UNIX 計算安全/原則與策略

建議主題：教育、風險管理和執行、政府安全級別（C2 等）

適用於 UNIX 的計算安全通常是指保護基於 UNIX 的計算系統免遭未經授權訪問該系統上的資訊或服務，包括檢視、複製、修改或銷燬資料。

但安全也適用於未經授權的嘗試，透過丟失可用性來拒絕適當的人員訪問儲存的資訊。安全還用於管理系統上的隱私，無論是透過確認執行操作的人員身份，還是透過允許個人控制私人資訊。

為系統提供安全不是目標，而是一個持續的過程。至少目前，UNIX 計算系統永遠無法完全安全。但是，透過不斷對系統應用一系列安全措施，可以將系統面臨的淨風險降至最低。

系統安全的一個必要要素是法律體系。起訴的威脅是阻止非法入侵或活動的重 要因素，尤其是在系統用作公司業務組成部分或重要資訊丟失會導致嚴重後果的情況下。即使系統未被入侵，也可能對業務產生影響。業務服務可能在一段時間內無法使用，給公司造成重大收入損失。

為了成功起訴針對計算機系統的非法活動，必須提供法醫證據來證明犯罪的存在。這需要使用日誌記錄來跟蹤系統上的活動和事件，並保護這些日誌免遭篡改。這也包括需要定期將系統上的檔案備份到安全媒體，如果可行，每天備份一次。如果硬體直接被入侵，可能還需要未經修改的物理證據，包括攝像機記錄、證人等。

在起訴過程中，證明你一直在採取持續的主動措施來防止不當訪問，而不是僅僅在特定情況下啟動監控，這可能很重要。因此，日誌記錄和審計需要成為標準的安全措施。此外，在登入之前需要顯示措辭嚴謹的法律警告通知，這樣潛在的入侵者就無法聲稱自己無知。即使在登入之前顯示的歡迎訊息也可以用作法律辯護。最後，在保護系統方面的盡職調查可以幫助證明不當入侵是蓄意和專心致志的，而不是出於好奇心。

《2002 年薩班斯-奧克斯利法案》是一項重要的立法，旨在幫助防止企業財務欺詐。雖然計算安全不是導致該法案出現的事件的因素，但該立法對安全要求產生了間接影響。該法律對美國公司，或至少是公開上市的公司，施加了會計要求和控制實踐。對準確財務記錄的要求得到了加強，導致需要控制處理財務資訊的各個方面。

計算安全變得相關是因為《薩班斯-奧克斯利法案》的一項規定要求披露可能影響公司利潤表的潛在負債。導致關鍵計算系統被入侵的事件會對公司業務產生重大影響。《薩班斯-奧克斯利法案》與計算安全最相關的三個部分是

• 第 302 條 - 由 CEO 和 CFO 認證財務報表的完整性和準確性。
• 第 404 條 - 管理層對內部控制的評估，必須每年向美國證監會報告。
• 第 409 條 - 即時披露資訊。

由於這些要求，對計算安全的關注已成為一個重要因素。該法案要求公司披露其財務資訊是否被篡改，描述用於保護資料的措施，並保護用於跟蹤資訊安全的資訊。被要求披露其安全措施較差的公司可能會被證明是不受歡迎的投資物件，這會影響其股價。這使得許多商業公司越來越關注計算安全，在某些情況下，這使得計算安全得到了非常必要的關注。

應用安全措施是在維護系統有用性和保持系統安全之間不斷權衡的結果。每項新的安全措施都會進一步限制系統上的活動，並且可能會遭到使用者的抵制。因此，系統運營人員必須權衡資料丟失的風險和實用性降低的風險，並決定額外的措施是否值得權衡。

UNIX 系統的管理員可以透過正確配置作業系統來啟用安全功能，從而顯著降低安全風險。在許多情況下，供應商提供的作業系統以弱安全配置應用。需要仔細檢查系統以控制或消除這些弱點，而忽略應用適當的限制會使系統容易受到利用。

系統得到適當保護後，仍然需要持續維護和監控，才能保持這種狀態。新的漏洞不斷被發現，管理員需要及時瞭解新發現漏洞的補救措施。為此，可能需要定期應用新補丁、對系統配置進行額外的更改，或者簡單地評估風險並確定管理風險的方法。

不幸的是，使用者在 UNIX 系統上的個人操作可能會導致安全風險的淨增加。因此，除了監控使用者可能採取的危害性操作外，還需要對使用者進行一些教育。這種教育包括提高安全意識、培訓使用者避免某些型別的危害性操作，並展示可以增強其資料安全性的有用工具。

確定個人是否有權訪問資訊是 UNIX 系統安全的必要組成部分，這需要訪問控制策略、安全的身份驗證方法以及儲存和傳輸憑據的方法。個人身份用於確定其可以訪問的資訊，以及其修改系統上資訊的許可權。