信息安全與道德

『壹』 幫我解答一下有關信息安全與網路道德的問題，謝謝您

1用於實現身份鑒來別的安自全機制是（）加密機制和數字簽名機制
2計算機病毒（）都具有破壞性
3拒絕服務的後果是（）以上三項都是
4技術安全需求集中在對計算機系統、網路系統、應用程序的控制之上，而技術安全控制的主要目的是保護組織信息資產的（）上面三項都是
5計算機網路是地理上分散的多台（）遵循的通信協議，通過硬體互連的系統。數字設備

『貳』 有關計算機網路安全的十條道德規范是什麼

Internet安全，是人們十分關注的問題。據有關方面的了解，2001年的愛蟲病毒與2002年的Code red蠕蟲在若干小時之內傳染了幾十萬台主機，每次造成10億美元左右的損失。有一份調查報告談到，截止2002年10月，有88％的網站承認，它們中間有90％已經安裝了防火牆和入侵監測等安全設備。但最後一年內有88％受到病毒傳染，而有關的表明，Internet具有free scale的性質，其感染病毒的域值，幾乎為零。所以國內外一些有識之士提出安全的「範式轉換」，例如國外對現在的安全範式提出過兩點看法：

1) 傳統的安全範式對Internet的「復雜性」缺乏足夠的認識，安全最麻煩的問題所在是「復雜性」。

2) 以往(例如歐洲)對於信息安全所採取的措施是建立防火牆、堵漏洞，但沒有從整體性、協同方面構建一個信息安全的網路環境。可以說網路的安全問題是組織管理和決策。

如果對Internet(或萬維網www)加以，WWW是機與網民構成的人 . 網相結合的系統，我們從系統的觀點來分析，WWW是一個「開放的復雜巨系統」(OCGS)，這種系統是我國科學家於20世紀90年代提煉出來的，但網路專家往往對此不容易接受。我們曾經專門寫了一篇題為「Internet —— 一個開放的復雜巨系統」的文章，將在《 科學 》上發表專門討論這個問題，這里就不多說了。更為重要的是國內不僅提出像WWW這樣的開放復雜巨系統，而且於1992年提出處理OCGS的論，即與「從定性到定量的綜合集成研討廳體系」，把各行各業的智慧、群體經驗、古今中外的安全知識與高性能計算機、海量儲存器、寬頻網路和數據融合、挖掘、過濾等技術結合起來，形成一個處理復雜問題及系統風險(Systemicrisks)決策的平台。研討廳體系的精要可概括如下：

1. 電腦是人腦研製出來的，在解決問題時，兩者應互相配合，以人為主，充分發揮兩者的積極作用。我國的一位家熊十力曾經把人的智慧(Human mind，心智或稱腦智)分為性智與量智兩類；性智一個人把握全面、定性的預測、判斷的能力，是通過文學等方面的培養與訓練而形成的；我國古代的讀書人所學的功課中，包括琴、棋、書、畫，這對一個人的修身養性起著重要作用。

性智可以說是形象思維的結果，難以用電腦模擬，人們對藝術、、繪畫等方面的創造與鑒賞能力等都是形象思維的體現。心智的另一部分稱為量智，量智是通過對問題的分析、計算，通過科學的訓練而形成的智慧。人們對的掌握與推導，用系統的方法解決問題的能力都屬於量智，是邏輯思維的體現。所以對青少年的培養來說，藝術與科學是兩個十分重要的方面。分析現在的電腦的體系結構，用電腦對量智進行模擬是有效的。人工智慧的研究表明了用電腦對邏輯思維的模擬，可以取得成功；但是用現在的電腦模擬形象思維基本上是行不通的。電腦畢竟是人研製出來的，是死的不是活的，我們用不著一定要電腦做它做不到的事。總而言之，明智的方法是人腦與電腦相結合；性智由人來創造與實現，而與量智有關的事由電腦來實現，這是合理而又有實效的途徑。從體繫上講，人作為系統中的成員，綜合到整個系統中去，利用並發揮人類和計算機各自的長處，把人和計算機結合起來形成新的體系。

2. 以「實踐論」為指導，把認識從定性提高到定量

面對未知的問題，採用綜合集成法進行分析與解決的過程如下：首先由專家或專家群體提出解決該問題的猜想，根據以往經驗性認識提出意見，這種意見或見解屬於「定性」性質；再利用精密科學中所用的建模方法(數學建模或計算機建模)，用人機結合的方法建立和反復修改模型，達到從定性認識上升到總的定量的認識，這也可以說是專家們的大膽假設通過電腦包括信息網路加以細心求證的過程。這一過程需要計算機軟硬體環境，各種資料庫、知識庫以及信息網路的支持，是充分利用信息技術的體現。

