網路安全員被拒

A. 網路安全有什麼問題

信息安全的威脅有：

(1) 信息泄露：信息被泄露或透露給某個非授權的實體。

(2) 破壞信息的完整性：數據被非授權地進行增刪、修改或破壞而受到損失。

(3) 拒絕服務：對信息或其他資源的合法訪問被無條件地阻止。

(4) 非法使用(非授權訪問)：某一資源被某個非授權的人，或以非授權的方式使用。

(5) 竊聽：用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信
線路中傳輸的信號搭線監聽，或者利用通信設備在工作過程中產生的電磁泄露截取有用信息
等。

(6) 業務流分析：通過對系統進行長期監聽，利用統計分析方法對諸如通信頻度、通信的信
息流向、通信總量的變化等參數進行研究，從中發現有價值的信息和規律。

(7) 假冒：通過欺騙通信系統（或用戶）達到非法用戶冒充成為合法用戶，或者特權小的用
戶冒充成為特權大的用戶的目的。黑客大多是採用假冒攻擊。

(8) 旁路控制：攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特
權。
例如，攻擊者通過各種攻擊手段發現原本應保密，但是卻又暴露出來的一些系統「特性」，利用這些「特性」，攻擊者可以繞過防線守衛者侵入系統的內部。

(9) 授權侵犯：被授權以某一目的使用某一系統或資源的某個人，卻將此許可權用於其他非授
權的目的，也稱作「內部攻擊」。

(10)特洛伊木馬：軟體中含有一個覺察不出的有害的程序段，棚帶滾當它被執行時，會破壞用戶的
安全。這種應用程序稱為特洛伊木馬(Trojan Horse)。

(11)陷阱門：在某個系統或某個部件中設置的「機關」，使得在特定的數據輸入時，允許違反
安全策略。

(12)抵賴：這是一種來自用戶的攻擊，比如：否認自己曾經發布過的某條消息、偽造一份對
方來信等。

(13)重放：出於非法目的，將所截獲的某次合法的通信數據進行拷貝，而重新發送。

(14)計算機病毒：一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序。

(15)人員不慎：一個授權的人為了某種利益，或由於粗心，將信息泄露給一個非授權的人。

(16)媒體廢棄：信息被從廢棄的磁行敬碟或列印過的存儲介質中獲得。

(17)物理侵入：侵入者繞過物理控制而獲得對系統的訪問。

(18)竊取：重要的安全物品，如令牌或身份卡被盜。

(19)業務欺騙：某一偽系統或系統部件欺騙合法的鏈余用戶或系統自願地放棄敏感信息等等

B. 相關公司拒絕執行個人信息安全法第十五條規定怎麼處理

《個人信息保護法》三讀通過，標志著我國對個人信息的立法保護方面上升到了新的高度；但相對應的是，作為「信息處理者」的企業也有了法律上新的義務。
作者 | 呂長軍 中國傳媒大學法律碩士校外導師
編輯 | 布魯斯
2021年8月， 我國《個人信息保護法》三讀通過 ，標志著我國對個人信息的立法保護方面上升到了新的高度；但相對應的是，作為「信息處理者」[1]的企業也有了法律上新的義務，包括：制度完備義務、安全保障義務、個人信息分級分類義務、內部許可權管理義務、信息質量與演算法合規義務、信息主體權益保障義務、事前風險評估義務（例如事前個人信息保護影響評估）、合規審計義務、以及特殊處理者的義務等，因此需要依法建立起符合法律要求的個人信息及數據[2]合規體系。
一、企業建立個人信息及數據合規體系的價值
《個人信息保護法》中對企業提出了建立個人信息保護合規體系的要求，似乎企業負擔加重，但實際上企業按照《個人信息保護法》的要求來進行合規操作有諸多的價值：
其一，合規價值。我國先後出台的《網路安全法》、《數據安全法》和《個人信息保護法》三部法律不僅構建起個人信息和數據保護的基本框架， 而且均明確要求企業建立數據（或個人信息）合規制度，而《個人信息保護法》更是要求大型互聯網平台、業務類型復雜的企業 「應當按照國家規定建立健全個人信息合規制度體系」[3]；同時，諸多境外數據保護法律法規如GDPR等也要求企業建立數據及個人信息保護合規體系。可以說，建立個人信息及數據合規體系已經成為現代企業的一項重要法律義務。
其二， 品牌價值和市場競爭力。在強調個人數據與隱私保護的大環境下，企業在數據安全和隱私保護方面的有效努力，最終會得到合作方的認可，更為重要的是可以得到消費者的最後認同，這無疑將提升企業的品牌價值和市場競爭力。
