信息安全與職業(yè)道德

第8章信息安全與職業(yè)道德第34講信息安全與職業(yè)道德（二）教學(xué)目標(biāo)及基本要求：1、掌握信息安全中的幾種鑒別技術(shù)2、了解訪問(wèn)控制技術(shù)中的登錄控制和權(quán)限控制3、掌握防火墻的基本功能和分類(lèi)4、熟悉計(jì)算機(jī)職業(yè)道德及相關(guān)法規(guī)。教學(xué)重點(diǎn)：信息安全中的鑒別技術(shù)，防火墻技術(shù)。教學(xué)難點(diǎn)：信息安全中的鑒別技術(shù)教學(xué)內(nèi)容：1、鑒別技術(shù)2、訪問(wèn)控制技術(shù)3、防火墻的基本功能及其分類(lèi)4、計(jì)算機(jī)職業(yè)道德及相關(guān)法規(guī)教學(xué)時(shí)間：1學(xué)時(shí)主要內(nèi)容：8.5鑒別技術(shù)8.5.1數(shù)字簽名數(shù)字簽名技術(shù)，顧名思義就是利用數(shù)字技術(shù)的方法實(shí)現(xiàn)類(lèi)似人的親筆簽名的技術(shù)。該技術(shù)是對(duì)需要確認(rèn)的整個(gè)文檔進(jìn)行加密，采用公開(kāi)密鑰技術(shù)來(lái)實(shí)現(xiàn)。它的主要作用就是鑒別信息的保密性、完整性以及確認(rèn)信息真實(shí)來(lái)源。如圖8-4所示，妮妮用自己的私鑰將發(fā)給可可的信息加密，我們稱這個(gè)加密后的密文信息就是帶有妮妮的數(shù)字簽名的信息?？煽桑耗愫茫∵@是給可可的信息。這是給可可的信息。這是給可可的信息。這是給可可的信息。這是給可可的信息。可可：你好！這是給可可的信息。這是給可可的信息。這是給可可的信息。這是給可可的信息。這是給可可的信息。妮妮妮妮的私鑰用妮妮的私鑰加密后的密文圖8-4數(shù)字簽名數(shù)字簽名真的能夠驗(yàn)證收到的信息不是偽造的，并且具有不可否認(rèn)性嗎？假設(shè)可可具有妮妮的公鑰。他在一次電子商務(wù)活動(dòng)中與妮妮發(fā)生糾紛?？煽蓪в心菽莸臄?shù)字簽名的信息提交給法庭，以說(shuō)明妮妮的確給他發(fā)過(guò)這個(gè)文檔，并且這個(gè)文檔只能是妮妮簽發(fā)的。他再次用妮妮的公鑰解密具有妮妮數(shù)字簽名的密文，得到他事先提交給法庭的原始的明文信息。這樣就可以說(shuō)明：（1）只有具備私鑰才能對(duì)該文檔進(jìn)行加密（這是基于公開(kāi)密鑰體制的特性）。（2）只有妮妮本人才具有這個(gè)私鑰。因此，根據(jù)我們上一節(jié)介紹的RSA算法的知識(shí)，可以說(shuō)明這個(gè)加密文檔就是妮妮發(fā)過(guò)來(lái)的。8.5.2報(bào)文摘要如前所述，公開(kāi)密鑰體制可以實(shí)施數(shù)字簽名。然而對(duì)整個(gè)文檔進(jìn)行數(shù)字簽名需要昂貴的加密、解密的計(jì)算開(kāi)銷(xiāo)。因此，日常使用的信息交換沒(méi)有必要采用數(shù)字簽名技術(shù)。通常，人們?cè)谶M(jìn)行信息交換時(shí)往往不一定需要對(duì)信息進(jìn)行保密，而只是希望能夠保證如下內(nèi)容。（1）數(shù)據(jù)的發(fā)送者對(duì)數(shù)據(jù)標(biāo)有印記，并且可以驗(yàn)證數(shù)據(jù)的發(fā)送者。多對(duì)一散列函數(shù)長(zhǎng)報(bào)文圖8-5報(bào)文摘要（2）所發(fā)送的數(shù)據(jù)在發(fā)送者標(biāo)記并發(fā)出后沒(méi)有被修改過(guò)。多對(duì)一散列函數(shù)長(zhǎng)報(bào)文圖8-5報(bào)文摘要固定大小的報(bào)文摘要通過(guò)報(bào)文摘要（MessageDigest）技術(shù)，可以在不對(duì)全部信息進(jìn)行加密的情況下滿足這樣的需求。報(bào)文摘要采用了一種多對(duì)一的散列函數(shù)來(lái)實(shí)現(xiàn)，如圖8-5所示。該函數(shù)以要發(fā)送的信息為輸入函數(shù)，函數(shù)值是一個(gè)固定長(zhǎng)度的信息，這個(gè)信息就是報(bào)文摘要。若輸入的信息被改變了，則輸出的定長(zhǎng)值（摘要）也會(huì)相應(yīng)改變。為了保證對(duì)信息的不可偽造性，用于生成報(bào)文摘要的散列函數(shù)必須具備如下特性。