系统安全问题的类型

企业应用信息技术带来了非常大的安全挑战，引发了严重的道德问题，并对社会产生了巨大的影响，各种计算机犯罪和不道德行为给企业和个人带来了威胁，以下将讨论信息系统安全的三种类型。

1）业务人员的道德责任

作为一名业务人员，你有责任推进信息技术在工作场所的道德化使用方式。不管有没有管理责任，你都应该履行由工作活动引发的道德责任，包括作为开发和使用企业系统的重要人力资源，你应当恰当地扮演自己的角色。作为一名管理人员和业务人员，针对企业活动和信息技术的应用作出决策是你的责任。在履行这一责任的过程中，你必须考虑道德问题。

（1）商业道德

商业道德是指管理人员在日常的企业决策中必须面对的大量道德问题。社会约束理论认为，公司对整个社会都有道德责任，社会约束是企业存在的基础。第一个约束条件要求公司提高消费者和员工的经济满意度。公司的行为不能对环境造成污染，不能大量消耗自然资源，不能滥用政治权利，不能让员工在不人道的环境下工作；第二个约束条件要求公司避免欺诈行为，尊重自己的员工，对社会任何群体的地位不会造成系统性损害。

商业道德的利益相关理论认为，管理人员有责任从全部利益相关者的立场出发来管理企业。其中，利益相关者是指对公司投资或对公司拥有索赔权的个人或团体，通常包括公司股东、员工、客户、供应商和本地社团。有时，该概念被扩大到包括所有影响公司或受公司影响的群体，如竞争对手、政府机构及特殊利益团体等。对管理者来说，平衡不同利益相关者之间的利益冲突显然不是一件容易的事情。

（2）技术道德

另一个重要的道德维度是与任何形式的技术应用相关的道德问题。企业在确保以道德方式实施信息技术和信息系统时，可以将以下四个原则看作是基本的道德要求。四个技术道德原则具体如下：一是均衡性：新技术带来的益处必须超过其危害或风险，此外，应该是无法找到伤害或风险较小的其他方案来实现相同的或相当的收益；二是知情和同意：收到技术影响的人应该明白并接受这些风险；三是公正性：应该公平地分配技术的收益和风险，受益方应承担相应的风险，而非受益方承担的风险不应该显著增加；四是风险最小化：即使满足上述三个标准，实施技术时也应避免不必要的风险。

2）计算机犯罪

有些人正在利用计算机、互联网等网络的广泛使用性和脆弱性从事犯罪活动或不负责任的个人行为，从而导致计算机犯罪对社会的威胁不断加剧。由此对信息技术的使用提出了严峻的道德挑战。计算机犯罪对大多数企业系统的完整性、安全性和生存造成了严重威胁，这迫使企业将制定有效的安全措施放在第一位。

由信息技术职业联合会定义的计算机犯罪包括：①未经授权地使用、访问、修改和破坏硬件、软件、数据和网络资源；②未经授权的信息发布；③未经授权的软件复制；④拒绝终端用户访问自己的硬件、软件、数据和网络资源；⑤使用或密谋使用计算机或网络资源，以非法获取信息或有形财产。

（1）黑客攻击

黑客攻击是指不正当地使用计算机或未经授权地访问、使用网络计算机系统。黑客可能是公司外部人员，也可能是公司员工，他们使用互联网及其他网络来窃取或破坏数据和程序。黑客可以通过监控电子邮件、Web服务访问或文件传输来窃取密码或网络文件，或者在系统中植入为攻击敞开大门的数据。黑客还可以使用远程服务来获取网络的访问特权，所谓的远程服务就是允许网络计算机执行另一台计算机上的程序。Telnet是一种以远程方式交互使用计算机的工具，它可以帮助黑客发现某些有用信息来计划其他的网络攻击。黑客使用Telnet可以访问计算机的电子邮件端口，如监控电子邮件信息以获取私有账户及网络资源的密码等信息。这些只是黑客在互联网上所从事的典型计算机犯罪行为的一部分。这就是加密、防火墙等互联网安全措施对电子商务及其他电子化企业应用至关重要的原因。

