第19章 调查和道德

19.1 调查

19.1.1 调查的类型

安全实践人员发现他们执行的调查有各种原因。

一些调查涉及法律法规而且调查证据必须严格遵守法院可接受的标准，

还有一些调查由于必须支待内部业务流程，因此要求更严格。

1. 行政调查

行政调查属于内部调查，它检查业务问题或是否违反组织的政策。

它们可作为技术故障排除工作的一部分或支持其他管理过程，如人力资源纪律程序。

操作型调查研究涉及组织的计算基础设施问题，且首要目标是解决业务问题。

例如，如果IT团队发现Web服务器性能有问题，就会执行有关确定性能问题起因的调查。

操作型调查对信息收集标准是比较宽松的。因为目标仅是完成内部业务目标，所以不倾向找到证据。

因为解决问题是首要目标，所以管理员进行操作型调查时只进行必要分析，

得出他们的操作结论，而不需要拿出特别详细且充分的调查证据。

除了解决操作问题，操作型调查需要执行根本原因分析，找出修复措施，以防再次发生类似事件。

行政调查在性质上不可操作，可能需要更强有力的证据标准，特别是如果它们可能导致对个人的制裁。

这类调查中没有合适的证据标准。安全专业人员应与调查发起入以及他们的法律团队商量，以确定行政调查适当的证据收集、处理和保留指南。

2. 犯罪调查

犯罪调查通常由执法者进行，是针对违法行为进行的调查。

犯罪调查的结果是指控犯罪和在刑事法庭上起诉。

多数犯罪案件必须满足超越合理怀疑的证据标准。

根据这个标准，控方必须证明被告犯罪，凭借事实而不是逻辑推理。

为此，犯罪调查必须遵循非常严格的证据收集和保存过程。

问题：要理解犯罪中的“为什么”，很多时候必须理解MOM。下列哪一项不是MOM的组成因素？（D）

A. Means 方式

B. Opportunities 机会

C. Motivation 动机

D. Methods  方法

3. 民事调查

民事调查通常不涉及执法，而涉及内部员工和外部顾问代表法律团队的工作。

他们会准备必要的证据来解决双方之间的纠纷。

大多数民事案件不会遵循超出合理怀疑证据的标准。相反，它们使用较弱的证据标准。

要达到这一标准，只需要证据能够说明调查结果是可信赖的。

因此，民事调查的证据收集标准不像犯罪调查要求那么严格。

4. 监管调查

政府机构在他们认为个人或企业可能违法时、在他们认为可能发生的地点进行监管调查。

监管调查范围比较广泛，几乎总由政府工作人员执行。

一些监管调查可能不涉及政府机构而是基于行业标准，如支付卡行业数据安全标准(PCIDSS) 。

这些行业标准不是法律，而是参与组织签订的合同义务。

某些情况下，包括PCIDSS,组织可能需要提交独立的第三方进行的审计、评估和调查。

不参与这些调查或消极对待调查结果可能导致罚款或其他制裁。

因此，对违反行业标准的调查应以与监管调查类似的方式对待。

根据支付卡行业数据安全标准(PCI DSS)的要求,保护存储的持卡人数据。（卡片验证码，CVV2）不能由商家存储。

5. 电子发现(eDiscovery)

