概述企业中的安全性

  首先，我们将描述 AIX V6 中新的安全特性如何处理传统 UNIX® 安全模型中的某些问题，以及现在的业务所碰到的各种问题。计算机安全领域是一个动态的、不断变化的领域，在这个领域中，企业必须不断地集成和组合使用许多机制，以处理各种不断变化的威胁。要创建一种合适的安全策略，组织必须了解它的优势与劣势、资产的价值，以及所面临的威胁来源。

　　企业的安全性包含很多方面。对于 IT 安全性来说，操作系统安全提供了基础，以便软件栈中的其余部分能够在此基础上构建自身的安全。从历史的角度而言，AIX 提供了很强的操作系统安全性。AIX V6 构建于这种安全性之上，并且提供了许多安全特性，以解决不同的操作环境所面临的各种威胁。

　　通常，安全威胁被认为是来自外部组织的各种活动，并且常常使用防火墙和 DMZ 为企业环境设置相应的保护。各种计算机取证数据一致地显示了企业中经常发生的入侵。这种情况常常令人感到不安，并且一定程度的拒绝可能表示计算机安全措施的不足。安全隐患包括因疏忽而导致的误用，或者对系统的错误配置，从而有意地损坏或者盗取知识产权。情绪不满的雇员、甚至“间谍”都可能对系统造成严重的破坏，因为他们非常了解所使用的安全系统。例如，在很多企业网络中仍然使用明文的密码。使用全局和虚拟的工作区通常可能会造成更多的问题，在这种环境中，宝贵的知识产权内容并不在有效的边界之内。

　　这种问题无法通过某个程序或者某种技术来解决，但是必须组合使用各种技术、业务、实践，以及社会工程来构造一个完整的安全模型。通常，安全解决方案可能难以理解，或者难以实现。组织必须首先了解对于他们特定的情况所存在的威胁类型，以及遭受安全破坏时所付出的代价。有人将其描述为数据的“毒性”。如果丢失数据所付出的代价非常大，如违反保护保密性和隐私性的法律要求，那么企业就必须在保障系统安全方面倍加注意。AIX 创建了一些相关的工具，以简化和增强管理员在操作系统中确保数据安全的能力。

　　安全威胁的类型

　　可以将计算机系统所面临的威胁分为不同的类别。其中一种主要的类别是系统完整性方面的威胁。产生这种类型的威胁的原因是，系统中存在一些恶意模块，它们将使得系统门户大开，以便将来从内部或者外部对系统进行访问。它还可能使得系统中的关键文件和数据更容易遭到破坏。系统完整性是系统的所有其他安全方面的基础。如果系统完整性受到破坏，那么该系统中所有的决策和操作也可能受到破坏，因为一些关键的系统文件和行为无法受到信任或者进行预测。

　　对于计算机系统而言，另一种常见的威胁是未经授权的访问的威胁。可能通过几种不同的机制来实施这种威胁。直接蛮力攻击(如密码破解软件)，或者一些更加隐蔽的攻击(如利用网络软件的漏洞获取访问权限)，都可能导致未经授权的访问。

　　一种更直接的、未经授权的访问威胁是，未经授权的系统管理员访问。缓冲区溢出是一种用于实现未经授权的访问的常见机制。这种类型的攻击将向某个程序提供比其预期的内容更多的输入数据。对额外的输入数据进行精心地设计，使其成为某种类型的可执行指令集。当这个程序运行时，数据区将会溢出到栈区，并且当该程序返回时，将执行溢出的数据。通常，将执行一些特权命令或者可执行文件。它将以特权状态在堆栈中执行相关的代码。这些常用机制的目的是，获取访问受保护的文件或者目录的权限。幸运的是，AIX 5L V5.3 和 AIX V6.1 中的增强功能提供了一些相关的特性，以便通过适当的策略配置、授权的定义、以及对所执行的代码进行密码验证，专门减少或者消除这些机制的使用。还可以通过资源的隔离来实现这种保护。

　　在计算机系统所面临的威胁中，违反用户安全策略的威胁是另一种常见的威胁。在正常情况下，系统中的用户具有拥有和创建文件的授权和能力，并且限制其他用户访问这些文件。另一种威胁是，绕过用户控制的保护机制的威胁，从而在未经所有者允许，或者在所有者不知情的情况下，查看或者修改用户的目录和文件。这些攻击的示例包括超级用户攻击以及病毒/特洛伊木马攻击。特洛伊木马攻击可能包括各种形式，其中通过一个代理进程以用户的身份(如 Java™ Applet)执行违反用户安全策略的操作。

　　对于安全管理员来说，违反站点安全策略的威胁是需要重点关注的。在正常情况下，一个站点具有它自己的安全策略，这些策略将强制实施，而不依赖于适当的用户行为或者自愿性的站点策略服从。

　　例如，通常使用相同计算机系统的人可能来自不同的组(例如，人事部门和会计组)，但是每个组所关联的文件只能由该组中的成员进行访问。还有一种威胁，即用户可能不小心、或者有意识地共享某个文件、或者某个文件的副本，从而允许没有经过授权可以访问该信息的用户对其进行访问，尽管这两个用户在系统中都是授权的用户。标准的 UNIX 系统没有提供相关的机制以禁止这种类型的用户活动。

　　计算机专业人员和业务实践专业人员越来越重视另一种威胁，即缺少用户职能和审核的威胁。在出现破坏时，或者在正常的业务监视过程中，存在另一种威胁，系统管理可能无法将系统中的活动与发起或者允许该活动的单独责任联系起来。缺乏审核系统、审核系统无法保护审核文件、审核系统无法启用，或者系统无法正确地将用户与系统活动关联起来，都可能导致这种威胁。

