摘要：信息安全是涉密領(lǐng)域安全保障的重中之重，而傳統(tǒng)操作系統(tǒng)中超級(jí)用戶權(quán)限的擴(kuò)大化存在很大安全隱患，不能滿足安全保密的管理要求。文章以國(guó)產(chǎn)操作系統(tǒng)為例，重點(diǎn)分析了該體系的分權(quán)管理機(jī)制，并根據(jù)信息安全管理需求，詳細(xì)解析了系統(tǒng)管理員、安全保密管理員和安全審計(jì)員3個(gè)角色的具體管理內(nèi)容及權(quán)責(zé)，為涉密領(lǐng)域的信息安全管理提供參考。

關(guān)鍵詞：國(guó)產(chǎn)計(jì)算機(jī)；國(guó)產(chǎn)操作系統(tǒng)；信息安全；保密管理；三權(quán)分立

中圖分類號(hào)：TP309文獻(xiàn)標(biāo)志碼：A

0 引言

涉密計(jì)算機(jī)作為信息處理的重要設(shè)備，其安全可靠性直接關(guān)系國(guó)家秘密信息的安全。然而長(zhǎng)期以來(lái)，我國(guó)采用國(guó)外設(shè)備及操作系統(tǒng)來(lái)組裝涉密計(jì)算機(jī)，建設(shè)涉密信息系統(tǒng)，存在很大安全隱患。國(guó)外硬件設(shè)備和系統(tǒng)可能隱藏的后門、漏洞、病毒、木馬等都會(huì)給信息安全帶來(lái)極大的風(fēng)險(xiǎn)。

此外，過(guò)分依賴國(guó)外信息基礎(chǔ)設(shè)施，對(duì)國(guó)家信息產(chǎn)業(yè)的發(fā)展還存在被卡脖子的風(fēng)險(xiǎn)。例如，俄烏戰(zhàn)爭(zhēng)爆發(fā)后，美國(guó)立即實(shí)施了芯片禁運(yùn)、操作系統(tǒng)停服等手段，使俄羅斯的信息產(chǎn)業(yè)遭受到重?fù)簟?/p>

因此，基于國(guó)產(chǎn)軟硬件來(lái)構(gòu)建涉密計(jì)算機(jī)和信息系統(tǒng)對(duì)于國(guó)家信息安全保障尤為重要。近年來(lái)，隨著我國(guó)國(guó)產(chǎn)芯片、國(guó)產(chǎn)操作系統(tǒng)、國(guó)產(chǎn)中間件、國(guó)產(chǎn)應(yīng)用軟件和國(guó)產(chǎn)外設(shè)技術(shù)的不斷提高，相關(guān)產(chǎn)品已日漸成熟，完全擁有構(gòu)建自己信息安全體系的能力。如今，國(guó)產(chǎn)計(jì)算機(jī)正逐步投入使用，從根本上規(guī)避了使用國(guó)外設(shè)備和系統(tǒng)可能帶來(lái)的風(fēng)險(xiǎn)隱患。本文以國(guó)產(chǎn)計(jì)算機(jī)為例，初步解析如何通過(guò)軟硬件的共同協(xié)作進(jìn)行分權(quán)保密管理。

1 傳統(tǒng)操作系統(tǒng)權(quán)限管理的風(fēng)險(xiǎn)

在操作系統(tǒng)中，權(quán)限是指不同用戶賬戶對(duì)某項(xiàng)資源的訪問(wèn)能力，例如某用戶對(duì)某文件具有可讀取、可修改或可執(zhí)行的權(quán)限，對(duì)某目錄具有訪問(wèn)權(quán)限等。通常，操作系統(tǒng)會(huì)給各用戶和用戶組分配不同的權(quán)限，對(duì)應(yīng)相應(yīng)的訪問(wèn)控制項(xiàng)，表明其對(duì)各項(xiàng)系統(tǒng)資源的訪問(wèn)能力。

