2017网络安全优秀教师翁健

‘壹’ 网络安全员管理论文

网络安全员
重塑 “
黑客”
精神 丁晓磊 本刊记者
“ 位名叫大卫 ·
莱特曼的电脑天才,
可自由
进人学校电脑系统改动考试分数 ,
因此全
无学业之忧 ,
整日将时间耗在电子游戏上。
一 日误
撞上了 “
北美空防系统”
沪江 的一台超级电
脑,
大卫用它玩起了“
第三次世界大战”
的模拟游戏,
但这个游戏比他想象的要来得真实 当大卫退出,
游戏并没有结束,
的电脑仍然认为苏联人
发动了核战争,
对两个超级大国的电脑而言,
战争
游戏并没有结束 ⋯⋯”
这是 年第一部黑客影片《战争游戏 》 的
情节。
当时正值冷战高峰 ,
电脑还只是科学怪才专
属玩具,
影片用大众对核战争和网络攻击技术的恐
惧好好地把观众吓了一把。
如今,
电脑已经进人了中国的千家万户,
中国
的黑客数量和技术水平都在飞一般的上升 ,
黑客人
侵系统的新闻也频繁见诸于报端,
让网络安全愈显
突出。
于是 ,
常常被误认为是 “
黑客”
的网络安全
研究员应时而生。
了证明自己,
便破解了系统管理员的口令,
进人了
管理系统。
虽然他什么都没有破坏 ,
但领导得知消
息后还是开除了他。
网络攻击技术应该是网络最神秘和最具挑战性
的领域 ,
让掌握高超计算机技术的年轻人心驰神往。
于是,
方兴和像他一样喜爱电脑的人开始涉足网络
攻击技术的研究。
没一个是计算机专业的
年 月 号,
北京海淀区苏州街 号的
酒吧。
国内安全组织 的核心成员方兴 ,
美国安全组织 的核心成员、
美国赛门铁克的
高级安全研究员 ,
国内安全组织 、
的
核心成员、
美国 的安全研究员赵伟,
美
国 北京分公司的安全研究员薛峰和
北京启明星辰安全技术工程师韩冰聚在一起—他
们经常会组织类似的聚会。
五个年轻人,
向《中国
电子商务 》 展现着网络安全世界的神奇。
原以为他们都是大学期间计算机专业的高材
生 ,
结果发现他们居然出身于各种学科,
市场营销、
热能、
机械甚至还有妇科 ,
没一个人是计算机专业
的。
但他们都执着地喜爱计算机技术。
在还没有安全意识的时候 ,
他们都曾经涉及过
网络安全,
方兴的一次经历颇为典型 他曾经在信
用社做出纳 ,
优秀的计算机技术让身边的同事感到
有抢饭碗的威胁,
大家排挤他。
年少轻狂的他,
为
技术与人品 ,
一个不能少
一个真实的笑话 网络安全圈内的一个成员被
聘于世界上最大的专门从事于安全解决方案的供应
商公司
—迈开菲,
进入外企的他到新东方进行英
语培训。
第一节课大家进行自我介绍 ,
他说自己是
研究网络病毒的。
突然一个女士站了起来说 “
你
是不是黑客 如果是,
我要举报你 ”
黑客一词 ,
源于英文 ,
原指热心于计算
机技术 ,
水平高超的电脑专家,
但到了今天 ,
黑客
一词已被用于泛指那些专门利用网络攻击技术搞破
坏的家伙。
因为他们是倾向于研究攻击技术研究的
技术人员,
和黑客拥有的是同样的技术,
所以在圈
内被称为黑客,
以至于那个女士如此的义愤填膺。
随着电子商务和越来越多的信息通过和依赖网
络,
让很多人看到出了攻击技术的无限 “
钱”
途,
而软件漏洞的披露也使得人侵需要付出的技术成本
越来越低 ,
于是拿着工具在网络上恶意人侵和获得
非法收益的人越来越多。
他们也顶着黑客的光环 ,
虽然他们或许对工具使用的攻击技术一无所知 但
是却被媒体广泛的报道与渲染,
甚至捧为天才,
进
一步吸引好奇的民众 ,
惹得很多无知的孩子以他们
为榜样 ,
于是越来越多的只会用工具的 “
黑客”
诞
生了。
对此 ,
方兴感慨地说 “
侠义的精神消失后,
盖世的武功也只能成为逞强斗狠 ,
凌辱他入的工具。
在只有名与利的江湖里 ,
侠客早已消失。
当追求技
术完美与精神的自由的黑客精神,
在喧嚣的红尘里
迷失,
而黑客技术只沦落为恶意人侵和获取非法利
益的手段的时候 ,
世上也就没有真正的黑客了。 ”
为此 ,
他们制定了严格的人圈原则,
那就是技术
月 礴 目比 “ 阳 一川二 中国电子商务黑色的背影 明亮的团队。
从左至右依次为 、
薛锋、
赵伟、
韩冰、
方兴。
和人品。
不仅要有在安全界认同的技术论文 ,
还要
有良好的人品,
缺少哪一个都别想进人这个圈。
先做 好的矛,
再做最好的后
很久以前,
研究攻击技术是被正规的安全研究
圈子所不齿的,
以至于 年的 “
冲击波”
事件后,
微软在美国召开了特别新闻发布会,
指责中国的网
络安全组织未与微软接触洽便公布破坏性程序,
是
邪恶的组织。
但正规的安全研究只热心于研究防护技术,
如
密码保护技术,
安全体系结构等,
专注于研制出最
坚固的盾。
于是爱好研究攻击技术的安全研究人员
就被视为异类 ,
抖 沂在安全研究的体制之外,
他们
只能以黑客的身份 ,
通过自己在攻击技术上研究的
成果,
向那些正规的安全研究圈子证明 安全防护
与攻击永远都是一对矛盾体。
只单纯的研究防护技
术 ,
攻击技术总能找到绕开防护技术的方法去突破。
他们坚持要做最好的矛 ,
认为只有这样才能真正促
进网络安全研究的发展。
如今 ,
攻击技术的研究也越来越被正规的安全
公司所重视 ,
即使是微软这样的软件巨头,
也承认
了攻击技术的研究的地位。
微软每年举办国际会议,
出钱邀请这些对攻击技术有研究的技术人员来给微
软上至总裁,
下到普通的开发人员讲攻击技术和安
全的课。
对于网络攻击技术的重视不只是软件厂商,
美
国人 对记者说 ,
在美国,
网络攻击技术已经受
到了美国国防部的重视。
似乎网络安全的江湖一夜变了样 ,
那些曾经
叛逆的研究攻击技术的黑客先驱们看到了行业的发
展,
看到了攻击技术的研究终于能光明正大地立足
于安全研究领域。 “
或许是应该让我们这些承袭攻
击技术研究的 ‘
黑客 ’
回归到传统的安全技术人员
的本色上去的时候了,
而不再是戴着一顶黑客的帽
子 ,
和那些今时代的黑客去争论谁是真正的黑客。 ”
令人意外的是 ,
几个年轻人都充满关怀社会的
责任心 年 月 日 ,
曾是破壁残垣的云南
省宁菠县烂泥管乡大二地行政村小二地刁 、
学的新校
舍竣工。
这个修建资金是由网络安全组织 牵
头捐助的。
采访结束时 ,
记者等着和他们道别 ,
他们却
忘我地在门口谈论一个程序。
美国网络安全研究员
惊讶的说 ‘
他们居然还是那么有激情,
在美
国早已看不到这种情景了。 ”
田

