信息安全与网络道德.ppt

,主讲人：李健苹,第八章 信息安全与网络道德,2,考试大纲内容的解读 要点梳理与讲解,信息安全,计算机病毒与防治,网络道德及相关法规,网络安全,3,8.1.1 信息安全,考试内容 信息安全的基本知识。 考试要求 了解计算机安全、信息安全和网络安全； 了解网络信息系统不安全的因素； 了解信息安全需求和安全服务； 了解信息安全标准； 了解数据加密。,4,一、什么是信息安全？ 1信息：信息是从调查、研究和教育获得的知识，是新闻、知识、消息、情报、报道、事情、数据、材料，现象、事物、主题、声音、图象、文字，内容、名称，是代表数据的信号或字符，是代表物质的或精神的经验消息、经验数据、图片。 2信息安全：我国从法律上界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全“。因此从这可以看出，信息安全不单是一个技术问题，涉及面广包括实体安全（保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程）、信息安全、运行安全和人的安全（主要是指计算机使用人员的安全意识、法律意识、安全技能等）。,5,这种安全是要通过各种计算机、网络和密钥技术从信息的机密性、完整性、可用性、可控性和不可否认性等五方面来保证的。 3. 信息安全需求的四个方面 机密性又称保密性：保证信息只能为授权人使用。 完整性：信息在传输过程中保持原样。 可用性：保证信息和信息系统随时为授权人提供服务。 可控性：保证管理者对信息系统进行安全监控。 不可否认性：信息行为人要为自己的信息行为负责。,6,二、什么是计算机安全？ 计算机安全定义是 “为数据处理系统建立和采取的技术的和管理的安全保护，保护计算机硬件、软件，数据不因偶然的或恶意的原因而遭破坏、更改、显露。”国际标准化委员会对计算机安全的定义提出建议。即计算机安全包括：实体安全（设备、工作环境、操作管理），软件数据安全（病毒预防、计算机犯罪与侦查）和运行安全（法律、网络）。,7,2. 数据加密：打一个比方：加密就是把某些贵重的东西锁到一个有钥匙的牢固的箱子中，将其内容隐藏起来。 明文：即需要隐藏的消息 密文：明文被变换成另一种隐藏形式被称为密文。 这种变换叫做加密。加密的逆过程叫做解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一组密钥控制下进行的，加密算法所采用的密钥成为加密密钥，解密算法所使用的密钥叫做解密密钥。,8,8.1.2 计算机病毒及其防治安全,考试内容 计算机病毒的定义、类型、特点及防治。 考试要求 了解计算机病毒的基本知识； 了解计算机病毒的预防； 了解计算机病毒的清除；,9,一、什么是计算机病毒（Computer Virus） 简单地说，计算机病毒是一种人为编制的计算机程序，这种程序像微生物学中所称的病毒一样在计算机系统中繁殖、生存和传播；也像微生物学中的病毒给动植物带来病毒那样对计算机资源造成严重的破坏。因此人们借用这个微生物学名词来形象地描述这种具有危害性的程序为“计算机病毒”。 特征有7个：可执行性、寄生性、传染性、破坏性、欺骗性、隐藏性和潜伏性、衍生性。,10,二、病毒的分类及危害 1病毒分类： 按攻击的操作系统分类： DOS、Windows 按传播媒介分类：单机病毒和网络病毒（网络病毒的主要传播方式有三种：电子邮件、网页和文件传输）。 按链接方式分类:源码型病毒 、入侵型病毒 、外壳型病毒 、操作系统型病毒 按寄生方式分类 ：文件型病毒 、系统引导型病毒、混合型病毒 按破坏后果分类 ：良性病毒 、恶性病毒,11,2. 计算机病毒的危害 计算机网络系统的危害和对计算机系统的危害两个方面。最常见的恶性病毒往往是删除文件，破坏数据或对硬盘格式化。恶性病毒可以中断一个大型计算中心的正常工作，对于联网的系统，可能在几小时内将病毒传遍数千台计算机直至使一个计算机网络陷于瘫痪，造成灾难性的后果。,12,三、计算机病毒的预防 计算机病毒的预防关键是从管理上、技术上入手做好预防工作，这两种方法的结合对防止病毒的传染是行之有效的。一般可以从以下几个方面采取积极的预防措施： 为保证系统运行环境无病毒，最好用硬盘启动。 对重要的数据要做备份。不对软盘进行必要的写操作时软盘最好贴上“写保护”。 不用非法复制的软件。 坚决杜绝使用来路不明的软盘。,13,禁止在计算机系统上运行任何游戏盘。 经常用消毒软件对硬盘和软盘检查； 以防为主，安装防病毒软件、病毒放火墙并及时更新； 在使用计算机时，应该树立正确的道德观念和法制观念，遵守我国政府颁布的计算机保护条例，同一切使用计算机违法和犯罪行为作斗争。 网络反病毒技术包括预防病毒，检测病毒和消毒三种技术。,14,四、病毒的清除 最佳的办法是用杀毒软件对计算机进行全面的清查。 杀毒软件：卡巴斯基、诺顿、 KV3000、金山毒霸、瑞星等 定期备份重要数据 、及时更新杀毒软件、打补丁。,15,8.1.3 网络道德及相关法规,考试内容 计算机网络道德规范和知识产权的基本概念。 考试要求 了解法规及网络道德的相关概念； 了解网络用户行为规范； 了解我国软件知识产权保护法规的基本内容； 了解相关法律法规。,16,一、道德及相关规范 1道德是社会意识的以善恶评价为中心的行为规范的总和。 2网络道德 当今各种信息通过网络得到交换，网络信息的膨胀，网络中出现了大量不道德的信息和获取有用信息的不道德的行为。目前网络秩序的管理很大程度上要依赖网络道德约束人们在网络中的所作所为。,17,网络是大家所共有的，如何从道德上来约束自己呢？ 著名的是美国计算机伦理协会为计算机伦理学所制定的10条戒律：不应该用计算机去伤害别人；不应干扰别人的计算机工作：不应窥探别人的文件；不应用计算机进行偷窃；不应用计算机做伪证；不应使用或拷贝你没有付钱的软件；不应未经许可而使用别人的计算机资源；不应盗用别人的智力成果：应该考虑你所编的程序的社会后果：你应该以深思熟虑和慎重的方式来使用计算机。 