信息安全与道德

『壹』 帮我解答一下有关信息安全与网络道德的问题，谢谢您

1用于实现身份鉴来别的安自全机制是（）加密机制和数字签名机制
2计算机病毒（）都具有破坏性
3拒绝服务的后果是（）以上三项都是
4技术安全需求集中在对计算机系统、网络系统、应用程序的控制之上，而技术安全控制的主要目的是保护组织信息资产的（）上面三项都是
5计算机网络是地理上分散的多台（）遵循的通信协议，通过硬件互连的系统。数字设备

『贰』 有关计算机网络安全的十条道德规范是什么

Internet安全，是人们十分关注的问题。据有关方面的了解，2001年的爱虫病毒与2002年的Code red蠕虫在若干小时之内传染了几十万台主机，每次造成10亿美元左右的损失。有一份调查报告谈到，截止2002年10月，有88％的网站承认，它们中间有90％已经安装了防火墙和入侵监测等安全设备。但最后一年内有88％受到病毒传染，而有关的表明，Internet具有free scale的性质，其感染病毒的域值，几乎为零。所以国内外一些有识之士提出安全的“范式转换”，例如国外对现在的安全范式提出过两点看法：

1) 传统的安全范式对Internet的“复杂性”缺乏足够的认识，安全最麻烦的问题所在是“复杂性”。

2) 以往(例如欧洲)对于信息安全所采取的措施是建立防火墙、堵漏洞，但没有从整体性、协同方面构建一个信息安全的网络环境。可以说网络的安全问题是组织管理和决策。

如果对Internet(或万维网www)加以，WWW是机与网民构成的人 . 网相结合的系统，我们从系统的观点来分析，WWW是一个“开放的复杂巨系统”(OCGS)，这种系统是我国科学家于20世纪90年代提炼出来的，但网络专家往往对此不容易接受。我们曾经专门写了一篇题为“Internet —— 一个开放的复杂巨系统”的文章，将在《 科学 》上发表专门讨论这个问题，这里就不多说了。更为重要的是国内不仅提出像WWW这样的开放复杂巨系统，而且於1992年提出处理OCGS的论，即与“从定性到定量的综合集成研讨厅体系”，把各行各业的智慧、群体经验、古今中外的安全知识与高性能计算机、海量储存器、宽带网络和数据融合、挖掘、过滤等技术结合起来，形成一个处理复杂问题及系统风险(Systemicrisks)决策的平台。研讨厅体系的精要可概括如下：

1. 电脑是人脑研制出来的，在解决问题时，两者应互相配合，以人为主，充分发挥两者的积极作用。我国的一位家熊十力曾经把人的智慧(Human mind，心智或称脑智)分为性智与量智两类；性智一个人把握全面、定性的预测、判断的能力，是通过文学等方面的培养与训练而形成的；我国古代的读书人所学的功课中，包括琴、棋、书、画，这对一个人的修身养性起着重要作用。

性智可以说是形象思维的结果，难以用电脑模拟，人们对艺术、、绘画等方面的创造与鉴赏能力等都是形象思维的体现。心智的另一部分称为量智，量智是通过对问题的分析、计算，通过科学的训练而形成的智慧。人们对的掌握与推导，用系统的方法解决问题的能力都属于量智，是逻辑思维的体现。所以对青少年的培养来说，艺术与科学是两个十分重要的方面。分析现在的电脑的体系结构，用电脑对量智进行模拟是有效的。人工智能的研究表明了用电脑对逻辑思维的模拟，可以取得成功；但是用现在的电脑模拟形象思维基本上是行不通的。电脑毕竟是人研制出来的，是死的不是活的，我们用不着一定要电脑做它做不到的事。总而言之，明智的方法是人脑与电脑相结合；性智由人来创造与实现，而与量智有关的事由电脑来实现，这是合理而又有实效的途径。从体系上讲，人作为系统中的成员，综合到整个系统中去，利用并发挥人类和计算机各自的长处，把人和计算机结合起来形成新的体系。

2. 以“实践论”为指导，把认识从定性提高到定量

面对未知的问题，采用综合集成法进行分析与解决的过程如下：首先由专家或专家群体提出解决该问题的猜想，根据以往经验性认识提出意见，这种意见或见解属于“定性”性质；再利用精密科学中所用的建模方法(数学建模或计算机建模)，用人机结合的方法建立和反复修改模型，达到从定性认识上升到总的定量的认识，这也可以说是专家们的大胆假设通过电脑包括信息网络加以细心求证的过程。这一过程需要计算机软硬件环境，各种数据库、知识库以及信息网络的支持，是充分利用信息技术的体现。

