網路安全方法論

1. 如何規劃自己的職業生涯 信息安全

信息安全人的職業生涯規劃

假設你是一個剛畢業的學生，無非有兩種方式，
top-down
和
down-top
的方
式，
但無論如何，
此時你都不可能站在一個很高的視角上，
因為你缺乏知識和經
驗。

down-top
從安全公司做技術開始，由網路安全逐漸向信息安全過渡，
top-down
從四大或咨詢公司開始，一開始就走咨詢的模式。但我想大多數都是
從做技術開始的。

假設把職業技能分級的話，我認為大致可以分為幾類：

戰略
-
管理
-
技術（技術管理）

技術的東西其實很容易學，操作系統、網路、資料庫等無非就是依葫蘆畫瓢，學
生時代花點力氣自學即使不敢用精通
（如果你的水平超過在職從業人員的平均水
平，你

就可以用精通，水平的高低完全不在於年齡的大小，也不在於從業時間
的長短）
，熟悉還是可以的吧，計算機平台以外的信息技術可以到接觸信息安全
的時候再學業

無所謂，畢竟信息安全的大頭還是計算機網路通訊。如果你把這
些想的很難，那你學起來一定很「艱辛」
，如果你不把這些當成是什麼，那麼學
起來自然很輕松。
很

多在外行人看來是大牛的角色，
如果客觀的用
「知識容量」
來衡量的話，就不會盲目崇拜了。

我個人認為
CISSP
的內容其實還不屬於管理，
更多的屬於技術管理或技術的
范疇。

如果進度比較快的話，
技術基礎學生時代即可完成，
工作後主要是接觸一些
企業運營系統，了解各個行業中
IT
系統如何支撐業務運營，了解企業中的組織
結構和角色、職能。

當

試圖向信息安全管理過渡的時候，首先必須切換自己的視角，不要時時
處處都抱著技術的視角去看待並解決問題。那些國際安全標准和
IT
治理的最佳
實踐學起來一

點都不難，難在如果你不懂企業管理、不了解企業運營、不了解
行業的
IT
系統特性而硬要生搬硬套做咨詢的話，就會發現一個知識大空洞。

很多人的職業生涯都
「死」
在視角切換不過去，
不能站在更高的角度看問題。
當然喜歡做技術倒也無可厚非。

從普通的技術人員向顧問過渡之後，
即將面臨職業生涯的第一個瓶頸，
第一
種選擇是去甲方當
CSO
。

管理體系成熟的大公司可能會有以下職位：

首席風險官，
CRO
首席安全官，
CSO/CISO
首席保密官，
CPO
內部審計總監

CRO
，風險管理總監實際上主要是管理財務風險，
IT
風險只是其次，所以技
術出身的人基本不可能勝任這個職位。

CSO
，信息安全總監，出現頻率最高，最有可能的職位。

另一方面，在國內單獨設臵風險
/
安全管理職位的企業並不多，一般是境外上市
公司為了符合國外法規的治理合規性需求，
或者是規模較大，
對風險和信息控制
比較敏感的企業。

如果你在企業組織架構中的位臵遠離最佳實踐的治理水平，手腳施展不開，

做不了事情，那就請聯系獵頭跳槽吧。

CSO
不僅要精通信息安全技術，更要了解管理和商業，雖然總也有人試圖對
我表達一個精通技術的安全管理者是多麼稱職，但事實上，技術不是第一位的，
包括如何藉助國際標准建立
ISMS
的方法論等都是相對簡單的事情，對
CSO
來說
在組織中成功開展工作最重要的能力是
EQ
一種職業發展是行業過渡，
比如去甲方做
CSO
可以把自己換到任何一個行業，
而另一種職業發展則是專業過渡，比如由純粹的安全管理變成
IT
治理、風險管
理，甚至變成財務風險管理，完全轉變自己工作的性質內容和性質。

