1. 互联网体系结构的开放性

网络基础设施和协议的设计者遵循着一条原则: 尽可能创造用户友好性、 透明性高的接口， 使网络能够为尽可能多的用户提供服务。 但是， 这带来了另外的问题: 一方面，用户容易忽视系统的安全状况； 另一方面， 不法分子会利用网络的漏洞来达到个人的目的。

2. 通信协议的缺陷

数据包网络需要在传输结点之间存在信任关系， 以保证数据包在传输过程中拆分、 重组过程的正常工作。 由于在传输过程中， 数据包需要被拆分、 传输和重组， 因此必须保证每个数据包以及中间传输单元的安全。 然而， 目前的网络协议并不能做到这一点。

网络中的服务器主要有UDP 和TCP 两个主要的通信协议， 都使用端口号来识别高层的服务。 服务器的一条重要的安全规则就是: 在服务没有被使用时， 应关闭其所对应的端口号， 如果服务器不提供相应的服务， 那么端口就一直不能打开。 即使服务器提供相应的服务， 也只有在服务被合法使用时， 端口号才能被打开。 很多非正常使用的端口极易被攻击者利用， 以实现其对系统的渗透。

客户端和服务器进行通信之前， 需通过三次握手过程来建立TCP 连接。 但是， TCP 的三次握手会带来新的网络信息安全问题。

3. 用户安全意识薄弱

互联网自20 世纪60 年代早期诞生以来， 经历了快速的发展， 特别是近十来年， 在用户使用数量和联网的计算机数量上都有了爆炸式的增加。 随着互联网的易用性增强和准入性降低， 用户安全意识的薄弱为网络信息安全带来了新的挑战。

4. 黑客行为

计算机黑客利用系统中的安全漏洞非法进入他人计算机系统， 其危害性非常大。 某种意义上， 计算机黑客对信息安全的危害甚至比一般的计算机病毒更为严重。

5. 恶意软件

恶意软件是指在未明确提示用户或未经用户许可的情况下， 在用户计算机或其他终端上安装运行、 侵犯用户合法权益的软件。

恶意软件(malware， 俗称“流氓软件”)， 也可能被称为广告软件(adware)、 间谍软件(spyware)、 恶意共享软件(malicious shareware)。 与病毒(或蠕虫) 不同， 很多恶意软件并非由小团体(或个人) 秘密地编写和散播， 反而有很多知名企业和团体涉嫌此类软件。

恶意软件的特点主要有以下几点。

(1) 强制安装: 指在未明确提示用户或未经用户许可的情况下， 在用户计算机或其他终端上安装软件的行为。

(2) 难以卸载: 指未提供通用的卸载方式， 或在不受其他软件影响、 人为破坏的情况下， 卸载后仍活动程序的行为。(www.daowen.com)

(3) 浏览器劫持: 指未经用户许可， 修改用户浏览器或其他相关设置， 迫使用户访问特定网站或导致用户无法正常上网的行为。

(4) 广告弹出: 指未明确提示用户或未经用户许可的情况下， 利用安装在用户计算机或其他终端上的软件弹出广告的行为。

(5) 恶意收集用户信息: 指未明确提示用户或未经用户许可， 恶意收集用户信息的行为。

(6) 恶意卸载: 指未明确提示用户或未经用户许可， 或误导、 欺骗用户的情况下， 卸载非恶意软件的行为。

(7) 恶意捆绑: 指在软件中捆绑已被认定为恶意软件的行为。

(8) 其他侵犯用户知情权、 选择权的恶意行为。

6. 操作系统漏洞

操作系统漏洞是指应用软件或操作系统在逻辑设计上的缺陷或在编写时产生的错误。 这些缺陷(或错误) 是黑客进行攻击的首选目标。 黑客通过这些缺陷(或错误) 来注入木马、病毒等， 以攻击(或控制) 整台计算机， 从而窃取计算机中的重要资料和信息， 甚至破坏计算机系统。 每款操作系统问世时， 本身都难免存在一些安全问题或技术缺陷。 操作系统的安全漏洞是不可避免的。 攻击者会利用操作系统的漏洞来取得操作系统中的高级用户权限，进行更改文件、 安装和运行软件、 格式化硬盘等操作。

操作系统漏洞影响的范围很大， 包括系统本身及其支撑软件、 网络客户和服务器软件、网络路由器和安全防火墙等。 换言之， 在不同的软件、 硬件中都可能存在不同的安全漏洞问题。

7. 内部安全

现在绝大多数的安全系统都会阻止恶意攻击者靠近系统， 用户所面临的更困难的挑战是控制防护体系的内部人员进行的破坏活动。 所以， 在设计安全控制时， 应注意不要赋予某位管理员过多的权利。

8. 社会工程学

社会工程学(Social Engineering) 是指利用受害者的心理弱点、 本能反应、 好奇心、 信任、 贪婪等心理陷阱来实施欺骗、 伤害等危害手段。

社会工程学通过搜集大量信息来针对对方的实际情况进行心理战术， 常采用交谈、 欺骗、 假冒或口语等方式， 从合法用户中套取用户系统的秘密。