1、前言
系統安全的根本目標是數據資料的安全,而數據資料是由它的使用者進行存取和維護的。傳統的數據存取和維護,都是以新的數據覆蓋舊的數據,對于數據的無心錯誤,或有心的更改數據,一個管理者并無法有效地查出蛛絲馬跡。因此,對數據的存取控制是系統安全的一個重要方面。為此,Sandhu等學者提出了一套以角色為基礎的存取控制(Role-based Access Control,RBAC)理論,其基本組件包括使用者(User)、角色(Role)、授權(Authorization)及會話(Session)。如何為每個使用者分配相應的權力(即授權)將是本文將要分析的一個重要原則--最小特權原則(Least Privilege Theorem)。
2、最小特權原則簡介
最小特權原則是系統安全中最基本的原則之一。所謂最小特權(Least Privilege),指的是"在完成某種操作時所賦予網絡中每個主體(用戶或進程)必不可少的特權"。最小特權原則,則是指"應限定網絡中每個主體所必須的最小特權,確保可能的事故、錯誤、網絡部件的篡改等原因造成的損失最小"。
最小特權原則一方面給予主體"必不可少"的特權,這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作;另一方面,它只給予主體"必不可少"的特權,這就限制了每個主體所能進行的操作。
最小特權原則要求每個用戶和程序在操作時應當使用盡可能少的特權,而角色允許主體以參與某特定工作所需要的最小特權去簽入(Sign)系統。被授權擁有強力角色(Powerful Roles)的主體,不需要動輒運用到其所有的特權,只有在那些特權有實際需求時,主體才去運用它們。如此一來,將可減少由于不注意的錯誤或是侵入者假裝合法主體所造成的損壞發生,限制了事故、錯誤或攻擊帶來的危害。它還減少了特權程序之間潛在的相互作用,從而使對特權無意的、沒必要的或不適當的使用不太可能發生。這種想法還可以引申到程序內部:只有程序中需要那些特權的最小部分才擁有特權。
3、最小特權原則的應用
3.1 安全操作系統
操作系統對于系統安全來說好比是大樓的地基,如果沒有了它,大樓就無從談起。在計算機系統的各個層次上,硬件、操作系統、網絡軟件、數據庫管理系統軟件以及應用軟件,各自在計算機安全中都肩負著重要的職責。在軟件的范疇中,操作系統處在最底層,是所有其他軟件的基礎,它在解決安全上也起著基礎性、關鍵性的作用,沒有操作系統的安全支持,計算機軟件系統的安全就缺乏了根基。對安全操作系統的研究首先從1967年的Adept-50項目開始,隨后安全操作系統的發展經歷了奠基時期、食譜時期、多政策時期以及動態政策時期。國內對安全操作系統的開發大多處于食譜時期,即以美國國防部的TCSEC(又稱橙皮書)或我國的計算機信息系統安全保護等級劃分準則為標準進行的開發。
最小特權在安全操作系統中占據了非常重要的地位,它適應UNIX操作系統、超級用戶/根目錄體系結構的固有特征,以便了解如何到達根目錄的的任何用戶提供總體系統控制棗而且幾乎在UNIX環境工作的所有程序員都了解這一點。
角色管理機制依據"最小特權"原則對系統管理員的特權進行了分化,每個用戶只能擁有剛夠完成工作的最小權限。然后根據系統管理任務設立角色,依據角色劃分權限,每個角色各負其責,權限各自分立,一個管理角色不擁有另一個管理角色的特權。例如當入侵者取得系統管理員權限后欲訪問一個高安全級別的文件,則很有可能被拒絕。因為用戶(包括系統管理員)在登錄后默認的安全級別是最低的,他無法訪問高級別的文件,而安全級別的調整只有通過安全管理員才能完成。因此,安全管理員只要對敏感文件配置了合理的安全標記,系統管理員就無法訪問這些文件。由此可知,安全管理員對系統管理員的權限進行了有力的限制。
Windows NT操作系統的某些漏洞也與最小特權的應用有關,例如:缺省組的權利和能力總是不能被刪除,它們包括:Administrator組,服務器操作員組,打印操作員組,帳戶操作員組。這是因為當刪除一個缺省組時,表面上,系統已經接受了刪除。然而,當再檢查時,這些組并沒有被真正刪除。有時,當服務器重新啟動時,這些缺省組被賦予回缺省的權利和能力。為了減小因此而帶來的風險,系統管理員可以創建自己定制的組,根據最小特權的原則,定制這些組的權利和能力,以迎合業務的需要。可能的話,創建一個新的Administrator組,使其具有特別的指定的權利和能力。
下面介紹目前幾種安全操作系統及最小特權的應用:
惠普的Praesidium/Virtual Vault