其三，降低企業風險及減少損失。任何企業在個人信息及數據方面不合規的行為，均有可能產生行政調查、侵權訴訟、媒體曝光、甚至刑事案件等後果，將可能會為企業帶來重大的經濟和聲譽損失，包括行政處罰、訴訟賠償、刑事處罰、客戶流失等。
其四，有助於應對行政監管或訴訟。企業的個人信息及數據合規體系的完備，可以在一定程度上證明企業已充分盡到數據及個人信息保護的義務，可以有效助力企業應對監管執法和訴訟抗辯。
二、《個人信息保護法》第51條下企業的合規義務
在《個人信息保護法》中，第51條集中闡述了個人信息處理者的主要合規義務，包括制度建設、信息分類、技術措施、人員管理和應急預案五個基本方面以及兜底的其他措施。
第51條規定：
個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失：
（一）制定內部管理制度和操作規程；
（二）對個人信息實行分類管理；
（三）採取相應的加密、去標識化等安全技術措施；
（四）合理確定個人信息處理的操作許可權，並定期對從業人員進行安全教育和培訓；
（五）制定並組織實施個人信息安全事件應急預案；
（六）法律、行政法規規定的其他措施。
1、制定公司內部管理制度和操作規程
《個人信息保護法》要求個人信息處理者（企業）內部應建立完善的個人信息保護制度以及操作規程。
1）健全內部管理制度
對企業而言，了解和梳理企業個人信息處理活動的目的、范圍和方式，是進行信息處理管理的基礎。在此基礎上，需要整理、制定適應企業內部的個人信息相關制度，包括但不限於：（1）個人信息收集、傳輸及處理制度；（2）個人用戶信息收集及處理告知制度；（3）個人信息安全保護制度（包括傳輸、使用及資料庫安全等）；（4）信息分級分類管理制度；（5）個人信息風險評估制度 ;（6）審計制度等。
除上述重要制度外，企業內部管理制度中還應有應急預案制度、個人信息出境管理制度等。（詳見下文）
內部制度應具有合規性、可行性、完備性；也即既要符合法律法規要求，又要從企業自身實際情況出發，可操作，同時應注意全面覆蓋相應各個業務條線， 具有完備性。
2）制定個人信息收集、傳輸、存儲及處理操作流程
流程與制度相輔相成。企業應注意「個人信息處理全流程管理」的重要性，實施從個人信息收集、傳輸、存儲到處理、刪除等各環節的銜接和涵蓋全流程的管理，並在流程中應注意嚴格的許可權管理。
3）設置網路安全負責人、個人信息保護負責人等專職人員
《網路安全法》要求網路運營者設置專門安全管理機構和安全管理負責人，《信息安全技術 個人信息安全規范》規定了個人信息控制者應當設置個人信息保護負責人，而GDPR則要求設置數據保護官。
《個人信息保護法》沒有硬性要求所有的企業均設立「個人信息保護負責人」，而是要求如果處理個人信息達到一定」數量」, 則應設置個人信息保護負責人[4]，但「數量」並未予以明確標准。當涉及的個人信息數據量較大時，企業應當考慮設定個人信息保護負責人，由其進行相關工作的統籌和管理，在有必要的情況下可以考慮成立相關部門，負責建立內部合規管理制度和相關措施乃至推行制度及措施的實施。
2、個人信息實行分級分類管理
《網路安全法》、《數據保護法》和《個人信息保護法》都提出要將數據進行分級分類管理。無論從合規或管理效率而言， 企業都有必要對數據進行分級分類管理。
首先，梳理企業信息庫存。搞清企業目前擁有哪些個人信息（數據）、承載個人信息的數據位於何處、如何流動以及與哪些部門相關，是在企業中創建個人信息保護合規框架的基礎。
其次，明確所需信息， 去除非必要信息。對個人信息的處理，應滿足《個人信息法》第6條提出的 「明確合理目的」以及「個人權益影響最小」兩個原則。因此，企業應當明確其需要哪些類型的個人信息，通過清單等形式將所需信息的內容和目的進行陳列，同時，應在企業系統中去除非必要的信息，並嚴格要求各部門不再進行收集或儲存。
再次，對需要處理的信息進行分級分類，以便進一步的管理，包括處理許可權、流程等工作的區分。
其中，企業應對以下兩類信息進行甄別並加以特別關註：
1）敏感個人信息。敏感個人信息包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等信息。這類信息多與人身、財產安全相關，因此受到法律特別保護，相關的程序和保護措施要求較之一般個人信息要嚴格。
