红旗安全操作系统
功能服务器版
技术白皮书
中科红旗软件技术有限公司
2001 年7 月
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
1
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
2
目录
一概述述...........3
二身份标识与鉴别别.......................................................................................................................5
用户身份标_5
用户身份鉴_5
用户口令强_6
用户与进程的关联.......................................................................................................................6
三自主访问控制制...........................................................................................................................8
自主访问控制原则.......................................................................................................................8
访问控制表ACL 原理.............................................................................................................9
ACL 信息的管理..........................................................................................................................10
四强制访问控制制.........................................................................................................................12
强制访问控制功能.....................................................................................................................12
系统内外的数据交换.................................................................................................................14
五安全审计计.17
主体和客体的标识.....................................................................................................................17
审计事件的标识.........................................................................................................................17
事件向量.....18
审计规则.....19
审计配置的设定.........................................................................................................................19
审计空间溢出策略.....................................................................................................................20
审计查看.....20
审计数据的安全.........................................................................................................................21
六安全管理理.22
安全属性管理.............................................................................................................................22
审计管理.....23
鉴别数据管理.............................................................................................................................23
角色管理.....23
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
3
一概述
在计算机系统中从最底端的硬件层到最顶端的应用软件层
每个层次上的成分在安全性方面起着不同的作用安全操作系统中旨
在为上层软件提供基本的安全支持红旗安全操作系统的当前版本主
要从增强的身份标识与鉴别细化的自主访问控制特权用户职责划
分强制访问控制审计跟踪以及安全管理等方面增强基本安全功
能支持
增强的身份标识与鉴别通过强化的口令管理增强用户身份的
标识和鉴别更有效地防止攻击者通过破解口令的方法侵入系统细
化的自主访问控制把自主访问控制的控制权制约能力细化到单个用
户更有效地实行系统资源的自主访问控制保护特权用户职责划分
削弱超级用户的权力设立系统管理员系统安全员系统审计员
防止攻击者利用一个特权用户的身份获得对整个系统的控制强制访
问控制以Bell&LaPadula 安全模型为基础对信息流实施强制访问控
制支持系统客体和主体的等级分类和非等级类别划分提供具有不
同密级的信息和资源的保护审计跟踪以事件为驱动记录触发审计
事件发生的各种行为允许系统审计员设定需审计的事件提供灵活
的审计记录检索和查看功能安全管理以前面各项基本机制为基础
维护整个系统的安全性
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
4
访问控制
强制访问控制
传统Linux权限控制
访问控制表控制
安全属性信息
审计记录信息
资源
用户进程
用
户
身
份
鉴
别
图1 红旗安全操作系统访问控制原理
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
5
二身份标识与鉴别
为确保系统的安全必须对系统中的每一用户进行有效的标识
与鉴别为此红旗安全操作系统系统给每个用户提供的与安全有关
的属性有用户身份标识用户名及其UID 组属关系用户所拥
有及所属的组鉴别数据用户口令用户的敏感标记包括安全
等级和非等级类别安全相关角色等
用户身份标识
红旗安全操作系统系统提供对用户进行身份标识的机制即系
统给每一用户分配一个唯一的标识此处为用户名和用户ID 此机
制实现了如下的功能
在用户的身份被标识之前系统允许用户从系统中获得身份标
识提示以帮助用户进行身份标识即输入用户名但此提示不会降
低系统的安全性在允许用户从事任何由系统仲裁的除身份标识之外
的其他活动之前系统要求每个用户必须成功地通过身份标识即是
系统中已经存在的用户否则不予处理
用户身份鉴别
在用户成功的通过系统的身份标识以后系统要鉴别此用户身
份的合法性即对注册用户输入的口令进行验证红旗安全操作系统
系统提供的用户身份鉴别机制实现了如下的功能
在用户被鉴别之前用户可以从系统中获得提示性的鉴别信息
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
6
在鉴别的进行过程中系统只向用户提供模糊的反馈信息而这些提
示性的鉴别信息和模糊的反馈信息都不会降低系统的保密性在系
统允许用户从事任何由系统仲裁的除身份鉴别以外的其他活动之前
系统要求每个用户必须成功地通过鉴别否则不予处理这些活动
用户口令强度
红旗安全操作系统系统提供的用户口令的保护机制可以确保
用户口令的安全性达到以下要求
随机试探口令鉴别机制一次试探可能成功的概率小于百万分
之一如果在一分钟内的多次使用试探系统保证随机试探可能成功
的概率小于十万分之一在口令鉴别机制被试探使用期间系统给出
的任何反馈信息都不会导致试探成功的概率的高于上述尺度
用户与进程的关联
在系统中代表用户进行工作的是此用户产生的进程为保证系
统的安全性可靠性保证用户行为的可审计性红旗安全操作系统
系统把以下的用户安全属性与代表用户工作的进程关联起来
与可审计事件关联的用户身份标识用于实施自主访问控制政
策的用户标识用于实施自主访问控制政策的组属关系用于实施强
制访问控制政策的敏感标记此敏感标记由等级分类和非等级类别构
成
当用户注册进系统时红旗安全操作系统系统提供的机制遵循
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
7
以下规则来建立用户安全属性与代表用户工作的进程间的初始关联
与进程关联的敏感标记应在用户的敏感标记的范围内即不能
超越用户的敏感标记代表用户工作的进程在被创建时即用户登录
时与用户的安全属性进行初始关联关联方式如下
首先对于用户注册时创建的进程此进程产生的可审计事件
中用户标识必须等于产生此进程的注册用户的标识进程中对应的
用于实施自主访问控制政策的用户标识等于产生此进程的注册用户
的标识进程中对应的用于实施自主访问控制政策的组属关系由注册
用户指定指定的组必须是用户所属的组如果用户不指定则取缺
省值缺省值静态确定进程中对应的用于实施强制访问控制政策的
敏感标记由注册用户指定如果用户不指定则取缺省值缺省值静
态确定
