金融领域unix网络系统的安全管理策略.doc

金融领域UNIX网络系统的安全管理策略
只有针对UNIX网络系统存在的漏洞采取相应的安全保护措施,才能遏制金融计算机犯罪率。但在客观上要完全消除UNIX网络系统的安全隐患非常困难,一是因为UNIX系统本身是一种非常复杂的系统,二是因为UNIX系统数年来在各领域的广泛使用,使得它成为被研究得最透彻的系统之一。


用户帐号就是用户在UNIX系统上的合法身份标志,其最简单的形式是用户名/口令。在UNIX系统内部,与用户名/口令有关的信息存储在/etc/passwd文件中,一旦当非法用户获得passwd文件时,虽然口令是被加密的密文,但如果口令的安全强度不高,非法用户即可采用“字典攻击”的方法枚举到用户口令,特别是当网络系统有某一入口时,获取passwd文件就非常容易。

UNIX文件系统的安全主要是通过设置文件的权限来实现的。每一个UNIX文件和目录都有18种不同的权限,这些权限大体可分为3类,即此文件的所有者、组和其他人的使用权限如只读、可写、可执行、允许SUID和SGID等。需注意的是权限为允许SUID、SGID和可执行文件在程序运行中,会给进程赋予所有者的权限,若被入侵者利用,就会留下隐患,给入侵者的成功入侵提供了方便。

日志文件是用来记录系统使用状况的。UNIX中比较重要的日志文件有3种:
(1)/usr/adm/lastlog文件。此文件用于记录每个用户最后登录的时间(包括成功和未成功的),这样用户每次登录后,只要查看一下所有帐号的最后登录时间就可以确定本用户是否曾经被盗用。
(2)/etc/utmp和/etc/wtmp文件。utmp文件用来记录当前登录到系统的用户,Wtmp文件则同时记录用户的登录和注销。
(3)/usr/adm/acct文件。此文件用于记录每个用户运行的每条命令,通常我们称之为系统记帐。

金融系统应用的UNIX网络系统一般均采用客户/服务器方式。系统前台客户机运行并向后台系统发出请求,后台服务器为前台系统提供服务,系统功能由前后台协同完成,典型的应用如:前台运行银行界面输入输出、数据校验等功能,后台实现数据库查询等操作。由于UNIX系统设计基于一种开放式体系结构,系统中紧密集成了通信服务,但存在一定程度的安全漏洞,容易受到非法攻击,通过多年的实践证明,加强安全防范,特别是针对一些可能的网络攻击采取一定的安全防范措施,UNIX网络系统的安全性就可以大大提高。

(1)猛烈攻击(Brute-forceAttack)。此攻击的目标是为破译口令和加密的信息资源,当试图入侵者使用一个高速处理器时,便可试用各种口令组合(或加密密钥),直到最终找到正确的口令进入网络,此法通常称之为“字典攻击”。
(2)社会工程攻击(Social-engineeringAttack)。此攻击也是最难防备的一种攻击方式。网上黑客通常扮成技术支持人员呼叫用户,并向用户索要口令,而后以用户的身份进入系统。这是一种最简单同时也是最有效的攻击方式。
(3)被动攻击(PassiveAttack)。非法用户通过探测网络布线等方法,收集敏感数据或认证信息,以备日后访问其他资源。
(4)拒