2）未成年人（未滿十四周歲）個人信息。我國法律要求對該類信息的處理應依法取得其監護人的同意。
需要注意的是， 企業收集的個人信息， 不僅僅指收集的外部個人信息， 也包括對內部員工的個人信息。雖然《個人信息保護法》提出因對內部員工「人力資源管理」從而可以進行各種個人信息的收集、處理， 但絕不意味著可以忽略內部員工個人信息權益的保護。
3、個人信息安全保護措施
在網路環境下，數據安全是個人信息保護的基礎，而保障數據安全是個人信息處理者的一項重要且基礎的工作，同時也是一項法律義務。我國《網路安全法》要求網路運營者保障網路安全、維護網路數據的完整性、保密性和可用性[5]；《數據安全法》強制性規定了數據處理者保障數據安全的法律義務[6]， 《個人信息保護法》則要求企業採用安全技術措施來保護其所處理的個人信息。
匿名化後的數據，不需要遵守有關個人信息保護的條款， 但仍應遵守數據保護的法律規定。
4、個人信息處理許可權及安全教育與培訓
個人信息處理許可權制度經過多年企業界的實踐， 被證明是一項較好的對個人信息及數據管理的機制，《個人信息保護法》將該機制直接列為企業的一項法律義務。該機制的要點在於：
1）設立內部分工和許可權制度。將個人信息的收集、儲存、使用等處理環節，以及風險監控、合規等工作進行明確的分工，並根據分工和信息分級分類情況，對不同員工設置對應級別的許可權。
2） 全員參與（而非重點人員參與）安全與許可權培訓。通過個人信息與數據的安全教育與培訓，牢固樹立數據安全意識，明確各自許可權所在， 防止人為造成數據泄露。
5、個人信息安全事件應急制度
合規工作雖能防患於未然，但並不能完全排除風險。隨著技術進步和企業產品迭代，安全漏洞總難以避免，因此企業應當制定數據安全事件應急預案並定期演練，以備不時之需。我國《網路安全法》中已規定網路運營者應當制定網路安全事件應急預案[9]，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，及時啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。
《個人信息保護法》再次強調企業應建立個人信息安全事件應急預案並定期進行演練，並將此作為企業的一項法律義務。
三、《個人信息保護法》下企業的其他合規義務
除第51條外，《個人信息保護法》還在其他條文中規定了企業的一些重要的合規義務， 主要包括：
1、收集、處理個人信息的充分告知義務
《個人信息保護法》再次強調了個人信息收集與處理的「告知-同意」原則。對於需要收集個人信息的企業而言，應制定出明確的個人信息保護政策（《隱私政策》），真實、完整的向用戶告知企業的基本情況、個人信息收集、使用目的、范圍及場景、個人信息處理方式及規則、對外共享及披露情形、個人信息主體權利保障機制、投訴處理渠道等。
個人信息保護政策應公開發布且應送達個人信息主體， 由用戶在注冊或首次運行產品時閱讀並勾選同意後才可繼續使用。如涉及個人信息會被用於用戶畫像和個性化展示的，則應在《隱私政策》中徵得用戶的同意，充分保障用戶知情權；而在進行自動化決策前，應當就自動化決策的透明和公平性做好充分說明。
需要特別注意的是，《個人信息保護法》要求對於收集個人敏感信息的，應取得用戶的單獨同意[10]，因此企業不能採取過去的概約性、打包式的同意，而應單獨提示用戶勾選同意方可。
2、信息主體權益保障義務（應提供個人信息查閱復制、修正、移轉及刪除服務）
《個人信息保護法》明確了在個人信息處理活動中個人的各項權利，包括知情權、決定權、限制權、拒絕權、查閱、復制權、可攜權、更正、補充權、刪除權。既然個人享有一系列個人信息權利，也意味著個人信息處理者負有配合個人權利行使的義務。企業需要根據用戶個人的需求，靈活和准確地響應數據主體訪問查詢、更正、刪除、移轉等要求。
1）接受信息主體的要求，提供個人信息查閱、復制的途徑及服務
長期以來，不少互聯網平台將用戶信息視為重要的財產性權益，而用戶想了解平台到底掌握自己哪些信息卻有時連查詢的渠道、途徑都沒有。GDPR開了個人信息嚴格保護的先河，確認個人有查詢權，即有權要求互聯網公司（信息控制者）提供掌握本人信息的明細清單。
《個人信息保護法》也規定了企業應為用戶提供個人信息查閱、復制的法律義務，因此企業也應制定相應的接受用戶要求、核實身份、匯總信息、提供信息的制度和流程。
