1、前言

系統(tǒng)安全的根本目標是數(shù)據(jù)資料的安全，而數(shù)據(jù)資料是由它的使用者進行存取和維護的。傳統(tǒng)的數(shù)據(jù)存取和維護，都是以新的數(shù)據(jù)覆蓋舊的數(shù)據(jù)，對于數(shù)據(jù)的無心錯誤，或有心的更改數(shù)據(jù)，一個管理者并無法有效地查出蛛絲馬跡。因此，對數(shù)據(jù)的存取控制是系統(tǒng)安全的一個重要方面。為此，Sandhu等學者提出了一套以角色為基礎的存取控制（Role-based Access Control，RBAC）理論，其基本組件包括使用者（User）、角色（Role）、授權(quán)（Authorization）及會話（Session）。如何為每個使用者分配相應的權(quán)力（即授權(quán)）將是本文將要分析的一個重要原則--最小特權(quán)原則（Least Privilege Theorem）。

2、最小特權(quán)原則簡介

最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(quán)（Least Privilege），指的是"在完成某種操作時所賦予網(wǎng)絡中每個主體（用戶或進程）必不可少的特權(quán)"。最小特權(quán)原則，則是指"應限定網(wǎng)絡中每個主體所必須的最小特權(quán)，確保可能的事故、錯誤、網(wǎng)絡部件的篡改等原因造成的損失最小"。

最小特權(quán)原則一方面給予主體"必不可少"的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務或操作；另一方面，它只給予主體"必不可少"的特權(quán)，這就限制了每個主體所能進行的操作。

最小特權(quán)原則要求每個用戶和程序在操作時應當使用盡可能少的特權(quán)，而角色允許主體以參與某特定工作所需要的最小特權(quán)去簽入（Sign）系統(tǒng)。被授權(quán)擁有強力角色（Powerful Roles）的主體，不需要動輒運用到其所有的特權(quán)，只有在那些特權(quán)有實際需求時，主體才去運用它們。如此一來，將可減少由于不注意的錯誤或是侵入者假裝合法主體所造成的損壞發(fā)生，限制了事故、錯誤或攻擊帶來的危害。它還減少了特權(quán)程序之間潛在的相互作用，從而使對特權(quán)無意的、沒必要的或不適當?shù)氖褂貌惶赡馨l(fā)生。這種想法還可以引申到程序內(nèi)部：只有程序中需要那些特權(quán)的最小部分才擁有特權(quán)。

3、最小特權(quán)原則的應用

3.1 安全操作系統(tǒng)

操作系統(tǒng)對于系統(tǒng)安全來說好比是大樓的地基，如果沒有了它，大樓就無從談起。在計算機系統(tǒng)的各個層次上，硬件、操作系統(tǒng)、網(wǎng)絡軟件、數(shù)據(jù)庫管理系統(tǒng)軟件以及應用軟件，各自在計算機安全中都肩負著重要的職責。在軟件的范疇中，操作系統(tǒng)處在最底層，是所有其他軟件的基礎，它在解決安全上也起著基礎性、關鍵性的作用，沒有操作系統(tǒng)的安全支持，計算機軟件系統(tǒng)的安全就缺乏了根基。對安全操作系統(tǒng)的研究首先從1967年的Adept-50項目開始，隨后安全操作系統(tǒng)的發(fā)展經(jīng)歷了奠基時期、食譜時期、多政策時期以及動態(tài)政策時期。國內(nèi)對安全操作系統(tǒng)的開發(fā)大多處于食譜時期，即以美國國防部的TCSEC（又稱橙皮書）或我國的計算機信息系統(tǒng)安全保護等級劃分準則為標準進行的開發(fā)。

最小特權(quán)在安全操作系統(tǒng)中占據(jù)了非常重要的地位，它適應UNIX操作系統(tǒng)、超級用戶/根目錄體系結(jié)構(gòu)的固有特征，以便了解如何到達根目錄的的任何用戶提供總體系統(tǒng)控制棗而且?guī)缀踉赨NIX環(huán)境工作的所有程序員都了解這一點。

