1、5.35.3合理使用信息系统 教材p127-p133 信息安全不仅影响到人们日常的生产、生活,还关系到整个国家的安全,成为日益严峻的问题。 随着网络通信与互联规模的扩大、媒体信息传播方式的普及,信息安全问题日益突出。 5.3.1 树立信息安全意识 维护信息安全,可以理解为确保信息内容在获取、存储、处理、检索和传送中,保持其保密性、 完整性、可用性和真实性。信息的保密性是指保证信息不泄漏给未经授权的人;完整性是指防止 信息被未经授权者篡改;可用性就是保证信息及信息系统确实能够为授权使用者所用;真实性是指 对信息及信息系统的使用和控制是真实可靠的。 对于信息系统的使用者来说,要掌握信息的特性,树立
2、信息安全意识,负责任地发布、使用与传播 信息。 1信息安全管理 表5-5是国家计算机应急响应中心发布的数据,所有的计算机安全风险事件中,人为因素占据的比例超过一半,成为信息 系统安全风险的瓶颈问题。而深人分析后发现,属于管理方间的原囚比重高达70%以上,更值得引起人们重视的是这些安 全问题中95%是可以通过科字的后息女全管理来避免的。 从统计数据可以明显看出,管理因素是信息系统它全促瞎休系中重要的组成部分。它涉及信息系统女全的各个方面,包 括制定信息安全的政策法规。制订各类规范的操作程序,加强人贝女主息识与法律意识,各类风险评估等。 信息系统安全管理是指通过维护信息的保密性、完救性可田性和真实
3、性等来管理和保护信息系统资源的一项体制,也包 含对信息系统安全保暗进行指导、规范和管理的一系列活动和过程。 2.知识产权保护及其意义 网络与计算机环境中的知识产权往往与网络及计算机安全直接相关。 软件:包括由商业软件开发商开发的程序以及共享软件、专用软件和个人软件。 数据库:可能包括因为具有潜在商业价值而收集并组织的数据。例如,天气预测数据库、地震预测数据库、水文情况预测 数据库及经济形势预测等数据,都可以受到版权保护。 数字内容:是指能够用计算机或其他数字设备以某种方式展现出来的,包括音视频文件、课件、网站内容和其他形式的 数字作品。 算法:已经获得专利的算法。 探究活动 调查 调查所在学校
4、的中心机房、多媒体网络教室等校园网络信息系统使用的相关场所所制订的相应 管理制度,了解以下几个方面的内容: (1)各场所的管理制度分别包括了哪些方面的内容? (2)同学们在使用校园网络信息系统开展学习活动的过程中是否遇到或参与过以下不恰当的行为:私自携带带病毒的U盘 等设备在学生电脑室使用;私自修改学生电脑的系统使其摆脱教师机控制或失去还原保护作用;恶意删改其他同学提交到 教学网站的作业或将其修改成自己的作业还有哪些不恰当行为请一一列举。学校所制订的相关管理制度是否涵盖了 禁止以上不恰当行为的内容? (3)校园网络信息系统是一种资源公共服务平台,其中可能会有哪些涉及知识产权的资源(从学校、教师
5、和学生三个方 面分别列举)?学校所制订的相关管理制度是否涵盖保护知识产权的内容呢? (4)学校所制订的相关管理制度的意义或目的是什么?还有哪些不足或缺陷,提出建议。 5.3.2信息系统安全操作规范 随着网络通信与互联规模的扩大、新媒体信息传播方式的普及,使得许多不可能成为可能。因 此,信息的可用性、机密性、完整性问题日益突出。例如,大数据带来的个人记录保存、数据挖 掘和数据匹配能力技术让个人信息处于一个危险状态,相关非法的案例层出不穷。 1.信息系统规范操作的必要性 (1)人为因素是信息系统安全问题产生的主要原因。人为因素是研究信息系统安全管理有效性的一个主要方面。人为 因素一般是指工作生活过
6、程中,与人发生相互作用的一切因素。随着社会的发展,任何法规、标准、流程的实现过程, 人为因素都有着决定性影响。因此,提高人们的信息安全意识,加强信息安全管理,提高遵守信息安全法律、法规观念 等非技术安全策略越来越引起重视,成为衡量一个优秀的安全策略的重要指标。 (2)规范操作是消除过程因素造成的潜在安全威胁的必要策略。所谓过程,是指运用信息系统完成特定任务所设定的流 程或指令。因此,严格依照这些流程与指令规范地操作信息系统,是避免与消除过程因素造成的潜在安全威胁的必要策略。 可以预测的是如果未授权的用户获得此过程,就会对信息系统的安全构成威胁。 2.信息系统规范操作及其意义 信息系统规范操作就
7、是要按照信息系统既定标准、规范的要求进行操作。例如计算机信息系统管理规范中有机房突发事 件处理规范、设备维护规范、文档编制规范、数据与软件归档规范等制度,其目的是加强该信息系统的运行管理,提高工 作质量和管理有效性,实现计算机系统维护、操作规范化,确保计算机系统安全、可靠运作。 阅读 阅读以下材料,结合信息系统安全防护策略,思考各项规范制订的切入点及制订该规范的目的与意义。 材料一:学校机房数据保密及数据备份规范 (1)根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。 (2)禁止泄露、外借和转移专业数据信息。 (3)未经批准不得随意更改业务数据。 (4)网管人员制作数据的