其次非注册阶段一个进程创建另外一个进程时子进程继承
父进程所关联的安全属性
对于与代表用户工作的进程关联的用户安全属性的修改系统
用以下的规则加以限制
禁止修改与可审计事件关联的用户标识在得到目标用户许可
的情况下可把用于实施自主访问控制政策的用户标识改变为目标用
户的标识在得到目标组的用户许可的情况下可把用于实施自主访
问控制政策的组属关系改变为目标组用于实施强制访问控制政策的
敏感标记只能由被授权的安全管理员修改
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
8
三自主访问控制
在红旗安全操作系统中实施访问控制是为了保证系统资源受
控合法地使用访问控制是指控制系统中的主体如进程对系统
中的客体如文件目录等的访问如读写和执行等用户只
能根据自己的权限大小来访问系统资源不得越权访问红旗安全操
作系统实现的访问控制支持有2 种自主访问控制强制访问控制
自主访问控制DAC 是指主体对客体的访问权限是由客体的
属主或超级用户决定的而且此权限一旦确定将作为以后判断主体
对客体是否有以及有什么权限的唯一依据只有客体的属主或超级用
户才有权更改这些权限
传统Linux 系统提供DAC支持控制粒度为客体的拥有者属
组和其他人红旗安全操作系统引入了访问控制表ACL 把访问
控制的粒度细化到可以对任意指定的用户授权或禁止访问
自主访问控制原则
红旗安全操作系统依据如下因素实施自主访问控制政策
1 用户身份标识和组属关系,它们与主体关联
2 对客体的各类访问权限读写执行或空访问权限
这样以主体S 为列以客体O 为行以访问权限A
为元素就组成了实施自主访问的访问矩阵(S,O,A)
红旗安全操作系统依据如下规则实施自主访问控制
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
9
1 当主体的用户标识和客体的访问控制属性中指定的用户标识
相匹配并且所执行的操作包含在访问控制属性中时允许该操作
2 当主体的组属关系匹配客体的访问控制属性中指定的组标
识并且相应操作包含在访问控制属性中时允许该操作
3 如果用户身份和组属关系都不匹配当相应操作包含在客体
的缺省访问控制属性中时该操作允许进行
另外红旗安全操作系统根据以下附加规则进行明确授权和拒
绝
1 被授权的系统维护员可授权自己对客体的访问从而不受客
体访问控制属性的限制
2 置客体的某个访问控制属性为空即可以封锁主体对该客体
的相应访问
访问控制表ACL 原理
红旗安全操作系统的自主访问控制是在传统Linux 的自主访问
控制的基础之上对自主访问控制的进一步强化在传统Linux的自
主访问控制中对某一文件/目录及设备具有权限的用户只能是文件/
目录及设备属主与属主同组的用户以及其他组的用户而不能细化
到其他某一具体用户而且用户对文件/目录及设备的权限仅限于
读写和执行而不能进一步细化
在红旗安全操作系统中ACL的基本思想可用图2 的形式描述
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
10
在图2 中客体包括系统中的文件目录特殊设备文件IPC
等主体包括用户和用户组
从图中可以看到ACL 信息是以客体为索引把所有对某一客
体拥有访问权限的主体及其访问权限都组合在一起与此客体关联
如果要对某一访问请求进行判断的话则首先要找到被访问的客体
然后再在此客体所关联的主体中查找有无此请求所包含的主体最
后再在此主体的访问权限序列中检查有无此请求所需要的访问权
限如果有此权限则此请求是合法的
ACL信息的管理
红旗安全操作系统所提供的自主访问控制并没有影响传统
Linux 的自主访问控制传统Linux 的自主访问控制在红旗安全操作
系统的自主访问控制中继续其作用要让自主访问控制在红旗安全操
作系统系统中起作用需要协调配置传统Linux 的自主访问控制和红
旗安全操作系统中的自主访问控制如要决定用户对文件/目录及设
备是否拥有某种操作的权限首先要判断这种请求是否满足传统
Linux 的自主访问控制然后再判断是否满足红旗安全操作系统中的
自主访问控制只有两者都满足才能算该用户拥有对此文件进行这
图2 ACL的基本表示形式
客体客体客体
主体权限主体权限主体权限
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
11
种操作的权限
当然可以关闭红旗安全操作系统的自主访问控制功能仅让
传统Linux 的自主访问控制起作用但我们无法关闭传统Linux的自
主访问控制
对系统中的ACL信息系统采取特殊的措施加以保护只有客
体的属主和被授权的用户才有权对ACL 信息加以修改并且这种
修改同样是作为一种请求发出的要受到ACL 控制策略的控制即
只有那些具有修改客体的ACL信息权限的主体才能对此客体的ACL
信息进行修改
红旗安全操作系统系统提供专门的管理工具对ACL信息进行
管理客体的属主可以对其他用户对此客体的访问权限进行管理被
授权的用户可以管理被授权客体的ACL 信息系统的安全管理员可
以对所有的ACL信息进行管理
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
12
四强制访问控制