3. 以Internet為基礎，體現民主集中制，尋求科學與經驗相結合的解答

「綜合集成研討廳」可以看成是總體規劃信息革命思維工作方法的核心。它實際上是將我國民主集中制的原則運用於科學技術的方法之中，並以Internet為工具系統，尋求科學與經驗相結合的解答。

一些從事網路安全的專家的看法歸納為：

1. Internet不是一般的系統，是開放，人在其中，與系統緊密耦合的復雜巨系統；

2. Internet是一個時時處處有人參預的、自適應的、不斷演化的，不斷涌現出新的整體特性的過程；

3. Internet的安全管理，不是一般管理手段的疊加和集成，而是綜合集成(metasynthesis)。兩者的本質區別在於強調人的關鍵作用，是人網結合、人機結合，發揮各自的優勢。

在信息社會中網路將逐漸成為人們離不開的工作與生活中的必須品。眾多網民(上網的人)的行為必須有所規范，理所應當的必須遵循「網路道德原則」。下面引用北大出版《 信息科學技術與當代社會 》中，有關「網路行為規范」與「網路道德原則」的論點，作為進一步思考的。

(一) 網路行為規范

到為止，在Internet上，或在整個世界范圍內，一種全球性的網路規范並沒有形成，有的只是各地區、各組織為了網路正常運作而制訂的一些協會性、行業性計算機網路規范。這些規范由於考慮了一般道德要求在網路上的反映，也在很大程度上保證了目前網路的基本需要，因此很多規范具有普遍的「網路規范」的特徵。而且，人們可以從不同的網路規范中抽取共相同的、普遍的東西出來，最終上升為人類普遍的規范和准則。

國外研究者認為，每個網民必須認識到：一個網民在接近大量的網路伺服器、地址、系統和人時，其行為最終是要負責任的。「Internet」或者「網路」不僅僅是一個簡單的網路，它更是一個由成千上萬的個人組成的網路網路「社會」，就像你駕車要達到某個目的地一樣必須通過不同的路段，你在網路上實際也是在通過不同的網路「地段」，因此，參與到網路系統中的用戶不僅應該意識到「交通」或網路規則，也應認識到其他網路參與者的存在，即最終要認識到網路網路行為無論如何是要遵循一定的規范的。作為一個網路用戶，你可以被允許接受其他網路或者連接到網路上的計算機系統，但你也要認識到每個網路或系統都有它自己的規則和程序，在一個網路或系統中被允許的行為在另一個網路或系統中也許是受控制，甚至是被禁止的。因此，遵守其他網路的規則和程序也是網路用戶的責任，作為網路用戶要記住這樣一個簡單的事實，一個用戶「能夠」採取一種特殊的行為並不意味著他「應該」採取那樣的行為。

因此，既然網路行為和其他社會一樣，需要一定的規范和原則，因而國外一些計算機和網路組織為其用戶制定了一系列相應的規范。這些規范涉及網路行為的方方面面，在這些規則和協議中，比較著名的是美國計算機倫會(Computer Ethics Institute)為計算機倫理學所制定的十條戒律( Ten Commandments)，也可以說就是計算機行為規范，這些規范是一個計算機用戶在任何網路系統中都「應該」遵循的最基本的行為准則，它是從各種具體網路行為中概括出來的一般原則，它對網民要求的具體是：

1. 不計算機去傷害別人；

2. 不應干擾別人的計算機工作；

3. 不應窺探別人的文件；

4. 不應用計算機進行偷竊；

5. 不應用計算機作偽證；

6. 不應使用或拷貝你沒有付錢的軟體；

7. 不應未經許可而使用別人的計算機資源；

8. 不應盜用別人智力成果；

9. 應該考慮你所編的程序的社會後果

10. 應該以深思熟慮和慎重的方式來使用計算機。

再如，美國的計算機協會(The Association of Computing Machinery)是一個全國性的組織，它希望它的成員支持下列一般的倫理道德和職業行為規范：

1. 為社會和人類作出貢獻；

2. 避免傷害他人；

3. 要誠實可靠；

4. 要公正並且不採取歧視性行為；

5. 尊重包括版權和專利在內的財產權；

6. 尊重知識產權；

7. 尊重他人的隱私；

8. 保守秘密。
國外有些機構還明確劃定了那些被禁止的網路違規行為，即從反面界定了違反網路規范的行為類型，如南加利福尼亞大學網路倫理聲明(the Network Ethics Statement University of Southern California)指出了六種不道德網路行為類型：

