信息安全法規(guī)與倫理道德調(diào)查

申請免費(fèi)試用、咨詢電話：400-8352-114

信息技術(shù)的發(fā)展帶動(dòng)了全球信息化的發(fā)展， 隨著21 世紀(jì)社會信息化程度的日趨深化以及社會各行各業(yè)計(jì)算機(jī)應(yīng)用的廣泛普及， 計(jì)算機(jī)信息系統(tǒng)安全問題已成為當(dāng)今社會的主要課題之一。隨之而來的計(jì)算機(jī)犯罪也越來越猖獗， 它已對國家安全、社會穩(wěn)定、經(jīng)濟(jì)建設(shè)以及個(gè)人合法權(quán)益構(gòu)成了嚴(yán)重威脅。面對這一嚴(yán)峻勢態(tài)， 為有效地防止計(jì)算機(jī)犯罪， 并在一定程度上確保計(jì)算機(jī)信息系統(tǒng)安全高效運(yùn)作， 我們不僅要從技術(shù)角度采取一些安全措施； 還要在管理上采取一些安全手段， 因此， 制定和完善信息安全法律法規(guī)， 制定及宣傳信息安全倫理道德規(guī)范、提高計(jì)算機(jī)信息系統(tǒng)用戶及廣大社會公民的職業(yè)道德素養(yǎng)以及建立健全信息系統(tǒng)安全調(diào)查制度和體系等顯得非常重要， 為此， 以下就這幾個(gè)方面進(jìn)行了深入詳盡的探討。

1. 計(jì)算機(jī)犯罪的危害及其對社會的沖擊

利用現(xiàn)代信息和電子通訊技術(shù)從事計(jì)算機(jī)犯罪活動(dòng)已涉及到政治、軍事、經(jīng)濟(jì)、科技文化衛(wèi)生等各個(gè)領(lǐng)域。在計(jì)算機(jī)化程度較高的國家， 計(jì)算機(jī)犯罪已經(jīng)形成了一定規(guī)模， 成為了一種嚴(yán)重的社會問題， 威脅著經(jīng)濟(jì)發(fā)展、社會穩(wěn)定和國家安全。據(jù)不完全統(tǒng)計(jì)， 美國計(jì)算機(jī)犯罪造成的損失已達(dá)上萬億美元， 年損失幾百億美元， 平均每起損失90 萬美元。原聯(lián)邦德國每年損失95 億美元。英國為25 億美元， 且每40 秒鐘就發(fā)生一起計(jì)算機(jī)詐騙案。亞洲地區(qū)的計(jì)算機(jī)犯罪問題也很嚴(yán)重， 如日本、新加坡等。我國在報(bào)紙上公開報(bào)導(dǎo)的計(jì)算機(jī)犯罪案件也已達(dá)數(shù)萬起。這一切足以表明計(jì)算機(jī)犯罪已成為不容忽視的社會現(xiàn)象。各國政府、各級機(jī)構(gòu)乃至整個(gè)社會都應(yīng)積極行動(dòng)起來， 打擊和防患計(jì)算機(jī)犯罪。

2. 信息系統(tǒng)安全保護(hù)規(guī)范化與法制化

計(jì)算機(jī)信息系統(tǒng)安全立法為信息系統(tǒng)安全保護(hù)提供了法律的依據(jù)和保障， 有利于促進(jìn)計(jì)算機(jī)產(chǎn)業(yè)、信息服務(wù)業(yè)和科學(xué)技術(shù)的發(fā)展。信息系統(tǒng)安全法律規(guī)范通常建立在信息安全技術(shù)標(biāo)準(zhǔn)和社會實(shí)際基礎(chǔ)之上， 其目標(biāo)在于明確責(zé)任， 制裁計(jì)算機(jī)違法犯罪， 保護(hù)國家、單位及個(gè)人的正當(dāng)合法權(quán)益。

