最小特權原則

最小特權原則一方面給予主體"必不可少"的特權，這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作;另一方面，它只給予主體"必不可少"的特權，這就限制了每個主體所能進行的操作。

最小特權原則要求每個用戶和程式在操作時應當使用儘可能少的特權，而角色允許主體以參與某特定工作所需要的最小特權去簽入(Sign)系統。被授權擁有強力角色(Powerful Roles)的主體，不需要動輒運用到其所有的特權，只有在那些特權有實際需求時，主體才去運用它們。如此一來，將可減少由於不注意的錯誤或是侵入者假裝合法主體所造成的損壞發生，限制了事故、錯誤或攻擊帶來的危害。它還減少了特權程式之間潛在的相互作用，從而使對特權無意的、沒必要的或不適當的使用不太可能發生。這種想法還可以引申到程式內部：只有程式中需要那些特權的最小部分才擁有特權。

作業系統對於系統安全來說好比是大樓的地基，如果沒有了它，大樓就無從談起。在計算機系統的各個層次上，硬體、作業系統、網路軟體、資料庫管理系統軟體以及套用軟體，各自在計算機安全中都肩負著重要的職責。在軟體的範疇中，作業系統處在最底層，是所有其他軟體的基礎，它在解決安全上也起著基礎性、關鍵性的作用，沒有作業系統的安全支持，計算機軟體系統的安全就缺乏了根基。對安全作業系統的研究首先從1967年的Adept-50項目開始，隨後安全作業系統的發展經歷了奠基時期、食譜時期、多政策時期以及動態政策時期。國內對安全作業系統的開發大多處於食譜時期，即以美國國防部的TCSEC(又稱橙皮書)或我國的計算機信息系統安全保護等級劃分準則為標準進行的開發。

最小特權在安全作業系統中占據了非常重要的地位，它適應UNIX作業系統、超級用戶/根目錄體系結構的固有特徵，以便了解如何到達根目錄的的任何用戶提供總體系統控制棗而且幾乎在UNIX環境工作的所有程式設計師都了解這一點。

角色管理機制依據"最小特權"原則對系統管理員的特權進行了分化，每個用戶只能擁有剛夠完成工作的最小許可權。然後根據系統管理任務設立角色，依據角色劃分許可權，每個角色各負其責，許可權各自分立，一個管理角色不擁有另一個管理角色的特權。例如當入侵者取得系統管理員許可權後欲訪問一個高安全級別的檔案，則很有可能被拒絕。因為用戶(包括系統管理員)在登錄後默認的安全級別是最低的，他無法訪問高級別的檔案，而安全級別的調整隻有通過安全管理員才能完成。因此，安全管理員只要對敏感檔案配置了合理的安全標記，系統管理員就無法訪問這些檔案。由此可知，安全管理員對系統管理員的許可權進行了有力的限制。

Windows NT作業系統的某些漏洞也與最小特權的套用有關，例如：預設組的權利和能力總是不能被刪除，它們包括：Administrator組，伺服器操作員組，列印操作員組，帳戶操作員組。這是因為當刪除一個預設組時，表面上，系統已經接受了刪除。然而，當再檢查時，這些組並沒有被真正刪除。有時，當伺服器重新啟動時，這些預設組被賦予回預設的權利和能力。為了減小因此而帶來的風險，系統管理員可以創建自己定製的組，根據最小特權的原則，定製這些組的權利和能力，以迎合業務的需要。可能的話，創建一個新的Administrator組，使其具有特別的指定的權利和能力。

下面介紹目前幾種安全作業系統及最小特權的套用：

惠普的Praesidium/Virtual Vault

它通過以最小特權機制將根功能分成42種獨立的特權，僅賦予每一應用程式正常運行所需的最小特權。因而，即便一名黑客將Trojan Horse(特洛伊木馬)程式安裝在金融機構的Web伺服器上，入侵者也無法改變網路配置或安裝檔案系統。最小特權是在惠普可信賴作業系統Virtual Vault的基本特性。

紅旗安全作業系統(RFSOS)