8、备份要异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。 (5)业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中异地保存。 (6)备份的数据由网管人员负责保管,备份的数据应在指定的数据保管室或指定的场所保管。 (7)备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。 材料二:系统软件、应用软件管理规范 (1)必须定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份。(2)为了便于对系统软件进行应用与管理,机房中须备有与系统软件有关的使 用手册和各种指南等资料,以便维护人员查阅。这些资料未经许可,任何人不得拿出机房。应用软件人
9、员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用 系统运行流程图等进行分类归档,以便查阅。(3)禁止在服务器上进行试验性质的软件调试,禁止在服务器上随意安装软件。需要对服务器进行配置,必须在其他可进行试验 的机器上调试通过并确认可行后,才能对服务器进行准确的配置。(4)对会影响到全局的软件更改、调试等操作应先发布通知,并且应有充分的时间、方案、人员准备,才 能进行软件配置的更改。(5)对重大软件配置的更改,应先形成方案文件,经过讨论确认可行后,由具体负责的技术人员进行更改,并应做好详细的更改和操作记录。对软 件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充
10、分的准备,必要时需要先备份原有软件系统和落实好应急措施。(6)不允许任何人员在 服务器等核心设备上进行与工作范围无关的软件调试和操作。未经上级允许,不允许带领、指示他人进入机房、对网络及软件环境进行更改和操作。(7)对应用软件进行修 改时,具体的功能修改、逻辑修改、程序变动等,都应有相应的文档记录,以备查阅。 思考 以所在学校的校园网络信息系统为对象,为保障信息系统中的硬件、软件、信息等的安全运行或保持良好的使用状态, 针对不同的用户应该如何规范其操作,尝试写一-份建议,为学校的校园网络信息系统的安全管理献策。 5.3.3信息社会的道德准则与法律法规 1.网上道德规范 互联网的开放性和便捷性为
11、人们参与网络传播提供了方便。然而,在人们享受网络科技成果的同时,也面临着诸多不容忽视的伦理道德问题。为建设良好的网终I杰,每个人都 要加强思想道德修养,自觉按照社会主义道德的原则和要求规范自己的行为:依法律己,遵守全国青少年网络文明公约全国青少年网络文明公约, 法律禁止的事坚决不做,法律提倡的事积极去做;净化网络语言,坚决抵制网络有害信息和低俗之风,健康、合理、科学上网。 为了维护信息安全,网上活动的参与者即创造、使用信息的人都要加强网络道德自律和提升网络素养,自觉遵守网络道德规范。具体来说要切实做到下面几点: (1(1)未经允许,不进入他人计算机信息网络或者使用他人计算机网络信息资源。)未经
12、允许,不进入他人计算机信息网络或者使用他人计算机网络信息资源。 (2(2)未经允许,不对计算机信息网络功能进行删除、修改或者增加。)未经允许,不对计算机信息网络功能进行删除、修改或者增加。 (3 3)未经允许,不对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改)未经允许,不对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改 或者增加。或者增加。 (4(4)不故意制作、传播计算机病毒等破坏性程序。)不故意制作、传播计算机病毒等破坏性程序。 (5)(5)不做危害计算机信息网络安全的其他事。不做危害计算机信息网络安全的其他事。 分析 下面列出网线信真活动中存在的四个
13、问题,请在表5-6中填写其他三个问题及造成的危害。 (1不良信息毒化网络“空气”。 网络“空气”被森化的首要因素是色情传播。而且网上色情发展速度惊人。这些色情逢秽材料t*心文放峰瓦时回的“吹气”,上网者尤其是青少年的心灵极易受到毒害。让人忧虑的景、网大的 “业”一下子还无法用技术加以杜绝,对网上传播“黄毒”的人也含禽戏z模以出点一-些西方国家。某些传播色情的行为甚至受到所谓“言论自由”的保护,只要在同百前面加上一些“警告 语”或对浏览者的年龄加以“限制”,色情材料就可名正言顺地“登堂入室”。此外,一些邪教组织和恐怖主义组织,利用网络媒介大肆宣传反社会和反人类的思想,严重威胁着国家和社会 的安定