1. 有意地造成網路交通混亂或擅自闖入網路及其相聯的系統；

2. 商業性地或欺騙性地利用大學計算機資源；

3. 偷竊資料、設備或智力成果；

4. 未經許可接近他人的文件；

5. 在公共用戶場合做出引起混亂或造成破壞的行動；

6. 偽造函件信息。

上面所列的「規范」的兩方面內容，一是「應該」和「可以」做的行為，二是「不應該」和「不可以」做的行為。事實上，無論第一類還是第二類，都與已經確立的基本「規范」相關，只有確立了基本規范，人們才能對究竟什麼是道德的或不道德的行為作出具體判斷。

『叄』 關於《網路安全和道德》的資料或作文

根據國內一些網路安全研究機構的資料，國內大部分的ISP、ICP、IT 公司、政府、教育和科研機構等都沒有精力對網路安全進行必要的人力和物力投入；很多重要站點的管理員都是Internet 的新手，一些操作系統如UNIX，在那些有經驗的系統管理員的配置下尚且有缺陷，在這些新手的操作中更是漏洞百出。很多伺服器至少有三種以上的漏洞可以使入侵者獲取系統的最高控制權。
為了使廣大用戶對自己的網路系統安全現狀有一個清醒的認識，同時提高對信息安全概念的了解和認識，強化網路系統安全性能，首創網路近日向用戶推出免費安全掃描服務活動。
評估主機范圍
Capitalnet技術支持中心在開展此次活動之前得到了客戶的書面授權。活動中，根據客戶提供的IP地址，並按照客戶指定的時間，對包括網路設備和應用伺服器等在內的主機系統進行安全評估。
評估時間和方式
此次活動持續兩個月時間，由7月1日開始，到8月31日結束。在活動期間，首創網路技術支持中心安全產品組的專家們在與用戶達成共識的前提下，利用專業的安全評估工具，對客戶網路信息系統中的重點環節進行了全方位的安全掃描，並根據掃描結果產生了安全評估報告，提交給客戶。客戶可以根據這一安全評估報告充分了解自己信息系統的安全情況，進而採取相應的安全應對措施，從而提高網路系統安全性。
評估單位分布
此次評估活動共收到IP地址93個，分別來自不同行業的34家單位。這些單位分別屬於多種行業部門。
評估主機分類
93個IP地址基本代表93台主機，分別為各個單位提供不同的信息化應用。如：WEB、Datebase、Mail等常見應用和防火牆等特殊應用。
評估漏洞分布
在93台主機提供的各種信息應用中，都存在這樣或那樣的漏洞，此次評估都漏洞的風險分為三種：高風險漏洞、中風險漏洞、低風險漏洞。
參照標准為：
● 高風險漏洞代表該漏洞可以使攻擊者可以得到該主機的最高許可權或中斷網路服務；
● 中風險漏洞代表該漏洞可以獲取主機信息，有助於攻擊者進一步攻擊，或存在潛在致命漏洞；
● 低風險漏洞代表該漏洞會間接影響系統服務的正常運行。
評估漏洞類型
本次掃描活動主要採用了三星信息安全公司的安全評估工具SecuiScan，但為了真實反映客戶的漏洞存在情況，也結合了其它著名的安全評估工具，為俄羅斯著名安全評估軟體Shadow Security Scanner和著名的自由軟體Nessus。在工具評估後，根據提供的分析報告來人工檢查證實漏洞的真實性，並在不破壞客戶主機正常運行的情況下得出令客戶信服的評估結果。
評估發現，很多存在漏洞的主機都是一些常見的配置錯誤和已經公布的漏洞，而且針對這些漏洞的攻擊工具很容易被惡意的攻擊者獲取。這些漏洞分布如下圖：
評估漏洞說明
1. 弱口令攻擊：不少網站的管理員賬號密碼、ftp 賬號密碼、Sql 賬號密碼等都使用很簡單的或是很容易猜測到的字母或數字，利用現有的家用PIII 機器配合編寫恰當的破解軟體足以在短時間內輕松破解，一旦口令被破解，網站就意味著被攻破。
2. Unicode 編碼漏洞攻擊：對於Windows NT4.0 和Windows 2000 來說都存在有該漏洞，利用該漏洞遠程用戶可以在伺服器上以匿名賬號來執行程序或命令，從而輕易就可達到遍歷硬碟、刪除文件、更換主頁和提升許可權等目的，實施方法簡單，僅僅擁有一個瀏覽器就可實施。
3. ASP 源碼泄漏和MS SQL Server 攻擊：通過向web 伺服器請求精心構造的特殊的url 就可以看到不應該看到的asp 程序的全部或部分源代碼，進而取得諸如MS SQL Server 的管理員sa 的密碼，再利用存儲過程xp_cmdshell 就可遠程以SYSTEM 賬號在伺服器上任意執行程序或命令，事實上，MS SQL Server 默認安裝的管理員sa 的密碼為空，並且大多數系統管理員的確沒有重新設定為新的復雜密碼，這直接就留下了嚴重的安全隱患。
4. IIS 緩沖溢出攻擊：對於IIS4.0 和IIS5.0 來說都存在有嚴重的緩沖溢出漏洞，利用該漏洞遠程用戶可以以具有管理員許可權的SYSTEM 賬號在伺服器上任意執行程序或命令，極具危險性。實施較為復雜，但是可以獲得這種攻擊的傻瓜攻擊軟體。這種攻擊主要存在於Windows NT 和2000 系統中。
5. BIND 緩沖溢出攻擊：在最新版本的Bind 以前的版本中都存在有嚴重的緩沖溢出漏洞，可以導致遠程用戶直接以root 許可權在伺服器上執行程序或命令，極具危險性。但由於操作和實施較為復雜，一般也為黑客高手所用。這種攻擊主要存在於Linux、BSDI 和Solaris 等系統中。
