反思信息传递有哪些漏洞

A. 列举E-mail通信存在的不安全因素

首先：在网络传输中，从一台电脑到另一台电脑不可能是一条直接的通道，为了防止单一通道出现中断的故障，计算机网络在设计上是采用多重通道来通讯的。比如，一封从A地发往B地的电子邮件有可能要通过C地甚至D地。了解了这点以后，你就会明白电子邮件在抵达目的地之前会通过各种各样的不知名的服务器，一站一站地向目的地转发。而就在这个你感觉很快的传递过程中，每一分、每一秒都有潜在的邮件被其他人看到的可能。另外，如果有人对你的电子邮件很关心，他就会利用黑客程序来猜解你的邮件密码，如果你的邮件密码很简单，那么你的邮件就成为别人的囊中之物。
其次：随着黑客攻击事件不断增多，垃圾邮件日渐侵害，人们发现利用传统电子邮件方式传递信息存在着种种漏洞和不安全因素。总体上看来，由于采用公开标准编码且未经任何加密、签名处理，使用电子邮件或其它类似手段交流信息，存在着以下四大安全隐患：
1、保密性漏洞
普通邮件采用公开标准编码并且公开通过Internet发送，途中经过多个邮件服务器节点，很有可能在收到邮件之前，他人早已利用其它手段获知了该邮件的内容。
2、完整性漏洞
同理，既然邮件可能被中途截取，收发邮件双方也就无法确定邮件是否已被有意、无意篡改。
3、认证漏洞
黑客或有恶意的人通过各种手段，甚至盗取数据存储设备（如笔记本电脑）获取用户私人资料（如私人账号，密码等），然后收发电子邮件以达到其个人目的。
4、否认（抵赖）性漏洞
由于电子邮件没有公证的时间戳和没有经过公证签名并经过核实或登记，有时会发生某一方否认（抵赖）性行为。

B. [1] 信息沟通中的障碍是导致信息在传递过程中出现失真的主要原因，常见的沟通障碍有哪些

1、发送者方面的障碍

（1）语义障碍：因对语义的不同理解引起的障碍；

（2）传递形式障碍：信息发送者在发送信息所采用的语言符号和体语在表达同一内容时，要相互协调，如果不协调，就无法理解所传送信息的内容。

2、接受者方面的障碍

（1）对信息的“过滤”：接受者在接受信息时，有时会取其对自己有用和喜欢的信息，过滤掉对自己不利或不喜欢的信息。

（2）理解力的障碍：每个人的价值观、所受的教育、经历和兴趣的不同，都会影响到个人的理解力。

(2)反思信息传递有哪些漏洞扩展阅读

沟通的要求

为改进信息沟通工作并提高效率，在信息沟通中要满足以下要求：

(1)沟通要有认真的准备和明确的目的性。

(2)沟通的内容要确切。

(3)沟通要有诚意，取得对方的信任并建立起感情。

(4)提倡平行沟通，即在组织中同一层次之间的相互沟通。

(5)提倡直接沟通、双向沟通和口头沟通。

(6)设计固定沟通渠道，形成沟通常规。

C. 信息安全漏洞主要表现在以下哪几个方面

SQL注入漏洞
跨站脚本漏洞
弱口令漏洞
HTTP报头追踪漏洞
Struts2远程命令执行漏洞
框架钓鱼漏洞（框架注入漏洞）
文件上传漏洞
应用程序测试脚本泄露
私有IP地址泄露漏洞
未加密登录请求
敏感信息泄露漏洞

D. 谈谈你对计算机网络安全漏洞及防范措施的建议

计算机网络安全漏洞对于普通人来讲就象进入了一个陌生的大森林。多数人只顾欣赏森林的美景，而全然不知身边的毒蛇猛兽，沼泽和泥石流。网络安全是个系统工程，普通百姓只能望洋兴叹，能做的力所能及的只是个人计算机系统维护和防止个人信息的随意流失。首先，应该引起网民们警惕的是个人隐私，包括个人经济信息的随意暴露，计算机网络是一个公共场所，要从思想上建立网络公共场所的防范意识。比如，电话号码随意注册，身份证号码随意绑定，基金号码随意公布，全码显示等等，都是对个人财产极不负责任的表现。有些网站，虽然对个人信息的传递，加装了加密软件，但长时间的不升级，以及计算机的注册表容易被远程修改，虽然加了密，但对于“黑客”专业老手来讲，无疑是哆、嗫、咪、发、唆而已。其次，对于安全漏洞要定期修补，对系统要经常清理垃圾，及时安装权威部门的安全软件，帮助用户保护操作系统，及时发现安全隐患。尤其是政府监管部门，要负起监管职责，不能将安全软件一味推给民间，这样，会造成更多的漏洞和个人隐私的失落。