任

何一個行業，任何一項職業發展都會有上限。一種「模式」必然伴隨了
一種「結果」
。如果你選擇了走某條道路，那麼其結果也是八九不離十。大多數
人工作多年後

抱怨失去成長空間，其實就是沒有規劃，視野狹隘所致。實際上
抱怨大可不必，
因為這種階段性的結果是完全可以提前預知的，
每個人都必須為
自己的選擇承擔結

果。在你選擇走這條路之前你就應該知道這條路通向何方！

雖然全球信息化趨勢不可阻擋，這也造就了很多
IT
企業並向社會提供了大
量的
IT
就

業機會。但我並不看好那些狹義的
IT
職位。雖然常話說條條大路通
羅馬，
但實際上不同的行業隨著其資本積累速度和需求容量的不同，
潛在的暗示
著不同的行業仍

有高低貴賤之分，就像
CSO
永遠無法與
CFO
相提並論一樣。如
果你覺得行業的太容易走到「頭」
，那麼嘗試切換專業是必要的。對信息安全從
業者來說比較明顯

的出路是找一家「面子」很大的咨詢公司，自己嘗試讀
MBA+
自學補全財務，金融方面的知識，由
IT
風險管理轉向真正的企業管理咨詢或財
務咨詢，以後的出路

才可能寬一些。這種模式可以再生出一棵很龐大的職業發
展樹，不過就此打住。

那些專注於技術本身的從業者，
出路都不會很大。
創業雖然也有藍海，
但是
藍海的
SIZE
對於這個行業來說本質上都很小，
紅海更是已經被爭奪的一塌糊塗，
並且你的成長速度將決定是否能在僅存的藍海中活下來。

到

甲方的話，
CSO
就是盡頭嗎？也不盡然，
CSO
可以繼續變成
CIO
，關鍵在
於自己的能力積累和角色轉變。
如果
CIO
成為推動利潤大幅增長的的變革者，
潛
在

的承擔
CGO
（
G
：
Growth
）
，那麼成為
COO
甚至
CEO
都是可能的，如果不能成
為變革者，或者
CIO
只承擔有限責任地位不高，那麼
CIO
的職業生涯

將到此為
止。

自己的成長和環境選擇是內因，
職業發展還依賴於另一個外因：
你所擁有的社會
資源以及你整合資源的能力。
學無止盡，
時刻充電提高自己的能力和視野都是必
要的，你所學到的知識不會因為公司不重視而貶值，社會需求將決定你的價值。

對時間的利用猶如投資，必須考慮：機會成本，投資組合，收益回報和風險。你
今天走了這條職業發展的路，
就沒有時間走另外一條。
你是在走慢速通道還是高
速公路，還是坐飛機？假如道路
A
失敗，你將如何延續發展等……

本文舉了一些例子，
實際上暗示了任何行業、
任何職業都有職業再造，
二次發力
的可能。
戰略性的
職業規劃
，
有計劃的遷移自己的知識和能力的重心，
超越職業
禁錮，不墨守陳規，做自己感興趣並且有挑戰的事情。

路不是越走越寬就是越走越窄，很多人覺得沒有回頭路就是因為只走不想，
或者是幾年前為了撿眼前的芝麻而丟了西瓜。
大多數人蜂擁而去的方嚮往往是空

2. 信息網路安全的信息網路安全服務

購買了各種各樣的安全產品，就能夠確保我們信息網路真正安全嗎？回答是否定的！在信息網路安全建設中，專業信息網路安全服務，利用科學的安全體系框架和方法論，建立全面、有層次的安全管理體系，是保障信息網路安全的基本保證。信息網路安全防範產品與安全服務相輔相成，二者不可或缺，各項服務措施相互聯系，承上啟下，成熟的安全服務體系在安全服務進行中起到重要的指導作用，可以有條不紊地為用戶作好每一件工作。信息網路安全服務的內容包括：安全咨詢、安全系統規劃、安全策略制定、安全系統集成、安全產品配置、 安全培訓、應急安全服務。上述各種安全服務都是相輔相成的。