固定大小的報(bào)文摘要（1）不同內(nèi)容的數(shù)據(jù)形成相同摘要的概率幾乎為零。（2）根據(jù)摘要無(wú)法還原出原數(shù)據(jù)。8.5.3身份認(rèn)證在網(wǎng)絡(luò)通信過(guò)程中，通信雙方的身份確認(rèn)是網(wǎng)絡(luò)安全通信的前提。僅采用公開(kāi)密鑰體制進(jìn)行身份認(rèn)證是不可靠的。對(duì)稱加密技術(shù)可以進(jìn)行身份認(rèn)證，但也存在問(wèn)題，就是通信雙方在通信之前要共同協(xié)商一個(gè)共有的密鑰。這個(gè)協(xié)商過(guò)程是對(duì)稱加密體制的薄弱環(huán)節(jié)。通過(guò)可信的第三方中介。對(duì)于對(duì)稱密碼體制來(lái)說(shuō)，可信中介稱為密鑰分發(fā)中心KDC；對(duì)于公開(kāi)密鑰體制來(lái)說(shuō)，可信中介稱為認(rèn)證中心CA。8.5.4數(shù)字證書(shū)對(duì)于公開(kāi)密鑰體制來(lái)說(shuō)，由于通信雙方不需要相互傳遞密鑰，也就不需要有KDC之類(lèi)的設(shè)施。但是，在前面利用公開(kāi)密鑰體制來(lái)進(jìn)行身份人證的嘗試時(shí)，暴露了它的一個(gè)問(wèn)題，那就是如何能夠確定公鑰擁有者的真實(shí)身份？認(rèn)證中心CA的作用就是將公鑰與特殊的實(shí)體進(jìn)行綁定。如圖8-8所示給出了數(shù)字證書(shū)的獲取過(guò)程。可可將自己的識(shí)別信息和自己的公鑰一起發(fā)給CA，CA對(duì)可可的信息進(jìn)行驗(yàn)證，并確定其身份。如果通過(guò)驗(yàn)證，則給可可頒發(fā)帶有CA數(shù)字簽名的數(shù)字證書(shū)。可可的公鑰可可的識(shí)別信息可可可可的數(shù)字證書(shū)認(rèn)證中心的私鑰認(rèn)證中心CA可可的公鑰可可的識(shí)別信息可可可可的數(shù)字證書(shū)認(rèn)證中心的私鑰認(rèn)證中心CA圖8-8數(shù)字證書(shū)的獲取過(guò)程包過(guò)濾防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。1．網(wǎng)絡(luò)級(jí)防火墻網(wǎng)絡(luò)級(jí)防火墻一般是基于源地址和目的地址、協(xié)議以及每個(gè)IP包的端口，作出通過(guò)與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻。先進(jìn)的網(wǎng)絡(luò)級(jí)防火墻可以提供內(nèi)部信息以說(shuō)明所通過(guò)的連接狀態(tài)和一些數(shù)據(jù)流內(nèi)容，把判斷的信息同規(guī)則表進(jìn)行比較。包過(guò)濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒(méi)有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則。一般情況下，默認(rèn)規(guī)則是要求防火墻丟棄該包。網(wǎng)絡(luò)級(jí)防火墻簡(jiǎn)潔、速度快、費(fèi)用低，并且對(duì)用戶透明，但是對(duì)網(wǎng)絡(luò)的保護(hù)很有限，因?yàn)樗粰z查地址和端口，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力。2．應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，并通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止受信任服務(wù)器及客戶機(jī)與不受信任的主機(jī)之間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問(wèn)控制，并做精細(xì)的注冊(cè)和稽核，因而具有較好的安全性，但每種協(xié)議都需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。3．電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或不受信任的主機(jī)間TCP握手信息，以此來(lái)決定該會(huì)話（Session）是否合法，電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上過(guò)濾數(shù)據(jù)包，這樣比包過(guò)濾防火墻要高二層。