【文章內(nèi)容簡(jiǎn)介】 絡(luò)安全的因素 當(dāng)前，制約我國(guó)提高網(wǎng)絡(luò)安全防御能力的主要因素有以下幾方面。 、 缺乏自主的計(jì)算機(jī)網(wǎng)絡(luò)和軟件核心技術(shù) 我國(guó)信息化建設(shè)過(guò)程中缺乏自主技術(shù)支撐。計(jì)算機(jī)安全存在三大黑洞： CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫(kù)、網(wǎng)關(guān)軟件大多依賴進(jìn)口。信息安全專家、中國(guó)科學(xué)院高能物理研究所研究員許榕生曾一針見(jiàn)血地點(diǎn)出我國(guó)信息系統(tǒng)的要 害： “我們的網(wǎng)絡(luò)發(fā)展很快，但安全狀況如何？現(xiàn)在有很多人投很多錢去建網(wǎng)絡(luò)，實(shí)際上并不清楚它只有一半根基，建的是沒(méi)有防范的網(wǎng)。有的網(wǎng)絡(luò)顧問(wèn)公司建了很多網(wǎng)，市場(chǎng)布好，但建的是裸網(wǎng)，沒(méi)有保護(hù)，就像房產(chǎn)公司蓋了很多樓，門(mén)窗都不加鎖就交付給業(yè)主去住。 ”我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上是舶來(lái)品，這些因素使我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)的安全性能大大降低，被認(rèn)為是易窺視和易打擊的 “玻璃網(wǎng) ”。由于缺乏自主技術(shù)，我國(guó)的網(wǎng)絡(luò)處于被竊聽(tīng)、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。如 CPU 芯片，全球的最大的兩家 CPU 芯片廠商 AMD 和因特爾都是美國(guó)企業(yè)；又諸如操作系統(tǒng)，全球最好的幾家公司出的操作系統(tǒng) —UNIX、 Linux、 windows，全都是外國(guó)企業(yè)，沒(méi)有一個(gè)是我國(guó)出產(chǎn)的；網(wǎng)絡(luò)設(shè)備上，我國(guó)很多地方都是在采用美國(guó)思科公司的產(chǎn)品，然而國(guó)產(chǎn)的如華為、中興等的用戶卻偏少，這就是導(dǎo)致了我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全性很差的部分原因。 、 安全意識(shí)淡薄是網(wǎng)絡(luò)安全的瓶頸 目前，在網(wǎng)絡(luò)安全問(wèn)題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物，許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂(lè)等，對(duì)網(wǎng)絡(luò)信息的安全性無(wú)暇顧及，安全意識(shí)相當(dāng)?shù)?，?duì)網(wǎng)絡(luò) 信息不安全的事實(shí)認(rèn)識(shí)不足。與此同時(shí)，網(wǎng)絡(luò)經(jīng)營(yíng)者和機(jī)構(gòu)用戶注重的是網(wǎng)絡(luò)效應(yīng)，對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范 6 的要求?？傮w上來(lái)看，網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏洞狀態(tài)，從上到下普遍存在僥幸心理，沒(méi)有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí)，更無(wú)法從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。近年來(lái)，國(guó)家和各級(jí)職能部門(mén)在信息安全方面已做了大量努力，但就范圍、影響和效果來(lái)講，迄今所采取的信息安全保護(hù)措施和有關(guān)計(jì)劃還不能從根本上解決目前的被動(dòng)局面，整個(gè)信息安全系統(tǒng)在迅速反應(yīng)、快速行動(dòng)和預(yù)警防范等主要 方面，缺少方向感、敏感度和應(yīng)對(duì)能力。 