在诉讼过程中，任何一方都有责任保留与案件相关的证据，并在发现过程中在控诉双方分享信息。

这个发现过程应该用纸质档案和电子记录及电子发现的过程促进电子信息披露的处理。

电子发现参考模型描述了发现的标准过程，共需要如下9 步：

(1) 信息治理 确保信息系统针对将来的发现有良好的组织。

(2) 识别 当组织相信起诉很有可能时，要指出电子发现请求信息的位置。

(3) 保存 确保潜在的发现信息不会受到篡改或删除。

(4) 收集 将敏感信息收集起来用于电子发现过程。

(5) 处理 过滤收集到的信息并进行无关信息的“粗剪＂，减少需要详细检查的信息。

(6) 检查 检查剩下的信息，确定哪些信息是敏感的请求，并移除律师与客户之间保护的信息。

(7) 分析 对剩余的内容和文档执行更深层次的检查。

(8) 产生 用需要分享他人的信息标准格式产生信息。

(9) 呈现 向证人、法院和其他当事方展示信息。

进行eDiscovery 是一个复杂过程，需要在IT 专业人员和法律顾问之间精心协调。

19.1.2 证据

为成功地检举犯罪行为，起诉律师必须提供足够的证据来证实某个人的罪行超出合理的怀疑。

接下来，我们将研究证据在法庭上被许可之前要满足的要求、可使用的各类证据，以及处理和记录证据的需求。

1. 可采纳的证据

要成为可采纳的证据，必须满足下列三个要求（在法庭公开讨论前由法官确定）：

• 证据必须与确定事实相关。

• 证据要确定的事实对本案来说是必要的（即相关的）。

• 证据必须有法定资格，这愈味着必须合法获得。通过非法搜查获得的证据不具备法定资格，是不被采纳的。

2. 证据的类型

在法庭上可使用的证据有3 种：实物证据、文档证据以及言辞证据。

每一种证据都有稍许不同的额外可接纳要求。

（1）实物证据(Real Evidence，客观证据)

实物证据包括那些可能会被带上法庭的物品。

在常见的犯罪行动中，这可能包括凶器、衣物或其他有形物体。

在计算机犯罪中，实物证据可能包括没收的计算机设备，如带有指纹的键盘，或黑客计算机中的硬盘。

根据具体的环境，实物证据还可能是无可辩驳的结论性证据，如DNA。

（2）文档证据(Documentary Evidence)

文档证据包括所有带上法庭用于证明事实的书面内容。

这种证据类型也必须经过验证。

例如，如果律师希望将计算机曰志作为证据，那么必须将证人（即系统管理员）带到法庭上，

以证明日志是作为常规商业活动收集的，并且是系统实际收集的真实日志。

下列两种额外的证据规则被特别应用于文档证据：

• 最佳证据规则(Best Evidence Rule)声明

当文档作为法庭处理的证据时，必须提供原始文档。

除了规则应用的某些例外之外，原始证据的副本或说明（被称为次要证据）不会被接受为证据。

• 口头证据规则(Parol Evidence Rule)声明

当双方的协议以书面形式记载下来时，书面文档被假设包含所有协议条款，并且口头协议不可修改书面协议。

如果文档证据满足必要、有作证能力以及关联要求，并且符合最佳证据和口头证据规则，就可能被法庭采纳。

（3）言辞证据(Testimonial Evidence)