2）接受信息主體的要求， 提供個人信息修正的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的修改權，企業應為個人信息處理者提供修正的途徑和服務。相應的，企業應建立起修正溝通渠道、內部修正機制等。
3）接受信息主體的要求，提供移轉的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的可攜帶權，即個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。該規定不僅有利於個人自由處理其個人信息，也有利於打破數據壟斷和數據孤島現象。而作為企業也應就此制定移轉的內部操作流程。
4）接受信息主體的要求，提供便捷刪除服務
《個人信息保護法》第十五條規定了「基於個人同意而進行的個人信息處理活動，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式」。
撤回同意，是個人信息主體處分自身權利的一種方式。企業應確定撤回方式、撤回渠道等響應機制，並應保證用戶行使權力的便利性，符合「便捷原則」。
雖然法律未解釋何為「便捷」， 但按照通常的理解，「撤回」的難度不應大於「同意」的難度。
因此，企業可在企業主網頁、APP登錄入口等顯著頁面安置「撤回」的鏈接或選項， 並提供明晰的操作指導。企業內部因數據的修改和刪除有可能涉及多個部門，故應建立一系列的操作流程，並應研判其中的風險。
3、數據與演算法的合規義務
1）數據質量的檢查和審視，防止因數據質量引發歧視
演算法以數據為基礎， 數據不準確，則演算法結果、數據分析結論則基本不會准確，有可能會對相關數據主體帶來負面評價，從而導致其合法權益受到影響。
《個人信息保護法》第8條規定：
「處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。」
《個人信息保護法》將保證個人信息質量作為企業的法定義務，從企業的角度說，則應建立檢查和審視數據的相應制度和流程， 以保障數據獲取的准確度。
2）保證演算法公平合理， 防止不合理差別待遇
互聯網時代「演算法為王」。演算法推薦是搜索引擎、社交軟體、電子商務等幾乎所有平台的標配。平台用代碼、演算法替代了傳統的內容分發過程中編輯的角色，提高了服務效率的同時，也會導致例如大數據殺熟、劣質內容泛濫等一系列侵犯用戶權利的現象。也正因為演算法推薦下的社會問題層出不窮，國家開始通過立法手段進行干預，並在《個人信息保護法》下初步確立了演算法問責制，這在我國還是首次。
《個人信息保護法》第二十四條規定，
個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正。
演算法的透明性、公平及公正性本屬於倫理范疇， 《個人信息保護法》將它上升到了法律的高度， 成為相關企業的法律義務。它要求個人信息處理者必須對所用演算法進行檢查和審視，保證自動化決策的透明度和結果的公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。
3) 自動化決策（演算法），需遵循「明確合理目的」以及「個人權益影響最小」兩個原則
《個人信息保護法》第六條規定，企業進行自動化決策，需遵循「明確合理目的」以及「個人權益影響最小」兩個原則，而且在自動化決策對個人權益造成重大影響時，應「向個人提供便捷的拒絕方式」， 也即賦予個人主體拒絕權。這對於長期以來通過個性化推薦、通過用戶畫像為用戶提供各種信息服務的企業來說，產生較強的影響和制約。
4、事前風險評估義務[11]
根據《個人信息保護法》的規定，在下列情況中，企業應當進行事前風險評估，且應將風險評估報告和處理情況記錄至少保存三年：
1）處理敏感個人信息;
2）利用個人信息進行自動化決策;
3） 委託處理個人信息、向他人提供個人信息、公開個人信息;
4） 向境外提供個人信息;
5）其他對個人有重大影響的個人信息處理活動。
我國《數據安全法》中僅規定「重要數據」的處理者應當對其數據活動定期開展風險評估,並向有關主管部門報送風險評估報告[12]；《個人信息保護法》則明確在涉及「敏感個人信息」、「自動化決策」、「委託處理」、「向第三方提供」、「對外公開」、「跨境提供」等情形下賦予所有的個人信息處理者以「事前評估」的義務。