為了管理的便利性，傳統(tǒng)操作系統(tǒng)中設(shè)置了一個(gè)超級(jí)用戶，擁有操作系統(tǒng)所有資源的全面訪問(wèn)權(quán)。例如，Windows操作系統(tǒng)安裝時(shí)創(chuàng)建的默認(rèn)用戶——Administrator，同樣，Linux操作系統(tǒng)也有超級(jí)用戶——Root；獲得超級(jí)用戶權(quán)限就意味著可以對(duì)系統(tǒng)中的任何文件和目錄執(zhí)行操作，可以任意修改系統(tǒng)和網(wǎng)絡(luò)的設(shè)置等。

超級(jí)用戶的設(shè)立一方面為系統(tǒng)管理帶來(lái)很多便利，另一方面也存在很大的安全隱患。超級(jí)用戶擁有對(duì)操作系統(tǒng)的完全控制權(quán)，意味著可以為所欲為。所以攻擊者也常常通過(guò)網(wǎng)絡(luò)監(jiān)聽、強(qiáng)行破解用戶密碼、暴力破解用戶密碼文件等方法企圖獲取超級(jí)用戶密碼，一旦獲得超級(jí)用戶權(quán)限，便可以獲取系統(tǒng)中的所有信息，并且進(jìn)行木馬植入和病毒傳染等非法操作。

超級(jí)用戶擁有系統(tǒng)的最高特權(quán)，既是各類資源的管理者，又是資源的使用者；既是各項(xiàng)安全策略的制定者，又是這些策略的執(zhí)行者，還是所有執(zhí)行的監(jiān)督者。雖然全面授權(quán)能夠提高系統(tǒng)的整體管理效率，但是如果權(quán)力被惡意利用或竊取，整個(gè)系統(tǒng)的信息就可能泄露；再者，如果超級(jí)用戶發(fā)生違規(guī)訪問(wèn)和誤操作，系統(tǒng)也可能因此遭到破壞。所以，對(duì)于安全要求更高的涉密計(jì)算機(jī)而言，超級(jí)用戶是一個(gè)危險(xiǎn)的角色。

2 國(guó)產(chǎn)操作系統(tǒng)權(quán)限控制策略

針對(duì)超級(jí)用戶權(quán)限可能不受控制的風(fēng)險(xiǎn)，傳統(tǒng)操作系統(tǒng)也采取了一些措施，例如，Windows采用用戶賬戶控制（UAC）機(jī)制對(duì)用戶權(quán)限進(jìn)行限制，以阻止未授權(quán)行為對(duì)系統(tǒng)產(chǎn)生意外或惡意的破壞，但同時(shí)也保留了“以管理員身份運(yùn)行”的特權(quán)，以獲得更多的靈活性，于是潛在風(fēng)險(xiǎn)并沒(méi)有根除。同樣的，傳統(tǒng)Linux系統(tǒng)雖然也限制了Root用戶作為普通用戶登錄，但是用戶依然可以通過(guò)“sudo”來(lái)獲得超級(jí)用戶的臨時(shí)授權(quán)，以獲取全權(quán)。因此，國(guó)產(chǎn)操作系統(tǒng)需要采取進(jìn)一步的措施來(lái)控制風(fēng)險(xiǎn)。

2.1 最小特權(quán)策略

為了保障系統(tǒng)安全性，面向涉密領(lǐng)域的國(guó)產(chǎn)操作系統(tǒng)徹底放棄了超級(jí)用戶，并通過(guò)權(quán)能機(jī)制來(lái)實(shí)現(xiàn)最小特權(quán)。主體根據(jù)最小特權(quán)策略被賦予了完成特定任務(wù)所需的特權(quán)，但并不提供超越執(zhí)行任務(wù)所需權(quán)限以外的其他特權(quán)，即提供滿足且僅滿足特定操作的權(quán)限。這樣，超級(jí)用戶的全權(quán)被拆分為更細(xì)粒度的各個(gè)特權(quán)，每個(gè)特權(quán)僅完成一個(gè)既定任務(wù)［1］。

