安全生产_信息系统安全与社会责任

8 1信息安全8 2信息安全的问题及对策8 3社会责任与职业道德规范 第8章信息系统安全与社会责任 第8章信息系统安全与社会责任 主要内容 本章主要介绍信息安全的基本概念和影响信息安全的主要问题及解决的对策 主要从计算机病毒的产生 种类 特征与防治和网络黑客的常见攻击方法以及黑客的防范 信息安全的管理等方面进行了介绍 同时 介绍了数据加密 数字签名 防火墙等一些常见的信息安全技术 分析了网络道德存在的问题以及对社会的影响 第8章信息系统安全与社会责任 学习目标 1 认识信息安全的基本概念 属性 管理和测评认证 了解计算机病毒及其防治 网络黑客与黑客的防范 认识信息安全中 管理因素的重要性2 了解网络道德存在的问题以及建立网络道德规范的必要性3 了解国家有关信息安全的法规 第8章信息系统安全与社会责任 8 1 1信息安全8 1 2信息安全的属性8 1 3信息安全的管理体系8 1 4信息安全测评认证体系 8 1信息安全 8 1信息安全 8 1 1信息安全 国际标准化组织 ISO 定义信息安全是指为数据处理系统建立和采取的技术和管理的安全保护 保护计算机硬件 软件和数据不因偶然和恶意的原因而遭到破坏 更改和显露 8 1 1信息安全 后续8 1 2节 8 1 2信息安全的属性 1 完整性 Integrity 信息在存储 传输和提取的过程中保持不被修改 不被破坏 不被插入 不延迟 不乱序和不丢失的特性 2 可用性 Avaliability 信息可被合法用户访问并能按要求顺序使用的特性 即在需要时就可取用所需的信息 8 1 2信息安全的属性 本节待续 3 机密性 Confidentiality 信息不泄漏给非授权的个人和实体 或供其使用的特性 4 可控性 Controlability 授权机构可随时控制信息的机密性 5 可靠性 Reliability 信息以用户认可的质量连续服务于用户的特性 8 1 2信息安全的属性 后续8 1 3节 8 1 3信息安全的管理体系 解决信息安全问题应该同时从技术和管理两方面着手技术方面 实现信息安全主要是解决网络系统本身存在的安全漏洞管理方面 实现信息安全主要是健全组织内部的信息安全管理制度 以防止因为内部人员的误操作或因思想麻痹 没有足够的信息安全知识而引起的严重后果 8 1 3信息安全的管理体系 后续8 1 4节 8 1 4信息安全测评认证体系 一个国家一般都有自己的国家信息安全测评认证体系 并且基本上都成立了专门的信息安全测评认证机构 认证机构一般由国家安全部门或国家标准化部门控制 中华人民共和国国家信息安全认证 是国家对信息安全技术 产品或系统安全质量的最高认可经国家信息安全测评认证中心认证的产品或系统只是达到了国家规定的管理安全风险的能力 并不表示该产品完全消除了安全风险 中心的认证程序能够确保产品安全的风险降低到了国家标准规定和和公众可以接受的水平 8 1 4信息安全测评认证体系 后续8 2节 8 2 1计算机病毒与防治8 2 2网络黑客与网络攻防8 2 3常见信息安全技术介绍8 2 4信息安全管理 8 2信息安全的问题及对策 第8章信息系统安全与社会责任 8 2 1计算机病毒与防治 1 计算机病毒 中华人民共和国计算机信息系统安全保护条例 定义计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 8 2 1计算机病毒与防治 本节待续 2 计算机病毒的产生1983年11月 世界上第一个计算机病毒在美国实验室诞生1986年 世界上第一个传染个人电脑兼容机的 巴基斯坦 病毒产生1988年 计算机病毒开始传入我国 8 2 1计算机病毒与防治 本节待续 3 计算机病毒的种类按照病毒文件的传染方式分类 1 引导区型病毒 2 文件型病毒 3 网络型病毒 4 混合型病毒 8 2 1计算机病毒与防治 本节待续 按照连接方式分类 1 源码型病毒 2 入侵型病毒 3 操作型病毒 4 外壳型病毒按照破坏性分类 1 良性病毒 2 恶性病毒 3 极恶性病毒 4 灾难性病毒 8 2 1计算机病毒与防治 本节待续 4 计算机病毒的特征隐蔽性潜伏性传染性激发性破坏性5 病毒的清除与预防以预防为主兼杀为辅正确而安全地使用计算机 8 2 1计算机病毒与防治 本节待续 防范病毒的具体措施 1 不用盗版软件和来历不明的磁盘 将外来盘拷入计算机之前 一定要用多种杀毒软件交叉检查清杀 2 经常对系统和重要的数据进行备份 3 对重要内容的软盘要及时贴上写保护条 4 经常用杀毒软件对系统 硬盘和软盘 进行病毒检测和清杀 5 保存一份硬盘的主引导记录档案 6 一旦发现被病毒感染 用户应及时采取措施 保护好数据 利用杀毒软件对系统进行查毒消毒处理 及时根除毒源 以免扩散造成更大的损失 8 2 1计算机病毒与防治 后续8 2 2节 1 网络黑客黑客 Hacker 电脑技术上的行家或那些热哀于解决问题和克服限制的人网络世界中常见的黑客业余电脑爱好者职业的入侵者电脑高手 8 2 2网络黑客与网络攻防 8 2 2网络黑客与网络攻防 本节待续 2 黑客入侵的目的好奇心与成就感当作入侵其他重要机器的跳板盗用系统资源窃取机密资料恶意攻击 8 2 