　　AIX V6.1 安全特性及其处理的威胁

　　通过将各种对策内置到 AIX 中(无需向客户收取任何额外的费用)，AIX 安全增强功能可以解决各种类型的威胁。这些特性使用不同的安全和密码机制来确定和维护系统所需的状态。AIX V6.1 在常规 UNIX 机制的基础上提供了更多的机制，以确保对计算机系统中各种组件和数据的信任。表 1 显示了各种威胁，以及所提供的用于处理这些威胁的特性。

　　表 1

　　威胁 特性 说明

　　系统完整性

　　Trusted Execution 确保不会对二进制代码进行更改，并且不会执行任何恶意的代码。

　　系统完整性

　　AIX Security Expert 通过设置安全策略减少安全隐患。

　　系统完整性

　　Trusted AIX 多级别系统中可信计算的基础。

　　未经授权的访问

　　AIX Security Expert 为网络、密码设置相应的策略。

　　未经授权的访问

　　Role Based Access Control 对特权操作进行细粒度的控制。

　　未经授权的访问

　　Secure by Default 减少网络访问。

　　未经授权的访问

　　File Permission Manager 减少 setuid 位

　　未经授权的访问

　　Encrypted File System 未经授权的用户无法读取文件。

　　未经授权的系统管理员访问

　　Role Based Access Control 将 root 分为不同的角色，并为进程设置相应的权限。

　　未经授权的系统管理员访问

　　Trusted AIX 删除 root 的概念。

　　违反站点的安全策略

　　AIX Security Expert 安全策略集中化

　　违反站点的安全策略

　　Trusted AIX 在没有 root 概念的情况下进行访问控制。

　　未经授权的系统管理员访问

　　AIX Security Expert 启用审计功能。

　　未经授权的系统管理员访问

　　Trusted AIX 审计重点的内容和资源。

　　AIX V6 中用于建立信任关系的安全增强功能概述

　　下面，我们列举了 AIX V6 中主要安全增强功能。这些特性作为操作系统中的一部分而提供，并且对于客户来说，可以免费地使用。因为有些文件集依赖于基础的密码工具包(根据美国的出口条例，不允许随操作系统出口)，可能需要单独地安装这些所需的加密工具包。

　　说明：因为出口管理的限制，单独地提供了相关的密码模块。为了使用其中的一些特性，需要安装这些密码模块。

　　AIX Security Expert(一种安全加强工具)的增强功能。

　　缺省安全(Secure By Default，SbD)。

　　全面实现增强的、基于角色的访问控制(Role Based Access Control，RBAC)系统

　　加密的文件系统(Encrypted File Systems，EFS)

　　工作负载分区(Workload Partitions，WPAR)

　　可信的执行(Trusted Execution，TE)

　　可信的 AIX(Trust AIX)

　　安全 FTP(Secure FTP)

　　长密码短语支持(Long Passphrase Support)

　　表 2 显示了一些新的特性，并简要描述了希望使用这些特性的客户的类型。

　　表 2 AIX V6 中的安全增强功能

　　特性 应该使用该特性的用户

　　AIX Security Expert 每个人都应该使用这个功能。 可以将客户的加强脚本添加作为附加的规则，并由 AIX Security Expert 进行调用。

　　Secure By Default 希望安装最少数量的文件集，并希望严格控制向基础操作系统所添加的内容的用户。在缺省安全的安装中，禁用了网络连接性。也适用于在不受信任的网络中所安装的系统。

　　File Permission Manager 那些希望程序开启的 setuid 位实现最小化的客户。

　　Role Based Access Control 具有多个管理员，并且希望所有人都具有 root 访问权限和 root 能力的客户。对于那些位于公司以外、但必须对服务器进行管理的管理员来说，这是非常有价值的。在缺省情况下，AIX V6 安装启用了 RBAC。

　　Encrypted File Systems 那些希望通过对文件进行加密，实现更充分地隐私保护和访问的用户;那些根据相应法规或者业务实践，需要对敏感的数据进行加密的客户。需要安装一个密码工具包。

　　Trusted Execution 希望对客户特定的文件进行完整性检查的客户，可以将他们的文件添加到可信的签名数据库(Trusted Signature Database，TSD)。AIX 操作系统的文件将自动地加入到 TSD 中。这是对可信的计算数据库 (Trusted Computing Database) 的替代。

　　Workload Partitions 那些希望为应用程序添加系统隔离，以防止应用程序之间相互干扰的客户。这样做提供了一种沙箱环境，在此环境中，可以将应用程序代码与可能受到攻击的其他代码隔离开来。

　　Trusted AIX 其数据属于不同的安全分类级别，并且必须确保数据不会泄漏到其他级别的客户。也适用于那些希望采用强制访问控制安全模式(其中以一种自顶向下的层次方式来定义安全策略)、希望删除功能强大的 root ID 概念的客户。

　　Secure FTP 那些需要对使用 FTP 服务器进行文件传输的用户进行身份验证、不希望强制使用 SSH 的客户。需要创建一个 OpenSSL 密钥存储库。长密码短语支持

　　Long Passphrase Support 希望使用更长密码的用户。不需要

　　总结

　　通过上述文字的描述，向您大概的介绍了一下 AIX 6 安全方面的新特性，其中有不少是新增的功能。当然，短短的这些文字不能让您更多的了解其中的细节，如果您感兴趣可以通过参考资源中的红皮书原文地址了解更多，更详细的内容，我们也会在后面陆续推出相应的主要章节的内容，希望您能继续关注。