信息安全視域下國產操作系統分權管理解析

摘要：信息安全是涉密領域安全保障的重中之重，而傳統操作系統中超級用戶權限的擴大化存在很大安全隱患，不能滿足安全保密的管理要求。文章以國產操作系統為例，重點分析了該體系的分權管理機制，并根據信息安全管理需求，詳細解析了系統管理員、安全保密管理員和安全審計員3個角色的具體管理內容及權責，為涉密領域的信息安全管理提供參考。

關鍵詞：國產計算機；國產操作系統；信息安全；保密管理；三權分立

中圖分類號：TP309文獻標志碼：A

0 引言

涉密計算機作為信息處理的重要設備，其安全可靠性直接關系國家秘密信息的安全。然而長期以來，我國采用國外設備及操作系統來組裝涉密計算機，建設涉密信息系統，存在很大安全隱患。國外硬件設備和系統可能隱藏的后門、漏洞、病毒、木馬等都會給信息安全帶來極大的風險。

此外，過分依賴國外信息基礎設施，對國家信息產業的發展還存在被卡脖子的風險。例如，俄烏戰爭爆發后，美國立即實施了芯片禁運、操作系統停服等手段，使俄羅斯的信息產業遭受到重擊。

因此，基于國產軟硬件來構建涉密計算機和信息系統對于國家信息安全保障尤為重要。近年來，隨著我國國產芯片、國產操作系統、國產中間件、國產應用軟件和國產外設技術的不斷提高，相關產品已日漸成熟，完全擁有構建自己信息安全體系的能力。如今，國產計算機正逐步投入使用，從根本上規避了使用國外設備和系統可能帶來的風險隱患。本文以國產計算機為例，初步解析如何通過軟硬件的共同協作進行分權保密管理。

1 傳統操作系統權限管理的風險

在操作系統中，權限是指不同用戶賬戶對某項資源的訪問能力，例如某用戶對某文件具有可讀取、可修改或可執行的權限，對某目錄具有訪問權限等。通常，操作系統會給各用戶和用戶組分配不同的權限，對應相應的訪問控制項，表明其對各項系統資源的訪問能力。

為了管理的便利性，傳統操作系統中設置了一個超級用戶，擁有操作系統所有資源的全面訪問權。例如，Windows操作系統安裝時創建的默認用戶——Administrator，同樣，Linux操作系統也有超級用戶——Root；獲得超級用戶權限就意味著可以對系統中的任何文件和目錄執行操作，可以任意修改系統和網絡的設置等。

超級用戶的設立一方面為系統管理帶來很多便利，另一方面也存在很大的安全隱患。超級用戶擁有對操作系統的完全控制權，意味著可以為所欲為。所以攻擊者也常常通過網絡監聽、強行破解用戶密碼、暴力破解用戶密碼文件等方法企圖獲取超級用戶密碼，一旦獲得超級用戶權限，便可以獲取系統中的所有信息，并且進行木馬植入和病毒傳染等非法操作。

超級用戶擁有系統的最高特權，既是各類資源的管理者，又是資源的使用者；既是各項安全策略的制定者，又是這些策略的執行者，還是所有執行的監督者。雖然全面授權能夠提高系統的整體管理效率，但是如果權力被惡意利用或竊取，整個系統的信息就可能泄露；再者，如果超級用戶發生違規訪問和誤操作，系統也可能因此遭到破壞。所以，對于安全要求更高的涉密計算機而言，超級用戶是一個危險的角色。

2 國產操作系統權限控制策略

針對超級用戶權限可能不受控制的風險，傳統操作系統也采取了一些措施，例如，Windows采用用戶賬戶控制（UAC）機制對用戶權限進行限制，以阻止未授權行為對系統產生意外或惡意的破壞，但同時也保留了“以管理員身份運行”的特權，以獲得更多的靈活性，于是潛在風險并沒有根除。同樣的，傳統Linux系統雖然也限制了Root用戶作為普通用戶登錄，但是用戶依然可以通過“sudo”來獲得超級用戶的臨時授權，以獲取全權。因此，國產操作系統需要采取進一步的措施來控制風險。