言辞证据十分简单，是包括证人证词的证据，证词既可以是法庭上的口头证词，也可以是记录下来的书面证词。

证人必须宣誓同意讲真话，并且他们必须了解证词的根据。

此外，证人必须记得证词的根据（他们可以参考书面注释或记录来协助记忆）。

证人可以提供直接证据：基于自己的直接观察来证明或驳斥某个断言的口头言辞。

大多数证人的言辞证据都被严格限定为基于证人的事实观察的直接证据。

不过，如果法庭认为证人是特定领域的专家，那就不应采用这种方法。

在这种案件中，证人可以基于其他存在的事实及其个人的专业知识来提供专家观点。

言辞证据不得是所谓的传闻证据。证人不可能证实其他人在法庭外告诉他的内容。

没有经过系统管理员验证的计算机日志文件也可能被认为是传闻证据。

3. 证据收集和司法取证

收集数字证据是一个复杂的过程，应由专业司法技术人员进行。

计算机证据国际组织(IOCE)概述了指导数字证据技术人员的6 条原则：

• 处理数字证据时，必须应用所有通用的司法和程序原则。

• 收集数字证据后，不能修改证据。

• 某人有必要使用原始数字证据时，应当接受有针对性的培训。

• 与收集、访问、存储或转移数字证据有关的所有活动都应当被完整记录和保留，并且可供审查。

• 在数字证据被某人掌握之后，他应当对与数字证据有关的所有活动负责。

• 所有负责收集、访问、存储或转移数字证据的机构都负责遵守上述原则。

进行取证时，保留原来的证据也很重要。请记住，调查行为可能改变正在评估的证据。

因此，在分析数字证据时，最好使用副本。

例如，对硬盘上的内容进行调查时，应制作镜像，并将原始驱动器密封在证据袋中，仅使用镜像进行调查。

介质分析

介质分析是计算机取证分析的一个分支，涉及识别和提取存储介质中的信息。

介质包括：

• 磁介质（如磁盘、磁带）

• 光学介质（如CD 、DVD 、蓝光光盘）

• 存储器（如内存、固态存储）

用于介质分析的技术可能包括：

• 从物理磁盘的未分配扇区恢复已删除文件

• 对连接到计算机系统的存储介质的活动分析（检查加密介质设备时会有益处）

• 以及对存储介质的取证镜像的静态分析

网络取证分析

调查人员常对发生在网络上的安全事件感兴趣。由于网络数据的波动性，事件很难重建。

除非是在事件发生时有意记录，否则事件记录并不会被保存。

网络取证分析往往取决于对事件发生的预先了解，或使用记录网络活动的已经存在的安全控制。

这些措施包括：

• 入侵检测和防御系统的日志

• 流量监测系统捕获的网络流量

• 事件发生过程中有意收集的数据包

• 防火墙和其他网络安全设备的日志

网络取证分析师的任务是收集不同来源的信息，并将它们关联起来，然后完成一份尽可能全面的网络构图。

软件分析

网络取证分析师也会对软件及其活动进行检查。

1.当内部人员被怀疑时，对软件代码进行审查，以寻找后门、逻辑炸弹或其他漏洞。

2.对应用程序或数据服务器的日志文件进行检查，以寻找恶意活动，如SQL 注入攻击、特权提升或其他应用手段攻击。

硬件／嵌入式设备分析

网络取证分析师还要对硬件和嵌入式设备中的内容进行分析。

这可能包括对个人电脑、智能手机、平板电脑的审查，以及对嵌入汽车／安全系统／其他设备的电脑的审查。

进行这些审查的分析师必须具备专业知识。

这往往需要熟悉内存、存储系统以及操作系统和相关设备的专家。

由于软件、硬件和存储设备之间复杂的交互关系，硬件分析需要掌握介质分析和软件分析技能。

证据可以被采纳的必要特征：它必须是可靠的（相关的）。

重要的是，证据必须与手头的案件相关、完整、充分和可靠。证据的这四个特征为案件提供了基础，并有助于确保证据在法律上是允许的。

一旦证据被获取，执法部门应该强调（保管链）。

计算机证据在法庭上被采信的前提条件：证据链保管必须出示谁收集，保护，控制，处理，运送的证据，而且没有被篡改。

19.1.3 调查过程

当启动计算机安全调查时，首先应召集一支有能力的分析师团队，以协助调查。

该团队应根据组织现有的事件响应策略进行操作，同时应给予该团队一份章程手册。

其中应清楚概述：调查范围；调查人员的权力、角色和责任；调查过程中必须遵守的参与制度。

