用戶們都一直很關(guān)心Unix操作系統(tǒng)的安全問(wèn)題。特別是我們?cè)谑褂镁W(wǎng)絡(luò)中，經(jīng)常會(huì)遇到網(wǎng)絡(luò)攻擊。那我們應(yīng)該怎么防范呢？下面我們將會(huì)在文章中給大家提出幾種防范策略。

Unix操作系統(tǒng)網(wǎng)絡(luò)安全防范策略

Unix操作系統(tǒng)網(wǎng)絡(luò)系統(tǒng)的攻擊者可能是非法用戶，也可能是合法用戶，因此，加強(qiáng)內(nèi)部管理、防范與外部同樣重要。可實(shí)施以下策略進(jìn)行防范。

(1)加強(qiáng)Unix操作系統(tǒng)用戶權(quán)限管理。為了保護(hù)Unix操作系統(tǒng)資源安全，即使是對(duì)合法用戶也必須采用最小權(quán)限法，即給每個(gè)用戶只授予完成特定任務(wù)所必需的系統(tǒng)訪問(wèn)權(quán)限。通?？梢圆捎媒o每一個(gè)用戶建立請(qǐng)求文件和資源訪問(wèn)許可權(quán)的程序，給定每個(gè)用戶要處理的任務(wù)權(quán)限及任務(wù)的持續(xù)時(shí)間等。

(2)加強(qiáng)Unix操作系統(tǒng)用戶口令管理和更新。口令通常是較容易出現(xiàn)問(wèn)題的地方，即使口令被加密，也容易在非法入侵者的“猛烈攻擊”下被攻破。金融系統(tǒng)通常是一個(gè)群體工作環(huán)境，工作中經(jīng)常存在各種授權(quán)，銀行的柜臺(tái)活動(dòng)也處在電視監(jiān)控之下，口令泄露機(jī)會(huì)較多。

因此，一方面要強(qiáng)制使用安全口令(使用非字母字符、大小寫(xiě)字母混用、規(guī)定口令最小長(zhǎng)度不得少于6位數(shù)，最好8位數(shù)、使用強(qiáng)加密算法等);另一方面系統(tǒng)管理員要主動(dòng)定期使用口令檢查程序(如:Crack)對(duì)口令文件進(jìn)行檢查，若口令不合乎安全規(guī)范，則需及時(shí)更換口令。

還可以采用一定的技術(shù)手段，增加“字典攻擊”的難度，如改變口令加密算法中的加密參數(shù)，然后加密口令，這樣除非攻擊者同樣改變了此參數(shù)，否則就得不到正確的口令。加強(qiáng)監(jiān)控室及監(jiān)控錄象帶的管理，對(duì)各類授權(quán)活動(dòng)最好采用刷卡方式進(jìn)行。

(3)Unix操作系統(tǒng)設(shè)置防火墻。將網(wǎng)絡(luò)系統(tǒng)內(nèi)部分為多個(gè)子網(wǎng)，分級(jí)進(jìn)行管理，這樣可以有效地阻止或延緩入侵者的侵入。通常防火墻設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口處，防火墻從功能和實(shí)現(xiàn)機(jī)制上分為數(shù)據(jù)包過(guò)濾、代理服務(wù)器兩大類，兩者在安全防護(hù)上各有特點(diǎn)，因此，一個(gè)比較完善的防護(hù)隔離體系就是將兩種防火墻結(jié)合起來(lái)，形成屏蔽子網(wǎng)體系結(jié)構(gòu)，此舉可大大提高內(nèi)部網(wǎng)絡(luò)的安全系數(shù)。

但是，防火墻只能防護(hù)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，無(wú)法防護(hù)由內(nèi)部網(wǎng)絡(luò)發(fā)起的攻擊或者擁有合法訪問(wèn)權(quán)限的內(nèi)部人員從外部發(fā)起的攻擊，并且防火墻無(wú)法防護(hù)內(nèi)外網(wǎng)絡(luò)之間有其它不通過(guò)防火墻的通路。總之，防火墻需要與其它機(jī)制配合才能適應(yīng)新的威協(xié)。

(4)建立Unix操作系統(tǒng)實(shí)時(shí)監(jiān)視系統(tǒng)。使用ISS的RealSecure實(shí)時(shí)監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行過(guò)程進(jìn)行實(shí)時(shí)監(jiān)視和審計(jì)，對(duì)內(nèi)部或外部黑客的侵入及一些異常的網(wǎng)絡(luò)活動(dòng)能夠?qū)崟r(shí)地進(jìn)行識(shí)別、審計(jì)、告警、攔截。RealSecure還能和防火墻產(chǎn)品配合，及時(shí)切斷“黑客”與信息系統(tǒng)的連接，形成一個(gè)動(dòng)態(tài)的安全防護(hù)體系。

(5)定期對(duì)Unix操作系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全漏洞檢測(cè)。網(wǎng)絡(luò)安全是千變?nèi)f化的，所以保護(hù)措施也應(yīng)該是動(dòng)態(tài)的，沒(méi)有固定的模式可循，作為Unix操作系統(tǒng)的管理人員,也要嘗試定期對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊測(cè)試，這樣既可以分析和探索試圖入侵者的攻擊思路，同時(shí)又可以及時(shí)發(fā)現(xiàn)系統(tǒng)安全保護(hù)機(jī)制中的潛在問(wèn)題，及時(shí)進(jìn)行有效防范。

(6)制定相應(yīng)的災(zāi)難恢復(fù)計(jì)劃。沒(méi)有一種安全策略是十全十美的，因此根據(jù)可能發(fā)生的情況制定相應(yīng)的災(zāi)難恢復(fù)計(jì)劃是非常有必要的。一是定時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)上各個(gè)計(jì)算機(jī)的系統(tǒng)文件、數(shù)據(jù)庫(kù)文件進(jìn)行備份。

二是對(duì)網(wǎng)絡(luò)系統(tǒng)和通訊系統(tǒng)備份，在系統(tǒng)萬(wàn)一遇到惡意攻擊、軟件故障、硬件故障、用戶錯(cuò)誤、系統(tǒng)管理員錯(cuò)誤等災(zāi)難后，可以及時(shí)采取相應(yīng)的對(duì)策，恢復(fù)系統(tǒng)的正常運(yùn)行，盡可能將損失減少到最小程度。

以上就是這次我們要介紹的幾種Unix操作系統(tǒng)網(wǎng)絡(luò)安全防范策略 ，希望大家可以有更多的了解。

【編輯推薦】

1. 配置Unix操作系統(tǒng)打印接口
2. 完美解析Unix操作系統(tǒng)中sar命令
3. 如何文件切割Unix操作系統(tǒng)
4. 講解Unix操作系統(tǒng)引導(dǎo)過(guò)程
5. 解析Unix操作系統(tǒng)變種SCO UnixWare