因此，風險評估將成為作為信息處理者的企業的一項經常性工作， 應將其制度化、常態化，在保證評估質量的情況下盡量實現高效、快捷。
筆者認為，風險評估報告應當包括本組織涉及的個人信息種類、數量, 收集、存儲、使用、委託、提供等的情況,面臨的安全風險及其應對措施等。
5、合規審計義務
《個人信息保護法》要求定期對企業處理個人信息遵守法律、行政法規的情況進行合規審計[13]。但由誰審計、具體審計內容、審計標准尚未有明確規定，企業應未雨綢繆，參照《個人信息保護法》、《網路安全法》、《數據保護法》三部基本法律中相對具體的規定，制定出應對審計的方案。筆者認為，主要內容應包括：
1） 審查內部管理制度和個人信息備忘錄的完備性和合規性；
2） 定期審計個人信息處理和管理工作；
3） 審計履行個人信息查閱復制、修正、移轉及刪除義務情況（信息主體權益保障情況）；
4） 審核風險評估報告及記錄情況；
5） 審核個人信息相關的合同及其他法律文書；
6） 根據個人信息及數據相關法律法規的更新，及時調整內部制度的情況。
6、委託外部進行個人信息處理的合規義務
《個人信息保護法》並非不允許進行個人信息的外部委託處理， 但是應區分「共同處理」與「委託處理」， 其中，共同處理應取得信息主體的充分授權。
在數字經濟發展迅猛的今天， 數據外部委託處理已經極為常見， 比如雲服務，SAAS服務等， 均需要數據的外部存儲與處理。委託處理雖不必取得信息主體的授權，但是，《個人信息保護法》生效後，在對委託第三方（受託人）處理的情況下，委託處理個人信息之前，應事先進行個人信息保護影響評估，並對處理情況進行記錄。
雙方應簽訂書面委託合同, 其中應清楚載明委託事項、受託人許可權、期間等事項， 尤其是委託受託人進行信息處理不應超過個人權利主體的授權許可權或相關法律授予的許可權。
7、跨境數據傳輸的合規義務
《個人信息保護法》並非禁止個人信息跨境傳輸，而是規定了實現數據跨境傳輸的必要條件以及制度性框架，並引入了國際上一些較為成熟的做法，如標准合同機制等。但是，在操作層面還有待於進一步的制度以及有關部門的指導性意見去進行細化，包括標准合同模板、國家網信部門的評估流程及標准、認證部門及認證標准、不對等國家的清單等[14]。因此，在跨境數據流動場景中，企業應嚴格按照《個人信息保護法》、《網路安全法》與《數據安全法》的規定， 慎重處理跨境數據傳輸的問題。
對於企業(尤其是互聯網企業)而言，《個人信息保護法》要求的企業合規內容多而雜，可能涉及企業多個部門，因此企業應根據自身實際情況有一個完整的應對思路和方案， 所有部門都應當做好調整和配合的准備。
我國的《個人信息保護法》吸收了國外立法的優秀做法以及過往國內實踐寶貴經驗，可謂是「集大成者」，真正把我國對個人信息保護提升到了新的水平；但「徒法不足以自行」，個人信息保護法還有待於包括企業在內的各方一起努力，才能真正起到保護公民個人信息、維護公民網路空間權益以及促進信息合理利用的作用。
相關鏈接：
全文 | 《中華人民共和國個人信息保護法》
每周速覽 | 個人信息保護法草案三審
注釋：
[1] 個人信息處理者不僅僅包括企業，也包括政府部門、事業單位等；本文主要討論企業的合規義務。
[2] 數據是信息的載體， 個人信息在網路環境下通常以數據形式存在，故在網路時代個人信息保護和數據保護不可分離。
[3] 參見《個人信息保護法》第58條。
[4] 參見《個人信息保護法》第五十二條：處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督。個人信息處理者應當公開個人信息保護負責人的聯系方式，並將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
[5] 參見《網路安全法》第10條。
[6] 參見《數據安全法》 第25條。
[9] 參見《網路安全法》第 25 條。
[10] 參見《個人信息保護法》第 29 條。
[11] 參見《個人信息保護法》第 55 條。
[12] 參見《數據安全法》 第28條.
[13] 《個人信息保護法》第54條規定：個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
[14] 參見《個人信息保護法》第38條、第40條、第43條。

