1.3 計算機網絡系統的脆弱性及安全威脅

計算機網絡的脆弱性通常包括計算機系統本身的脆弱性、通信設施脆弱性和數據庫安全的脆弱性。操作系統的不安全性、網絡通信協議的缺陷、網絡軟件和網絡服務的漏洞、數據庫數據容易丟失以及通信硬件的不安全性等都會給危害網絡安全的人和事留下許多后門。

前面已經介紹了安全等級，可以看到，有的操作系統屬于D級，這一級別的操作系統根本就沒有安全防護措施，如Windows95等，它根本不能用于安全性要求高的服務器。即使Windows最新版和UNIX等用于服務器，也會因設計時的疏忽和考慮不周仍然存在許多安全漏洞，使入侵者有機可乘。可以說操作系統的不安全性是計算機系統不安全的根本原因。

一是操作系統程序支持程序與數據的動態連接，包括I/O的驅動程序與系統服務都可以用打“補丁”的方式進行動態連接。UNIX操作系統的某些版本升級、開發也是用打“補丁”的方式進行的。既然廠商可以使用這種方法，“黑客”同樣也可以使用，當然也就成了計算機病毒產生的好環境。

再有操作系統的一些功能，比如，支持在網絡上傳輸文件的功能，在帶來許多方便的同時必然也帶來不安全的因素，而且這種相互矛盾很難解決。

操作系統不安全性的另一原因還在于它可以創建進程，更重要的是創建的進程可以繼承創建進程的權力，如同網絡上加載程序的結合就可以在遠端服務器上安裝“間諜”軟件。

操作系統運行時，一些系統進程總是等待一些條件出現，一旦滿足條件，程序將繼續運行下去，黑客可以利用這樣的軟件為進程創造條件，使系統程序運行方向偏離正常軌道。

還有，操作系統安排有無口令入口，這原是為系統開發人員提供的便捷入口，但也可能成為黑客的通道；另外，操作系統還有隱蔽通道，“黑客”一旦測得，便可控制他人操作系統。

網絡通信協議和網絡軟件，也都包含許多不安全的因素，存在許多漏洞，比如TCP/IP（傳輸控制協議/網絡協議）在包監視、泄露、地址欺騙、序列號攻擊、路由攻擊、拒絕服務、鑒別攻擊等方面存在漏洞；應用層比如FTP（文件傳輸協議）、E-mail（電子郵件）、RPC（遠程程序通信協議）、NFS（網絡文件系統）等也同樣有許多安全隱患。

計算機系統硬件和通信設施極易遭受到自然環境因素（如溫度、濕度、灰塵度和電磁場等）的影響以及自然災害（如洪水、地震等）的物理破壞，一旦硬件發生故障則必然造成通信中斷。

對于通信設施的人為破壞（包括故意損壞和非故意損壞），一旦信息進入通信線路，就存在被他人獲取或破壞的可能。通過無源線路竊聽，“黑客”可以獲取網絡中的信息內容；通過有源線路竊聽，破壞者可以對信息流內容進行偽造或刪除，甚至可以模仿合法用戶破壞信息傳輸；信息進入通信線路，還容易受到電磁輻射和串音的干擾，這些都可對傳輸的信號造成嚴重的破壞。

另外，數據庫系統因為其共享性、獨立性、一致性、完整性和可訪問性等諸多優點，已成為計算機系統存儲數據的主要形式，但由于它的應用在安全方面考慮較少，容易造成存儲數據的丟失、泄漏和破壞。

以上種種問題都是網絡系統的脆弱性所在，而在這些問題中有些是難以避免的。網絡系統存在諸多弱點，黑客的攻擊手段卻在不斷提高，這就對本來十分脆弱的網絡系統造成了嚴重的安全威脅。

安全威脅是對安全的一種潛在的侵害，威脅的實施就是攻擊。網絡系統安全面臨的威脅主要表現在以下幾類。

1）非授權訪問：沒有預先經過同意就使用網絡或計算機資源，如有意避開系統訪問控制機制，對網絡設備及資源進行非正常的使用或擅自擴大權限，越權訪問信息。如假冒、身份攻擊、非法用戶進入網絡系統進行違法操作等都屬于非授權訪問。

2）泄漏信息：指敏感數據在有意或無意中被泄漏或丟失，它通常包括信息在傳輸中丟失或泄漏，信息在存儲介質中丟失或泄漏。如黑客通過各種手段截獲用戶的口令、賬號等。

3）破壞信息：以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數據，以干擾用戶的正常使用。

4）拒絕服務：通過不斷對網絡服務系統進行干擾，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。典型的拒絕服務有資源耗盡和資源過載。最早的拒絕服務攻擊是“電子郵件炸彈”，它能使用戶在短時間內收到大量電子郵件，使用戶系統不能處理正常業務，嚴重時會使系統崩潰、網絡癱瘓。

5）計算機病毒：通過網絡傳播計算機病毒，破壞性巨大，而且很難防范。

上述威脅有內部威脅也有外部威脅。內部威脅就如系統的合法用戶以非授權方式訪問系統，多數已知的計算機犯罪都和系統安全遭受損害的內部攻擊有密切的關系。外部威脅的實施也稱遠程攻擊。外部攻擊可以使用的辦法有搭線（主動的與被動的）、截取輻射、冒充為系統的授權用戶或冒充為系統的組成部分、為鑒別或訪問控制機制設置旁路等。