6. 其他攻擊手法：還有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻擊的手段，但在這次評估活動中表現的不是非常明顯。
整體安全評估報告
主機系統的安全評估主要在於分析主機系統存在的安全弱點和確定可能存在的威脅和風險，並且針對這些弱點、威脅和風險提出解決方案。
主機存在安全弱點
安全弱點和信息資產緊密相連，它可能被威脅利用、引起資產損失或傷害。但是，安全弱點本身不會造成損失，它只是一種條件或環境、可能導致被威脅利用而造成資產損失。安全弱點的出現有各種原因，例如可能是軟體開發過程中的質量問題，也可能是系統管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了對主機系統或者其他信息系統進行攻擊的機會。
經過對這些主機系統和防火牆的掃描記錄分析，我們發現目前該網路中的主機系統主要弱點集中在以下幾個方面：
1 ．系統自身存在的弱點
對於商業UNIX 系統的補丁更新不及時，沒有安全配置過，系統還是運行在默認的安裝狀態非常危險。對NT/2000 的伺服器系統，雖然補丁更新的比及時，但是配置上存在很大安全隱患，用戶的密碼口令的強度非常低很多還在使用默認的弱口令，網路攻擊者可以非常輕易的接管整個伺服器。另外存在IPC$這樣的匿名共享會泄露很多伺服器的敏感信息。
2 ．系統管理存在的弱點
在系統管理上缺乏統一的管理策略，比如缺乏對用戶輪廓文件（Profile ）的支持。在系統中存在空口令的Guest 組的用戶，這些用戶有的是系統默認的Guest用戶，有的是IIS 和SQL 伺服器的默認安裝用戶。這些用戶有些是被系統禁用的，如Guest ，有些則沒有，沒有被禁用的這些賬號可能被利用進入系統。
3 ．資料庫系統的弱點
資料庫系統的用戶許可權和執行外部系統指令是該系統最大的安全弱點，由於未對資料庫做明顯的安全措施，望進一步對資料庫做最新的升級補丁。
4 ．來自周邊機器的威脅
手工測試發現部分周邊機器明顯存在嚴重安全漏洞，來自周邊機器的安全弱點（比如可能使用同樣的密碼等等）可能是影響網路的最大威脅。
主機存在的威脅和風險
安全威脅是一種對系統、組織及其資產構成潛在破壞能力的可能性因素或者事件。產生安全威脅的主要因素可以分為人為因素和環境因素。人為因素包括有意的和無意的因素。環境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源於對企業信息直接或間接的攻擊，例如非授權的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。威脅也可能源於偶發的、或蓄意的事件。一般來說，威脅總是要利用企業網路中的系統、應用或服務的弱點才可能成功地對資產造成傷害。因此威脅分析是圍繞信息系統的可用性、保密性、完整性、可控性、可審查性、抗抵賴性進行的。
安全風險則是一種可能性，是指某個威脅利用弱點引起某項信息資產或一組信息資產的損害，從而直接地或間接地引起企業或機構的損害的可能性。
在這次評估中，主機系統存在的威脅和及其產生的安全風險主要有以下幾個方面：
1. 針對主機的攻擊威脅
包括針對Windows NT 系統及其開放的系統服務的安全弱點攻擊威脅，攻擊者可能由此獲取系統的信息資源或者對系統信息進行破壞。
2. 針對資料庫的攻擊威脅
包括在對資料庫系統的攻擊行為，包括非法獲取、篡改、刪除資料庫信息資源和進行其他形式的服務攻擊。
3. 管理不當所引起的安全威脅
包括由於用戶管理策略不當使得攻擊者可能獲取某一級別的用戶的訪問許可權，並由此提升用戶許可權，造成用戶許可權的濫用和信息資源的泄漏、損毀等；由於採用遠程管理而引發的威脅；缺乏足夠的安全審計致使對安全事件不敏感，無法發現攻擊行為等。
4. 配置不當所引起的安全威脅
包括在主機系統上開放了未做安全防範的服務如IPC$共享所造成的安全威脅等。
網路安全建議
建議把提供網路服務的程序升級到最新版本，關注網路安全通告，或由首創為客戶提供全面、周到、專業的網路安全服務。
總 結
此次活動歷時兩個月時間，為34家客戶的93台主機提供了全面的安全掃描服務，並將最終的掃描結果提供給了客戶。
通過此次活動，我們發現所有的客戶主機都或多或少存在著各種風險度的安全漏洞，安全現狀不容樂觀。其實在這些客戶所暴露出來的漏洞中，絕大多數都是已經有了解決辦法的，只要做一些簡單的升級或安裝補丁就可以解決。另外，我們還發現，有的客戶使用了一些安全產品，但卻由於使用不當，反而引入了更多的安全漏洞。另外，客戶的信息系統普遍也缺乏良好合理的安全規劃和管理，從而使得其自身的系統對外呈現了很多本不應該出現的漏洞，給外界入侵提供了便利的條件。
我們認為出現這樣的問題主要有這樣一些原因：
客戶普遍還缺乏安全意識，不知道自己其實面臨很大的危險；專業知識不夠，不知如何解決安全問題；對安全產品的選擇、使用和設置不當；沒有合理的安全管理策略和機制。
針對這樣一些原因，有些相對容易解決，有些則要困難一些。在首創網路通過自身的努力，在信息安全領域里不斷追求更高的技術水準和服務水準，力爭在競爭日益激烈的今天，面對不斷復雜的信息安全形勢，從容面對，為客戶提供更加完美的產品和服務。