2网络黑客与网络攻防 本节待续 3 常见的黑客攻击方法口令入侵攻击猜测法和穷尽法字典法网络监听工具攻击炸弹攻击特洛伊木马IP或端口攻击 8 2 2网络黑客与网络攻防 本节待续 4 如何防范黑客使用防火墙经常使用安全监测与扫描工具使用有效的控制手段抓住入侵者经常备份系统 以便在被攻击后能及时修复系统 将损失减少到最低程度 加强安全防范意识 有效地防止黑客的攻击 8 2 2网络黑客与网络攻防 后续8 2 3节 1 数据加密数据加密是应用信息安全的核心技术密码技术 将资料加密 以防止信息泄露的技术目前的加密体制可分为两类单密钥加密体制公用密钥体制 8 2 3常见信息安全技术介绍 8 2 3常见信息安全技术介绍 本节待续 2 数字签名数字签名是以电子形式存储的一种消息 可以在通信网络中传输 用于证明当事者身份的一种信息数字签名与手写签名的主要差别签名的文件不同验证的方法不同复制方法不同 8 2 3常见信息安全技术介绍 本节待续 设计一个数字签名算法需要满足的条件签名者事后不能否认自己的签名 任何其他人都不能伪造签名 接收者能验证签 当双方签名的真伪发生争执时 法官或第三方能够解决双方之间的争执 8 2 3常见信息安全技术介绍 本节待续 3 防火墙技术防火墙 Firewall 是一种由软件 硬件构成的系统 用来在两个网络之间实施存取控制策略 防止内部的网络系统被人恶意破坏的一种网络安全产品 防火墙可以作为网络门户的保护防火墙还可提供许多网络连接时的应用 8 2 3常见信息安全技术介绍 本节待续 4 其他常见技术访问控制入侵检测身份验证存取控制数据完整性安全协议 8 2 3常见信息安全技术介绍 后续8 2 4节 1 信息安全管理原则规范化原则 各阶段都应遵循安全规范要求 根据组织安全需求 制定安全策略系统化原则 根据安全工程的要求 对系统各阶段 包括以后的升级 换代和功能扩展进行全面统一地考虑综合保障原则 人员 资金 技术等多方面综合保障以人为本原则 提高管理人员的技术素养和道德水平 8 2 4信息安全管理 8 2 4信息安全管理 本节待续 首长负责原则 只有首长负责才能把安全管理落到实处预防原则 安全管理以预防为主 并要有一定的超前意识风险评估原则 根据实践对系统定期进行风险评估以改进系统的安全状况动态原则 根据环境的改变和技术的进步 提高系统的保护能力成本效益原则 根据资源价值和风险评估结果 采用适度的保护措施 均衡防护原则 整个系统的安全强度取决于最弱的一环 8 2 4信息安全管理 本节待续 2 信息安全管理步骤第一步策划 根据法律 法规的要求和组织内部的安全需求制定信息安全方针 策略 进行风险评估 确定风险控制目标与控制方式第二步是按照既定方案实施组织所选择的风险控制手段第三步是在实践中检查上述制定的安全目标是否合适 控制手段是否能够保证安全目标的实现 系统还有哪些漏洞最后 采取相应的措施对系统进行改进 8 2 4信息安全管理 后续8 3节 8 3 1网络道德的问题与现状8 3 2网络道德建设8 3 3软件知识产权8 3 4我国信息安全相关政策法规 8 3社会责任与职业道德规范 8 3社会责任与职业道德规范 8 3 1网络道德的问题与现状 滥用网络 降低了工作效率网络充斥了不健康的信息 人们会受到不良思潮的影响网络犯罪网络病毒窃取 使用他人的信息成果制造信息垃圾 8 3 1网络道德的问题与现状 后续8 3 2节 8 3 2网络道德建设 建立自主型道德确定网络道德原则明确网络道德规范价值观和责任感的教育 8 3 2网络道德建设 后续8 3 3节 8 3 3软件知识产权 计算机软件的研制和开发需要耗费大量的人力 物力和财力 是脑力劳动的创造性产物 是研制者智慧的结晶 为了保护计算机软件研制者的合法权益 增强知识产权和软件保护意识 我国政府于1991年6月颁布了 计算机软件保护条例 并于同年的10月1日起开始实施 8 3 3软件知识产权 后续8 3 4节 8 3 4我国信息安全相关政策法规 中华人民共和国计算机信息网络国际联网管理暂行规定 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 中国互联网络域名注册暂行管理办法 中国互联网络域名注册实施细则 中华人民共和国计算机信息系统安全保护条例 关于加强计算机信息系统国际联网备案管理的通告 中华人民共和国电信条例 中华人民共和国国务院令 第291号 互联网信息服务管理办法 中华人民共和国国务院令 第292号 从事开放经营电信业务审批管理暂行办法 电子出版物管理规定 关于对与国际联网的计算机信息系统进行备案工作的通知 8 3 4我国信息安全相关政策法规 本节待续 计算机软件保护条例 计算机信息网络国际联网出入口信道管理办法 计算机信息网络国际联网的安全保护管理办法 计算机信息系统安全专用产品检测和销售许可证管理办法 计算机信息系统国际联网保密管理规定 科学技术保密规定 商用密码管理条例 中国公用计算机互联网国际联网管理办法 中国公众多媒体通信管理办法 中华人民共和国保守国家秘密法 中华人民共和国标准法 中华人民共和国反不正当竞争法 中华人民共和国国家安全法 中华人民共和国海关法 中华人民共和国商标法 中华人民共和国人