3. 以Internet为基础，体现民主集中制，寻求科学与经验相结合的解答

“综合集成研讨厅”可以看成是总体规划信息革命思维工作方法的核心。它实际上是将我国民主集中制的原则运用于科学技术的方法之中，并以Internet为工具系统，寻求科学与经验相结合的解答。

一些从事网络安全的专家的看法归纳为：

1. Internet不是一般的系统，是开放，人在其中，与系统紧密耦合的复杂巨系统；

2. Internet是一个时时处处有人参预的、自适应的、不断演化的，不断涌现出新的整体特性的过程；

3. Internet的安全管理，不是一般管理手段的叠加和集成，而是综合集成(metasynthesis)。两者的本质区别在于强调人的关键作用，是人网结合、人机结合，发挥各自的优势。

在信息社会中网络将逐渐成为人们离不开的工作与生活中的必须品。众多网民(上网的人)的行为必须有所规范，理所应当的必须遵循“网络道德原则”。下面引用北大出版《 信息科学技术与当代社会 》中，有关“网络行为规范”与“网络道德原则”的论点，作为进一步思考的。

(一) 网络行为规范

到为止，在Internet上，或在整个世界范围内，一种全球性的网络规范并没有形成，有的只是各地区、各组织为了网络正常运作而制订的一些协会性、行业性计算机网络规范。这些规范由于考虑了一般道德要求在网络上的反映，也在很大程度上保证了目前网络的基本需要，因此很多规范具有普遍的“网络规范”的特征。而且，人们可以从不同的网络规范中抽取共相同的、普遍的东西出来，最终上升为人类普遍的规范和准则。

国外研究者认为，每个网民必须认识到：一个网民在接近大量的网络服务器、地址、系统和人时，其行为最终是要负责任的。“Internet”或者“网络”不仅仅是一个简单的网络，它更是一个由成千上万的个人组成的网络网络“社会”，就像你驾车要达到某个目的地一样必须通过不同的路段，你在网络上实际也是在通过不同的网络“地段”，因此，参与到网络系统中的用户不仅应该意识到“交通”或网络规则，也应认识到其他网络参与者的存在，即最终要认识到网络网络行为无论如何是要遵循一定的规范的。作为一个网络用户，你可以被允许接受其他网络或者连接到网络上的计算机系统，但你也要认识到每个网络或系统都有它自己的规则和程序，在一个网络或系统中被允许的行为在另一个网络或系统中也许是受控制，甚至是被禁止的。因此，遵守其他网络的规则和程序也是网络用户的责任，作为网络用户要记住这样一个简单的事实，一个用户“能够”采取一种特殊的行为并不意味着他“应该”采取那样的行为。

因此，既然网络行为和其他社会一样，需要一定的规范和原则，因而国外一些计算机和网络组织为其用户制定了一系列相应的规范。这些规范涉及网络行为的方方面面，在这些规则和协议中，比较著名的是美国计算机伦会(Computer Ethics Institute)为计算机伦理学所制定的十条戒律( Ten Commandments)，也可以说就是计算机行为规范，这些规范是一个计算机用户在任何网络系统中都“应该”遵循的最基本的行为准则，它是从各种具体网络行为中概括出来的一般原则，它对网民要求的具体是：

1. 不计算机去伤害别人；

2. 不应干扰别人的计算机工作；

3. 不应窥探别人的文件；

4. 不应用计算机进行偷窃；

5. 不应用计算机作伪证；

6. 不应使用或拷贝你没有付钱的软件；

7. 不应未经许可而使用别人的计算机资源；

8. 不应盗用别人智力成果；

9. 应该考虑你所编的程序的社会后果

10. 应该以深思熟虑和慎重的方式来使用计算机。

再如，美国的计算机协会(The Association of Computing Machinery)是一个全国性的组织，它希望它的成员支持下列一般的伦理道德和职业行为规范：