‘贰’ 网络安全讲座听后感

0多种：食物中毒、体育运动损伤、网络交友安全、交通事故、火灾火险、溺水、毒品危害、性侵犯、艾滋病等。在全国各类安全事故中，学校安全事故所占的比重很大。据了解，我国每年约有1.6万名中小学生非正常死亡：中小学生因安全事故、食物中毒、溺水、自杀等死亡的，平均每天有40多人，就是说几乎每天有一个班的学生在“消失”。
当前，中小学生中相继出现了不少因思想、心理、行为上的偏差而引发的伤亡事件，暴露出了当前学生在思想上、心理上和行为上具有普遍性的安全隐患。一个个触目惊心、血泪交织的悲剧不能不叫人扼腕叹息、心有余悸，也更对我们敲响了安全的警钟。
“生命”，一个多么鲜活的词语；“安全”，一个多么古老的话题；“幸福”一个多么美妙的境界。同学们：一人安全，全家幸福；生命至上，安全为天；安全第一，预防为主。生命只有在安全中才能永葆活力，幸福只有在安全中才能永具魅力。安全构筑了我们美好的家园，成为连接亲朋好友的纽带。在安全的问题上，来不得半点麻痹和侥幸，在安全的问题上，我们必须要防范在先、警惕在前，必须要警于思，合于规、慎于行；必须要树立高度的安全意识，人人讲安全，时时讲安全，事事讲安全；必须要筑起思想、行为和生命的安全长城。
也许不少同学会认为，安全只是指身体的安全甚至是肢体的健壮和不受伤害；认为只要自己的肢体健全、行动自如那就叫安全。我认为，这决不是安全的全部。即便是一个具有健全的体格的人，如果他的思想道德水平低下、明辨是非能力不强，糊里糊涂攀兄弟、结姐妹，既有拉帮结派之嫌，又有醉翁喝酒之意；如果他不明不白逞义气、惹事端，不但喜好随波逐流，而且希望出点乱子；这表现出来的就是思想上的安全问题。就如上星期，有好几起同学打架事件，还有球场上发生的事件。篮球比赛本应赛出友谊，赛出风格，可有那么一些同学竟为输赢而大打出手，弄得同学之间关系紧张。不难想象，有了这样不安全的思想，要平平安安地一辈子做好人，那是很难的。再说，一个具有健全体格的人，如果他沉溺于不良书刊和网络游戏的精神鸦片，天天吸、处处吸，甚至课堂上忍不住要走神，思之想之；深夜里忍不住要越墙泡网吧熬个通宵；如果他过早地迷恋于少男少女的缠绵悱恻，无端寻愁觅恨、疯疯傻傻、痴痴狂狂，甚至争风吃醋结恩怨，冲冠一怒为红颜。这表现出来的就是行为上的安全问题。有了这样不安全的行为，要踏踏实实地读好书，一帆风顺地读到头，那也是很难的。 无论是人身安全还是思想安全，亦或是行为安全，它们都有一个共同的特点，那就是结果的残酷性。交通事故，游泳溺水事故、体育活动意外伤害事故，课间游戏追逐打闹偶发事故，轻者可以伤及体格，重者能够危及生命，它们造成的后果是残酷的。可是思想道德的残缺、行为方式的越轨比体格不健全更可怕。臧克家先生在《有的人》一诗中写道：“有的人活着，他已经死了。”我想，那些失去健康的精神追求、迷失正确的人生方向、空有一架活着的躯体行尸走肉的人不就是思想残缺的产物吗？这种“产物”充其量只能是没完没了地吸取消化父母亲血汗的机器，只能成为社会发展长河中的废物，甚至成为危害社会发展的危险物。
各位老师、同学们：我们都生活在一个由亲情、道德、责任、义务等等所交织的密切的关系当中。因此，个人就不仅只是个人。每一个人的现在都与未来相连，每一个人的自身都与家庭相连，每一个人的荣辱都与整体相连。为了个人的成长，为了家庭的幸福，为了这荣辱相伴的整体，让我们共同筑起思想、行为和生命的安全长城，做个好人。只有好人，一生才能平安；祝愿好人，一生平平安安。