强制访问控制MAC 是由安全管理员按照安全政策将主体和
客体赋予不同的安全标记然后根据主体和客体的安全标记来决定访
问模式如可以分为绝密级机密极秘密级无密级等这样就可
以利用向下读向上写来保证数据的保密性并且通过这种梯度安全
标记实现信息的单向流通传统Linux 系统没有MAC 支持红旗安
全操作系统提供了MAC机制
红旗安全操作系统不仅考虑了对系统内的信息流动的访问控
制还考虑了对系统与外部系统间信息流动的访问控制
强制访问控制功能
红旗安全操作系统依据主体的敏感标记以及承载信息的客体的
敏感标记实施强制访问控制政策主体和客体的敏感标记由等级分类
和非等级类别构成
对于任意两个有效的敏感标记它们之间的关系必是以下情况
之一1 两个敏感标记相等2 一个敏感标记大于另一个敏感标
记3 两个敏感标记不可比较这些关系由以下规则确定
规则一如果两个敏感标记的等级分类相等且非等级类别集合
也相等则这两个敏感标记相等
规则二如果以下条件之一成立则敏感标记A 大于敏感标记
B
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
13
1 A的等级分类大于B的等级分类且A的非等级类别集合等于
B的非等级类别集合
2 A的等级分类等于B的等级分类且A的非等级类别集合是B
的非等级类别集合的真超集
3 A的等级分类大于B的等级分类且A的非等级类别集合是B
的非等级类别集合的真超集
规则三如果两个敏感标记不相等且哪一个敏感标记都不大于
另一个敏感标记则这两个敏感标记不可比较
红旗安全操作系统的强制访问控制机制根据以下原则实行强制
访问控制
1 如果主体的敏感标记大于或等于客体的敏感标记则允许读
操作
2 如果客体的敏感标记大于或等于主体的敏感标记则允许写
操作
3 如果主体A的敏感标记大于或等于主体B的敏感标记则允
许信息从主体B流向主体A 如管道操作
4 如果主体的敏感标记等于客体的敏感标记则主体可以在客
体中创建新的客体新客体的敏感标记不小于父客体的敏感标记
5 如果主体时客体的可信主体确定的信息流动可以得到授权
而不受以上所限
6 不满足以上规定的任何条件的信息流动必须禁止
7 信息流向的两端的敏感标记不可比时信息流动必须禁止
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
14
系统内外的数据交换
为实现强制访问控制红旗安全操作系统给数据增加了敏感标
记属性在红旗安全操作系统操作系统与外界交换数据时需要对相
应的敏感标记进行正确的处理把系统内的数据传到系统外称为数
据导出把系统外的数据传到系统内称为数据导入
导出非标记用户数据即不带敏感标记的用户数据时红旗
安全操作系统的MAC机制实施如下控制
1 保证不导出与该用户数据关联的安全属性
2 用于导出不带安全属性的数据的设备不能用于导出带有安全
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
导出标记用户数据即带敏感标记的用户数据时红旗安全
操作系统的MAC机制实施如下控制
1 同时导出与该用户数据关联的安全属性
2 当数据以用户可理解的格式即可打印的格式导出时
3 被授权的管理员应能够为那些与数据相关联的敏感标记指定
可打印的标记
4 每个打印作业的头部和尾部应该标上一个可打印的标记该
标记是在打印作业中导出的所有数据的敏感度的最小上界标记的
可打印形式每一个打印输出页上应该标上一个可打印的标记该标
记是导出到该页的所有数据的敏感度的最小上界标记的可打印形
式
5 用于导出带有安全属性的数据的设备不能用于导出不带安全
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
15
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
6 用于导出带有安全属性的数据的程序应完整地把安全属性与
相应数据关联起来
导出非标记用户数据时红旗安全操作系统的MAC机制实施如
下控制
1 保证不会导入与该数据关联的任何安全属性
2 用于导入不带安全属性的数据的设备不能用于导入带有安全
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
3 导入不关联MAC 标记的数据时给数据标上红旗安全操作
系统能处理的数据的最大MAC标记
4 导入不关联DAC 属性的数据时给数据标上数据导入者的
DAC属性
导出非标记用户数据时红旗安全操作系统的MAC机制实施如下控
制
1 导入与标记用户数据相关联的安全属性
2 用于导入带有安全属性的用户数据的设备不能用于导入不带
安全属性的数据除非设备状态的改变是手工进行的并且是可以审计
的
3 基于标识的安全属性与红旗安全操作系统使用的安全属性一
致
4 如果数据含有红旗安全操作系统无法理解的敏感标记但红
旗安全操作系统知道数据导入源使用的标记设置系统则红旗安全操
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
16
作系统以自己的表示形式给数据置以等同的敏感标记
5 如果数据含有红旗安全操作系统无法理解的敏感标记而且
红旗安全操作系统不知道数据导入源使用的标记设置系统则该数据
