空管自动化系统的安全配置.docVIP

空管自动化系统的安全配置 【摘 要】分析空管自动化系统常见安全隐患，以Solaris为例从账号管理、文件系统、应用服务等多方面提出一种适用于UNIX平台自动化系统的安全配置方案。 【关键词】UNIX安全；空管自动化；Solaris 0.引言 空管自动化为了满足相关规定和要求，大多采用LINUX平台作为服务器与客户端实现分布式的C/S模式。而作为空中交通管制的重要辅助手段其运行的安全性也是当下研究的课题。安全性包括，系统安全、网络安全与软件安全。其中系统安全作为应急手段最难于克服的一个关键点，更是安全性保障的重中之重。针对目前空管自动化尚未有实现系统安全的详细方案，本文将从实际出发分析系统安全影响因素并提出相关解决方案，为空管自动化系统安全保障提供一个参考。 1.安全隐患 目前大多数空管自动化系统采用的是SUN公司的Solaris平台，该平台作为LINUX平台的主流系统之一，在实际工作中具有LINUX系统的安全隐患。首先是非法登录，LINUX对用户的统一管理和集成化设计使得破解密码窃取账户也成为安全隐患之一；而针对服务器端口来说，大量数据包的攻击可使得服务器崩溃甚至是系统的瘫痪；再之，计算机病毒也可以侵入系统，造成数据的丢失，如果说前两者在空管生产网中较难出现，但是病毒则可以在日常维护中的移动介质介入系统安全范畴；最后系统漏洞及管理员的非法或失误也可以引起系统的安全故障。因此针对空管自动化系统，确保服务器与系统整体正常服务的前提是根据统一策略针对隐患进行一系列的安全配置。 2.实际安全方案 2.1账户安全 空管自动化系统的运行平台Solaris系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息（加密后的口令也可能存于/etc/shadow文件中）。而/etc/passwd中包含有用户的登录名、经过加密的口令、用户号、用户组号、用户注释、用户主目录和用户所用的shell程序。而对于系统安全性要求来说，必须根据需要删除其中默认的系统账户，例如UUCP等。同时关闭相关匿名服务及访问权限。对于/etc/passwd和/etc/shadow两个路径来说必须增加其相关的访问限制。因此，在许可权限的执行许可上可以通过使用chmod命令改变许可方式，并以新许可方式和该文件名为参数。新许可方式以3位8进制数给出，其中r为4、w为2、x为1。因此实际操作可以设置两个路径为754。以确保root用户有足够操作许可下，对其他用户进行限制。 除此之外，对于同样的密码设置，还可以同时关心路径/etc/login.defs，/etc/login.defs文件是一个全局性的文件它的设置是对系统中所有新创建的用户起作用（root用户除外），因此对于账户的相关设置可以修改/etc/login.defs文件使以后新创建的用户都严格遵循策略限制。例如设置密码长度为8个字符可以通过PASS_MIN_LEN6 实现。最后，如上所述在Solaris系统中作为加密后命令可能的存在路径/etc/shadow文件也可以作为安全策略的设置文件，例如修改密码有效期限为60天并且提前10天警告用户密码将过期可以通过 #chage?M 60 ?W10 账号 实现。总之，在账户设置及安全管理上，Solaris提供了以往UNIX系统相关的平台账户管理设计，在安全技术保障维护上，本文提倡对路径/etc/login.defs及/etc/shadow进行有效的配置和修改，同时注意/etc/passwd的操作访问管理。 2.2系统文件安全管理 不可否认，作为以文件组成设计的平台，Solaris系统对文件管理也是相对重要，在空管自动化设计中，软件的文件管理将进一步影响系统的安全，因此考虑系统的文件安全管理有必要而且非常关键。与其他UNIX系统平台一样，空管自动化系统运行的Solaris平台的/boot包含了操作系统的内核和在启动系统过程中所要用到的文件。相关文献提倡让用户在/boot目录上挂载一个大小为100MB左右的独立分区，并推荐把该/boot放在硬盘的前面――即1024柱面之前。而事实上除此之外/root被文件占据或者/home被数据写入还容易造成系统的崩溃。因此可以在原有的基础上对系统和软件文件进行分区，例如在实际工作中，我们将配置var分区用于自动化的记录日志、在/home分区中建立相关防溢分区，通过/urs空中用户数据等。而另一方面，系统还可以通过Ext4进行文件分区，其支持更大的inode，较之Ext3默认的inode大小128字节，Ext4为了在inode中容纳更多的扩展属性。与此同时还支持快速扩展属性和inode保留，同时能在系统不正常关闭的情况下尽最大可能减少数据的丢失，Ext4在空管自动化Solaris系统文件分区中得到较好的利用。 2.3网络安全及相关服