角色管理機制依據(jù)"最小特權(quán)"原則對系統(tǒng)管理員的特權(quán)進行了分化，每個用戶只能擁有剛夠完成工作的最小權(quán)限。然后根據(jù)系統(tǒng)管理任務設立角色，依據(jù)角色劃分權(quán)限，每個角色各負其責，權(quán)限各自分立，一個管理角色不擁有另一個管理角色的特權(quán)。例如當入侵者取得系統(tǒng)管理員權(quán)限后欲訪問一個高安全級別的文件，則很有可能被拒絕。因為用戶（包括系統(tǒng)管理員）在登錄后默認的安全級別是最低的，他無法訪問高級別的文件，而安全級別的調(diào)整只有通過安全管理員才能完成。因此，安全管理員只要對敏感文件配置了合理的安全標記，系統(tǒng)管理員就無法訪問這些文件。由此可知，安全管理員對系統(tǒng)管理員的權(quán)限進行了有力的限制。

Windows NT操作系統(tǒng)的某些漏洞也與最小特權(quán)的應用有關，例如：缺省組的權(quán)利和能力總是不能被刪除，它們包括：Administrator組，服務器操作員組，打印操作員組，帳戶操作員組。這是因為當刪除一個缺省組時，表面上，系統(tǒng)已經(jīng)接受了刪除。然而，當再檢查時，這些組并沒有被真正刪除。有時，當服務器重新啟動時，這些缺省組被賦予回缺省的權(quán)利和能力。為了減小因此而帶來的風險，系統(tǒng)管理員可以創(chuàng)建自己定制的組，根據(jù)最小特權(quán)的原則，定制這些組的權(quán)利和能力，以迎合業(yè)務的需要。可能的話，創(chuàng)建一個新的Administrator組，使其具有特別的指定的權(quán)利和能力。

下面介紹目前幾種安全操作系統(tǒng)及最小特權(quán)的應用：

惠普的Praesidium/Virtual Vault

它通過以最小特權(quán)機制將根功能分成42種獨立的特權(quán)，僅賦予每一應用程序正常運行所需的最小特權(quán)。因而，即便一名黑客將Trojan Horse（特洛伊木馬）程序安裝在金融機構(gòu)的Web服務器上，入侵者也無法改變網(wǎng)絡配置或安裝文件系統(tǒng)。最小特權(quán)是在惠普可信賴操作系統(tǒng)Virtual Vault的基本特性。

紅旗安全操作系統(tǒng)（RFSOS）

RFSOS在系統(tǒng)管理員的權(quán)限、訪問控制、病毒防護方面具有突出的特點，例如在系統(tǒng)特權(quán)分化方面，紅旗安全操作系統(tǒng)根據(jù)"最小特權(quán)"原則，對系統(tǒng)管理員的特權(quán)進行了分化，根據(jù)系統(tǒng)管理任務設立角色，依據(jù)角色劃分特權(quán)。典型的系統(tǒng)管理角色有系統(tǒng)管理員、安全管理員、審計管理員等。系統(tǒng)管理員負責系統(tǒng)的安裝、管理和日常維護，如安裝軟件、增添用戶賬號、數(shù)據(jù)備份等。安全管理員負責安全屬性的設定與管理。審計管理員負責配置系統(tǒng)的審計行為和管理系統(tǒng)的審計信息。一個管理角色不擁有另一個管理角色的特權(quán)。攻擊者破獲某個管理角色的口令時不會得到對系統(tǒng)的完全控制。

中科安勝安全操作系統(tǒng)

安勝安全操作系統(tǒng)是參照美國國防部《可信計算機系統(tǒng)評估準則》B2級安全需求和我國新頒布的《計算機信息系統(tǒng)安全保護等級劃分準則》，結(jié)合我國國情和實際需求，自行開發(fā)的高級別安全操作系統(tǒng)，即安勝安全操作系統(tǒng)（SecLinux），并通過國家信息安全測評認證中心認證，同時獲得公安部的銷售許可。

