【大学课件】信息安全技术系讲3.doc

《【大学课件】信息安全技术系讲3.doc》由会员分享，可在线阅读，更多相关《【大学课件】信息安全技术系讲3.doc（47页珍藏版）》请在三一办公上搜索。

1、第三讲: 网络信息安全与保密的威胁有哪些？ 网络信息安全与保密的威胁有:恶意攻击、安全缺陷、软件漏洞、结构隐患A:恶意攻击网络信息的安全与保密所面临的威胁来自很多方面，并且随着时间的变化而变化。这些威胁可以宏观地分为人为威胁和自然威胁。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络信息安全，影响信息的存储媒体。本讲座重点讨论人为威胁。此种威胁，通过攻击系统暴露的要害或弱点，使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成不可估量的经济和政治上损失。人为威胁又分为两种：一种是以操作失误为代表的无意威

2、胁（偶然事故），另一种是以计算机犯罪为代表的有意威胁（恶意攻击）。虽然人为的偶然事故没有明显的恶意企图和目的，但它会使信息受到严重破坏。最常见的偶然事故有：操作失误（未经允许使用、操作不当、误用存储媒体等）、意外损失（电力线路搭接、漏电、电焊火花干扰）、编程缺陷（经验不足、检查漏项、水平所限）、意外丢失（被盗、被非法复制、丢失媒体）、管理不善（维护不力、管理薄弱、纪律松懈）、无意破坏（犁地割线、无意损坏）。人为的恶意攻击是有目的破坏。恶意攻击可以分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息（如：修改、删除、伪造、添加、重放、乱序、冒充、病毒等）。被动攻击是指在不干扰网络信息系

3、统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。由于人为恶意攻击主要来自有明显企图，其危害性相当大，给国家安全、知识产权和个人信息带来巨大的威胁。人为恶意攻击具有以下特性：智能性：从事恶意攻击的人员大都具有相当高的专业技术和熟练的操作技能。他们的文化程度高，许多人都是具有一定社会地位的部门业务主管。他们在攻击前都经过了周密的预谋和精心策划。 严重性：涉及到金融资产的网络信息系统恶意攻击，往往会由于资金损失巨大，而使金融机构、企业蒙受重大损失，甚至破产。同时，也给社会稳定带来震荡。如美国资产融资公司计算机欺诈案，涉及金额20亿美元之巨，犯罪影响震荡全美。在我国也发生数起

4、计算机盗窃案，金额在数万到数百万人民币，给国家金融资产带来严重损失。 隐蔽性：人为恶意攻击的隐蔽性很强，不易引起怀疑，作案的技术难度大。一般情况下，其犯罪的证据，存在于软件的数据和信息资料之中，若无专业知识很难获取侦破证据。相反，犯罪行为人却可以很容易地毁灭证据。计算机犯罪的现场也不象是传统犯罪现场那样明显。多样性：随着计算机互联网的迅速发展，网络信息系统中的恶意攻击也随之发展变化。出于经济利益的巨大诱惑，近年来，各种恶意攻击主要集中于电子商务和电子金融领域。攻击手段日新月异，新的攻击目标包括偷税漏税、利用自动结算系统洗钱以及在网络上进行盈利性的商业间谍活动，等等。国际互联网上以人为恶意攻击为

5、代表的高技术犯罪的另一大发展趋势是网络犯罪集团化。由于网络上的安全机制不断加强，今后的网络犯罪将需要比今天高得多的技术力量，这种客观要求加上网络上日益增长的经济利益将诱使计算机犯罪集团尤其是跨国犯罪集团将黑手伸向网络信系统。届时，传统犯罪活动和网络犯罪的融合将对各国司法当局和国际反犯罪机构提出更大的挑战。下面简要介绍一些有代表性的恶意攻击。信息战：这是一种以获得制信息权为目标的无硝烟的战争。信息战可以说是一种国家行为的恶意攻击。信息战的攻击目标包括各种军事命令、通信系统、能源、运输和金融等与国家的政治、经济、文化密切相关的系统。在和平时期，信息战处于绝对隐蔽状态。但是，一旦战争爆发，信息战将出

6、其不意地发挥出巨大的破坏力。美军在伊拉克实施的“沙漠风暴”战争便是典型的信息战例。商业间谍：利用国际联网收集别国的重要商业情报，其目标是获得有价值的信息、能力、技术和对自身有利的谈判地位。在多数情况下，商业间谍属于一种集团行为的恶意攻击。除了以信息战为代表的国家行为恶意攻击和以商业间谍为代表的集团行为恶意攻击之外，还有众多的个人行为或者小团体行为的恶意攻击。此类恶意攻击数量巨大，目的复杂。有的恶意攻击者来自窃贼、骗子、敲诈、毒犯、犯罪组织成员和其它有犯罪行为的人。有的恶意攻击者来自黑客、恶意竞争者、以怀不满的工作人员、个人仇敌等。此类恶意攻击的典型代表有：窃听：在广播式网络信息系统中，每个节点