、 運(yùn)行管理機(jī)制的缺陷和不足制約了安全防范的力度 運(yùn)行管理是過(guò)程管理，是實(shí)現(xiàn)全網(wǎng)絡(luò)安全和動(dòng)態(tài)安全的關(guān)鍵。有關(guān)信息安全的政策、計(jì)劃和管理手段等最終都會(huì)在運(yùn)行管理機(jī)制上體現(xiàn)出來(lái)。就目前的運(yùn)行管理機(jī)制來(lái)看，有以下幾方面的缺陷和不足。 ：由于互聯(lián)網(wǎng)通信成本極低，分布式客戶服務(wù)器和不同種類配置不斷出新和發(fā)展。按理，由于技術(shù)應(yīng)用的擴(kuò)展，技術(shù)的管理也應(yīng)同步擴(kuò)展，但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能、資源和利益導(dǎo)向。信息安全技 術(shù)管理方面的人才無(wú)論是數(shù)量還是水平，都無(wú)法適應(yīng)信息安全形勢(shì)的需要。 ：互聯(lián)網(wǎng)越來(lái)越具有綜合性和動(dòng)態(tài)性特點(diǎn)，這同時(shí)也是互聯(lián)網(wǎng)不安全因素的原因所在。然而，網(wǎng)絡(luò)用戶對(duì)此缺乏認(rèn)識(shí)，未進(jìn)入安全就緒狀態(tài)就急于操作，結(jié)果導(dǎo)致敏感數(shù)據(jù)暴露，使系統(tǒng)遭受風(fēng)險(xiǎn)。配置不當(dāng)或過(guò)時(shí)的操作系統(tǒng)、郵件程序和內(nèi)部網(wǎng)絡(luò)都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無(wú)法發(fā)現(xiàn)和及時(shí)查堵安全漏洞。當(dāng)廠商發(fā)布補(bǔ)丁或升級(jí)軟件來(lái)解決安全問(wèn)題時(shí)，許多用戶的系統(tǒng)不進(jìn)行同步升級(jí)，原因是管理者未充分意識(shí)到網(wǎng)絡(luò)不安全的風(fēng)險(xiǎn)所在，未引起 重視。 ：面對(duì)復(fù)雜的不斷變化的互聯(lián)網(wǎng)世界，大多數(shù)用戶缺乏綜合性的安全管理解決方案，稍有安全意識(shí)的用戶越來(lái)越依賴 “銀彈 ”方案 (如防火墻和加密技術(shù) )，但這些用戶也就此產(chǎn)生了虛假的安全感，漸漸喪失警惕。實(shí)際上，一次性使用一種方案并不能保證系統(tǒng)一勞永逸和高枕無(wú)憂，網(wǎng)絡(luò)安全問(wèn)題遠(yuǎn)遠(yuǎn)不是防毒軟件和防火墻能夠解決的，也不是大量標(biāo)準(zhǔn)安全產(chǎn)品簡(jiǎn)單碓砌就 7 能解決的。 、制約計(jì)算機(jī)網(wǎng)絡(luò)安全的另一面 —軟硬件自身問(wèn)題 、計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性 互聯(lián)網(wǎng)是對(duì)全世界都開(kāi)放的網(wǎng)絡(luò)，任何 單位或個(gè)人都可以在網(wǎng)上方便地傳輸和獲取各種信息，互聯(lián)網(wǎng)這種具有開(kāi)放性、共享性、國(guó)際性的特點(diǎn)就對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全提出了挑戰(zhàn)?；ヂ?lián)網(wǎng)的不安全性主要有以下幾項(xiàng)： 1）網(wǎng)絡(luò)的開(kāi)放性，網(wǎng)絡(luò)的技術(shù)是全開(kāi)放的，使得網(wǎng)絡(luò)所面臨的攻擊來(lái)自多方面?；蚴莵?lái)自物理傳輸線路的攻擊，或是來(lái)自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊，以及對(duì)計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊。 2）網(wǎng)絡(luò)的國(guó)際性，意味著對(duì)網(wǎng)絡(luò)的攻擊不僅是來(lái)自于本地網(wǎng)絡(luò)的用戶，還可以是互聯(lián)網(wǎng)上其他國(guó)家的黑客，所以，網(wǎng)絡(luò)的安全面臨著國(guó)際化的挑戰(zhàn)。 