但是電路級(jí)網(wǎng)關(guān)也存在著一些缺陷，因?yàn)樵摼W(wǎng)關(guān)是在會(huì)話層工作的，所以無(wú)法檢查應(yīng)用層級(jí)的數(shù)據(jù)包。4．規(guī)則檢查防火墻規(guī)則檢查防火墻結(jié)合了包過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。同包過(guò)濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過(guò)IP地址和端口號(hào)，過(guò)濾進(jìn)出的數(shù)據(jù)包。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)。這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包，比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效。目前市場(chǎng)上流行的防火墻大多屬于規(guī)則檢查防火墻。從趨勢(shì)上看，未來(lái)的防火墻將位于網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻之間。也就是說(shuō)，網(wǎng)絡(luò)級(jí)防火墻將變的更加能夠識(shí)別通過(guò)的信息，而應(yīng)用級(jí)防火墻在目前的功能上則向“透明”、“低級(jí)”方面發(fā)展。最終，防火墻將成為一個(gè)快速注冊(cè)稽查系統(tǒng)，可保護(hù)數(shù)據(jù)一加密方式通過(guò)，使所有組織可以放心地在節(jié)點(diǎn)間傳送數(shù)據(jù)。8.8計(jì)算機(jī)職業(yè)道德及相關(guān)法規(guī)8.8.1計(jì)算機(jī)網(wǎng)絡(luò)信息的正負(fù)面影響1．網(wǎng)絡(luò)信息系統(tǒng)帶來(lái)的積極影響網(wǎng)絡(luò)信息系統(tǒng)的發(fā)展，給人們的工作和生活帶來(lái)很大的變化。在網(wǎng)絡(luò)信息系統(tǒng)中，人們可以在自己感興趣的欄目中公開(kāi)發(fā)表自己的見(jiàn)解，也可以用電子郵件廣泛地交流自己的觀點(diǎn)和意見(jiàn)。信息網(wǎng)還為公民的經(jīng)營(yíng)和交易提供了更大的自由度。網(wǎng)上每個(gè)用戶都可以獲取各種商業(yè)信息，進(jìn)行電子購(gòu)物，發(fā)布電子廣告，進(jìn)行金融證券交易?？梢酝ㄟ^(guò)四通八達(dá)的互聯(lián)網(wǎng)進(jìn)行全球性的經(jīng)營(yíng)活動(dòng)。另外，網(wǎng)絡(luò)還可以增強(qiáng)人們相互幫助的能力2．網(wǎng)絡(luò)信息系統(tǒng)帶來(lái)的負(fù)面影響由于網(wǎng)絡(luò)中信息的源頭和流向很難掌握，復(fù)制和修改信息非常容易，而且不留痕跡，這就會(huì)給不法分子和法制觀念淡薄者以可乘之機(jī)，產(chǎn)生各種侵害公民合法權(quán)益的行為。隨著金融和電子上午的發(fā)展，各地銀行實(shí)行聯(lián)網(wǎng)，從而能夠?qū)崿F(xiàn)公民存款在各地銀行的通存通取，也可以使用電子貨幣形式進(jìn)行許多交易，為公民的生活和工作帶來(lái)很大的方便。與此同時(shí)，金融商貿(mào)領(lǐng)域的計(jì)算機(jī)犯罪也應(yīng)運(yùn)而生。不法分子通過(guò)偽造信用卡、盜竊信息卡、盜竊或猜測(cè)密碼（口令）等方式，非法操作電子數(shù)據(jù)，直接獲取現(xiàn)金或?qū)⑺说目铐?xiàng)轉(zhuǎn)移到自己的賬戶中。8.8.2信息工作人員職業(yè)道德要善于網(wǎng)上學(xué)習(xí)，不瀏覽不良信息；要誠(chéng)實(shí)友好交流，不侮辱欺詐他人；要增強(qiáng)自護(hù)意識(shí)，不隨意約會(huì)網(wǎng)友；要維護(hù)網(wǎng)絡(luò)安全，不破壞網(wǎng)絡(luò)秩序；要有益身心健康，不沉溺虛擬時(shí)空。8.8.3我國(guó)與信息安全相關(guān)的法律法規(guī)1．