教育中的计算机信息系统/第3章/第9节 -- 安全

允许不在安全网络上的用户执行通常需要在安全网络上执行的任务，例如交换数据和金钱。国防部和私营部门利用相同的网络基础设施进行日常运营和商业实践。由于私营部门控制着超过85%的基础设施，因此行业和政府合作伙伴必须找到信息安全和能力至关重要。行业正在从使用服务器和网络计算机转向集成系统，例如云计算。维基百科将云计算定义为基于互联网的计算，其中共享资源、软件和信息按需提供给计算机和其他设备，就像公共事业一样。但是，云计算存在安全和隐私问题，而目前的服务器和网络计算机已经建立了安全措施来处理威胁。借助公钥基础设施，我们可以拥有用户身份、数据加密和接收者数据，以确保在IS域中正确处理数据。PKI最相关的应用之一在于数字签名和电子邮件应用。

能够将数字签名附加到电子邮件和文档，确保发送信息或签署文档的用户与特定人员相关联。这可以防止对敏感信息的任意处理，并为用户级别的信息处理提供可靠的责任追究。例如，在Adobe Professional中，软件用户能够向文档添加数字签名，并允许该文档从文档生成路由到归档文件，而无需硬拷贝制作。每个拥有签名权限或协调责任的人员的用户信息都将与文档一起记录。此数字文档流程为协调链中的人员提供了法律和个人责任。许多公司正在转向“无纸化文档流程”以减少对纸质产品的依赖。PKI使无纸化文档流程和电子邮件加密成为可能。

如果没有数字签名或加密流程，企业敏感信息很容易被错误地路由到公司权限范围之外。无论是在Microsoft Outlook、Eudora、Mozilla Thunderbird还是许多其他包含数字签名或加密功能的电子邮件软件程序中，您的企业都必须了解如何利用这些流程。根据Network Computing，“数字签名的电子邮件与不可否认性或文档认证不同，后者属于2000年联邦政府的电子签名法案的范畴。电子签名法案定义了在线交易中电子签名的法律结构，不适用于日常电子邮件。 ”通过使用智能卡，用户身份和证书颁发机构包含在内，并通过用户个人识别号码（PIN）进行访问。智能卡读卡器在PC和笔记本电脑中很普遍，并且是PKI解决方案中业务流程的关键项目。智能卡也用作物理安全协议下个人身份的一部分，以访问安全设施。在电子邮件领域，加密电子邮件消息的接收者需要将他们的智能卡插入他们的智能卡读卡器以解密消息，从而识别接收者为同一证书颁发机构中的某个人。如果向未经授权的用户发送加密消息而没有证书颁发机构凭据，则无法读取该消息，因为无法使用正确的密码。PKI结构依赖于证书颁发机构、一个或多个注册机构、管理证书的软件工具、用于公钥、证书和证书管理数据的目录、密钥管理软件以及建立在已颁发证书基础上的信任模型。在本章中，我们将主要处理PKI结构中的注册、证书和验证机构。

注册机构（RA）是用户（通过证书颁发机构（CA））与颁发流程（通过验证机构（VA）颁发的公钥）之间的约束力。注册机构（RA）是网络中一个机构，它验证用户对数字证书的请求，并指示证书颁发机构（CA）颁发该证书。RA是公钥基础设施（PKI）的一部分，PKI是一个网络系统，使公司和用户能够安全可靠地交换信息和金钱。数字证书包含一个公钥，用于加密和解密消息以及数字签名。证书颁发机构（CA）是网络中一个机构，它为消息加密颁发和管理安全凭据和公钥。作为公钥基础设施（PKI）的一部分，CA会与注册机构（RA）核实数字证书请求者提供的信息。如果RA验证了请求者信息，则CA可以颁发证书。

根据公钥基础设施的实现，证书包含所有者的公钥、证书的过期日期、所有者的姓名以及有关公钥所有者的其他信息。验证机构允许应用程序实时验证数字证书的状态，确保吊销的凭据不能用于安全电子邮件、智能卡登录、Web访问、无线、VPN或其他电子交易。许多支持私营和政府部门的私营部门供应商包括Entrust、Tumbleweed和Verisign。在教育环境中，信息系统能够利用这些安全措施来保护个人学业成绩、增强物理安全并维护校园内学生的个人责任。信息系统还将支持企业单点登录计划，将财务、学术、内部和外部电子邮件通信以及在线程序绑定到一个登录流程中。支持PKI基础设施的流程之一是引导程序，这些程序堆叠简单的程序或增加算法复杂性以增强安全性。以下是如何在IS安全环境中实施引导程序的概述。

