红旗安全操作系统技术白皮书

　　红旗安全操作系统功能服务器版技术白皮书中科红旗软件技术有限公司2001 年7 月红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有1红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有2目录一概述述………..3二身份标识与鉴别别………………………………………………………………………………………………………..5用户身份标_5用户身份鉴_5用户口令强_6用户与进程的关联………………………………………………………………………………………………………..6三自主访问控制制……………………………………………………………………………………………………………8自主访问控制原则………………………………………………………………………………………………………..8访问控制表ACL 原理……………………………………………………………………………………………….9ACL 信息的管理…………………………………………………………………………………………………………..10四强制访问控制制………………………………………………………………………………………………………….12强制访问控制功能………………………………………………………………………………………………………12系统内外的数据交换…………………………………………………………………………………………………..14五安全审计计.17主体和客体的标识………………………………………………………………………………………………………17审计事件的标识………………………………………………………………………………………………………….17事件向量…..18审计规则…..19审计配置的设定………………………………………………………………………………………………………….19审计空间溢出策略………………………………………………………………………………………………………20审计查看…..20审计数据的安全………………………………………………………………………………………………………….21六安全管理理.22安全属性管理……………………………………………………………………………………………………………..22审计管理…..23鉴别数据管理……………………………………………………………………………………………………………..23角色管理…..23红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有3一概述在计算机系统中从最底端的硬件层到最顶端的应用软件层每个层次上的成分在安全性方面起着不同的作用安全操作系统中旨在为上层软件提供基本的安全支持红旗安全操作系统的当前版本主要从增强的身份标识与鉴别细化的自主访问控制特权用户职责划分强制访问控制审计跟踪以及安全管理等方面增强基本安全功能支持增强的身份标识与鉴别通过强化的口令管理增强用户身份的标识和鉴别更有效地防止攻击者通过破解口令的方法侵入系统细化的自主访问控制把自主访问控制的控制权制约能力细化到单个用户更有效地实行系统资源的自主访问控制保护特权用户职责划分削弱超级用户的权力设立系统管理员系统安全员系统审计员防止攻击者利用一个特权用户的身份获得对整个系统的控制强制访问控制以Bell&LaPadula 安全模型为基础对信息流实施强制访问控制支持系统客体和主体的等级分类和非等级类别划分提供具有不同密级的信息和资源的保护审计跟踪以事件为驱动记录触发审计事件发生的各种行为允许系统审计员设定需审计的事件提供灵活的审计记录检索和查看功能安全管理以前面各项基本机制为基础维护整个系统的安全性红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有4访问控制强制访问控制传统Linux权限控制访问控制表控制安全属性信息审计记录信息资源用户进程用户身份鉴别图1 红旗安全操作系统访问控制原理红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有5二身份标识与鉴别为确保系统的安全必须对系统中的每一用户进行有效的标识与鉴别为此红旗安全操作系统系统给每个用户提供的与安全有关的属性有用户身份标识用户名及其UID 组属关系用户所拥有及所属的组鉴别数据用户口令用户的敏感标记包括安全等级和非等级类别安全相关角色等用户身份标识红旗安全操作系统系统提供对用户进行身份标识的机制即系统给每一用户分配一个唯一的标识此处为用户名和用户ID 