被当作没有敏感标记的数据处理
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
17
五安全审计
主体和客体的标识
主体指用户或代表用户进行操作的进程每个用户以其用户标
识号表示用户进程含有进程属主号即运行此进程的用户标识号
这样可以把主体标识统一到用户标识用户也可以被增删但增删用
户这种行为也被审计在审计记录中详细登记用户及其参数的变化情
况这样可以保证审计记录中的事件与事件的发起者的正确关联
客体因类型不同有不同的标识方法审计子系统现只处理三种
客体文件或目录设备用户设备使用主设备号和次设备号标识
同时附加设备的属性数据以指出设备的类型块设备或字符设备
文件和目录可以使用相同的标识方法可以使用他们所在的设备的标
识和在此设备上节点号标识同时也附加属性数据以标志文件或目
录作为客体的用户也使用与主体相同的标识方法
审计事件的标识
所有的审计事件构成的集合称为事件全集在审计子系统中
为每一个审计事件分配一个标识号一个正整数事件标识号的范
围为[ 1 AU_MAX_EVENT_ID AU_EVENT_NONE =0 不是一
个有效的事件标识事件标识号小于0的审计记录是其事件标识号的
绝对值对应审计记录的后续记录
审计子系统给出了每一个事件标识号的符号定义同时为方便
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
18
使用还定义了相应的事件名称字符串管理员可以随意使用二
者之一
审计子系统为主体和不同类型的客体分别定义了不同的事件集
合主体的事件集合等于事件全集客体的审计事件集合是事件全集
中可以作用于该类客体的事件子集为方便使用在客体的审计事件
集中对事件进行了重新标识包括标识符和事件名称
发行文件中包含了所有事件在各个事件集中的标识号和名称
事件向量
在审计子系统中一个主体或客体可能关联一组需要审计的事
件主体关联的事件组成此主体发出的且需要审计的事件集合客体
关联的事件构成发生在此客体上的且需审计的事件集合
在审计配置中事件集合用位示图表示此位示图称为向量
向量中的所有位bit 按由低到高的顺序从0 开始编号称为位号
向量中的某一位对应于事件集合中标识号等于该位位号的那个事件
当向量的某位为1时表示对应的事件需要审计否则无需审计因
为没有标识号为0的事件故向量的最低位没有意义可以为任意值
主体的事件集合与客体的事件集合不同主体事件集合等于审
计子系统所定义的可审计事件全集用256 位的向量表示客体的事
件集合只包含可能发生在该类客体上的事件是事件全集的子集文
件和目录的事件集合用16 位的向量表示设备和用户作为客体
的事件集合都表示为8 位的向量
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
19
审计规则
审计子系统定义了无条件审计全局审计主体审计安全范
围审计和客体审计等五种审计规则并顺序编号称为规则号优
先级按所列顺序由高降到低这五种规则取逻辑或的关系即某一事
件只要满足其一就应审计
无条件审计的事件内嵌于审计子系统内部审计员不能设定
审计员应设定需要全局性审计的事件集合设定一个安全标记范围以
审计发生在此范围内的所有客体上的事件并有选择地为某些客主体
和客体单独设定审计事件集
审计配置的设定
审计配置工具有文本配置方式和图形配置方式两种审计配置
中称主体为subject 可以简记为sub 文件和目录称为fd 设
备称为dev 作为客体的用户称为user 文本配置方式中所有命令所
含的字母都是小写的数字部分采用C 语言可以解释的格式如16
进制数用0x开头在表示位长超过32 位bit 的整数时以32位
为单位将此整数拆分不足部分以0补成32 位按照先低后高的顺
序以16 进制形式输入或输出每个32 位部分最后的连续若干个全为
0 的32 位部分可以省略也可以0 补足
审计配置包含的内容有
1 审计数据文件的初始序号(serial_no)
2 每个审计文件的最大容量(max_fsize)
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
20
3 开始报警时文件容量占总容量的百分比(fsize_warn_percent)
4 审计数据文件容量超限时应采取的策略(overflow_policy)
5 全局审计事件集合(主体名为保留的everybody)
6 审计的文件和目录的安全标记范围(min_fd_sec 和
max_fd_sec)
7 审计的设备的安全标记范围(min_dev_sec 和max_dev_sec)
8 审计的用户客体的安全标记范围(min_user_sec 和
max_user_sec)
9 主体的审计事件集合若干
10 文件/目录的审计审计事件集合若干
11 用户客体的审计事件集合若干
审计空间溢出策略
审计数据文件的容量应有一个合理的限度此限度可在配置文
件中指定同时也应指定当审计文件容量到达此限度时所采取的策
略在红旗安全操作系统审计子系统中有效的策略有文件切换
""changelog"" 停机""halt"" 结束审计""kill"" 挂起审计
""suspend"" 文件覆写""overwrite""