7、都能读取网上的数据。对广播网络的基带同轴电缆或双绞线进行搭线窃听是很容易的，安装通信监视器和读取网上的信息也很容易。网络体系结构允许监视器接收网上传输的所有数据帧而不考虑帧的传输目的地址，这种特性使得偷听网上的数据或非授权访问很容易且不易被发现。流量分析：它能通过对网上信息流的观察和分析推断出网上的数据信息，比如有无传输、传输的数量、方向、频率等。因为网络信息系统的所有节点都能访问全网，所以流量的分析易于完成。由于报头信息不能被加密，所以即使对数据进行了加密处理，也有以进行有效的流量分析。破坏完整性：有意或无意地修改或破坏信息系统，或者在非授权和不能监测的方式下对数据进行修改。重发：重发是重复

8、一份报文或报文的一部分，以便产生一个被授权效果。当节点拷贝发到其他节点的报文并在其后重发他们时，如果不能监测重发，节点依据此报文的内容接受某些操作，例如报文的内容是关闭网络的命令，则将会出现严重的后果。假冒：当一个实体假扮成另一个实体时，就发生了假冒。一个非授权节点，或一个不被信任的、有危险的授权节点都能冒充一个授权节点，而且不会有多大困难。很多网络适配器都允许网帧的源地址由节点自己来选取或改变，这就使冒充变得较为容易。拒绝服务：当一个授权实体不能获得对网络资源的访问或当紧急操作被推迟时，就发生了拒绝服务。拒绝服务可能由网络部件的物理损坏而引起，也可能由使用不正确的网络协议而引起（如，传输了错

9、误的信号或在不适当的时候发出了信号），也可能由超载而引起。资源的非授权使用：即与所定义的安全策略不一致的使用。因常规技术不能限制节点收发信息，也不能限制节点侦听数据，一个合法节点能访问网络上的所有数据和资源。干扰：干扰是由一个节点产生数据来扰乱提供给其他节点的服务。干扰也能由一个已经损坏的并还在继续传送报文的节点所引起，或由一个已经被故意改变成具有此效果的节点所引起。频繁的令人讨厌的电子邮件信息是最典型的干扰形式之一。病毒：目前，全世界已经发现了上万种计算机病毒。它们的类型及数量大体为：DOS型1000011000种、 Windows型12种、UNIX型6种、宏病毒200余种、Macitoch

10、型35种、和众多的E-mail病毒。计算机病毒的数量已有了相当的规模，并且新的病毒还在不断出现。比如，最近保加利亚计算机专家迈克埃文杰制造出了一种计算机病毒“变换器”，它可以设计出新的更难发现的“多变形”病毒。该病毒具有类似神经网络细胞式的自我变异功能，在一定的条件下，病毒程序可以无限制的衍生出各种各样的变种病毒。随着计算机技术的不断发展和人们对计算机系统和网络依赖程度的增加，计算机病毒已经构成了对计算机系统和网络的严重威胁。诽谤：利用网络信息系统的广泛互联性和匿名性，散布错误的消息以达到诋毁某人或某公司形象和知名度的目的。 B:安全缺陷假如网络信息系统本身没有任何安全缺陷，那么恶意攻击者即使

11、再有天大的本事也不能对网络信息安全和保密构成威胁。但是，遗憾的是现在所有的网络信息系统都不可避免地存在着这样或那样的安全缺陷。有些安全缺陷是可以通过人为努力加以避免或者改进，但有些安全缺陷则是各种折衷所必须付出的代价。普遍存在的安全缺陷:网络信息系统是计算机技术和通信技术的结合。计算机系统的安全缺陷和通信链路的安全缺陷构成了网络信息系统的潜在安全缺陷。计算机硬件资源易受自然灾害和人为破坏；软件资源和数据信息易受计算机病毒的侵扰，非授权用户的复制、篡改和毁坏。计算机硬件工作时的电磁辐射以及软硬件的自然失效、外界电磁干扰等均会影响计算机的正常工作。通信链路易受自然灾害和人为破坏。采用主动攻击和被动

12、攻击可以窃听通信链路的信息并非法进入计算机网络获取有关敏感性重要信息。网络信息系统的安全缺陷通常包括物理网络的安全缺陷、过程网络的安全缺陷以及通信链路安全缺陷三种。一些普遍存在的安全缺陷、安全问题和安全脆弱性包括： 网络的规模：网络的规模越大，通信链路越长，则网络的脆弱性和安全问题也随之增加。网络用户数量的增加，网络的安全性威胁也随之增加。在大规模的网络信息系统中，由于终端分布的广泛性和地理位置的不同，网络分布在几百至上千公里的范围内，通常用有线信道（同轴电缆、架空明线或光缆等）和无线信道（卫星信道、微波干线等）来作为通信链路。对有线信道而言，分布式网络易受自然和人为破坏，非授权用户可以通过搭

