计算机系统的不安全因素

1.1.2　计算机系统的不安全因素

随着网络的不断扩大和人员的增加，系统的安全问题越来越多地得到人们的重视。要提高网络的安全，就要了解网络系统的薄弱环节，根据具体情况加以防范。客观地说，一个绝对安全的系统是不存在的。因此，系统的安全要靠完善的监视、分析、管理手段，及时发现安全隐患，采取安全防范措施，避免系统遭到攻击，提高系统的安全系数。

网络系统主要包括网络部分、主机部分、信息部分。系统的安全主要考虑两种情况：一是非法入侵者截获信息，二是非法入侵者破坏系统的正常运行。

1.主机

主机系统是非法入侵者的主要攻击目标。由于计算机本身存在着一些固有的弱点和脆弱性，可能使系统信息的完整性受到威胁，也可能使信息遭到破坏而不能继续使用。更为严重的是非授权用户利用计算机的弱点可以对系统进行非法访问，窃取有价值的信息而不留任何痕迹。

（1）计算机的脆弱性主要表现在：

●　存储数据的密度极高。在一块磁盘、光盘或磁带中，可以存储大量数据信息，而这些存储介质很容易被带出办公室，也很容易受意外损坏。

●　数据泄露。计算机工作时辐射出电磁波，任何人都可借助并不复杂的设备在一定的范围内收到它，从而造成信息泄露。

●　数据的可访问性。电子信息可以很容易被拷贝下来而不留任何痕迹。一台远程终端上的用户可以通过计算机网络连接到计算中心的系统上，在一定条件下，可以访问到系统中的所有数据，并可以按需要将其拷贝、删除或破坏等。

●　磁性介质的剩磁效应。保存在磁性存储介质中的数据可能会将存储介质永久性地磁化，所以存储介质中的信息有时是擦除不净的。进行磁盘消密时，首先就是将其中的数据擦除，如果擦除不彻底的话，就会留下可读信息的痕迹，一旦被利用，就会产生泄密。另外，在大多数操作系统中，删除文件仅是将该文件的文件名删除并将相应的存储空间释放，而文件的真正内容还原封不动地保留在存储介质上，利用这一点犯罪者可以偷取秘密信息。

●　计算机硬件系统对运行环境的特定要求。计算机硬件系统是一种精密仪器型的电子设备，其中有的部位电磁信号强度很弱，抗电磁干扰能力很差，当电场强度E〉5V/m时，小信号电路就不易正常工作。当磁感应强度H达到50～80A/m时，磁记录设备的信息就难免遭到破坏；核辐射会使大规模集成电路中的某些部位产生较大的光电流而损伤；磁头与磁盘之间需始终保持数微米的间隙，灰尘、温度、振动、冲击等均会影响它读写数据的正常进行甚至损坏；元部件间的接插方式，易受灰尘、湿度、有害气体的锈蚀，或因振动、冲击而松动，影响牢靠的电气连接；温度、湿度的偏高以及灰尘会使元器件的电特性变差甚至不能工作；密封防尘、防湿与改善机内温度升高难以两全等。不少元部件和系统要求供电电源的电压、频率稳定，供电不能突然中断，否则，元器件不损即坏，或者系统遭受无法挽回的损失。

●　计算机软件系统的问题及自身错误。当前操作系统的最大缺陷是不能判断运行的进程是否有害，因此无法制约或禁止有害进程（如病毒）的运行，从而也无法判断系统中的软件是否被篡改；操作系统的公布带来了不可估量的后果，如IBM公司为迅速占领微机市场，公布了IBM PC的DOS操作系统，以利于世界各地开发各种功能软件及外部设备与之配套，但也为有害的功能开发打开了方便之门，这是计算机病毒在微机领域内数量剧增、泛滥成灾的原因之一；计算机网络系统与数据库管理系统的宗旨是系统开放、资源共享、降低系统开发成本、提高信息处理效率，但也为信息的窃取和盗用，非法增、删、改及各种扰乱破坏提供了极为方便且难以控制的可乘之机；无错软件一直是软件开发中的一项重要指标和追求，软件自身的错误有可能对计算机系统造成危害；软件运行时，往往需要从外界获取一些基本数据，但又很难判断输入的数据是否合法，一旦接收到非法的数据或假数据，后果难以估量。