1. 为社会和人类作出贡献；

2. 避免伤害他人；

3. 要诚实可靠；

4. 要公正并且不采取歧视性行为；

5. 尊重包括版权和专利在内的财产权；

6. 尊重知识产权；

7. 尊重他人的隐私；

8. 保守秘密。
国外有些机构还明确划定了那些被禁止的网络违规行为，即从反面界定了违反网络规范的行为类型，如南加利福尼亚大学网络伦理声明(the Network Ethics Statement University of Southern California)指出了六种不道德网络行为类型：

1. 有意地造成网络交通混乱或擅自闯入网络及其相联的系统；

2. 商业性地或欺骗性地利用大学计算机资源；

3. 偷窃资料、设备或智力成果；

4. 未经许可接近他人的文件；

5. 在公共用户场合做出引起混乱或造成破坏的行动；

6. 伪造函件信息。

上面所列的“规范”的两方面内容，一是“应该”和“可以”做的行为，二是“不应该”和“不可以”做的行为。事实上，无论第一类还是第二类，都与已经确立的基本“规范”相关，只有确立了基本规范，人们才能对究竟什么是道德的或不道德的行为作出具体判断。

『叁』 关于《网络安全和道德》的资料或作文

根据国内一些网络安全研究机构的资料，国内大部分的ISP、ICP、IT 公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入；很多重要站点的管理员都是Internet 的新手，一些操作系统如UNIX，在那些有经验的系统管理员的配置下尚且有缺陷，在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。
为了使广大用户对自己的网络系统安全现状有一个清醒的认识，同时提高对信息安全概念的了解和认识，强化网络系统安全性能，首创网络近日向用户推出免费安全扫描服务活动。
评估主机范围
Capitalnet技术支持中心在开展此次活动之前得到了客户的书面授权。活动中，根据客户提供的IP地址，并按照客户指定的时间，对包括网络设备和应用服务器等在内的主机系统进行安全评估。
评估时间和方式
此次活动持续两个月时间，由7月1日开始，到8月31日结束。在活动期间，首创网络技术支持中心安全产品组的专家们在与用户达成共识的前提下，利用专业的安全评估工具，对客户网络信息系统中的重点环节进行了全方位的安全扫描，并根据扫描结果产生了安全评估报告，提交给客户。客户可以根据这一安全评估报告充分了解自己信息系统的安全情况，进而采取相应的安全应对措施，从而提高网络系统安全性。
评估单位分布
此次评估活动共收到IP地址93个，分别来自不同行业的34家单位。这些单位分别属于多种行业部门。
评估主机分类
93个IP地址基本代表93台主机，分别为各个单位提供不同的信息化应用。如：WEB、Datebase、Mail等常见应用和防火墙等特殊应用。
评估漏洞分布
在93台主机提供的各种信息应用中，都存在这样或那样的漏洞，此次评估都漏洞的风险分为三种：高风险漏洞、中风险漏洞、低风险漏洞。
参照标准为：
● 高风险漏洞代表该漏洞可以使攻击者可以得到该主机的最高权限或中断网络服务；
● 中风险漏洞代表该漏洞可以获取主机信息，有助于攻击者进一步攻击，或存在潜在致命漏洞；
● 低风险漏洞代表该漏洞会间接影响系统服务的正常运行。
评估漏洞类型
本次扫描活动主要采用了三星信息安全公司的安全评估工具SecuiScan，但为了真实反映客户的漏洞存在情况，也结合了其它著名的安全评估工具，为俄罗斯著名安全评估软件Shadow Security Scanner和著名的自由软件Nessus。在工具评估后，根据提供的分析报告来人工检查证实漏洞的真实性，并在不破坏客户主机正常运行的情况下得出令客户信服的评估结果。
评估发现，很多存在漏洞的主机都是一些常见的配置错误和已经公布的漏洞，而且针对这些漏洞的攻击工具很容易被恶意的攻击者获取。这些漏洞分布如下图：
评估漏洞说明
1. 弱口令攻击：不少网站的管理员账号密码、ftp 账号密码、Sql 账号密码等都使用很简单的或是很容易猜测到的字母或数字，利用现有的家用PIII 机器配合编写恰当的破解软件足以在短时间内轻松破解，一旦口令被破解，网站就意味着被攻破。
2. Unicode 编码漏洞攻击：对于Windows NT4.0 和Windows 2000 来说都存在有该漏洞，利用该漏洞远程用户可以在服务器上以匿名账号来执行程序或命令，从而轻易就可达到遍历硬盘、删除文件、更换主页和提升权限等目的，实施方法简单，仅仅拥有一个浏览器就可实施。
3. ASP 源码泄漏和MS SQL Server 攻击：通过向web 服务器请求精心构造的特殊的url 就可以看到不应该看到的asp 程序的全部或部分源代码，进而取得诸如MS SQL Server 的管理员sa 的密码，再利用存储过程xp_cmdshell 就可远程以SYSTEM 账号在服务器上任意执行程序或命令，事实上，MS SQL Server 默认安装的管理员sa 的密码为空，并且大多数系统管理员的确没有重新设定为新的复杂密码，这直接就留下了严重的安全隐患。