最小特權(quán)機(jī)制既能保證主體在所賦予的特權(quán)下完成既定任務(wù)，又限制了主體能力范圍的擴(kuò)大化，從而大大降低系統(tǒng)安全風(fēng)險(xiǎn)，或因用戶誤操作對(duì)系統(tǒng)造成的危害。

2.2 特權(quán)分離策略

除最小特權(quán)外，面向涉密領(lǐng)域的國(guó)產(chǎn)操作系統(tǒng)還對(duì)特定用戶所能獲得的特權(quán)進(jìn)行了限制，比如某項(xiàng)敏感操作不應(yīng)由單個(gè)用戶自行完成，而應(yīng)由兩個(gè)甚至多個(gè)不同用戶來(lái)相互監(jiān)督完成，即特權(quán)分離。特權(quán)分離形成了更為可靠的多人控制策略。通過(guò)權(quán)限分散，有效避免了特權(quán)集中帶來(lái)的權(quán)力濫用和欺詐風(fēng)險(xiǎn)。

2.3 分權(quán)管理機(jī)制

根據(jù)最小特權(quán)策略，國(guó)產(chǎn)操作系統(tǒng)將超級(jí)用戶的特權(quán)進(jìn)行了分離，將其抽象為若干權(quán)能，用戶或進(jìn)程只有具備了某項(xiàng)權(quán)能，才能實(shí)施該項(xiàng)操作。即當(dāng)用戶或進(jìn)程申請(qǐng)執(zhí)行某項(xiàng)特權(quán)操作時(shí)，系統(tǒng)會(huì)先檢查執(zhí)行主體是否具備該項(xiàng)操作相應(yīng)的權(quán)能，若權(quán)能匹配，則允許執(zhí)行，反之則予以拒絕。

在此基礎(chǔ)上，依據(jù)特權(quán)分離策略，國(guó)產(chǎn)操作系統(tǒng)進(jìn)一步引入角色權(quán)能，即用戶角色決定了用戶所能擁有的權(quán)能。系統(tǒng)根據(jù)各項(xiàng)管理任務(wù)設(shè)立不同角色，并依據(jù)角色來(lái)劃分權(quán)能，各角色相互獨(dú)立，各司其職。

這樣，傳統(tǒng)操作系統(tǒng)的超級(jí)用戶特權(quán)就被按照管理需求被劃分為配置、授權(quán)和審計(jì)3類既相互獨(dú)立又相互制約的權(quán)限，權(quán)限被分別授予系統(tǒng)管理員、安全保密管理員和安全審計(jì)員，如表1所示，各角色擁有完成其承擔(dān)任務(wù)所需的最小權(quán)限，并形成系統(tǒng)的共同管理和相互制約。

分權(quán)管理消除了系統(tǒng)的超級(jí)用戶，一個(gè)角色不能擁有另一個(gè)角色的特權(quán)，任何一個(gè)角色都無(wú)法掌握過(guò)多的特權(quán)來(lái)非法獲取信息或損害系統(tǒng)安全。即便攻擊者破解了某個(gè)管理角色的密碼也不能得到對(duì)系統(tǒng)的完全控制，從而大大降低了傳統(tǒng)超級(jí)用戶可能帶來(lái)的安全威脅。例如，當(dāng)入侵者獲得系統(tǒng)管理員權(quán)限后想修改某個(gè)安全設(shè)置，就有可能被拒絕。因?yàn)橄到y(tǒng)管理員沒(méi)有修改該安全設(shè)置的權(quán)限，而安全設(shè)置只有安全保密管理員才能配置。通過(guò)分權(quán)，安全保密管理員對(duì)系統(tǒng)管理員的角色權(quán)力進(jìn)行了有效的制約，進(jìn)而降低了風(fēng)險(xiǎn)。

3 國(guó)產(chǎn)計(jì)算機(jī)分權(quán)管理實(shí)施

3.1 國(guó)產(chǎn)計(jì)算機(jī)的安全管理需求

信息安全應(yīng)具備保密性、完整性、可用性、可控性和不可否認(rèn)性等屬性。其中，保密性是指防止非授權(quán)用戶獲取信息；完整性是指信息的產(chǎn)生、傳輸和存儲(chǔ)的準(zhǔn)確性；可用性即保障授權(quán)用戶對(duì)資源和服務(wù)的合法訪問(wèn)；可控性是指對(duì)資源進(jìn)行必要的控制和管理；不可否認(rèn)性是指對(duì)用戶身份真實(shí)同一性的確認(rèn)［2］。

