Internet安全信息系统建构模式研究.pdf

第9届全国核电子学与核探测技术学术年会论文集 Proceedingsofthe9thNationalCaMerenoeonNuclearElectronksNuclearDetedonTeortglogy Internet安全信息系统建构模式 刘 宝 旭 (福建省海峡科技信息中心,350003,bxliu@) 梅杰 许榕生 安德海 于明俭 陈向阳 郑鹅 (中科院高能所计算中心，北京.100039) 本文以UNXI拓作系枕为例.在分析毖响Internet安全信息系拉.堵个关性因索的若助上.提出建构 Internet安全信息系统.S要考虑aft*的IIF1F:节.给出一个.Internet安全信息系统即的建构模S. 关.调,Internet安全僧息系统 两络安全 Web安全 信息安全策略 1 引言 随着Internet事业在我国的迅速发展和普及，信息安全间题愈来愈突出，许多15P及网络 信息服务提供单位、使用单位，均不同程度地遭受到熟客的怪人和破坏，黑容入畏和破坏事件 的报道时常见诸报端，甚至有些单位对自己网络信息系统的安全问题尚无认识，以致对是否谊 受黑客入侵及产生安全问题奄不知晓。所以，如何建构Internet安全信息系统这一间瓜成为人 们关注和关心的焦点向题，尤其是目前许多大型的网络使用或服务提供单位的主服务器均采 用UNIX操作系统，而对于UNIX系统，其复杂的安全设f和管理，并不是很好掌纽，故而许 多单位均热切希望有关于此方面的综合论述，帮助他们维护其网络信息系统的安全运转，提高 安全防护性能.同时，本文给出的“Internet安全信息系统一建构棋型可为我国网络工程的设 计、集成提供一个很好的参照模式。 2 Internet安全信息系统”要亲分析 2.1 网络安全 网络资源可以共享，且很容易实现互联。这是其优势所在，但也使它们很易受到燕客的攻 击破坏。以下这些因素需引起注意: 2.1.1定期检查井关闭不必要的服务端口 入侵者常用的一个手段就是:在攻入某个系统后，修改该系统的配里信息，将某个系统不 该提供的服务在某一TCP端口或UDP端口打开，作为后门放f在该主机系统中，该攻击者便 可随时登堂入室，进入你的系统中杨游，所以，应时常显示所有主机对外提供的TCP和UDP 端口，发现可疑端口号进而找出原因，防止陈患存在. 建议您安装系统后，修改内核，以便将来自外部的TCP连接限制到最低限度。不允许诸如 tftp,rsh,rpc,printer,rlogin或rexec之类的协议.去掉对操作并非至关盆要的程序，如:awk, cc,emacs,aed等等。 2.1.2严格管理受托宿主机 365 在UNIX系统中规定有受托宿主机。与其它主机相比，特殊的地方在于它是可信任的，并 且从它注册和执行远程命令不需健入口令。这便带来安全隐患.但因受托宿主机在使用时较 方便，很多人仍愿意使用它。若是系统有必要设置受托宿主机，可采用如下方案: ·检查/etc/hosts.equiv文件 /etc/hosts.equiv文件中记录所有的受托宿主机.应尽tI减少受托宿主机的数童，并确信 所有受托宿主机都有明确定义，在这一文件中没有任何像“+”这样的通配符存在。 。.rhosts文件 .rhost。文件允许在特殊宿主机上的特殊用户有受托访问权(不需口令)。任何用户可以在 自己的目录中建立这一文件，井允许访间帐号不播口令.这便带来任何用户可能取得系统访向 权来访问其它用户的脆弱性。对此类间题的解决办法是拒绝胶予用户建立.rhosts文件的权 利，且运行一个特定程序来访间每一个用户的目录并侧除所春rhosts文件。 2.1.3严格控制安全终端的设定 某些UNIX版本可以设f安全终端，它允许超级用户从这些终端注册(据UNIX版本不 同，分别在//etc/ttylab,/etc/ttys或/etc/securetty文件中设里).需要检查安全终端文件的设 里，井将不安全终端移走. 2.1.4正确设fm络文件系统NFS NFS允许两个或更多的宿主机共享磁盘文件.这方便了用户。但却使网上任何主机(无论 你是否信任)都可以使用NF