4. IIS 缓冲溢出攻击：对于IIS4.0 和IIS5.0 来说都存在有严重的缓冲溢出漏洞，利用该漏洞远程用户可以以具有管理员权限的SYSTEM 账号在服务器上任意执行程序或命令，极具危险性。实施较为复杂，但是可以获得这种攻击的傻瓜攻击软件。这种攻击主要存在于Windows NT 和2000 系统中。
5. BIND 缓冲溢出攻击：在最新版本的Bind 以前的版本中都存在有严重的缓冲溢出漏洞，可以导致远程用户直接以root 权限在服务器上执行程序或命令，极具危险性。但由于操作和实施较为复杂，一般也为黑客高手所用。这种攻击主要存在于Linux、BSDI 和Solaris 等系统中。
6. 其他攻击手法：还有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻击的手段，但在这次评估活动中表现的不是非常明显。
整体安全评估报告
主机系统的安全评估主要在于分析主机系统存在的安全弱点和确定可能存在的威胁和风险，并且针对这些弱点、威胁和风险提出解决方案。
主机存在安全弱点
安全弱点和信息资产紧密相连，它可能被威胁利用、引起资产损失或伤害。但是，安全弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。
经过对这些主机系统和防火墙的扫描记录分析，我们发现目前该网络中的主机系统主要弱点集中在以下几个方面：
1 ．系统自身存在的弱点
对于商业UNIX 系统的补丁更新不及时，没有安全配置过，系统还是运行在默认的安装状态非常危险。对NT/2000 的服务器系统，虽然补丁更新的比及时，但是配置上存在很大安全隐患，用户的密码口令的强度非常低很多还在使用默认的弱口令，网络攻击者可以非常轻易的接管整个服务器。另外存在IPC$这样的匿名共享会泄露很多服务器的敏感信息。
2 ．系统管理存在的弱点
在系统管理上缺乏统一的管理策略，比如缺乏对用户轮廓文件（Profile ）的支持。在系统中存在空口令的Guest 组的用户，这些用户有的是系统默认的Guest用户，有的是IIS 和SQL 服务器的默认安装用户。这些用户有些是被系统禁用的，如Guest ，有些则没有，没有被禁用的这些账号可能被利用进入系统。
3 ．数据库系统的弱点
数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点，由于未对数据库做明显的安全措施，望进一步对数据库做最新的升级补丁。
4 ．来自周边机器的威胁
手工测试发现部分周边机器明显存在严重安全漏洞，来自周边机器的安全弱点（比如可能使用同样的密码等等）可能是影响网络的最大威胁。
主机存在的威胁和风险
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。因此威胁分析是围绕信息系统的可用性、保密性、完整性、可控性、可审查性、抗抵赖性进行的。
安全风险则是一种可能性，是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害，从而直接地或间接地引起企业或机构的损害的可能性。
在这次评估中，主机系统存在的威胁和及其产生的安全风险主要有以下几个方面：
1. 针对主机的攻击威胁
包括针对Windows NT 系统及其开放的系统服务的安全弱点攻击威胁，攻击者可能由此获取系统的信息资源或者对系统信息进行破坏。
2. 针对数据库的攻击威胁
包括在对数据库系统的攻击行为，包括非法获取、篡改、删除数据库信息资源和进行其他形式的服务攻击。
3. 管理不当所引起的安全威胁
包括由于用户管理策略不当使得攻击者可能获取某一级别的用户的访问权限，并由此提升用户权限，造成用户权限的滥用和信息资源的泄漏、损毁等；由于采用远程管理而引发的威胁；缺乏足够的安全审计致使对安全事件不敏感，无法发现攻击行为等。
4. 配置不当所引起的安全威胁
包括在主机系统上开放了未做安全防范的服务如IPC$共享所造成的安全威胁等。
网络安全建议
建议把提供网络服务的程序升级到最新版本，关注网络安全通告，或由首创为客户提供全面、周到、专业的网络安全服务。
总 结
此次活动历时两个月时间，为34家客户的93台主机提供了全面的安全扫描服务，并将最终的扫描结果提供给了客户。
通过此次活动，我们发现所有的客户主机都或多或少存在着各种风险度的安全漏洞，安全现状不容乐观。其实在这些客户所暴露出来的漏洞中，绝大多数都是已经有了解决办法的，只要做一些简单的升级或安装补丁就可以解决。另外，我们还发现，有的客户使用了一些安全产品，但却由于使用不当，反而引入了更多的安全漏洞。另外，客户的信息系统普遍也缺乏良好合理的安全规划和管理，从而使得其自身的系统对外呈现了很多本不应该出现的漏洞，给外界入侵提供了便利的条件。
我们认为出现这样的问题主要有这样一些原因：
客户普遍还缺乏安全意识，不知道自己其实面临很大的危险；专业知识不够，不知如何解决安全问题；对安全产品的选择、使用和设置不当；没有合理的安全管理策略和机制。
针对这样一些原因，有些相对容易解决，有些则要困难一些。在首创网络通过自身的努力，在信息安全领域里不断追求更高的技术水准和服务水准，力争在竞争日益激烈的今天，面对不断复杂的信息安全形势，从容面对，为客户提供更加完美的产品和服务。

