所谓最小特权是指一个主体(用户或进程等)为了完成所承担的任务必须拥有的权限的最小集合。最小特权原则,则是指确保每个主体在它的整个生命周期中只拥有完成工作任务所必须的最小特权,而不能拥有超出任务所需的额外特权,比如,出纳没必要拥有会计的特权,杀毒软件没必要拥有获取用户网银账户密码的特权,浏览器软件没必要拥有秘密采集用户电脑上其它软件安装情况的特权,目的是把主体有意或无意的不当行为所造成的破坏限制在最小的范围之内。
如上传用户信息、修改用户设置、监控用户通信行为、强制卸载和诱导卸载、定位用户位置等行为已经大大超出了特定安全软件的必要权限范围,而这些行为给用户带来的实际威胁远比表面上看到的严重得多。石文昌认为,作为安全产品设计原则,最小特权原则就是为了限制客观存在的软件设计缺陷或主观施加的不良意图给用户带来的安全后果。
对于安全软件的行为,石文昌所言不虚。据CNNIC《2012年中国网民信息安全状况研究报告》显示,在中国总体网民中,83.6%的网民电脑上安装了安全防护软件。而对于个人信息泄露,绝大多数网民仍处于无助的状态,88.2%的网民在信息泄露后没有任何办法处理,只有6.7%的网民会向掌握信息的机构投诉,向政府部门、媒体投诉和到法院起诉的网民仅分别占2.8%和0.6%。
