信息安全与职业道德.DOC

1、第 8 章 信息安全与职业道德 第 34 讲 信息安全与职业道德（二） 教学目标及基本要求： 1、掌握信息安全中的几种鉴别技术 2、了解访问控制技术中的登录控制和权限控制 3、掌握防火墙的基本功能和分类 4、熟悉计算机职业道德及相关法规。 教学重点： 信息安全中的鉴别技术，防火墙技术。 教学难点： 信息安全中的鉴别技术 教学内容： 1、鉴别技术 2、访问控制技术 3、防火墙的基本功能及其分类 4、计算机职业道德及相关法规 教学时间： 1 学时 主要内容： 8.5 鉴 别 技 术 8.5.1 数字签名 数字签名技术，顾名思义就是利用数字技术的方法实现类似人的亲笔签名的技术。该技术是对需要确认的整

2、个文档进行加密，采用公开密钥技术来实现。它的主要作用就是鉴别信息的保密性、完整性以及确认信息真实来源。如图 8-4 所示，妮妮用自己的私钥将发给可可的信息加密，我们称这个加密后的密文信息就是带有妮妮的数字签名的信息。 图 8-4 数字签名 数字签名真的能够验证收到的信息不是伪造的，并且具有不可否认性吗？ 假设可可具有妮妮的公钥。他在一次电子商务活动中与妮妮发生纠纷。可可将带有妮妮的数字签名 的信息提交给法庭，以说明妮妮的确给他发过这个文档，并且这个文档只能是妮妮签发的。他再次用妮妮的公钥解密具有妮妮数字签名的密文，得到他事先提交给法庭的原始的明文信息。这样就可以说明： （ 1）只有具备私钥才能

3、对该文档进行加密（这是基于公开密钥体制的特性）。 （ 2）只有妮妮本人才具有这个私钥。 因此，根据我们上一节介绍的 RSA 算法的知识，可以说明这个加密文档就是妮妮发可可：你好！ 这是给可可的信息。这是给可可的信息。这是给可可的信息。这是给可可的信息。这是给可可的信息。 妮妮 妮妮的 私钥 用妮妮的私钥加密后的密文 过来的。 8.5.2 报文摘要 如前所述，公开密钥体制可以实施数字签名。然而对整个文档进行数字签名需要昂贵的加密、解密的计算开销。因此，日常使用的 信息交换没有必要采用数字签名技术。通常，人们在进行信息交换时往往不一定需要对信息进行保密，而只是希望能够保证如下内容。 （ 1）数据的

4、发送者对数据标有印记，并且可以验证数据的发送者。 （ 2）所 发送的数据在发送者标记并发出后没有被修改过。 通 过报文摘要（ Message Digest） 技术，可以在不对全部信息进行加密的情况下满足这样的需求。报文摘要采用了一种多对一的散列函数来实现，如图 8-5 所示。该函数以要发送的信息为输入函数，函数值是一个固定长度的信息，这个信息就是报文摘要。若输入的信息被改变了， 则输出的定长值（摘要）也会相应改变。为了保 证对信息的不可伪造性，用于生成报文摘要的散列函数必须具备如下特性。 （ 1）不同内容的数据形成相同摘要的概率几乎为零。 （ 2）根据摘要无法还原出原数据。 8.5.3 身份认

5、证 在网络通信过程中，通信双方的身份确认是网络安全通信的前提。 仅采用公开密钥体制进行身份认证是不可靠的。对称加密技术可以进行身份认证，但也存在问题，就是通信双方在通信之前要共同协商一个共有的密钥。这个协商过程是对称加密体制的薄弱环节。通过可信的第三方中介。对于对称密码体制来说，可信中介称为密 钥分发中心 KDC；对于公开密钥体制来说，可信中介称为认证中心 CA 。 8.5.4 数字证书 对于公开密钥体制来说，由于通信双方不需要相互传递密钥，也就不需要有 KDC 之类的设施。但是，在前面利用公开密钥体制来进行身份人证的尝试时，暴露了它的一个问题，那就是如何能够确定公钥拥有者的真实身份？认证中心