最小特權(quán)管理是SecLinux的一個特色，它使得系統(tǒng)中不再有超級用戶，而是將其所有特權(quán)分解成一組細粒度的特權(quán)子集，定義成不同的"角色"，分別賦予不同的用戶，每個用戶僅擁有完成其工作所必須的最小特權(quán)，避免了超級用戶的誤操作或其身份被假冒而帶來的安全隱患。

3.2 Internet安全

Internet的發(fā)展可謂一日千里，而對Internet安全的要求卻比Inerternet本身發(fā)展得更快。目前Internet上的安全問題，有相當多的是由于網(wǎng)絡管理員對于角色權(quán)利的錯誤分配引起的。因此，最小特權(quán)原則在Internet安全上也大有用武之地。

在日常生活里，最小特權(quán)的例子也很多。一些汽車制造廠制造汽車鎖，用一個鑰匙開車門和點火器，而用另一個鑰匙開手套箱和衣物箱；停車場的服務員有安排停車的權(quán)而沒有從汽車衣物箱里取東西的權(quán)力；同樣是最小特權(quán)，可以給人汽車的鑰匙而不給他大門的鑰匙。

在Internet上，需要最小特權(quán)的例子也很多，例如：不是每個用戶都需要使用所有的網(wǎng)絡服務；不是每個用戶都需要去修改（甚至去讀）系統(tǒng)中的所有文件；不是每個用戶都需要知道系統(tǒng)的根口令（Root Password)；不是每個系統(tǒng)管理員都必須知道系統(tǒng)的根口令；也不是每個系統(tǒng)都需要去申請每一個其他系統(tǒng)的文件等等。

Internet上出現(xiàn)的一些安全問題都可看成是由于最小特權(quán)原則的失敗。例如Unix上最常用的郵件傳輸協(xié)議Sendmail，它是一個龐大而又復雜的程序。這樣的程序肯定會有很多隱患。它經(jīng)常運行全部解密（Setuid）根目錄，這對很多攻擊者是很有利的。系統(tǒng)上運行的程序希望是盡可能簡單的程序，如果是一個較復雜的程序，那么應該找出辦法從復雜部分里去分開或孤立需要特權(quán)的模塊。

為了保護站點而采取的一些措施也是使用最小特權(quán)原則的，如包過濾系統(tǒng)就設計為只允許進入所需要的服務，而過濾掉不必要的服務。在堡壘主機里也使用了最小特權(quán)原則。

最小特權(quán)原則還有助于建立嚴格的身份認證機制。對于所有接觸系統(tǒng)的人員，按其職責設定其訪問系統(tǒng)的最小權(quán)限；并且按照分級管理原則，嚴格管理內(nèi)部用戶帳號和密碼，進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。具體實現(xiàn)用戶身份認證時，可以通過服務器CA證書與IC卡相結(jié)合實現(xiàn)。CA證書用來認證服務器的身份，IC卡用來認證企業(yè)用戶的身份等等。

4、結(jié)束語

最小特權(quán)原則有效地限制、分割了用戶對數(shù)據(jù)資料進行訪問時的權(quán)限，降低了非法用戶或非法操作可能給系統(tǒng)及數(shù)據(jù)帶來的損失，對于系統(tǒng)安全具有至關重要的作用。但目前大多數(shù)系統(tǒng)的管理員對于最小特權(quán)原則的認識還不夠深入。尤其是對于UNIX、Windows系列操作系統(tǒng)下，因為系統(tǒng)所賦予用戶的默認權(quán)限是最高的權(quán)限，例如Windows NT下的目錄和文件的默認權(quán)限是Everyone（所有人）均具有完全的權(quán)限，而Administrator（系統(tǒng)管理員）則有對整個系統(tǒng)的完全控制。如果系統(tǒng)的管理員不對此進行修改，則系統(tǒng)的安全性將非常薄弱。

當然，最小特權(quán)原則只是系統(tǒng)安全的原則之一，如縱深防御原則、特權(quán)分離原則、強制存取控制等等。如果要使系統(tǒng)的達到相當高的安全性，還需要其他原則的配合使用。