电脑系统很脆弱_电脑系统容易坏吗
一.计算机网络的脆弱性编辑
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项:
1)网络的开放性
网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2)网络的国际性
意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
3)网络的自由性
大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,发布和获取各类信息。
二网络系统的脆弱性
计算机网络本身存在一些固有的弱点(脆弱性),非授权用户利用这些脆弱性可对网络系统进行非法访问,这种非法访问会使系统内数据的完整性受到威胁,也可能使信息遭到破坏而不能继续使用,更为严重的是有价值的信息被窃取而不留任何痕迹。
网络系统的脆弱性主要表现为以下几方面:
1.操作系统的脆弱性
网络操作系统体系结构本身就是不安全的,具体表现为:
·动态联接。为了系统集成和系统扩充的需要,操作系统采用动态联接结构,系统的服务和I/O操作都可以补丁方式进行升级和动态联接。这种方式虽然为厂商和用户提供了方便,但同时也为黑客提供了入侵的方便(漏洞),这种动态联接也是计算机病毒产生的温床。
·创建进程。操作系统可以创建进程,而且这些进程可在远程节点上被创建与激活,更加严重的是被创建的进程又可以继续创建其他进程。这样,若黑客在远程将“间谍”程序以补丁方式附在合法用户,特别是超级用户上,就能摆脱系统进程与作业监视程序的检测。
·空口令和RPC。操作系统为维护方便而预留的无口令入口和提供的远程过程调用(RPC)服务都是黑客进入系统的通道。
·超级用户。操作系统的另一个安全漏洞就是存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。
2.计算机系统本身的脆弱性
计算机系统的硬件和软件故障可影响系统的正常运行,严重时系统会停止工作。系统的硬件故障通常有硬件故障、电源故障、芯片主板故障、驱动器故障等;系统的软件故障通常有操作系统故障、应用软件故障和驱动程序故障等。
3.电磁泄漏
计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成有用信息甚至机密信息泄漏。
4.数据的可访问性
进入系统的用户可方便地复制系统数据而不留任何痕迹;网络用户在一定的条件下,可以访问系统中的所有数据,并可将其复制、删除或破坏掉。
5.通信系统和通信协议的弱点
网络系统的通信线路面对各种威胁显得非常脆弱,非法用户可对线路进行物理破坏、搭线窃听、通过未保护的外部线路访问系统内部信息等。通信协议TCP/IP及FTP、E-mail、NFS、WWW等应用协议都存在安全漏洞,如FTP的匿名服务浪费系
统资源;E-mail中潜伏着电子炸弹、病毒等威胁互联网安全;WWW中使用的通用网关接口(CGI)程序、Java
Applet程序和SSI等都可能成为黑客的工具;黑客可采用Sock、TCP预测或远程访问直接扫描等攻击防火墙。
6.数据库系统的脆弱性
由于数据集库管理系统对数据库的管理是建立在分级管理的概念上,因此,DBMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处。黑客通过探访工具可强行登录或越权使用数据库数据,可能会带来巨大损失;数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。由于服务器/浏览器(B/S)结构中的应用程序直接对数据库进行操作,所以,使用B/S结构的网络应用程序的某些缺陷可能威胁数据库的安全。
