【文章內(nèi)容簡(jiǎn)介】 一個(gè)網(wǎng)絡(luò)系統(tǒng)中，使用者均通過(guò)一個(gè)操作系統(tǒng)來(lái)進(jìn)入網(wǎng)絡(luò)，因此，操作系統(tǒng)的安全性對(duì)于信息系統(tǒng)的安全起著至關(guān)重要的作用，但遺憾的是，現(xiàn)行的幾種主要網(wǎng)絡(luò)操作系統(tǒng)在安全機(jī)制上均存在著不同程度的缺陷。 (1)UNIX 操作系統(tǒng)的缺陷 (a)特權(quán)用戶權(quán)力過(guò)大 UNIX通過(guò)特權(quán)系統(tǒng)解決安全問(wèn)題，該特權(quán)系統(tǒng)中的特權(quán)由系統(tǒng)管理員控制。第 4章 網(wǎng)絡(luò)信息安全的因素和常見(jiàn)網(wǎng)絡(luò)技術(shù) 7 特權(quán)用戶或稱超級(jí)用戶在系統(tǒng)安全體系中具有 至高無(wú)上的權(quán)限，它可以更改系統(tǒng)中所有數(shù)據(jù)，而對(duì)特權(quán)用戶的確認(rèn)僅僅是脆弱的口令保護(hù)，這是 UNIX 操作系統(tǒng)的致命弱點(diǎn)。 (b)口令與帳戶容易被盜取 UNIX 操作系統(tǒng)通常把加密的口令保存在一個(gè)靜態(tài)的文件內(nèi)，而普通用戶即可讀取該文件，一旦口令文件被闖入者得到，他們就可以使用解密程序獲知口令。 安裝 UNIX 時(shí)，有一些系統(tǒng)在缺省狀態(tài)下，會(huì)自動(dòng)建立一些帳戶，由于這種帳戶一般都有一個(gè)約定俗成的口令，因此，如果系統(tǒng)管理員沒(méi)有注意到它的存在，那么，任何人都可以隨意進(jìn)入主機(jī)。 (c)登錄次數(shù)不受限制 UNIX 在用戶口令 管理上相當(dāng)薄弱，登錄口令可以試無(wú)數(shù)次。假如口令的長(zhǎng)度不夠，就可能被破譯。雖然說(shuō) UNIX 的口令是通過(guò)一個(gè)單向函數(shù)生成的，但黑客們利用口令猜測(cè)軟件，經(jīng)過(guò)長(zhǎng)時(shí)間的組合就能夠比較容易地猜出口令。 (2)Windows NT 操作系統(tǒng)的缺陷 一般認(rèn)為 Windows NT 與 Windows ，安全機(jī)制要好些。其安全特點(diǎn)在于：安全登錄設(shè)施；自由選定的訪問(wèn)控制，其資源的屬主可以任意決定其他人的訪問(wèn)權(quán)限；審計(jì)、檢測(cè)并記錄重要的與安全相關(guān)的事件；存儲(chǔ)保護(hù)，防止任何人讀出某人釋放給操作系統(tǒng)在內(nèi)存塊中的信息。安全引 用監(jiān)控所起的作用就是保護(hù)系統(tǒng)的資源，執(zhí)行的對(duì)象是保護(hù)和審計(jì)。 Windows NT 雖然具備了相當(dāng)強(qiáng)的單機(jī)安全性，但在分布式安全體系中，它的集中實(shí)體認(rèn)證和數(shù)據(jù)加密功能則較弱。另外， Windows NT 也不能限制對(duì)系統(tǒng)管理員帳號(hào)不成功登錄的次數(shù)。 以上兩種主要的網(wǎng)絡(luò)操作系統(tǒng)，由于在設(shè)計(jì)階段網(wǎng)絡(luò)安全問(wèn)題尚不突出，黑客也不像現(xiàn)在這樣猖獗，因此，只偏重于考慮系統(tǒng)使用的方便性，而很少顧及安全性，導(dǎo)致系統(tǒng)的安全機(jī)制不健全，存在許多安全上的漏洞，給攻擊者以可乘之機(jī)。