3. 新手小白想學習滲透和網路安全，從哪裡入手

基礎到入門的學習路線
一、網路安全
網路基礎
網路概述
（行業背景+就業方向+課程體系結構）
Vmware
IP地址的概述與應用
DOS命令與批處理
Windows服務安全
用戶管理
破解系統用戶密碼
NTFS許可權
文件伺服器
DNS服務
DHCP服務
IIS服務
活動目錄
域控管理
組策略（一）
組策略（二）
安全策略
PKI與證書服務
windows安全基線
Windows server 2003安全配置基線
階段綜合項目一
乙太網交換與路由技術
回顧windows服務
OSI協議簇
交換機的基本原理與配置
IP包頭分析與靜態路由
分析ARP攻擊與欺騙
虛擬區域網VLAN
VTP
單臂路由與DHCP
子網劃分VLSM
高級網路技術
回顧
三層交換
ACL-1
ACL-2
網路地址轉換
動態路由協議RIP
ipsec VPN
VPN遠程訪問
網路安全基線
Cisco基礎網路設備安全配置基線
安全設備防護
防火牆原理及部署方式
防火牆高級配置
IDS
WAF
階段綜合項目二
二、服務安全
Linux安全運維
Linux操作系統介紹與安裝與目錄結構分析
Linux系統的基本操作與軟體安裝
Linux系統下用戶以及許可權管理
網路配置與日誌伺服器建立應急思路
建立php主頁解析以及主頁的訪問控制
Nginx服務都建立以及tomcat負載均衡
iptables包過濾與網路地址轉換
實用型腳本案例
階段綜合項目三
三、代碼安全
前端代碼安全
HTML語言
CSS盒子模型
JS概述與變數
JS數據類型
JS函數
程序的流程式控制制
條件判斷與等值判斷結構
循環結構
JS數組
資料庫安全
sqlserver
access
oracle
mysql
後台代碼安全
PHP基礎
PHP語法
PHP流程式控制制與數組
PHP代碼審計中常用函數
PHP操作mysql資料庫
PHP代碼審計（一）
PHP代碼審計（二）
Python安全應用
初識python上篇
初識python下篇
基礎進階與對象和數字
字元串列表和元祖
字典條件循環和標准輸入輸出
錯誤異常函數基礎
函數的高級應用和模塊
面向對象編程與組合及派生
正則表達式和爬蟲
socket套接字
四、滲透測試
滲透測試導論
滲透測試方法論
法律法規與道德
Web 工作機制
HTTP 協議
Cookie 與session
同源策略
情報收集
DNS
DNS 解析
IP 查詢
主機測探與埠掃描
網路漏洞掃描
Web 漏洞掃描
其他工具
口令破解
口令安全威脅
破解方式
windows 口令破解
Linux 口令破解
網路服務口令破解
在線密碼查詢網站
常見的漏洞攻防
SQL 注入基礎
四大基本手法
其他注入手法
SQLmap 的使用
XSS 漏洞概述
XSS 的分類
XSS的構造
XSS 的變形
Shellcode 的調用
XSS 通關挑戰
實戰：Session 劫持
PHP 代碼執行
OS 命令執行
文件上傳漏洞原理概述
WebShell 概述
文件上傳漏洞的危害
常見的漏洞攻防
PUT 方法上傳文件
.htaccess 攻擊
圖片木馬的製作
upload-labs 上傳挑戰
Web容器解析漏洞
開源編輯器上傳漏洞
開源CMS 上傳漏洞
PHP 中的文件包含語句
文件包含示例
漏洞原理及特點
Null 字元問題
文件包含漏洞的利用
業務安全概述
業務安全測試流程
業務數據安全
密碼找回安全
CSRF
SSRF
提權與後滲透
伺服器提權技術
隧道技術
緩沖區溢出原理
Metasploit Framework
前言
urllib2
SQL 注入POC 到EXP
定製EXP
案例：Oracle Weblogic CVE2017-10271 RCE
案例：JBoss AS 6.X 反序列化
五、項目實戰
漏洞復現
內網靶機實戰
內網攻防對抗
安全服務規范
安全眾測項目實戰
外網滲透測試實戰
六、安全素養
網路安全行業導論
網路安全崗位職責分析
網路安全法認知
網路安全認證
職業人素質

4. 網路對抗可能涉及哪些重要活動

網路對抗不僅涉及通信、雷達、光電、隱身、導航等網路系統，而且遍及空間、空中、地面、水面和水下，覆蓋了戰場所有領域，具有不可估量的作戰「效費比」。

網路信息對抗的「秘密」武器是智能信息武器，它是計算機病毒計算機病毒、抗計算機病毒程序及對網路實施攻擊的程序的總稱。

作為一種新型的電子戰武器，它的攻擊目標就是網路上敵方電子系統的處理器。終極目的就是在一定控製作用下，攻擊對方系統中的資源(數據、程序等)，造成敵方系統災難性的破壞，從而贏得戰爭的勝利。

網路對抗中存在的問題

實際的小規模網路攻防中，攻擊對象不乏有使用1day，甚至是0day的攻擊手段，在某些特定對象和場景中，也可能會遇到APT攻擊。面對這些攻擊時，一味地進行被動防禦，即使不斷提高防禦手段，往往只是增加資源投入和成本，並不能起到更好的效果。

主動防禦或機動防禦理念，是在入侵成功之前通過精確預警，有針對性、機動地集中資源重點防禦並伺機進行反擊。在網路安全領域，目前其方法論和技術方案尚不成熟。

在小規模對抗中，攻擊者可能來自於任何地方，但具備攻擊能力的人群總數是有限的，對有生力量的精力和時間的打擊和消耗，以及進行可能的自然人溯源，是目前我認為的主動防禦思想的核心。

5. 網路空間如何保障安全

9月18日，2017年國家網路安全宣傳周網路安全技術高峰論壇在上海舉辦，多名與會的海內外知名企業高管和學者，結合目前網路安全技術發展現狀和存在問題，縱論互聯網治理之道，探尋網路安全保護之策。