这些规则能够规定并指导调查人员在不同阶段采取的行动，比如遵守法律、审讯犯罪嫌疑人、收集证据以及破坏系统访问。

收集证据

通常，没收设备、软件或数据以进行适当的调查。

没收证据的方式很重要。没收证据必须以适当方式进行。

有三种基本的选择：

首先，拥有证据的人可能自愿上交。

只有当攻击者不是所有者时，这种方法才是合适的。

很少有有罪的当事人交出不利于他们的证据。

经验不足的攻击者可能相信他们已经成功掩盖了踪迹并自愿放弃了重要证据。

一个好的取证人员可从计算机提取大量被“掩盖”的信息。

大多数情况下，向一名疑似攻击者索取证据只是提醒他你即将采取法律行动。

在内部调查的情形里，会通过自愿交出的方式来收集绝大多数信息。

最可能的情形是，你在一个高级管理人员的主持下进行调查，他们将授权你访问完成调查所需的组织资源。

第二，可让法院发出传票或法庭命令。

迫使个人或组织交出证据，然后由执法部门送达传票。

再次申明，这种行动发出太明显的信号，有人可能会篡改证据，使它在法庭上无效。

最后一个选项是搜查令。

只有当你必须获得证据又不想惊动证据所有者或其他人时，才可使用此选项。

你必须以可信的理由强烈怀疑，说服法官采取这一行动。

这三个备选方案适用于没收机构内外的设备，但还有一个步骤可确保没收属于你组织的设备被正确执行。

在调查期间，所有新员工签署协议同意搜索和获取任何必要证据是常见的。

可将“同意提供”作为雇佣协议的一个条款。这使得没收更容易，并减少在等待法律许可期间证据丢失的机会。

确保你的安全策略考虑了这个重要主题。

1. 请求执法

在调查中首先要做出的判断是：是否请求执法机构介入。

这实际上是一个相当复杂的决定，应当涉及资深管理官员。

请求专家协助有很多因素。

例如，联邦调查局(FBI)运营着一个全国性网络部门，作为网络犯罪调查的卓越中心。

此外，当地联邦调查局的现场办公室也有专门负责处理网络犯罪调查的特工。

这些代理人调查所在地区的联邦罪行，并可根据要求与当地执法部门协商。

美国特勤局总部和外地办事处同样有熟练的工作人员。

另一方面，还有两个因素使公司可能不会请求官方的协助：

首先，调查可能使事件公开，从而给公司带来麻烦。

其次，执法机构一定要采取遵从第四修正案和其他合法要求的调查方式，如果公司欲私下调解，则不需要这么做。

2. 实施调查

如果选择不请求执法机构的协助，那么应当遵守合理的调查原则，以确保调查的准确和公平。

记住下面几个主要的原则十分重要：

•永远不要对被破坏的实际系统实施调查。将系统脱机，备份，仅用备份进行事件调查。

•永远不要试图“反击“并对犯罪进行报复。否则，可能无意中伤及无辜，并且发现自己会受到计算机犯罪的指控。

•如有疑问，最好向专家求助。

如果不希望执法机构介入，就联系在计算机安全调查领域具有丰富经验的私人调查公司。

3. 约谈个人

事故调查期间，有必要与可能掌握相关信息的人员进行谈话。

约谈：为了获取有助于调查的信息

审问：怀疑某人涉嫌犯罪并希望收集在法庭上可用的证据

约谈和审问属于专业技能，应当只由训练有素的调查人员进行。

不恰当的方法可能损害执法部门成功起诉嫌疑人。

此外，许多法律都制约对人员限制或拘留。

如果打算进行私下审问，那么必须严格遵守这些法律。

并在约谈前与律师商讨相应的对策。

4. 事故数据的完整性和保存

无论证据的说服力如何，如果在证据收集的过程中发生变更，就会被法院驳回。

一定要确保维护所有证据的完整性，在进行数据收集前要了解什么是数据的完整性。

我们不可能检测到所有正在发生的事件。有时，调查结果会揭示出以前未被发现的事件。

如果在跟踪证据时，发现包含攻击者相关信息的重要日志文件已经被清除，将令人沮丧。

一定要认真考虑日志文件的作用或其他可能存在证据的地方。

简单的归档策略有助于确保能够在需要时获得证据，无论事故已经发生了多长时间。

因为许多日志文件中都包含有价值的证据，攻击者在攻击成功后通常会试图清除这些证据。

要采取措施保护日志文件的完整性并防止它们被修改。

1.远程日志记录：采用这种技术时，网络中所有的系统将日志记录发到一台集中的日志服务器上，这台服务器被锁定，以免受到攻击，从而防止数据被修改：这起到保护日志文件在事故发生之后不被清除的作用。