（2）对主机系统安全的威胁还表现在：

●　偶发性因素。如电源故障、设备的机能失常、软件开发过程中留下的某种漏洞或逻辑错误、软件的机能失常等。

●　主机产品受制于人。无论是硬件平台，还是操作系统、应用软件，可以说是美国公司产品的一统天下。这些产品是面向一般计算环境的，其设计的出发点是胜任功能的多样化、适应环境的灵活性和保证盈利的低投入，很难把安全总是摆到足够的位置上。使用这些产品，本身就面临风险。此外，从国家利益和安全角度着想，我们不能忘记这是别人的东西，许多隐藏其中的内幕我们没有也不可能搞清它。

●　自然灾害。计算机是一种易碎品，不能受重压或强烈的震动，更不能受强力冲击。所以各种自然灾害，如地震、风暴、泥石流、建筑物破坏等，对计算机系统构成了严重的威胁。此外，还要特别注意火灾、水灾、空气污染对计算机构成的威胁。

●　人为因素。一些不法之徒，利用计算机网络或潜入计算机房，通过篡改系统数据或窃用系统资源，非法获取数据和信息，窃取秘密倒卖获利，或破坏计算机系统，编制计算机病毒等。此外，还有管理不善，规章制度不健全，或有章不循、安全管理水平低、人员技术素质差、操作失误、渎职行为等，都会对主要系统造成威胁。

（3）非法入侵者还可以从以下几个方面入侵主机系统：

●　服务进程的漏洞和配置的错误。主机系统需要进行合理配置，才能提供良好的服务。如果管理人员对主机系统的了解不深或主机系统的服务进程本身存在漏洞，就为非法入侵者提供了访问主机系统的可能。

●　操作系统的漏洞。由于操作系统是一个软件系统，不可避免地会有这样或那样的漏洞，入侵者可利用这些漏洞对主机系统进行攻击，如计算机病毒。

●　操作系统的开放性。开放性是互联的先决条件，操作系统的开放性为非法入侵者提供了入侵条件。入侵者利用对操作系统的深入了解，寻找其薄弱环节，对操作系统进行攻击。

2.网络

网络是搭起信息系统的桥梁。网络的安全性是整个信息系统安全的主要环节，只有网络系统安全可靠，才能保证信息系统的安全可靠。网络系统也是非法入侵者主要攻击的目标。

开放分布或互联网络存在的不安全因素主要体现在以下几个方面：

一是协议的开放性。TCP/IP协议不提供安全保证，网络协议的开放性方便了网络互联，同时也为非法入侵者提供了方便。非法入侵者可以冒充合法用户进行破坏、篡改信息、窃取报文内容。

二是因特网主机上有不安全业务，如远程访问。许多数据信息是明文传输，明文传输既提供了方便，也为入侵者提供了窃取条件。入侵者可以利用网络分析工具实时窃取到网络上的各种信息，甚至可以获得主机系统网络设备的超级用户口令，从而轻易地进入系统。

三是因特网连接基于主机上社团的彼此信任，只要侵入一个社团，其他社团就可能受到攻击。

具体地讲，网络系统存在以下三方面的漏洞，这是网络安全的最大隐患。

（1）通信层漏洞。

在TCP/IP、路由器、集线器等环节都有漏洞存在。在TCP/IP上发现了100多种安全弱点或漏洞。如IP地址欺骗、TCP序号袭击、ICMP袭击、IP碎片袭击和UDP欺骗等，Modem也很容易被攻克。在几乎所有的UNIX实现的协议族中，存在着一个久为人知的漏洞，这个漏洞使得窃取TCP连接成为可能。当TCP连接正在建立时，服务器用一个含有初始序列号的回答报文来确认用户请求。这个序列号无特殊要求，只要是唯一的就可以了。客户端收到回答后，再对其确认一次，连接便建立了。TCP协议规范要求每秒更换序列号25万次。但大多数的UNIX的实现更换频率远小于此，而且下一个更换的数字往往是预知的。正是这种可预知服务器初始序列号的能力使得攻击可以完成，最安全的解决方法是用加密法产生初始序列号。

