1.4 计算机网络存在的安全问题

导致计算机网络信息安全受到威胁的根本原因在于网络存在安全问题。

1. 固有的安全漏洞

现在，新的操作系统或应用软件刚一上市，漏洞就会很快被找出来。没有任何一个系统可以排除漏洞的存在，想要修补所有的漏洞简直是不可能的。从CERT（CarnegieMellon大学计算机紧急事件响应队）那里可以找到相当全面的程序错误列表。另一个消息来源就是诸如BugNet或NTBug traq一类的新闻组。

缓冲区溢出：这是攻击中最容易被利用的系统漏洞。很多系统在不检查程序与缓冲区间变化的情况下，就接收任何长度的数据输入，把溢出部分放在堆栈内，系统还照常执行命令。这样破坏者便有机可乘，他只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。假如破坏者特别配置一串准备用做攻击的字符，他甚至可以进入系统的根目录，进而获得管理权限。

拒绝服务：拒绝服务攻击的原理是搅乱TCP/IP链接的次序。典型的DOS攻击会耗尽或损坏一个或多个系统的资源（CPU周期、内存和磁盘空间），直至系统无法处理合法的程序。这类攻击的例子是Synflood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求链接，目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求，直至等待回答的请求超时。

2. 合法工具的滥用

大部分系统都配备了用于改进系统管理及服务质量的工具软件，但遗憾的是，这些工具同时也会被破坏者利用，以收集非法信息及加强攻击力度。

例如，NBTSTAT命令是用于给系统管理员提供远程节点信息的。但是，破坏者也用这一命令收集对系统有威胁性的信息，如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用于破译口令。

另一个经常被利用的工具是网包嗅探器（PacketSniffer）。系统管理员用此工具来监控及分发网包，以便找出网络的潜在问题。若黑客要攻击网络，则先把网卡变成功能混杂的设备，截取经过网络的包（包括所有未加密的口令和其他敏感信息），然后短时间运行网包嗅探器，就可以有足够的信息去攻击网络。

3. 不正确的系统维护措施

系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击，但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时，管理人员应仔细分析危险程度，并马上采取补救措施。

有时，虽然已经对系统进行了维护，对软件进行了更新或升级，但由于路由器及防火墙的过滤规则过于复杂，系统又可能会出现新的漏洞。所以，及时、有效地改变管理措施，可以大大降低系统所承担的风险。

4. 低效的系统设计和检测能力

在不重视信息保护的情况下设计出来的安全系统会非常不安全，而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务，并且需要妥善地管理。

服务器的代码设计及执行也要进行有效管理。正如很多公开的漏洞报告指出，在输入检查不完全时，CGI BIN是非常脆弱的。黑客可以利用这一漏洞发动拒绝服务攻击，非法获取敏感信息或篡改Web服务器的内容。低效的设计最后会产生漏洞百出的入侵检测系统，这样的系统非常危险，它不能提供足够的信息，就连已提供的信息都可能是不真实、不准确的。

5. 人为的疏忽

人为的疏忽包括失误、失职、误操作等。这些可能是工作人员安全意识不到位，对安全的配置不当，不注意保密工作，密码选择不慎重，保密资料丢失等造成的。

6. 人为的恶意攻击

这是网络安全的最大威胁，敌意的攻击和计算机犯罪就是这个类别。这种行为破坏性最强，可能造成极大的危害，导致机密数据的泄露。如果涉及金融机构，则很可能导致破产，也给社会带了震荡。

人为的恶意攻击有两种，即主动攻击和被动攻击。主动攻击有选择性地破坏信息的有效性和完整性。被动攻击是在不影响网络正常工作的情况下截获、窃取、破译重要机密信息。能够进行这些攻击行为的大多是具有很高的专业技能和智商的人员，一般需要相当的专业知识才能破解。

7. 网络软件的漏洞

网络软件不可能毫无缺陷和漏洞，而这些正好为黑客提供了攻击机会。而软件设计人员为了方便自己设置的陷门，一旦被攻破，其后果也是不堪设想的。

8. 非授权访问

非授权访问是指未经同意就越过权限，擅自使用网络或计算机资源，主要包括假冒身份攻击、非法用户进入网络系统进行违法操作或合法用户以未授权方式进行操作等。

9. 信息泄露或丢失

信息泄露或丢失是指敏感数据被有意或无意地泄露出去或丢失，通常包括信息在传输的过程中丢失或泄露。

10. 破坏数据完整性

破坏数据完整性是指以非法手段窃得对数据的使用权，删改、修改、插入或重发某些信息，恶意添加、修改数据，以干扰用户的正常使用。