国际通用的数据库如Oracle、sql server、mysql、db2存在大量的安全漏洞,以Oracle为例,仅CVE公布的数据库漏洞就有2000多个,同时我们在使用数据库的时候,存在补丁未升级、权限提升、缓冲区溢出等问题,数据库安全也由于这些存在的漏洞让安全部门越来越重视。
7.网络存储介质的脆弱
各种存储器中存储大量的信息,这些存储介质很容易被盗窃或损坏,造成信息的丢失;存储器中的信息也很容易被复制而不留痕迹。
此外,网络系统的脆弱性还表现为保密的困难性、介质的剩磁效应和信息的聚生性等。
计算机犯罪是与信息时代所伴生的一种新型的智能犯罪,其产生和发展的原因可以说 是多方面的。综合而言,不外乎有以下原因:
(一)计算机信息本身的脆弱性
计算机信息系统本身的脆弱性是诱发计算机犯罪的主要原因,也是此种犯罪产生和发 展不可回避的根源性原因之一。
这种脆弱性具体而言表现在以下几个方面:1.数据或者说信息的存储密度高,在一张磁盘或者一条磁带上可以存储大量信息,而此种存储介质极易被携带出去,并且容易被有意或者无意的损坏,不管哪种情况,都将造成大量信息的丢失。2.数据的可访问性。数据可以很容易地被拷贝下来而不留任何痕迹。一台远程终端用户可以访问到系统中的所有数据,并可以按他的需要将其拷贝、删改或者破坏掉。3.信息的聚生性。当信息以分离的少量形式出现时,它的价值往往不大,但当将大量信息聚集在一起时,则显示出它的可比较性和重要性。而信息系统的根本特点之一,就是能将大量信息收集在一起,进行自动、高效的处理,并进而产生有价值的结果。可以说,计算机信息系统内部信息的这种聚生性特点导致了其被窃取的可能性大为增加。4.保密的困难性。由于计算机系统内的数据都是可用的,尽管可以利用许多方法在软件内设置一些关卡,但是对一个熟悉的人或者拥有更高水平的人来说,下些功夫就可以突破这些关卡,因此要想彻底保密是非常困难的。5.介质的剩磁效应。存储介质中的信息有时是擦除不干净或者说是不能完全擦除的,会留下可读信息的痕迹,一旦被利用就会泄密。另外在大多数信息系统中,删除文件仅仅是将文件的文件名删除,并相应地释放存储空间,而文件的真正内容还原封不动地保留在存储介质上。利用这一特性窃取机密信息的案件已有发生。6.电磁的泄露性。计算机设备工作时能够辐射出电磁波,任何人都可以借助仪器在一定的范围内收到它,尤其是利用高灵敏度仪器可以清晰地看到计算机正在处理的机密信息。7.通信网络的脆弱性。连接信息系统的通信网络有不少弱点:通过未受保护的外部线路可以从外界访问到系统内部的数据;通信线路和网络可能被搭线窃听或者破坏等[1]。
(二)计算机信息系统管理的复杂性与软件的先天不足导致安全性降低
从宏观上分析,随着计算机信息系统的功能的日趋强大,其硬件和软件也同时成倍地复杂化和庞大,虽然各国都在努力使计算机系统的设计尽可能地完美和减少缺陷,但是事实证明这是不可能的。一种安全软件往往公布才几天就被某些计算机“天才”们以令人沮丧的事实证明是漏洞百出。对于所有的计算机操作系统而言,没有人能够从理论上、实践上证明其正确性、完整性和合理性。另外,结构复杂而庞大的计算机系统及其网络在物理结构、使用条件上难以在全球按一个统一的标准、制式和协议行事,更不用提及各项管理和监督制度了。不同国家和用户从自身的利益和需要出发,各自制定一套经营管理系统和网络的措施和策略,彼此之间不可避免地存在冲突和矛盾之处,双方之间的协调通常只能采取折衷的办法,而这种方式往往更增加了系统的复杂性和脆弱性。正是这大量存在的隐患,使得大量的计算机行为不端者试图从中捞取不法利益或者显示个人才能。同时,计算机程序的设计上分析,多数软件存在着明确的先天不足也更使此种 薄弱环节增加。
(三)信息与财富的集中性