（2）计算机窃贼

很多计算机犯罪都涉及资金的窃取。大多数案件都属于“内部作案”，即内部员工以非授权方式进入网络，对计算机上的数据库进行欺诈性修改，并抹去自己留下的痕迹。当然，很多计算机犯罪都通过互联网来进行。

（3）工作中的非授权使用

非授权使用计算机系统和网络可以被称作时间和资源窃贼。一个常见的例子是，员工非授权使用公司的计算机网络，包括做私人咨询或个人理财、玩视频游戏，或者非授权使用公司网络来访问互联网。被称作探测器的网络监控软件常被用来监控网络流量、评价网络容量，揭示非正当使用网络的证据。

（4）软件侵权

计算机程序是有价值的资产，因此成为窃贼从计算机系统中要盗取的对象。然而，未经授权的复制软件或软件侵权也是一种窃取软件的主要形式。员工未经授权而复制并散布公司的软件是软件侵权的主要形式。

（5）侵犯知识产权

与计算机相关的侵权对象不仅是软件，还有拥有知识产权的其他版权资料，包括音乐、视频、文章、书籍及其他书面作品，这些知识资产非常容易遭到版权侵犯，大多数法庭都会把这些侵权行为定为违法。电子版本很容易通过计算机系统获取，使人们可以在互联网站点上访问并下载，或者很容易地以电子邮件附件的形式传播。对等网络技术的发展使版权资料的电子版本更易被盗版。

（6）计算机病毒和蠕虫病毒

计算机犯罪中最具毁灭性的例子是创造了计算机病毒或蠕虫。从技术上说，病毒是一段必须插入另一程序中才能工作的程序代码，而蠕虫却是一个可以独立运行的独特程序。只要你访问了感染病毒的计算机，或者使用了从感染病毒的计算机上拷贝的磁盘文件，无论是病毒程序还是蠕虫程序都可能把一些令人愤怒的、具有破坏性的程序复制到你的联网计算机系统中。因此，计算机病毒或蠕虫可以在很多用户中传播其破坏性。尽管有时它们只是显示一些有害信息，但它们也常常破坏内存、硬盘及其他存储设备中的内容。病毒或蠕虫的复制程序可以传播病毒，毁坏很多计算机用户的数据及软件。

通常，计算机病毒利用互联网和在线服务通过电子邮件和文件附件，或者通过非法的或借用的软件复制来进入某个计算机系统。从互联网上下载共享软件是病毒的另一个传播途径。通常，病毒先把自己复制到计算机的操作系统文件中，然后进入内存，并将自己复制到计算机硬盘和任何插入的软盘中。病毒通过电子邮件、文件传输和其他的通信活动，或者通过来自感染病毒的计算机的软盘将自己传染给其他计算机。因此，应该养成良好的习惯，使用来源有问题的软件一定要先杀毒，还应经常定期使用杀毒软件来诊断和删除硬盘上感染病毒的文件。

3）隐私问题

信息技术实现了快速而容易地搜集、储存、集成、交换、检索数据和信息的技术可行性和经济可行性。这一特征对计算机信息系统的效率和效力产生了积极的影响。然而，信息技术储存和检索信息的能力对个人的隐私权也有负面影响。例如，员工的保密电子邮件信息受到很多公司的监控。每当人们访问Web站点时，其个人信息都将被收集起来。存储在信息机构、政府部门和私营企业中央数据库中的个人机密信息被盗窃和滥用，引发侵权隐私、欺诈和其他的不道德事件。未经授权就使用这些信息对个人隐私造成了巨大伤害。数据库错误可能会严重损害个人信用和声誉。