13、线窃听攻击侵入网内获得有关重要信息，甚至可以插入、删除信息。由于串音和电磁辐射，导致网络信噪比下降，误码率增加，信息的安全性、完整性和可用性受到威胁。无线信道的安全脆弱性更加显而易见，被动攻击几乎不可避免。电磁辐射和电磁泄漏：计算机及其外围设备在进行信息处理时会产生电磁泄漏，即电磁辐射。电磁辐射分辐射发射和传导发射两种。当计算机设备在进行数据处理和传输时，各种高频脉冲通过各种电器元件和分布参数的耦合、调制、迭加成一个包含有用信息的频带信号，由电源线、电缆和电话线等通信链路传导出去造成信息泄漏。而当各种高频脉冲通过电路元件（电阻、电容、集成电路片等）传导时，又会向空中以电磁波的形式辐射信息，从而

14、导致信息泄漏。在计算机中，以视屏显示器的辐射发射最为严重。由于计算机网络传输媒介的多样性和网内设备分布的广泛性，使得电磁辐射造成信息泄漏的问题变得十分严重。国外一些发达国家研制的设备能在一公里以外收集计算机站的电磁辐射信息，并且能区分不同计算机终端的信息。因此，电磁辐射已对网络信息的安全与保密构成严重威胁。搭线：现行计算机网络的传输媒介主要是同轴电缆和现有电话线路等，这为搭线窃听提供了可能。搭线窃听的手段主要有两种：其一，利用磁记录设备或计算机终端从信道中截获有关计算机信息，然后对记录信息进行加工、综合、分析，提取有用信息；其二，搭线者不仅截获有关信息，而且试图更改、延迟被传送的信息，从而造成

15、更大的威胁。例如，在具有现金分配能力的自动出纳机（ATM）中，前者可以使攻击者获得为冒充合法用户所必需的信息（个人识别符、PASSWORD等），而后者则可以使攻击者能够插入未经认可的报文以非法手段获取资金。串音：在有线通信链路中（光纤除外），由于电磁泄漏和信道间寄生参数的交叉耦合，当一个信道进行信息传送时，会在另一个或多个相邻信道感应出信号或噪声即串音。串音也可能由网络交换中心产生。串音不但使网络内的噪声增加，传输的信息发生畸变，而且会引起传导泄漏，对信息保密构成威胁。中国特色的安全缺陷:中国是一个发展中国家。我们的网络信息安全系统除了具有上述普遍存在的安全缺陷之外，还具有其它一些独具特色的安

16、全缺陷。比如：由技术被动性引起的安全缺陷：首先，我们的芯片基本依赖于进口，即使是自己开发的芯片也需要到国外加工。只有当我国的半导体和微电子技术取得突破性进展之后，才能从根本摆脱这种受制于人的状态。其次，为了缩小与世界先进水平的差距，我国引进了不少外国设备，但这也同时带来了不可轻视的安全缺陷。比如，大部分引进设备都不转让知识产权，我们很难获得完整的技术档案。这就为今后的扩容、升级和维护带来了麻烦。更可怕的是，有些引进设备可能在出厂时就隐藏了恶意的“定时炸弹”或者“后门”。在非和平时期，这些预设的“机关”有可能对我们的网络信息安全与保密构成致使的打击。再者，新技术的引入也可能带来安全问题。攻击者可

17、能用现有的技术去研究新技术发现新技术的脆弱点。引入新技术时，并不都有合适的安全特性。尤其是在安全问题还没有被认识，没有被解决之前，产品就进入市场，情况就更严重。当前，高新技术的发展十分迅速，有些安全措施没过多久就会变得过时，若没有及时发现有关的安全缺陷，就有可能形成严重的安全隐患。人员素质问题引起的安全缺陷：法律靠人去执行，管理靠人去实现，技术靠人去掌握。人是各个安全环节中最重要的因素。全面提高人员的道德品质和技术水平是网络信息安全与保密的最重要保证。当前，信息网络的规模在不断扩大，技术在不断更新，新业务在不断涌现，这就要求职工不断地学习，不断地提高其技术和业务水平。另外，思想品德的教育也是十

18、分重要的，因为大部分安全事件都是由思想素质有问题的内部人员引起的。缺乏系统的安全标准所引起的安全缺陷：国际电联和国际标准化组织都在安全标准体系的制定方面作了大量的工作。我们也应该结合国内具体情况制定自己的标准，并逐渐形成系列，把我国的网络信息安全与保密提高到一个新水平。缺乏安全标准不但会造成管理上的混乱，而且也会使攻击者更容易得手。此外，我国加入WTO也会使我们的网络信息系统更加开放，当然也就会引发更多的“黑客”事件。对此，我们应该有足够的思想准备和技术措施。 C:软件漏洞 网络信息系统由硬件和软件组成。由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中很容易有意或无意地留下一些不易被