它通過以最小特權機制將根功能分成42種獨立的特權,僅賦予每一應用程序正常運行所需的最小特權。因而,即便一名黑客將Trojan Horse(特洛伊木馬)程序安裝在金融機構的Web服務器上,入侵者也無法改變網絡配置或安裝文件系統。最小特權是在惠普可信賴操作系統Virtual Vault的基本特性。
紅旗安全操作系統(RFSOS)
RFSOS在系統管理員的權限、訪問控制、病毒防護方面具有突出的特點,例如在系統特權分化方面,紅旗安全操作系統根據"最小特權"原則,對系統管理員的特權進行了分化,根據系統管理任務設立角色,依據角色劃分特權。典型的系統管理角色有系統管理員、安全管理員、審計管理員等。系統管理員負責系統的安裝、管理和日常維護,如安裝軟件、增添用戶賬號、數據備份等。安全管理員負責安全屬性的設定與管理。審計管理員負責配置系統的審計行為和管理系統的審計信息。一個管理角色不擁有另一個管理角色的特權。攻擊者破獲某個管理角色的口令時不會得到對系統的完全控制。
中科安勝安全操作系統
安勝安全操作系統是參照美國國防部《可信計算機系統評估準則》B2級安全需求和我國新頒布的《計算機信息系統安全保護等級劃分準則》,結合我國國情和實際需求,自行開發的高級別安全操作系統,即安勝安全操作系統(SecLinux),并通過國家信息安全測評認證中心認證,同時獲得公安部的銷售許可。
最小特權管理是SecLinux的一個特色,它使得系統中不再有超級用戶,而是將其所有特權分解成一組細粒度的特權子集,定義成不同的"角色",分別賦予不同的用戶,每個用戶僅擁有完成其工作所必須的最小特權,避免了超級用戶的誤操作或其身份被假冒而帶來的安全隱患。
3.2 Internet安全
Internet的發展可謂一日千里,而對Internet安全的要求卻比Inerternet本身發展得更快。目前Internet上的安全問題,有相當多的是由于網絡管理員對于角色權利的錯誤分配引起的。因此,最小特權原則在Internet安全上也大有用武之地。
在日常生活里,最小特權的例子也很多。一些汽車制造廠制造汽車鎖,用一個鑰匙開車門和點火器,而用另一個鑰匙開手套箱和衣物箱;停車場的服務員有安排停車的權而沒有從汽車衣物箱里取東西的權力;同樣是最小特權,可以給人汽車的鑰匙而不給他大門的鑰匙。
在Internet上,需要最小特權的例子也很多,例如:不是每個用戶都需要使用所有的網絡服務;不是每個用戶都需要去修改(甚至去讀)系統中的所有文件;不是每個用戶都需要知道系統的根口令(Root Password);不是每個系統管理員都必須知道系統的根口令;也不是每個系統都需要去申請每一個其他系統的文件等等。
Internet上出現的一些安全問題都可看成是由于最小特權原則的失敗。例如Unix上最常用的郵件傳輸協議Sendmail,它是一個龐大而又復雜的程序。這樣的程序肯定會有很多隱患。它經常運行全部解密(Setuid)根目錄,這對很多攻擊者是很有利的。系統上運行的程序希望是盡可能簡單的程序,如果是一個較復雜的程序,那么應該找出辦法從復雜部分里去分開或孤立需要特權的模塊。
為了保護站點而采取的一些措施也是使用最小特權原則的,如包過濾系統就設計為只允許進入所需要的服務,而過濾掉不必要的服務。在堡壘主機里也使用了最小特權原則。
最小特權原則還有助于建立嚴格的身份認證機制。對于所有接觸系統的人員,按其職責設定其訪問系統的最小權限;并且按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。具體實現用戶身份認證時,可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份等等。
4、結束語
最小特權原則有效地限制、分割了用戶對數據資料進行訪問時的權限,降低了非法用戶或非法操作可能給系統及數據帶來的損失,對于系統安全具有至關重要的作用。但目前大多數系統的管理員對于最小特權原則的認識還不夠深入。尤其是對于UNIX、Windows系列操作系統下,因為系統所賦予用戶的默認權限是最高的權限,例如Windows NT下的目錄和文件的默認權限是Everyone(所有人)均具有完全的權限,而Administrator(系統管理員)則有對整個系統的完全控制。如果系統的管理員不對此進行修改,則系統的安全性將非常薄弱。
當然,最小特權原則只是系統安全的原則之一,如縱深防御原則、特權分離原則、強制存取控制等等。如果要使系統的達到相當高的安全性,還需要其他原則的配合使用。
