系统安全的最小特权原则

你是否正在寻找关于最小特权原则的内容？让我把最有用的东西奉献给你：

系统安全的最小特权原则

newmaker

1、前言
系统安全的根本目标是的安全，而是由它的使用者进行存取和维护的。传统的数据存取和维护，都是以新的数据覆盖旧的数据，对于数据的无心错误，或有心的更改数据，一个治理者并无法有效地查出蛛丝马迹。因此，对数据的存取控制是系统安全的一个重要方面。为此，Sandhu等学者提出了一套以角色为基础的存取控制（Role-based Access Control，RBAC）理论，其基本组件包括使用者（User）、角色（Role）、授权（Authorization）及会话（Session）。如作甚每个使用者分配相应的权力（即授权）将是本文将要分析的一个重要原则--最小特权原则（Least Privilege Theorem）。
2、最小特权原则简介
最小特权原则是系统安全中最基本的原则之一。所谓最小特权（Least Privilege），指的是"在完成某种操纵时所赋予网络中每个主体（用户或进程）必不可少的特权"。最小特权原则，则是指"应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。
最小特权原则一方面给予主体"必不可少"的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操纵；另一方面，它只给予主体"必不可少"的特权，这就限制了每个主体所能进行的操纵。
最小特权原则要求每个用户和程序在操纵时应当使用尽可能少的特权，而角色答应主体以参与某特定工作所需要的最小特权往签进（Sign）系统。被授权拥有强力角色（Powerful Roles）的主体，不需要动辄运用到其所有的特权，只有在那些特权有实际需求时，主体才往运用它们。如此一来，将可减少由于不留意的错误或是侵进者假装正当主体所造成的损坏发生，限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜伏的相互作用，从而使对特权无意的、没必要的或不适当的使用不太可能发生。这种想法还可以引申到程序内部：只有程序中需要那些特权的最小部分才拥有特权。
3、最小特权原则的应用
3.1 安全操纵系统
操纵系统对于系统安全来说比如是大楼的地基，假如没有了它，大楼就无从谈起，。在计算机系统的各个层次上，硬件、操纵系统、网络软件、治理系统软件以及应用软件，各安闲计算机安全中都肩负着重要的职责。在软件的范畴中，操纵系统处在最底层，是所有其他软件的基础，它在解决安全上也起着基础性、关键性的作用，没有操纵系统的安全支持，计算机软件系统的安全就缺乏了根基。对安全操纵系统的研究首先从1967年的Adept-50项目开始，随后安全操纵系统的发展经历了奠基时期、食谱时期、多政策时期以及动态政策时期。国内对安全操纵系统的开发大多处于食谱时期，即以美国国防部的TCSEC（又称橙皮书）或我国的计算机信息系统安全保护等级划分准则为标准进行的开发。
最小特权在安全操纵系统中占据了非常重要的地位，它适应UNIX操纵系统、超级用户/根目录体系结构的固有特征，以便了解如何到达根目录的的任何用户提供总体系统控制棗而且几乎在UNIX环境工作的所有程序员都了解这一点。
角色治理机制依据"最小特权"原则对系统治理员的特权进行了分化，每个用户只能拥有刚够完成工作的最小权限。然后根据系统治理任务设立角色，依据角色划分权限，每个角色各负其责，权限各自分立，一个治理角色不拥有另一个治理角色的特权。例如当进侵者取得系统治理员权限后欲访问一个高安全级别的文件，则很有可能被拒尽。由于用户（包括系统治理员）在登录后默认的安全级别是最低的，他无法访问高级别的文件，而安全级别的调整只有通过安全治理员才能完成。因此，安全治理员只要对敏感文件配置了公道的安全标记，系统治理员就无法访问这些文件。由此可知，安全治理员对系统治理员的权限进行了有力的限制。
Windows NT操纵系统的某些漏洞也与最小特权的应用有关，例如：缺省组的权利和能力总是不能被删除，它们包括：Administrator组，服务器操纵员组，打印操纵员组，帐户操纵员组。这是由于当删除一个缺省组时，表面上，系统已经接受了删除。然而，当再检查时，这些组并没有被真正删除。有时，当服务器重新启动时，这些缺省组被赋予回缺省的权利和能力。为了减小因此而带来的风险，系统治理员可以创建自己定制的组，根据最小特权的原则，定制这些组的权利和能力，以迎合业务的需要。可能的话，创建一个新的Administrator组，使其具有特别的指定的权利和能力。
下面介绍目前几种安全操纵系统及最小特权的应用：
惠普的Praesidium/Virtual Vault