3）網(wǎng)絡(luò)的自由性，大多數(shù)的網(wǎng)絡(luò) 對(duì)用戶的使用沒(méi)有技術(shù)上的約束，用戶可以自由的上網(wǎng)，發(fā)布和獲取各類信息。 、操作系統(tǒng)存在的安全問(wèn)題 操作系統(tǒng)是作為一個(gè)支撐軟件，使得你的程序或別的運(yùn)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。 、操作系統(tǒng)功能上的脆弱性 1）操作系統(tǒng)結(jié)構(gòu)體系的缺陷。操作系統(tǒng)本身有內(nèi)存管理、 CPU 管理、外設(shè)的管理，每個(gè)管理都涉及到一些模塊或程序，如果 在這些程序里面存在問(wèn)題， 8 比如內(nèi)存管理的問(wèn)題，外部網(wǎng)絡(luò)的一個(gè)連接過(guò)來(lái)，剛好連接一個(gè)有缺陷的模塊，可能出現(xiàn)的情況是，計(jì)算機(jī)系統(tǒng)會(huì)因此崩潰。所以，有些黑客往往是針對(duì)操作系統(tǒng)的不完善進(jìn)行攻擊，使計(jì)算機(jī)系統(tǒng)，特別是服務(wù)器系統(tǒng)立刻癱瘓。 2）操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件、加載或安裝程序，包括可執(zhí)行文件，這些功能也會(huì)帶來(lái)不安全因素。網(wǎng)絡(luò)很重要的一個(gè)功能就是文件傳輸功能，比如FTP，這些安裝程序經(jīng)常會(huì)帶一些可執(zhí)行文件，這些可執(zhí)行文件都是人為編寫(xiě)的程序，如果某個(gè)地方出現(xiàn)漏洞，那么系統(tǒng)可能就會(huì)造成崩潰。像 這些遠(yuǎn)程調(diào)用、文件傳輸，如果生產(chǎn)廠家或個(gè)人在上面安裝間諜程序，那么用戶的整個(gè)傳輸過(guò)程、使用過(guò)程都會(huì)被別人監(jiān)視到，所有的這些傳輸文件、加載的程序、安裝的程序、執(zhí)行文件，都可能給操作系統(tǒng)帶來(lái)安全的隱患。所以，建議盡量少使用一些來(lái)歷不明，或者無(wú)法證明它的安全性的軟件。 3）操作系統(tǒng)不安全的一個(gè)原因在于它可以創(chuàng)建進(jìn)程，支持進(jìn)程的遠(yuǎn)程創(chuàng)建和激活，支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建的權(quán)利，這些機(jī)制提供了在遠(yuǎn)端服務(wù)器上安裝“間諜 ”軟件的條件。若將間諜軟件以打補(bǔ)丁的方式 “打 ”在一個(gè)合法用戶上，特別是 “打 ”在一個(gè)特權(quán)用戶上，黑 客或間諜軟件就可以使系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序監(jiān)測(cè)不到它的存在。 4）操作系統(tǒng)有些守護(hù)進(jìn)程，它是系統(tǒng)的一些進(jìn)程，總是在等待某些事件的出現(xiàn)。所謂守護(hù)進(jìn)程，比如說(shuō)用戶有沒(méi)按鍵盤(pán)或鼠標(biāo)，或者別的一些處理。一些監(jiān)控病毒的監(jiān)控軟件也是守護(hù)進(jìn)程，這些進(jìn)程可能是好的，比如防病毒程序，一有病毒出現(xiàn)就會(huì)被撲捉到。但是有些進(jìn)程是一些病毒，一碰到特定的情況，比如碰到 7 月 1 日，它就會(huì)把用戶的硬盤(pán)格式化，這些進(jìn)程就是很危險(xiǎn)的守護(hù)進(jìn)程，平時(shí)它可能不起作用，可是在某些條件發(fā)生，比如 7 月 1 日，它才發(fā)生作用，如果操作系統(tǒng)有些守 護(hù)進(jìn)程被人破壞掉就會(huì)出現(xiàn)這種不安全的情況。 5）操作系統(tǒng)會(huì)提供一些遠(yuǎn)程調(diào)用功能，所謂遠(yuǎn)程調(diào)用就是一臺(tái)計(jì)算機(jī)可以調(diào)用遠(yuǎn)程一個(gè)大型服務(wù)器里面的一些程序，可以提交程序給遠(yuǎn)程的服務(wù)器執(zhí) 9 行，如 tel。