信息安全案例分析

1、案例一 機(jī)時(shí)問題。張三是一個(gè)大型軟件公司的程序員，其工作是編寫和測(cè)試一些工具軟件。他所在的公司采用兩班輪換制：白天進(jìn)行程序開發(fā)和聯(lián)機(jī)操作，晚上完成產(chǎn)品的批處理工作。張三通過訪問工作負(fù)荷數(shù)據(jù)了解到，晚上的批處理工作是白天編程工作的補(bǔ)充。也就是說(shuō)，在晚班時(shí)增加程序設(shè)計(jì)工作，不會(huì)太多地影響他人使用計(jì)算機(jī)的操作性能。張三利用晚班時(shí)間，花費(fèi)幾個(gè)小時(shí)編程，開發(fā)了一個(gè)管理自己股票清單的程序，之后又回到他的公司產(chǎn)品批處理工作。他的編程對(duì)系統(tǒng)消耗很小，耗材很少，幾乎察覺不到。張三的做法違反法律嗎？行為道德嗎？案例一問題討論。1、資產(chǎn)擁有權(quán)問題。計(jì)算機(jī)資產(chǎn)與時(shí)間人員資產(chǎn)。只為公司的工作需要提供資源。2、一人行為對(duì)

2、他人的影響問題。盡管程序?qū)ο到y(tǒng)消耗很小，程序也簡(jiǎn)單，一般情況也可能無(wú)影響。但不能保證程序中沒有漏洞。如有就會(huì)對(duì)系統(tǒng)造成嚴(yán)重影響或故障。3、普遍性問題。如果張三的行為可以接受，許多人都這樣作，就可能影響系統(tǒng)效率。4、檢測(cè)的可能性與處罰問題。不容易發(fā)覺并不是不能檢測(cè)到，如果公司確定他的行為不當(dāng)，就會(huì)受到處罰。案例二 個(gè)人隱私權(quán)。李國(guó)華是一個(gè)計(jì)算機(jī)記錄員，在一個(gè)數(shù)據(jù)收集記錄部門工作，可以訪問有關(guān)財(cái)產(chǎn)稅記錄的相關(guān)文件。為了作一項(xiàng)科學(xué)研究，王愛民被授權(quán)訪問記錄的數(shù)字部分，但無(wú)權(quán)訪問相關(guān)人的姓名部分。王愛民找到了想要使用的一些信息，但是需要對(duì)應(yīng)的姓名和地址信息。于是他向李國(guó)華索要相關(guān)人的姓名、地址，以便與

3、這些研究對(duì)象進(jìn)行聯(lián)系，從而獲得更多信息，開展進(jìn)一步研究。李國(guó)華是否應(yīng)該將姓名、地址信息告訴王愛民呢？案例二 隱私權(quán)問題討論。1、工作權(quán)限與責(zé)任問題。記錄員沒有權(quán)力決定數(shù)據(jù)信息是否可以給別人使用。應(yīng)該請(qǐng)示上級(jí)。2、隱私數(shù)據(jù)使用問題。科學(xué)研究只能訪問統(tǒng)計(jì)數(shù)據(jù)，而不能隨便訪問涉及個(gè)人隱私的信息數(shù)據(jù)。3、使用隱私數(shù)據(jù)動(dòng)機(jī)問題。聲稱作研究用，但也可能有其他目的。4、工作權(quán)限的確定問題。只允許訪問統(tǒng)計(jì)數(shù)據(jù)，不允許訪問個(gè)體姓名、地址，說(shuō)明科學(xué)研究的范圍。只能在此范圍內(nèi)完成。類似的還有醫(yī)學(xué)研究，要訪問醫(yī)療疾病數(shù)據(jù)。也有隱私問題。案例三 所有權(quán)問題。郭某是一個(gè)程序員，在一家大公司下的計(jì)算機(jī)子公司X工作。這家公司

4、有很多政府合同。陸某是郭某的上級(jí)，分配郭某去編寫不同種類的仿真程序。為了提高工作效率，郭某編寫了一些工具程序，如交叉引用等工具。但這些都不是分配給他的工作，而是郭某晚上在自己家里使用自己的計(jì)算機(jī)編寫完成的。他在工作中使用，沒有將這些告訴任何人。郭某決定出售自己的這些工具程序。當(dāng)公司經(jīng)理得知后，命陸某轉(zhuǎn)告郭某，無(wú)權(quán)出售這些工具，因?yàn)槭芷笗r(shí)簽訂的合同，注明了他的所有發(fā)明都屬于公司。案例三 所有權(quán)問題（續(xù)）。陸某不同意這個(gè)觀點(diǎn)，因?yàn)樗拦呈亲孕型瓿蛇@些工具的。所有他很不情愿地告訴郭某不要在市場(chǎng)上出售這些工具，并叫郭某復(fù)制了一份給他。之后，陸某辭去了該公司的工作，并在另一計(jì)算機(jī)公司Y當(dāng)上了管理人員

