涉密内网环境下UNIX主机的安全防护与监测研究
|
摘要
本文针对涉密局域网中UNIX主机的安全需求,重点研究“可信环境”下UNIX主机的信息安全防护理论和技术,分析了UNIX系统的安全漏洞、威胁及风险,设计了UNIX主机的安全保护策略,提出了主机可适应性安全管理模型,讨论了基于规则的访问控制、主机入侵检测、安全审计技术等。并给出了实现上述主要功能的软件设计方案,为内部网络中的主机系统提供有效的安全保护手段,包括在实现第一层次(由系统管理员实施的“防外”用户及黑客攻击)、第二层次(由系统管理员实施的“防内”用户的非授权行为)防御功能的基础上,实现第三层次(由系统安全审计员实施的)“限制系统管理员”及用户的非授权行为;采用基于典型应用的主机安全策略及基于策略的主机安全管理;提供基于历史数据的保护功能、安全信息统计、数据管理及数据分析;基于多角色职责分工的功能设计(系统管理员、系统安全员、安全审计员等);防系统管理员违规的特殊设计。
According to the security requirements of the UNIX host , in this article the information security technology of the UNIX host on a trusted environment is discussed. The security vulnerabilities, threats and risks for UNIX systems are analyzed. An UNIX host's security policy and an adaptive security management model are proposed. Some technologies of the RSBAC, HIDS and security audit are also discussed. And finally, the host security monitor & management software blueprint is given.
According to the security requirements of the UNIX host , in this article the information security technology of the UNIX host on a trusted environment is discussed. The security vulnerabilities, threats and risks for UNIX systems are analyzed. An UNIX host's security policy and an adaptive security management model are proposed. Some technologies of the RSBAC, HIDS and security audit are also discussed. And finally, the host security monitor & management software blueprint is given.
引文
(1) 戴宗坤,罗万伯,唐三平等,《信息系统安全》,北京:金城出版社,2000.9
(2) 卿斯汉,Unix/Linux操作系统安全,计算机系统应用.2002,(8).-46-48
(3) 缪继东、赵强、姜建国,一个分布式审计系统的原型,中国计算机学会信息保密专业委员会2000年年会。
(4) 李志,徐时新,蒋东兴,构建主机安全系统,计算机工程与应用.2000,36(8).-54-56
(5) 蒋东兴,张亮等,扩展访问控制保护主机安全,网络安全技术与应用,2001,(3).-19-21
(6) 戴志锋,何军,一种基于主机分布式安全扫描的计算机免疫系统模型,计算机应用,.2001,21(10).-24-26,29
(7) 艾艳,张晓,Digital Unix安全管理技巧,河南教育学院学报,.2002,11(1).-55-57
(8) 余三明 王碧华,UNIX安全问题与对策,中国金融电脑.2000,(4).-38-40
(9) 徐良华 江晓茵,SWS/UNIX安全操作系统的实现,电子计算机,.2000,(4).-45-48
(10) 翟加强 孙建华,UNIX网络安全性浅析,电脑技术信息,1998,(11).45-47
(11) 文获和,网络环境下的UNIX系统安全管理,电脑与信息技术,..1998,6(3).-54-57
(12) 盛水源,为服务器的安全而战,计算机安全.2002,(1 8).-52-52
(13) 郑承满,Unix系统限制终端登录小技巧,微电脑世界,2002,(12).-103-103
(14) 姬长锋 董宝田,Unix系统的入侵检测与安全防卫,微计算机应用,2002,23(4).-202-204.