6、 CA 的作用就是将公钥与特殊的实体进行绑定。如图 8-8 所示给出了数字证书的获取过程。可可将自己的识别信息和自己的公钥一起发给 CA， CA 对可可的信息进行验证，并确定其身份。如果通过验证，则给可可颁发带有 CA 数字签 名的数字证书。 图 8-8 数字证书的获取过程 图 8-5 报文摘要 可可 可可的数字证书 认证中心的私钥 认证中心 CA 可可的识别信息 可可的公钥 长报文 固定大小的报文摘要 多对一散 列函数 8.6 访问控制技术 网络安全技术除信息的保密性、信息的完整性和用户身份的认证之外，还包括访问控制技术。即便是合法的用户，也要根据用户的类型分别赋予对系统的不同访问权限。就像

7、国家重要机关一定要有严格的人员进出控制一样，网络系统也需要根据系统维护、信息保密以及信息的有偿服务等方面的因素合理地限制用户的访问权限。访问控制的主要任务是保证网络资源不被非法 /越权访问。 访问控制服务的一般模型如图 8-9 所示。它假定了一些主动的实体，称 为主体。这是访问事件的发起者，他们试图去访问一些资源，这些被访问的资源称为客体。访问控制位于主体和客体之间，授权决策控制着哪些主体在何种情况下可以访问哪些客体。访问控制涉及的技术比较广，包括登录访问控制、网络权限控制及属性控制等多种手段。 8.6.1 登录控制 登录控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获得

8、网络资源，控制准许用户入网的时间及从哪台工作站入网。 用户的登录控制可分为 3 个步骤：用户名的识别与验证、用户口令的识别与验证及用户账号的缺省限制检查。 3 道关卡中只要任何一关 未过，该用户便不能进入网络。 对网络用户的用户名可口令进行验证是防止非法访问的第一道防线。为保证口令的安全性，用户的口令不能显示在显示屏上，口令长度应不少于 6 个字符，口令字符最好是数字、字母和其他字符的混合且用户口令必须经过加密。用户可采用一次性用户口令，也可采用便携式验证器（如智能卡）来验证身份。 网络管理员可以控制或限制普通用户的账号使用、访问网络的时间和方式。用户账号只有系统管理员才能建立。用户口令是用户

9、访问网络所必须提交的“证件”。用户可以修改自己的口令，但系统管理员应该可以控制对口令的以下几个方面 的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性及口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后，再进一步履行用户账号的默认限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间及限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，使用户此时无法进入网络访问。网络应对所有用户的访问进行审计，如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。 8.6.2 权限控制 网络的权限控制是针对网络非法操作提出的一种安全

10、保护措施 。用户和用户组虽被赋予了一定的权限，但网络能够控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录和设备能够执行哪些操作。受托者指派和继承权限屏蔽可作为权限控制的两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备；继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。 网络应允许 /控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一 般有 8 种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限

11、、文件查找权限及访问控制权限。用户对文件或目标的有限权限取决于以下几个因素：用户的受托者指派、用户所在组的受托者指派和继承权限屏蔽取消的用户权限。一个网络管理员应图 8-9 访问控制服务的一般模型 访问控制 客体 主体 授权策略 当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。 8 种访问权限的有效组合不仅可以让用户有效地完成工作，而且可以有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。 8.7 防火墙技术 防火墙是一种系统保护措施，它能够防止外部网络的不安全因素的涌 入。同现实生活中的防火墙类似，防火墙技术可以阻挡不安全的“火势”蔓延到受其保护的内部网络，

12、如图 8-10 所示。防火墙通常可以作为一个独立的主机设备，也可以是网关、代理服务器之类的边界设备上的软件。防火墙还可以作为个人计算机的一个应用程序，来控制出入计算机的信息。它可以按照用户事先规定的方案控制信息的流入和流出，使用户可以安全地使用网络，降低受到黑客攻击的可能性。一个防火墙作为网络的安全屏障，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。 8.7.1 防火墙的基本功能 防火墙的主要功能 体现在包过滤和代理两个方面。 1包过滤 包过滤是防火墙所要实现的最根本的功能。包是网络层中传输的数据单元，包过滤也就是在网络层中对所传递的数据进行有选择地放行。现在的防火墙已经