E. 内部信息传递各环节的主要风险点及其控制措施有哪些

主要风险是：指标体系的设计未能结合企业的发展战略，指标体系级次混乱，与全面预算管理要求相脱节，并且一旦设定后未能根据环境和业务变化有所调整。

主要管控措施：第一，企业应认真研究企业的发展战略、风险控制要求和业绩考核标准，根据各管理层级对信息的需求和详略程度，建立一套级次分明的内部报告指标体系。企业明确的战略目标和具体的战略规划为内部报告控制目标的确定提供了依据。第二，企业内部报告指标确定后，应进行细化，层层分解，使企业中各责任中心及各相关职能部门都有自己明确的目标，以利于控制风险并进行业绩考核。由此可见，企业的战略目标、战略规划、内部报告的控制目标、各责任中心以及各职能部门的控制目标, 是一个通过内部信息传递相互联系、不断细化的体系。第三，内部报告需要依据全面预算的标准进行信息反馈，将预算控制的过程和结果向企业管理层报告，以有效控制预算执行情况、明确相关责任、科学考核业绩，并根据新的环境和业务调整决策部署，更好地规划和控制企业的资产和收益，实现资源的最有效配置和管理的协同效应。

F. 一、信息系统中的安全风险、安全漏洞和安全威胁，有哪些

随着信息技术的发展和人们的工作生活对信息与网络系统的依赖性的增强，安全威胁的增加、安全事件的频繁出现，社会各界对安全问题日渐重视起来，信息与网络系统的建设重点已经转移到安全系统的建设上来。中软的集中安全管理平台，是国内目前唯一的集中安全管理系统，将全面解决企业信息与网络系统的集中安全管理问题。

一、安全是技术、策略和管理的综合

在过去的几年中，人们把安全系统的建设目光集中到防火墙系统、防病毒系统、入侵检测系统和漏洞扫描系统等几个系统上面，随着这些系统的建设成功，政府、金融、电信和其他企业的网络系统的安全性得到了一定的提升和增强。但是，应该注意的是，国内不少企业虽然花了大量的金钱买了很多安全产品，配置了复杂的安全设备，在一定程度上提升了网络安全的性能，但是同时又出现了不少新的问题，主要表现在：
1、网络安全系统和设备技术难度。网络安全系统和设备技术难度较大，企业在对安全设备进行正确配置时存在一定的技术难题，配置不当的话，可能会出现与安装者期望相反的结果，出现更多的安全漏洞和弱点，不仅不能提升系统的安全性能，相反给黑客提供了更多的可趁之机。
2、网络系统和设备的配置管理。用户配置的网络系统和设备越复杂，在对之进行行之有效的管理层面上的难度就越大。如何有效地对这些系统和设备配置变动、变动权限进行适当地管理，在最大程度上发挥系统和设备的效用，保障用户的安全，将是用户面临的一个严峻的问题。
3、安全事件的收集与分析。大量的安全设备与系统的部署，势必产生大量的安全事件、日志，这些日志和事件如何进行集中的、统一的收集、分析和报告？如何从这些大量的事件中，寻找真正的安全事故？
4、安全事故的处理。一旦出现了安全事故，用户如何寻求一种快捷的解决办法？如何得到一种对事故处理流程方面的支持？如何对处理的办法进行留档保存，以便作为一种知识的积累，做为日后出现类似事故的处理办法参考？
5、安全管理的复杂性。就理论而言，多种安全技术与方法手段是能够全面实现企业所要求的统一的安全策略的，但由于管理的复杂性，在实践操作中的纰漏很可能导致更多的漏洞和弱点，不能真正实现集中的统一的安全策略。
安全问题不是纯粹的技术问题，安全是安全技术、安全策略和安全管理的综合。正是这一安全理念，引导业界对安全管理系统的关注，引导企业对真正的安全—可管理的安全—的渴求。

