《統(tǒng)信 UOS 服務(wù)器安全使用指南》發(fā)布

IT之家 12 月 24 日消息，統(tǒng)信軟件近期發(fā)布了《統(tǒng)信 UOS 服務(wù)器安全使用指南》，統(tǒng)信服務(wù)器操作系統(tǒng) V20 (簡稱：統(tǒng)信有岳，UMountain。寓意著直入云霄的山岳，為客戶提供穩(wěn)定可靠的數(shù)字發(fā)展基石) 是一款用于構(gòu)建信息化基礎(chǔ)設(shè)施環(huán)境的平臺(tái)級(jí)軟件，提供全棧服務(wù)器操作系統(tǒng)豐富生態(tài)。統(tǒng)信 UOS 家族中的服務(wù)器 UOS V20 在安全方面做了大量工作，為客戶的業(yè)務(wù)提供加固后的 OS 安全底座。

01 補(bǔ)丁推送

服務(wù)器 OS 這種大型的軟件系統(tǒng)，其包含了許多軟件組件，不免出現(xiàn)各種問題缺陷或安全漏洞。為持續(xù)保證服務(wù)器的安全穩(wěn)定運(yùn)行，統(tǒng)信軟件每 21 天會(huì)推送一次更新公告，包含一系列安全更新、缺陷更新等:

• UTSA，Uniontech Security Advisory，即安全更新公告

• UTBA，Uniontech Bugfix Advisory, 即缺陷修復(fù)更新公告

用戶可以在服務(wù)器 UOS 中連接軟件倉庫，進(jìn)行公告查詢，補(bǔ)丁修復(fù)等操作。更新公告工具提供以下功能：

• 查詢公告信息 —— 列出已發(fā)布的公告，并可指定特定公告號(hào)進(jìn)行查詢，包含危險(xiǎn)程度、公告號(hào)、CVE 信息、BUG 信息等。

• 指定 CVE 更新 —— 指定公告中的某個(gè)特定 CVE 進(jìn)行更新，將更新所有包含該 CVE 的多個(gè)軟件包。

• 指定公告號(hào)更新 —— 指定某個(gè)特定公告號(hào)進(jìn)行整體更新，將更新該公告號(hào)包含的所有軟件包。

對(duì)于內(nèi)網(wǎng)用戶，使用 reposync 將 DNF 遠(yuǎn)程倉庫的包同步到本地目錄，在本地制作遠(yuǎn)程倉庫的副本，也可在內(nèi)網(wǎng)環(huán)境中接收到補(bǔ)丁推送。

已發(fā)布的 CVE 修復(fù)信息，可在統(tǒng)信安全應(yīng)急響應(yīng)中心 (USRC) 進(jìn)行搜索和查看。

02 內(nèi)核熱補(bǔ)丁機(jī)制

內(nèi)核熱補(bǔ)丁是一種在不重啟操作系統(tǒng)或插拔內(nèi)核模塊的前提下，修復(fù)內(nèi)核或內(nèi)核模塊中缺陷的一種技術(shù)。服務(wù)器 UOS 提供內(nèi)核熱補(bǔ)丁機(jī)制，可實(shí)現(xiàn)在不重啟操作系統(tǒng)和不中斷業(yè)務(wù)的前提下修改內(nèi)核或內(nèi)核模塊中的函數(shù)，達(dá)到動(dòng)態(tài)替換內(nèi)核或內(nèi)核模塊中函數(shù)的目的。使用場景舉例如下:

在操作系統(tǒng)出現(xiàn)安全漏洞時(shí)，可以將缺陷函數(shù)或者安全補(bǔ)丁制作成內(nèi)核熱補(bǔ)丁打入到系統(tǒng)中。實(shí)現(xiàn)業(yè)務(wù)不中斷的情況下修復(fù)漏洞。

在開發(fā)內(nèi)核或內(nèi)核模塊的過程中，需要向某個(gè)函數(shù)添加打印信息，可以通過內(nèi)核熱補(bǔ)丁的形式實(shí)現(xiàn)，而不需要重新編譯內(nèi)核或內(nèi)核模塊、安裝、重啟。

03 系統(tǒng)安全軟件 UHarden

統(tǒng)信系統(tǒng)安全軟件 (簡稱：統(tǒng)信有固，UHarden)，是統(tǒng)信軟件自研的安全加固和安全配置工具。統(tǒng)信有固可以一鍵開啟三權(quán)分立、完整性度量等安全模塊；并允許用戶一鍵切換系統(tǒng)安全等級(jí)。

UHarden 遵照《GB / T 20272-2019 操作系統(tǒng)安全技術(shù)要求》和《GB / T 22239-2019 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》進(jìn)行設(shè)計(jì)，提供多級(jí)別的安全加固方案 (低、標(biāo)準(zhǔn)、嚴(yán)格等)，初始默認(rèn)“標(biāo)準(zhǔn)”級(jí)別，用戶也可根據(jù)需求一鍵切換到其他系統(tǒng)安全等級(jí)。并且 UHarden 適配了 CentOS 7/8，為停服背景下，使用 CentOS 7/8 為底座的業(yè)務(wù)環(huán)境進(jìn)行安全加固，進(jìn)一步提高系統(tǒng)安全。

04 安全運(yùn)行環(huán)境 UOE

統(tǒng)信安全運(yùn)行環(huán)境軟件 (簡稱：統(tǒng)信有全，UOE)，是統(tǒng)信軟件自研的安全隔離環(huán)境軟件。它允許開發(fā)者在統(tǒng)信服務(wù)器操作系統(tǒng) V20 上直接運(yùn)行一個(gè) Linux 環(huán)境，包括運(yùn)行命令行工具、組件和應(yīng)用等。