據趙波介紹，今年8月份以來，中央網信辦、工業和信息化部、公安部、國家標准委4部委正針對隱私條款中的不合法內容開展評審整改工作，目前已有10餘家主流網路運營商接受整改。

「這項工作還將持續開展，希望廣大企業能夠積極參與其中，落實網路安全法以及國家標准中對個人信息保護的要求，全面提升互聯網企業的個人信息保護水平。」

網路安全必不可少。

6. 請談談在日常的學習生活中,如何防止網路不良信息的侵蝕

1、自身要遵守網路道德規范，養成上網的良好習慣。

不要沉浸於網上聊天、游戲等虛擬世界，不瀏覽、製作、轉播不健康信息，不使用侮辱、謾罵語言聊天，不輕易和不曾相識的網友約會，盡量看一些和自己的日常學習生活有益的東西並且一定要注意保持自製力。

2、家長要積極主動關心孩子，正確引導上網。

作為家長一定要關心自己孩子的學習和生活情況，避免學生在不被父母知道的情況下私自去網吧上網。另外部分學生往往在家中使用互聯網，家長應該對網路有一定的認識，要正確引導孩子上網的目的。

家長要有超前意識，不斷學習，提高自己各方面的修養和能力。加強對孩子上網監管，嚴格控制孩子的上網內容、上網時間，只有這樣，才能充分發揮網路作用，既藉助網路幫助中學生成才，又消除它的負面影響。

3、學校要以理想信念教育為重點，加強中學生全面素質教育。

學校是法制教育的主渠道，要加強對學生的思想道德與遵紀守法及網路自護的教育，豐富學生的課余文化生活；各學校的法制校長和德育教師要結合學生實際，在學生中以專題講座等形式開展網路法制教育，並組織專題討論。

4、建立適合中學生的綠色網站，佔領網路前沿。

加強網路工作的隊伍建設，努力建設一支既具有較高的思想道德修養、了解熟悉中學生心理特點，思想情況，又了解網路文化特點，能比較有效地掌握網路技術的隊伍，建設一批能吸引中學生「眼球」的綠色網站，在網上進行生動活潑的教育，弘揚主旋律。

5、國家和地方要加大網路管理力度，規范互聯網及相關事業的有序發展。

公安、文化和工商等相關部門還要加強協調配合，加大對網吧的管理與查處力度，堅決取締違規操作的「黑」吧，並對有營業執照的網吧進行經常性檢查，發現問題及時糾正。另外要利用計算機技術手段，加強網路「防火牆」的研製，特別是加強對網上不良信息進行過濾的軟體的開發。

要建立網路監察機制，成立網路監察安全部門，招募網上警察，加大打擊力度，以對付日益猖獗的網上犯罪。

7. 計算機安全、計算機病毒及防範、網路安全

信息科學與技術學院計算機科學系
信息安全專業教學計劃

一、培養目標
培養能服務於社會主義現代化建設需要的德、智、體全面發展的、「基礎厚、口徑寬、能力強、素質高、應變力強」的復合型人才，系統掌握信息安全基礎理論知識和技術綜合能力的高級技術人才，能在科研院所、企事業單位及其管理部門從事系統設計、技術開發、操作管理和安全防護的工作。

二、培養規格和要求
1 素質結構要求
1) 思想道德素質：掌握馬克思主義、毛澤東思想和鄧小平理論的基本原理，堅持「三個代表」的重要思想，擁護黨的路線、方針和政策。具有正確的世界觀、人生觀和價值觀，具有愛國主義、集體主義和社會主義思想。法制意識、誠信意識和團體意識強。
2) 文化素質：具有一定的文化素養、文學藝術修養、現代意識和人際交往意識；
3) 專業素質：掌握科學的思維方法和研究方法，求實創新意識、工程意識和效益意識較強，有很好的科學素養、綜合分析素養和創新精神；
4) 身心素質：經常參加體育鍛煉，達到國家有關體育鍛煉的合格標准。身體素質和心理素質好，能適應艱苦的工作條件和繁重的工作壓力。
2 能力結構要求
1) 獲取知識的能力：具有良好的語言表達能力和交流能力，外語閱讀、聽說能力及撰寫論文能力。自學能力較強，具有獲取新知識能力和追蹤本學科發展動態的能力，同時具有較強的計算機及信息通信技術應用能力。
2) 應用知識能力：具有信息系統安全的設計、模擬、實驗及軟硬體開發等基本技能；具有良好的綜合應用所學電路、計算機、通信和信息安 全知識解決實際問題的能力；具有較強的工程實踐和工程綜合能力。
3) 創新能力：具有一定的創造思維能力、創新實驗能力、技術開發能力、科研能力和一定的創業意識。
3 知識結構要求
1) 工具性知識：在外語方面，具有較好的聽、說、讀、寫能力，英語必須達到國家大學四級水平。計算機及信息技術應用水平較強，具有良好的計算機應用與開發能力。掌握一定的文獻檢索、方法論、科技方法和科技寫作等方面的知識；具有一定的文學、哲學、思想道德、政治學、社會學、心理學等人文社會科學方面的知識；
2) 自然科學知識：具有扎實的數學和物理學等方面的基礎知識；
3) 工程技術知識：掌握一定的應用工程原理等方面的基礎知識和基本技能；
4) 專業知識：掌握電子電路基本理論知識、信號分析與處理基礎理論知識、信息系統理論知識、通信系統和網路設計方面的知識；掌握信息安全的相關基本理論和技術；熟悉信息安全系統的研究、分析、設計、開發的基本方法；了解本學科的發展動態與趨勢。