（2）操作系统的漏洞。

UNIX系统可执行文件目录如/bin/who，可由所有的用户进行读访问，这就违背了“最少特权”的原则。有些用户可以从可执行文件中得到其版本号，从而知道了它会具有什么样的漏洞。如通过Telnet就可知道SENDMAIL版本号。还有 一 些弱点是由配置文件、访问控制文件和缺省初始化文件产生的。如用来安装Sun OSVersion4的 软件，它创建了一个/rhosts文件，这个文件允许因特网上的任何人、从任何地方取得该主机的超级用户特权。

在Windows NT中，安全账户管理（SAM）数据库可以被以下用户所复制：Administrator账户，Administrator组中的所有成员，备份操作员、服务器操作员以及所有具有备份特权的人员。SAM数据库的一个备份拷贝能够被某些工具所利用来破解口令。NT在对用户进行身份验证时，只能达到加密RSA的水平。在这种情况下，甚至没有必要使用工具来猜测那些明文口令。能解码SAM数据库并能破解口令的工具有：PWDump和MTCrack。实 际 上，PWDump的作者还有另一个软件包——PWAudit，它可以跟踪由PWDump获取到的任何东西的内容。

（3）应用层漏洞。

各种应用软件、防火墙软件、Web Server应用软件、路由器软件等都隐含了很多漏洞，使黑客容易进入。如NT和Windows 95机上的所有浏览器，都有一个相似的弱点，对于一个HTML页上的超级链接，浏览器都首先假设该链接是指向本地机器上的一个文件。如果这台机器是一个SMB（指服务器消息块）服务器，它将随意发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说，是完全透明的，用户根本不知道发生了什么事情。

由于网络系统存在上述漏洞，网络经常遭到攻击。攻击者对网络信息系统攻击方式和手段大体是：信息收集，对系统的安全弱点探测，然后实施攻击。攻击方法主要有：

●　嗅探攻击（Sniffer）。包嗅探器既可以是软件，也可以是硬件，它通过使网络接口处于广播状态，从而可以截获网络上传输的内容。嗅探攻击意味着很高级别的危险，如果你的网络上被安装了一个嗅探器，就意味着你的网络被侵入了。

●　IP地址欺骗。这是伪造他人的源IP地址，其实质就是让一台机器来扮演另一台机器，以蒙混过关。几乎所有的电子欺骗都依赖于目标网络的信任关系，侵袭者利用伪造的IP发送地址，制造一些虚假的数据分组来充当内部工作站发送的分组。如果所用的防火墙系统是信息包过滤器，仅在输出端口过滤发送的分组，那么这种地址欺骗式的袭击是极其危险的。在成功地实施IP地址欺骗后，可以开始一系列的袭击。

●　发送邮件攻击。通过发送邮件可以实现病毒和有害程序的传播。由于电子邮件是二进制文件，它可以是许多有害攻击的载体。邮件炸弹是一个简单有效的侵扰工具，炸弹的攻击只是由反复传给目标接收者相同信息组成。它并不是很神秘的侵扰，而只是用信息垃圾充满个人的邮箱。从技术上讲，如果被攻击者缺少存储空间，邮箱会被充满，因此阻止了其他消息进入邮箱。

●　网络文件系统（NFS）攻击。NFS是SUN微系统开发的协议，目的在于可访问分布于网络中的任何文件。NFS应设置为文件仅面向本地主机模式。缺省配置时，NFS常允许任何主机至少可读文件。该方式能使任何节点访问整个文件系统，从而严重地破坏了系统的安全。为杜绝高级用户读、写文件系统权力的泄露，NFS采用所谓的“文件处理器”来完成客户与服务器的认证。该文件处理器针对每个目录与文件由随机产生器生成字符串，如果客户欲通过NFS访问一个新目录，需检查其主机名称以确定他是否有权访问。若有权，客户便会收到文件处理器的正确确认，即能访问所需目录。对根目录的访问权限专门由根文件处理器管理，具有根文件处理器就等于拥有对根目录访问的永久权。如果由标准RPC来管理NFS，文件处理器就有被窃取的危险。