13、由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则，甚至状态检测等。 防火墙不仅可以有效地阻止来自外网的攻击，还可以防止内部信息的外泄。通过利用防火墙对内部网络的划分，可以实现内部网重点网段的隔离，从而限制局部重点或敏感网络的安全问题对全局网络造成的影响。 2代理功能 防火墙可以提供的代理功能分为透明代理和传统代理两类。 透明代理是指内网主机在需要访问外网主机时，不需要做任何设置，完全意识不到防火墙的存在，从而完成与内外网的通信。其基本原理是防火墙截取内网主机与外网通信，然后由防火墙本身完成与外网主机的通信，并把结果传回给内网主机。

14、防火墙可以对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 防火墙可以 强化网络的安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证和审计等）配置在防火墙上。与网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。 8.7.2 防火墙的分类 防火墙有许许多多的形式，有以软件形式运行在普通计算机上的，也有以固件形式设计在路由器之中的。防火墙按照其在网络工作的不同层次可以分为 4 类：

15、网络级防火墙（也称图 8-10 防火墙 包过滤防火墙）、应用级网关、电路级网关和规则检查防火墙。 1网络级防火墙 网 络级防火墙一般是基于源地址和目的地址、协议以及每个 IP 包的端口 ，作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙。先进的网络级防火墙可以提供内部信息以说明所通过的连接状态和一些数据流内容，把判断的信息同规则表进行比较。 包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则。一般情况下，默认规则是要求防火墙丢弃该包。 网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端

16、口，对网络更高协议层的信息无理解能力。 2 应用级网关 应用级网关能够检查进出的数据包，并通过网关 复制传递数据，防止受信任服务器及客户机与不受信任的主机之间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核，因而具有较好的安全性，但每种协议都需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 3电路级网关 电路级网关用来监控受信任的客户或不受信任的主机间 TCP 握手信息，以此来决定该会话（ Session）是否合法，电路级网关是在 OSI 模型中会话层上过滤数据包，这样比包过滤防火墙要高二层。但是电路级网关也存在着一些缺陷，因为该网关是在

17、会话层工作的，所以无 法检查应用层级的数据包。 4规则检查防火墙 规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。同包过滤防火墙一样，规则检查防火墙能够在 OSI 网络层上通过 IP 地址和端口号，过滤进出的数据包。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据。这些算法通过已知合法数据包的模式来比较进出数据包，比应用级代理在过滤数据包上更有效。 目前市场上流行的防火墙大多属于规则检查防火墙。从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间。也就是说，网络级防火墙将变的更加能 够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”

18、、“低级”方面发展。最终，防火墙将成为一个快速注册稽查系统，可保护数据一加密方式通过，使所有组织可以放心地在节点间传送数据。 8.8 计算机职业道德及相关法规 8.8.1 计算机网络信息的正负面影响 1网络信息系统带来的积极影响 网络信息系统的发展，给人们的工作和生活带来很大的变化。在网络信息系统中，人们可以在自己感兴趣的栏目中公开发表自己的见解，也可以用电子邮件广泛地交流自己的观点和意见。信息网还为公民的经营和交易提供了更大的自由度。网上每 个用户都可以获取各种商业信息，进行电子购物，发布电子广告，进行金融证券交易。可以通过四通八达的互联网进行全球性的经营活动。另外，网络还可以增强人们相互帮