（本报告由首创网络提供，内容有删节）

“首创网络安全调查”带来的启示
本刊记者 曹 玫
近日，首创网络针对我国企
业网络安全现状，对来自
34个不同行业用户的93台主机的网络信息系统进行了抽样调查，结果是100%的用户的主机都存在不同程度的安全问题。这个数字不能不让我们吃惊，网络现状让人担扰。
随着企业信息化、电子政务的进一步推进，对网络安全的要求与过去已不可同日而语。但信息化在我国刚刚起步，企业对网络安全的意识和认知尚待培育。
本刊记者就首创的网络安全评估活动采访了中国国家信息安全测评认证中心计算机测评中心常务副主任翁正军女士，她认为：“首创这次的评估活动值得肯定。这类的网络安全评估如果经常性的进行，对用户了解自身的安全风险非常有益”
另外，翁女士还提醒道：“针对网络和系统的脆弱性评估，有可能对被测系统造成损害。当然，不一定是测试本身的问题，而是被测系统太脆弱。但是不管怎么样，都要让用户事先知道风险的存在，并且通过恰当的安排尽力回避这些风险”。
安全意识 携手培育
网络安全是“三分技术，七分管理”，从首创的报告中可以看出，造成网络漏洞的原因基本上是管理的忽视和疏漏。
已认识到IT系统重要性的大型企业和跨国企业，虽有一些机房和系统的不很细化的管理制度，但大部分也只限于书面文字的约束而已，没有强有力的监督实施手段和相应的管理人员；大部分的中小企业甚至没有把网络安全提升到管理的层面，还只是停留在购买一些低端的安全设备上，当然对于国内的中小企业采取何种安全模式仍是专家和安全服务提供商们争论的热点问题。
管理问题追溯其根源，还是企业的意识问题，安全意识的加强和培育是需要政府或行业主管单位、安全厂商和用户自身共同努力来实现的。
如政府和行业主管要加大政策和法令的宣传力度，改变政策和相关标准滞后的现状，一方面，用户有相关的政策和标准来衡量网络安全厂商提供给他们的产品和服务是否符合国家标准，做到有据可依。另一方面，安全厂商有了相关条例和行业标准，在为用户构建网络平台和生产安全产品时，把各种安全隐患降减到最小程度，做到了有法必依。
安全厂商在培育用户的安全意识方面，毫无疑问，充当着主力军的角色，目前，我国的网络安全意识尚处于萌芽阶段，因此对用户意识的培育应属于安全厂商市场战略和规划的一部分，只有大家共同把这块蛋糕做大，网络安全广阔的市场才会在短时间内形成规模。
从用户自身的角度来讲，“船到江心才补漏”是需要付出不可估量的代价的，网络数据的迅速增长，单靠一些低端的安全设备已远远难以维护系统和网络安全。总的来说，要改善和加强管理力度,必须提高企业的安全意识.
网络测试 谨慎评估
做安全测试，一定要做非常细化的风险评估策略，首先要确定企业哪些资源需要保护，并根据保护成本与如果事件发生前不采取行动需付出的代价之间的平衡制定评估方案，检测后要确定企业具体环境下到底存在哪些安全漏洞和安全隐患，一旦这些漏洞被黑客利用会造成哪些风险和破坏。
最后综合对各种风险因素的评价，明确网络系统的安全现状，确定网络系统中安全的最薄弱环节，从而改进网络的安全性能。所以检测之前与之后的评估是非常重要的。全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面。首创的安全评估属于对系统主机的漏洞的评估，测试的安全风险相对要小一些。
测试不是目的，制定相应的安全策略并彻底解决用户存在的安全问题，才是我们的愿望。
首创的安全测试为我们敲醒了警钟，加强安全意识已成为企业高层迫切需要正确对待的问题。