引导是指一个简单的系统启动一个用于相同目的的更复杂系统的过程。“引导最初配置设备，以便它可以由特权代理持续配置。持续配置是通过根据需要更新或更改配置设置和应用程序来持续配置移动设备。设备必须引导才能使用选择的XML交付机制。引导由OEM执行，或使用OMA客户端配置执行。有关如何为各种交付机制引导的信息，请参阅引导设备。默认情况下，移动设备上的无线（OTA）引导处于禁用状态。设备最初将不会接受通过无线应用协议（WAP）通过OTA发送的配置消息。"

引导移动设备通常涉及使用以下信息配置设备：• 可信配置服务器（TPS）• 特权推送代理网关• WAP连接• 通用分组无线业务（GPRS）/1x实时工具包（RTT）连接• 对默认安全模型的更改

引导还可以包括配置其他设置，例如浏览器收藏夹、电话应用程序编程接口（TAPI）、区域设置、时钟和注册表。

随着我们社会中移动设备的激增，拥有此功能的学生和家长可以了解课程进度，并且教师可以随时让学生了解影响课程作业的任何更改或相关材料。引导是一种安全配置形式，但也有一些已知的安全措施可以使信息免受未经授权的影响而保持私密和安全。

生物识别有多种形式，例如指纹、视网膜或虹膜光学识别。生物识别识别对每个人都是独一无二的，有助于确保只有该用户在使用这些凭据时才被授权访问。通过生物识别形式访问信息系统通常与存储在智能卡或令牌中的PIN相结合。相同级别的安全性也可用于访问设施或保存信息的设施的敏感区域。在学生信息和管理系统中，必须采取安全措施来阻止更改系统内学业成绩的企图。确保对敏感区域和信息的授权访问支持学术机构的信誉。学术机构内的管理流程具有一定的官方职能，需要签名才能完成文档。数字签名允许对具有此责任的官员进行身份验证。支持此流程的软件包括Adobe Professional、Silanis Technology、E-Lock和其他行业标准。当注册处办公室签署学位申请时，可以使用数字签名，该签名将为签名块分配唯一的标识符，甚至分配注册处签名样本。这不需要打印文档，但仍然允许文件和归档文档。数字签名还允许在软件支持时进行电子邮件加密。

数字签名用于验证消息或文档发送者的身份。这并非用于普通电子邮件处理，而是用于对学术管理要求的正式回复。电子邮件被加密以发送给授权的接收者。要打开电子邮件，接收者需要输入他们的电子邮件凭据或智能卡以解密消息。只要发送方和接收方都在同一证书颁发机构或相关的证书颁发机构下，信息加密和解密都将支持电子邮件通信。

企业单点登录允许用户只需登录一次即可访问所有已授权的系统。韦伯斯特大学在线课程登录（Connections）就是一个单点登录的例子，用户可以通过它访问财务和奖学金、学业进度/历史、注册、图书馆服务、在线课程以及构成Connections的许多其他信息系统。将所有这些系统的访问管理整合到一个登录流程中，消除了IT资源为每个系统重置密码的需要，节省了大量的IT生产力时间。单点登录流程还可以为学生信息管理系统提供一种在整个Connections/Blackboard网站上标准化防御机制的方法。技术服务和信息安全部门共同努力，制定流程以减轻对学生信息管理系统的威胁。在下一节中，我们将介绍系统管理员需要利用的一些安全措施来保护信息保障。

信息安全意识提供了减轻信息保障威胁的措施，例如内部威胁、克服程序防御和物理安全渗透。每个信息系统都存在被想要拒绝服务、破坏数据或窃取受隐私法和贸易法规保护的信息的人攻击的漏洞。必须制定针对用户的流程和培训，以保护信息并确保所有授权用户都能使用系统。以下几个流程将说明如何提高系统可靠性和保护信息免受未经授权的使用。 内部威胁是指公司内部员工通过恶意活动或松懈的信息安全流程来获取控制权并损害计算机系统和网络。许多时候，当员工即将被解雇时，服务会被拒绝或登录尝试会失败。此流程的目的是保护信息系统免受心怀不满的员工的恶意活动。信息系统技术人员会监控员工活动，并在用户尝试访问超出其授权范围的区域或扰乱服务时进行干预。另一种形式的内部威胁是缺乏信息安全意识的员工。在政府部门，威胁我们国家安全和海外利益的关键信息必须在适当的级别和分类的安全的系统内处理。未分类的材料不能与机密信息一起使用。由于各种存储设备的信息可移植性，信息可能会因计算机病毒和在内部网或未定期执行病毒检查的计算机上发现的恶意程序而降级或丢失。信息保障培训可以极大地阻止对信息系统的威胁，员工的意识将帮助用户更高效、更主动地进行信息保障。