19、发现的安全漏洞。软件漏洞显然会影响网络信息的安全与保密。下面介绍一些有代表性的软件安全漏洞。陷门与防范:所谓陷门是一个程序模块的秘密的未记入文档的入口。一般陷门是在程序开发时插入的一小段程序，其目的是测试这个模块或是为了连接将来的更改和升级程序或者是为了将来发生故障后，为程序员提供方便等合法用途。通常在程序开发后期将去掉这些陷门。但是由于各种有意或无意的原因，陷门也可能被保留下来。陷门一旦被原来的程序员利用，或者被无意或有意的人发现将会带来严重的安全后果。比如，可能利用陷门在程序中建立隐蔽通道，甚至植入一些隐蔽的病毒程序等。非法利用陷门可以使得原来相互隔离的网络信息形成某种隐蔽的关联，进而可以

20、非法访问网络，达到窃取、更改、伪造和破坏的目的，甚至有可能造成网络信息系统的大面积瘫痪。下面介绍几个常见的陷门实例： 逻辑炸弹：在网络软件（比如程控交换机的软件中）可以预留隐蔽的对日期敏感的定时炸弹。在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成死机甚至网络瘫痪。 遥控旁路：某国向我国出口的一种传真机，其软件可以通过遥控将加密接口旁路，从而失去加密功能，造成信息泄露。 远程维护：某些通信设备（比如数字程控交换机）具有一种远程维护功能，即可以通过远程终端，由公开预留的接口进入系统完成维护检修功能；甚至可以实现国外厂家的维护人员在其本部的终端上对国内进口

21、的设备进行远程维护。这种功能在带来明显的维护管理便利的同时，当然也带来了一种潜在的威胁。在特定情况下，也可以形成潜在的攻击。非法通信：某些程控交换机具有单向监听功能，即由特许用户，利用自身的话机拨号，可以监听任意通话双方的话音而不会被发现。这本是一种合法的监听。但是，从技术上来说，这也可以实现隐蔽的非法通信。比如，攻击者可以利用主动呼叫，收方不用摘机，由随机数激活收方的专用设备并从约90秒的回铃音的时隙内将情报信息传至发方。整个通信过程隐蔽，没有计费话单，不易被发现。贪婪程序：一般程序都有一定的执行时限，如果程序被有意或错误地更改为贪婪程序和循环程序，或被植入某些病毒（比如，蠕虫病毒），那么此

22、程序将会长期占用机时，造成意外阻塞，使合法用户被排挤在外不能得到服务。对付陷门的方法可以归纳为：（1）加强程序开发阶段的安全控制，防止有意破坏并改善软件的可靠性。比如，采用先进的软件工程进行对等检查、模块结构、封装和信息隐藏、独立测试和程序正确性证明以及配置管理等。（2）在程序的使用过程中实行科学的安全控制。比如，利用信息分割限制恶意程序和病毒的扩散；利用审计日志跟踪入侵者和事故状态，促进程序间信息的安全共享。 （3）制定规范的软件开发标准，加强管理，对相关人员的职责进行有效监督，改善软件的可用性和可维护性。操作系统的安全漏洞与防范:操作系统是硬件和软件应用程序之间接口的程序模块，它是整个网络

23、信息系统的核心控制软件，系统的安全体现在整个操作系统之中。对一个设计上不够安全的操作系统，事后采用增加安全特性或打补丁的办法是一项很艰巨的任务，特别是对引进的国外设备，在没有详细技术资料的情况下，其工作更加复杂。操作系统的主要功能包括：进程控制和调度、信息处理、存储器管理、文件管理、输入/输出管理、资源管理、时间管理等。操作系统的安全是深层次的安全，主要的安全功能包括：存储器保护（限定存储区和地址重定位，保护存储的信息）、文件保护（保护用户和系统文件，防止非授权用户访问）、访问控制、用户认证（识别请求访问的用户权限和身份）。操作系统的安全漏洞主要有：输入/输出（I/O）非法访问：在某些操作系统

24、中，一旦I/O操作被检查通过之后，该操作系统就继续执行下去而不再检查，从而造成后续操作的非法访问。某些操作系统使用公共的系统缓冲区，任何用户都可以搜索这个缓冲区，如果此缓冲区没有严格的安全措施，那么其中的机密信息（用户的认证数据、身份识别号、口令等）就有可能被泄露。访问控制的混乱：安全访问强调隔离和保护措施，但是资源共享则要求公开和开放。这是一对矛盾，如果在设计操作系统时没能够处理好这两者之间的关系，那么就可能可能会出现因为界限不清造成操作系统的安全问题。不完全的中介：完全的中介必须检查每次访问请求以进行适当的审批。而某些操作系统省略了必要的安全保护。比如，仅检查一次访问或没有全面实施保护机制