（本報告由首創網路提供，內容有刪節）

「首創網路安全調查」帶來的啟示
本刊記者 曹 玫
近日，首創網路針對我國企
業網路安全現狀，對來自
34個不同行業用戶的93台主機的網路信息系統進行了抽樣調查，結果是100%的用戶的主機都存在不同程度的安全問題。這個數字不能不讓我們吃驚，網路現狀讓人擔擾。
隨著企業信息化、電子政務的進一步推進，對網路安全的要求與過去已不可同日而語。但信息化在我國剛剛起步，企業對網路安全的意識和認知尚待培育。
本刊記者就首創的網路安全評估活動采訪了中國國家信息安全測評認證中心計算機測評中心常務副主任翁正軍女士，她認為：「首創這次的評估活動值得肯定。這類的網路安全評估如果經常性的進行，對用戶了解自身的安全風險非常有益」
另外，翁女士還提醒道：「針對網路和系統的脆弱性評估，有可能對被測系統造成損害。當然，不一定是測試本身的問題，而是被測系統太脆弱。但是不管怎麼樣，都要讓用戶事先知道風險的存在，並且通過恰當的安排盡力迴避這些風險」。
安全意識 攜手培育
網路安全是「三分技術，七分管理」，從首創的報告中可以看出，造成網路漏洞的原因基本上是管理的忽視和疏漏。
已認識到IT系統重要性的大型企業和跨國企業，雖有一些機房和系統的不很細化的管理制度，但大部分也只限於書面文字的約束而已，沒有強有力的監督實施手段和相應的管理人員；大部分的中小企業甚至沒有把網路安全提升到管理的層面，還只是停留在購買一些低端的安全設備上，當然對於國內的中小企業採取何種安全模式仍是專家和安全服務提供商們爭論的熱點問題。
管理問題追溯其根源，還是企業的意識問題，安全意識的加強和培育是需要政府或行業主管單位、安全廠商和用戶自身共同努力來實現的。
如政府和行業主管要加大政策和法令的宣傳力度，改變政策和相關標准滯後的現狀，一方面，用戶有相關的政策和標准來衡量網路安全廠商提供給他們的產品和服務是否符合國家標准，做到有據可依。另一方面，安全廠商有了相關條例和行業標准，在為用戶構建網路平台和生產安全產品時，把各種安全隱患降減到最小程度，做到了有法必依。
安全廠商在培育用戶的安全意識方面，毫無疑問，充當著主力軍的角色，目前，我國的網路安全意識尚處於萌芽階段，因此對用戶意識的培育應屬於安全廠商市場戰略和規劃的一部分，只有大家共同把這塊蛋糕做大，網路安全廣闊的市場才會在短時間內形成規模。
從用戶自身的角度來講，「船到江心才補漏」是需要付出不可估量的代價的，網路數據的迅速增長，單靠一些低端的安全設備已遠遠難以維護系統和網路安全。總的來說，要改善和加強管理力度,必須提高企業的安全意識.
網路測試 謹慎評估
做安全測試，一定要做非常細化的風險評估策略，首先要確定企業哪些資源需要保護，並根據保護成本與如果事件發生前不採取行動需付出的代價之間的平衡制定評估方案，檢測後要確定企業具體環境下到底存在哪些安全漏洞和安全隱患，一旦這些漏洞被黑客利用會造成哪些風險和破壞。
最後綜合對各種風險因素的評價，明確網路系統的安全現狀，確定網路系統中安全的最薄弱環節，從而改進網路的安全性能。所以檢測之前與之後的評估是非常重要的。全面的網路系統的漏洞評估應該包括對網路的漏洞評估、對系統主機的漏洞評估以及對資料庫系統的漏洞評估三個方面。首創的安全評估屬於對系統主機的漏洞的評估，測試的安全風險相對要小一些。
測試不是目的，制定相應的安全策略並徹底解決用戶存在的安全問題，才是我們的願望。
首創的安全測試為我們敲醒了警鍾，加強安全意識已成為企業高層迫切需要正確對待的問題。

