配备HSDSMT(quepy@sohu.com)、指挥技术学院研究生
简介:最小特权原则是系统安全的最基本原则之一,它限制了访问系统和数据所需的最小权限,允许用户完成已执行的任务,同时由于非法用户和异常操作本文从安全操作系统和互联网安全的角度论述了最小特权原则的应用。
前言
系统安全的根本目标是数据数据的安全,数据数据是用户访问和维护的。 传统的数据访问和维护用新数据覆盖旧数据。 对于数据意外错误或意外更改的数据,管理员无法有效地检测到痕迹。 因此,对数据的访问控制是系统安全性的重要方面之一。 为此,Sandhu等学者提出了基于角色的访问控制(RBAC )理论,其基本组件是用户)、角色)、授权)以及会话) sesser ) 这是本文分析的重要原则之一的最小特权原则(Least Privilege Theorem )。
回到首位
最小特权原则介绍
最小特权原则是系统安全中最基本的原则之一。 最低权限(Least Privilege )是网络中每个主体(用户或进程)在执行某些操作时所必需的权限。 最小特权原则是“限定网络中各主体所需的最小特权,将可能的事故、错误、网络部件篡改等原因造成的损失降到最低”。
最小特权原则一方面赋予主体“必不可少”的特权,保证所有主体都能在被赋予的特权下完成必要的任务或操作。 另一方面,代理只被赋予了“必不可少”的特权,限制了各代理可以进行的操作。
最低权限原则要求每个用户和程序在操作过程中使用尽可能少的权限。 另一方面,角色允许主体以参与特定工作所需的最低特权签入系统。 被授权具有强大角色(Powerful Roles )的主体不需要盲目应用于其所有特权,只有在这些特权有实际需求时,主体才能运用它们。 这样可以减少疏忽失误和入侵者伪装合法主体造成的损害的发生,限制事故、失误、攻击造成的危害。 它还减少了特权进程之间的潜在相互作用,使特权不太可能发生无意、不必要或不适当的使用。 这个想法也涉及到程序内部,即程序中只有需要这些特权的最小部分才具有特权。
回到首位
最小特权原则的应用
安全的操作系统
操作系统对于系统安全来说就像大楼的基础,没有它,大楼就无从谈起。 在计算机系统的各个层次,硬件、操作系统、网络软件、数据库管理系统软件和APP软件分别在计算机安全中起着重要的作用。 在软件范畴中,操作系统位于最底层,是所有其他软件的基础,它在解决安全问题上也起着基础性和关键性的作用,如果没有操作系统的安全支持,计算机软件安全操作系统的研究首先从1967年的Adept-50项目开始,之后安全操作系统的发展经历了奠基时期、食谱时期、多政策时期以及动态政策时期。 国内安全操作系统的开发大多处于配方时期,即按照美国国防部的TCSEC (也称为PORTY )和我国计算机信息系统的安全保护等级划分标准进行开发。
最小特权在安全操作系统中占有非常重要的地位,它适应了UNIX操作系统、超级用户/根目录体系结构的固有特点,用户知道如何到达根目录
角色管理机制根据“最小特权”原则分化系统管理员的特权,每个用户只有足够的最小权限来完成工作。 并根据系统管理任务设置角色,根据角色划分权限,各角色各负其责,权限各不相同,一个管理角色不具有另一个管理角色的特权。 例如,如果入侵者获得系统管理员权限,然后尝试访问较安全的文件,则很可能会被拒绝。 包括系统管理员在内的用户无法访问高级文件,因为登录后的默认安全级别最低。 只有安全管理员才能调整安全级别。 因此,只要为敏感文件设置了适当的安全标志,系统管理员就无权访问这些文件。 由此可见,安全管理员对系统管理员的权限施加了强有力的限制。
Windows NT操作系统中的一些漏洞还与无法删除缺省组权限和能力的最低特权APP应用相关联,例如管理员组、服务器操作员组、打印操作员组和帐户操作员组这是因为,删除默认组时,系统从表面上接受了删除。 但是,重新检查时,这些组实际上并没有被删除。 在某些情况下,重新启动服务可能会赋予这些默认组默认权限和功能。 为了降低这些风险,系统管理员可以创建自己定制的组,并根据最低特权原则定制这些组的权限和能力以满足业务需求。 如果可能,创建新的管理员组,使其具有特殊指定的权利和能力。
下面介绍当前几种安全操作系统和最小特权的应用。
HP的预装/虚拟vault以最小的特权机制路由