25、。操作系统陷门： 某些操作系统为了安装其它公司的软件包而保留了一种特殊的管理程序功能。尽管此管理功能的调用需要以特权方式进行，但是并未受到严密的监控，缺乏必要的认证和访问权的限制，有可能被用于安全访问控制，从而形成操作系统陷门。由于国内网络主机一般以UNIX为操作系统，所以下面对此作一专门介绍。UNIX历经几次更新换代，其功能和安全性日趋完善。但即便如此，网络黑客仍可以利用一些鲜为人知的漏洞，攻入系统，进行形形色色的活动。在安装UNIX时，有一些系统在缺省状态下，会自动建立一些帐户，例如guest等。由于这些帐户都有一个约定俗成的口令，因此若网络系统管理员忽视了它的存在，则任何人都可以大摇大摆

26、的进入该主机。与此类似，还有一种系统缺省建立的帐户，如shutdown、sync。这种帐户一般是为了执行一个相关命令，所以并不设口令。其UID（用户身份证）多与系统管理员的相同，故与系统管理员具有同样的权限。一个网络黑客可以冒充利用这种帐户，来取得系统管理员的权限。而且从技术角度来讲，这并不困难。 在UNIX系统内，有些文件与目录对整个系统的安全运转具有举足轻重的作用，如：目录/etc、/usr、/bin、/mail、/usr/spool、/usr/etc等，文件/.*、/etc/*、/bin/*等。此外，还有两个与日志有关的文件：/etc/adm/sulog和/usr/adm/syslog。

27、这些文件的受损，将给网络系统的安全与信息的保密带来严重威胁。 在UNIX环境下还存在着两种特殊的命令程序，即Suid和Guid。其主要特点是：执行Suid的帐户会在本程序终止前拥有与该程序的所有者相同的UID；与此类似，执行Guid的帐户会在本程序结束前拥有与该程序的所有者相同的GID。因为在UNIX系统中，检查用户权限的唯一根据就是帐户的UID与GID，所以这两种程序成为网络黑客的有利工具。黑客们曾经利用Suid与Guid制造了许多入侵事件，特别是针对超级用户的程序。为了建立安全的操作系统，首先必须构造操作系统的安全模型（单级安全模型、多级安全模型、系统流模型等）和不同的实施方法。其次应该采

28、用诸如隔离、核化（最小特权等）和环结构（开放设计和完全中介）等安全科学的操作系统设计方法。再者，还需要建立和完善操作系统的评估标准、评价方法和测试质量。数据库的安全漏洞与防范:数据库是从操作系统的文件系统基本上派生出来的用于大量数据的管理系统。数据库的全部数据都记录在存储媒体上，并由数据库管理系统(DBMS)统一管理。DBMS为用户及应用程序提供一种访问数据的方法，并且对数据库进行组织和管理，并对数据库进行维护和恢复。数据库系统的安全策略，部分由操作系统来完成，部分由强化DBMS自身安全措施来完成。数据库系统存放的数据往往比计算机系统本身的价值大得多，必须加以特别保护。 从操作系统的角度看,D

29、BMS是一种应用程序而数据库是一种数据文件。为了防止数据库中的数据受到物理破坏而不能恢复原来的系统,应当对数据库系统采取定期备份所有文件的方法来保护系统的完整性。 DBMS是在操作系统的基础之上运行的应用程序,是为多个用户共享的应用软件。因此，不能允许它具有任何通向操作系统的可信途径。DBMS必须具有独立的用户身份鉴别机制,以便构成一种双重保护。有时还可以对使用数据库的时间甚至地点加以限制，甚至要求用户只能在指定时间指定终端上对数据库系统进行指定的操作。有些数据库将原始数据以明文形式存储于数据库中，这是不够安全的。实际上，高明的入侵者可以从计算机系统的内存中导出所需的信息,或者采用某种方式打入

30、系统,从系统的后备存储器上窃取数据或篡改数据。因此，必要时应该对存储数据进行加密保护。数据库的加密应该采用独特的加密方法和密钥管理方法，因为数据的生命周期一般较长,密钥的保存时间也相应较长。TCP/IP协议的安全漏洞与防范:协议是两个或多个参与者为完成某种任务或功能而采取的一系列有序步骤。在网络信息系统中，协议使得不了解的双方能够相互配合并保证公平性。协议可以为通信者建立、维护和解除通讯联系，实现不同机型互连的共同约定。协议的基本特点是：预先建立（在使用前事先设计好）、相互约定（协议的所有参加者要约定按顺序执行的步骤）、无歧义（不应使参加者由于误解而不能执行其步骤）、完备的（对每一种可能发生的