C. 計算機網路安全問題有哪些

計算機網路安全是指保護網路及其上面的數據、系統和設備免受未經授權的訪問、攻擊和破壞。計算機網路安全問題包括以下幾個方面：

• 數據安全問題：包括數據泄露、數據篡改、數據丟失等。

• 網路安全問題：包括網路拒絕服務攻擊、網路漏洞利用、網路欺騙等。

• 設備安全問題：包括設備被未經授權的人員控制、設備被攔截數據等。

• 用戶行為安全問題：包括用戶使用不安全的密碼、用戶點擊不安全的鏈接等。

為了保護網路安全，建議採取以下措施：

• 安裝殺毒軟體和防火牆，防止病毒、木馬和惡意程序的侵入。

• 使用強壯的密碼，並定期更改密碼，防止密碼被猜測或暴力破解。

• 不要在公共網路上進行敏感操作，如網上銀行、網上購物等，以防止數據被竊取。

• 不要點擊未知的鏈接，避免訪問不安全的網站，防止計算機中毒。

D. 網上鄰居 拒絕訪問

實現區域網內互訪的設置：
1、工作組名相同
2 、添加協議 NWLink IPX/SPX/NetBIOS Compatible Transpor 按「開始」 → 「控制面版」 → 「網路連接」 → 右鍵「本地連接」屬性 → 「安裝」→「協議」
3 、計算機配置-Windows設置-本地策略-用戶權利指派』中，有「拒絕從網路訪問這台計算機」策略阻止從網路訪問這台計算機，如果其中有GUEST帳號，請刪除拒絕訪問中的GUEST帳號。
4 、計算機管理→本地用戶和組→用戶（如果GUEST有個XX時，就右鍵屬性把前面的勾去掉。
5、設許可權
計算機配置-Windows設置-本地策略-安全選項
查看 網路訪問：本地帳戶共享和安全和安全模式 右鍵點屬性 「僅來賓」則是不用密碼，「經典」則為要有管理員密碼才可以訪問計算機。

E. 中國最小的黑客，因不想寫作業而黑掉學校網站，如今怎樣了呢

在十幾年前甚至到如今，過度的使用電腦或者手機等電子產品都是一種影響身體健康、摧殘人的精神意志的行為。確實無論是從個人的經驗體驗中，還是經過科學的驗證方法，這都是正確的認知行為。

並且這一直都是普遍的，眾所周知的常識。但這並沒有影響手機和電腦電子產品的技術更新發展，更沒有影響那些在使用電腦和手機技術方面具有特殊天賦與才能的人的出現。而隨著時代的發展在電腦和手機等電子產品的技術方面的發展，那些在運用電腦手機等電子產品的技術方面的一些人才更是受到高度的重視被稱為「技術流」，但是對於使用電腦和手機等電子產品來講具有一定的年齡限制和時間限制。

而汪正揚也恰恰做到了這樣，他發現漏洞就會及時提交給網站，建議和幫助網站進行修補。就像醫生診斷疾病一樣，我不會運用技術來做任何違法的事情，這一點很重要。讓他這樣在這種年齡就能非常優秀的孩子來說，這是可謂是難能可貴，更是被網友戲稱為「別人家的孩子」。

然而這並沒有影響汪正揚對於自己未來的人生的計劃，他自己表示希望自己能夠好好學習通過自己的努力考上一所大學，然後繼續就讀於計算機專業，未來能夠自己創業，喜歡自己把控節奏不喜歡被控制。而初中就讀於清華附中的汪正揚在高中畢業時就受到一些大的公司的青睞，想要招攬他，這些都被汪正揚所拒絕了，目前他遠赴美國留學。希望他在未來能有自己的一片天地，有所成就。