2.数字签名：证明日志文件在最初获取之后未被篡改。

报告和记录调查

你所进行的每一项调查都应提交一份最终报告，记录调查的目标、程序、收集的证据以及调查的最终结果。

报告的正式程度将根据组织的政策和程序以及调查的性质而有所不同。

准备正式文件非常重要，因为它为升级和潜在的法律行动奠定了基础。

你可能不知道当调查开始（甚至在结束后）它将成为法律行动的主体，但你应该为此做好准备。

对行政事项的内部调查甚至可能成为劳务纠纷或其他法律行动的一部分。

在事故发生前，与公司的法律人员和适当的执法代理机构建立良好的关系是非常明智的。

找到适合组织的执法联络人并与他们商讨。在应该报告事故时，提前努力建立关系的工作将见到成效。

如果已经了解了正在与你谈话的人，就会减少介绍和解释的时间。

预先确定一名联系人作为组织与执法部门的联络人员:

首先，确保执法部门从固定的联络人那里了解组织的想法并知道通过何人进行调查；

其次，允许预先指定的联络人与执法人员建立良好的工作关系。

19.2 计算机犯罪的主要类别

计算机犯罪通常分为下面几种类型：

• 军事和清报攻击

• 商业攻击

• 财务攻击

• 恐怖攻击

• 恶意攻击

• 兴奋攻击

理解各类计算机犯罪之间的区别，对于更好地理解如何保护系统并在攻击发生时如何响应来说是十分重要的。

攻击者留下的证据和数量常取决于他们的专业程度。

下面将讨论计算机犯罪的不同类型以及在攻击发生后可能找到的证据。

证据可帮助确定攻击者做了些什么，以及攻击的预计目标是什么。

你可能发现自己的系统只是到达真正受害者网络链条中的一个跳板，这使得对攻击者的跟踪变得十分困难。

19.2.1 军事和情报攻击

军事和情报攻击主要用于从执法机关或军事和技术研究机构获得秘密和受限的信息。

这些信息的暴露可能使研究泄密、中断军事计划甚至威胁国家安全。

收集军事信息或其他敏感信息的攻击常是其他更具破坏性攻击的前兆。

攻击者可能在寻找下列信息：

• 任何类型的军事说明信息，包括部署情报、就绪情报以及战斗计划指令

• 为军事或执法目的收集的秘密信息

• 在犯罪调查过程中获得的证据的说明和存储位置

• 任何可能被用于后续攻击的秘密信息

由于军事和情报机构收集和使用的信照的敏感特性，他们的计算机系统常成为富有经验的攻击者的目标。

为保护存储此类信息的系统不受更多和更有经验的攻击者的攻击，系统中通常存在更正规的安全策略。

如第1 章所述，数据可根据敏感度进行分类并存放在支持所需安全级别的系统中。

通常，你会发现强有力的边界安全以及内部控制被用于限制对军方和情报机构的系统中机密文档的访问。

可以确信，获取军方或情报信息的攻击都是由专业人员进行的。专业的攻击者在掩盖攻击痕迹时通常非常彻底。

这类攻击发生后，通常收集不到什么证据。

如果没人察觉到发生了攻击，这种类型的攻击者会取得最成功、最满意的结果。

19.2.2 商业攻击

商业攻击专门非法获取公司的机密信息。

这种信息对公司经营非常关键（如秘方），或者一旦泄露便可能损害公司的形象（如员工的个人信息）。

收集竞争者的商业秘密也称为工业间谍活动，这并不是一种新的事物。

在商业活动中使用非法手段获取竞争信息已经有很多年了。

也许改变了的只是间谍活动的源头，因为国家资助的间谍活动已成为一个重大威胁。

下面两种原因使这种攻击颇具吸引力：偷取竞争者机密信息的诱惑，精明的攻击者可轻易破坏一些计算机系统。