企业信息安全意识有待觉醒

本刊记者 陈 慧

为了解客户的安全现状，并
提高客户的安全意识，首
创网络在7月1日到8月31日为期两个月的时间内为34家客户的93台主机提供了免费远程安全扫描服务。提交的报告结果表明，这些客户所有的业务部门都或多或少存在着安全漏洞，其中高风险漏洞占42%，中风险漏洞占28%，低风险漏洞达30%。可见这些客户的信息安全现状令人堪忧。
面对安全漏洞，
视而不见还是立即行动
“此次扫描主要是针对黑客的攻击行为，”首创网络安全产品经理钟博向记者介绍说，“我们选择这种远程的网络扫描的服务活动比较容易开展，类似于黑客攻击的第一个阶段，还未涉及到内部攻击。”在发现客户漏洞之后，首创还可以针对客户的要求为其提供相应的修补、加固和优化服务、专门的培训和分析，以及远程管理和紧急响应等多种全方位的安全服务。
在首创网络扫描过程中发现的网络安全漏洞主要涉及到底层的操作系统平台和应用系统两个方面。漏洞可能是操作系统带来的，比如采用Windows操作系统平台的企业漏洞特别多；也有可能是应用系统本身的问题，比如数据库、Web系统和ERP应用软件等等。在应用系统方面，数据库的漏洞比较多，其中又以SQL Server数据库的漏洞为甚。对于操作系统的漏洞，大多可通过从网上下载补丁程序的方法加以解决，有些客户没有下载补丁程序，因而容易被攻击。也有客户把用户访问口令设成了空的，也容易被攻击。这些漏洞本都很容易避免，之所以出现，主要因为应用和管理人员本身安全意识淡薄所导致。
被扫描的首创网络的IDC和专线客户，都是经常使用IT设备和网络应用的，其中，本身业务系统与安全结合不是很紧密的客户比较容易产生安全漏洞，比如媒体的网站、制造业企业的网站等。在首创网络的整个扫描服务期间中就出现过这样的情况。一家传媒机构的网站被黑客攻击，其主页被篡改了。客户要求首创对其遭到攻击的主机进行扫描，了解其被攻击的原因。通过扫描，发现主要原因在于这个传媒机构把操作系统装好之后，采取了默认配置，并没有做安全性增强方面的考虑和设置，其主机上的漏洞都是一些很常见也很容易弥补的。此外，制造业企业涉及到CRM和ERP这样的系统。总部与分支机构之间经常有大量机密的数据需要交互，对于这样的企业，如果不做好全面的安全规划并采取相应的安全手段，也容易对外暴露很多安全漏洞。
面对送过来的扫描结果和漏洞分析，客户的反应五花八门：有的客户一接到扫描的结果，发现自己的网络安全存在这么多的问题，非常着急，立刻要求首创为其提供相应的解决方案；有的客户要求首创帮助把漏洞堵上；也有客户说，卖我们一个防火墙吧；还有客户没有反应，好像在忙着理顺自己的网络，无暇顾及安全问题。
安全防范，投入多少并采取哪些手段
有两个问题需要企业考虑清楚，一是企业要保护的信息到底值得投入多少；二是采取什么手段。网络时代，企业要连接到互联网上与外部沟通。任何企业无论大小，总是有些信息是不希望被外界知道的，每一个企业都有必要采取一定的手段保护自己的信息，防止被别人窃取、篡改或者破坏。那么企业值得投入多少人力、物力和财力保护信息安全？
信息的价值其实不太好量化。钟博认为，那些有关产品生产的科研数据，如果被竞争对手掌握，很快抢占市场，可能造成经济利益的巨大损失，那么可以说这些信息非常有价值；还有企业的人事信息和财务信息，一般来说也是需要保密的；也有一些信息可能被别人看到也没有太大问题。信息的价值是可以分级别的，针对信息的价值企业考虑是否投入相应的人力、物力和财力来做相应的保护。一般来说，在一个企业的网络的建设中，在信息安全方面需要15%～20%的投入，对于不同的行业，比例会有所不同，有的企业可能会更高，这主要取决于企业需要保护的信息价值有多大。
