![]() |
|
5.2 安全功能5.2.1 强制访问控制强制访问控制(Mandatory Access Control——MAC),用于将系统中的信息分密级和类进行管理,以保证每个用户只能访问到那些被标明可以由他访问的信息,是系统中最强度最高的一种访问约束机制。强制访问控制机制通过检查用户与文件中事先设定安全属性,判断用户是否有权限访问该文件,从而为用户提供健全的隐私信息保护功能。 5.2.2 认证机制服务本系统采用可插入认证模块Linux-PAM,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译(或重新编写)一个包含PAM功能的应用程序,就可以改变它使用的认证机制。这种方式下,即使升级本地认证机制,也不用修改程序。 5.2.3 防火墙工具本系统提供了一个非常优秀的防火墙工具—netfilter/iptables。iptables 是与Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 5.2.4 数据完整性监测当服务器遭到黑客攻击时,在多数情况下,黑客可能对系统文件等等一些重要的文件进行修改。对此,本系统用Tripwire建立数据完整性监测系统,可以监测文件是否被修改过以及哪些文件被修改过,从而快速定位被破坏的文件,为后续解决方案提供参考。 5.2.5 信息加密服务本系统采用安全套接层(Secure Sockets Layer,SSL)用于实现传输层的通信加密功能。安全套接层是建立在传输层的安全通信协议,采用公开密钥体系的证书认证方式来确保客户端和 SSL 服务器之间的通信安全。 |