三、授予學位
按要求完成學業者授予工學學士學位

四、畢業總學分及課內總學時
課 程 類 別
學 分 數
所佔比例
備注

公共必修課
50
32.05%

公共選修課
20
12.82%

專業必修課
53
33.97%

專業選修課
33
21.15%

畢業總學分
156

課內總學時
2808

五、專業核心課程
計算機組成原理、計算機介面技術、數據結構與演算法、編譯原理、安全操作系統原理、程序設計基礎、資料庫系統原理、通信原理、計算機網路、無線通信與網路、數學分析、高等代數、資訊理論基礎

六、專業特色課程
密碼學原理與技術、密碼演算法硬體實現、網路安全理論與技術、信息隱藏技術、計算機病毒原理與技術、PKI原理與技術、入侵檢測技術、網路編碼原理與技術、信息對抗技術、網格計算概論
七、專業課程設置及教學進程計劃表

8. 網路安全，學習，教程

Internet安全問題，是人們十分關注的問題。據有關方面的了解，2001年的愛蟲病毒與2002年的Code red蠕蟲在若干小時之內傳染了幾十萬台主機，每次造成10億美元左右的損失。有一份調查報告談到，截止2002年10月，有88％的網站承認，它們中間有90％已經安裝了防火牆和入侵監測等安全設備。但最後一年內有88％受到病毒傳染，而有關網路的研究表明，Internet具有free scale的性質，其感染病毒的域值，幾乎為零。所以國內外一些有識之士提出安全的「範式轉換」，例如國外對現在的安全範式提出過兩點看法： 1) 傳統的安全範式對Internet的「復雜性」缺乏足夠的認識，安全最麻煩的問題所在是「復雜性」。 2) 以往(例如歐洲)對於信息安全所採取的措施是建立防火牆、堵漏洞，但沒有從整體性、協同方面構建一個信息安全的網路環境。可以說網路的安全問題是組織管理和決策。 如果對Internet(或萬維網www)加以分析，WWW是計算機與網民構成的人 . 網相結合的系統，我們從系統科學的觀點來分析，WWW是一個「開放的復雜巨系統」(OCGS)，這種系統是我國科學家於20世紀90年代提煉出來的，但網路專家往往對此不容易接受。我們曾經專門寫了一篇題為「Internet —— 一個開放的復雜巨系統」的文章，將在《 中國科學 》上發表專門討論這個問題，這里就不多說了。更為重要的是國內不僅提出像WWW這樣的開放復雜巨系統，而且於1992年提出處理OCGS的方法論，即與「從定性到定量的綜合集成研討廳體系」，把各行各業的智慧、群體經驗、古今中外的安全知識與高性能計算機、海量儲存器、寬頻網路和數據融合、挖掘、過濾等技術結合起來，形成一個處理復雜問題及系統風險(Systemicrisks)決策的平台。研討廳體系的精要可概括如下： 1. 電腦是人腦研製出來的，在解決問題時，兩者應互相配合，以人為主，充分發揮兩者的積極作用。我國的一位哲學家熊十力曾經把人的智慧(Human mind，心智或稱腦智)分為性智與量智兩類；性智一個人把握全面、定性的預測、判斷的能力，是通過文學藝術等方面的培養與訓練而形成的；我國古代的讀書人所學的功課中，包括琴、棋、書、畫，這對一個人的修身養性起著重要作用。 性智可以說是形象思維的結果，難以用電腦模擬，人們對藝術、音樂、繪畫等方面的創造與鑒賞能力等都是形象思維的體現。心智的另一部分稱為量智，量智是通過對問題的分析、計算，通過科學的訓練而形成的智慧。人們對理論的掌握與推導，用系統的方法解決問題的能力都屬於量智，是邏輯思維的體現。所以對青少年的培養來說，藝術與科學是兩個十分重要的方面。分析現在的電腦的體系結構，用電腦對量智進行模擬是有效的。人工智慧的研究表明了用電腦對邏輯思維的模擬，可以取得成功；但是用現在的電腦模擬形象思維基本上是行不通的。電腦畢竟是人研製出來的，是死的不是活的，我們用不著一定要電腦做它做不到的事。總而言之，明智的方法是人腦與電腦相結合；性智由人來創造與實現，而與量智有關的事由電腦來實現，這是合理而又有實效的途徑。從體繫上講，人作為系統中的成員，綜合到整個系統中去，利用並發揮人類和計算機各自的長處，把人和計算機結合起來形成新的體系。 2. 以「實踐論」為指導，把認識從定性提高到定量 面對未知的問題，採用綜合集成法進行分析與解決的過程如下：首先由專家或專家群體提出解決該問題的猜想，根據以往經驗性認識提出意見，這種意見或見解屬於「定性」性質；再利用精密科學中所用的建模方法(數學建模或計算機建模)，用人機結合的方法建立和反復修改模型，達到從定性認識上升到總的定量的認識，這也可以說是專家們的大膽假設通過電腦包括信息網路加以細心求證的過程。這一過程需要計算機軟硬體環境，各種資料庫、知識庫以及信息網路的支持，是充分利用信息技術的體現。 3. 