企業信息安全意識有待覺醒

本刊記者 陳 慧

為了解客戶的安全現狀，並
提高客戶的安全意識，首
創網路在7月1日到8月31日為期兩個月的時間內為34家客戶的93台主機提供了免費遠程安全掃描服務。提交的報告結果表明，這些客戶所有的業務部門都或多或少存在著安全漏洞，其中高風險漏洞佔42%，中風險漏洞佔28%，低風險漏洞達30%。可見這些客戶的信息安全現狀令人堪憂。
面對安全漏洞，
視而不見還是立即行動
「此次掃描主要是針對黑客的攻擊行為，」首創網路安全產品經理鍾博向記者介紹說，「我們選擇這種遠程的網路掃描的服務活動比較容易開展，類似於黑客攻擊的第一個階段，還未涉及到內部攻擊。」在發現客戶漏洞之後，首創還可以針對客戶的要求為其提供相應的修補、加固和優化服務、專門的培訓和分析，以及遠程管理和緊急響應等多種全方位的安全服務。
在首創網路掃描過程中發現的網路安全漏洞主要涉及到底層的操作系統平台和應用系統兩個方面。漏洞可能是操作系統帶來的，比如採用Windows操作系統平台的企業漏洞特別多；也有可能是應用系統本身的問題，比如資料庫、Web系統和ERP應用軟體等等。在應用系統方面，資料庫的漏洞比較多，其中又以SQL Server資料庫的漏洞為甚。對於操作系統的漏洞，大多可通過從網上下載補丁程序的方法加以解決，有些客戶沒有下載補丁程序，因而容易被攻擊。也有客戶把用戶訪問口令設成了空的，也容易被攻擊。這些漏洞本都很容易避免，之所以出現，主要因為應用和管理人員本身安全意識淡薄所導致。
被掃描的首創網路的IDC和專線客戶，都是經常使用IT設備和網路應用的，其中，本身業務系統與安全結合不是很緊密的客戶比較容易產生安全漏洞，比如媒體的網站、製造業企業的網站等。在首創網路的整個掃描服務期間中就出現過這樣的情況。一家傳媒機構的網站被黑客攻擊，其主頁被篡改了。客戶要求首創對其遭到攻擊的主機進行掃描，了解其被攻擊的原因。通過掃描，發現主要原因在於這個傳媒機構把操作系統裝好之後，採取了默認配置，並沒有做安全性增強方面的考慮和設置，其主機上的漏洞都是一些很常見也很容易彌補的。此外，製造業企業涉及到CRM和ERP這樣的系統。總部與分支機構之間經常有大量機密的數據需要交互，對於這樣的企業，如果不做好全面的安全規劃並採取相應的安全手段，也容易對外暴露很多安全漏洞。
面對送過來的掃描結果和漏洞分析，客戶的反應五花八門：有的客戶一接到掃描的結果，發現自己的網路安全存在這么多的問題，非常著急，立刻要求首創為其提供相應的解決方案；有的客戶要求首創幫助把漏洞堵上；也有客戶說，賣我們一個防火牆吧；還有客戶沒有反應，好像在忙著理順自己的網路，無暇顧及安全問題。
安全防範，投入多少並採取哪些手段
有兩個問題需要企業考慮清楚，一是企業要保護的信息到底值得投入多少；二是採取什麼手段。網路時代，企業要連接到互聯網上與外部溝通。任何企業無論大小，總是有些信息是不希望被外界知道的，每一個企業都有必要採取一定的手段保護自己的信息，防止被別人竊取、篡改或者破壞。那麼企業值得投入多少人力、物力和財力保護信息安全？
信息的價值其實不太好量化。鍾博認為，那些有關產品生產的科研數據，如果被競爭對手掌握，很快搶占市場，可能造成經濟利益的巨大損失，那麼可以說這些信息非常有價值；還有企業的人事信息和財務信息，一般來說也是需要保密的；也有一些信息可能被別人看到也沒有太大問題。信息的價值是可以分級別的，針對信息的價值企業考慮是否投入相應的人力、物力和財力來做相應的保護。一般來說，在一個企業的網路的建設中，在信息安全方面需要15%～20%的投入，對於不同的行業，比例會有所不同，有的企業可能會更高，這主要取決於企業需要保護的信息價值有多大。
