信息安全案例分析

1、案例一 機時問題。張三是一個大型軟件公司的程序員，其工作是編寫和測試一些工具軟件。他所在的公司采用兩班輪換制：白天進行程序開發(fā)和聯(lián)機操作，晚上完成產(chǎn)品的批處理工作。張三通過訪問工作負荷數(shù)據(jù)了解到，晚上的批處理工作是白天編程工作的補充。也就是說，在晚班時增加程序設計工作，不會太多地影響他人使用計算機的操作性能。張三利用晚班時間，花費幾個小時編程，開發(fā)了一個管理自己股票清單的程序，之后又回到他的公司產(chǎn)品批處理工作。他的編程對系統(tǒng)消耗很小，耗材很少，幾乎察覺不到。張三的做法違反法律嗎？行為道德嗎？案例一問題討論。1、資產(chǎn)擁有權問題。計算機資產(chǎn)與時間人員資產(chǎn)。只為公司的工作需要提供資源。2、一人行為對

2、他人的影響問題。盡管程序?qū)ο到y(tǒng)消耗很小，程序也簡單，一般情況也可能無影響。但不能保證程序中沒有漏洞。如有就會對系統(tǒng)造成嚴重影響或故障。3、普遍性問題。如果張三的行為可以接受，許多人都這樣作，就可能影響系統(tǒng)效率。4、檢測的可能性與處罰問題。不容易發(fā)覺并不是不能檢測到，如果公司確定他的行為不當，就會受到處罰。案例二 個人隱私權。李國華是一個計算機記錄員，在一個數(shù)據(jù)收集記錄部門工作，可以訪問有關財產(chǎn)稅記錄的相關文件。為了作一項科學研究，王愛民被授權訪問記錄的數(shù)字部分，但無權訪問相關人的姓名部分。王愛民找到了想要使用的一些信息，但是需要對應的姓名和地址信息。于是他向李國華索要相關人的姓名、地址，以便與

3、這些研究對象進行聯(lián)系，從而獲得更多信息，開展進一步研究。李國華是否應該將姓名、地址信息告訴王愛民呢？案例二 隱私權問題討論。1、工作權限與責任問題。記錄員沒有權力決定數(shù)據(jù)信息是否可以給別人使用。應該請示上級。2、隱私數(shù)據(jù)使用問題。科學研究只能訪問統(tǒng)計數(shù)據(jù)，而不能隨便訪問涉及個人隱私的信息數(shù)據(jù)。3、使用隱私數(shù)據(jù)動機問題。聲稱作研究用，但也可能有其他目的。4、工作權限的確定問題。只允許訪問統(tǒng)計數(shù)據(jù)，不允許訪問個體姓名、地址，說明科學研究的范圍。只能在此范圍內(nèi)完成。類似的還有醫(yī)學研究，要訪問醫(yī)療疾病數(shù)據(jù)。也有隱私問題。案例三 所有權問題。郭某是一個程序員，在一家大公司下的計算機子公司X工作。這家公司

4、有很多政府合同。陸某是郭某的上級，分配郭某去編寫不同種類的仿真程序。為了提高工作效率，郭某編寫了一些工具程序，如交叉引用等工具。但這些都不是分配給他的工作，而是郭某晚上在自己家里使用自己的計算機編寫完成的。他在工作中使用，沒有將這些告訴任何人。郭某決定出售自己的這些工具程序。當公司經(jīng)理得知后，命陸某轉告郭某，無權出售這些工具，因為受聘時簽訂的合同，注明了他的所有發(fā)明都屬于公司。案例三 所有權問題（續(xù)）。陸某不同意這個觀點，因為他知道郭某是自行完成這些工具的。所有他很不情愿地告訴郭某不要在市場上出售這些工具，并叫郭某復制了一份給他。之后，陸某辭去了該公司的工作，并在另一計算機公司Y當上了管理人員

