金融系統(tǒng)的業(yè)務(wù)系統(tǒng)大部分以UNIX/XENIX操作系統(tǒng)為平臺，以TCP/IP為網(wǎng)絡(luò)平臺。如何加強UNIX網(wǎng)絡(luò)系統(tǒng)的安全性管理，筆者以SCO UNIX 3.2V4.2為例，提幾點看法，與廣大同仁商榷。

這里所說的安全性，主要指通過防止本機或本網(wǎng)被非法侵入、訪問，從而達到保護本系統(tǒng)信息可靠、正常運行，本文只在此范圍內(nèi)討論，對其他方面不予考慮。

一、抓好網(wǎng)內(nèi)主機的管理，是網(wǎng)絡(luò)安全管理的前提

用戶和密碼管理永遠是系統(tǒng)安全管理最重要的環(huán)節(jié)之一，對網(wǎng)絡(luò)的任何攻擊，都不可能沒有合法的用戶和密碼(后臺網(wǎng)絡(luò)應(yīng)用程序開后門例外)。但目前絕大部分系統(tǒng)管理員只注重對特權(quán)用戶的管理，而忽視對普通用戶的管理。主要表現(xiàn)在設(shè)置用戶時圖省事方便，胡亂設(shè)置用戶的權(quán)限(ID)，組別(GROUP)和文件權(quán)限，為非法用戶竊取信息和破壞系統(tǒng)留下空隙。

金融系統(tǒng)UNIX的用戶都是最終用戶，他們只需在具體應(yīng)用系統(tǒng)中工作，完成某些固定的任務(wù)，一般情況下不需執(zhí)行系統(tǒng)(SHELL)命令。

用戶正常登錄后，如果按下中斷鍵delete，關(guān)掉終端電源，或同時鍵入“Ctrl""\"，那么用戶將進入SHELL(命令)狀態(tài)。例如，用戶可在自己的目錄下不斷創(chuàng)建子目錄而耗盡系統(tǒng)的Ⅰ節(jié)點號，或用yes>aa創(chuàng)建一個巨大無比的垃圾文件而耗盡硬盤空間等都可能導(dǎo)致系統(tǒng)的崩潰、癱瘓;如果文件系統(tǒng)的權(quán)限設(shè)置不嚴密，就可運行、窺視甚至修改文件系統(tǒng)的權(quán)限;還可通過su等命令竊取更高的權(quán)限;還可登錄到其它主機上去搗亂……令你防不勝防，危險性可想而知。這一切問題都與用戶設(shè)置有關(guān)。所以盡量不要把用戶設(shè)置成上述形式，如果必須這樣，可根據(jù)實際需要，看看能否把用戶的sh變成受限sh，如rsh等，變成如下形式：

dzhd:x:200:50::/usr/dzhd/obj:/bin/rsh

或如下形式：

dzhd:x:200:50::/usr/dzhd:./main

在main(.profile)首部增加如下一行：

tarp''0 1 2 3 5 15

那么上述一切問題都可以避免。

此外，定期檢查/etc/passwd文件，看看是否具有來歷不明的用戶和用戶的權(quán)限;定期修改用戶密碼，特別是uucp、bin等不常用的用戶密碼，以防有人在此開個活動的天窗——一個可自由進出的用戶窗口;刪除所有睡眠用戶等。

所以筆者認為，合理設(shè)置用戶是主機管理的關(guān)鍵。

二、設(shè)置好自己的網(wǎng)絡(luò)環(huán)境，是阻止非法訪問的有效途徑

網(wǎng)上訪問的常用工具有telnet、ftp、rlogin、rcp、rcmd等網(wǎng)絡(luò)操作命令，必須加以限制。最簡單的方法是修改/etc/services中相應(yīng)的服務(wù)端口號。但這樣做會使網(wǎng)外的一切訪問都被拒絕，即使合法訪問。筆者不提倡這種閉關(guān)自守的做法，因為這樣使本網(wǎng)和網(wǎng)外不兼容，也會給自己帶來不便。通過對UNIX系統(tǒng)的分析，筆者認為有可能做到有條件限制(允許)網(wǎng)上訪問。

1)建立/etc/ftpuser文件：不受歡迎的ftp用戶表。配置如下：

#用戶名

dgxt

dzhd

...