它通过以最小特权机制将根功能分成42种独立的特权，仅赋予每一应用程序正常运行所需的最小特权。因而，即便一名黑客将Trojan Horse（木马）程序安装在金融机构的Web服务器上，进侵者也无法改变网络配置或安装文件系统。最小特权是在惠普可信赖操纵系统Virtual Vault的基本特性。
红旗安全操纵系统（RFSOS）
RFSOS在系统治理员的权限、访问控制、病毒防护方有突出的特点，例如在系统特权分化方面，红旗安全操纵系统根据"最小特权"原则，对系统治理员的特权进行了分化，根据系统治理任务设立角色，依据角色划分特权。典型的系统治理角色有系统治理员、安全治理员、审计治理员等。系统治理员负责系统的安装、治理和日常维护，如安装软件、增添用户账号、数据备份等。安全治理员负责安全属性的设定与治理。审计治理员负责配置系统的审计行为和治理系统的审计信息。一个治理角色不拥有另一个治理角色的特权。攻击者破获某个治理角色的口令时不会得到对系统的完全控制。
中科安胜安全操纵系统
安胜安全操纵系统是参照美国国防部《可信计算机系统评估准则》B2级安全需求和我国新颁布的《计算机信息系统安全保护等级划分准则》，结合我国国情和实际需求，自行开发的高级别安全操纵系统，即安胜安全操纵系统（SecLinux），并通过国家信息安全测评认证中心认证，同时获得部的销售许可。
最小特权治理是SecLinux的一个特色，它使得系统中不再有超级用户，而是将其所有特权分解成一组细粒度的特权子集，定义成不同的"角色"，分别赋予不同的用户，每个用户仅拥有完成其工作所必须的最小特权，避免了超级用户的误操纵或其身份被假冒而带来的安全隐患。
3.2 Internet安全
Internet的发展可谓一日千里，而对Internet安全的要求却比Inerternet本身发展得更快。目前Internet上的安全题目，有相当多的是由于网络治理员对于角色权利的错误分配引起的。因此，最小特权原则在Internet安全上也大有用武之地。
在日常生活里，最小特权的例子也很多。一些汽车制造厂制造汽车锁，用一个钥匙开车门和点火器，而用另一个钥匙开手套箱和衣物箱；停车场的服务员有安排停车的权而没有从汽车衣物箱里取东西的权力；同样是最小特权，可以给人汽车的钥匙而不给他大门的钥匙。
在Internet上，需要最小特权的例子也很多，例如：不是每个用户都需要使用所有的网络服务；不是每个用户都需要往修改（甚至往读）系统中的所有文件；不是每个用户都需要知道系统的根口令（Root Password)；不是每个系统治理员都必须知道系统的根口令；也不是每个系统都需要往申请每一个其他系统的文件等等。
Internet上出现的一些安全题目都可看成是由于最小特权原则的失败。例如Unix上最常用的邮件传输协议Sendmail，它是一个庞大而又复杂的程序。这样的程序肯定会有很多隐患。它经常运行全部解密（Setuid）根目录，这对很多攻击者是很有利的。系统上运行的程序希看是尽可能简单的程序，假如是一个较复杂的程序，那么应该找出办法从复杂部分里往分开或孤立需要特权的模块。
为了保护站点而采取的一些措施也是使用最小特权原则的，如包过滤系统就设计为只答应进进所需要的服务，而过滤掉不必要的服务。在堡垒主机里也使用了最小特权原则。
最小特权原则还有助于建立严格的身份认证机制。对于所有接触系统的职员，按其职责设定其访问系统的最小权限；并且按照分级治理原则，严格治理内部用户帐号和密码，进进系统内部必须通过严格的身份确认，防止非法占用、冒用正当用户帐号和密码。具体实现用户身份认证时，可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份等等。
4、结束语
最小特权原则有效地限制、分割了用户对进行访问时的权限，降低了非法用户或非法操纵可能给系统及数据带来的损失，对于系统安全具有至关重要的作用。但目前大多数系统的治理员对于最小特权原则的熟悉还不够深进。尤其是对于UNIX、Windows系列操纵系统下，由于系统所赋予用户的默认权限是最高的权限，例如Windows NT下的目录和文件的默认权限是Everyone（所有人）均具有完全的权限，而Administrator（系统治理员）则有对整个系统的完全控制。假如系统的治理员不对此进行修改，则系统的安全性将非常薄弱。
当然，最小特权原则只是系统安全的原则之一，如纵深防御原则、特权分离原则、强制存取控制等等。假如要使系统的达到相当高的安全性，还需要其他原则的配合使用。 (end)

以上就是关于最小特权原则的全部内容，相信你一定会非常满意。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-398-1.html