14、团站。 (2)网上犯罪。 某些人利用自身掌握的计算机挂术和网络技术,根据互联网的特点。从事各种犯罪活动,如窃取各臭机密情报、侵入并破坏他人的网络系统、传播各种计算机病毒等。还有一些人打着“言论 自由”和“新闻自由”的幌子,在网上煽动他人从事犯罪活动,如在网上译谤他人、鼓动他人頫覆合法政权、从事恐怖活动、提供犯罪技术等。 (3)虚假信息严重影响网络信息的真实性。 互联网特有的开放性使任何上网者都可以发布自己的信息与观点,这些信息与观点带有很大的随意性,而且其真实性往往无法核实。这些信息直接影响了网格媒怵和网络信息的整体形象,使其 可信度在人们心中大打折扣。 (4)信息垃规泛滥成突。 个人和组织在
15、互联网上传播信息的空前自由,在为人类社会提供丰富多彩的信息的同时,也制造了大量信息垃圾。某些个人和组织不像以往的大众传播媒介那样对信息进行严格的把美和挑选, 而是随心所欲地让信息源源不断地在网上驰骋,形成一个“资料太多而知识太少的嘈杂世界”。而且,过多的信悲也会使人们无所适从,无法在浩如烟海的信息中作出正确、有效的选择。 2.信息安全法律法规 道德是自律的规范,法律是他律的规范。法律和道德,相辅相成,仅仅依靠道德或技术进行信息管理,规范人们在信息活动中的 行为是不够的,对于一些已经造成重大危害的行为,必须通过法律的手段来制裁。 信息安全的法律法规是国家安全体系的重要内容,是安全保障体系建设中的
16、必要环节。它明确信息安全的基本原则和基本制度、 信息安全相关行为的规范、信息安全中各方的权利与义务、违反信息安全行为及相应的处罚。 信息安全立法能够保护国家信息主权和社会公共利益,规范信息活动,保护信息权利,协调和解决信息网络社会产生的矛盾,打 击、惩治信息网络空间的违法行为,同时依托信息安全的司法和执法来实施法定程序和法律活动。 信息系统安全问题作为一项社会系统工程,既需要管理层重视相关法律法规的制定与完善,又需要各层面倡导与推广先进的管 理手段与技术方法,更需要每一位应用者从国家、社会与合格公民的角度出发,提高安全防护责任意识与安全防范应用水平,以 确保信息系统安全问题得到全面重视与高效落
17、实,维护好国家利益及个人信息安全。 2014年2月27日,中共中央成立网络安全和信息化领导小组,旨在着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社 会及军事等各个领域的网终宏全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政符,推动国家网络 安全和信息化法治建设,不断增强安全保障能力。青少年正值人生观与价值观形成的重要时期,在这个现实空间与虚拟空间相互 交织的全新社会环境中,应加强信息系统安全意识,提高信息安全风险防范水平,自觉遵守信息安全法律法规,相当起应有的信息 社会责任,做信息社会的一名合格公民! 阅读 查阅学习资源包“第五章课本素材部分信息系统法律法规清单
18、.doc”,有针对性地选择前面案例中对应的条文,上网 进行详细查阅。 讨论 结合自身使用垃口 .、心恼或记他单位信息系统的经历,说说在日常学习、生活与工你内给1品总尔跳、公从1用馆真系 统,在班级内展开讨论。 项目实施 各小组根据项目洗题乃加社小顶日六安生人太节所学知识,进一步完善该项目方案中的各项学习活动,并参照项目范例 的样式,撰写本组的项目成果报告。 成果交流 各小组运用数字化学习工具,将所完成的项目成果,在小组或班级上进行展示与交流,共享创造、分享快乐。 活动评价 各小组根据项目选题、拟订的项目方案、实施情况以及所形成的项目成果,利用教科书附录2的“项目活动评价表”, 开展项目学习活动
19、评价。 拓展 古典密码学(Cryptology ) 恺撒密码(Caesars code)作为一种最古老的加密方法,在古罗马的时候已经很流行。为了防止敌方截获情报信件,恺 撒(古希腊名将,又称罗马帝国的奠基者)把要传送的信息进行加密,然后采用密文传送情报。其方法是:通过把字母移 动一定的位数来实现加密和解密,即明文中的所有字母都在字母表上向后(或向前)按照一个固定的数目进行偏移后被 替换成密文。 例如,当偏移量是3时,所有的字母A将被替换成D,B变成E,以此类推,X将变成A,Y变成B,Z变成C。假如加密信件中的 密文为fdhvdu,经过解密后其明文应为caesaro由此可见,偏移位数就是恺撒密码加密和解密的密钥。 其实基于统计学的原理,利用字母(包括其组合)的使用频率就可以找出密文和明文的对应关系,从而进行破解。所以 科学家经过努力,提出了对称加密(分组加密)和非对称加密(公钥加密)方法,有效提高了加密系统的安全性,其中香 农的概率统计研究观点影响深远。