●　网络信息服务（NIS）攻击。NIS用于将中央服务器的大量重要文件分散到各个客户，包括口令文件、主机地址表及安装RPC（远程过程调用）所用的密钥。除了偷窃者能掌握NIS发出的系统文件问题外，NIS客户也易遭到NIS服务器伪装者的破坏，原因是侵袭者可以伪装成NIS服务器向NIS客户提供虚假的口令与主机地址文件。在易遭袭击的系统中不能采用NIS，而且通常情况下只要可能也应尽量避免使用NIS。

●　扫描器攻击。在因特网安全领域，扫描器是最出名的破解工具。扫描器是自动检测远程或本地主机安全性弱点的程序，真正的扫描器是TCP端口扫描器，这种程序可以选择通过TCP/IP端口和服务，并记录目标的回答。通过这种方法，可以收集到关于目标主机的有用信息，它是“入侵者”和系统管理员发现网络安全漏洞的最常用的工具。

●　口令攻击。几乎所有多用户系统和网络系统都使用口令来限制未授权的访问，因此，破解口令就成了“入侵者”优先考虑的手段。口令攻击者往往采用不同的方法来捕捉口令，如：猜测口令、利用“Passwd”文件系统捕捉口令、利用嗅探程序滤出口令、用“特洛伊木马”来监视登录名和口令。

●　特洛伊木马。特洛伊木马是这样一种程序：它提供了一些有用的，或仅是有意思的功能。但是通常要做一些用户不希望的事，诸如在你不了解的情况下拷贝文件或窃取你的密码。它是一种能巧妙地躲过因特网安全机制的方法，没有其他的办法能像它这样破坏系统，也没有其他办法比它更加难以发现。

●　病毒和破坏性程序。与单机环境相比，网络系统具有通信功能，因而病毒的传播速度会更快，危害会更大。这就给病毒的检测防治带来了很大的困难。病毒可以通过电子邮件的附件潜入网络，而当你的用户漫游网络世界时，会不经意地把具有破坏性的Java和Active X程序带入家门。

随着中国信息化的发展，中国国际联网的安全威胁日益突出，而且带有明显的政治、经济、文化和技术等综合色彩。美国包括其他西方国家凭借在因特网上建立的信息优势和技术优势推行的信息霸权，对我国构成威胁。对中国国际联网的安全威胁主要表现在以下几个方面：

●　网络控制。美国基本上掌握了网络地址资源的控制权。美国国内网已成为事实上全球因特网的骨干网，网上全球通信的80％通过美国，美国国家安全局已在美国网络枢纽上设置了侦察监视阵地，开展情报和信息战工作。一些国家有能力在通信、计算机、武器系统和其他电子设备的关键部位和软件程序上嵌入逻辑控制程序，在必要时通过遥控手段使设备失灵。我国许多软、硬件从国外引进，这种隐患在某些情况下会变成现实威胁。

●　有害信息的渗透。境外敌对势力利用国际互联网向国内传播有损我国安全和稳定的反动信息。如诬蔑和攻击我国的现行政策，离间党和人民群众的关系，攻击中国人权政策，歪曲民族政策，煽动民族情绪，制造民族纠纷等。民族分裂势力、敌特分子、民运分子已经开始利用互联网开展活动，这对我国构成了现实威胁。

因特网超越了传统跨国界信息交流中的政治、经济、文化、语言的差异和隔阂，大大降低了不同国别、民族信仰的人们进行交流的限制。但是，因特网又是一个“无主管、无国境、无警察”的开放性网络，它也给各国保持政治独立和文化独特性制造了麻烦。对于非英语国家和发展中国家来说，使用因特网的用户更多的是接收信息。美国和西方国家通过因特网在政治和意识形态上的影响和渗透，已经引起了亚洲及其他发展中国家的警惕。

