1.2 計算機網絡的不安全因素

一般來說，計算機網絡本身的脆弱性和通信設施脆弱性共同構成了計算機網絡的潛在威脅。一方面，計算機網絡的硬件和通信設施極易受到自然環境的影響（如溫度、濕度、灰塵度和電磁場等），以及自然災害（如洪水、地震等）和人為（故意破壞和非故意破壞）的物理破壞；另一方面，計算機網絡的軟件資源和數據信息易受到非法的竊取、復制、篡改和毀壞；再有，計算機網絡硬件的自然損耗和自然失效，以及軟件的邏輯錯誤，同樣會影響系統的正常工作，造成計算機網絡系統內信息的損壞、丟失和安全事故。

1.2.1 不安全的主要因素

對計算機網絡安全構成威脅的因素很多，綜合起來包括以下三個方面。

●偶發因素：如電源故障、設備的機能失常、軟件開發過程中留下的漏洞或邏輯錯誤等。

●自然災害：各種自然災害（如地震、風暴、泥石流和建筑物破壞等）對計算機系統構成嚴重的威脅。此外，火災、水災和空氣污染也對計算機網絡構成嚴重威脅。

●人為因素：不法之徒利用計算機網絡或潛入計算機房，篡改系統數據、竊用系統資源、非法獲取機密數據和信息、破壞硬件設備或編制計算機病毒等。此外，管理不好、規章制度不健全、有章不循、安全管理水平低、人員素質差、操作失誤，以及瀆職行為等都會對計算機網絡造成威脅。

人為因素對計算機網絡的破壞也稱為人對計算機網絡的攻擊，可分為下列幾個方面。

1.被動攻擊

這類攻擊主要是監視公共媒體（如無線電、衛星、微波和公共交換網）上傳送的信息，典型的被動攻擊如表1-3所示。抵抗這類攻擊的對策主要包括：使用虛擬專用網VPN、加密被保護網絡，以及使用加保護的分布式網絡。

2.主動攻擊

主動攻擊主要是避開或突破安全防護、引入惡意代碼（如計算機病毒），以及破壞數據和系統的完整性，典型的主動攻擊如表1-4所示。抵抗這類攻擊的對策主要包括：增強內部網絡的保護（如防火墻和邊界護衛）、采用基于身份認證的訪問控制、遠程訪問保護、質量安全管理、自動病毒檢測、審計和入侵檢測等技術。

3.鄰近攻擊

鄰近攻擊是指未授權者可物理上接近網絡、系統或設備，從而可以修改、收集信息，或使系統拒絕訪問，典型的鄰近攻擊如表1-5所示。接近網絡可以是秘密進入或公開，也可以是兩者都有。

4.內部人員攻擊

內部工作人員具有對系統的直接訪問權，可輕易地對系統實施攻擊。內部人員攻擊分為惡意和非惡意（不小心或無知行為）兩種。非惡意行為也會導致安全事件，因此，非惡意破壞也被認為是一種攻擊，典型的內部人員攻擊如表1-6所示。

1）內部人員的惡意攻擊：根據美國聯邦調查局的評估，80%的攻擊和入侵來自內部。內部人員知道系統的布局、有價值的數據在何處，以及系統所采用的安全防范措施。而且，內部人員的攻擊通常是最難以檢測和防范的。

2）內部人員的非惡意攻擊：這類攻擊并非故意破壞信息或信息處理系統，而是由于無意的行為對系統產生了破壞，這些破壞一般是由于缺乏知識或不小心所致。

典型對策包括：加強安全意識和技術培訓，對系統的關鍵數據和服務采取特殊的訪問控制機制，采用審計、入侵檢測等技術。

5.分發攻擊

分發攻擊是指在軟件和硬件開發出來后與安裝之前，當它從一個地方送到另一個地方時，攻擊者惡意地修改軟件或硬件，典型的分發攻擊如表1-7所示?？梢酝ㄟ^受控分發，以及由最終用戶檢驗軟件簽名和訪問控制來消除分發攻擊威脅。

