IT爱家 12 月 24 日最新消息,统信应用软件上周正式发布了《统信 UOS 伺服器安全可信H55N》,统信伺服器作业系统 V20 (全称:统信有岳,UMountain。喻意着复以飞虎的毛序,为顾客提供更多平衡可信的数字发展终极目标) 是这款用作构筑重要信息技术基础建设自然环境的网络平台级应用软件,提供更多全栈伺服器作业系统多样自然生态。统信 UOS 家族企业中的伺服器 UOS V20 在安全可信各方面做了大批组织工作,为顾客的销售业务提供更多修整后的 OS 安全可信底座。
01 插件发送
伺服器 OS 此种小型的应用软件产品,其包涵了很多应用软件模块,难免出现各式各样难题瑕疵或安全可信漏洞。为稳步确保伺服器的安全可信平衡运转,统信应用软件每 21 天会发送一场预览报告书,包涵一连串安全可信预览、缺陷预览等:
UTSA,Uniontech Security Advisory,即安全可信预览报告书
UTBA,Uniontech Bugfix Advisory, 即瑕疵复原预览报告书
采用者可以在伺服器 UOS 中相连应用软件库房,展开报告书查阅,插件复原等操作方式。预览报告书辅助工具提供更多下列机能:
查阅报告书重要信息 —— 列举已正式发布的报告书,并可选定某一报告书号展开查阅,包涵脆弱某种程度、报告书号、CVE 重要信息、BUG 重要信息等。
选定 CVE 预览 —— 选定报告书中的某一某一 CVE 展开预览,将预览大部份包涵该 CVE 的数个应用应用软件。
选定报告书号预览 —— 选定某一某一报告书号展开总体预览,将预览该报告书号包涵的大部份应用应用软件。
对内部网采用者,采用 reposync 将 DNF 远距库房的包并行到邻近地区产品目录,在邻近地区制做远距库房的复本,也可其中部网自然环境中转交到插件发送。
已正式发布的 CVE 复原重要信息,可在统信安全可信紧急积极响应服务中心 (USRC) 展开搜寻和查阅。
02 Mach热插件监督机制
Mach热插件是一种在不重启作业系统或插拔Mach模块的前提下,复原Mach或Mach模块中瑕疵的一种技术。伺服器 UOS 提供更多Mach热插件监督机制,可实现在不重启作业系统和不中断销售业务的前提下修改Mach或Mach模块中的函数,达到动态替换Mach或Mach模块中函数的目的。采用场景举例如下:
在作业系统出现安全可信漏洞时,可以将瑕疵函数或者安全可信插件制做成Mach热插件打入到系统中。实现销售业务不中断的情况下复原漏洞。
在开发Mach或Mach模块的过程中,需要向某一函数添加打印重要信息,可以通过Mach热插件的形式实现,而不需要重新编译Mach或Mach模块、安装、重启。
03 系统安全可信应用软件 UHarden
统信系统安全可信应用软件 (全称:统信有固,UHarden),是统信应用软件自研的安全可信修整和安全可信配置辅助工具。统信有固可以一键开启三权分立、完整性度量等安全可信模块;并允许采用者一键切换系统安全可信等级。
UHarden 遵照《GB / T 20272-2019 作业系统安全可信技术要求》和《GB / T 22239-2019 网络安全可信等级保护基本要求》展开设计,提供更多多级别的安全可信修整方案 (低、标准、严格等),初始默认“标准”级别,采用者也可根据需求一键切换到其他系统安全可信等级。并且 UHarden 适配了 CentOS 7/8,为停服背景下,采用 CentOS 7/8 为基座的销售业务自然环境展开安全可信修整,进一步提高系统安全可信。
04 安全可信运转自然环境 UOE
统信安全可信运转自然环境应用软件 (简称:统信有全,UOE),是统信应用软件自研的安全可信隔离自然环境应用软件。它允许开发者在统信伺服器作业系统 V20 上直接运转一个 Linux 自然环境,包括运转命令行辅助工具、模块和应用等。