功能分成42种独立的特权,仅赋予每一应用程序正常运行所需的最小特权。因而,即便一名黑客将Trojan Horse(特洛伊木马)程序安装在金融机构的Web服务器上,入侵者也无法改变网络配置或安装文件系统。最小特权是在惠普可信赖操作系统Virtual Vault的基本特性。红旗安全操作系统(RFSOS)RFSOS在系统管理员的权限、访问控制、病毒防护方面具有突出的特点,例如在系统特权分化方面,红旗安全操作系统根据"最小特权"原则,对系统管理员的特权进行了分化,根据系统管理任务设立角色,依据角色划分特权。典型的系统管理角色有系统管理员、安全管理员、审计管理员等。系统管理员负责系统的安装、管理和日常维护,如安装软件、增添用户账号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。中科安胜安全操作系统安胜安全操作系统是参照美国国防部《可信计算机系统评估准则》B2级安全需求和我国新颁布的《计算机信息系统安全保护等级划分准则》,结合我国国情和实际需求,自行开发的高级别安全操作系统,即安胜安全操作系统(SecLinux),并通过国家信息安全测评认证中心认证,同时获得公安部的销售许可。
最小特权管理是SecLinux的一个特色,它使得系统中不再有超级用户,而是将其所有特权分解成一组细粒度的特权子集,定义成不同的"角色",分别赋予不同的用户,每个用户仅拥有完成其工作所必须的最小特权,避免了超级用户的误操作或其身份被假冒而带来的安全隐患。
Internet安全
Internet的发展可谓一日千里,而对Internet安全的要求却比Inerternet本身发展得更快。目前Internet上的安全问题,有相当多的是由于网络管理员对于角色权利的错误分配引起的。因此,最小特权原则在Internet安全上也大有用武之地。
在日常生活里,最小特权的例子也很多。一些汽车制造厂制造汽车锁,用一个钥匙开车门和点火器,而用另一个钥匙开手套箱和衣物箱;停车场的服务员有安排停车的权而没有从汽车衣物箱里取东西的权力;同样是最小特权,可以给人汽车的钥匙而不给他大门的钥匙。
在Internet上,需要最小特权的例子也很多,例如:不是每个用户都需要使用所有的网络服务;不是每个用户都需要去修改(甚至去读)系统中的所有文件;不是每个用户都需要知道系统的根口令(Root Password);不是每个系统管理员都必须知道系统的根口令;也不是每个系统都需要去申请每一个其他系统的文件等等。
Internet上出现的一些安全问题都可看成是由于最小特权原则的失败。例如Unix上最常用的邮件传输协议Sendmail,它是一个庞大而又复杂的程序。这样的程序肯定会有很多隐患。它经常运行全部解密(Setuid)根目录,这对很多攻击者是很有利的。系统上运行的程序希望是尽可能简单的程序,如果是一个较复杂的程序,那么应该找出办法从复杂部分里去分开或孤立需要特权的模块。
为了保护站点而采取的一些措施也是使用最小特权原则的,如包过滤系统就设计为只允许进入所需要的服务,而过滤掉不必要的服务。在堡垒主机里也使用了最小特权原则。
最小特权原则还有助于建立严格的身份认证机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限;并且按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。具体实现用户身份认证时,可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份等等。
回页首
结束语
最小特权原则有效地限制、分割了用户对数据资料进行访问时的权限,降低了非法用户或非法操作可能给系统及数据带来的损失,对于系统安全具有至关重要的作用。但目前大多数系统的管理员对于最小特权原则的认识还不够深入。尤其是对于UNIX、Windows系列操作系统下,因为系统所赋予用户的默认权限是最高的权限,例如Windows NT下的目录和文件的默认权限是Everyone(所有人)均具有完全的权限,而Administrator(系统管理员)则有对整个系统的完全控制。如果系统的管理员不对此进行修改,则系统的安全性将非常薄弱。
当然,最小特权原则只是系统安全的原则之一,如纵深防御原则、特权分离原则、强制存取控制等等。如果要使系统的达到相当高的安全性,还需要其他原则的配合使用。
参考资料
gldhb、wxdppx、xhdxss,《数据库滥用轨迹塑模》总参通信部,《中华人民共和国国家军用标准》,1992年9月
《安全从底层做起》,计算机世界报,第12期
无奈的月光,《根上解决安全问题》
jddqq,《构筑企业内部的钢铁长城》
关于作者
hsdsmt:装备指挥技术学院研究生,研究信息对抗方向。您可以通过 quepy@sohu.com与他联系!
原文地址:http://www.ibm.com/developerworks/cn/security/se-limited/index.html