以上都是本機內(nèi)的一些用戶。入侵者即使通過以上用戶名和ftp訪問本網(wǎng)都會被拒之門外。與之相關(guān)的命令是ftp。

2)保密.netre: 遠程注冊數(shù)據(jù)文件。包含注冊到網(wǎng)絡(luò)上由ftp作文件轉(zhuǎn)移的遠程主機的數(shù)據(jù)。通常駐留在用戶當前目錄中，文件權(quán)限必須為0600。

3)創(chuàng)建匿名ftp：所謂匿名ftp，其他主機的用戶都能以ftp或anyones用戶進行數(shù)據(jù)收發(fā)，而不要任何密碼。

4)限制.rhosts用戶等價文件，又叫受托用戶文件，與之有關(guān)命令有rlogin、rcp、rcmd等。

所謂用戶等價，就是用戶不用輸入密碼，以相同的用戶信息登錄到另一臺主機中。用戶等價的文件名為.rhosts，存放在根下或用戶主目錄下。

5)限制hosts.equiv主機等價文件，又叫受托主機文件。有關(guān)的命令為rlogin、rcp、rcmd等。主機等價類似于用戶等價，在兩臺計算機除根目錄外的所有區(qū)域有效，主機等價文件為hosts.equiv,存放在/etc下。

控制方法如下：

當遠程使用ftp訪問本系統(tǒng)時，UNIX系統(tǒng)首先驗證用戶名和密碼，無誤后查看ftpusers文件，一旦其中包含登錄所有用戶名則自動拒絕連接，從而達到限制作用。因此，只要把本機內(nèi)除匿名ftp以外的所有用戶列入ftpusers文件中，即使入侵者獲得本機內(nèi)正確的用戶信息，本機的大門也無法打開。如需對外發(fā)布的信息，放到/usr/ftp/pub下，讓遠方通過匿名ftp獲取。使用匿名ftp，不需密碼，不會對本機系統(tǒng)的安全構(gòu)成威脅，因為它無法改變目錄，也就無法獲得本機內(nèi)的其他信息。使用.netrc配置，需注意保密，防止泄露其他相關(guān)主機的信息。

使用戶等價和主機等價這類訪問由于用戶不用口令而像其他有效用戶一樣登錄到遠程系統(tǒng)，因此具有嚴重的不安全性，必須嚴格控制或在非?？煽康沫h(huán)境下使用。遠程用戶可使用rlogin直接登錄而不需密碼，還可使用rcp命令向或從本地主機復(fù)制文件，也可使用rcmd遠程執(zhí)行本機內(nèi)的命令等。當用戶需頻繁登錄到另一系統(tǒng)，可有效地增加登錄速度，減少運行在遠程系統(tǒng)的進程數(shù)量，防止網(wǎng)上竊聽等。

UNIX系統(tǒng)沒有直接提供對telnet的控制。但/ctc/profile是系統(tǒng)默認SHELL變量文件，所有用戶登錄時必須首先執(zhí)行它。如果在該文件首部增加幾條SHELL命令，非法用戶即使獲得了合法的用戶名和密碼，也無法遠程使用。系統(tǒng)管理員定時閱讀日記文件，注意控制臺信息，就能獲得被非法訪問的情況，及時采取措施。如果用C語言實現(xiàn)上述過程，把接受密碼變成不可顯示，效果更佳。

三、注意對重要資料的保密

主要包括hosts表、X.25地址、路由、連接Modem的電話號碼及所用的通信軟件的種類、網(wǎng)內(nèi)的用戶名等，這些資料都應(yīng)采取一些保密措施，防止隨意擴散。如可向電信部門申請，通信專用的電話號碼不刊登，不供查詢等。由于公共的或普通郵電交換設(shè)備的介入，信息通過這些設(shè)備后可能被篡改或泄露。

設(shè)置合理的路由，可有效防止信息的泄露。

四、注意對重要網(wǎng)絡(luò)設(shè)備的管理

路由器在網(wǎng)絡(luò)安全計劃中是很重要的一環(huán)?，F(xiàn)在大多數(shù)路由器已具備防火墻的一些功能。如禁止telnet的訪問，禁止非法的網(wǎng)段訪問等。來自網(wǎng)絡(luò)路由器正確的存取過濾是限制外部訪問簡單而有效的手段。

有條件的地方還可設(shè)置網(wǎng)關(guān)，將本網(wǎng)和他網(wǎng)隔離，網(wǎng)關(guān)上不存放任何業(yè)務(wù)數(shù)據(jù)，刪除除了系統(tǒng)正常運行所必須的用戶以外的用戶，也能增強網(wǎng)絡(luò)的安全性。

總之，只要從現(xiàn)在做起，培養(yǎng)網(wǎng)絡(luò)的安全意識，并注意經(jīng)驗的積累和學(xué)習(xí)，完全可能保證信息系統(tǒng)的安全正常運行。

【編輯推薦】

1. 金融領(lǐng)域UNIX網(wǎng)絡(luò)系統(tǒng)的安全管理策略
2. 使用NIS和NFS管理UNIX網(wǎng)絡(luò)
3. unix和windows比較