信息技术--赵泽茂--第一章.pptVIP

　　首先，无论哪一种操作系统，其体系结构本身就是一种不安全的因素。系统支持继承和扩展能力便给自身留下了一个漏洞，操作系统的程序可以动态连接，包括I/O的驱动程序与系统服务都可以用打补丁的方法升级和进行动态连接，这种方法虽然给系统的扩展和升级提供了方便，但同时也会被黑客利用，这种使用打补丁与渗透开发的操作系统是不可能从根本上解决安全问题的。 　　其次，系统支持在网络上传输文件，这也为病毒和黑客程序的传播提供了方便; 系统支持创建进程，特别是支持在网络的节点上进行远程的创建与激活，被创建的进程还具有继承创建进程的权力，这样黑客可以利用这一点进行远程控制并实施破坏行为。　　再者，系统存在超级用户，如果入侵者得到了超级用户口令，则整个系统将完全受控于入侵者。 　　2. 数据库管理系统的脆弱性　　数据库管理系统在操作系统平台上都是以文件形式管理数据库的，入侵者可以直接利用操作系统的漏洞来窃取数据库文件，或直接利用操作系统工具非法伪造、篡改数据库文件内容。因此，DBMS的安全必须与操作系统的安全配套，这无疑是DBMS先天的不足。 1.3.2 协议的开放性　　计算机网络的互通互连基于公开的通信协议，只要符合通信协议，任何计算机都可以接入Internet。　　网络间的连接是基于主机上的实体彼此信任的原则，而彼此信任的原则在现代社会本身就受到挑战。在网络的节点上可以进行远程进程的创建与激活，而且被创建的进程还具有继续创建进程的权力，这种远程访问功能使得各种攻击无需到现场就能得手。TCP/IP协议是在可信环境下为网络互连专门设计的，但缺乏安全措施的考虑。TCP连接可能被欺骗、截取、操纵; IP层缺乏认证和保密机制。FTP、SMTP、NFS等协议也存在许多漏洞。UDP易受IP源路由和拒绝服务的攻击。在应用层，普遍存在认证、访问控制、完整性、保密性等安全问题。 1.3.3 人为因素 据有关部门统计，在所有的信息安全事件中，约有52%是人为因素造成的。黑客攻击与计算机犯罪以及信息安全管理缺失是引起网络安全问题至关重要的因素。　　1. 黑客攻击与计算机犯罪　　“黑客”一词，是英文hacker的音译，而hacker这个单词源于动词hack，在英语中有“乱砍、劈”之意，还有一层意思是指“受雇从事艰苦乏味工作的文人”。hack的一个引申的意思是指“干了一件非常漂亮的事”。在20世纪50年代麻省理工学院的实验室里，hacker有“恶作剧”的意思。 　　他们精力充沛，热衷于解决难题，这些人多数以完善程序、完善网络为己任，遵循计算机使用自由、资源共享、源代码公开、不破坏他人系统等精神，从某种意义上说，他们的存在成为计算机发展的一股动力。可见，黑客这个称谓在早期并无贬义。20世纪60年代，黑客代指独立思考、奉公守法的计算机迷，他们利用分时技术允许多个用户同时执行多道程序，扩大了计算机及网络的使用范围。20世纪70年代，黑客倡导了一场个人计算机革命，打破了以往计算机技术只掌握在少数人手里的局面，并提出了计算机为人民所用的观点。 　　这一代黑客是电脑史上的英雄，其领头人是苹果公司的创建人史蒂夫·乔布斯。在这一时期，黑客们也发明了一些侵入计算机系统的基本技巧，如破解口令(Passwordcracking)、开天窗(TraPdoor)等。20世纪80年代，黑客的代表是软件设计师，这一代黑客为个人电脑设计出了各种应用软件。而就在这时，随着计算机重要性的提高，大型数据库也越来越多，信息又越来越集中在少数人手里，黑客开始为信息共享而奋斗，这时黑客就开始频繁入侵各大计算机系统。 　　但是，并不是所有的网络黑客都遵循相同的原则。有些黑客，他们没有职业道德的限制，坐在计算机前，试图非法进入别人的计算机系统，窥探别人在网络上的秘密。他们可能会把得到的军事机密卖给别人获取报酬; 也可能在网络上截取商业秘密要挟他人; 或者盗用电话号码，使电话公司和客户蒙受巨大损失; 也有可能盗用银行帐号进行非法转帐等。　　 　　网络犯罪也主要是这些人着手干的，可以说，网络黑客已成为计算机安全的一大隐患。这种黑客已经违背了早期黑客的传统，称为“骇客”(英文“cracker”的音译)，就是“破坏者”的意思。骇客具有与黑客同样的本领，只不过在行事上有本质的差别。他们之间的根本区别是: 黑客搞建设，骇客搞破坏。现在，人们已经很难区分所谓恶意和善意的黑客了。黑客的存在，不再是一个纯技术领域的问题，而是一个有着利益驱使、违背法律道德的社会问题。 　　根据我国有关法律的规定，计算机犯罪的概念可以有广义和狭义之分。广义的计算机犯罪是指行为人故意直接对计算机实施侵入或破坏，或者利用计算机实施有关金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其他犯