(15) 邓舒坚,安全构架UNIX应用平台经验谈,中国金融电脑,.2002,(1).-69-72
(16) 戴志锋,Unix环境下程序和业务数据安全性探析,中国金融电脑,2001,(7).-31-34
(17) 李俊 李海涛等,Unix下基于用户的网络访问控制和审计,北京大学学报:自然科学版.2002,38(1).-35-38
(18) 林涛,金融领域UNIX网络系统的安全管理策略,中国金融电脑.2001,(1).-61-63
(19) 施晶,UNIX(Linux)系统的入侵追踪,网络安全技术与应用.2001,(011).-44-44
(20) 李波,加强UNIX操作系统网络的安全措施,网络安全技术与应用,.2001,(008).-52-54
(21) 梁俊 皇甫正贤,对Unix应用系统实现监控的设计,计算机工程,.2001,27(9).-149-150
(22) 梁意文 潘海军等,基于UNIX进程的入侵检测模型,计算机工程与应用,.2001,37(15).-121.122,172
(23) 余三明 王碧华,UNIX安全问题与对策,中国金融电脑.,2000,(4).-38-40
(24) 邱保志 许玲,Unix系统的网络安全性,计算机应用.,2000,20(2).-48-50
(25) 严云洋,UNL-K系统的安全管理策略和措施,计算机系统应用.,1999,(11).-34-36
(26) 舒敏 徐小秋,UNIX系统的安全问题,计算机应用.,1999,19(3).-27-30
(27) 刘淳 汪为农,系统安全检测的研究及应用,计算机工程.,1999,25(8).-42-44
(28) 赵新宁 王汝传,Unix系统下网络安全的研究,南京邮电学院学报.,2001,21(1).-91-94
(29) 高新瑞 周文山等,Hacker攻击与UNIX系统,计算机时代.,2001,(1).-36-37
(30) 汪立东 方滨兴,UNIX缓冲区溢出攻击:技术原理,防范与检测,计算机工程与应用,.2000,36(2).-12-14
(31) Securing UNIX, IT Security Cookbook, 29 November 2000
(32) 缪继东等;涉密信息系统的风险分析:ZW-M-2003;中物院GF技术报告
(33) 曾启铭,陶以政等,某涉密网络安全保密解决方案补充方案(内部资料)
(34) 国家信息中心信息安全处,计算机信息系统的安全问题(内部资料)
(35) Linux的安全机制,王府培训,2001
(36) 高鹏,严望佳,UNIX系统安全,清华大学出版社,1999年
(37) Seth T.Ross,UNIX系统安全工具,机械工业出版社,2000年
(38) Anne Carasik,SSH UNIX Secure Shell,机械工业出版社,2000年
(39) 关义章,蒋继红,方关宝,戴宗坤,信息系统安全工程学,金城出版社
(40) 何炎祥,陈莘萌,Agent和多Agent系统的设计和应用,武汉大学出版社
(41) IRIX系统参考手册,美国SGI公司
(42) HP-UX CMW Administrator Tutorial, Trusted System Training, Inc.
(43) HP-UX CMW User Tutorial, Trusted System Training, Inc.
(44) e-Trust软件参考手册,CA公司
(45) ISS软件参考手册,ISS公司
(46) COSIX 64汇览,中软公司
(2) 卿斯汉,Unix/Linux操作系统安全,计算机系统应用.2002,(8).-46-48
(3) 缪继东、赵强、姜建国,一个分布式审计系统的原型,中国计算机学会信息保密专业委员会2000年年会。
(4) 李志,徐时新,蒋东兴,构建主机安全系统,计算机工程与应用.2000,36(8).-54-56
(5) 蒋东兴,张亮等,扩展访问控制保护主机安全,网络安全技术与应用,2001,(3).-19-21
(6) 戴志锋,何军,一种基于主机分布式安全扫描的计算机免疫系统模型,计算机应用,.2001,21(10).-24-26,29
(7) 艾艳,张晓,Digital Unix安全管理技巧,河南教育学院学报,.2002,11(1).-55-57
(8) 余三明 王碧华,UNIX安全问题与对策,中国金融电脑.2000,(4).-38-40
(9) 徐良华 江晓茵,SWS/UNIX安全操作系统的实现,电子计算机,.2000,(4).-45-48
(10) 翟加强 孙建华,UNIX网络安全性浅析,电脑技术信息,1998,(11).45-47
(11) 文获和,网络环境下的UNIX系统安全管理,电脑与信息技术,..1998,6(3).-54-57
(12) 盛水源,为服务器的安全而战,计算机安全.2002,(1 8).-52-52
(13) 郑承满,Unix系统限制终端登录小技巧,微电脑世界,2002,(12).-103-103
(14) 姬长锋 董宝田,Unix系统的入侵检测与安全防卫,微计算机应用,2002,23(4).-202-204.