‘叁’ 浙江省网络安全学院

咨询记录 · 回答于2021-09-30

‘肆’ 国内，计算机网络专业名人有谁 详细情况

谢希仁老师
谢希仁，1931年生。1952年毕业于清华大学电机系。先后在解放军通信工程学院（张家口），西安军事电信工程学院（西军电，现西安电子科技大学）、通信兵工程学院（重庆）和通信工程学院（南京）任教。现任解放军理工大学指挥自动化学院教授，全军网络技术研究中心主任，总参通信部科技创新工作站专家委员会委员，中国电子学会会士和中国通信学会会士，IEEE高级会员，《电子学报》编委，大连理工大学、西安电子科技大学等校兼职教授。曾被评为全国和全军优秀教师，获国家和军队级科技进步奖多次以 谢教授在北京市信号与信息处理研究室讲学
及全军通信系统有突出贡献优秀科技人员奖和总参谋部人梯奖。研究领域是网管系统和卫星通信网控系统，领导和参加研制出我国第一个商用和军用的VSAT卫星通信网控中心。近年来负责主持翻译出版了多部计算机网络方面的世界名着，如Comer的《TCP/IP》（三卷），Stevens的《TCP/IP》（三卷），Forouzan的《TCP/IP》，Stallings的《数据与计算机通信》、《密码编码学与网络安全》及《高速网络》等。 主编的《计算机网络》是中国国内影响最大的计算机网络入门教材之一，被很多大学采用，曾被评为全国优秀教材。
编辑本段经历
1931年2月27日 出生于北京市。 1947-1952年 在清华大学电机系学习。 1952-1958年 任解放军张家口通信工程学院助教。 1958-1963年 任解放军西安军事工程学院助教、讲师。 谢希仁
1963-1977年 任解放军重庆通信兵工程学院讲师。 1977-1999年 任解放军南京通信工程学院讲师、副教授、教授、博士生导师。 1997年 任全军网络技术研究中心主任

‘伍’ 校园网络安全以网络安全为主题的作文800字

我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。
2.2 校园网的建设思路
校园网的建设是一项非常复杂的系统工程，校园作为一个特殊的网络应用环境，它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠、维护简单的原则。局域网技术是一项在20世纪70年代发展起来的计算机互联技术，经过多年的发展，技术已经成熟，并得到了广泛的应用，局域网技术成为网络技术的重要组成部分。计算机多媒体技术是伴随着多媒体信息的应用而得到迅速发展的计算机应用技术，在网络环境下，多媒体得到了更快更好的应用，使我们得到了更好更多的信息。校园网是使用了局域网技术以及各种多媒体应用技术，并结合Internet应用等其它的技术来建设。使得校园网能满足现代教学对信息处理的要求，使计算机的应用能对教学管理现代化起重要的促进作用，能实现信息查寻、教务管理，并与外部网络系统进行交流等多种需要。
2.3 校园网的建设原则及其目标
1.校园网的建设原则
校园网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使校园网的建设工作健康稳定地开展。首先，校园网的建设是一个为学校教育教学活动长期服务的工作，因此在校园网的规划建设过程中，必须从学校长远发展规划出发，以服务于教育为基本点，结合学校当前教育教学的实际需要，做出科学的规划部署。在校园网的规划建设中，一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥校园网络的功效，提高校园网对学校教育的服务水平。
2.校园网的建设目标
校园网络的建设的目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播（VOD）等信息共享功能，能实现办公的自动化、无纸化。能通过与Internet的互联，为全校师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源，能对学生进行多媒体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源，从而可以更好地进行学习，校园网能为学校的信息化建设打下基础。