網(wǎng)絡(luò)安全相關(guān)法規(guī)（1）1989年，公安部發(fā)布了《計(jì)算機(jī)病毒控制規(guī)定（草案）》。（2）1991年，國(guó)務(wù)院第八十三次常務(wù)委員會(huì)通過(guò)《計(jì)算機(jī)軟件保護(hù)條例》。（3）1994年2月18日，國(guó)務(wù)院發(fā)布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。（4）1996年2月1日，國(guó)務(wù)院發(fā)布《中華人們共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》。（5）1997年5月20日，國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組制定了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》、《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》、《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)實(shí)施細(xì)則》。（6）1997年，原郵電部出臺(tái)《國(guó)際互聯(lián)網(wǎng)出入信道管理辦法》。（7）2000年9月20日，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》正式實(shí)施。（8）2000年11月，信息產(chǎn)業(yè)部發(fā)布《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》。2．網(wǎng)絡(luò)安全相關(guān)法律（1）1998年9月5日，第七界全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三次會(huì)議通過(guò)《中華人民共和國(guó)保守國(guó)家秘密法》，第三章第十七條提出“采用電子信息等技術(shù)存取、處理、傳遞國(guó)家秘密的辦法，由國(guó)家保密部門(mén)會(huì)同中央有關(guān)機(jī)關(guān)規(guī)定”和“屬于國(guó)家秘密的設(shè)備或者產(chǎn)品的研制、生產(chǎn)、運(yùn)輸、使用、維修和銷(xiāo)毀由國(guó)家保密工作部門(mén)會(huì)同中央有關(guān)機(jī)關(guān)制定保密辦法”，明確規(guī)定了“在有線、無(wú)線通信中傳遞國(guó)家秘密的，必須采取保密措施”。（2）1997年10月，我國(guó)第一次在修訂刑法時(shí)增加了計(jì)算機(jī)犯罪的罪名。新《刑法》規(guī)定了5種形式的計(jì)算機(jī)犯罪：非法侵入計(jì)算機(jī)系統(tǒng)罪（第二百八十五條）；破壞計(jì)算機(jī)信息系統(tǒng)功能罪（第二百八十六條第一款）；破壞計(jì)算機(jī)數(shù)據(jù)、程序罪（第二百八十六條第二款），制作、傳播計(jì)算機(jī)破壞性程序罪（第二百八十六條第三款）；利用計(jì)算機(jī)實(shí)施其他犯罪（第二百八十六條）。此外，我國(guó)還締約及參加了許多與計(jì)算機(jī)相關(guān)的國(guó)際性的法律和法規(guī)，如《建立世界知識(shí)產(chǎn)權(quán)組織公約》、《保護(hù)文學(xué)藝術(shù)作品的伯爾尼公約》與《世界版權(quán)公約》等。加入世界貿(mào)易組織后，我國(guó)要執(zhí)行《與貿(mào)易有關(guān)的知識(shí)產(chǎn)權(quán)（包括假冒商品貿(mào)易）協(xié)議》。小結(jié)：在信息安全中,需要保證信息的完整性以及通信過(guò)程中用戶身份的真實(shí)性,所以就應(yīng)通過(guò)數(shù)字簽名、報(bào)文摘要、身份認(rèn)證和數(shù)字證書(shū)等技術(shù)來(lái)具體實(shí)現(xiàn)。訪問(wèn)控制技術(shù)很廣，包括登錄訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制及屬性控制等手段。防火墻是一種系統(tǒng)保護(hù)措施，能夠防止外部網(wǎng)絡(luò)的不安全因素的涌入，其主要的功能體現(xiàn)在包過(guò)濾和代理兩個(gè)方面，防