此机制实现了如下的功能在用户的身份被标识之前系统允许用户从系统中获得身份标识提示以帮助用户进行身份标识即输入用户名但此提示不会降低系统的安全性在允许用户从事任何由系统仲裁的除身份标识之外的其他活动之前系统要求每个用户必须成功地通过身份标识即是系统中已经存在的用户否则不予处理用户身份鉴别在用户成功的通过系统的身份标识以后系统要鉴别此用户身份的合法性即对注册用户输入的口令进行验证红旗安全操作系统系统提供的用户身份鉴别机制实现了如下的功能在用户被鉴别之前用户可以从系统中获得提示性的鉴别信息红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有6在鉴别的进行过程中系统只向用户提供模糊的反馈信息而这些提示性的鉴别信息和模糊的反馈信息都不会降低系统的保密性在系统允许用户从事任何由系统仲裁的除身份鉴别以外的其他活动之前系统要求每个用户必须成功地通过鉴别否则不予处理这些活动用户口令强度红旗安全操作系统系统提供的用户口令的保护机制可以确保用户口令的安全性达到以下要求随机试探口令鉴别机制一次试探可能成功的概率小于百万分之一如果在一分钟内的多次使用试探系统保证随机试探可能成功的概率小于十万分之一在口令鉴别机制被试探使用期间系统给出的任何反馈信息都不会导致试探成功的概率的高于上述尺度用户与进程的关联在系统中代表用户进行工作的是此用户产生的进程为保证系统的安全性可靠性保证用户行为的可审计性红旗安全操作系统系统把以下的用户安全属性与代表用户工作的进程关联起来与可审计事件关联的用户身份标识用于实施自主访问控制政策的用户标识用于实施自主访问控制政策的组属关系用于实施强制访问控制政策的敏感标记此敏感标记由等级分类和非等级类别构成当用户注册进系统时红旗安全操作系统系统提供的机制遵循红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有7以下规则来建立用户安全属性与代表用户工作的进程间的初始关联与进程关联的敏感标记应在用户的敏感标记的范围内即不能超越用户的敏感标记代表用户工作的进程在被创建时即用户登录时与用户的安全属性进行初始关联关联方式如下首先对于用户注册时创建的进程此进程产生的可审计事件中用户标识必须等于产生此进程的注册用户的标识进程中对应的用于实施自主访问控制政策的用户标识等于产生此进程的注册用户的标识进程中对应的用于实施自主访问控制政策的组属关系由注册用户指定指定的组必须是用户所属的组如果用户不指定则取缺省值缺省值静态确定进程中对应的用于实施强制访问控制政策的敏感标记由注册用户指定如果用户不指定则取缺省值缺省值静态确定其次非注册阶段一个进程创建另外一个进程时子进程继承父进程所关联的安全属性对于与代表用户工作的进程关联的用户安全属性的修改系统用以下的规则加以限制禁止修改与可审计事件关联的用户标识在得到目标用户许可的情况下可把用于实施自主访问控制政策的用户标识改变为目标用户的标识在得到目标组的用户许可的情况下可把用于实施自主访问控制政策的组属关系改变为目标组用于实施强制访问控制政策的敏感标记只能由被授权的安全管理员修改红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有8三自主访问控制在红旗安全操作系统中实施访问控制是为了保证系统资源受控合法地使用访问控制是指控制系统中的主体如进程对系统中的客体如文件目录等的访问如读写和执行等用户只能根据自己的权限大小来访问系统资源不得越权访问红旗安全操作系统实现的访问控制支持有2 种自主访问控制强制访问控制自主访问控制DAC 是指主体对客体的访问权限是由客体的属主或超级用户决定的而且此权限一旦确定将作为以后判断主体对客体是否有以及有什么权限的唯一依据只有客体的属主或超级用户才有权更改这些权限传统Linux 系统提供DAC支持控制粒度为客体的拥有者属组和其他人红旗安全操作系统引入了访问控制表ACL 把访问控制的粒度细化到可以对任意指定的用户授权或禁止访问自主访问控制原则红旗安全操作系统依据如下因素实施自主访问控制政策1 用户身份标识和组属关系,它们与主体关联2 对客体的各类访问权限读写执行或空访问权限这样以主体S 为列以客体O 为行以访问权限A为元素就组成了实施自主访问的访问矩阵(S,O,A)红旗安全操作系统依据如下规则实施自主访问控制红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有91 