员工信息安全意识计划对于信息安全至关重要。了解信息安全协议的员工可以在日常工作中积极主动地确保公司信息得到保护，并在需要时随时可用。信息备份、计算机病毒检查、限制便携式存储设备的使用（仅限公司所有）以及许多其他安全的信息系统流程确保所有系统用户都能使用这些工具。定期培训让每个人了解新技术、威胁和报告威胁或异常情况的流程。信息系统经理必须将信息安全措施纳入用户/员工培训中，以提高意识并阻止信息系统威胁。

物理安全包括保护硬件、程序和网络免受可能导致公司损失或损坏的事件。设施、机柜和存储单元上的锁可以阻止信息和信息系统工具被盗。需要凭据才能进入设施的员工可以识别谁、什么、为什么以及何时授权访问信息。跟踪系统记录员工和设备在设施内的移动情况。数据存储设施也必须加强对环境危害的防护，以确保不间断地访问信息。此类设施配备了先进的灭火系统、液压或弹簧地板以吸收地震或爆炸，以及人员识别系统以阻止犯罪活动。信息物理安全将需要针对客户及其业务目标的需求进行开发、规划和战略构想。

总结

在学生方面，信息安全是一个至关重要的议题。当学生使用互联网和电脑时，他们必须了解在使用互联网时存在某些风险。学生需要了解在互联网上始终应遵循的基本原则。每个学生都需要熟悉信息安全和数据保护。每个学生都应该知道，个人数据和主流数据都会使用户在互联网上变得脆弱，这就是数据保护如此重要的原因。了解哪些类型的数据应该受到保护将提高学生的意识。银行业务、个人联系、健康、电子邮件和照片都是始终需要保护的数据类型。对于一些学生来说，这将是一个学习过程，但只要具备一些基本知识并花时间确保每个细节都得到考虑，学生就不应该有任何问题。在使用互联网时，一个明确的理解是，每个人都有责任维护课堂和大学的信息安全。学生必须认识到，在互联网上进行任何活动时，都处于受信赖的位置，因此不再是普通学生。当学生在大学或学院校园时，他们对该机构信息系统的访问仅限于该学生本人。银行和其他个人信息的谨慎程度也应该体现在学生机构提供的用户名和密码上。学生对使用该账户进行的任何活动负责，因此务必不要泄露用户名或密码。学生还需要了解如何创建安全的密码。在密码方面，一个好的密码总是容易记住的，但密码的目标是难以猜测。写下密码似乎是最简单的保存方式，但这样做将是一个严重的错误。对所有学生来说，尽力记住密码至关重要，这样只有您自己知道您的密码。

问题：将下列术语与其正确的定义匹配

A. 公钥基础设施 B. 安全令牌 C. 生物识别 D. 内部威胁 E. 智能卡

1. 由于员工无知、不良操作或恶意信息安全活动而对数据和系统造成的损害 2. 创建、管理、分发、使用、存储和撤销数字证书所需的一套硬件、软件、人员、策略和流程 3. 授权的计算机服务用户获得的物理设备，用于简化身份验证。 4. 任何带有嵌入式集成电路的小巧卡片，可以处理数据。 5. 用作身份访问管理和访问控制的一种形式。

答案：A-2, B-3, C-5, D-1, E-4

参考文献

Andrea Siedsma, **圣地亚哥商业杂志**。圣地亚哥：2010年3月29日。第31卷，第13期；第18页 云计算，**维基百科**。http://en.wikipedia.org/wiki/Cloud_computing，2010年4月28日 Curtis Franklin Jr. **网络计算**。曼哈塞特：2005年10月1日。第16卷，第20期；第69页，3页 Florence Olsen。**联邦计算机周刊**。福尔斯彻奇：2005年9月5日。第19卷，第30期；第62页，2页