2.1 最小特權策略

為了保障系統安全性，面向涉密領域的國產操作系統徹底放棄了超級用戶，并通過權能機制來實現最小特權。主體根據最小特權策略被賦予了完成特定任務所需的特權，但并不提供超越執行任務所需權限以外的其他特權，即提供滿足且僅滿足特定操作的權限。這樣，超級用戶的全權被拆分為更細粒度的各個特權，每個特權僅完成一個既定任務［1］。

最小特權機制既能保證主體在所賦予的特權下完成既定任務，又限制了主體能力范圍的擴大化，從而大大降低系統安全風險，或因用戶誤操作對系統造成的危害。

2.2 特權分離策略

除最小特權外，面向涉密領域的國產操作系統還對特定用戶所能獲得的特權進行了限制，比如某項敏感操作不應由單個用戶自行完成，而應由兩個甚至多個不同用戶來相互監督完成，即特權分離。特權分離形成了更為可靠的多人控制策略。通過權限分散，有效避免了特權集中帶來的權力濫用和欺詐風險。

2.3 分權管理機制

根據最小特權策略，國產操作系統將超級用戶的特權進行了分離，將其抽象為若干權能，用戶或進程只有具備了某項權能，才能實施該項操作。即當用戶或進程申請執行某項特權操作時，系統會先檢查執行主體是否具備該項操作相應的權能，若權能匹配，則允許執行，反之則予以拒絕。

在此基礎上，依據特權分離策略，國產操作系統進一步引入角色權能，即用戶角色決定了用戶所能擁有的權能。系統根據各項管理任務設立不同角色，并依據角色來劃分權能，各角色相互獨立，各司其職。

這樣，傳統操作系統的超級用戶特權就被按照管理需求被劃分為配置、授權和審計3類既相互獨立又相互制約的權限，權限被分別授予系統管理員、安全保密管理員和安全審計員，如表1所示，各角色擁有完成其承擔任務所需的最小權限，并形成系統的共同管理和相互制約。

分權管理消除了系統的超級用戶，一個角色不能擁有另一個角色的特權，任何一個角色都無法掌握過多的特權來非法獲取信息或損害系統安全。即便攻擊者破解了某個管理角色的密碼也不能得到對系統的完全控制，從而大大降低了傳統超級用戶可能帶來的安全威脅。例如，當入侵者獲得系統管理員權限后想修改某個安全設置，就有可能被拒絕。因為系統管理員沒有修改該安全設置的權限，而安全設置只有安全保密管理員才能配置。通過分權，安全保密管理員對系統管理員的角色權力進行了有效的制約，進而降低了風險。

3 國產計算機分權管理實施

3.1 國產計算機的安全管理需求

信息安全應具備保密性、完整性、可用性、可控性和不可否認性等屬性。其中，保密性是指防止非授權用戶獲取信息；完整性是指信息的產生、傳輸和存儲的準確性；可用性即保障授權用戶對資源和服務的合法訪問；可控性是指對資源進行必要的控制和管理；不可否認性是指對用戶身份真實同一性的確認［2］。

為此，國產計算機從國產安全固件、國產操作系統、國產應用軟件、國產安全保密工具等方面構建了以安全為中心的體系架構，形成了對系統所有資源的訪問、檢測、管控的主動防御一體化安全解決方案。

3.2 國產計算機三員分權管理

結合管理內容，國產計算機的分權管理機制分別設立了系統管理員、安全保密管理員和安全審計員3個角色。安全保密管理員統一進行系統可信度量管理及與強制訪問控制等安全機制相關的事件和信息的管理；系統管理員主要負責系統維護和資源管理；審計管理員則對系統進行審計規則配置、審計日志分析等審計相關工作［3］，具體如圖1所示。