‘陆’ 关于《网络安全和道德》的资料或作文

根据国内一些网络安全研究机构的资料，国内大部分的ISP、ICP、IT 公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入；很多重要站点的管理员都是Internet 的新手，一些操作系统如UNIX，在那些有经验的系统管理员的配置下尚且有缺陷，在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。
为了使广大用户对自己的网络系统安全现状有一个清醒的认识，同时提高对信息安全概念的了解和认识，强化网络系统安全性能，首创网络近日向用户推出免费安全扫描服务活动。
评估主机范围
Capitalnet技术支持中心在开展此次活动之前得到了客户的书面授权。活动中，根据客户提供的IP地址，并按照客户指定的时间，对包括网络设备和应用服务器等在内的主机系统进行安全评估。
评估时间和方式
此次活动持续两个月时间，由7月1日开始，到8月31日结束。在活动期间，首创网络技术支持中心安全产品组的专家们在与用户达成共识的前提下，利用专业的安全评估工具，对客户网络信息系统中的重点环节进行了全方位的安全扫描，并根据扫描结果产生了安全评估报告，提交给客户。客户可以根据这一安全评估报告充分了解自己信息系统的安全情况，进而采取相应的安全应对措施，从而提高网络系统安全性。
评估单位分布
此次评估活动共收到IP地址93个，分别来自不同行业的34家单位。这些单位分别属于多种行业部门。
评估主机分类
93个IP地址基本代表93台主机，分别为各个单位提供不同的信息化应用。如：WEB、Datebase、Mail等常见应用和防火墙等特殊应用。
评估漏洞分布
在93台主机提供的各种信息应用中，都存在这样或那样的漏洞，此次评估都漏洞的风险分为三种：高风险漏洞、中风险漏洞、低风险漏洞。
参照标准为：
● 高风险漏洞代表该漏洞可以使攻击者可以得到该主机的最高权限或中断网络服务；
● 中风险漏洞代表该漏洞可以获取主机信息，有助于攻击者进一步攻击，或存在潜在致命漏洞；
● 低风险漏洞代表该漏洞会间接影响系统服务的正常运行。
评估漏洞类型
本次扫描活动主要采用了三星信息安全公司的安全评估工具SecuiScan，但为了真实反映客户的漏洞存在情况，也结合了其它着名的安全评估工具，为俄罗斯着名安全评估软件Shadow Security Scanner和着名的自由软件Nessus。在工具评估后，根据提供的分析报告来人工检查证实漏洞的真实性，并在不破坏客户主机正常运行的情况下得出令客户信服的评估结果。
评估发现，很多存在漏洞的主机都是一些常见的配置错误和已经公布的漏洞，而且针对这些漏洞的攻击工具很容易被恶意的攻击者获取。这些漏洞分布如下图：
评估漏洞说明
1. 弱口令攻击：不少网站的管理员账号密码、ftp 账号密码、Sql 账号密码等都使用很简单的或是很容易猜测到的字母或数字，利用现有的家用PIII 机器配合编写恰当的破解软件足以在短时间内轻松破解，一旦口令被破解，网站就意味着被攻破。
2. Unicode 编码漏洞攻击：对于Windows NT4.0 和Windows 2000 来说都存在有该漏洞，利用该漏洞远程用户可以在服务器上以匿名账号来执行程序或命令，从而轻易就可达到遍历硬盘、删除文件、更换主页和提升权限等目的，实施方法简单，仅仅拥有一个浏览器就可实施。
3. ASP 源码泄漏和MS SQL Server 攻击：通过向web 服务器请求精心构造的特殊的url 就可以看到不应该看到的asp 程序的全部或部分源代码，进而取得诸如MS SQL Server 的管理员sa 的密码，再利用存储过程xp_cmdshell 就可远程以SYSTEM 账号在服务器上任意执行程序或命令，事实上，MS SQL Server 默认安装的管理员sa 的密码为空，并且大多数系统管理员的确没有重新设定为新的复杂密码，这直接就留下了严重的安全隐患。
4. IIS 缓冲溢出攻击：对于IIS4.0 和IIS5.0 来说都存在有严重的缓冲溢出漏洞，利用该漏洞远程用户可以以具有管理员权限的SYSTEM 账号在服务器上任意执行程序或命令，极具危险性。实施较为复杂，但是可以获得这种攻击的傻瓜攻击软件。这种攻击主要存在于Windows NT 和2000 系统中。
5. BIND 缓冲溢出攻击：在最新版本的Bind 以前的版本中都存在有严重的缓冲溢出漏洞，可以导致远程用户直接以root 权限在服务器上执行程序或命令，极具危险性。但由于操作和实施较为复杂，一般也为黑客高手所用。这种攻击主要存在于Linux、BSDI 和Solaris 等系统中。