当主体的用户标识和客体的访问控制属性中指定的用户标识相匹配并且所执行的操作包含在访问控制属性中时允许该操作2 当主体的组属关系匹配客体的访问控制属性中指定的组标识并且相应操作包含在访问控制属性中时允许该操作3 如果用户身份和组属关系都不匹配当相应操作包含在客体的缺省访问控制属性中时该操作允许进行另外红旗安全操作系统根据以下附加规则进行明确授权和拒绝1 被授权的系统维护员可授权自己对客体的访问从而不受客体访问控制属性的限制2 置客体的某个访问控制属性为空即可以封锁主体对该客体的相应访问访问控制表ACL 原理 红旗安全操作系统的自主访问控制是在传统Linux 的自主访问控制的基础之上对自主访问控制的进一步强化在传统Linux的自主访问控制中对某一文件/目录及设备具有权限的用户只能是文件/目录及设备属主与属主同组的用户以及其他组的用户而不能细化到其他某一具体用户而且用户对文件/目录及设备的权限仅限于读写和执行而不能进一步细化在红旗安全操作系统中ACL的基本思想可用图2 的形式描述红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有10在图2 中客体包括系统中的文件目录特殊设备文件IPC等主体包括用户和用户组从图中可以看到ACL 信息是以客体为索引把所有对某一客体拥有访问权限的主体及其访问权限都组合在一起与此客体关联如果要对某一访问请求进行判断的话则首先要找到被访问的客体然后再在此客体所关联的主体中查找有无此请求所包含的主体最后再在此主体的访问权限序列中检查有无此请求所需要的访问权限如果有此权限则此请求是合法的ACL信息的管理 红旗安全操作系统所提供的自主访问控制并没有影响传统Linux 的自主访问控制传统Linux 的自主访问控制在红旗安全操作系统的自主访问控制中继续其作用要让自主访问控制在红旗安全操作系统系统中起作用需要协调配置传统Linux 的自主访问控制和红旗安全操作系统中的自主访问控制如要决定用户对文件/目录及设备是否拥有某种操作的权限首先要判断这种请求是否满足传统Linux 的自主访问控制然后再判断是否满足红旗安全操作系统中的自主访问控制只有两者都满足才能算该用户拥有对此文件进行这图2 ACL的基本表示形式客体客体客体主体权限主体权限主体权限红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有11种操作的权限当然可以关闭红旗安全操作系统的自主访问控制功能仅让传统Linux 的自主访问控制起作用但我们无法关闭传统Linux的自主访问控制对系统中的ACL信息系统采取特殊的措施加以保护只有客体的属主和被授权的用户才有权对ACL 信息加以修改并且这种修改同样是作为一种请求发出的要受到ACL 控制策略的控制即只有那些具有修改客体的ACL信息权限的主体才能对此客体的ACL信息进行修改红旗安全操作系统系统提供专门的管理工具对ACL信息进行管理客体的属主可以对其他用户对此客体的访问权限进行管理被授权的用户可以管理被授权客体的ACL 信息系统的安全管理员可以对所有的ACL信息进行管理红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有12四强制访问控制强制访问控制MAC 是由安全管理员按照安全政策将主体和客体赋予不同的安全标记然后根据主体和客体的安全标记来决定访问模式如可以分为绝密级机密极秘密级无密级等这样就可以利用向下读向上写来保证数据的保密性并且通过这种梯度安全标记实现信息的单向流通传统Linux 系统没有MAC 支持红旗安全操作系统提供了MAC机制红旗安全操作系统不仅考虑了对系统内的信息流动的访问控制还考虑了对系统与外部系统间信息流动的访问控制强制访问控制功能红旗安全操作系统依据主体的敏感标记以及承载信息的客体的敏感标记实施强制访问控制政策主体和客体的敏感标记由等级分类和非等级类别构成对于任意两个有效的敏感标记它们之间的关系必是以下情况之一1 两个敏感标记相等2 一个敏感标记大于另一个敏感标记3 两个敏感标记不可比较这些关系由以下规则确定规则一如果两个敏感标记的等级分类相等且非等级类别集合也相等则这两个敏感标记相等规则二如果以下条件之一成立则敏感标记A 大于敏感标记B红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有131 A的等级分类大于B的等级分类且A的非等级类别集合等于B的非等级类别集合2 A的等级分类等于B的等级分类且A的非等级类别集合是B的非等级类别集合的真超集3 