最小特權原則

最小特權原則一方面給予主體"必不可少"的特權，這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作;另一方面，它只給予主體"必不可少"的特權，這就限制了每個主體所能進行的操作。

最小特權原則要求每個用户和程序在操作時應當使用盡可能少的特權，而角色允許主體以參與某特定工作所需要的最小特權去簽入(Sign)系統。被授權擁有強力角色(Powerful Roles)的主體，不需要動輒運用到其所有的特權，只有在那些特權有實際需求時，主體才去運用它們。如此一來，將可減少由於不注意的錯誤或是侵入者假裝合法主體所造成的損壞發生，限制了事故、錯誤或攻擊帶來的危害。它還減少了特權程序之間潛在的相互作用，從而使對特權無意的、沒必要的或不適當的使用不太可能發生。這種想法還可以引申到程序內部：只有程序中需要那些特權的最小部分才擁有特權。

操作系統對於系統安全來説好比是大樓的地基，如果沒有了它，大樓就無從談起。在計算機系統的各個層次上，硬件、操作系統、網絡軟件、數據庫管理系統軟件以及應用軟件，各自在計算機安全中都肩負着重要的職責。在軟件的範疇中，操作系統處在最底層，是所有其他軟件的基礎，它在解決安全上也起着基礎性、關鍵性的作用，沒有操作系統的安全支持，計算機軟件系統的安全就缺乏了根基。對安全操作系統的研究首先從1967年的Adept-50項目開始，隨後安全操作系統的發展經歷了奠基時期、食譜時期、多政策時期以及動態政策時期。國內對安全操作系統的開發大多處於食譜時期，即以美國國防部的TCSEC(又稱橙皮書)或我國的計算機信息系統安全保護等級劃分準則為標準進行的開發。

最小特權在安全操作系統中佔據了非常重要的地位，它適應UNIX操作系統、超級用户/根目錄體系結構的固有特徵，以便了解如何到達根目錄的的任何用户提供總體系統控制，而且幾乎在UNIX環境工作的所有程序員都瞭解這一點。

角色管理機制依據"最小特權"原則對系統管理員的特權進行了分化，每個用户只能擁有剛夠完成工作的最小權限。然後根據系統管理任務設立角色，依據角色劃分權限，每個角色各負其責，權限各自分立，一個管理角色不擁有另一個管理角色的特權。例如當入侵者取得系統管理員權限後欲訪問一個高安全級別的文件，則很有可能被拒絕。因為用户(包括系統管理員)在登錄後默認的安全級別是最低的，他無法訪問高級別的文件，而安全級別的調整隻有通過安全管理員才能完成。因此，安全管理員只要對敏感文件配置了合理的安全標記，系統管理員就無法訪問這些文件。由此可知，安全管理員對系統管理員的權限進行了有力的限制。

Windows NT操作系統的某些漏洞也與最小特權的應用有關，例如：缺省組的權利和能力總是不能被刪除，它們包括：Administrator組，服務器操作員組，打印操作員組，賬户操作員組。這是因為當刪除一個缺省組時，表面上，系統已經接受了刪除。然而，當再檢查時，這些組並沒有被真正刪除。有時，當服務器重新啓動時，這些缺省組被賦予回缺省的權利和能力。為了減小因此而帶來的風險，系統管理員可以創建自己定製的組，根據最小特權的原則，定製這些組的權利和能力，以迎合業務的需要。可能的話，創建一個新的Administrator組，使其具有特別的指定的權利和能力。

下面介紹目前幾種安全操作系統及最小特權的應用：

惠普的Praesidium/Virtual Vault

它通過以最小特權機制將根功能分成42種獨立的特權，僅賦予每一應用程序正常運行所需的最小特權。因而，即便一名黑客將Trojan Horse(特洛伊木馬)程序安裝在金融機構的Web服務器上，入侵者也無法改變網絡配置或安裝文件系統。最小特權是在惠普可信賴操作系統Virtual Vault的基本特性。

紅旗安全操作系統(RFSOS)

