论Unix系统安全保障技术研究.pdfVIP

i 论Unx系统安全保障技术 王午鸣 扬中市邮政局212200 祷要l本文介绍了UNIX系统的安全等级。安全体系结构，以及存在的主要不安全因素，提出了保障Unix安伞的具体措 施，对邮政金融等计算机系统的安全保障有一定的借鉴意义。 关■词lUNIX安全 由于UNIX操作系统的开放性，网络系统的共享性，数据库的通用性、运行的稳定性等因素。在邮电、 金融、保险等行业的大型网络建设中，越来越多的项目选用Unix作为操作系统。UNIX操作系统数据信息 的安全问题显得越来越为突出。因此，有必要对UNIX的安全问题引起足够的重视。 一、Uni×系统的安全等级 Unix系统经过40年左右的发展，已使其自身具备了良好的安全性能，按照可信计算机评价标准达到 c2级，它具有以下安全特征： 1、访问控制 系统通过访问控制表ACL使得用户可以自行改变文件的安全级别和访问权限。 test 如：一rwxr—xr一一1 4月9目17：50cm john 和执行的权限，而对除此以外的所有用户只有读的权限。系统管理员可用umask命令为每个用户设置默认 的权限值，用户可用chmod命令来修改自己拥有的文件或目录的权限。 2、对象的可用性 Base)将要清除它，以备 当一个对象不再使用时，在它回到自由对象之前，TCB(TrustedComputing 下次需要时使用。 3、个人身份标识与认证 其目的是为了确定用户的真实身份，在用户登录时它采用扩展的DES算法对输入的口令进行加密， 到系统中，否则禁止用户的登录。 4、审计记录 ． Unix系统能够对很多事件进行记录，比如：文件的创建和修改以及系统管理的所有操作和其他有关 的安全事件(登录失败，以root身份进行登录的情况)，通过这些记录系统管理员就可以对安全问题进行 跟踪。 5、操作的可靠性 对运行级别的划分，以及前面提到的访问控制加之自带的一些工具，能够很好地保证系统操作的可靠性。 二、Un i×的安全体系结构 282 江苏省通信学会论文集 Unix的安全体系结构可以按照ISO／OSI网络模型的层次结构将它分成七层，如下表所示： 表l 1、PoI i cy(策略层) 在这一层中，主要定义了一个组织的安全策略，包括安全策略的需求分析、安全方针的制定，也包括了 高层次定义的允许的安全风险以及下层的如何配置设备及过程。 2、Personne I(用户层) 本层定义了Unix的安装、操作、维护和使用以及通过其他方法访问网络的人员。从广义上讲，对 Unix多用户环境下的应用进程也应算在其中。此层的安全策略应该反映出用户对总体系统安全的期望 值。 3、LAN(局域网层) 它定义用户的安全程序要保护的设备和数据，包括计算机互联的设备。如：路由器、单一的Unix主机 等。 4、InternaI Demark(内部区分层) 这一层定义了用户如何将局域网连接到广域网以及如何将局域网连接到防火墙上。 5、Gateway(嵌入的UniX网关层) 本层定义了整体平台包括第四层的网络接口以及第三层的路由器。它用于为广域网提供防火墙服务。 6、Packet-F．I ter(包过滤层) 它对应于OSI的第一层到第三层，本层不仅提供第一层的物理连接，更主要的是根据安全策略，通过 用户层的进程和包过滤规则对网络层中的IP包进行过滤。一般的包过滤算法是采用查规则袭来实现的， 它根据”条件／动作”这样的规则序列来判断是前向路由还是扔包。 7、ExternaI Demark(外部连接层) 它定