RFSOS在系統管理員的許可權、訪問控制、病毒防護方面具有突出的特點，例如在系統特權分化方面，紅旗安全作業系統根據"最小特權"原則，對系統管理員的特權進行了分化，根據系統管理任務設立角色，依據角色劃分特權。典型的系統管理角色有系統管理員、安全管理員、審計管理員等。系統管理員負責系統的安裝、管理和日常維護，如安裝軟體、增添用戶賬號、數據備份等。安全管理員負責安全屬性的設定與管理。審計管理員負責配置系統的審計行為和管理系統的審計信息。一個管理角色不擁有另一個管理角色的特權。攻擊者破獲某個管理角色的口令時不會得到對系統的完全控制。

中科安勝安全作業系統

安勝安全作業系統是參照美國國防部《可信計算機系統評估準則》B2級安全需求和我國新頒布的《計算機信息系統安全保護等級劃分準則》，結合我國國情和實際需求，自行開發的高級別安全作業系統，即安勝安全作業系統(SecLinux)，並通過國家信息安全測評認證中心認證，同時獲得公安部的銷售許可。

最小特權管理是SecLinux的一個特色，它使得系統中不再有超級用戶，而是將其所有特權分解成一組細粒度的特權子集，定義成不同的"角色"，分別賦予不同的用戶，每個用戶僅擁有完成其工作所必須的最小特權，避免了超級用戶的誤操作或其身份被假冒而帶來的安全隱患。

Internet的發展可謂一日千里，而對Internet安全的要求卻比Inerternet本身發展得更快。目前Internet上的安全問題，有相當多的是由於網路管理員對於角色權利的錯誤分配引起的。因此，最小特權原則在Internet安全上也大有用武之地。

在日常生活里，最小特權的例子也很多。一些汽車製造廠製造汽車鎖，用一個鑰匙開車門和點火器，而用另一個鑰匙開手套箱和衣物箱;停車場的服務員有安排停車的權而沒有從汽車衣物箱裡取東西的權力;同樣是最小特權，可以給人汽車的鑰匙而不給他大門的鑰匙。

在Internet上，需要最小特權的例子也很多，例如：不是每個用戶都需要使用所有的網路服務;不是每個用戶都需要去修改(甚至去讀)系統中的所有檔案;不是每個用戶都需要知道系統的根口令(Root Password);不是每個系統管理員都必須知道系統的根口令;也不是每個系統都需要去申請每一個其他系統的檔案等等。

Internet上出現的一些安全問題都可看成是由於最小特權原則的失敗。例如Unix上最常用的郵件傳輸協定Sendmail，它是一個龐大而又複雜的程式。這樣的程式肯定會有很多隱患。它經常運行全部解密(Setuid)根目錄，這對很多攻擊者是很有利的。系統上運行的程式希望是儘可能簡單的程式，如果是一個較複雜的程式，那么應該找出辦法從複雜部分里去分開或孤立需要特權的模組。

為了保護站點而採取的一些措施也是使用最小特權原則的，如包過濾系統就設計為只允許進入所需要的服務，而過濾掉不必要的服務。在堡壘主機里也使用了最小特權原則。

最小特權原則還有助於建立嚴格的身份認證機制。對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權;並且按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。具體實現用戶身份認證時，可以通過伺服器CA證書與IC卡相結合實現。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份等等。

最小特權原則有效地限制、分割了用戶對數據資料進行訪問時的許可權，降低了非法用戶或非法操作可能給系統及數據帶來的損失，對於系統安全具有至關重要的作用。但目前大多數系統的管理員對於最小特權原則的認識還不夠深入。尤其是對於UNIX、Windows系列作業系統下，因為系統所賦予用戶的默認許可權是最高的許可權，例如Windows NT下的目錄和檔案的默認許可權是Everyone(所有人)均具有完全的許可權，而Administrator(系統管理員)則有對整個系統的完全控制。如果系統的管理員不對此進行修改，則系統的安全性將非常薄弱。

當然，最小特權原則只是系統安全的原則之一，如縱深防禦原則、特權分離原則、強制存取控制等等。如果要使系統的達到相當高的安全性，還需要其他原則的配合使用。