RFSOS在系統管理員的權限、訪問控制、病毒防護方面具有突出的特點，例如在系統特權分化方面，紅旗安全操作系統根據"最小特權"原則，對系統管理員的特權進行了分化，根據系統管理任務設立角色，依據角色劃分特權。典型的系統管理角色有系統管理員、安全管理員、審計管理員等。系統管理員負責系統的安裝、管理和日常維護，如安裝軟件、增添用户賬號、數據備份等。安全管理員負責安全屬性的設定與管理。審計管理員負責配置系統的審計行為和管理系統的審計信息。一個管理角色不擁有另一個管理角色的特權。攻擊者破獲某個管理角色的口令時不會得到對系統的完全控制。

中科安勝安全操作系統

安勝安全操作系統是參照美國國防部《可信計算機系統評估準則》B2級安全需求和我國新頒佈的《計算機信息系統安全保護等級劃分準則》，結合我國國情和實際需求，自行開發的高級別安全操作系統，即安勝安全操作系統(SecLinux)，並通過國家信息安全測評認證中心認證，同時獲得公安部的銷售許可。

最小特權管理是SecLinux的一個特色，它使得系統中不再有超級用户，而是將其所有特權分解成一組細粒度的特權子集，定義成不同的"角色"，分別賦予不同的用户，每個用户僅擁有完成其工作所必須的最小特權，避免了超級用户的誤操作或其身份被假冒而帶來的安全隱患。

Internet的發展可謂一日千里，而對Internet安全的要求卻比Inerternet本身發展得更快。目前Internet上的安全問題，有相當多的是由於網絡管理員對於角色權利的錯誤分配引起的。因此，最小特權原則在Internet安全上也大有用武之地。

在日常生活裏，最小特權的例子也很多。一些汽車製造廠製造汽車鎖，用一個鑰匙開車門和點火器，而用另一個鑰匙開手套箱和衣物箱;停車場的服務員有安排停車的權而沒有從汽車衣物箱裏取東西的權力;同樣是最小特權，可以給人汽車的鑰匙而不給他大門的鑰匙。

在Internet上，需要最小特權的例子也很多，例如：不是每個用户都需要使用所有的網絡服務;不是每個用户都需要去修改(甚至去讀)系統中的所有文件;不是每個用户都需要知道系統的根口令(Root Password);不是每個系統管理員都必須知道系統的根口令;也不是每個系統都需要去申請每一個其他系統的文件等等。

Internet上出現的一些安全問題都可看成是由於最小特權原則的失敗。例如Unix上最常用的郵件傳輸協議Sendmail，它是一個龐大而又複雜的程序。這樣的程序肯定會有很多隱患。它經常運行全部解密(Setuid)根目錄，這對很多攻擊者是很有利的。系統上運行的程序希望是儘可能簡單的程序，如果是一個較複雜的程序，那麼應該找出辦法從複雜部分裏去分開或孤立需要特權的模塊。

為了保護站點而採取的一些措施也是使用最小特權原則的，如包過濾系統就設計為只允許進入所需要的服務，而過濾掉不必要的服務。在堡壘主機裏也使用了最小特權原則。

最小特權原則還有助於建立嚴格的身份認證機制。對於所有接觸系統的人員，按其職責設定其訪問系統的最小權限;並且按照分級管理原則，嚴格管理內部用户賬號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用户賬號和密碼。具體實現用户身份認證時，可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份，IC卡用來認證企業用户的身份等等。

最小特權原則有效地限制、分割了用户對數據資料進行訪問時的權限，降低了非法用户或非法操作可能給系統及數據帶來的損失，對於系統安全具有至關重要的作用。但目前大多數系統的管理員對於最小特權原則的認識還不夠深入。尤其是對於UNIX、Windows系列操作系統下，因為系統所賦予用户的默認權限是最高的權限，例如Windows NT下的目錄和文件的默認權限是Everyone(所有人)均具有完全的權限，而Administrator(系統管理員)則有對整個系統的完全控制。如果系統的管理員不對此進行修改，則系統的安全性將非常薄弱。

當然，最小特權原則只是系統安全的原則之一，如縱深防禦原則、特權分離原則、強制存取控制等等。如果要使系統的達到相當高的安全性，還需要其他原則的配合使用。