由于操作系統(tǒng)是網(wǎng)絡(luò)的門(mén)戶，是網(wǎng)絡(luò)攻擊者進(jìn)入信息系統(tǒng)的咽喉之 道，因此，其安全性對(duì)于信息系統(tǒng)的安全起著至關(guān)重要的作用。 數(shù)據(jù)庫(kù)系統(tǒng)缺陷分析 數(shù)據(jù)庫(kù)系統(tǒng)是信息系統(tǒng)的重要組成部分，是許多人長(zhǎng)期辛勞的結(jié)晶，難以用價(jià)格來(lái)衡量的最寶貴資源，可以認(rèn)為，一切信息系統(tǒng)安全措施的最終目的，都是為了保障用戶數(shù)據(jù)信息的安全運(yùn)轉(zhuǎn)。 系統(tǒng)開(kāi)放，資源共享，雖然使廣大的網(wǎng)絡(luò)用戶嘗到了甜頭，但也是威脅數(shù)據(jù)庫(kù)安全的重要因素。網(wǎng)絡(luò)中數(shù)據(jù)庫(kù)信息的價(jià)值，遠(yuǎn)遠(yuǎn)不是分散信息價(jià)值的代數(shù)疊加；因此，當(dāng)公用或?qū)Ｓ脭?shù)據(jù)庫(kù)遭到侵害時(shí)，其惡果將成倍增大。計(jì)算機(jī)網(wǎng)絡(luò)分第 4章 網(wǎng)絡(luò)信息安全的因素和常見(jiàn)網(wǎng)絡(luò)技術(shù) 8 布的廣域性，密集信息資源的共享性， 通信信道的公用性等，都為信息的竊取、盜用、非法增刪修改以及各種擾亂破壞，造成了極為方便且難以控制的可乘之機(jī)。 竊用數(shù)據(jù)庫(kù)系統(tǒng)，是大多數(shù)惡性計(jì)算機(jī)危害案件的基本作案形式。其基本手段是，非法編制詐騙程序，篡改數(shù)據(jù)，輸入假數(shù)據(jù)等；非法獲取數(shù)據(jù)和信息，竊取機(jī)密，獲取非法利益。 1994 年底，英國(guó)電信公司的一名電腦操作員，借助于公司職員提供的密碼，闖入了公司內(nèi)部的數(shù)據(jù)庫(kù)，竊取了許多機(jī)密電話號(hào)碼，如英國(guó)情報(bào)機(jī)構(gòu)、軍事指揮部及控制中心、首相及軍事指揮官的住址和電話；他還通過(guò) Inter，將這些機(jī)密電話號(hào)碼傳給了蘇 格蘭的某新聞?dòng)浾?，造成了轟動(dòng)英國(guó)的一起嚴(yán)重泄密事件。 在我國(guó)，近年來(lái)也發(fā)生了多起計(jì)算機(jī)犯罪分子利用網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)系統(tǒng)的缺陷非法闖入金融系統(tǒng)數(shù)據(jù)庫(kù)，竊取他人帳號(hào)和財(cái)產(chǎn)的犯罪事件。 對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的危害，主要來(lái)自以下幾個(gè)方面： (a)未經(jīng)授權(quán)的非法訪問(wèn)，可能產(chǎn)生篡改、泄漏或者破壞的危害性效果。 (b)不正確的共享、訪問(wèn)操作，可能產(chǎn)生數(shù)據(jù)信息的錯(cuò)誤或者毀壞。 (c)各類終端或傳輸?shù)碾姶判孤?，為各種電磁偵竊提供了方便。 以上種種危害，會(huì)導(dǎo)致數(shù)據(jù)信息的完整性、正確性和保密性受到損害，以致于影響到數(shù)據(jù)信息的可用 性。 網(wǎng)絡(luò)的開(kāi)放性 開(kāi)放性是因特網(wǎng)最根本的特性，整個(gè)因特網(wǎng)就是建立在自由開(kāi)放的基礎(chǔ)之上的。 最初， 美國(guó)軍方在建立因特網(wǎng)的前身 arpa 的時(shí)候，為了能使其經(jīng)受住蘇聯(lián)的核打擊， 沒(méi)有采用傳統(tǒng)的中央控制式網(wǎng)絡(luò)體系，而是建成了分布式的網(wǎng)絡(luò)體系。