6. 其他攻击手法：还有利用Send- mail、Local Printer、CGI、Virus、Trojan、DOS、DDOS 等漏洞攻击的手段，但在这次评估活动中表现的不是非常明显。
整体安全评估报告
主机系统的安全评估主要在于分析主机系统存在的安全弱点和确定可能存在的威胁和风险，并且针对这些弱点、威胁和风险提出解决方案。
主机存在安全弱点
安全弱点和信息资产紧密相连，它可能被威胁利用、引起资产损失或伤害。但是，安全弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。
经过对这些主机系统和防火墙的扫描记录分析，我们发现目前该网络中的主机系统主要弱点集中在以下几个方面：
1 ．系统自身存在的弱点
对于商业UNIX 系统的补丁更新不及时，没有安全配置过，系统还是运行在默认的安装状态非常危险。对NT/2000 的服务器系统，虽然补丁更新的比及时，但是配置上存在很大安全隐患，用户的密码口令的强度非常低很多还在使用默认的弱口令，网络攻击者可以非常轻易的接管整个服务器。另外存在IPC$这样的匿名共享会泄露很多服务器的敏感信息。
2 ．系统管理存在的弱点
在系统管理上缺乏统一的管理策略，比如缺乏对用户轮廓文件（Profile ）的支持。在系统中存在空口令的Guest 组的用户，这些用户有的是系统默认的Guest用户，有的是IIS 和SQL 服务器的默认安装用户。这些用户有些是被系统禁用的，如Guest ，有些则没有，没有被禁用的这些账号可能被利用进入系统。
3 ．数据库系统的弱点
数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点，由于未对数据库做明显的安全措施，望进一步对数据库做最新的升级补丁。
4 ．来自周边机器的威胁
手工测试发现部分周边机器明显存在严重安全漏洞，来自周边机器的安全弱点（比如可能使用同样的密码等等）可能是影响网络的最大威胁。
主机存在的威胁和风险
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。因此威胁分析是围绕信息系统的可用性、保密性、完整性、可控性、可审查性、抗抵赖性进行的。
安全风险则是一种可能性，是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害，从而直接地或间接地引起企业或机构的损害的可能性。
在这次评估中，主机系统存在的威胁和及其产生的安全风险主要有以下几个方面：
1. 针对主机的攻击威胁
包括针对Windows NT 系统及其开放的系统服务的安全弱点攻击威胁，攻击者可能由此获取系统的信息资源或者对系统信息进行破坏。
2. 针对数据库的攻击威胁
包括在对数据库系统的攻击行为，包括非法获取、篡改、删除数据库信息资源和进行其他形式的服务攻击。
3. 管理不当所引起的安全威胁
包括由于用户管理策略不当使得攻击者可能获取某一级别的用户的访问权限，并由此提升用户权限，造成用户权限的滥用和信息资源的泄漏、损毁等；由于采用远程管理而引发的威胁；缺乏足够的安全审计致使对安全事件不敏感，无法发现攻击行为等。
4. 配置不当所引起的安全威胁
包括在主机系统上开放了未做安全防范的服务如IPC$共享所造成的安全威胁等。
网络安全建议
建议把提供网络服务的程序升级到最新版本，关注网络安全通告，或由首创为客户提供全面、周到、专业的网络安全服务。
总 结
此次活动历时两个月时间，为34家客户的93台主机提供了全面的安全扫描服务，并将最终的扫描结果提供给了客户。
通过此次活动，我们发现所有的客户主机都或多或少存在着各种风险度的安全漏洞，安全现状不容乐观。其实在这些客户所暴露出来的漏洞中，绝大多数都是已经有了解决办法的，只要做一些简单的升级或安装补丁就可以解决。另外，我们还发现，有的客户使用了一些安全产品，但却由于使用不当，反而引入了更多的安全漏洞。另外，客户的信息系统普遍也缺乏良好合理的安全规划和管理，从而使得其自身的系统对外呈现了很多本不应该出现的漏洞，给外界入侵提供了便利的条件。
我们认为出现这样的问题主要有这样一些原因：
客户普遍还缺乏安全意识，不知道自己其实面临很大的危险；专业知识不够，不知如何解决安全问题；对安全产品的选择、使用和设置不当；没有合理的安全管理策略和机制。
针对这样一些原因，有些相对容易解决，有些则要困难一些。在首创网络通过自身的努力，在信息安全领域里不断追求更高的技术水准和服务水准，力争在竞争日益激烈的今天，面对不断复杂的信息安全角势，从容面对，为客户提供更加完美的产品和服务。