1.2.2 不安全的主要原因

計算機網絡系統安全的脆弱性是伴隨計算機網絡一同產生的，換句話說，安全脆弱是計算機網絡與生俱來的致命弱點。在網絡建設中，網絡特性決定了不可能無條件、無限制地提高其安全性能。既要使網絡方便快捷，又要保證網絡安全，這是一個非常棘手的“兩難選擇”，而網絡安全只能在“兩難選擇”所允許的范圍內尋找平衡點。因此，可以說任何一個計算機網絡都不是絕對安全的。

1.互聯網具有不安全性

最初，互聯網用于科研和學術目的，它的技術基礎存在不安全性。互聯網是對全世界所有國家開放的網絡，任何團體或個人都可以在網上方便地傳送和獲取各種各樣的信息，具有開放性、國際性和自由性，這就對安全提出了更高的要求，主要表現在以下三個方面。

●開放性的網絡：導致網絡的技術全開放，使得網絡所面臨的破壞和攻擊來自多方面?？赡軄碜晕锢韨鬏斁€路的攻擊，也可能來自對網絡通信協議的攻擊，以及對軟件和硬件實施的攻擊。

●國際性的網絡：意味著網絡的攻擊不僅來自本地網絡的用戶，而且可以來自互聯網上的任何一臺計算機，也就是說，網絡安全面臨的是國際化的挑戰。

●自由性的網絡：意味著網絡最初對用戶的使用并沒有提供任何技術約束，用戶可以自由地訪問網絡，自由地使用和發布各種類型的信息。

另外，互聯網使用的TCP/IP（傳輸控制協議/網際協議），以及FTP（文件傳輸協議）、E-mail（電子郵件）、RPC（遠程程序通信規則）和NFS（網絡文件系統）等都包含許多不安全的因素，存在許多安全漏洞。

2.操作系統存在的安全問題

操作系統軟件自身的不安全性，以及系統設計時的疏忽或考慮不周而留下的“破綻”，都給危害網絡安全的人留下了許多“后門”。

操作系統體系結構造成的安全隱患是計算機系統不安全的根本原因之一。操作系統的程序是可以動態連接的，如I/O的驅動程序和系統服務，這些程序和服務可以通過“打補丁”的方式進行動態連接。許多UNIX操作系統的版本升級和開發都是采用打補丁的方式進行的。這種動態連接的方法容易被黑客利用，而且還是計算機病毒產生的好環境。另外，操作系統的一些功能也帶來不安全因素，例如，支持在網絡上傳輸可以執行的文件映像，以及網絡加載程序的功能等。

操作系統不安全的另一個原因在于它可以創建進程，支持進程的遠程創建與激活，支持被創建的進程繼承創建進程的權利，這些機制提供了在遠端服務器上安裝間諜軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法的用戶上，尤其“打”在一個特權用戶上，黑客或間諜軟件就可以使系統進程與作業的監視程序都監測不到它的存在。

操作系統的無口令入口及隱蔽通道（原是為系統開發人員提供的便捷入口），也都成為黑客入侵的通道。

3.數據的安全問題

在網絡中，數據存放在數據庫中，供不同的用戶共享。然而，數據庫存在著許多不安全性，例如，授權用戶超出了訪問權限進行數據的更改活動；非法用戶繞過安全內核，竊取信息資源等。對于數據庫的安全而言，要保證數據的安全可靠和正確有效，即確保數據的安全性、完整性和并發控制。數據的安全性就是防止數據庫被故意破壞和非法存??；數據的完整性是防止數據庫中存在不符合語義的數據，以及防止由于錯誤信息的輸入、輸出而造成無效操作和錯誤結果；并發控制就是在多個用戶程序并行地存取數據庫時，保證數據庫的一致性。

4.傳輸線路的安全問題

盡管在光纜、同軸電纜、微波和衛星通信中竊聽其中指定一路的信息是很困難的，但是從安全的角度來說，沒有絕對安全的通信線路。

5.網絡應用存在的安全問題

伴隨著互聯網更加開放，用戶開展的業務也更加豐富多彩，終端智能被普遍使用，數據中心和各種云的建設應用，網絡的安全問題也出現了新的形式及特點，應用安全問題已經成為移動互聯網網絡推廣的主要問題。

6.網絡安全管理問題

網絡系統缺少安全管理人員，缺少安全管理的技術規范，缺少定期的安全測試與檢查，缺少安全監控，是網絡最大的安全問題之一。