计算机作为现代化的信息处理工具使得各个国家对于社会的管理和协调趋于快捷化和显示出应有的效益性。信息代表着财富,而在大量信息聚生从而使信息的价值倍生的计算机信息系统,则毫无疑问经常成为一个国家或者部门财富最为集中的机构,各类计算机系统中的数据和信息的价值,往往远远超过计算机系统本身的价值。而前述计算机本身所存在的隐患和漏洞,则使其不可避免地成为国内外敌对人员截获秘密或者进行破坏的首选目标,当今世界上的恐怖组织基本是以计算机信息系统作为侵入和攻击的对象之一,其他不法人员也大量将通过计算机信息系统窃取钱财作为发财致富的最便捷方法。正如有的学者所言,随着社会活动走向信息化,计算机已成为机密和财富最集中的“魔 盒”,因而也成为智能犯罪的主要目标。[2]
(四)计算机犯罪风险比率的巨大诱惑性
从功利性的刑罚角度来讲,犯罪与刑罚的对应性显然只是刑罚阻吓犯罪功能的一个方面,而犯罪之后刑罚的或然性程度可能是影响犯罪最为重要的因素之一。从犯罪人的犯罪心理角度而言,促使其最终实施犯罪而不顾刑罚这一必然性后果的关键点不是在于刑罚与其所犯之罪的功利效果比问题,因为实际生活中行为人往往无暇而且也不会在犯罪之前仔细考虑这一问题。对于绝大部分犯罪人而言,其所最关心的、斟酌考虑最多的是刑罚的必然性程度问题,也即是否必然承担刑罚、是否存在侥幸不被发现的可能性是行为人最终犯罪前所最关心的。这种趋利避害的侥幸、冒险的投机心理,是支配犯罪人决意实施犯罪的重要心理态度[3]。而计算机犯罪的风险小,如前所述,其被发现的比率只有总数的1-5%左右,具有极强的隐蔽性,而获利的丰厚性是有目共睹的。据有关资料统计,平均每起计算机犯罪可获利46万——160万美元[4]。这个数额较之传统的冒着生命危险实施的各种暴力性财产犯罪所获的不法利益显然更高。这种高回报的功利效果比以及极高隐蔽性的刑罚“真空”存在,无疑对于犯罪分子具有极强的诱惑力。
(五)法律对于计算机犯罪漠视
通常情况下,法律本身的发展必然落后于技术的发展,社会总是等技术的普及和应用 已经达到一定程度,其扭曲使用已对社会产生一定的危害,提出一定的挑战并且往往是出现无法解决的问题时,才制定并借助于法律来解决问题。计算机犯罪的惩治法律也存在这种情况,目前大多数国家防治计算机犯罪的法律都是不健全的,这不仅体现在法规本身的数量和适用范围上,而且在诉讼程序上也是如此,例如计算机记录不能作为证据导致了在许多国家此类犯罪得不到应有的惩治。另外,有效执法机构和高素质计算机执法人员的缺乏、国际间合作和协调的不可行性等问题,致使在预防、控制、侦破和制裁计算机犯罪方面困难重重。例如我国,在1997年刑法通过之前,司法机关对于现实中发生的许多计算机犯罪根本无法定性,有的不得不无条件将犯罪人加以释放。
(六)计算机道德的滞后性
人类已进入计算机时代,人类的道德也应当得到相应的发展,但事实并非如此。“计 算机天才”的错误观念,使相当一部分民众轻视了计算机犯罪的反社会性,对计算机专业人员来说,这更容易增加其犯罪的诱惑力,刺激其犯罪的挑战性[5]。在各种新闻报道中,计算机犯罪者时常被作为某种类型的能人或者“英雄”对待,这使得社会公众有意无意地对于他们的智慧和能力有某种程度上的敬慕之情。同时,众多的计算机犯罪者是新一代的青年学生,这些人都接受过良好的教育和严格的计算机理论和知识训练,他们把大量时间和精力放在学校或者家庭的计算机前,以打入层层设防的某一计算机信息系统,修改存取数据和信息,窃取对自己毫无用处的各种机密,以此来满足猎奇和恶作剧的心理需求。正如有的外国社会学家所说,是“我们培养了精于使用计算机的新一代 ,但却没有规定出相应的社会责任和道德观念。”
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。