用戶們都一直很關心Unix操作系統的安全問題。特別是我們在使用網絡中,經常會遇到網絡攻擊。那我們應該怎麼防范呢?下面我們將會在文章中給大家提出幾種防范策略。
Unix操作系統網絡安全防范策略
Unix操作系統網絡系統的攻擊者可能是非法用戶,也可能是合法用戶,因此,加強內部管理、防范與外部同樣重要。可實施以下策略進行防范。
(1)加強Unix操作系統用戶權限管理。為了保護Unix操作系統資源安全,即使是對合法用戶也必須采用最小權限法,即給每個用戶只授予完成特定任務所必需的系統訪問權限。通常可以采用給每一個用戶建立請求文件和資源訪問許可權的程序,給定每個用戶要處理的任務權限及任務的持續時間等。
(2)加強Unix操作系統用戶口令管理和更新。口令通常是較容易出現問題的地方,即使口令被加密,也容易在非法入侵者的“猛烈攻擊”下被攻破。金融系統通常是一個群體工作環境,工作中經常存在各種授權,銀行的櫃台活動也處在電視監控之下,口令洩露機會較多。
因此,一方面要強制使用安全口令(使用非字母字符、大小寫字母混用、規定口令最小長度不得少於6位數,最好8位數、使用強加密算法等);另一方面系統管理員要主動定期使用口令檢查程序(如:Crack)對口令文件進行檢查,若口令不合乎安全規范,則需及時更換口令。
還可以采用一定的技術手段,增加“字典攻擊”的難度,如改變口令加密算法中的加密參數,然後加密口令,這樣除非攻擊者同樣改變了此參數,否則就得不到正確的口令。加強監控室及監控錄象帶的管理,對各類授權活動最好采用刷卡方式進行。
(3)Unix操作系統設置防火牆。將網絡系統內部分為多個子網,分級進行管理,這樣可以有效地阻止或延緩入侵者的侵入。通常防火牆設置在內部網絡與外部網絡的接口處,防火牆從功能和實現機制上分為數據包過濾、代理服務器兩大類,兩者在安全防護上各有特點,因此,一個比較完善的防護隔離體系就是將兩種防火牆結合起來,形成屏蔽子網體系結構,此舉可大大提高內部網絡的安全系數。
但是,防火牆只能防護外部網絡對內部網絡的攻擊,無法防護由內部網絡發起的攻擊或者擁有合法訪問權限的內部人員從外部發起的攻擊,並且防火牆無法防護內外網絡之間有其它不通過防火牆的通路。總之,防火牆需要與其它機制配合才能適應新的威協。
(4)建立Unix操作系統實時監視系統。使用ISS的RealSecure實時監控系統對網絡系統的運行過程進行實時監視和審計,對內部或外部黑客的侵入及一些異常的網絡活動能夠實時地進行識別、審計、告警、攔截。RealSecure還能和防火牆產品配合,及時切斷“黑客”與信息系統的連接,形成一個動態的安全防護體系。
(5)定期對Unix操作系統網絡進行安全漏洞檢測。網絡安全是千變萬化的,所以保護措施也應該是動態的,沒有固定的模式可循,作為Unix操作系統的管理人員,也要嘗試定期對網絡服務器進行攻擊測試,這樣既可以分析和探索試圖入侵者的攻擊思路,同時又可以及時發現系統安全保護機制中的潛在問題,及時進行有效防范。
(6)制定相應的災難恢復計劃。沒有一種安全策略是十全十美的,因此根據可能發生的情況制定相應的災難恢復計劃是非常有必要的。一是定時對網絡系統上各個計算機的系統文件、數據庫文件進行備份。
二是對網絡系統和通訊系統備份,在系統萬一遇到惡意攻擊、軟件故障、硬件故障、用戶錯誤、系統管理員錯誤等災難後,可以及時采取相應的對策,恢復系統的正常運行,盡可能將損失減少到最小程度。
以上就是這次我們要介紹的幾種Unix操作系統網絡安全防范策略 ,希望大家可以有更多的了解。