以Internet為基礎，體現民主集中制，尋求科學與經驗相結合的解答 「綜合集成研討廳」可以看成是總體規劃信息革命思維工作方法的核心。它實際上是將我國民主集中制的原則運用於現代科學技術的方法之中，並以Internet為工具系統，尋求科學與經驗相結合的解答。 一些從事網路安全的專家的看法歸納為： 1. Internet不是一般的系統，是開放，人在其中，與社會系統緊密耦合的復雜巨系統； 2. Internet是一個時時處處有人參預的、自適應的、不斷演化的，不斷涌現出新的整體特性的過程； 3. Internet的安全管理，不是一般管理手段的疊加和集成，而是綜合集成(metasynthesis)。兩者的本質區別在於強調人的關鍵作用，是人網結合、人機結合，發揮各自的優勢。 在信息社會中網路將逐漸成為人們離不開的工作與生活中的必須品。眾多網民(上網的人)的行為必須有所規范，理所應當的必須遵循「網路道德原則」。下面引用北大出版《 信息科學技術與當代社會 》中，有關「網路行為規范」與「網路道德原則」的論點，作為進一步思考的參考。 (一) 網路行為規范 到目前為止，在Internet上，或在整個世界范圍內，一種全球性的網路規范並沒有形成，有的只是各地區、各組織為了網路正常運作而制訂的一些協會性、行業性計算機網路規范。這些規范由於考慮了一般道德要求在網路上的反映，也在很大程度上保證了目前網路發展的基本需要，因此很多規范具有普遍的「網路規范」的特徵。而且，人們可以從不同的網路規范中抽取共相同的、普遍的東西出來，最終上升為人類普遍的規范和准則。 國外研究者認為，每個網民必須認識到：一個網民在接近大量的網路伺服器、地址、系統和人時，其行為最終是要負責任的。「Internet」或者「網路」不僅僅是一個簡單的網路，它更是一個由成千上萬的個人組成的網路網路「社會」，就像你駕車要達到某個目的地一樣必須通過不同的交通路段，你在網路上實際也是在通過不同的網路「地段」，因此，參與到網路系統中的用戶不僅應該意識到「交通」或網路規則，也應認識到其他網路參與者的存在，即最終要認識到網路網路行為無論如何是要遵循一定的規范的。作為一個網路用戶，你可以被允許接受其他網路或者連接到網路上的計算機系統，但你也要認識到每個網路或系統都有它自己的規則和程序，在一個網路或系統中被允許的行為在另一個網路或系統中也許是受控制，甚至是被禁止的。因此，遵守其他網路的規則和程序也是網路用戶的責任，作為網路用戶要記住這樣一個簡單的事實，一個用戶「能夠」採取一種特殊的行為並不意味著他「應該」採取那樣的行為。 因此，既然網路行為和其他社會一樣，需要一定的規范和原則，因而國外一些計算機和網路組織為其用戶制定了一系列相應的規范。這些規范涉及網路行為的方方面面，在這些規則和協議中，比較著名的是美國計算機倫理學會(Computer Ethics Institute)為計算機倫理學所制定的十條戒律(The Ten Commandments)，也可以說就是計算機行為規范，這些規范是一個計算機用戶在任何網路系統中都「應該」遵循的最基本的行為准則，它是從各種具體網路行為中概括出來的一般原則，它對網民要求的具體內容是： 1. 不應用計算機去傷害別人； 2. 不應干擾別人的計算機工作； 3. 不應窺探別人的文件； 4. 不應用計算機進行偷竊； 5. 不應用計算機作偽證； 6. 不應使用或拷貝你沒有付錢的軟體； 7. 不應未經許可而使用別人的計算機資源； 8. 不應盜用別人智力成果； 9. 應該考慮你所編的程序的社會後果 10. 應該以深思熟慮和慎重的方式來使用計算機。 再如，美國的計算機協會(The Association of Computing Machinery)是一個全國性的組織，它希望它的成員支持下列一般的倫理道德和職業行為規范： 1. 為社會和人類作出貢獻； 2. 避免傷害他人； 3. 要誠實可*； 4. 要公正並且不採取歧視性行為； 5. 尊重包括版權和專利在內的財產權； 6. 尊重知識產權； 7. 尊重他人的隱私； 8. 保守秘密。 國外有些機構還明確劃定了那些被禁止的網路違規行為，即從反面界定了違反網路規范的行為類型，如南加利福尼亞大學網路倫理聲明(the Network Ethics Statement University of Southern California)指出了六種不道德網路行為類型： 1. 有意地造成網路交通混亂或擅自闖入網路及其相聯的系統； 2. 商業性地或欺騙性地利用大學計算機資源； 3. 偷竊資料、設備或智力成果； 4. 未經許可接近他人的文件； 5. 在公共用戶場合做出引起混亂或造成破壞的行動； 6. 偽造電子函件信息。 