因此，网络道德对于目前用来净化网络有着十分重要的现实意义。 3网络道德的特点：自主性、开放性、多元性,18,二、知识产权 1知识产权的定义： 知识产权是指创造性智力成果的完成人或商业标志的所有人依法所享有的权利的统称”。（创造性智力成果 工商业标记） 创造性智力劳动成果，其中包括了发明、实用新型、外观设计、文学艺术作品、计算机软件、工商业标记、商誉、商业秘密、植物新品种、集成电路布图设计等等。,19,2知识产权的性质和特征 从知识产权的本质来看，是一种私权，知识产权共同的特征在于其无形性、专有性、地域性、时间性和可复制性。 3几种重要的知识产权法，即著作权法、工业产权（专利权法、商标法、商业秘密法）等对计算机软件的保护。,20,著作权的定义：又称版权，是公民、法人或非法人单位按照法律享有的对自己文学、艺术、自然科学、工程技术等作品的专有权。 著作权的权利：人身权和财产权。 专利权的定义：专利权是依法授予发明创造者或单位对发明创造成果独占、使用、处分的权利。计算机软件专利权。 商标权：是人们依法对所使用的商标享有的专有权利。,21,4计算机软件的国内知识产权立法 我国针对知识产权的立法包括：（1）、著作权方面立法；（2）、专利方面立法；（3）、商标方面立法；（4）、反不正当竞争方面立法；（5）、其他有关知识产权的立法。 计算机软件可以适用的针对知识产权制定的法律法规主要有：著作权法、著作权法实施条例、软件条例、专利法、专利法实施细则、商标法、商标法实施细则、反不正当竞争法、关于禁止侵犯商业秘密行为的若干规定等。,22,三、隐私和公民自由 1隐私，是指个人与社会公共生活无关的而不愿为他人知悉或者受他人干扰的私人事项，包括三个方面的内容：个人信息，包括姓名、肖像、住址、电话、E-Mail等；个人私事，包括婚恋、收养、疾病等；私人领域，如身高、体重、三围、日记、卧室等。 2. 隐私权，又称“宁居权”、“独处权”， 隐私权作为一种基本人格权利，是指公民“享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。” 主要包括个人生活安宁权、私人信息保密权、个人通讯秘密权及个人隐私利用权等。,23,3网络隐私权，主要指“公民在网上享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权；也指禁止在网上泄露某些与个人有关的敏感信息，包括事实、图像以及毁损的意见等。” 个人数据信息、私人生活安宁、私人活动与私人领域是网络隐私权包含的重要内容，其中尤以个人数据最为重要。,24,四、计算机犯罪 1计算机犯罪的定义：所谓计算机犯罪，是指通过计算机非法操作所实施的危害计算机信息系统（包括内存数据及程序）安全以及其他严重危害社会的行为。 2两个显著的特征： 计算机犯罪是利用计算机进行的犯罪； 计算机犯罪是危害计算机信息的犯罪（制造病毒） 例如：人为地搬动计算机造成数据的丢失或以磁铁消磁方式实施非法毁灭计算机内存数据的行为，这些不能算作计算机犯罪而以破坏生产经营罪或故意毁坏财务罪论处。,25,8.1.4 网络安全,考试内容 网络安全基本措施和防范策略。 考试要求 了解网络信息安全解决方案； 理解个人网络信息安全策略。,26,一、网络安全涉及的方面 网络安全涉及（1）专业技术方面（加密、防黑客、防病毒）；（2）法律政策和管理方面。两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，是最直接的保障信息安全的手段；管理方面则侧重于内部人为因素的管理，是信息安全的基础和保障。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性（保障网络通畅）已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。,27,二、网络安全 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全的基本属性是机密性、完整性、可靠性、可用性。 1. 数据保密性：分为静态数据保密性（数据存储）和动态数据保密性（数据传输）。保密方法如：加密法 2. 数据完整性：保持信息的原样。方法如：安全协议、纠错编码、数字签名,28,3. 可靠性：是指网络信息在规定时间内完成规定的功能的特性。可靠性的测度主要有三种：抗毁性（人为破坏的可靠）、生存期（随机破坏的可靠）和有效性（网络系统部件失效时可靠）。 可靠性主要表现在硬件、软件、人员和环境的可靠性等方面。 4数据可用性：指静态信息的可用性和可操作性。 网络安全的基本目标是实现信息的机密性，完整性，可用性和合法性。,29,三、网络存在的安全问题 计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，归结起来，针对网络安全的威胁主要有三： (1)人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。,30,(2)人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。,31,四、网络安全的策略 为保证网络的安全，可采取以下策略： 物理安全策略的目的：是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。,32,抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。,33,访问控制策略：是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它是保证网络安全最重要的核心策略之一，是维护网络系统安全、保护网络资源的重要手段。 信息加密策略：信息加密的目的是保护网内的数据、文