2.1 國內(nèi)信息系統(tǒng)安全立法簡況

早在1981 年， 我國政府就對計(jì)算機(jī)信息系統(tǒng)安全予以了極大關(guān)注。并于1983 年7 月， 公安部成立了計(jì)算機(jī)管理監(jiān)察局， 主管全國的計(jì)算機(jī)安全工作。為提高和加強(qiáng)全社會的計(jì)算機(jī)安全意識觀念， 積極推動(dòng)和指導(dǎo)各有關(guān)方面的計(jì)算機(jī)安全治理工作，公安部于1987 年10 月推出了《電子計(jì)算機(jī)系統(tǒng)安全規(guī)范》。迄今為止， 我國已頒布的與計(jì)算機(jī)信息系統(tǒng)安全問題有關(guān)的法律法規(guī)主要還有以下這些： 于1986 年頒布的《治安管理處罰條例》和《標(biāo)準(zhǔn)化法》； 于1988 年頒布的《保守國家秘密法》； 于1991 年頒布的《計(jì)算機(jī)軟件保護(hù)條例》； 于1992 年頒布的《計(jì)算機(jī)軟件著作權(quán)登記辦法》； 于1994 年頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》， 它是我國第一個(gè)計(jì)算機(jī)安全法規(guī)， 也是我國計(jì)算機(jī)安全工作的總綱[1]; 于1997 年頒布的《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》和《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》；于1999 年制定并發(fā)布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》。

2.2 國外信息系統(tǒng)安全立法簡況

發(fā)達(dá)國家關(guān)注計(jì)算機(jī)安全立法是從上世紀(jì)60 年代開始的。瑞典早在1973 年就頒布了《數(shù)據(jù)法》， 這是世界上首部直接涉及計(jì)算機(jī)安全問題的法規(guī)。隨后， 丹麥等西歐各國都先后頒布了數(shù)據(jù)法或數(shù)據(jù)保護(hù)法。美國國防部早在上世紀(jì)80 年代就對計(jì)算機(jī)安全保密問題開展了一系列有影響的工作。針對竊取計(jì)算機(jī)數(shù)據(jù)和對計(jì)算機(jī)信息系統(tǒng)的種種危害， 1981 年成立了國家計(jì)算機(jī)安全中心， 1983 年美國國家計(jì)算機(jī)安全中心公布了可信計(jì)算機(jī)系統(tǒng)評價(jià)準(zhǔn)則， 1986 年制定了計(jì)算機(jī)詐騙條例， 1987 年制定了計(jì)算機(jī)安全條例， 1999 年制定了信息技術(shù)安全評價(jià)通用準(zhǔn)則（CC）, 2003 年美國國家安全局又發(fā)布了信息保障技術(shù)框架IATF4.0版本[2]。在亞洲， 日本政府對計(jì)算機(jī)信息系統(tǒng)安全也相當(dāng)重視， 1984 年日本金融界成立了金融工業(yè)信息系統(tǒng)中心，1985 年制定了計(jì)算機(jī)安全規(guī)范， 1986 年成立了計(jì)算機(jī)安全管理協(xié)會， 1989 年日本警視廳又公布了《計(jì)算機(jī)病毒等非法程序的對策指南》。

3. 信息系統(tǒng)安全道德與宣傳教育

計(jì)算機(jī)道德是用來約束計(jì)算機(jī)從業(yè)人員的言行， 指導(dǎo)其思想的一整套道德規(guī)范， 涉及到思想認(rèn)識、服務(wù)態(tài)度、業(yè)務(wù)鉆研、安全意識、待遇得失及公共道德等方面。長期以來， 由于計(jì)算機(jī)文化和技術(shù)發(fā)展的不平衡性， 人們的思想觀念未能跟上計(jì)算機(jī)發(fā)展的需要。因此， 研究計(jì)算機(jī)道德的任務(wù)在于一方面通過宣傳手段更新人們的思想觀念， 使其逐步認(rèn)識到對計(jì)算機(jī)信息系統(tǒng)的破壞活動(dòng)亦是一種不道德、不符合現(xiàn)代社會倫理要求的行為； 另一方面通過建立健全切實(shí)可行的法律法規(guī)及行為規(guī)范準(zhǔn)則， 使人們認(rèn)識到計(jì)算機(jī)犯罪的非法性。