二、安全管理的四个核心要素

安全管理与网络管理不同，网络管理侧重于网络设备的运行状况、网络拓扑、信元等要素的管理，安全管理主要侧重于网络安全要素的管理。
随着人们对安全的认识逐渐深入，在安全管理的诸多要素中，安全策略、安全配置、安全事件和安全事故这四个要素，最为关键、最为重要。
1、安全策略（Policy）
安全策略是信息安全的灵魂。安全策略是企业建立信息系统安全的指导原则。它明确了如何建立企业安全的信息系统，保护什么资源，得到什么样的保护。安全策略是企业控制信息系统安全的安全规则，即根据安全需求、安全威胁来源和企业组织机构状况，定义安全对象、安全状态及应对方法。安全策略是企业检查信息系统安全的唯一依据。企业信息系统是否安全，安全状况如何，如何检查、修正，唯一的依据就是安全策略。
安全策略作为企业的标准规范，需要让企业每个员工知晓，员工需要通过一定的途径、方式和方法了解安全策略、参与安全策略制定过程、接受安全策略的系统培训。
安全策略的一致性管理和生命周期管理也是很重要的一个方面。策略之间不能相互冲突，否则就会出现矛盾，就会失效。安全策略不能一成不变，随着技术的变化，时间的推移，安全策略需要得到不断的更新和调整，确保安全策略的时效性。
安全策略必须通过技术的方法、管理的手段和企业员工的主观能动性来实现。
2、安全配置(Rule, Option and Configuration)
安全配置是对安全策略的微观实现。安全配置是企业构建安全系统的各种安全设备、系统的安全规则、选项、策略配置。
安全配置不仅包括防火墙系统、入侵检测系统、VPN系统等安全系统的安全规则、选项和配置，同时也包括各种操作系统、数据库系统、群件系统等系统配置的安全设置、加固和优化措施。
安全配置的配置好坏直接关系到安全系统能够发挥作用的关键。配置得好，能够充分发挥安全系统和设备的安全作用，实现安全策略的具体要求；配置得不好，不仅不能发挥安全系统和设备的安全作用，相反可能会起副作用，如：网络不通畅，网络运行效率下降等。
安全配置必须得到严格的管理和控制，不能被任意人随意更改。同时，安全配置必须备案，必须做到定期更新和复查，确保其能够反映安全策略的需要。
3、安全事件(Event)
所谓“事件”，是指那些影响计算机系统和网络安全的不当行为。而计算机系统和网络的安全从小的方面说是计算机系统和网络上数据与信息的保密性（Confidential）、完整性（Integrity）以及信息、应用、服务和网络等的可用性（Availability）。从大的方面来说，越来越多的安全事件随着网络的发展而出现，比如电子商务中抵赖、网络扫描和骚扰性行为，所有不在预料的对系统和网络的使用和访问均有可能导致违反既定安全策略的安全事件。安全事件是违背安全策略要求的行为。
安全事件有各种安全系统和设备的日志和事件，网络设备的日志和事件，操作系统的日志和事件，数据库系统的日志和事件，应用系统的日志和事件组成，它直接反映网络、系统、应用的安全现状和发展趋势，是信息与网络安全状况的晴雨表。安全事件是安全管理的重点和关键的要素。
安全事件数量多、分布比较分散，技术分析比较复杂，因此，安全事件也是比较难以管理的要素。在实际工作中，不同的系统有不同的安全管理员管理，面对大量的日志和安全事件，很多管理员往往敷衍了事，很多管理员根本就没有时间和精力对大量的日志和安全事件进行逐一分析和察看，安全系统和设备的安装形同虚设，没有发挥其应有的作用。
安全事件可能不造成任何影响，它只是一种征兆、一种过程。但大量的日志和安全事件是能够在一定程度上反映网络安全现状和发展趋势的。
安全事件必须通过一定的方法手段收集起来，用技术的方法和手段，集中进行冗余处理、综合分析、趋势分析，从大量的安全事件中寻找真正影响网络、系统和应用运行的安全事件—安全事故。
4、安全事故(Accident)
安全事故是造成一定影响和损失的安全事件，是真正的安全事件。一旦出现安全事故，企业就必须采取相应的处理措施和行动，来阻止和减小事故带来的影响和损失。
安全事故必须得到准确地、迅速地处理，必须找到事故的原因、源头、始作俑者和动机。
要迅速准确处理安全事故必须能够准确了解事故现场系统或设备的状况，这就需要有信息资产库的支持；必须迅速了解处理事故所需的技术、方法和手段，这就需要强大的知识库的支持。