上面所列的「規范」的兩方面內容，一是「應該」和「可以」做的行為，二是「不應該」和「不可以」做的行為。事實上，無論第一類還是第二類，都與已經確立的基本「規范」相關，只有確立了基本規范，人們才能對究竟什麼是道德的或不道德的行為作出具體判斷。 (二) 網路道德原則 網路道德的三個斟酌原則是全民原則、兼容原則和互惠原則。 網路道德的全民原則內容包含一切網路行為必須服從於網路社會的整體利益。個體利益服從整體利益；不得損害整個網路社會的整體利益，它還要求網路社會決策和網路運行方式必須以服務於社會一切成員為最終目的，不得以經濟、文化、政治和意識形態等方面的差異為借口把網路僅僅建設成只滿足社會一部分人需要的工具，並使這部分人成為網路社會新的統治者和社會資源佔有者。網路應該為一切願意參與網路社會交往的成員提供平等交往的機會，它應該排除現有社會成員間存在的政治、經濟和文化差異，為所有成員所擁有並服務於社會全體成員。 全民原則包含下面兩個基本道德原則：第一，平等原則。每個網路用戶和網路社會成員享有平等的社會權利和義務，從網路社會結構上講，他們都被給予某個特定的網路身份，即用戶銘、網址和口令，網路所提供的一切服務和便利他都應該得到，而網路共同體的所有規范他都應該遵守並履行一個網路行為主體所應該履行的義務。第二，公正原則。網路對每一個用戶都應該做到一視同仁，它不應該為某些人制訂特別的規則並給予某些用戶特殊的權利。作為網路用戶，你既然與別人具有同樣的權利和義務，那麼就不要強求網路能夠給你與別人不一樣的待遇。 網路道德的兼容原則認為，網路主體間的行為方式應符合某種一致的、相互認同的規范和標准、個人的網路行為應該被他人及整個網路社會所接受，最終實現人們網際交往的行為規范化、語言可理解化和信息交流的無障礙化。其中最核心的內容就是要求消除網路社會由於各種原因造成的網路行為主體間的交往障礙. 當我們今天面臨網路社會，需要建立一個高速信息網時，兼容問題依然有其重要意義。「當世界各地正在研究環境與停車場的時候，新的競爭的種子也正在不斷地播下。例如，Internet正逐漸變得如此重要，以至於只有Windows在被清楚地證明為是連接人們與Internet之間的最佳途徑後，才可能興旺發達起來。所有的操作系統公司都在十萬火急地尋找種種能令自己在支持Internet方面略占上風，具有競爭力的方法。」 兼容原則要求網路共同規范適用於一切網路功能和一切網路主體。網路的道德原則只有適用於全體網路用戶並得到全體用戶的認可，才能被確立為一種標准和准則。要避免網路道德的「沙文主義」和強權措施，誰都沒有理由和「特權」硬把自己的行為方式確定為唯一道德的標准，只有公認的標准才是網路道德的標准。 兼容原則總的要求和目的是達到網路社會人們交往的無障礙化和信息交流的暢通性。如果在一個網路社會中，有些人因為計算機硬體和操作系統的原因而無法與別人交流，有些人因為不具備某種語言和文化素養而不能與別人正常進行網路交往，有些人被排斥在網路系統的某個功能之外，這樣的網路是不健全的。從道德原則上講，這種系統和網路社會也是不道德的，因為它排斥了一些參與社會正常交往的基本需要。因此，兼容不僅僅是技術的，也是道德的社會問題。 網路道德的互惠原則表明，任何一個網路用戶必須認識到，他(她)既是網路信息和網路服務的使用者和享受者，也是網路信息的生產者和提供者，網民們有網路社會交往的一切權利時，也應承擔網路社會對其成員所要求的責任。信息交流和網路服務是雙向的，網路主體間的關系是互動式的，用戶如果從網路和其他網路用戶得到什麼利益和便利，也應同時給予網路和對方什麼利益和便利。 互惠原則集中體現了網路行為主體道德權利和義務的統一。從倫理學上講，道德義務是「指人們應當履行的對社會、集體和他人的道德責任。凡是有人群活動的地方，人和人之間總得發生一定的關系，處理這種關系就產生義務問題。」作為網路社會的成員，他必須承擔社會賦予他的責任，他有義務為網路提供有價值的信息，有義務通過網路幫助別人，也有義務遵守網路的各種規范以推動網路社會的穩定有序的運行。這里，可以是人們對網路義務自學意識到後而自覺執行，也可以是意識不到而規范「要求」這么做，但無論怎樣，義務總是存在的。當然，履行網路道德義務並不排斥行為主體享有各種網路權利，美國學者指出，「權利是對某種可達到的條件的要求，這種條件是個人及其社會為更好地生活所必需的。如果某種東西是生活中得好可得到且必不可少的因素，那麼得到它就是一個人的權利。無論什麼東西，只要它生活得好是必須的、有價值的，都可以被看作一種權利。如果它不太容易得到，那麼，社會就應該使其成為可得到的。」 呵呵，都是這樣啦，很正常！
bIwx互№②嫛x互№②嫛zˉ＋x互№②嫛uㄎzˉ＋rn60778672232011-8-19 20:34:10