A的等级分类大于B的等级分类且A的非等级类别集合是B的非等级类别集合的真超集规则三如果两个敏感标记不相等且哪一个敏感标记都不大于另一个敏感标记则这两个敏感标记不可比较红旗安全操作系统的强制访问控制机制根据以下原则实行强制访问控制1 如果主体的敏感标记大于或等于客体的敏感标记则允许读操作2 如果客体的敏感标记大于或等于主体的敏感标记则允许写操作3 如果主体A的敏感标记大于或等于主体B的敏感标记则允许信息从主体B流向主体A 如管道操作4 如果主体的敏感标记等于客体的敏感标记则主体可以在客体中创建新的客体新客体的敏感标记不小于父客体的敏感标记5 如果主体时客体的可信主体确定的信息流动可以得到授权而不受以上所限6 不满足以上规定的任何条件的信息流动必须禁止7 信息流向的两端的敏感标记不可比时信息流动必须禁止红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有14系统内外的数据交换为实现强制访问控制红旗安全操作系统给数据增加了敏感标记属性在红旗安全操作系统操作系统与外界交换数据时需要对相应的敏感标记进行正确的处理把系统内的数据传到系统外称为数据导出把系统外的数据传到系统内称为数据导入导出非标记用户数据即不带敏感标记的用户数据时红旗安全操作系统的MAC机制实施如下控制1 保证不导出与该用户数据关联的安全属性2 用于导出不带安全属性的数据的设备不能用于导出带有安全属性的数据除非设备状态的变化是手工调整的并且是可以审计的导出标记用户数据即带敏感标记的用户数据时红旗安全操作系统的MAC机制实施如下控制1 同时导出与该用户数据关联的安全属性2 当数据以用户可理解的格式即可打印的格式导出时3 被授权的管理员应能够为那些与数据相关联的敏感标记指定可打印的标记4 每个打印作业的头部和尾部应该标上一个可打印的标记该标记是在打印作业中导出的所有数据的敏感度的最小上界标记的可打印形式每一个打印输出页上应该标上一个可打印的标记该标记是导出到该页的所有数据的敏感度的最小上界标记的可打印形式5 用于导出带有安全属性的数据的设备不能用于导出不带安全红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有15属性的数据除非设备状态的变化是手工调整的并且是可以审计的6 用于导出带有安全属性的数据的程序应完整地把安全属性与相应数据关联起来导出非标记用户数据时红旗安全操作系统的MAC机制实施如下控制1 保证不会导入与该数据关联的任何安全属性2 用于导入不带安全属性的数据的设备不能用于导入带有安全属性的数据除非设备状态的变化是手工调整的并且是可以审计的3 导入不关联MAC 标记的数据时给数据标上红旗安全操作系统能处理的数据的最大MAC标记4 导入不关联DAC 属性的数据时给数据标上数据导入者的DAC属性导出非标记用户数据时红旗安全操作系统的MAC机制实施如下控制1 导入与标记用户数据相关联的安全属性2 用于导入带有安全属性的用户数据的设备不能用于导入不带安全属性的数据除非设备状态的改变是手工进行的并且是可以审计的3 基于标识的安全属性与红旗安全操作系统使用的安全属性一致4 如果数据含有红旗安全操作系统无法理解的敏感标记但红旗安全操作系统知道数据导入源使用的标记设置系统则红旗安全操红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有16作系统以自己的表示形式给数据置以等同的敏感标记5 如果数据含有红旗安全操作系统无法理解的敏感标记而且红旗安全操作系统不知道数据导入源使用的标记设置系统则该数据被当作没有敏感标记的数据处理红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有17五安全审计主体和客体的标识主体指用户或代表用户进行操作的进程每个用户以其用户标识号表示用户进程含有进程属主号即运行此进程的用户标识号这样可以把主体标识统一到用户标识用户也可以被增删但增删用户这种行为也被审计在审计记录中详细登记用户及其参数的变化情况这样可以保证审计记录中的事件与事件的发起者的正确关联客体因类型不同有不同的标识方法审计子系统现只处理三种客体文件或目录设备用户设备使用主设备号和次设备号标识同时附加设备的属性数据以指出设备的类型块设备或字符设备文件和目录可以使用相同的标识方法可以使用他们所在的设备的标识和在此设备上节点号标识同时也附加属性数据以标志文件或目录作为客体的用户也使用与主体相同的标识方法审计事件的标识所有的审计事件构成的集合称为事件全集在审计子系统中为每一个审计事件分配一个标识号一个正整数事件标识号的范围为[ 1 