3.2.1 系統管理員職責

系統管理員主要負責國產計算機的日常運行維護工作，包括安全硬件、操作系統、應用軟件、安全保密工具等各部分的安裝、配置、升級和運行管理；對安全固件和操作系統系統的用戶進行設置和管理；進行網絡配置、時間管理、硬盤管理和各項服務管理；按需對系統進行備份和還原，在系統發生異常或中斷時及時排除故障；同時對外部設備的使用進行管理，確保整個系統的正常運行。

3.2.2 安全保密管理員職責

安全保密管理員主要負責國產計算機的日常安全保密管理工作，將安全策略落實到整個系統的安全配置中，包括：可信計算配置；安全固件和系統用戶權限的授予與撤銷；用戶操作行為的安全審計；三合一等安全保密設備的管理；違規外聯控制、外設端口管控及病毒防護等。并監視系統運行情況，對系統安全事件進行審計、分析和處理。

3.2.3 安全審計員職責

安全審計員主要負責配置系統審計策略，并監督檢查、審計分析系統管理員和安全保密管理員的操作行為。包括：查看系統日志、查看三合一審計及配置管理審計等，以及時發現違規行為，降低風險發生的損失。由此可見，安全審計員和安全保密管理員的角色不能兼任，這樣才能確保安全審計工作的公正和審計結果的客觀有效。

4 分權管理相關要求的補充

根據保密管理相關要求，涉密信息系統責任單位，應按照國家保密標準配備3類管理人員：系統管理員、安全保密管理員和安全審計員，分別負責涉密信息系統的安全運行、安全保密和安全審計相關工作。未建立涉密信息系統僅使用涉密計算機的單位，也應至少配備安全保密管理員。系統管理員、安全保密管理員和安全審計員的權限設置應相互獨立、相互制約，不得交叉替代或兼任［4］。

雖然保密要求對僅涉及涉密單機的責任單位三員的設置有所放寬，但出于涉密信息安全保密的考慮，還是建議盡可能保證三員角色的設立，以真正發揮國產計算機的分權管理的作用。

5 結語

為加強信息安全保障，涉密信息處理應逐步采用國產軟硬件整體解決方案。針對傳統計算機超級用戶潛在的風險和隱患，本文給出了國產計算機的分權保密管理解決方案。通過對傳統計算機用戶管理缺陷的分析，解析了國產計算機在最小特權策略和特權分離策略的基礎上，依據角色權能劃分，構建了“配置、授權、審計”三權分立的分權保密管理機制。并通過對國產操作系統安全管理內容的解析，進一步明確系統管理員、安全保密管理員和安全審計員的分權保密管理內容和職責。三員各司其職并形成有效制約，從根本上解除了超級用戶的隱患。本文最后給出了保密管理規定中對分權管理部分的要求及建議，供廣大信息安全工作者參考。

參考文獻

［1］謝欣偉，廖湘科，陳松政，等.操作系統用戶特權最小化的研究與實現：2007中國計算機大會論文集［C］.北京：機械工業出版社，2010.

［2］郭啟全.網絡安全等級保護基本要求（通用要求部分）應用指南［M］.北京：電子工業出版社，2022.

［3］王越，楊平利，李衛軍.涉密計算機信息安全管理體系的設計與實現［J］.計算機工程與設計，2010（18）：3964-3967.

［4］國家軍工保密資格認定辦公室.軍工保密資格認定工作指導手冊（2017年版）［M］.北京：金城出版社，2018.

Analysis of decentralized management of domestic operating systems in ken of information security

LiXiaolan

（China Standard Software Co.， Ltd.， Shanghai 200030， China）

Abstract： Information security is the top priority of security assurance in secret related fields. while the power of Superuser rights in traditional operating systems poses significant security risks and cannot meet the management requirements of security and confidentiality. This article takes a domestic operating system as an example and focuses on analyzing the decentralized management of the system. Based on information security management requirements， the specific management content and responsibilities of the three roles of system administrator， security and confidentiality administrator， and security auditor are analyzed in detail， providing reference for information security management in confidential fields.

Key words： domestic computer; domestic operating system; information security; confidentiality management; separation of powers