（本报告由首创网络提供，内容有删节）

“首创网络安全调查”带来的启示
本刊记者 曹 玫
近日，首创网络针对我国企
业网络安全现状，对来自
34个不同行业用户的93台主机的网络信息系统进行了抽样调查，结果是100%的用户的主机都存在不同程度的安全问题。这个数字不能不让我们吃惊，网络现状让人担扰。
随着企业信息化、电子政务的进一步推进，对网络安全的要求与过去已不可同日而语。但信息化在我国刚刚起步，企业对网络安全的意识和认知尚待培育。
本刊记者就首创的网络安全评估活动采访了中国国家信息安全测评认证中心计算机测评中心常务副主任翁正军女士，她认为：“首创这次的评估活动值得肯定。这类的网络安全评估如果经常性的进行，对用户了解自身的安全风险非常有益”
另外，翁女士还提醒道：“针对网络和系统的脆弱性评估，有可能对被测系统造成损害。当然，不一定是测试本身的问题，而是被测系统太脆弱。但是不管怎么样，都要让用户事先知道风险的存在，并且通过恰当的安排尽力回避这些风险”。
安全意识 携手培育
网络安全是“三分技术，七分管理”，从首创的报告中可以看出，造成网络漏洞的原因基本上是管理的忽视和疏漏。
已认识到IT系统重要性的大型企业和跨国企业，虽有一些机房和系统的不很细化的管理制度，但大部分也只限于书面文字的约束而已，没有强有力的监督实施手段和相应的管理人员；大部分的中小企业甚至没有把网络安全提升到管理的层面，还只是停留在购买一些低端的安全设备上，当然对于国内的中小企业采取何种安全模式仍是专家和安全服务提供商们争论的热点问题。
管理问题追溯其根源，还是企业的意识问题，安全意识的加强和培育是需要政府或行业主管单位、安全厂商和用户自身共同努力来实现的。
如政府和行业主管要加大政策和法令的宣传力度，改变政策和相关标准滞后的现状，一方面，用户有相关的政策和标准来衡量网络安全厂商提供给他们的产品和服务是否符合国家标准，做到有据可依。另一方面，安全厂商有了相关条例和行业标准，在为用户构建网络平台和生产安全产品时，把各种安全隐患降减到最小程度，做到了有法必依。
安全厂商在培育用户的安全意识方面，毫无疑问，充当着主力军的角色，目前，我国的网络安全意识尚处于萌芽阶段，因此对用户意识的培育应属于安全厂商市场战略和规划的一部分，只有大家共同把这块蛋糕做大，网络安全广阔的市场才会在短时间内形成规模。
从用户自身的角度来讲，“船到江心才补漏”是需要付出不可估量的代价的，网络数据的迅速增长，单靠一些低端的安全设备已远远难以维护系统和网络安全。总的来说，要改善和加强管理力度,必须提高企业的安全意识.
网络测试 谨慎评估
做安全测试，一定要做非常细化的风险评估策略，首先要确定企业哪些资源需要保护，并根据保护成本与如果事件发生前不采取行动需付出的代价之间的平衡制定评估方案，检测后要确定企业具体环境下到底存在哪些安全漏洞和安全隐患，一旦这些漏洞被黑客利用会造成哪些风险和破坏。
最后综合对各种风险因素的评价，明确网络系统的安全现状，确定网络系统中安全的最薄弱环节，从而改进网络的安全性能。所以检测之前与之后的评估是非常重要的。全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面。首创的安全评估属于对系统主机的漏洞的评估，测试的安全风险相对要小一些。
测试不是目的，制定相应的安全策略并彻底解决用户存在的安全问题，才是我们的愿望。
首创的安全测试为我们敲醒了警钟，加强安全意识已成为企业高层迫切需要正确对待的问题。