9. 為什麼有人說網路安全需要人工智慧的輔助

人工智慧得以普及這就意味著,人工智慧應用不再僅限於微軟,谷歌,蘋果這些大型公司內,任何規模的公司都可以接觸到人工智慧。擺在我們面前 就有一個這樣的機會,無論是對於大型公司,中性公司,還是小型公司來說,可以利用人工智慧重整我們的商業運行模式。

現代人工智慧技術在語音識別,圖像識別等領域都達到了很高的水平,但是它仍有很長的路要走。比如,關於你和你的團隊進行資源分配的問題。你怎樣做才可以得出最優的資源分配決策,同時優化你的資源消耗方式?這樣得話,你將會節省多少開支?下一代人工智慧技術將會給出我們上述問題的答案。

為人工智慧支撐企業建立合法性，網路空間安全將負責搭建和監管人工智慧基礎設施相關的所有內容,甚至那些我們剛剛涉足的方面也要包括進去。我們都聽說過「廢料輸入,廢料輸出」這種說法,但是你有沒有想過如何將這種思想運用到人工智慧的業務支撐中呢?你有沒有建立數據中毒安全策略,來防止攻擊者欺騙人工智慧使其做出錯誤決策?如果你已經基於錯誤數據做出了錯誤決定,那麼你需要多久才會發現它並解決它呢?

數據中毒已經是網路空間空間安全界一個廣受關注的問題了。比如,反病毒軟體的檢查依據來源於廣泛領域的信號和樣本,軟體供應商必須要深刻保持警惕,尤其是當被攻擊者盯上試圖破化其軟體系統的時候。盡管我們的方法論已經成熟到可以將人工智慧安全囊括到保護系統中,我們仍不能鬆懈。想像你是一個專車服務公司的負責人,但一個大事件過後,你僱傭的所有司機在同一時間都聯系不上了。隨之而來的就是,匹配乘客和司機的人工智慧系統會發現道路上沒有專車,進而得出專車缺失的結論。進而它會採取行動,比如因供不應求而提升乘坐的價格。CSO面臨的挑戰將是檢測數據中毒事件,通過調整錯誤決策來保護業務正常運轉,採取適當措施根除問題防止未來復發。

10. （（16分）閱讀材料，回答問題。近年來，互聯網的快速發展在方便人民生產和生活的同時，網路謠言和虛假信