安全
信息安全指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施等)受到保护,使其免受偶然或恶意因素的破坏、更改与泄露,信息的机密性、完整性和可用性得到保证,系统可靠、正常地运行,信息服务连续不中断
安全是全体用户的共同责任。任何系统中的弱点都可能使入侵者获取关键信息并对整个网络造成破坏。信息安全的核心原则之一是 CIA 三要素
- 机密性 Confidentiality
- 完整性 Integrity
- 可用性 Availability
CIA 三要素的概念可追溯至 20 世纪 70 年代中后期的计算机安全研究 后由美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)在其安全标准框架中正式采纳与推广
客户和用户期望其数据得到保护,因此 CIA 三要素是计算机安全的基石
例如,客户期望其信用卡信息得到安全存储(机密性),其订单不会被未经授权篡改(完整性),并且其可随时访问订单信息(可用性)
为保障 CIA 安全,安全专家采用 纵深防御 Defense in Depth 策略。该策略的理念是在多个层面实施安全措施,防止单一层面的安全失效导致整体防御体系崩溃
例如,系统管理员不能仅启用防火墙便认为网络或系统是安全的,还必须审计账户、检查二进制文件的完整性,并确保系统中未安装恶意工具 要实施有效的安全策略,必须了解潜在威胁及其防御方法
计算机安全中的威胁不仅包括远程攻击者试图进行未经授权的系统访问,还涵盖内部人员、恶意软件、未经授权的网络设备、自然灾害、安全漏洞,甚至来自竞争对手的威胁
系统和网络可能遭到未授权访问,此类访问可能是意外发生,也可能由远程攻击者实施,甚至源于企业间谍活动或前员工
用户应在安全事件发生时做好应急响应准备,如实通报情况,同时将相关事件报告给安全团队。作为管理员,了解威胁并做好应对准备同样重要
FreeBSD
作为 FreeBSD 用户,理解如何防范攻击与入侵至关重要
FreeBSD 操作系统内置 安全事件审计支持 。事件审计支持可靠、细粒度且可配置的日志记录,涵盖了各种安全相关的系统事件,包括登录、配置更改以及文件和网络访问。这些日志记录在实时系统监控、入侵检测和事后分析中极具价值
FreeBSD 支持基于 POSIX®.1e 草案的安全扩展。这些安全机制包括文件 系统访问控制列表 Access Control Lists, ACL 和 强制访问控制 MAC
- MAC 允许加载访问控制模块以实施安全策略。一些模块为系统的狭窄子集提供保护,强化特定服务,而另一些则提供跨所有主体和对象的全面标签安全
强制性部分的定义意味着控制的执行由管理员和操作系统共同完成
这与默认的安全机制: 自主访问控制(DAC)形成对比,后者将控制权交由用户自主决定