1.3 信息不安全的根源

信息安全如此重要，能否构建一个百分之百安全的信息系统？答案是否定的。

1.3.1 客观原因

计算机网络的正常运行有赖于网络中的软硬件设备的协调合作。因此，网络信息系统的信息安全必然与这个系统中各种设备上运行的操作系统、软件和通信协议有着千丝万缕的联系。

1.操作系统

操作系统是管理和控制计算机软硬件资源的计算机程序；它直接运行在裸机上，为用户和计算机提供接口，同时也为计算机硬件和软件提供接口。操作系统方面的安全问题主要体现在以下两个方面。

（1）操作系统漏洞

操作系统是一个运行在裸机上的大型计算机程序，它由人设计并通过技术实现。所谓的操作系统漏洞就是指在设计和实现过程中产生的不可避免的逻辑/技术缺陷和错误，人们称之为“系统bug”。2019年2月11日，国家信息安全漏洞共享平台（CNVD）发布了第5、6期漏洞周报，周报显示2019年1月28日至2019年2月10日共收集整理了信息安全漏洞205个，其中高危漏洞51个、中危漏洞134个、低危漏洞20个。

由操作系统漏洞引发的安全事件往往影响面较广，造成的后果也比较严重。例如，赫赫有名的冲击波病毒就是利用2003年7月21日公布的RPC漏洞进行传播攻击并于当年8月爆发；只要计算机系统上有RPC服务并且没有打安全补丁，就存在RPC漏洞，它就会成为冲击波病毒攻击的目标。2010年6月被检测出来的震网（Stuxnet）病毒是一个席卷全球工业界的病毒，该病毒利用了微软视窗操作系统之前未被发现的4个漏洞。2018年1月，英特尔处理器中曝出“Meltdown”（熔断）和“Spectre”（幽灵）两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、个人计算机、服务器以及云计算产品。

（2）用户配置不恰当

每一种操作系统的用户的专业水平都是参差不齐的，其中，大部分用户对操作系统的操作与配置并不熟悉，因此，依赖于用户自行配置的安全防护显然是不可靠的。

2.软件

运行在操作系统之上的应用软件是为用户提供一定功能的程序。这类程序在开发过程中，可能会由于人为疏忽或者编程语言的局限性而留下bug。WinRAR是世界上最流行的Windows文件压缩、解压应用程序之一。据Check Point安全研究团队检测发现，WinRAR负责ACE格式压缩文件的UNACEV2.dll代码库中存有严重安全漏洞。2019年2月21日，国家信息安全漏洞共享平台(CNVD)收录WinRAR系列任意代码执行漏洞，预计全球超过5亿用户受此WinRAR漏洞影响。该漏洞影响了过去19年发布的所有WinRAR版本，通过该漏洞，攻击者可以在用户指定的解压缩路径之外创建文件并执行攻击。为了避免用户受到此类攻击，在最新发布的WinRAR 5.70正式版已不再支持ACE格式压缩。

3.协议缺陷

网络协议是计算机网络系统中的各个实体完成通信和服务时要遵守的规则和约定。这些规则和约定的制定受限于协议产生的时代背景和制定者的知识水平，因而或多或少都存在着不足。

2014年4月7日，国外黑客爆出了Heartbleed漏洞，国内称之为“OpenSSL心脏出血漏洞”。OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，广泛应用于网银、在线支付、电商网站、门户网站、电子邮件等重要网站，因此，该漏洞的影响范围极为广泛。2017年9月13日，物联网安全研究公司Armis在蓝牙协议中发现了8个0Day漏洞。蓝牙协议广泛应用于Android、iOS、Windows系统、Linux系统和物联网设备系统中，该漏洞一旦被利用，后果不堪设想。

1.3.2 主观原因

一方面，互联网络是一个开放的环境，它建立在自由开放的基础之上，它是一个无门槛的虚拟世界。所有希望接入到互联网的用户只要承担一定的费用就可以进入这个虚拟世界。目前，这个虚拟世界超越了国界，并且没有一套完善的法律法规来约束。这就给居心叵测之人提供了一个“很好”的机会。

另一方面，来自内部的合法用户对信息安全的威胁往往容易被忽视却影响更恶劣。根据Ponemon Institute公布的《2018年全球组织内部威胁成本》显示，在3269起安全事件中，有2081起（64%）都是由员工或承包商的疏忽导致的，而犯罪分子和“内鬼”造成的泄漏事件则为748起（23%）。