實(shí)踐證明， 計(jì)算機(jī)職業(yè)道德建設(shè)應(yīng)該從小處抓起、從早抓起， 各級教育部門應(yīng)該將計(jì)算機(jī)道德教育列入德育教育的范疇，使其成為大眾的普及課， 成為計(jì)算機(jī)課程體系中的必修課。隨著社會信息化程度的日益提高， 計(jì)算機(jī)道德建設(shè)必將引起各國有關(guān)部門的高度重視。

4. 計(jì)算機(jī)信息系統(tǒng)安全調(diào)查

4.1 計(jì)算機(jī)安全調(diào)查的概念與系統(tǒng)方法

至今為止， 人們對計(jì)算機(jī)安全調(diào)查仍未形成統(tǒng)一的認(rèn)識。各國對計(jì)算機(jī)安全調(diào)查存在著不同程度的認(rèn)識和見解。計(jì)算機(jī)信息系統(tǒng)安全調(diào)查雖然包含著一定科學(xué)技術(shù)的成份， 但總體說來，它表現(xiàn)為信息安全管理方面的因素居多[3]。在西方一些計(jì)算機(jī)事業(yè)發(fā)達(dá)的國家， 信息系統(tǒng)安全調(diào)查通常指的是當(dāng)某一部門或單位的計(jì)算機(jī)系統(tǒng)受到攻擊時(shí)， 為挽救系統(tǒng)、盡量避免或減少因受攻擊帶來的損失， 負(fù)責(zé)信息安全的主管部門或組織往往會秘密地介入其中， 按照一定的法律程序且依靠一定的技術(shù)手段及管理方法對遭受攻擊的系統(tǒng)進(jìn)行跟蹤調(diào)查分析， 從而找出作案嫌疑人、恢復(fù)或重建系統(tǒng)并追回?fù)p失。其最終目的是根據(jù)作案后留下的有效證據(jù)對被入侵的系統(tǒng)進(jìn)行系統(tǒng)調(diào)查， 從而找出作案嫌疑人并追回?fù)p失； 同時(shí)， 通過調(diào)查發(fā)覺系統(tǒng)內(nèi)新增的安全隱范和漏洞， 以求盡量減少日后系統(tǒng)被再次攻擊的可能性。

計(jì)算機(jī)信息系統(tǒng)安全調(diào)查的實(shí)施是一個(gè)極富技巧性和藝術(shù)性的過程。開展調(diào)查時(shí)， 往往要講究方式方法， 遵循一定的原則。通常在執(zhí)行信息系統(tǒng)安全調(diào)查之前， 可以適當(dāng)考慮Smith 的七步驟系統(tǒng)方法[4]。該方法內(nèi)容如下： ①速度。在證據(jù)受到破壞之前， 必須迅速立案； ②秘密行動(dòng)。調(diào)查必須秘密展開， 避免嫌疑犯發(fā)覺； ③系統(tǒng)安全。執(zhí)行調(diào)查過程中應(yīng)盡量避免系統(tǒng)受到更大損害； ④保護(hù)證據(jù)。執(zhí)行調(diào)查時(shí)應(yīng)采取一系列切實(shí)可行的措施保護(hù)證據(jù)； ⑤懷疑雇員。要大膽懷疑雇員， 大多數(shù)攻擊行為均是由雇員實(shí)施的； ⑥提供報(bào)告。必須知曉如何擬就一份容易被別人看懂的報(bào)告； ⑦調(diào)查許可證。必要時(shí)可按相關(guān)法律程序準(zhǔn)備并提供一份調(diào)查許可證。

4.2 計(jì)算機(jī)安全調(diào)查的一種實(shí)施方法

當(dāng)信息系統(tǒng)中的一臺或多臺計(jì)算機(jī)遭到黑客侵入時(shí)， 為找出入侵原因及攻擊者， 應(yīng)立即對其進(jìn)行安全調(diào)查。以下闡述了在執(zhí)行計(jì)算機(jī)安全調(diào)查時(shí)所采用的一種方法。

