UNIX 计算安全/原则与策略

建议主题：教育、风险管理和执行、政府安全级别（C2 等）

适用于 UNIX 的计算安全通常是指保护基于 UNIX 的计算系统免遭未经授权访问该系统上的信息或服务，包括查看、复制、修改或销毁数据。

但安全也适用于未经授权的尝试，通过丢失可用性来拒绝适当的人员访问存储的信息。安全还用于管理系统上的隐私，无论是通过确认执行操作的人员身份，还是通过允许个人控制私人信息。

为系统提供安全不是目标，而是一个持续的过程。至少目前，UNIX 计算系统永远无法完全安全。但是，通过不断对系统应用一系列安全措施，可以将系统面临的净风险降至最低。

系统安全的一个必要要素是法律体系。起诉的威胁是阻止非法入侵或活动的重 要因素，尤其是在系统用作公司业务组成部分或重要信息丢失会导致严重后果的情况下。即使系统未被入侵，也可能对业务产生影响。业务服务可能在一段时间内无法使用，给公司造成重大收入损失。

为了成功起诉针对计算机系统的非法活动，必须提供法医证据来证明犯罪的存在。这需要使用日志记录来跟踪系统上的活动和事件，并保护这些日志免遭篡改。这也包括需要定期将系统上的文件备份到安全媒体，如果可行，每天备份一次。如果硬件直接被入侵，可能还需要未经修改的物理证据，包括摄像机记录、证人等。

在起诉过程中，证明你一直在采取持续的主动措施来防止不当访问，而不是仅仅在特定情况下启动监控，这可能很重要。因此，日志记录和审计需要成为标准的安全措施。此外，在登录之前需要显示措辞严谨的法律警告通知，这样潜在的入侵者就无法声称自己无知。即使在登录之前显示的欢迎消息也可以用作法律辩护。最后，在保护系统方面的尽职调查可以帮助证明不当入侵是蓄意和专心致志的，而不是出于好奇心。

《2002 年萨班斯-奥克斯利法案》是一项重要的立法，旨在帮助防止企业财务欺诈。虽然计算安全不是导致该法案出现的事件的因素，但该立法对安全要求产生了间接影响。该法律对美国公司，或至少是公开上市的公司，施加了会计要求和控制实践。对准确财务记录的要求得到了加强，导致需要控制处理财务信息的各个方面。

计算安全变得相关是因为《萨班斯-奥克斯利法案》的一项规定要求披露可能影响公司利润表的潜在负债。导致关键计算系统被入侵的事件会对公司业务产生重大影响。《萨班斯-奥克斯利法案》与计算安全最相关的三个部分是

• 第 302 条 - 由 CEO 和 CFO 认证财务报表的完整性和准确性。
• 第 404 条 - 管理层对内部控制的评估，必须每年向美国证监会报告。
• 第 409 条 - 实时披露信息。

由于这些要求，对计算安全的关注已成为一个重要因素。该法案要求公司披露其财务信息是否被篡改，描述用于保护数据的措施，并保护用于跟踪信息安全的信息。被要求披露其安全措施较差的公司可能会被证明是不受欢迎的投资对象，这会影响其股价。这使得许多商业公司越来越关注计算安全，在某些情况下，这使得计算安全得到了非常必要的关注。

应用安全措施是在维护系统有用性和保持系统安全之间不断权衡的结果。每项新的安全措施都会进一步限制系统上的活动，并且可能会遭到用户的抵制。因此，系统运营人员必须权衡数据丢失的风险和实用性降低的风险，并决定额外的措施是否值得权衡。

UNIX 系统的管理员可以通过正确配置操作系统来启用安全功能，从而显著降低安全风险。在许多情况下，供应商提供的操作系统以弱安全配置应用。需要仔细检查系统以控制或消除这些弱点，而忽略应用适当的限制会使系统容易受到利用。

系统得到适当保护后，仍然需要持续维护和监控，才能保持这种状态。新的漏洞不断被发现，管理员需要及时了解新发现漏洞的补救措施。为此，可能需要定期应用新补丁、对系统配置进行额外的更改，或者简单地评估风险并确定管理风险的方法。

不幸的是，用户在 UNIX 系统上的个人操作可能会导致安全风险的净增加。因此，除了监控用户可能采取的危害性操作外，还需要对用户进行一些教育。这种教育包括提高安全意识、培训用户避免某些类型的危害性操作，并展示可以增强其数据安全性的有用工具。

确定个人是否有权访问信息是 UNIX 系统安全的必要组成部分，这需要访问控制策略、安全的身份验证方法以及存储和传输凭据的方法。个人身份用于确定其可以访问的信息，以及其修改系统上信息的权限。