企业信息安全意识有待觉醒

本刊记者 陈 慧

为了解客户的安全现状，并
提高客户的安全意识，首
创网络在7月1日到8月31日为期两个月的时间内为34家客户的93台主机提供了免费远程安全扫描服务。提交的报告结果表明，这些客户所有的业务部门都或多或少存在着安全漏洞，其中高风险漏洞占42%，中风险漏洞占28%，低风险漏洞达30%。可见这些客户的信息安全现状令人堪忧。
面对安全漏洞，
视而不见还是立即行动
“此次扫描主要是针对黑客的攻击行为，”首创网络安全产品经理钟博向记者介绍说，“我们选择这种远程的网络扫描的服务活动比较容易开展，类似于黑客攻击的第一个阶段，还未涉及到内部攻击。”在发现客户漏洞之后，首创还可以针对客户的要求为其提供相应的修补、加固和优化服务、专门的培训和分析，以及远程管理和紧急响应等多种全方位的安全服务。
在首创网络扫描过程中发现的网络安全漏洞主要涉及到底层的操作系统平台和应用系统两个方面。漏洞可能是操作系统带来的，比如采用Windows操作系统平台的企业漏洞特别多；也有可能是应用系统本身的问题，比如数据库、Web系统和ERP应用软件等等。在应用系统方面，数据库的漏洞比较多，其中又以SQL Server数据库的漏洞为甚。对于操作系统的漏洞，大多可通过从网上下载补丁程序的方法加以解决，有些客户没有下载补丁程序，因而容易被攻击。也有客户把用户访问口令设成了空的，也容易被攻击。这些漏洞本都很容易避免，之所以出现，主要因为应用和管理人员本身安全意识淡薄所导致。
被扫描的首创网络的IDC和专线客户，都是经常使用IT设备和网络应用的，其中，本身业务系统与安全结合不是很紧密的客户比较容易产生安全漏洞，比如媒体的网站、制造业企业的网站等。在首创网络的整个扫描服务期间中就出现过这样的情况。一家传媒机构的网站被黑客攻击，其主页被篡改了。客户要求首创对其遭到攻击的主机进行扫描，了解其被攻击的原因。通过扫描，发现主要原因在于这个传媒机构把操作系统装好之后，采取了默认配置，并没有做安全性增强方面的考虑和设置，其主机上的漏洞都是一些很常见也很容易弥补的。此外，制造业企业涉及到CRM和ERP这样的系统。总部与分支机构之间经常有大量机密的数据需要交互，对于这样的企业，如果不做好全面的安全规划并采取相应的安全手段，也容易对外暴露很多安全漏洞。
面对送过来的扫描结果和漏洞分析，客户的反应五花八门：有的客户一接到扫描的结果，发现自己的网络安全存在这么多的问题，非常着急，立刻要求首创为其提供相应的解决方案；有的客户要求首创帮助把漏洞堵上；也有客户说，卖我们一个防火墙吧；还有客户没有反应，好像在忙着理顺自己的网络，无暇顾及安全问题。
安全防范，投入多少并采取哪些手段
有两个问题需要企业考虑清楚，一是企业要保护的信息到底值得投入多少；二是采取什么手段。网络时代，企业要连接到互联网上与外部沟通。任何企业无论大小，总是有些信息是不希望被外界知道的，每一个企业都有必要采取一定的手段保护自己的信息，防止被别人窃取、篡改或者破坏。那么企业值得投入多少人力、物力和财力保护信息安全？
信息的价值其实不太好量化。钟博认为，那些有关产品生产的科研数据，如果被竞争对手掌握，很快抢占市场，可能造成经济利益的巨大损失，那么可以说这些信息非常有价值；还有企业的人事信息和财务信息，一般来说也是需要保密的；也有一些信息可能被别人看到也没有太大问题。信息的价值是可以分级别的，针对信息的价值企业考虑是否投入相应的人力、物力和财力来做相应的保护。一般来说，在一个企业的网络的建设中，在信息安全方面需要15%～20%的投入，对于不同的行业，比例会有所不同，有的企业可能会更高，这主要取决于企业需要保护的信息价值有多大。
在确定需要多少投入进行信息安全建设之外，还要考虑如何来保护和合理地分摊投入。主要有安全管理，安全技术和产品这两个方面。企业一方面要与提供安全产品或者解决方案的厂商共同制定一个合理的安全管理制度，另一方面，要很好地利用安全产品，让它在企业安全防范中发挥作用。
安全管理就是制定安全策略，安全管理制度。比如员工上机制度，机房管理制度等等，不同的企业具体情况不同，需要网络安全厂商或者解决方案提供商同客户共同协商制定。如果客户对此不太了解，就需要安全厂商先提出方案，然后由客户认可之后在企业内执行。而对于安全技术和产品来说，很多企业认为，购买了一个防火墙、防病毒的产品，把它们加入到信息系统里面，就认为万事大吉了。但实际上，很可能由于管理方面的不当，不能够起到很好的保护的作用。
安全事件的产生源，分为内部和外部的两种，如果是内部人员有意要破坏信息，可能要比来自外部的更轻车熟路。首先要准确地区分什么是内部和外部。一个公司内外隔离的点，一般是企业内部网络与互联网的接入点，在这个点上可以做防火墙等设置。在整个企业实体的内部，还要做一些具体的划分，核心的部分要作为内部的内部，即使是内部员工也不可以随便访问。在内部解决安全问题常见的手段就是入侵检测，防止入侵行为出现。有重要的数据存储的部分，需要数据完整性的保护，需要防病毒、身份认证和审计等等安全手段。找准隔离和保护的点在哪里，这样才知道相应的安全设备和手段应该用在什么地方。
安全意识淡薄、无序竞争的现状有待改进
2001年，安全产品的市场份额已经达到40亿，2002年将会继续增长，安全市场成为整个IT业的一个亮点。国内的安全厂商也很多，但是存在无序竞争和恶性降价的情况。在安全产品竞争中，有些地方存在地方保护主义。在产品与服务的意识上，中外企业也有差别。首创网络是一家网络安全解决方案提供商，在为客户服务的过程中，钟博觉得外资客户更看重安全服务，比如安全扫描，入侵检测数据的报告，以及出现某种问题的分析，甚至提出租用安全服务提供商的设备，而国内企业比较重视安全产品的拥有。
目前，整个安全市场的发育不是很平衡，大多数客户认识到的安全产品只有防火墙和防病毒产品。实际上，信息安全领域还有很多其它产品：比如身份认证、保密产品、VPN（虚拟私有网）、关键行业使用的防电磁泄露、信息隐藏（数字水印）、政府部门需求比较多的物理隔离等等。
在首创网络的这次安全评估报告总结中，我们可以看到，企业普遍缺乏安全意识，不知道自己其实面临很大的危险，专业知识不够，对安全产品的选择、使用和设置不当，没有合理的安全管理策略和机制。如何提高企业的安全意识呢？钟博认为必须要让企业有切身的面临危机的感受。通过首创网络的这次扫描活动，让客户意识到，他的网络中肯定是存在这样那样的漏洞，并且有具体的描述，这样多多少少都会引起客户注意。这其实也是首创网络在积极地提醒市场的一种行为。
企业在考虑信息安全问题的时候，如果信息系统正在建设的过程之中，这时需要把相关安全问题考虑进去。如果信息系统已经建好了，只是做安全增强的工作，这时可能就比较困难，可能需要对整个系统的参数配置做一些修改，客户有时会为了避免麻烦而放弃安全方面的考虑。对于信息系统已经建好的企业，最好是能够及时地意识自己的安全问题，尽量做一些相关的调整.