F. 影響網路安全的因素有哪些

影響網路安全的主要因素
由於企業網路由內部網路、外部網路和企業廣域網組成，網路結構復雜，威脅主要來自：病毒的侵襲、黑客的非法闖入、數據"竊聽"和攔截、拒絕服務、內部網路安全、電子商務攻擊、惡意掃描、密碼破解、數據篡改、垃圾郵件、地址欺騙和基礎設施破壞等。
下面來分析幾個典型的網路攻擊方式：
1.病毒的侵襲
幾乎有計算機的地方，就有出現計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內，伺機進行自我復制，並能夠通過網路、磁碟、光碟等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大，所以它的危害最能引起人們的關注。
病毒的"毒性"不同，輕者只會玩笑性地在受害機器上顯示幾個警告信息，重則有可能破壞或危及個人計算機乃至整個企業網路的安全。
有些黑客會有意釋放病毒來破壞數據，而大部分病毒是在不經意之間被擴散出去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件，這導致了病毒的傳播。這些病毒會從一台個人計算機傳播到另一台，因而很難從某一中心點對其進行檢測。
任何類型的網路免受病毒攻擊最保險和最有效的方法是對網路中的每一台計算機安裝防病毒軟體，並定期對軟體中的病毒定義進行更新。值得用戶信賴的防病毒軟體包括Symantec、Norton和McAfee等。然而，如果沒有"憂患意識"，很容易陷入"盲從殺毒軟體"的誤區。
因此，光有工具不行，還必須在意識上加強防範，並且注重操作的正確性；重要的是在企業培養集體防毒意識，部署統一的防毒策略，高效、及時地應對病毒的入侵。
2.黑客的非法闖入
隨著越來越多黑客案件的報道，企業不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業網路的安全漏洞，不經允許非法訪問企業內部網路或數據資源，從事刪除、復制甚至毀壞數據的活動。一般來說，黑客常用的入侵動機和形式可以分為兩種。
黑客通過尋找未設防的路徑進入網路或個人計算機，一旦進入，他們便能夠竊取數據、毀壞文件和應用、阻礙合法用戶使用網路，所有這些都會對企業造成危害。黑客非法闖入將具備企業殺手的潛力，企業不得不加以謹慎預防。
防火牆是防禦黑客攻擊的最好手段。位於企業內部網與外部之間的防火牆產品能夠對所有企圖進入內部網路的流量進行監控。不論是基於硬體還是軟體的防火牆都能識別、記錄並阻塞任何有非法入侵企圖的可疑的網路活動。硬體防火牆產品應該具備以下先進功能：
●包狀態檢查:在數據包通過防火牆時對數據進行檢查，以確定是否允許進入區域網絡。
●流量控制:根據數據的重要性管理流入的數據。
●虛擬專用網(VPN)技術:使遠程用戶能夠安全地連接區域網。
●Java、ActiveX以及Cookie屏蔽:只允許來自可靠Web站點上的應用程序運行。
●代理伺服器屏蔽(Proxyblocking):防止區域網用戶繞過互聯網過濾系統。
●電子郵件發信監控(Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發送，以避免企業員工故意或無意的泄露某些特定信息。
3.數據"竊聽"和攔截
這種方式是直接或間接截獲網路上的特定數據包並進行分析來獲取所需信息。一些企業在與第三方網路進行傳輸時，需要採取有效措施來防止重要數據被中途截獲，如用戶信用卡號碼等。加密技術是保護傳輸數據免受外部竊聽的最好辦法，其可以將數據變成只有授權接收者才能還原並閱讀的編碼。
進行加密的最好辦法是採用虛擬專用網(VPN)技術。一條VPN鏈路是一條採用加密隧道(tunnel)構成的遠程安全鏈路，它能夠將數據從企業網路中安全地輸送出去。兩家企業可以通過Internet建立起VPN隧道。一個遠程用戶也可以通過建立一條連接企業區域網的VPN鏈路來安全地訪問企業內部數據。
4、拒絕服務
這類攻擊一般能使單個計算機或整個網路癱瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網路用戶使用該服務或破壞正常的商務活動。例如，通過破壞兩台計算機之間的連接而阻止用戶訪問服務；通過向企業的網路發送大量信息而堵塞合法的網路通信，最後不僅摧毀網路架構本身，也破壞整個企業運作。
5.內部網路安全
為特定文件或應用設定密碼保護能夠將訪問限制在授權用戶范圍內。例如，銷售人員不能夠瀏覽企業人事信息等。但是，大多數小型企業無法按照這一安全要求操作，企業規模越小，越要求每一個人承擔更多的工作。如果一家企業在近期內會迅速成長，內部網路的安全性將是需要認真考慮的問題。
6.電子商務攻擊