UOE 非常轻巧,采用者可以轻松运行数十个实例,并对其展开管理。
05 全栈国密
统信应用软件遵循《GM / T 0028-2014 密码模块安全可信技术要求》设计要求,设计 UOS 密码模块。统信应用软件提供更多全栈国密方案,系统内置完整的国密基础建设,支持开箱即用的国密基础建设和应用开发辅助工具包。包括:
Mach模块签名 —— 调用国密算法,实现对Mach模块签名
IMA 安全可信监督机制 —— 采用国密算法改造 IMA 签名方式
开源应用软件改造 —— 采用国密算法对 9 个基础模块展开改造
国密站点访问 —— 实现通过 OpenSSL 访问国密证书站点
安装器改造 —— 安装器支持国密算法加密
06 等保 2.0
统信 UOS 是业界率先通过等保 2.0 最新标准 020272-2019 重要信息安全可信技术 作业系统安全可信技术要求》(第四级) 的产品。统信伺服器作业系统 V20 满足等保四级,实现身份鉴别、访问控制、安全可信审计、可信验证等等保要求。
07 Mach安全可信接口 USKI
统信Mach安全可信接口 (Uniontech Security Kernel Inter- face, 全称:USKI),提供更多以 LKM (Loadable Kernel Module) 形式动态构造第三方安全可信模块的接口。作为Mach安全可信监督机制的一部分,USKI 对外提供更多第三方安全可信模块接口,USKI 对三方安全可信模块展开安全可信检查,成功注册的三方安全可信模块与Mach编译阶段选定的安全可信模块机能无异。
USKI 对外提供更多简洁的 hook 注册 / 注销接口,该接口面向安全可信开发厂商或有安全可信运维能力的采用者,采用者仅需要按照开发规范调用接口完成注册。
顾客基于 uos-kernel 开发的应用,只需要适配 USKI 接口,无需考虑Mach版本变化和相关依赖Mach的接口 API 变动。并且即使相关内容发生变动,顾客应用也无需重新适配升级。大大提高了顾客的开发效率,以及与 UOS 的应用兼容性。USKI 具备下列优点:
高兼容 —— 基于 uos-kernel 开发,适配 USKI 接口的应用,无需考虑之后Mach版本变化和相关依赖Mach的接口 API 变动。
易扩充 —— 支持同时运转数个安全可信模块,易于扩充。
易理解 —— 接口简洁,易于理解和使用。
模块化 —— 便于以模块方式开发安全可信模块,易于开发和调试。
轻量级 —— 性能开销低,基于 LSM Linux 安全可信模块) 实现,运转高效。
08 UOS 主动安全可信防护计划 UAPP
为更好地推动重要信息技术应用创新网络安全可信产业发展,保障网络安全可信,提升基础应用软件安全可信防护水平,统信应用软件与工业和重要信息技术部网络安全可信技术与产业发展重点实验室,共同联合国内多家头部安全可信厂商全面正式发布 UOS 主动安全可信防护计划 UAPP (UOS Active Protections Program),打造具备世界顶级安全可信水平的作业系统。
安全可信应用稳步兼容子计划 —— 制定安全可信接口标准与规范,帮助安全可信厂商提升安全可信应用稳步兼容能力。
安全可信响应子计划 —— 帮助安全可信伙伴提前获得漏洞重要信息,便于更快速的提供更多安全可信预览。
计算机病毒重要信息共享子计划 —— 基于安全可信伙伴的核心安全可信能力赋能,提升作业系统防护能力水平。
IT爱家了解到,以上机能均已在上周正式发布的统信伺服器作业系统 V20 (1050u2) 商业版上实现,除此之外还有其他安全可信改进,如支持 UEFI 安全可信启动、文件保险箱、防火墙和杀毒、Rust 重写基础模块等等。