在确定需要多少投入进行信息安全建设之外，还要考虑如何来保护和合理地分摊投入。主要有安全管理，安全技术和产品这两个方面。企业一方面要与提供安全产品或者解决方案的厂商共同制定一个合理的安全管理制度，另一方面，要很好地利用安全产品，让它在企业安全防范中发挥作用。
安全管理就是制定安全策略，安全管理制度。比如员工上机制度，机房管理制度等等，不同的企业具体情况不同，需要网络安全厂商或者解决方案提供商同客户共同协商制定。如果客户对此不太了解，就需要安全厂商先提出方案，然后由客户认可之后在企业内执行。而对于安全技术和产品来说，很多企业认为，购买了一个防火墙、防病毒的产品，把它们加入到信息系统里面，就认为万事大吉了。但实际上，很可能由于管理方面的不当，不能够起到很好的保护的作用。
安全事件的产生源，分为内部和外部的两种，如果是内部人员有意要破坏信息，可能要比来自外部的更轻车熟路。首先要准确地区分什么是内部和外部。一个公司内外隔离的点，一般是企业内部网络与互联网的接入点，在这个点上可以做防火墙等设置。在整个企业实体的内部，还要做一些具体的划分，核心的部分要作为内部的内部，即使是内部员工也不可以随便访问。在内部解决安全问题常见的手段就是入侵检测，防止入侵行为出现。有重要的数据存储的部分，需要数据完整性的保护，需要防病毒、身份认证和审计等等安全手段。找准隔离和保护的点在哪里，这样才知道相应的安全设备和手段应该用在什么地方。
安全意识淡薄、无序竞争的现状有待改进
2001年，安全产品的市场份额已经达到40亿，2002年将会继续增长，安全市场成为整个IT业的一个亮点。国内的安全厂商也很多，但是存在无序竞争和恶性降价的情况。在安全产品竞争中，有些地方存在地方保护主义。在产品与服务的意识上，中外企业也有差别。首创网络是一家网络安全解决方案提供商，在为客户服务的过程中，钟博觉得外资客户更看重安全服务，比如安全扫描，入侵检测数据的报告，以及出现某种问题的分析，甚至提出租用安全服务提供商的设备，而国内企业比较重视安全产品的拥有。
目前，整个安全市场的发育不是很平衡，大多数客户认识到的安全产品只有防火墙和防病毒产品。实际上，信息安全领域还有很多其它产品：比如身份认证、保密产品、VPN（虚拟私有网）、关键行业使用的防电磁泄露、信息隐藏（数字水印）、政府部门需求比较多的物理隔离等等。
在首创网络的这次安全评估报告总结中，我们可以看到，企业普遍缺乏安全意识，不知道自己其实面临很大的危险，专业知识不够，对安全产品的选择、使用和设置不当，没有合理的安全管理策略和机制。如何提高企业的安全意识呢？钟博认为必须要让企业有切身的面临危机的感受。通过首创网络的这次扫描活动，让客户意识到，他的网络中肯定是存在这样那样的漏洞，并且有具体的描述，这样多多少少都会引起客户注意。这其实也是首创网络在积极地提醒市场的一种行为。
企业在考虑信息安全问题的时候，如果信息系统正在建设的过程之中，这时需要把相关安全问题考虑进去。如果信息系统已经建好了，只是做安全增强的工作，这时可能就比较困难，可能需要对整个系统的参数配置做一些修改，客户有时会为了避免麻烦而放弃安全方面的考虑。对于信息系统已经建好的企业，最好是能够及时地意识自己的安全问题，尽量做一些相关的调整.