同時(shí)放棄了傳統(tǒng)的線路交換式的信息傳遞方式，采用了全新的包切換技術(shù)。分布式使得因特網(wǎng)上的各個(gè)計(jì)算機(jī)之間沒(méi)有從屬關(guān)系，每臺(tái)計(jì)算機(jī)都只是網(wǎng)絡(luò)的一個(gè)節(jié)點(diǎn)，它們之間都是平等的。同時(shí)，包切換使得人們無(wú)法阻止網(wǎng)上信息的傳遞，除非把因特網(wǎng)全部摧毀，否則就是無(wú)法阻止仍然連 在網(wǎng)上的計(jì)算機(jī)之間互相傳遞信息。后來(lái)，為了在不同的計(jì)算機(jī)之間實(shí)現(xiàn)信息的交流和資源的共享，又采用了 tcp／ ip 協(xié)議，這使得不同類型、 不同操作系統(tǒng)的計(jì)算機(jī)都能通過(guò)網(wǎng)絡(luò)交流信息和共享資源。 1991 年，伯納斯．李又發(fā)明了超文本標(biāo)識(shí)語(yǔ)言，將網(wǎng)上的信息以全新的方式聯(lián)系起來(lái)，使得任何一個(gè)文件在任何操作系統(tǒng)、任何瀏覽器上都具有可讀性。 這樣，分布式體系以及包切換的信息傳遞方式為互聯(lián)網(wǎng)設(shè)立了總的開(kāi)放框架， tcp／ ip 協(xié)議和超文本標(biāo)識(shí)語(yǔ)言又為其開(kāi)放性提供了軟件保障，使因特網(wǎng)發(fā)第 4章 網(wǎng)絡(luò)信息安全的因素和常見(jiàn)網(wǎng)絡(luò)技術(shù) 9 展為現(xiàn)在的樣子。互聯(lián)網(wǎng)的開(kāi)放性不僅僅是技術(shù)層面上的，它還有更深的底蘊(yùn)。開(kāi)放性意味著任何人都能夠得到發(fā)表在網(wǎng)絡(luò)上的任何事物，意味著任何個(gè)人、任何組織包括國(guó)家和政府，都不能完全控制互聯(lián)網(wǎng)。這實(shí)質(zhì)上意味著個(gè)體權(quán)利和能力的擴(kuò)張及其對(duì)傳統(tǒng)的金字塔模式的社會(huì)政治經(jīng)濟(jì)結(jié)構(gòu)和體制的消解。任何一個(gè)國(guó)家都是一個(gè)封閉程度不一的實(shí)體，它壟斷著信息，孤立的個(gè)人在強(qiáng)大的壟斷組織面前是弱小無(wú)依的，根 本沒(méi)有力量同國(guó)家對(duì)抗。而開(kāi)放網(wǎng)絡(luò)的出現(xiàn)在很大程度上削弱了國(guó)家對(duì)信息的控制，為個(gè)體對(duì)國(guó)家和社會(huì)的基于實(shí)力平等的挑戰(zhàn)提供了可能。 犯罪實(shí)質(zhì)上就是一種典型的個(gè)體反社會(huì)、反國(guó)家的行為，而網(wǎng)絡(luò)的開(kāi)放性一方面大大提高和擴(kuò)展了犯罪人的個(gè)體力量，另一方面又削弱了國(guó)家和政府的力量，使國(guó)家和政府在獲取和控制信息方面不再有任何優(yōu)勢(shì)可言，這就使得國(guó)家難以有效地威懾和控制犯罪，從而導(dǎo)致犯罪率的上升 。 惡意攻擊 惡意攻擊就是人們常見(jiàn)的黑客攻擊及網(wǎng)絡(luò)病毒．是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也越來(lái)越多， 影響越來(lái)越大。