三、集中安全管理技术与方法

集中安全管理不是简单的管理区域、管理权限、管理人员的集中，而是必须基于先进的、可控的管理技术的安全管理。在集中安全管理中，必须解决下列技术和方法：
1、集中安全管理协议技术：实现安全组件的集中管理与监控的前提条件就是通信协议，我们将它称为“安全组件交互通信协议”，这一协议和基于这一安全协议的管理代理程序的研究与开发是实现集中安全管理的关键。这一协议的实现，确保安全管理的可能，否则，集中安全管理不是通用的，而是定制的，管理具有很大的局限性。
2、安全策略规范定义与表述技术：安全策略的规范描述定义和表示是集中策略管理的核心。
3、集中日志的分析技术：集中的日志收集和审计、分析与报告是日志管理的关键。
传统的日志分析方法是对单一日志进行简单统计与汇总分析，集中安全管理的日志来源广泛，他们来源于不同的主机与设备、不同的网段。对这些日志的相关性分析是准确把握安全事件的关键，也是准确分析安全事件的基础。
4、安全组件互动控制与管理技术：安全设备与系统之间的协同工作方式、流程与安全，是安全设备与系统之间的协同工作的关键。
5、集中的事件/事故处理流程与响应技术。

四、集中安全管理平台

中软的集中安全管理平台，是国内目前唯一的集中安全管理系统，将全面解决企业信息与网络系统的集中安全管理问题，帮助企业实现企业信息与网络系统的主要安全要素的管理、企业信息与网络系统统一安全策略的管理、企业信息与网络系统安全组件的统一配置管理、企业信息与网络系统安全事件的集中审计和安全事故的集中处理管理，有助于推进政府机关与企业信息与网络系统的安全运行中心的建设。
集中安全管理平台是企业信息与网络系统安全策略统一管理、安全设备与安全系统的集中管理、安全设备与安全系统配置的集中管理、安全设备与系统之间的协同工作管理、安全设备与系统的日志的集中审计、分析与报告、以及实现企业安全事件应急响应管理的综合平台，是企业实现信息与网络系统真正意义上的安全的管理平台。
安全管理同网络管理一样，必须统一，不能各自为政，要全局考虑，一盘棋。不同的安全要素的安全实现方法，要分布式地层次化的布控，同时要集中管理。集中的管理必须突出重点，关注要害，关注重点，这就是：集中的管理企业统一的安全策略；集中的管理安全系统和设备的安全配置；集中的管理信息与网络系统的安全事件；集中的管理安全事故的应急响应过程。

1、中软集中安全管理平台的主要功能：

（1）、集中管理企业统一的安全策略。即通过统一的平台，对系统内的安全设备与系统的安全策略进行管理，实现全系统的安全策略的统一配置、分发与管理。
（2）、集中管理安全设备与系统。即管理企业网络系统所有的安全设备与系统，实现安全设备与系统的集中管理，起到安全网管的作用。在统一的管理平台上，配置、管理全网安全设备与系统的配置和参数。
（3）、集中管理安全事件和日志。通过统一的技术方法，将全系统中的安全日志，安全事件集中收集管理，实现日志的集中、审计、分析与报告。同时，通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势。
（4）、集中管理安全组件协同工作。安全设备与系统之间的协同工作，共同发挥强大的安全防范作用。
（5）、集中管理安全事件的应急响应流程。安全事件/事故处理流程管理，处理过程的监督管理。确保任何安全事件/事故得到及时的响应和处理。

