图2. 风险的概念模型

    风险控制依据风险评估的结果，选择和实施合适的安全措施。风险控制的目的是为了将风险始终控制在可接受的范围内。风险控制方式主要有规避、转移和降低三种方式。

• 规避方式。通过不使用面临风险的资产来避免风险。
• 转移方式。通过将面临风险的资产或其价值转移更安全的地方来避免或降低风险。
• 降低方式。通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险。

    根据风险概念模型。风险的产生来自于风险源。不良的师生上网行为将为学校校园网带来风险源。

    关于什么是不良上网行为没有一个权威和统一的定义。中国互联网协会在《文明上网自律公约》中罗列的网民不良行为特征有“消极颓废，盗版剽窃，造谣诽谤，弄虚作假，低俗沉迷”等。共青团中央对青少年不良上网行为定义为“浏览不良信息；侮辱欺诈他人；随意约会网友；破坏网络秩序；沉溺虚拟时空”。所以从广义上来说，师生的不良上网行为指的是不利于社会，不利于国家，不利于学校，不利于家庭和自身的上网行为。

    为了便于研究，我们从两个维度对师生上网行为进行归类，并从中划定不良的上网行为。一个维度是其所传播和获取的信息对学校的利害相关程度（有害，无害也无益，有益）。另一个是其行为是有意（主动）还是无意（被动）。

表 1. 师生上网行为分类

• 师生有意的以损害他人利益从而达到自己利益的上网活动。包括违反法律的行为如宣扬邪教，散布色情内容，传播计算机病毒等；侵害第三方利益，比如，下载和传播盗版软件等。
• 师生有意的以满足自己某种需要（情感等）但与学习和工作无关，并且不是以有意侵害他人利益的上网活动。包括娱乐，比如在线聊天，游戏，电影和音乐等。
• 师生因为安全意识或安全知识的欠缺而进行的无意的不安全的上网行为。比如，浏览不明邮件附件，下载安装未授权应用，被诱骗从而公开自己或在线抄股及其他私用信息，随意访问未知、不可信站点，随意填写Web脚本、表格或注册页面从而带来信息泄露或病毒入侵等。

本文讨论的不良上网行为指上面三种。第一种属于违法行为，受到国家行政和法律法规制裁。而对于大多数学校而言，该类行为属于极少数。在信息安全理论中，第一种行为直接构成风险源。而后两种并不是直接风险源。但后面两种行为，将通过某些途径（利用互联网漏洞）引来风险源（网络威胁等），从而威胁受体（学校）。

下面将首先讨论可能产生的风险源（威胁），然后讨论不良师生上网行为（主要是后面两种）如何引入风险源。也就是说，我们将讨论威胁是通过什么样的途径，如何利用互联网的脆弱性产生的。

    概括的说，师生不良上网行为引入的威胁主要有违法行为，不合社会伦理，影响学校的德育教育和网络安全威胁（详细见下表）。

表 2. 威胁种类

    带宽的占用，病毒木马和恶意软件的入侵意味着网络效能降低和随时面临攻击。网络攻击可能导致网络瘫痪。

    西方文化入侵

    诚信危机：黄色中毒、网瘾

    中国传统伦理思想强调“慎独”，即修身为本的主体道德自律。在互联网的社会里，每个人变成一个符号，无人知道自己是谁。在2005年全球最重要的信息安全大会RSA会议上，微软和RSA的主题演讲就是“我是谁？”。并将网络上的身份确认看成是实现当前互联网安全的关键。因为在没有约束下，人们就象苏格拉底描述的“隐形人”一样，很容易忘记责任，作出不合伦理甚至违法乱纪的事情。因此，在匿名的互联网上，中国传统伦理的“慎独”对引导网络使用而言就显得十分重要和顺应社会需要。

    今年全国掀起的文明上网热潮，其中心思想就是“主体自律”。作为社会中重要一员的学校，同样需要承担这个伦理责任，教导和引导员工自律，洁身自好，从自身做起，文明上网，以积极态度促进互联网健康发展。

    概括起来，在全社会提倡文明上网的背景下，学校面临如下的一些社会伦理压力：

• 师生访问色情，暴力，赌博，游戏网站，由此带来的对自身的伤害和对家庭的影响。
• 学校成为病毒积聚地或垃圾邮件发源地和下载盗版软件，电影，音乐的温床。