商业攻击的目的只是获得机密信息。使用通过攻击收集到的信息通常比攻击本身更危险。

遭受这种攻击的商业系统可能永远都无法恢复。包含机密数据系统的安全性取决于安全专家所做的工作。

19.2.3 财务攻击

财务攻击用于非法获得钱财和服务。

财务攻击的目标可能是窃取银行账户中的存款，或是免费拨打长途电话。

入店行窃和入室行窃也是财务攻击的例子。总可根据破坏造成的经济损失来描述攻击者的技巧。

能检测到攻击并跟踪攻击者的难易程度在很大程度上依赖于攻击者的技能水平。

缺乏经验的攻击者,会寻找较简单的目标，尽管破坏通常较小，但随着时间的推移，破坏会越来越大。

经验丰富的攻击者,发起的财务攻击可能造成相当大的破坏。

虽然盗打电话会使电话公司损失被设定呼叫的收入，但严重的财务攻击可能导致数百万美金的损失。

19.2.4 恐怖攻击

恐怖攻击的目的是中断正常的生活并制造恐怖气氛而军事和情报攻击用于获取秘密信息。情报收集一般先于恐怖攻击。

成为恐怖攻击的目标系统可能在之前的情报收集攻击中已被损害。

对攻击检测得越认真，对更严重攻击的防护准备将越好。

计算机恐怖攻击的目的可能是控制电厂、电信或造成电力中断。

很多这样的控制相管理系统都是计算机化的，容易受到恐怖分子的攻击。

实际上，同时进行物理的恐怖攻击和计算机化的恐怖攻击的可能性是存在的。

对于这样的攻击，如果针对电力和通信的物理攻击与计算机攻击同时发生，那我们的反应能力将大大下降。

大多数大型电力和通信公司都有专门的安全保卫人员确保系统的安全性，

但是很多较小的公司也连到互联网上，它们更容易受到攻击。

为了确定攻击，必须认真地监视系统，并在发现攻击后立即做出反应。

19.2.5 恶意攻击

恶意攻击可对组织或个人造成破坏。可能是：

•信息的丢失

•信息处理能力的丧失

•组织或个人名誉受损。

恶意攻击的动机通常源于不满，并且攻击者可能是现在的或以前的员工，也可能是希望组织垮台的人。

攻击者对受害者不满，进而以恶意攻击的形式发泄不满。

攻击者可能是：

•最近被解雇的员工（主要人员）

•被拒绝与其他员工建立个人关系的人，被拒绝的人可能对受害者的系统发起攻击，并破坏受害者系统中的数据。

安全策略，应当解决心怀不满的员工可能发起的潜在攻击。

例如，员工一旦被解雇，就应该立即终止这名员工所有的系统访问权限，这将大大降低恶意攻击的可能性。

删除当前未使用的账户，以免它们会用在未来的攻击中。

虽然大多数恶意攻击者只有有限的攻击和破坏能力，但一些人所具有的技能会产生巨大破坏。

不满的破坏者对于安全专家来说可能比较棘手。

当一名具有已知破坏能力的人离开公司时，衙要对此高度重视。

至少，应当对这个人可能访问的所有系统进行漏洞评估。

你可能会惊讶地发现系统中有一个或多个“后门”。

即使没有后门，一名熟悉组织技术体系结构的离职员工仍可能知道如何利用系统的漏洞。

如果恶意攻击未受到抑制，那么结果可能是毁灭性的。

认真对系统漏洞进行监控和评估，是应对大多数恶意攻击的最佳措施。

19.2.6 兴奋攻击

兴奋攻击通常由菜鸟发起。

缺乏自己设计攻击能力的攻击者通常只会下载一些程序进行攻击。

这些攻击者常被称为“脚本小子“，因为他们只会使用其他人的程序或脚本发起攻击。

这些攻击的动机是闯入系统带来的极度兴奋。

兴奋攻击的受害者所遭受的最常见的打击就是服务中断。

虽然这类攻击者可能破坏数据，但他们主要的动机还是破坏系统，并且可能使用该系统对其他受害者发起拒绝服务攻击。