從技術層次分析，試圖非法入侵的黑客，或者通過猜測程序對截獲的用戶賬號和口令進行破譯，以便進入系統後做更進一步的操作；或者利用伺服器對外提供的某些服務進程的漏洞，獲取有用信息從而進入系統；或者利用網路和系統本身存在的或設置錯誤引起的薄弱環節和安全漏洞實施電子引誘，以獲取進一步的有用信息；或者通過系統應用程序的漏洞獲得用戶口令，侵入系統。
除上述威脅企業網路安全的主要因素外，還有如下網路安全隱患：
惡意掃描：這種方式是利用掃描工具(軟體)對特定機器進行掃描，發現漏洞進而發起相應攻擊。
密碼破解：這種方式是先設法獲取對方機器上的密碼文件，然後再設法運用密碼破解工具獲得密碼。除了密碼破解攻擊，攻擊者也有可能通過猜測或網路竊聽等方式獲取密碼。
數據篡改：這種方式是截獲並修改網路上特定的數據包來破壞目標數據的完整性。
地址欺騙：這種方式是攻擊者將自身IP偽裝成目標機器信任機器的IP 地址，以此來獲得對方的信任。
垃圾郵件 主要表現為黑客利用自己在網路上所控制的計算機向企業的郵件伺服器發送大量的垃圾郵件，或者利用企業的郵件伺服器把垃圾郵件發送到網路上其他的伺服器上。
基礎設施破壞：這種方式是破壞DNS或路由器等基礎設施，使得目標機器無法正常使用網路。
由上述諸多入侵方式可見，企業可以做的是如何盡可能降低危害程度。除了採用防火牆、數據加密以及藉助公鑰密碼體制等手段以外，對安全系數要求高的企業還可以充分利用網路上專門機構公布的常見入侵行為特徵數據-通過分析這些數據，企業可以形成適合自身的安全性策略，努力使風險降低到企業可以接受且可以管理的程度。
企業網路安全的防範
技術與管理相結合：技術與管理不是孤立的，對於一個信息化的企業來說，網路信息安全不僅僅是一個技術問題，也是一個管理問題。在很多病毒或安全漏洞出現不久，網上通常就會有相應的殺毒程序或者軟體補丁出現，但為什麼還會讓病毒肆虐全球呢？為什麼微軟主頁上面及時發布的補丁以及各種各樣查殺的工具都無法阻止這些病毒蔓延呢？歸根結底還是因為很多用戶(包括企業級用戶)沒有養成主動維護系統安全的習慣，同時也缺乏安全方面良好的管理機制。
要保證系統安全的關鍵，首先要做到重視安全管理，不要"坐以待斃"，可以說，企業的信息安全，是一個整體的問題，需要從管理與技術相結合的高度，制定與時俱進的整體管理策略，並切實認真地實施這些策略，才能達到提高企業信息系統安全性的目的。
風險評估：要求企業清楚自身有哪些系統已經聯網、企業網路有哪些弱點、這些弱點對企業運作都有哪些具體風險，以及這些風險對於公司整體會有怎樣的影響。
安全計劃：包括建立企業的安全政策，掌握保障安全性所需的基礎技術，並規劃好發生特定安全事故時企業應該採取的解決方案。企業網路安全的防範策略目的就是決定一個組織機構怎樣來保護自己。
一般來說，安全策略包括兩個部分：一個總體的安全策略和具體的規則。總體安全策略制定一個組織機構的戰略性安全指導方針，並為實現這個方針分配必要的人力物力。
計劃實施：所有的安全政策，必須由一套完善的管理控制架構所支持，其中最重要的要素是要建立完整的安全性解決方案。
物理隔離：即在網路建設的時候單獨建立兩套相互獨立的網路，一套用於部門內部辦公自動化，另一套用於連接到Internet，在同一時候，始終只有一塊硬碟處於工作狀態，這樣就達到了真正意義上的物理安全隔離。
遠程訪問控制：主要是針對於企業遠程撥號用戶，在內部網路中配置用戶身份認證伺服器。在技術上通過對接入的用戶進行身份和密碼驗證，並對所有的用戶機器的MAC地址進行注冊，採用IP地址與MAC地址的動態綁定，以保證非授權用戶不能進入。
病毒的防護：培養企業的集體防毒意識，部署統一的防毒策略，高效、及時地應對病毒的入侵。
防火牆：目前技術最為復雜而且安全級別最高的防火牆是隱蔽智能網關, 它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問對專用網路的非法訪問。一般來說, 這種防火牆的安全性能很高，是最不容易被破壞和入侵的。
網路安全問題簡單化
大多數企業家缺乏對IT技術的深入了解，他們通常會被網路的安全需求所困擾、嚇倒或征服。許多企業領導，不了解一部網關與一台路由器之間的區別，卻不願去學習，或因為太忙而沒時間去學。
他們只希望能夠確保財務紀錄沒被竊取，伺服器不會受到一次"拒絕服務攻擊"。他們希望實現這些目標，但不希望為超出他們需求范圍的技術或服務付出更高的成本，就像銷售計算機設備的零售店不願意提供額外服務一樣。
企業網路安全是一個永遠說不完的話題，今天企業網路安全已被提到重要的議事日程。一個安全的網路系統的保護不僅和系統管理員的系統安全知識有關，而且和領導的決策、工作環境中每個員工的安全操作等都有關系。
網路安全是動態的，新的Internet黑客站點、病毒與安全技術每日劇增。要永遠保持在知識曲線的最高點，把握住企業網路安全的大門，從而確保證企業的順利成長