為此，國(guó)產(chǎn)計(jì)算機(jī)從國(guó)產(chǎn)安全固件、國(guó)產(chǎn)操作系統(tǒng)、國(guó)產(chǎn)應(yīng)用軟件、國(guó)產(chǎn)安全保密工具等方面構(gòu)建了以安全為中心的體系架構(gòu)，形成了對(duì)系統(tǒng)所有資源的訪問(wèn)、檢測(cè)、管控的主動(dòng)防御一體化安全解決方案。

3.2 國(guó)產(chǎn)計(jì)算機(jī)三員分權(quán)管理

結(jié)合管理內(nèi)容，國(guó)產(chǎn)計(jì)算機(jī)的分權(quán)管理機(jī)制分別設(shè)立了系統(tǒng)管理員、安全保密管理員和安全審計(jì)員3個(gè)角色。安全保密管理員統(tǒng)一進(jìn)行系統(tǒng)可信度量管理及與強(qiáng)制訪問(wèn)控制等安全機(jī)制相關(guān)的事件和信息的管理；系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)維護(hù)和資源管理；審計(jì)管理員則對(duì)系統(tǒng)進(jìn)行審計(jì)規(guī)則配置、審計(jì)日志分析等審計(jì)相關(guān)工作［3］，具體如圖1所示。

3.2.1 系統(tǒng)管理員職責(zé)

系統(tǒng)管理員主要負(fù)責(zé)國(guó)產(chǎn)計(jì)算機(jī)的日常運(yùn)行維護(hù)工作，包括安全硬件、操作系統(tǒng)、應(yīng)用軟件、安全保密工具等各部分的安裝、配置、升級(jí)和運(yùn)行管理；對(duì)安全固件和操作系統(tǒng)系統(tǒng)的用戶進(jìn)行設(shè)置和管理；進(jìn)行網(wǎng)絡(luò)配置、時(shí)間管理、硬盤管理和各項(xiàng)服務(wù)管理；按需對(duì)系統(tǒng)進(jìn)行備份和還原，在系統(tǒng)發(fā)生異?；蛑袛鄷r(shí)及時(shí)排除故障；同時(shí)對(duì)外部設(shè)備的使用進(jìn)行管理，確保整個(gè)系統(tǒng)的正常運(yùn)行。

3.2.2 安全保密管理員職責(zé)

安全保密管理員主要負(fù)責(zé)國(guó)產(chǎn)計(jì)算機(jī)的日常安全保密管理工作，將安全策略落實(shí)到整個(gè)系統(tǒng)的安全配置中，包括：可信計(jì)算配置；安全固件和系統(tǒng)用戶權(quán)限的授予與撤銷；用戶操作行為的安全審計(jì)；三合一等安全保密設(shè)備的管理；違規(guī)外聯(lián)控制、外設(shè)端口管控及病毒防護(hù)等。并監(jiān)視系統(tǒng)運(yùn)行情況，對(duì)系統(tǒng)安全事件進(jìn)行審計(jì)、分析和處理。

3.2.3 安全審計(jì)員職責(zé)

安全審計(jì)員主要負(fù)責(zé)配置系統(tǒng)審計(jì)策略，并監(jiān)督檢查、審計(jì)分析系統(tǒng)管理員和安全保密管理員的操作行為。包括：查看系統(tǒng)日志、查看三合一審計(jì)及配置管理審計(jì)等，以及時(shí)發(fā)現(xiàn)違規(guī)行為，降低風(fēng)險(xiǎn)發(fā)生的損失。由此可見，安全審計(jì)員和安全保密管理員的角色不能兼任，這樣才能確保安全審計(jì)工作的公正和審計(jì)結(jié)果的客觀有效。