常见的兴奋攻击类型是篡改网页，攻击者会入侵Web 服务器，并将正常的Web 内容替换成炫耀自己技术的页面。

例如，攻击者在2017 年进行了一系列自动化网站破坏攻击，利用了广泛使用的WordPress Web 发布平台中的漏洞。

这些攻击在一周内黑掉了超过180 万个网页。

最近，我们看到“黑客行动主义”正在兴起。

这些被称为“黑客行动主义者”（黑客和激进分子的结合）的攻击者，通常将政治动机与黑客快感联系起来。

他们组成松散的群体，并将群体命名为与Anonymous 或Lolzsec 相似的名字。

他们通常只拥有少得可怜的知识，使用Low OrbitIon Cannon 这样的小工具，制造大规模的拒绝服务攻击。

19.3 道德规范

因为安全专家会处理敏感信息，所以需要赢得信任，因此，安全专家自身及相互之间负有高标准的行为职责。

管理个人行为的规则统称为道德规范。

一些组织已经认识到需要标准的道德规范或准则，并为道德行为设计了指导原则。

19.3.1 (ISC)2 的道德规范

管理CISSP 认证考试的机构是国际信息系统安全认证协会，

也就是(lSC)气(ISC)2 的道德规范被用于提供CISSP 行为的基线，

是包含一个序言和4 条标准的简单准则。

道德规范的序言

道德规范的序言如下：

• 社会安全和福利、公益、对委托人的责任，以及要遵守的其他要求，

还有需要去遵守的要求，这些是要遵守的行为的最高道德标准。

• 因此，严格遵守这些标准是认证考试的要求。

道德规范的标准

道德规范包括如下准则：

1.保护社会、公益、必需的公信与自信，保护基础设施

安全专业人员具有很大的社会责任。

我们担负着确保自己的行为使公众受益的使命。

2.行为得体、诚实、公正、负责和遵守法律

对于履行我们的责任来说，诚实正直是必不可少的。

如果组织、安全团体内部的其他人或一般公众怀疑我们提供的指导不准确，

或者质疑我们的动机，我们就无法履行自己的职责。

3.为委托人提供尽职的、胜任的服务

尽管要对整个社会负责，但也要对雇用我们来保护其基础设施的人负责。

我们必须确保为组织提供无偏见的、完全胜任的服务。

4.发展和保护职业

我们选择的这个职业在不断变化。

作为安全专业人员，我们必须确保掌握最新的知识并应用到补会的通用知识体系中。

（ISC）2道德规范：

保护社会、公共利益与基础设施，赢得必要的公众信心与信任

勤奋尽责、专业胜任

推动行业发展、维护职业声誉

19.3.2 道德规范和互联网

在1989年1月，互联网顾问委员会(Internet Advisory Board, IAB)认识到快速扩张的互联网范围超出了当初创建网络的可信团体。

考虑到互联网发展过程中已经出现的滥用情况， IAB发布了一份有关正确使用互联网的政策声明。

这份声明的内容直到今天仍然有效。

了解RFC1087（道德规范和互联网）文档的基本内容是十分重要的，这是因为大多数道德规范的内容都能追溯到这个文档。

这份声明被认为是不道德行为的概括列表。道德规范告诉人们应该怎样做，而此列表概括了不应该做什么。

RFC 1087 说明了怀有下列目的的行为都是不可接受和不道德的：

• 试图获得未经授权访问Internet 资源的权利

• 破坏Internet 的正常使用

• 通过这些行为耗费资源（人、容量、计算机）

• 破坏以计符机为基础的信息的完整性 危害用户的隐私权