在確定需要多少投入進行信息安全建設之外，還要考慮如何來保護和合理地分攤投入。主要有安全管理，安全技術和產品這兩個方面。企業一方面要與提供安全產品或者解決方案的廠商共同制定一個合理的安全管理制度，另一方面，要很好地利用安全產品，讓它在企業安全防範中發揮作用。
安全管理就是制定安全策略，安全管理制度。比如員工上機制度，機房管理制度等等，不同的企業具體情況不同，需要網路安全廠商或者解決方案提供商同客戶共同協商制定。如果客戶對此不太了解，就需要安全廠商先提出方案，然後由客戶認可之後在企業內執行。而對於安全技術和產品來說，很多企業認為，購買了一個防火牆、防病毒的產品，把它們加入到信息系統裡面，就認為萬事大吉了。但實際上，很可能由於管理方面的不當，不能夠起到很好的保護的作用。
安全事件的產生源，分為內部和外部的兩種，如果是內部人員有意要破壞信息，可能要比來自外部的更輕車熟路。首先要准確地區分什麼是內部和外部。一個公司內外隔離的點，一般是企業內部網路與互聯網的接入點，在這個點上可以做防火牆等設置。在整個企業實體的內部，還要做一些具體的劃分，核心的部分要作為內部的內部，即使是內部員工也不可以隨便訪問。在內部解決安全問題常見的手段就是入侵檢測，防止入侵行為出現。有重要的數據存儲的部分，需要數據完整性的保護，需要防病毒、身份認證和審計等等安全手段。找准隔離和保護的點在哪裡，這樣才知道相應的安全設備和手段應該用在什麼地方。
安全意識淡薄、無序競爭的現狀有待改進
2001年，安全產品的市場份額已經達到40億，2002年將會繼續增長，安全市場成為整個IT業的一個亮點。國內的安全廠商也很多，但是存在無序競爭和惡性降價的情況。在安全產品競爭中，有些地方存在地方保護主義。在產品與服務的意識上，中外企業也有差別。首創網路是一家網路安全解決方案提供商，在為客戶服務的過程中，鍾博覺得外資客戶更看重安全服務，比如安全掃描，入侵檢測數據的報告，以及出現某種問題的分析，甚至提出租用安全服務提供商的設備，而國內企業比較重視安全產品的擁有。
目前，整個安全市場的發育不是很平衡，大多數客戶認識到的安全產品只有防火牆和防病毒產品。實際上，信息安全領域還有很多其它產品：比如身份認證、保密產品、VPN（虛擬私有網）、關鍵行業使用的防電磁泄露、信息隱藏（數字水印）、政府部門需求比較多的物理隔離等等。
在首創網路的這次安全評估報告總結中，我們可以看到，企業普遍缺乏安全意識，不知道自己其實面臨很大的危險，專業知識不夠，對安全產品的選擇、使用和設置不當，沒有合理的安全管理策略和機制。如何提高企業的安全意識呢？鍾博認為必須要讓企業有切身的面臨危機的感受。通過首創網路的這次掃描活動，讓客戶意識到，他的網路中肯定是存在這樣那樣的漏洞，並且有具體的描述，這樣多多少少都會引起客戶注意。這其實也是首創網路在積極地提醒市場的一種行為。
企業在考慮信息安全問題的時候，如果信息系統正在建設的過程之中，這時需要把相關安全問題考慮進去。如果信息系統已經建好了，只是做安全增強的工作，這時可能就比較困難，可能需要對整個系統的參數配置做一些修改，客戶有時會為了避免麻煩而放棄安全方面的考慮。對於信息系統已經建好的企業，最好是能夠及時地意識自己的安全問題，盡量做一些相關的調整.