31、情况都有预防措施）。通信网的运行机制基于通信协议。不同节点之间的信息交换按照事先约定的固定机制，通过协议数据单元来完成。对每个节点来说，所谓通信只是对接收到的一系列协议数据单元产生响应，而对从网上来到的信息真实性或从节点发给网中其他节点的真实性均无法提供保证。高速信息网在技术上以传统电信网为基础，通过改革传输协议发展而来的，因此，各种传输协议之间的不一致性，也会大大影响信息的安全质量。TCP/IP协议是90年代以来发展最为迅速的网络协议。目前，TCP/IP协议在英特网上一统天下。正是由于它的广泛使用性，使得TCP/IP的任何安全漏洞都会产生巨大的影响。由于TCP/IP技术是面向数据通信的，因而

32、它是无连接的网络，数据信息包穿过传输网时并不采用特定的路由，所以TCP/IP技术并不能向终端应用提供保证的QoS（服务管理质量）。尽管TCP/IP技术在网络方面取得了巨大的成功，但也越来越暴露出它的不足之处。TCP/IP通信协议，在设计初期并没有考虑到安全性问题，而且用户和网络管理员没有足够的精力专注于网络安全控制，加上操作系统和应用程序越来越复杂，开发人员不可能测试出所有的安全漏洞，连接到网络上的计算机系统就可能受到外界的恶意攻击和窃取。在异种机型间资源共享的背后，是即令黑客心动，又让网络安全专家头痛的一个又一个的漏洞和缺陷：脆弱的认证机制、容易被窃听或监视、易受欺骗、有缺陷的LAN服务和相

33、互信任的主机、复杂的设置和控制、基于主机的安全不易扩展、IP地址的不保密性等。为了尽可能地解决TCP/IP的安全问题，INTERNET的技术管理机构IETF（INTERNET工程任务组）研究了一种新版本IP协议，称为Ipv6。新的IP协议地址长度由现在的32位扩展到128位；增加了安全机制，重点从鉴别和保密两个方面制定了一系列标准，以支持21世纪的应用。1995年8月，IETF发表了五个与安全相关的标准来定义INTERNET的安全功能。这五个标准是：RFC 1825 （安全体系结构综述）、RFC 1826 （分组鉴别扩展到IP的描述）、 RFC 1827 （分组加密扩展到IP的描述）、RFC

34、1828 （专用鉴别机制）、RFC 1829 （专用加密机制）。Ipv6强制性地支持这些安全标准。其安全特性主要在IP信元头后面的扩展元头中实现。用于鉴别的扩展信元头叫做鉴别信元头。用于保密的扩展信元头叫做密封保密负载信元头。此外，国际上一些公司还相继提出了许多安全协议。比如：SSL：它是TCP/IP协议族的安全套接层协议；S-HTTP：它是安全超文本传输协议，是对HTTP的一种扩展，在应用层上工作，可允许用户在任何报文上进行数字签名；SEEP：安全电子支付协议；SET：安全电子交易协议；IKP：INTERNET密钥控制支付协议。网络软件与网络服务的漏洞:比较常见的网络软件与网络服务漏洞有：

35、Finger的漏洞。在TCP/IP协议中，Finger只需一个IP地址便可以提供许多关于主机的信息，比如：谁正在登录、登录时间、登录地点等。对于一个训练有素的网络黑客来讲，Finger无疑是其进入目标主机的一把利器。因为若知道网络用户名，也就等于入侵成功了一半。匿名FTP。匿名FTP是英特网服务商的一项重要的服务，它允许任何网络用户通过FTP访问系统上的软件。而不正确的配置将严重威胁系统的安全。FTP虽然是一个合法的帐户，但它不应该具有可工作的Shell。所以它在主机的口令文件中的帐户信息应是：ftp:*: 400:400: Anonymous Ftp:/home/ftp:/bin/false

36、， 还应该保证Ftp的主目录权限为0555；ftp/bin、ftp/etc的权限是111；ftp/etc/*的权限是0444；/usr/spool/mail/ftp的权限是0400。任何以Ftp登录到系统的用户都不应该具有创建文件和目录的权限，因为黑客完全可以在一个具有写权限的目录内设置一个“特洛依木马”，静静的等待用户或网络管理员上钩。TFTP是一个相当危险的文件传输服务，由于它根本不作登录与控制审查，任何人可以通过该命令取走服务器上的具有读权限的文件。远程登录。在大型网络环境下，远程登录可以给用户带来很大方便，但在方便的背后却潜藏着一个很大的安全危机。在网络上运行诸如rlogin、rcpr

37、exec等远程命令时，由于要跨越一些网络的传输口令，而TCP/IP对所传输的信息又不进行加密，所以，网络黑客只要在所攻击的目标主机的IP包所经过的一条路由上运行“嗅探器”的程序，就可以截取目标口令。根据有关资料，目前黑客所用的“嗅探器”程序，在24小时之内便可以捕捉到千余条口令。所以，远程登录将给网络黑客提供便利的入侵机会，给网络安全和信息保密带来很大威胁。此外，TCP/IP网络中的echo、systat、netstat、bootp、udp、tftp、link、supdup、sunprc、news、snmp、xdmcp、exec、login、shell、printer、biff、who、sys