随着互联网技术在全球企业及社会通信中无处不在，企业和政府部门都在讨论重要的隐私问题。例如，访问私人电子邮件内容和计算机记录，基于人们访问互联网站点和新闻组的行为来收集和共享个人信息（破坏隐私）；提供移动电话和寻呼服务的公司始终知道你在哪儿，这种监控更多的是与人而不是地点密切联系起来（电脑监控）；利用来自不同信息源的客户信息开展额外的营销服务（计算机匹配）；收集电话号码、电子邮件地址、信用卡号及其他个人信息来建立客户个人特征文件（未授权的个人文件）。

（1）互联网上的隐私

在为用户提供匿名感觉方面，互联网堪称臭名昭著。事实上，在侵犯隐私方面，用户正处于高度暴露和开放的状态。大多数互联网及其上的Web、电子邮件、聊天室和新闻组是广泛开放和不安全的电子领域，没有严格的规则来区分哪些是私人信息。每当互联网用户访问网站或新闻组时，其信息都被合法地捕获并自动记录到用户的硬盘“cookie文件”中。然后，网站所有者、像DoubleClick这样的在线审计服务商可能会把cookie文件信息或你的其他互联网使用记录转售给第三方使用。更坏的情况是，很多网络或网站极易成为黑客拦截或窃听私人信息的目标，而这些私人信息是互联网用户提供给网站的。

当然，你可以采取几种方式来保护自己的隐私。例如，如果电子邮件双方在邮件系统中加入了彼此兼容的加密软件，那么就可以对敏感电子邮件进行加密保护。在新闻组上粘贴消息时，可以使用匿名重邮程序来发送，这样当我们在讨论中发表自己的评论时就可以保护自己的身份；你还可以要求互联网服务提供商不要将自己的名字和个人信息出售给邮件列表提供者和其他市场人员；最后，你可以拒绝为在线服务和网站用户特征文件提供个人资料和兴趣信息，以避免将自己暴露给电子监听者。

（2）计算机匹配

在个人数据的计算机匹配中，计算机特征文件和错误是对隐私的一类威胁。由于特征文件软件将某些人的物理特征文件或个人数据域其他人做了错误的或不恰当的匹配，可能导致这些人被错误地逮捕、监禁，或者被拒绝使用信用卡消费。另一种威胁是，从销售事务处理系统数据库中提取关于你的数字信息进行非授权地匹配，并将其出售给信息经纪人或其他公司。最近的一类威胁是，从你访问过的互联网站点或新闻组上收集关于你的信息，进行非授权地匹配或销售，结果，你的隐私被侵犯，并有大量不请自来的促销材料和销售合同向你涌来。

（3）隐私法

很多国家严格限制企业和政府机构收集和利用个人数据。很多政府颁布了隐私法，以期能够强制保护计算机文件和通信的隐私。

（4）计算机诽谤和审查制度

隐私争论的反面是人们对其他人想要保密的事情的知情权（信息自由）、人们对某一事件表达见解的权利（言论自由）和人们发布出版意见的权利（新闻自由）。这场争论的最大战场是公告牌、电子信箱、互联网及美国在线、微软网络等公共信息网络上的在线文件。战斗的武器是垃圾文件、恐吓文件、诽谤法和审查制度。

垃圾邮件是不加区分地给大量互联网用户发送不请自来的电子邮件。垃圾邮件是那些大规模广告邮件发送者最喜欢的战术，也称广告电子邮件。垃圾邮件也是计算机犯罪传播病毒或潜入其他计算机系统的方式之一。

恐吓邮件是发送具有极端批评性、诋毁性并且常常是粗俗的电子邮件信息，或者通过互联网和在线服务在新闻组上发布类似消息。恐吓邮件在某些互联网特定兴趣新闻组上非常流行。

在Web上有很多宣扬种族主义或具有诋毁性的言论，人们呼吁加强审查制度和法制手段来抵制网络诽谤。此外，很多Web站点上有性暴露资料也促使各国政府和各种团体采取法律手段和督察行动。