一种基于DOM盘的安全Linux系统的设计与实现.docVIP

一种基于DOM盘的安全Linux系统的设计与实现* 本文承蒙国家自然科学基金以及教育部博士点基金项目（20030610003）的支持。 * 本文承蒙国家自然科学基金以及教育部博士点基金项目（20030610003）的支持。 王丹丹 刘晓洁 李涛 浦海挺 刘莎1 1作者简介：王丹丹，女，1980年6月出生，硕士生，研究方向：网络安全与人工智能；浦海挺，刘莎，硕士生；刘晓洁，副教授；李涛，博士生导师，教授。 四川大学计算机系 成都610065 【摘要】 本文提出并实现了一种基于Linux的安全操作系统模型——NisecLinux。该系统以DOM(Disk On Module)盘为存储介质，实现了基于网络访问的强制访问控制机制。通过防火墙和入侵检测系统的联动大大增强了系统的安全防护能力；通过VPN技术使数据传输的安全性得到了保障；精简了内核和文件系统使系统本身的性能得到改善；使用DOM盘加强其物理安全性。该系统在安全性方面达到了系统审计级的标准[1]。 【关键字】安全操作系统 访问控制 防火墙 入侵检测 VPN Design and Implement of A Secure Linux Operating System Based on DOM Wang Dandan, Liu Xiaojie, Li Tao, Pu Haiting, Liu Sha Computer Department, Sichuan University, Chengdu 610065,China 【Abstract】A secure operating system model named NisecLinux has been presented. NisecLinux is implemented on DOM disk and has the mandatory access control mechanism based on network access. Its ability of security has been greatly enhanced by an intrusion detection system related with a firewall; the security of data transfer has been ensured via the technology of virtual private network; the performance of the NisecLinux has been improved by condensing the kernel and file system; the physics security has been strengthened by using DOM disk. NisecLinux has reached the level of system audit standard in security. 【Keywords】secure operating system, access control, firewall, IDS, VPN, 1 引言 Linux操作系统由于其开放源码、价格低廉且性能出色，比较适合作为开发安全操作系统的平台。现有的Linux系统虽然提供了一定的安全机制，但对于作为系统网关的操作平台或完成路由器等功能是远远不够的。而且使用普通硬盘安装一个基本的Linux操作系统仅仅需要很少的空间，如1～2G，造成空间的浪费，并且硬盘的抗震性和抗冲击性较差，使得硬盘作为介质本身就存在物理安全隐患[2]。针对上述情况，本文提出了一种基于DOM盘的安全Linux系统――NisecLinux，它具有如下的优点： 利用DOM盘的高抗震性、高抗冲击性、宽的工作温度范围提高了物理安全性，整个系统大小只有30M；通过重新定制Linux内核和去掉众多的不安全服务来获得内存空间的最佳使用及系统的安全性；定制的Linux系统集成了GateGod防火墙、VPN、IDS等安全技术, 提高了系统数据传输的安全性和网络的可靠性；设定了一个功能可靠的日志系统；配置了Windows的客户端管理工具，方便管理。 2 体系结构 整个NisecLinux系统的设计可以分为五大部分，图1是NisecLinux系统的体系结构[3] ： 图1 图1 NisecLinux系统的体系结构 Fig.1 Framework of NisecLinux 整个系统以安全为原则，在一个精简的Linux系统上搭建了完整的安全平台，下面将对该系统的各个部分分别介绍。 最底层是系统的硬件支持，包括基本的计算机组件、64M的DO