4 分權(quán)管理相關(guān)要求的補(bǔ)充

根據(jù)保密管理相關(guān)要求，涉密信息系統(tǒng)責(zé)任單位，應(yīng)按照國(guó)家保密標(biāo)準(zhǔn)配備3類管理人員：系統(tǒng)管理員、安全保密管理員和安全審計(jì)員，分別負(fù)責(zé)涉密信息系統(tǒng)的安全運(yùn)行、安全保密和安全審計(jì)相關(guān)工作。未建立涉密信息系統(tǒng)僅使用涉密計(jì)算機(jī)的單位，也應(yīng)至少配備安全保密管理員。系統(tǒng)管理員、安全保密管理員和安全審計(jì)員的權(quán)限設(shè)置應(yīng)相互獨(dú)立、相互制約，不得交叉替代或兼任［4］。

雖然保密要求對(duì)僅涉及涉密單機(jī)的責(zé)任單位三員的設(shè)置有所放寬，但出于涉密信息安全保密的考慮，還是建議盡可能保證三員角色的設(shè)立，以真正發(fā)揮國(guó)產(chǎn)計(jì)算機(jī)的分權(quán)管理的作用。

5 結(jié)語(yǔ)

為加強(qiáng)信息安全保障，涉密信息處理應(yīng)逐步采用國(guó)產(chǎn)軟硬件整體解決方案。針對(duì)傳統(tǒng)計(jì)算機(jī)超級(jí)用戶潛在的風(fēng)險(xiǎn)和隱患，本文給出了國(guó)產(chǎn)計(jì)算機(jī)的分權(quán)保密管理解決方案。通過(guò)對(duì)傳統(tǒng)計(jì)算機(jī)用戶管理缺陷的分析，解析了國(guó)產(chǎn)計(jì)算機(jī)在最小特權(quán)策略和特權(quán)分離策略的基礎(chǔ)上，依據(jù)角色權(quán)能劃分，構(gòu)建了“配置、授權(quán)、審計(jì)”三權(quán)分立的分權(quán)保密管理機(jī)制。并通過(guò)對(duì)國(guó)產(chǎn)操作系統(tǒng)安全管理內(nèi)容的解析，進(jìn)一步明確系統(tǒng)管理員、安全保密管理員和安全審計(jì)員的分權(quán)保密管理內(nèi)容和職責(zé)。三員各司其職并形成有效制約，從根本上解除了超級(jí)用戶的隱患。本文最后給出了保密管理規(guī)定中對(duì)分權(quán)管理部分的要求及建議，供廣大信息安全工作者參考。

參考文獻(xiàn)

［1］謝欣偉，廖湘科，陳松政，等.操作系統(tǒng)用戶特權(quán)最小化的研究與實(shí)現(xiàn)：2007中國(guó)計(jì)算機(jī)大會(huì)論文集［C］.北京：機(jī)械工業(yè)出版社，2010.

［2］郭啟全.網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（通用要求部分）應(yīng)用指南［M］.北京：電子工業(yè)出版社，2022.

［3］王越，楊平利，李衛(wèi)軍.涉密計(jì)算機(jī)信息安全管理體系的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010（18）：3964-3967.

［4］國(guó)家軍工保密資格認(rèn)定辦公室.軍工保密資格認(rèn)定工作指導(dǎo)手冊(cè)（2017年版）［M］.北京：金城出版社，2018.

Analysis of decentralized management of domestic operating systems in ken of information security

LiXiaolan

（China Standard Software Co.， Ltd.， Shanghai 200030， China）

Abstract： Information security is the top priority of security assurance in secret related fields. while the power of Superuser rights in traditional operating systems poses significant security risks and cannot meet the management requirements of security and confidentiality. This article takes a domestic operating system as an example and focuses on analyzing the decentralized management of the system. Based on information security management requirements， the specific management content and responsibilities of the three roles of system administrator， security and confidentiality administrator， and security auditor are analyzed in detail， providing reference for information security management in confidential fields.

Key words： domestic computer; domestic operating system; information security; confidentiality management; separation of powers