系統(tǒng)被攻擊后， 安全調(diào)查人員要立即到達(dá)案發(fā)現(xiàn)場， 分析系統(tǒng)日志及網(wǎng)絡(luò)異常情況， 確定攻擊開始的時(shí)間， 然后立即切斷機(jī)器的網(wǎng)絡(luò)連接。為使后續(xù)的安全檢查中不破壞證據(jù)， 同時(shí)也應(yīng)迅速建立一個(gè)“潔凈室”, 該潔凈室絕對不允許內(nèi)外因素相互感染，它為安全調(diào)查人員檢查不可信的文件和已感染機(jī)器提供了一套可信的工具和工作平臺， 該工作平臺也不會觸發(fā)攻擊者加入的任何傻瓜陷阱。待潔凈室搭建完畢后， 立即將被攻擊的機(jī)器搬進(jìn)潔凈室。然后在該機(jī)器上做一個(gè)備份磁盤， 備份應(yīng)包括所有文件系統(tǒng)的完整備份、所有正在運(yùn)行的進(jìn)程列表備份以及所有監(jiān)聽網(wǎng)絡(luò)連接的服務(wù)列表備份等。獲取被攻擊系統(tǒng)的所有信息后， 就立即關(guān)閉機(jī)器， 為安全起見， 通常最好的方法是直接撥下電源插頭， 使機(jī)器停止運(yùn)行， 因?yàn)檫@種關(guān)機(jī)方式不給計(jì)算機(jī)任何警告，從而可以繞過攻擊者設(shè)下的種種陷阱。一旦機(jī)器被關(guān)閉， 就可在潔凈室中將主硬盤從受感染的機(jī)器上移走， 并將其作為從硬盤裝入潔凈室的可信賴機(jī)器上， 但應(yīng)將受損害的磁盤設(shè)為只讀且將可信賴機(jī)器上的可信賴軟件設(shè)為只讀。接著就可以分析被感染的文件系統(tǒng)了， 通過周密調(diào)查分析確定初始入侵是怎樣發(fā)生的以及新增加了哪些漏洞。在分析被感染文件系統(tǒng)時(shí)可采用多疑分析法及簡單分析法等分析方法， 并將所有分析數(shù)據(jù)記錄下來。若調(diào)查過程中發(fā)現(xiàn)現(xiàn)有的調(diào)查分析方法對任何新現(xiàn)象表現(xiàn)出缺陷， 就應(yīng)果斷退回去， 重新評價(jià)所有的已得結(jié)論[5]。

5. 結(jié)束語

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展和普及， 計(jì)算機(jī)信息系統(tǒng)安全的重要性日益突出， 已經(jīng)引起了社會各界的廣泛關(guān)注， 國內(nèi)外有關(guān)信息安全問題的研究力度也在不斷加大， 面對這一格局， 各高等院校計(jì)算機(jī)與信息技術(shù)專業(yè)紛紛開始將信息安全納入主修課程。信息安全不僅涉及以上所述的管理方面的內(nèi)容， 而且還涉及密碼理論、身份認(rèn)證、訪問控制、審計(jì)、安全脆弱性分析、入侵檢測等技術(shù)層面的內(nèi)容。作為計(jì)算機(jī)信息系統(tǒng)安全問題的基礎(chǔ)和信息系統(tǒng)安全可靠運(yùn)作的重要保障， 計(jì)算機(jī)信息安全法律法規(guī)、職業(yè)道德及安全調(diào)查等環(huán)節(jié)是密切聯(lián)系， 不可分割的。為減少和有效避免計(jì)算機(jī)犯罪對計(jì)算機(jī)信息系統(tǒng)帶來的巨大破壞和損失， 促使信息系統(tǒng)安全事業(yè)的進(jìn)一步發(fā)展， 我們應(yīng)該深入研究、正確認(rèn)識和把握計(jì)算機(jī)安全法規(guī)、倫理道德及調(diào)查三者之間的關(guān)系。（萬方數(shù)據(jù)）