19、助的能力 2网络信息系统带来的负面影响 由于网络中信息的源头和流向很难掌握，复制和修改信息非常容易，而且不留痕迹，这就会给不法分子和法制观念淡薄者以可乘之机，产生各种侵害公民合法权益的行为。 随着金融和电子上午的发展，各地银行实行联网，从而能够实现公民存款在各地银行的通存通取，也可以使用电子货币形式进行许多交易，为公民的生活和工作带来很大的方便。与此同时， 金融商贸领域的计算机犯罪也应运而生。不法分子通过伪造信用卡、盗窃信息卡、盗窃或猜测密码（口令）等方式，非法操作电子数据，直接获取现金或将他人的款项转移到自己的账户中。 8.8.2 信息工作人员职业道德 要善于网上学习，不浏览不良信息； 要诚

20、实友好交流，不侮辱欺诈他人； 要增强自护意识，不随意约会网友； 要维护网络安全，不破坏网络秩序； 要有益身心健康，不沉溺虚拟时空。 8.8.3 我国与信息安全相关的法律法规 1网络安全相关法规 （ 1） 1989 年，公安部发布了计算机病毒控制规定（草案）。 （ 2） 1991 年，国务院第八十三次常务委员会通过计算机软件保护条例。 （ 3） 1994 年 2 月 18 日，国务院发布中华人民共和国计算机信息系统安全保护条例 。（ 4） 1996 年 2 月 1 日，国务院发布中华人们共和国计算机信息网络国际联网管理暂行规定。 （ 5） 1997 年 5 月 20 日，国务院信息化领导小组制定

21、了中华人民共和国计算机信息网络国际互联网管理暂行规定实施办法、中国互联网络域名注册暂行管理办法、中国互联网络域名注册实施细则。 （ 6） 1997 年，原邮电部出台国际互联网出入信道管理办法。 （ 7） 2000 年 9 月 20 日，互联网信息服务管理办法正式实施。 （ 8） 2000 年 11 月，信息产业部发布互联网电子公告服务管理规定。 2网络安全相关法律 （ 1） 1998 年 9 月 5 日，第七界全国人民代表大会常务委员会第三次会议通过中华人民共和国保守国家秘密法，第三章第十七条提出“采用电子信息等技术存取、处理、传递国家秘密的办法，由国家保密部门会同中央有关机关规定”和“属于国

22、家秘密的设备或者产品的研制、生产、运输、使用、维修和销毁由国家保密工作部门会同中央有关机关制定保密办法”，明确规定了“在有线、无线通信中传递 国家秘密的，必须采取保密措施”。 （ 2） 1997 年 10 月，我国第一次在修订刑法时增加了计算机犯罪的罪名。新刑法规定了 5 种形式的计算机犯罪：非法侵入计算机系统罪（第二百八十五条）；破坏计算机信息系统功能罪（第二百八十六条第一款）；破坏计算机数据、程序罪 （第 二百八十六 条第二款 ）， 制作、传播计算机破坏性程序罪（第 二百八十六 条第三款）；利用计算机实施其他犯罪（第二百八十六条 ）。 此外，我国还缔约及参加了许多与计算机相关的国际性的法律

23、和法规，如建立世界知识产权组织公约、保护文学艺术作品的伯尔尼公约与世界 版权公约等。加入世界贸易组织后，我国要执行与贸易有关的知识产权（包括假冒商品贸易）协议。 小结： 在信息安全中 ,需要保证信息的完整性以及通信过程中用户身份的真实性 ,所以就应通过数字签名、报文摘要、身份认证和数字证书等技术来具体实现。访问控制技术很广，包括登录访问控制、网络权限控制及属性控制等手段。防火墙是一种系统保护措施，能够防止外部网络的不安全因素的涌入，其主要的功能体现在包过滤和代理两个方面，防火墙的形式多种多样，按其在网络工作的不同层次可分为网络级防火墙、应用级网关、电路级网关和规则检查 防火墙。计算机网络信息带给我们的积极和负面的影响。我国对信息系统的立法工作很重视，涉及到信息系统的安全保护、国际互联网管理、计算机病毒防法、商业密码管理和安全产品检测与销售等方面。 作业： 1你认为信息技术工作人员应该建立怎样的职业道德规范？ 2数字证书的具体内容有哪些？ 3信息安全面临的威胁主要有哪些？ 4我国新刑法中规定了几种形式的计算机犯罪？