数据动机问题。声称作研究用，但也可 能有其他目的。 4、工作权限的确定问题。只允许访问统计数据，不 允许访问个体姓名、地址，说明科学研究的范围 。只能在此范围内完成。 类似的还有医学研究，要访问医疗疾病数据。也有 隐私问题。 案例三 所有权问题。 郭某是一个程序员，在一家大公司下的计算机子公 司X工作。这家公司有很多政府合同。陆某是郭某 的上级，分配郭某去编写不同种类的仿真程序。 为了提高工作效率，郭某编写了一些工具程序，如 交叉引用等工具。但这些都不是分配给他的工作 ，而是郭某晚上在自己家里使用自己的计算机编 写完成的。他在工作中使用，没有将这些告诉任 何人。 郭某决定出售自己的这些工具程序。当公司经理得 知后，命陆某转告郭某，无权出售这些工具，因 为受聘时签订的合同，注明了他的所有发明都属 于公司。 案例三 所有权问题（续）。 陆某不同意这个观点，因为他知道郭某是自行完成 这些工具的。所有他很不情愿地告诉郭某不要在 市场上出售这些工具，并叫郭某复制了一份给他 。 之后，陆某辞去了该公司的工作，并在另一计算机 公司Y当上了管理人员。该公司是X公司的竞争对 手。他把郭某的工具复制版发给和他一起工作的 员工们。使他们大大提高了工作效率。因而陆某 受到经理嘉奖，获得一大笔奖金。 郭某听说后就和陆某联系交涉，而陆某争辩说，因 为这些工具属于X公司，且它的运转靠的是政府资 金，所以这些工具是公共产品，并不属于任何人 。 案例三 所有权问题讨论。 1、权利问题。对于这些工具软件。郭某、陆某、X 公司、Y公司各自的权利是什么？ 2、权利的根据。谁给了他们的这些权利？这个案例 牵涉到哪些有关公平竞争、商业、财产权的原则 。 3、在公司开发产品的考虑。郭某能作什么事？ 4、对员工自己开发的产品应该如何处理。X公司如 何作？陆某如何作？Y公司如何作？ 案例四 受限资源合法使用权。 苏某通过合法渠道购买了一个软件包。这是一个私 人软件包，受版权保护，并有一个许可协定，声 明此软件只供购买者本人使用。苏某向李四展示 了这个软件。李四很满意，但是李四想进一步试 用。至此还没有出现问题。 独立考虑下面每一步有什么问题。 1、苏某将软件拷贝了一份给李四使用。 2、苏某将软件拷贝了一份给李四使用，并且李四使 用了一段时间。 3、苏某将软件拷贝了一份给李四使用，并且李四使 用了一段时间后，自己也购买了一份。 案例四 受限资源合法使用权（续）。 4、苏某将软件拷贝了一份给李四使用，但条件是李 四在第二天早上必须归还，且不能自行拷贝。李 四按要求做了。 5、在同样条件下，苏某将软件拷贝了一份给李四， 但李四在归还之前又自行拷贝了一份。 6、在同样条件下，苏某将软件拷贝了一份给李四， 李四在归还之前又自行拷贝了一份，然后自己又 购买了一份。 7、在同样条件下，苏某将软件拷贝了一份给李四， 但李四第二天没有归还。 对每种情况独立考虑，谁受到影响，涉及哪些问题 ，优先原则。 案例五 受命编写有欺诈行为的程序 赖某在一家公司作程序员。他的上级戴某让他编写 一个程序，使人们可以直接在公司的账目文件中 修改表项。赖某知道，一般来说，对账簿进行修 改的规程要求每步结算。赖某意识到这个新程序 的使用可能会使某些人对一些敏感数据进行修改 ，并且无法追踪是谁做了修改、是什么时候修改 、是以什么理由进行修改的。 赖某向戴某提出了这些担忧，但是戴某告诉他不要 担心，按他的要求编写程序就行了，并说他知道 有误用程序的可能性，但仍坚持其要求，；理由 是账簿周期性地会有错误数据产生，而且公司需 要对其进行修正。 案例五 受命编写有欺诈行为的程序（续） 下面考虑戴某的可能选择： 1、赖某编写了这个程序。那么他可能成为该欺诈行 为的帮凶。 2、赖某向戴某的上级告发戴某。那么戴某或上级可 能会把他看成一个制造麻烦的人，因而申斥或解 雇他。 3、赖某拒绝编写程序。那么戴某可能以他没有完成 任务解雇他。 4、赖某在程序中附加一些额外的代码，用于记录程 序什么时候运行、谁运行的、作了哪些修改。这 个额外的日志文件可以提供欺诈行为的犯罪证据 。但是如果没有欺诈行为存在，而戴某又发现了 这个秘密日志，那么赖某就会遇到麻烦。 案例五 编写有欺诈行为程序的讨论 1、程序员是否