『肆』 計算機信息安全與職業道德是什麼

http://wenku..com/view/a46311f34693daef5ef73dcc.html

『伍』 闡述一下你對信息安全與網路道德規范的理解（要求詳細）

一個字，亂。

『陸』 有哪些信息道德和信息安全問題存在

1、網路與信息系統防護水平不高、應急能力不強
2、信息安全管理和技內術人才缺乏、容關鍵技術上整體比較落後、長夜缺乏核心競爭力
3、信息安全法律法規和標准不完善
4、全社會的信息安全意識不強
5、信息安全管理薄弱
6、網路行為的道德規范尚未形成。

想要更具體的，搜索安標委、信安評測中心這些大牛們的報告、PPT

『柒』 網路安全相關法規和道德規范

推薦一本相關的書籍你看一下《信息安全法律法規與管理》

『捌』 信息安全法律法規及網上道德規范

社會最近發生的網路案件如網友見面、虛擬財產被竊等現象。這些問題不能不引起我們注意關於網路安全，網路道德問題，導入這節課「做信息時代的合格公民」的主題。

師：首先肯定網路給我們帶來的各種積極的、重要的影響。結合上節課學習的計算機病毒和計算機犯罪問題，引出在網路使用過程中經常出現的問題，給我們帶來了很多的負面影響。
生：通過教材中任務，找出信息活動中經常出現的問題；並且填寫任務單中相應內容。
師：列舉網路使用過程中經常出現的問題：網上傳播不良信息；利用網路從事違法犯罪活動；虛假信息給青少年造成不良影響；垃圾信息泛濫成災；等等。設計意圖：激發學生解決問題興趣。
生：如何解決以上問題？（頭腦風暴）如：依靠法律法規、依靠技術維護及做好網路道德規范宣傳活動等等。
師：指導學生通過學習網站閱讀網路道德規范及青少年網路文明公約。
生：閱讀教材了解《青少年網路文明公約》的內容，並且對自己的日常上網行為進行反省。
（1）設問：去過網吧的同學有多少？一般去一次是多長時間？在網吧里一般都做什麼？平均一周去幾次？
活動：民意調查，從而闡明「拒絕泡網吧，珍惜生命」。
（2）設問：在網路上，聊過天嗎？泡論壇嗎？玩過最近流行的網路游戲嗎？在這些方面上，你投資了多少，收獲了多少？
活動：民意調查，從而闡明「擦亮慧眼，分清虛實世界」。
（3）利用搜索引擎及部分相關資料，舉實例，如網頁木馬、惡意代碼、網路虛擬財產案、重要機構機密資料被竊等。
活動：讓學生自己總結網路安全的重要性。並號召學生「刻苦鑽研網路技術，維護網路安全」，爭做網路小衛士。
（4）在網路的虛擬世界中，注意保護個人的相關資料，如家庭住址、電話號碼、生日、親屬關系、銀行賬號等相關內容。
活動：假如泄露了個人相關資料，會引起什麼樣的惡性後果？（讓學生自己總結）從而闡明「增強自我保護意識，守護個人資料」。
師：組織學生討論：「本校內的BBS中留有以虛假身份或匿名方式發布的大量帖子，部分內容粗俗，不健康不積極，還有的謾罵同學或是教師的。」教師與學生游覽並且引導學生從現在做起。
生：利用校內網站（www.wdez.net）中的BBS或登陸FTP進行網上討論，發表個人看法。
師：指導學生登陸網際網路法律法規網站，了解法律法規常識。
http://www.member.netease.com/~bytalent/lawnet/net_safe/03.htm
師：指導學生閱讀課後案例：「破譯密碼竊取巨額儲蓄資金 黑客被判無期徒刑」等等案例。
生：回答案例中主人公觸犯了哪些法律法規。
師：在信息社會的高速發展下，信息課程日漸成為以後人們重要的學習方式，所以倡導學生分組討論共同制定一個「網路課程學習守則」，並對學生制定的守則進行評價。
生：根據《青少年網路文明公約》從「課程學習」、「交流討論」「聯系反饋」等方面討論總結出學生自己的學習守則，並且努力自覺的遵守守則，並在班上交流。
師：指導學生為本班擬定一份「網路課程學習守則」。
生：各小組長負責完善各小組交流之後的學習守則，共同完成本班內的「網路課程學習守則」。
師：指導學生完成「小組學習任務單」的全部內容。

『玖』 怎樣教育學生的信息安全意識和信息道德素質

娛教於樂，玩一玩兒信息安全意識教育回遊戲。答 http://www.securemymind.com/child-internet-safety/