5、。該公司是X公司的競(jìng)爭(zhēng)對(duì)手。他把郭某的工具復(fù)制版發(fā)給和他一起工作的員工們。使他們大大提高了工作效率。因而陸某受到經(jīng)理嘉獎(jiǎng)，獲得一大筆獎(jiǎng)金。郭某聽說(shuō)后就和陸某聯(lián)系交涉，而陸某爭(zhēng)辯說(shuō)，因?yàn)檫@些工具屬于X公司，且它的運(yùn)轉(zhuǎn)靠的是政府資金，所以這些工具是公共產(chǎn)品，并不屬于任何人。案例三 所有權(quán)問題討論。1、權(quán)利問題。對(duì)于這些工具軟件。郭某、陸某、X公司、Y公司各自的權(quán)利是什么？2、權(quán)利的根據(jù)。誰(shuí)給了他們的這些權(quán)利？這個(gè)案例牽涉到哪些有關(guān)公平競(jìng)爭(zhēng)、商業(yè)、財(cái)產(chǎn)權(quán)的原則。3、在公司開發(fā)產(chǎn)品的考慮。郭某能作什么事？4、對(duì)員工自己開發(fā)的產(chǎn)品應(yīng)該如何處理。X公司如何作？陸某如何作？Y公司如何作？案例四 受限資源合法

6、使用權(quán)。 蘇某通過合法渠道購(gòu)買了一個(gè)軟件包。這是一個(gè)私人軟件包，受版權(quán)保護(hù)，并有一個(gè)許可協(xié)定，聲明此軟件只供購(gòu)買者本人使用。蘇某向李四展示了這個(gè)軟件。李四很滿意，但是李四想進(jìn)一步試用。至此還沒有出現(xiàn)問題。獨(dú)立考慮下面每一步有什么問題。1、蘇某將軟件拷貝了一份給李四使用。2、蘇某將軟件拷貝了一份給李四使用，并且李四使用了一段時(shí)間。3、蘇某將軟件拷貝了一份給李四使用，并且李四使用了一段時(shí)間后，自己也購(gòu)買了一份。案例四 受限資源合法使用權(quán)（續(xù)）。4、蘇某將軟件拷貝了一份給李四使用，但條件是李四在第二天早上必須歸還，且不能自行拷貝。李四按要求做了。5、在同樣條件下，蘇某將軟件拷貝了一份給李四，但李四在

7、歸還之前又自行拷貝了一份。6、在同樣條件下，蘇某將軟件拷貝了一份給李四，李四在歸還之前又自行拷貝了一份，然后自己又購(gòu)買了一份。7、在同樣條件下，蘇某將軟件拷貝了一份給李四，但李四第二天沒有歸還。對(duì)每種情況獨(dú)立考慮，誰(shuí)受到影響，涉及哪些問題，優(yōu)先原則。案例五 受命編寫有欺詐行為的程序 賴某在一家公司作程序員。他的上級(jí)戴某讓他編寫一個(gè)程序，使人們可以直接在公司的賬目文件中修改表項(xiàng)。賴某知道，一般來(lái)說(shuō)，對(duì)賬簿進(jìn)行修改的規(guī)程要求每步結(jié)算。賴某意識(shí)到這個(gè)新程序的使用可能會(huì)使某些人對(duì)一些敏感數(shù)據(jù)進(jìn)行修改，并且無(wú)法追蹤是誰(shuí)做了修改、是什么時(shí)候修改、是以什么理由進(jìn)行修改的。賴某向戴某提出了這些擔(dān)憂，但是戴某告

8、訴他不要擔(dān)心，按他的要求編寫程序就行了，并說(shuō)他知道有誤用程序的可能性，但仍堅(jiān)持其要求，；理由是賬簿周期性地會(huì)有錯(cuò)誤數(shù)據(jù)產(chǎn)生，而且公司需要對(duì)其進(jìn)行修正。案例五 受命編寫有欺詐行為的程序（續(xù)）下面考慮戴某的可能選擇：1、賴某編寫了這個(gè)程序。那么他可能成為該欺詐行為的幫兇。2、賴某向戴某的上級(jí)告發(fā)戴某。那么戴某或上級(jí)可能會(huì)把他看成一個(gè)制造麻煩的人，因而申斥或解雇他。3、賴某拒絕編寫程序。那么戴某可能以他沒有完成任務(wù)解雇他。4、賴某在程序中附加一些額外的代碼，用于記錄程序什么時(shí)候運(yùn)行、誰(shuí)運(yùn)行的、作了哪些修改。這個(gè)額外的日志文件可以提供欺詐行為的犯罪證據(jù)。但是如果沒有欺詐行為存在，而戴某又發(fā)現(xiàn)了這個(gè)秘密日志，那么賴某就會(huì)遇到麻煩。案例五 編寫有欺詐行為程序的討論1、程序員是否