38、log、uucp、route、openwin、NFS、X11等服务被认为是不安全的，尤其是那些依赖于入呼叫包的UDP的服务。电子邮件。电子邮件是当今网络上使用最多的一项服务，因此，通过电子邮件来攻击一个系统是网络黑客们的拿手好戏。曾经名噪一时的莫里斯“蠕虫”病毒，正是利用了电子邮件的漏洞在英特网上疯狂传播。对于一个国内网络用户，尤其是商业用户，最担心的莫过于电子邮件的安全和保密。在计算机网络中最容易被窃的就是电子邮件的信息。尽管电子邮件的传输仅仅是几分钟的事情，但它所经过的传输过程却十分复杂：首先，在电子邮件服务器上，将使用者的电子邮件“打包”（即将使用者的电子邮件转化成一组组二进制代码，以便

39、于网络传输），该邮件服务器被称为SMTP服务器，专用于发送电子邮件，它遵守的是SMTP协议（即：简单邮件传输协议）；然后，由于电子邮件服务器主机与收信人的电子邮件服务器主机并不一定是连接在一起的，其中必然要经过许多网络主机，这些网络主机将电子邮件信息暂时存贮，并寻找通向收信人主机的最佳途径；最后，电子邮件到达收信人主机，再转换成收信人主机所能识别的计算机信息。收信人主机被称为POP服务器，它遵从POP协议（即：邮局协议）。电子邮件的发送要经过许多中转主机节点。在每个节点邮件将被临时存贮，直到线路畅通，才会沿最佳路径向下一个主机节点传送。电子邮件这种犹如明信片慢件一样一件件的接力传递方式，每经过

40、一个节点就多了一次被黑客们截取信息的机会。实际上，网络黑客最简单的偷窃电子邮件的手段就是偷取网络用户的用户密码。而且这对网络黑客来说是比较容易。SMTP和POP3是与电子邮件有关的两个服务，分别负责电子邮件的发送与接收，Sendmail程序是电子邮件的核心程序。Sendmail的版本越低，其安全漏洞就越多。电子邮件给网络所带来的另一个安全问题是E-mail计算机病毒。上述已提到过莫里斯“蠕虫”病毒，正是利用E-mail来进行广泛传播的。目前，除“蠕虫”病毒之外，电子邮件所附带的文档如Lotus、Excel电子数据表文件，特别是Microsoft的Word文件等都可能带有病毒。比如，前不久发现了

41、一种利用电子邮件传播的计算机Word宏病毒，它首先感染病毒源机的所有Word文档，并在计算机上查找使用者的电子邮件通讯录，随机地选取三个地址自动发出三封电子邮件，到达目标主机后检查计算机是否被传染，若无，则侵入计算机以同样方式感染计算机并传播病毒。 口令设置的漏洞: 口令是网络信息系统中最常用的安全与保密措施之一。如果用户采用了适当的口令，那么他的信息系统安全性将得到大力加强。但是，实际上网络用户中谨慎设置口令的用户却很少。这对计算机内信息的安全保护带来了很大的隐患。曾有人在英特网上选择了几个网点，用字典攻击法在给出用户名的条件下，测出70的用户口令只用了三十多分钟，80用了两小时，83用了4

42、8小时。 网络信息系统的设计安全性再强，如果用户选择的口令不当，仍然存在被破坏的危险。用户对口令的选择，存在着以下几个误区：误区之一：用“姓名数字”作口令，许多用户用自己或与自己有关的人的姓名再加上其中某人的生日等作口令。误区之二：用单个的单词或操作系统（如：DOS等）的命令作口令。待添加的隐藏文字内容1误区之三：多个主机用同一个口令，将导致一个主机口令被窃会影响多台主机的安全。误区之四：只使用一些小写字母作为口令，这样使字典攻击法攻破的概率大增。以上四个口令设置的误区，将给信息保密与网络安全带来隐患，网络用户和管理员应切实注意自己的口令设置，给网络黑客以难逞之机。D:结构隐患网络拓扑结构的安

43、全缺陷:拓扑逻辑是构成网络的结构方式，是连接在地理位置上分散的各个节点的几何逻辑方式。拓扑逻辑决定了网络的工作原理及网络信息的传输方法。一旦网络的拓扑逻辑被选定，必定要选择一种适合这种拓扑逻辑的工作方式与信息的传输方式。如果这种选择和配置不当，将为网络安全埋下隐患。事实上，网络的拓扑结构本身就有可能给网络的安全带来问题。常见的网络拓扑结构有总线型结构、星形结构、环形结构及网状结构和树形结构等。在实际应用中，通常是它们的混合形式，而非单一的拓扑结构。下面对各种拓扑结构在安全方面的优缺点作一简要介绍。总线型拓扑结构: 网络的总线型结构是将所有的网络工作站或网络设备连接在同一物理介质上，每个设备直接