审计空间溢出后采取的策略也是无条件审计的
审计查看
红旗安全操作系统审计子系统为审计记录的查看提供文本界面
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
21
和图形界面两种方式查看前查看器会检查审计数据文件的标志和版
本号以确定文件的有效性
文本形式的审计查看器提供了在审计文件中定位查看和形式
转换的命令查看器保存当前正要查看的审计记录的位置号称为当
前记录指针绝对定位命令go 可以通过目标记录在审计文件中的绝
对位置号来定位目标记录并把当前指针调整到目标记录处相对定
位命令skip 是通过目标记录与当前记录的距离来确定目标记录的它
的参数是负值时表示将当前记录向前即向文件头方向移动命
令display 简记为d 将显示当前审计记录的内容并将当前记录指
针后移到下一个记录命令d可以带一个参数以表明连续显示的记录
个数命令set_outfile用来指定一个输出文件当已经指定一个有效
的输出文件时d 命令显示的内容会同时送入输出文件以备以后浏
览审计员在使用完输出文件后应将输出文件删除
审计数据的安全
审计数据在系统中应得到严格的保护防止非授权查看更要
防止数据的篡改和删除在已经分配安全管理员角色的安全系统中
安全管理员应对审计配置文件审计数据文件实施相应的强制访问政
策和自主访问政策
另一方面审计员应当定期备份审计数据文件对于备份文件
也应妥善保管避免丢失和毁损
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
22
六安全管理
安全管理子系统主要负责设置和控制主体和客体的安全属性
实现角色机制控制对审计事件和记录的操作和管理鉴别数据
安全属性管理
安全属性管理主要包括安全属性初始化安全属性修改和安全
属性撤消等三个方面的内容
主体或客体被创建时为了避免留下安全漏洞系统依据自主
访问控制政策和强制访问控制政策给它们的安全属性赋初始值对于
用户的安全属性由安全管理员初始化对于客体的安全属性在创
建客体之时由系统自动提供缺省值作为初始值而且系统也允许
创建客体的用户在创建客体时指定其他初始值取代缺省值
可以修改的安全属性从主客体类型的角度来看包括用户安全
属性进程安全属性文件目录安全属性设备特殊文件安全属性和
进程间通信安全属性从安全政策的角度来看包括与自主访问控制
政策相关的安全属性和与强制访问控制政策相关的安全属性
对于用户安全属性由安全管理员修改对于客体安全属性
凡是与自主访问控制政策相关的由下列用户修改安全管理员客
体的拥有者由自主访问控制政策授权修改客体安全属性的用户凡
是与强制访问控制政策相关的安全属性由下列用户修改安全管理
员由强制访问控制政策授权修改客体安全属性的用户
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
23
安全属性撤消的实质是安全属性修改利用属性修改工具可以
实现属性撤消操作可以撤消的安全属性与上小节安全属性修改
相同允许撤消安全属性的人员也与上小节相同但是用户安全属
性被撤消以后他与安全有关的相应授权也被立即撤消这是由于用
户的授权如果被不恰当地使用将会带来严重的安全后果
审计管理
审计管理包括审计记录管理和审计事件管理对审计记录的操
作包括创建删除和清除对审计事件组的操作包括修改和查看系
统限制只有安全审计员有权执行这些操作
鉴别数据管理
红旗安全操作系统中鉴别数据是指用户口令鉴别数据管理
包括对鉴别数据的初始化操作和修改操作的控制系统限定只能由系
统管理员初始化用户的鉴别数据由系统管理员和有权修改自身鉴别
数据的用户修改鉴别数据
角色管理
普通Linux采用高度极权化的方式设立一个root超级用户root
用户具有至高无上的权力可以不受系统访问控制规则的任何制约
可对系统及其中的信息执行任何操作这种做法不符合安全系统的
最小特权原则攻击者只要破获root 用户的口令进入系统便
得到了对系统的完全控制其后果是不言而喻的
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
24
红旗安全操作系统根据最小特权原则对系统管理员的特权
进行了分化根据系统管理任务设立角色依据角色划分特权典型
的系统管理角色有系统管理员安全管理员审计管理员等系统管
理员负责系统的安装管理和日常维护如安装软件增添用户帐号
数据备份等安全管理员负责安全属性的设定与管理审计管理员负
责配置系统的审计行为和管理系统的审计信息一个管理角色不拥有
另一个管理角色的特权攻击者破获某个管理角色的口令时不会得到
对系统的完全控制
依据安全系统的最小权限原则每个用户只能拥有刚够他完成
工作的最小权限相应地在红旗安全操作系统中按照职责确定若
干种用户类别同一类别的用户都拥有刚够完成其职责的权限这种
用户类别称为角色
系统中实现角色有系统管理员他拥有维护系统正常运行所
必须的权限但不具有与安全相关的权限安全管理员他拥有管理
主客体安全属性的权限但是不具有维护系统的权限和其他权限安
全审计员他拥有进行安全审计工作所必需的权限由自主访问控制
政策授权修改客体安全属性的用户由强制访问控制政策授权修改客
体安全属性的用户有权修改自身鉴别数据的用户打印管理员拥
有打印工作所必需的权限