(15) 邓舒坚,安全构架UNIX应用平台经验谈,中国金融电脑,.2002,(1).-69-72
(16) 戴志锋,Unix环境下程序和业务数据安全性探析,中国金融电脑,2001,(7).-31-34
(17) 李俊 李海涛等,Unix下基于用户的网络访问控制和审计,北京大学学报:自然科学版.2002,38(1).-35-38
(18) 林涛,金融领域UNIX网络系统的安全管理策略,中国金融电脑.2001,(1).-61-63
(19) 施晶,UNIX(Linux)系统的入侵追踪,网络安全技术与应用.2001,(011).-44-44
(20) 李波,加强UNIX操作系统网络的安全措施,网络安全技术与应用,.2001,(008).-52-54
(21) 梁俊 皇甫正贤,对Unix应用系统实现监控的设计,计算机工程,.2001,27(9).-149-150
(22) 梁意文 潘海军等,基于UNIX进程的入侵检测模型,计算机工程与应用,.2001,37(15).-121.122,172
(23) 余三明 王碧华,UNIX安全问题与对策,中国金融电脑.,2000,(4).-38-40
(24) 邱保志 许玲,Unix系统的网络安全性,计算机应用.,2000,20(2).-48-50
(25) 严云洋,UNL-K系统的安全管理策略和措施,计算机系统应用.,1999,(11).-34-36
(26) 舒敏 徐小秋,UNIX系统的安全问题,计算机应用.,1999,19(3).-27-30
(27) 刘淳 汪为农,系统安全检测的研究及应用,计算机工程.,1999,25(8).-42-44
(28) 赵新宁 王汝传,Unix系统下网络安全的研究,南京邮电学院学报.,2001,21(1).-91-94
(29) 高新瑞 周文山等,Hacker攻击与UNIX系统,计算机时代.,2001,(1).-36-37
(30) 汪立东 方滨兴,UNIX缓冲区溢出攻击:技术原理,防范与检测,计算机工程与应用,.2000,36(2).-12-14
(31) Securing UNIX, IT Security Cookbook, 29 November 2000
(32) 缪继东等;涉密信息系统的风险分析:ZW-M-2003;中物院GF技术报告
(33) 曾启铭,陶以政等,某涉密网络安全保密解决方案补充方案(内部资料)
(34) 国家信息中心信息安全处,计算机信息系统的安全问题(内部资料)
(35) Linux的安全机制,王府培训,2001
(36) 高鹏,严望佳,UNIX系统安全,清华大学出版社,1999年
(37) Seth T.Ross,UNIX系统安全工具,机械工业出版社,2000年
(38) Anne Carasik,SSH UNIX Secure Shell,机械工业出版社,2000年
(39) 关义章,蒋继红,方关宝,戴宗坤,信息系统安全工程学,金城出版社
(40) 何炎祥,陈莘萌,Agent和多Agent系统的设计和应用,武汉大学出版社
(41) IRIX系统参考手册,美国SGI公司
(42) HP-UX CMW Administrator Tutorial, Trusted System Training, Inc.
(43) HP-UX CMW User Tutorial, Trusted System Training, Inc.
(44) e-Trust软件参考手册,CA公司
(45) ISS软件参考手册,ISS公司
(46) COSIX 64汇览,中软公司