5、。該公司是X公司的競爭對手。他把郭某的工具復制版發(fā)給和他一起工作的員工們。使他們大大提高了工作效率。因而陸某受到經(jīng)理嘉獎，獲得一大筆獎金。郭某聽說后就和陸某聯(lián)系交涉，而陸某爭辯說，因為這些工具屬于X公司，且它的運轉靠的是政府資金，所以這些工具是公共產(chǎn)品，并不屬于任何人。案例三 所有權問題討論。1、權利問題。對于這些工具軟件。郭某、陸某、X公司、Y公司各自的權利是什么？2、權利的根據(jù)。誰給了他們的這些權利？這個案例牽涉到哪些有關公平競爭、商業(yè)、財產(chǎn)權的原則。3、在公司開發(fā)產(chǎn)品的考慮。郭某能作什么事？4、對員工自己開發(fā)的產(chǎn)品應該如何處理。X公司如何作？陸某如何作？Y公司如何作？案例四 受限資源合法

6、使用權。 蘇某通過合法渠道購買了一個軟件包。這是一個私人軟件包，受版權保護，并有一個許可協(xié)定，聲明此軟件只供購買者本人使用。蘇某向李四展示了這個軟件。李四很滿意，但是李四想進一步試用。至此還沒有出現(xiàn)問題。獨立考慮下面每一步有什么問題。1、蘇某將軟件拷貝了一份給李四使用。2、蘇某將軟件拷貝了一份給李四使用，并且李四使用了一段時間。3、蘇某將軟件拷貝了一份給李四使用，并且李四使用了一段時間后，自己也購買了一份。案例四 受限資源合法使用權（續(xù)）。4、蘇某將軟件拷貝了一份給李四使用，但條件是李四在第二天早上必須歸還，且不能自行拷貝。李四按要求做了。5、在同樣條件下，蘇某將軟件拷貝了一份給李四，但李四在

7、歸還之前又自行拷貝了一份。6、在同樣條件下，蘇某將軟件拷貝了一份給李四，李四在歸還之前又自行拷貝了一份，然后自己又購買了一份。7、在同樣條件下，蘇某將軟件拷貝了一份給李四，但李四第二天沒有歸還。對每種情況獨立考慮，誰受到影響，涉及哪些問題，優(yōu)先原則。案例五 受命編寫有欺詐行為的程序 賴某在一家公司作程序員。他的上級戴某讓他編寫一個程序，使人們可以直接在公司的賬目文件中修改表項。賴某知道，一般來說，對賬簿進行修改的規(guī)程要求每步結算。賴某意識到這個新程序的使用可能會使某些人對一些敏感數(shù)據(jù)進行修改，并且無法追蹤是誰做了修改、是什么時候修改、是以什么理由進行修改的。賴某向戴某提出了這些擔憂，但是戴某告

8、訴他不要擔心，按他的要求編寫程序就行了，并說他知道有誤用程序的可能性，但仍堅持其要求，；理由是賬簿周期性地會有錯誤數(shù)據(jù)產(chǎn)生，而且公司需要對其進行修正。案例五 受命編寫有欺詐行為的程序（續(xù)）下面考慮戴某的可能選擇：1、賴某編寫了這個程序。那么他可能成為該欺詐行為的幫兇。2、賴某向戴某的上級告發(fā)戴某。那么戴某或上級可能會把他看成一個制造麻煩的人，因而申斥或解雇他。3、賴某拒絕編寫程序。那么戴某可能以他沒有完成任務解雇他。4、賴某在程序中附加一些額外的代碼，用于記錄程序什么時候運行、誰運行的、作了哪些修改。這個額外的日志文件可以提供欺詐行為的犯罪證據(jù)。但是如果沒有欺詐行為存在，而戴某又發(fā)現(xiàn)了這個秘密日志，那么賴某就會遇到麻煩。案例五 編寫有欺詐行為程序的討論1、程序員是否