『肆』 计算机信息安全与职业道德是什么

http://wenku..com/view/a46311f34693daef5ef73dcc.html

『伍』 阐述一下你对信息安全与网络道德规范的理解（要求详细）

一个字，乱。

『陆』 有哪些信息道德和信息安全问题存在

1、网络与信息系统防护水平不高、应急能力不强
2、信息安全管理和技内术人才缺乏、容关键技术上整体比较落后、长夜缺乏核心竞争力
3、信息安全法律法规和标准不完善
4、全社会的信息安全意识不强
5、信息安全管理薄弱
6、网络行为的道德规范尚未形成。

想要更具体的，搜索安标委、信安评测中心这些大牛们的报告、PPT

『柒』 网络安全相关法规和道德规范

推荐一本相关的书籍你看一下《信息安全法律法规与管理》

『捌』 信息安全法律法规及网上道德规范

社会最近发生的网络案件如网友见面、虚拟财产被窃等现象。这些问题不能不引起我们注意关于网络安全，网络道德问题，导入这节课“做信息时代的合格公民”的主题。

师：首先肯定网络给我们带来的各种积极的、重要的影响。结合上节课学习的计算机病毒和计算机犯罪问题，引出在网络使用过程中经常出现的问题，给我们带来了很多的负面影响。
生：通过教材中任务，找出信息活动中经常出现的问题；并且填写任务单中相应内容。
师：列举网络使用过程中经常出现的问题：网上传播不良信息；利用网络从事违法犯罪活动；虚假信息给青少年造成不良影响；垃圾信息泛滥成灾；等等。设计意图：激发学生解决问题兴趣。
生：如何解决以上问题？（头脑风暴）如：依靠法律法规、依靠技术维护及做好网络道德规范宣传活动等等。
师：指导学生通过学习网站阅读网络道德规范及青少年网络文明公约。
生：阅读教材了解《青少年网络文明公约》的内容，并且对自己的日常上网行为进行反省。
（1）设问：去过网吧的同学有多少？一般去一次是多长时间？在网吧里一般都做什么？平均一周去几次？
活动：民意调查，从而阐明“拒绝泡网吧，珍惜生命”。
（2）设问：在网络上，聊过天吗？泡论坛吗？玩过最近流行的网络游戏吗？在这些方面上，你投资了多少，收获了多少？
活动：民意调查，从而阐明“擦亮慧眼，分清虚实世界”。
（3）利用搜索引擎及部分相关资料，举实例，如网页木马、恶意代码、网络虚拟财产案、重要机构机密资料被窃等。
活动：让学生自己总结网络安全的重要性。并号召学生“刻苦钻研网络技术，维护网络安全”，争做网络小卫士。
（4）在网络的虚拟世界中，注意保护个人的相关资料，如家庭住址、电话号码、生日、亲属关系、银行账号等相关内容。
活动：假如泄露了个人相关资料，会引起什么样的恶性后果？（让学生自己总结）从而阐明“增强自我保护意识，守护个人资料”。
师：组织学生讨论：“本校内的BBS中留有以虚假身份或匿名方式发布的大量帖子，部分内容粗俗，不健康不积极，还有的谩骂同学或是教师的。”教师与学生游览并且引导学生从现在做起。
生：利用校内网站（www.wdez.net）中的BBS或登陆FTP进行网上讨论，发表个人看法。
师：指导学生登陆因特网法律法规网站，了解法律法规常识。
http://www.member.netease.com/~bytalent/lawnet/net_safe/03.htm
师：指导学生阅读课后案例：“破译密码窃取巨额储蓄资金 黑客被判无期徒刑”等等案例。
生：回答案例中主人公触犯了哪些法律法规。
师：在信息社会的高速发展下，信息课程日渐成为以后人们重要的学习方式，所以倡导学生分组讨论共同制定一个“网络课程学习守则”，并对学生制定的守则进行评价。
生：根据《青少年网络文明公约》从“课程学习”、“交流讨论”“联系反馈”等方面讨论总结出学生自己的学习守则，并且努力自觉的遵守守则，并在班上交流。
师：指导学生为本班拟定一份“网络课程学习守则”。
生：各小组长负责完善各小组交流之后的学习守则，共同完成本班内的“网络课程学习守则”。
师：指导学生完成“小组学习任务单”的全部内容。

『玖』 怎样教育学生的信息安全意识和信息道德素质

娱教于乐，玩一玩儿信息安全意识教育回游戏。答 http://www.securemymind.com/child-internet-safety/