AU_MAX_EVENT_ID AU_EVENT_NONE =0 不是一个有效的事件标识事件标识号小于0的审计记录是其事件标识号的绝对值对应审计记录的后续记录审计子系统给出了每一个事件标识号的符号定义同时为方便红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有18使用还定义了相应的事件名称字符串管理员可以随意使用二者之一审计子系统为主体和不同类型的客体分别定义了不同的事件集合主体的事件集合等于事件全集客体的审计事件集合是事件全集中可以作用于该类客体的事件子集为方便使用在客体的审计事件集中对事件进行了重新标识包括标识符和事件名称发行文件中包含了所有事件在各个事件集中的标识号和名称事件向量在审计子系统中一个主体或客体可能关联一组需要审计的事件主体关联的事件组成此主体发出的且需要审计的事件集合客体关联的事件构成发生在此客体上的且需审计的事件集合在审计配置中事件集合用位示图表示此位示图称为向量向量中的所有位bit 按由低到高的顺序从0 开始编号称为位号向量中的某一位对应于事件集合中标识号等于该位位号的那个事件当向量的某位为1时表示对应的事件需要审计否则无需审计因为没有标识号为0的事件故向量的最低位没有意义可以为任意值主体的事件集合与客体的事件集合不同主体事件集合等于审计子系统所定义的可审计事件全集用256 位的向量表示客体的事件集合只包含可能发生在该类客体上的事件是事件全集的子集文件和目录的事件集合用16 位的向量表示设备和用户作为客体的事件集合都表示为8 位的向量红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有19审计规则审计子系统定义了无条件审计全局审计主体审计安全范围审计和客体审计等五种审计规则并顺序编号称为规则号优先级按所列顺序由高降到低这五种规则取逻辑或的关系即某一事件只要满足其一就应审计无条件审计的事件内嵌于审计子系统内部审计员不能设定审计员应设定需要全局性审计的事件集合设定一个安全标记范围以审计发生在此范围内的所有客体上的事件并有选择地为某些客主体和客体单独设定审计事件集审计配置的设定审计配置工具有文本配置方式和图形配置方式两种审计配置中称主体为subject 可以简记为sub 文件和目录称为fd 设备称为dev 作为客体的用户称为user 文本配置方式中所有命令所含的字母都是小写的数字部分采用C 语言可以解释的格式如16进制数用0x开头在表示位长超过32 位bit 的整数时以32位为单位将此整数拆分不足部分以0补成32 位按照先低后高的顺序以16 进制形式输入或输出每个32 位部分最后的连续若干个全为0 的32 位部分可以省略也可以0 补足审计配置包含的内容有1 审计数据文件的初始序号(serial_no)2 每个审计文件的最大容量(max_fsize)红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有203 开始报警时文件容量占总容量的百分比(fsize_warn_percent)4 审计数据文件容量超限时应采取的策略(overflow_policy)5 全局审计事件集合(主体名为保留的everybody)6 审计的文件和目录的安全标记范围(min_fd_sec 和max_fd_sec)7 审计的设备的安全标记范围(min_dev_sec 和max_dev_sec)8 审计的用户客体的安全标记范围(min_user_sec 和max_user_sec)9 主体的审计事件集合若干10 文件/目录的审计审计事件集合若干11 用户客体的审计事件集合若干审计空间溢出策略审计数据文件的容量应有一个合理的限度此限度可在配置文件中指定同时也应指定当审计文件容量到达此限度时所采取的策略在红旗安全操作系统审计子系统中有效的策略有文件切换”changelog” 停机”halt” 结束审计”kill” 挂起审计”suspend” 文件覆写”overwrite”审计空间溢出后采取的策略也是无条件审计的审计查看红旗安全操作系统审计子系统为审计记录的查看提供文本界面红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有21和图形界面两种方式查看前查看器会检查审计数据文件的标志和版本号以确定文件的有效性文本形式的审计查看器提供了在审计文件中定位查看和形式转换的命令查看器保存当前正要查看的审计记录的位置号称为当前记录指针绝对定位命令go 可以通过目标记录在审计文件中的绝对位置号来定位目标记录并把当前指针调整到目标记录处相对定位命令skip 