2、中软集中安全管理平台的四大核心模块

（1）、集中管理企业统一的安全策略——安全策略管理平台GSPDirector™
集中安全策略管理平台(GSPD)是一套基于Web的安全工具，它综合了信息安全策略的技术方面和人性方面的因素。GSPD对于策略管理采用一种生命周期方法，使策略管理过程中的每一步自动化实现。它也通过一个中心数据库提供事件报告和跟踪功能，是一套根据安全性标准诸如ISO 17799，跟踪一致性的理想工具。
*主要功能：安全策略模块；安全策略发布；安全策略修正；安全策略文档；安全策略版本控制；BS7799兼容；基于web发布；基于策略规则化。
*主要特点：基于知识库的安全策略定制平台；科学的、形式多样的策略模版支持；定制策略标准、规范，易于维护；符合ISO17799标准；B/S模式，易学易用。
（2）、集中管理安全系统的安全配置——安全配置管理平台GSCManger™
安全配置管理平台是企业集中管理安全系统／设备中配置的统一平台。安全系统和设备的配置的修改、调整必须通过本平台实施、登记、存档，否则，不允许进行配置的修改和调整。
*主要功能：建立可配置管理信任关系；安全域配置；统一安全策略规则化、通用化、具体化；兼容安全组件的集中配置和管理；配置管理实施的有效性监测。
*主要特点：将多种安全系统的配置系统集于一体，便于维护、便于管理；分权分级管理模式，安全可靠；集成度高，方便实用；和安全策略管理平台的集成，易于实现企业总体的安全策略。
（3）、集中管理信息系统的安全事件——安全事件管理平台GSEAuditor™
*主要功能：集中收集安全事件；安全事件的冗余处理；集中综合（关联）分析安全事件；集中安全事件报告；安全事件趋势分析；集中安全事件预警。
*主要特点：事件源头支持丰富，收集事件程序兼容性好；事件冗余处理能力强，大大减少了事件的存储量；事件的关联分析、二次综合分析能力强，不会遗漏真正的安全事件—事故；系统界面友善，数据、报表和图示，准确地显示了各安全系统工作状况、整个系统的安全状况；报表形式多样，安全状况、安全趋势报告准确；分权分级管理体系，安全可靠。
（4）、集中管理安全事故的应急响应过程——安全事故应急响应中心GSAResponsor™
*主要功能：灵活的事故分发管理；事故处理流程管理；事故处理过程交互管理；事故处理状态控制与有效性管理；知识库查询（解决方案、技术信息）；资产信息库查询；事故处理报告；自我服务（基于web的帮助系统）。
*主要特点：基于传统Call Center的事故分派系统，能够准确将安全事故及时、准确地分派到响应工程师；工作流定义灵活，通知方式多样化，提高了准确率；以事故为纽带，准确的将事故源、响应工程师、安全主管、安全厂商连接在一起，构成准确的、高效的安全事故响应体系；安全知识库内容丰富，安全知识组织途径多样，便于响应工程师及时得到处理事故的方法、技术和技巧；信息资产数据库将客户的信息资产的质量、数量、布控位置、配置状况、安全状况、历史运行状况悉数管理起来，是客户信息资产的好管家，便于应急响应工程师及时得到事故发生目标设备的状况，提高事故处理效率。
安全管理必须独立于网络管理。网络管理部门通常称为网络管理中（NOC），安全管理业界通常将它称为安全运行中心（SOC）。根据企业网络、系统、应用和安全设备的部署情况，建议在技术条件成熟的情况下，部署系列安全管理组件，构建企业的安全运行中心（SOC），针对安全管理关键要素：安全策略、安全配置、安全事件和安全事故进行集中管理，实现企业信息与网络系统真正意义上的安全--可管理的安全。

G. 内部信息传递各环节的主要风险点，极其控制措施有哪些

主要风险是：指标体系的设计未能结合企业的发展战略，指标体系级次混乱，与全面预算管理要求相脱节，并且一旦设定后未能根据环境和业务变化有所调整。

主要管控措施：第一，企业应认真研究企业的发展战略、风险控制要求和业绩考核标准，根据各管理层级对信息的需求和详略程度，建立一套级次分明的内部报告指标体系。企业明确的战略目标和具体的战略规划为内部报告控制目标的确定提供了依据。第二，企业内部报告指标确定后，应进行细化，层层分解，使企业中各责任中心及各相关职能部门都有自己明确的目标，以利于控制风险并进行业绩考核。由此可见，企业的战略目标、战略规划、内部报告的控制目标、各责任中心以及各职能部门的控制目标, 是一个通过内部信息传递相互联系、不断细化的体系。第三，内部报告需要依据全面预算的标准进行信息反馈，将预算控制的过程和结果向企业管理层报告，以有效控制预算执行情况、明确相关责任、科学考核业绩，并根据新的环境和业务调整决策部署，更好地规划和控制企业的资产和收益，实现资源的最有效配置和管理的协同效应。

H. 现代信息传递方式的坏处有哪些 不要说故事，直接写出来就行了 要多一点

现代信息传递的方式:
1.有线通讯传输,如电话,传真,电报,电视等
2.无线通讯传输,如对讲机,BP机(已淘汰),移动电话,收音机
3.数字通讯传输,最熟悉的,连网的电脑,数字电视
4.纸张通讯传输,如书信,报纸等

希望对你有帮助！

I. 古代信息传递方式的优缺点

口语传播,优点是方便快捷，缺点是保存性差。竹木简，保存性较强，但成本较高，笨重不便于携带。丝帛，成本高。纸张，较廉价，且易保存，易携带，因此是古代信息传播的首选。