無(wú)論是 DOS 攻擊還是 DDOS 攻擊，簡(jiǎn)單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實(shí)現(xiàn)方式千變?nèi)f化，但都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求，或無(wú)法及時(shí)回應(yīng)外界請(qǐng)求。美國(guó)網(wǎng)絡(luò)安全公司賽門(mén)鐵克一名專家日稱，網(wǎng)絡(luò)黑客正在不斷變換手法向電腦用戶 發(fā)動(dòng)惡意攻擊，由于這些方法更具隱蔽性，所以防范難度越來(lái)越大。 根據(jù)賽門(mén)鐵克軟件安全部門(mén)經(jīng)理約翰哈里森的觀點(diǎn)，目前網(wǎng)絡(luò)惡意攻擊呈現(xiàn)出以下新特點(diǎn)： 一、過(guò)去電腦用戶只有在登錄色情、賭博等不良網(wǎng)站時(shí)或使用盜版軟件時(shí)才容易遭到惡意攻擊，但現(xiàn)在不少旅游、購(gòu)物和游戲等網(wǎng)站也成為黑客用來(lái)發(fā)動(dòng)惡意攻擊的平臺(tái)。 二、過(guò)去的惡意攻擊沒(méi)有組織性，大多由不諳世事的年輕人所為，但現(xiàn)在的網(wǎng)絡(luò)攻擊不僅組織性高，而且專業(yè)性強(qiáng)，由不同的軟件開(kāi)發(fā)小組操控。 三、過(guò)去網(wǎng)絡(luò)黑客往往通過(guò)傳遞郵件的方式發(fā)動(dòng)惡意攻擊，這種方式比較容易識(shí)別，但目前黑客是趁用戶下載某些軟件之際悄悄發(fā)動(dòng)攻擊，令用戶難以識(shí)別。 四、黑客利用第三方的廣告將惡意軟件侵入用戶系統(tǒng)，比如黑客會(huì)利用某個(gè)廣告提醒用戶，其系統(tǒng)已感染病毒，當(dāng)用戶根據(jù)廣告提示去鏈接某個(gè)據(jù)說(shuō)能殺病毒的網(wǎng)站時(shí)，這時(shí)“潛 伏”在這個(gè)網(wǎng)站的惡意軟件便會(huì)侵入用戶系統(tǒng)。 五、黑客會(huì)設(shè)計(jì)用戶信任的銀行等網(wǎng)站的標(biāo)識(shí)，當(dāng)用戶放松警惕登錄這一網(wǎng)第 4章 網(wǎng)絡(luò)信息安全的因素和常見(jiàn)網(wǎng)絡(luò)技術(shù) 10 站時(shí)，便會(huì)遭到惡意軟件的攻擊。 哈里森還說(shuō)，有跡象表明，今后黑客有可能會(huì)利用社交網(wǎng)站，向用戶發(fā)送看似來(lái)自朋友或親人的帶病毒的郵件。 影響計(jì)算機(jī)網(wǎng)絡(luò)通信安全的主觀因素 主要是計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，如安全意識(shí)、防范意識(shí)等。 常用的網(wǎng)絡(luò)安全技術(shù) 由于網(wǎng)絡(luò)所帶來(lái)的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來(lái)堵塞安全漏洞和提供安全的通信服務(wù)。如今， 快速發(fā)展的網(wǎng)絡(luò)安全技術(shù)能從不同角度來(lái)保證網(wǎng)絡(luò)信息不受侵犯，網(wǎng)絡(luò)安全的基本技術(shù)主要包括網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)。 網(wǎng)絡(luò)加密技術(shù) 網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽(tīng)和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。