‘柒’ 单位网络安全第一责任人是谁

党政一把手是各单位网络安全工作的主要负责人,也是网络安全工作的第一责任人。

《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。

《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。

《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。

《网络安全法》将近年来一些成熟的好做法制度化，并为将来可能的制度创新做了原则性规定，为网络安全工作提供切实法律保障。

以上资料参考：网络-中华人民共和国网络安全法

‘捌’ 网络安全防护小技巧有哪些

安全防护很多类型，可以分为以下几点，
一、信息泄漏
欺诈手段：不法分子通过互联网、酒店、通信运营商、调查问卷等方式收集个人信息从事诈骗。
典型代表：电信诈骗，非接触式犯罪，抢劫、敲诈勒索
防范措施：
1.在安全级别较高的物理或逻辑区域内处理个人敏感信息；
2.敏感个人信息需加密保存；
3.不使用U盘存储交互个人敏感信息；
4.尽量不要在可访问互联网的设备上保存或处理个人敏感信息；
5.电子邮件发送时要加密，并注意不要错发；
6.邮包寄送时选择可信赖的邮寄公司，并要求回执。
二、网络钓鱼
欺诈手段：不法分子通过制作假冒网站，将地址发送到客户的电脑上、手机上或放在搜索网站上诱骗客户登录，以窃取客户信息进行欺诈。
典型代表：购物聊天暗送钓鱼网站，网络和短信、电话联合诈骗，盗 QQ 号诈骗好友，低价商品诱惑
防范措施：
1.通过查询网站备案信息等方式核实网站资质的真伪；
2.安装安全防护软件；
3.要警惕中奖、修改网银密码的通知邮件、短信，不要轻易点击未经核实的陌生链接；
4.不要在多人共用的电脑上进行金融业务，如在网吧等。
三、网购木马
欺诈手段：网购木马是近年来新出现的一种欺诈木马，以交易劫持为主的网购木马，是“商家”与网购者进行沟通时，以各种名义给买家传输文件实现盗窃。
典型代表：盗号、交易劫持、“压缩包炸弹”
防范措施：
1.一定要为电脑安装杀毒软件，并且定期扫描系统，查杀病毒；及时更新木马库，更新系统补丁；
2.下载软件时尽量到软件相应的官方网站或大型软件下载网站，在安装或打开来历不明的软件或文件前先杀毒；
3.请勿随意打开不知名的网页链接；
4.使用网络通信工具时不随意接受陌生人的文件。
四、网络传销
欺诈收到：网络传销一般有两种形式，一是利用网页进行宣传，鼓吹轻松赚大钱的思想；二是建立网上交易平台，靠发展会员聚敛财富，发展他人加入其中，形成上下线的传销层级关系。
典型代表：浏览网页时发现“轻点鼠标，您就是富翁”；“坐在家里，也能赚钱”等信息。
防范措施：
1.在遇到相关创业、投资项目时，一定要仔细研究其商业模式。无论打着什么样的旗号，如果其经营的项目并不创造任何财富，却许诺只要你交钱入会，发展人员就能获取“回报”，请提高警惕。
2.克服贪欲，不要幻想“一夜暴富”。
五、QQ、微信、微博、邮箱等诈骗
欺诈手段：不法分子一是利用QQ盗号和网络游戏交易进行诈骗，冒充QQ好友借钱；二是利用传播软件随意向互联网QQ用户、MSN用户、微博用户、邮箱用户、淘宝用户等发布中奖提示信息，进行中奖诈骗。

‘玖’ 2017年网络安全宣传周主题是什么

经中央网络安全和信息化领导小组同意，今年的网络安全宣传周将于9月16日至24日在全国范围内统一举行，主题是“网络安全为人民，网络安全靠人民”。开幕式将于9月16日在上海西郊宾馆举行。

另据了解，9月19日至24日期间，教育部、工业和信息化部、公安部、人民银行、共青团中央、全国总工会将分别组织开展校园日、电信日、法治日、金融日、青少年日、个人信息保护日等主题日活动。