是通过目标记录与当前记录的距离来确定目标记录的它的参数是负值时表示将当前记录向前即向文件头方向移动命令display 简记为d 将显示当前审计记录的内容并将当前记录指针后移到下一个记录命令d可以带一个参数以表明连续显示的记录个数命令set_outfile用来指定一个输出文件当已经指定一个有效的输出文件时d 命令显示的内容会同时送入输出文件以备以后浏览审计员在使用完输出文件后应将输出文件删除审计数据的安全审计数据在系统中应得到严格的保护防止非授权查看更要防止数据的篡改和删除在已经分配安全管理员角色的安全系统中安全管理员应对审计配置文件审计数据文件实施相应的强制访问政策和自主访问政策另一方面审计员应当定期备份审计数据文件对于备份文件也应妥善保管避免丢失和毁损红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有22六安全管理安全管理子系统主要负责设置和控制主体和客体的安全属性实现角色机制控制对审计事件和记录的操作和管理鉴别数据安全属性管理安全属性管理主要包括安全属性初始化安全属性修改和安全属性撤消等三个方面的内容主体或客体被创建时为了避免留下安全漏洞系统依据自主访问控制政策和强制访问控制政策给它们的安全属性赋初始值对于用户的安全属性由安全管理员初始化对于客体的安全属性在创建客体之时由系统自动提供缺省值作为初始值而且系统也允许创建客体的用户在创建客体时指定其他初始值取代缺省值可以修改的安全属性从主客体类型的角度来看包括用户安全属性进程安全属性文件目录安全属性设备特殊文件安全属性和进程间通信安全属性从安全政策的角度来看包括与自主访问控制政策相关的安全属性和与强制访问控制政策相关的安全属性对于用户安全属性由安全管理员修改对于客体安全属性凡是与自主访问控制政策相关的由下列用户修改安全管理员客体的拥有者由自主访问控制政策授权修改客体安全属性的用户凡是与强制访问控制政策相关的安全属性由下列用户修改安全管理员由强制访问控制政策授权修改客体安全属性的用户红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有23安全属性撤消的实质是安全属性修改利用属性修改工具可以实现属性撤消操作可以撤消的安全属性与上小节安全属性修改相同允许撤消安全属性的人员也与上小节相同但是用户安全属性被撤消以后他与安全有关的相应授权也被立即撤消这是由于用户的授权如果被不恰当地使用将会带来严重的安全后果审计管理审计管理包括审计记录管理和审计事件管理对审计记录的操作包括创建删除和清除对审计事件组的操作包括修改和查看系统限制只有安全审计员有权执行这些操作鉴别数据管理红旗安全操作系统中鉴别数据是指用户口令鉴别数据管理包括对鉴别数据的初始化操作和修改操作的控制系统限定只能由系统管理员初始化用户的鉴别数据由系统管理员和有权修改自身鉴别数据的用户修改鉴别数据角色管理普通Linux采用高度极权化的方式设立一个root超级用户root用户具有至高无上的权力可以不受系统访问控制规则的任何制约可对系统及其中的信息执行任何操作这种做法不符合安全系统的最小特权原则攻击者只要破获root 用户的口令进入系统便得到了对系统的完全控制其后果是不言而喻的红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有24红旗安全操作系统根据最小特权原则对系统管理员的特权进行了分化根据系统管理任务设立角色依据角色划分特权典型的系统管理角色有系统管理员安全管理员审计管理员等系统管理员负责系统的安装管理和日常维护如安装软件增添用户帐号数据备份等安全管理员负责安全属性的设定与管理审计管理员负责配置系统的审计行为和管理系统的审计信息一个管理角色不拥有另一个管理角色的特权攻击者破获某个管理角色的口令时不会得到对系统的完全控制依据安全系统的最小权限原则每个用户只能拥有刚够他完成工作的最小权限相应地在红旗安全操作系统中按照职责确定若干种用户类别同一类别的用户都拥有刚够完成其职责的权限这种用户类别称为角色系统中实现角色有系统管理员他拥有维护系统正常运行所必须的权限但不具有与安全相关的权限安全管理员他拥有管理主客体安全属性的权限但是不具有维护系统的权限和其他权限安全审计员他拥有进行安全审计工作所必需的权限由自主访问控制政策授权修改客体安全属性的用户由强制访问控制政策授权修改客体安全属性的用户有权修改自身鉴别数据的用户打印管理员拥有打印工作所必需的权限，无论何时何地，只要创造就有收获，只有不息的奋进，才能证明生命的存在。