44、连接在通常所指的主干电缆上，主干连接所有网络设备与其它网络相连。由于总线型结构连接简单，增加和删除结点较为灵活，国内企业所建的网络系统大多是都采用总线型拓扑结构。但是总线型拓扑结构存在如下几个安全缺陷：故障诊断困难。虽然总线型结构简单，可靠性高，但故障检测却很困难。因为总线型结构的网络不是集中控制，故障检测需要在整个网络上的各个站点进行，必须断开再连接设备以确定故障是否由某一特殊界面卡引起，而且由于一束电缆连接着所有设备电缆，故障的排除也显得较为困难。故障隔离困难。对总线型拓扑，如故障发生在站点，则只需将该站点从网络上除掉；如故障发生在传输介质上，在整个这段总线要被切断。中继器配置。中继器具有

45、单方向的传输能力，即由一条链路上接收数据后不加缓冲地以同样的速率沿另一条链路传输出去，使得网络上的数据以一定的方向沿着网络链路传输。在总线的干线基础上扩充，可采用中继器，需重新配置，包括电缆长度的剪裁，终端器的调整等。终端必须是智能的：总线上一般不设有控制网络的设备，每个节点按竞争方式发送数据，难免会给总线上的信息带来冲突，因而连接在总线上的站点要有介质访问控制功能，这就要求必须具有智能。 星型拓扑结构: 星型拓扑结构是由中央节点和通过点到点链路接到中央节点的各站点组成。星型拓扑如同电话网一样，将所有设备连接到一个中心点上，中央节点设备常被称为转接器、集中器或中继器。 星型拓扑结构主要有如下缺

46、陷：电缆的长度和安装。因为每个站点直接和中央节点相连，需要大量的电缆，电缆沟、维护、安装等都存在着问题。扩展困难。要增加新的网点，就要增加到中央节点的连接，这需要事先设置好大量的冗余电缆。对中央节点的依赖性太大。如果中央节点出现故障，则会成为致命性的事故，可能会导致大面积的网络瘫痪。除此之外，星型拓扑结构网络的另一大隐患是：大量的数据处理要靠中央节点来完成，因而会造成中央节点负荷过重，结构较复杂，容易出现“瓶颈”现象，系统安全性较差。 环形拓扑结构: 这种拓扑结构的网络由一些中继器和连接中继器的点到点链路组成一个闭合环。每个中继器与两条链路连接，每个站点都通过一个中继器连接到网络上，数据以分组

47、的形式发送。由于多个设备共享一个环路，因此需对网络进行控制。 环形拓扑结构主要有如下几个缺陷：节点的故障将会引起全网的故障。在环上数据传输通过了接在环上的每一个节点，如果环上某一节点出现故障，将会引起全网的故障。诊断故障困难。因为某一节点故障会引起全网不工作，因此难以诊断故障，需要对每个节点进行检测。不易重新配置网络。要扩充环的配置较困难，同样要关掉一部分已接入网的节点也不容易。环型拓扑结构影响访问协议。环上每个节点接到数据后，要负责将之发送到环上，这意味着同时要考虑访问控制协议。节点发送数据前，必须知道传输介质对它是可用的。 树形拓扑结构: 树形拓扑结构是从总线型拓扑演变而来的，形状象一棵倒

48、置的树。通常采用同轴电缆作为传输介质，且使用宽带传输技术。当节点发送信号时，根节点接收此信号，然后再重新广播发送到全网。 树形结构的主要缺陷是对根节点的依赖性太大，如果根节点发生故障，则全网不能正常工作，因此该种结构的可靠性与星型结构类似。网络硬件的安全缺陷:作为网络信息系统的躯体，网络硬件的安全隐患也是网络结构缺陷的重要方面。下面对常用网络硬件设备的安全隐患作一简要介绍：网桥的安全隐患:网桥是独立于协议的互连设备，它工作在OSI参考模型的第二层。完成数据帧的转发，主要目的是在连接的网络间提供透明的通信。网桥的转发依据数据帧中的源地址和目的地址来判断一个数据帧是否应转发和转发到哪个端口。帧中的地址称为“MAC”地址或“硬件”地址，一般就是网卡所带的地址。 网络上的设备看不到网桥的存在，设备之间的通信就如同在一个网络上。由于网桥是在数据帧上转发的，因而只能连接相同或相似的网络（如以太网之间、以太网与令牌环网之间的互连），只能转发相同或相似结构的数据帧。对于不同类型的网络（如以太网与X.25之间）或不同的数据帧结构，网桥就失去了作用。网桥的应用较为广泛。但网桥的互连存在着不少的问题：一是广播风暴。由于网桥不阻挡网络中的广播信息，当网络的规模较大时（几个网桥，多个以太网段），有可能引起网络风暴，导致整个网络全被广播信息填满，直至完全瘫痪。二