遠(yuǎn)程調(diào)用要經(jīng)過(guò)很多的環(huán)節(jié)，中間的通訊環(huán)節(jié)可能會(huì)出現(xiàn)被人監(jiān)控等安全的問(wèn)題。 6）操作系統(tǒng)的后門(mén)和漏洞。后門(mén)程序是指那些繞過(guò)安全控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法。在軟件開(kāi)發(fā)階段，程序員利用軟件的后門(mén)程序得以便利修改程序設(shè)計(jì)中的不足。一旦后門(mén)被黑客利用，或在發(fā)布軟件前沒(méi)有刪除后門(mén)程序， 容易被黑客當(dāng)成漏洞進(jìn)行攻擊，造成信息泄密和丟失。此外，操作系統(tǒng)的無(wú)口令的入口，也是信息安全的一大隱患。 7） 盡管操作系統(tǒng)的漏洞可以通過(guò)版本的不斷升級(jí)來(lái)克服， 但是系統(tǒng)的某一個(gè)安全漏洞就會(huì)使得系統(tǒng)的所有安全控制毫無(wú)價(jià)值。當(dāng)發(fā)現(xiàn)問(wèn)題到升級(jí)這段時(shí)間，一個(gè)小小的漏洞就足以使你的整個(gè)網(wǎng)絡(luò)癱瘓掉。 、操作系統(tǒng)結(jié)構(gòu)的脆弱性 動(dòng)態(tài)聯(lián)接。為了系統(tǒng)集成和系統(tǒng)擴(kuò)充的需要，操作系統(tǒng)采用動(dòng)態(tài)聯(lián)接結(jié)構(gòu)，系統(tǒng)的服務(wù)和 I/O操作都可以補(bǔ)丁方式進(jìn)行升級(jí)和動(dòng)態(tài)聯(lián)接。這種方式雖然為廠商和用戶提供了方便，但同時(shí)也 為黑客提供了入侵的方便 (漏洞 ),這種動(dòng)態(tài)聯(lián)接也是計(jì)算機(jī)病毒產(chǎn)生的溫床。 創(chuàng)建進(jìn)程。操作系統(tǒng)可以創(chuàng)建進(jìn)程，而且這些進(jìn)程可在遠(yuǎn)程節(jié)點(diǎn)上被創(chuàng)建與激活，更加嚴(yán)重的是被創(chuàng)建的進(jìn)程又可以繼續(xù)創(chuàng)建其他進(jìn)程。這樣，若黑客在遠(yuǎn)程將 “間諜 ”程序以補(bǔ)丁方式附在合法用戶，特別是超級(jí)用戶上，就能擺脫系統(tǒng)進(jìn)程與作業(yè)監(jiān)視程序的檢測(cè)。 空口令和 RPC。操作系統(tǒng)為維護(hù)方便而預(yù)留的無(wú)口令入口和提供的遠(yuǎn)程過(guò)程調(diào)用 (RPC)服務(wù)都是黑客進(jìn)入系統(tǒng)的通道。 超級(jí)用戶。操作系統(tǒng)的另一個(gè)安全漏洞就是存在超級(jí)用戶，如果入侵者得到了超級(jí)用戶口令，整個(gè)系 統(tǒng)將完全受控于入侵者。 10 、 數(shù)據(jù)庫(kù)存儲(chǔ)的內(nèi)容存在的安全問(wèn)題 數(shù)據(jù)庫(kù)管理系統(tǒng)大量的信息存儲(chǔ)在各種各樣的數(shù)據(jù)庫(kù)里面，包括我們上網(wǎng)看到的所有信息，數(shù)據(jù)庫(kù)主要考慮的是信息方便存儲(chǔ)、利用和管理，但在安全方面考慮的比較少。例如：授權(quán)用戶超出了訪問(wèn)權(quán)限進(jìn)行數(shù)據(jù)的更改活動(dòng)；非法用戶繞過(guò)安全內(nèi)核，竊取信息。對(duì)于數(shù)據(jù)庫(kù)的安全而言，就是要保證數(shù)據(jù)的安全可靠和正確有效，即確保數(shù)據(jù)的安全性、完整性。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫(kù)被破壞和非法的存??；數(shù)據(jù)庫(kù)的完整性是防止數(shù)據(jù)庫(kù)中存在不符合語(yǔ)義的數(shù)據(jù)。 由于數(shù)據(jù)集庫(kù)管理系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的管理是建立在分級(jí)管理的概念上，因此，DBMS的安全必須與操作系統(tǒng)的安全配套，這無(wú)疑是一個(gè)先