UOE 非常輕巧，用戶可以輕松運(yùn)行數(shù)十個(gè)實(shí)例，并對(duì)其進(jìn)行管理。

05 全棧國密

統(tǒng)信軟件遵循《GM / T 0028-2014 密碼模塊安全技術(shù)要求》設(shè)計(jì)要求，設(shè)計(jì) UOS 密碼模塊。統(tǒng)信軟件提供全棧國密方案，系統(tǒng)內(nèi)置完整的國密基礎(chǔ)設(shè)施，支持開箱即用的國密基礎(chǔ)設(shè)施和應(yīng)用開發(fā)工具包。包括：

• 內(nèi)核模塊簽名 —— 調(diào)用國密算法，實(shí)現(xiàn)對(duì)內(nèi)核模塊簽名

• IMA 安全機(jī)制 —— 使用國密算法改造 IMA 簽名方式

• 開源軟件改造 —— 使用國密算法對(duì) 9 個(gè)基礎(chǔ)組件進(jìn)行改造

• 國密站點(diǎn)訪問 —— 實(shí)現(xiàn)通過 OpenSSL 訪問國密證書站點(diǎn)

• 安裝器改造 —— 安裝器支持國密算法加密

06 等保 2.0

統(tǒng)信 UOS 是業(yè)界率先通過等保 2.0 最新標(biāo)準(zhǔn) 020272-2019 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(第四級(jí)) 的產(chǎn)品。統(tǒng)信服務(wù)器操作系統(tǒng) V20 滿足等保四級(jí)，實(shí)現(xiàn)身份鑒別、訪問控制、安全審計(jì)、可信驗(yàn)證等等保要求。

07 內(nèi)核安全接口 USKI

統(tǒng)信內(nèi)核安全接口 (Uniontech Security Kernel Inter- face, 簡稱：USKI)，提供以 LKM (Loadable Kernel Module) 形式動(dòng)態(tài)構(gòu)造第三方安全模塊的接口。作為內(nèi)核安全機(jī)制的一部分，USKI 對(duì)外提供第三方安全模塊接口，USKI 對(duì)三方安全模塊進(jìn)行安全檢查，成功注冊(cè)的三方安全模塊與內(nèi)核編譯階段選定的安全模塊功能無異。

USKI 對(duì)外提供簡潔的 hook 注冊(cè) / 注銷接口，該接口面向安全開發(fā)廠商或有安全運(yùn)維能力的用戶，用戶僅需要按照開發(fā)規(guī)范調(diào)用接口完成注冊(cè)。

客戶基于 uos-kernel 開發(fā)的應(yīng)用，只需要適配 USKI 接口，無需考慮內(nèi)核版本變化和相關(guān)依賴內(nèi)核的接口 API 變動(dòng)。并且即使相關(guān)內(nèi)容發(fā)生變動(dòng)，客戶應(yīng)用也無需重新適配升級(jí)。大大提高了客戶的開發(fā)效率，以及與 UOS 的應(yīng)用兼容性。USKI 具備以下優(yōu)點(diǎn)：

• 高兼容 —— 基于 uos-kernel 開發(fā)，適配 USKI 接口的應(yīng)用，無需考慮之后內(nèi)核版本變化和相關(guān)依賴內(nèi)核的接口 API 變動(dòng)。

• 易擴(kuò)充 —— 支持同時(shí)運(yùn)行多個(gè)安全模塊，易于擴(kuò)充。

• 易理解 —— 接口簡潔，易于理解和使用。

• 模塊化 —— 便于以模塊方式開發(fā)安全模塊，易于開發(fā)和調(diào)試。

• 輕量級(jí) —— 性能開銷低，基于 LSM Linux 安全模塊) 實(shí)現(xiàn)，運(yùn)行高效。

08 UOS 主動(dòng)安全防護(hù)計(jì)劃 UAPP

為更好地推動(dòng)信息技術(shù)應(yīng)用創(chuàng)新網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展，保障網(wǎng)絡(luò)安全，提升基礎(chǔ)軟件安全防護(hù)水平，統(tǒng)信軟件與工業(yè)和信息化部網(wǎng)絡(luò)安全技術(shù)與產(chǎn)業(yè)發(fā)展重點(diǎn)實(shí)驗(yàn)室，共同聯(lián)合國內(nèi)多家頭部安全廠商全面發(fā)布 UOS 主動(dòng)安全防護(hù)計(jì)劃 UAPP (UOS Active Protections Program)，打造具備世界頂級(jí)安全水平的操作系統(tǒng)。

• 安全應(yīng)用持續(xù)兼容子計(jì)劃 —— 制定安全接口標(biāo)準(zhǔn)與規(guī)范，幫助安全廠商提升安全應(yīng)用持續(xù)兼容能力。

• 安全響應(yīng)子計(jì)劃 —— 幫助安全伙伴提前獲得漏洞信息，便于更快速的提供安全更新。

• 計(jì)算機(jī)病毒信息共享子計(jì)劃 —— 基于安全伙伴的核心安全能力賦能，提升操作系統(tǒng)防護(hù)能力水平。

IT之家了解到，以上功能均已在近期發(fā)布的統(tǒng)信服務(wù)器操作系統(tǒng) V20 (1050u2) 商業(yè)版上實(shí)現(xiàn)，除此之外還有其他安全改進(jìn)，如支持 UEFI 安全啟動(dòng)、文件保險(xiǎn)箱、防火墻和殺毒、Rust 重寫基礎(chǔ)組件等等。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。