随着网络中多媒体信息、电子图书馆、电子出版物、远程教育课程的增加，通过网络的文化传播和渗透已成为一个重要手段。对于以信息接收为主的非英语国家和发展中国家来说，与全球网络的互联有可能造成对本国文化的冲击。美式英语是通用的网络语言，网上传播的是美国的商业文化和价值观念，包括域名登记在内的因特网运行规则迄今由美国控制，处处体现出美国的“网上霸权”。这说明，要在因特网上建立多元文化兼容的环境，真正实现网络的“世界化”，还是一个艰巨的任务。

另外，攻击者利用国际互联网传播吸毒、凶杀以及黄色淫秽等内容，毒害青少年学生和意志薄弱者。此类东西名目繁多，经常被发现，危害性大，且难以禁绝。此外，一些邪教组织开始侵入互联网，进行网上传教、设立网页、广纳年轻信徒。

他们还利用互联网传播虚假信息，使对手作出错误决策，甚至对对手的系统维护和操作人员进行心理和生理摧毁，造成对手网络瘫痪、人心涣散，达到摧垮对手的目的。中国因特网开通以来，已多次发生因用户恶意向网内发送大量信息垃圾，使网络阻塞、被迫停止运行，导致系统瘫痪的事件。主要表现在以下几个方面：

●　为获取情报非法访问。利用互联网冒充内部网的合法用户，闯入网络，再进行违法操作和种种破坏活动。此类威胁经常发生，造成的危害有大有小，后果难以预料。因特网的建立使得以往各国的保密信息纷纷在国际网络上亮相。据统计，现在世界上有大约60％以上的信息由因特网来传送。这就使得网络成为猎取政治、经济、商业、军事情报的重要阵地。于是，因特网成了间谍与反间谍的场所。美国中央情报局工作人员每天在网上漫游，获取军事、政治、外交和经济信息，然后加以分析、判断和归纳，变成了极有价值的情报，为美国国家利益服务。

●　隐埋恶意程序。利用互联网将恶意程序隐埋在可下载软件中，入侵内部网的正常系统。必要时，启动这些恶意程序，达到种种破坏目的。

●　破坏信息的完整性。利用互联网络，窃取对手之间或对手分支机构间的通信信息秘密；篡改跨接互联网络的数据，破坏其完整性，给对手带来危害。攻击者可以从三个方面破坏信息的完整性：一是篡改，即改变信息流的次序、时序、流向，更改信息的内容、形式；二是删除，即删除整个消息或消息的某些部分；三是插入，即在消息中插入一些信息，让接收方读不懂或接收错误的信息。

●　内部窃密和破坏。利用互联网，内外勾结，泄露内部秘密，或从事其他有害国家或社会利益的非法活动。内部人员可能对信息系统形成以下威胁：一是内部涉密人员有意或无意泄露、更改记录信息；二是内部非授权人员有意偷窃秘密信息、更改记录信息；三是内部人员破坏信息系统。

●　破坏系统的可用性。攻击者可能造成网络拒绝对合法用户提供正常服务。包括不怀好意者故意采用独占服务的方法，以及网络软硬件平台遭受恶意程序的侵害等。

●　截收、冒充、抵赖。所谓截收是指攻击者可能通过搭线或在电磁波辐射范围内安装截收装置等方式，截获秘密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推导出有用信息。这是针对信息网络的被动攻击方式，它不破坏传输信息的内容，不易被察觉。

攻击者可能进行冒充的主要有：冒充领导发布命令、调阅密件；冒充主机欺骗合法用户；冒充网络控制程序套取或修改使用权限、通行字、密钥等信息，越权使用网络设备和资源；接管合法用户，欺骗系统，占用合法用户的资源。攻击者还截收并录制信息，然后在必要的时候重发或反复发送这些信息，以达到冒充的目的。

互联网可能会出现以下若干抵赖行为：发信者事后否认曾经发送过某条消息，否认曾发送过某条消息的部分内容；收信者事后否认曾经收到过某条消息，否认曾收到过某条消息的部分内容。