感谢网友 菜鸟N号 的线索投递!
12 月 24 日消息,统信软件近期发布了《统信 UOS 服务器安全使用指南》,统信服务器操作系统 V20 简称:统信有岳,UMountain。寓意着直入云霄的山岳,为客户提供稳定可靠的数字发展基石) 是一款用于构建信息化基础设施环境的平台级软件,提供全栈服务器操作系统丰富生态。统信 UOS 家族中的服务器 UOS V20 在安全方面做了大量工作,为客户的业务提供加固后的 OS 安全底座。
01 补丁推送
服务器 OS 这种大型的软件系统,其包含了许多软件组件,不免出现各种问题缺陷或安全漏洞。为持续保证服务器的安全稳定运行,统信软件每 21 天会推送一次更新公告,包含一系列安全更新、缺陷更新等:
-
UTSA,Uniontech Security Advisory,即安全更新公告
-
UTBA,Uniontech Bugfix Advisory, 即缺陷修复更新公告
用户可以在服务器 UOS 中连接软件仓库,进行公告查询,补丁修复等操作。更新公告工具提供以下功能:
-
查询公告信息 —— 列出已发布的公告,并可指定特定公告号进行查询,包含危险程度、公告号、CVE 信息、BUG 信息等。
-
指定 CVE 更新 —— 指定公告中的某个特定 CVE 进行更新,将更新所有包含该 CVE 的多个软件包。
-
指定公告号更新 —— 指定某个特定公告号进行整体更新,将更新该公告号包含的所有软件包。
对于内网用户,使用 reposync 将 DNF 远程仓库的包同步到本地目录,在本地制作远程仓库的副本,也可在内网环境中接收到补丁推送。
已发布的 CVE 修复信息,可在统信安全应急响应中心 USRC) 进行搜索和查看。
02 内核热补丁机制
内核热补丁是一种在不重启操作系统或插拔内核模块的前提下,修复内核或内核模块中缺陷的一种技术。服务器 UOS 提供内核热补丁机制,可实现在不重启操作系统和不中断业务的前提下修改内核或内核模块中的函数,达到动态替换内核或内核模块中函数的目的。使用场景举例如下:
在操作系统出现安全漏洞时,可以将缺陷函数或者安全补丁制作成内核热补丁打入到系统中。实现业务不中断的情况下修复漏洞。
在开发内核或内核模块的过程中,需要向某个函数添加打印信息,可以通过内核热补丁的形式实现,而不需要重新编译内核或内核模块、安装、重启。
03 系统安全软件 UHarden
统信系统安全软件 简称:统信有固,UHarden),是统信软件自研的安全加固和安全配置工具。统信有固可以一键开启三权分立、完整性度量等安全模块;并允许用户一键切换系统安全等级。
UHarden 遵照《GB / T 20272-2019 操作系统安全技术要求》和《GB / T 22239-2019 网络安全等级保护基本要求》进行设计,提供多级别的安全加固方案 低、标准、严格等),初始默认“标准”级别,用户也可根据需求一键切换到其他系统安全等级。并且 UHarden 适配了 CentOS 7/8,为停服背景下,使用 CentOS 7/8 为底座的业务环境进行安全加固,进一步提高系统安全。
04 安全运行环境 UOE
统信安全运行环境软件 简称:统信有全,UOE),是统信软件自研的安全隔离环境软件。它允许开发者在统信服务器操作系统 V20 上直接运行一个 Linux 环境,包括运行命令行工具、组件和应用等。
UOE 非常轻巧,用户可以轻松运行数十个实例,并对其进行管理。
05 全栈国密
统信软件遵循《GM / T 0028-2014 密码模块安全技术要求》设计要求,设计 UOS 密码模块。统信软件提供全栈国密方案,系统内置完整的国密基础设施,支持开箱即用的国密基础设施和应用开发工具包。包括:
-
内核模块签名 —— 调用国密算法,实现对内核模块签名
-
IMA 安全机制 —— 使用国密算法改造 IMA 签名方式
-
开源软件改造 —— 使用国密算法对 9 个基础组件进行改造
-
国密站点访问 —— 实现通过 OpenSSL 访问国密证书站点
-
安装器改造 —— 安装器支持国密算法加密
06 等保 2.0
统信 UOS 是业界率先通过等保 2.0 最新标准 020272-2019 信息安全技术 操作系统安全技术要求》第四级) 的产品。统信服务器操作系统 V20 满足等保四级,实现身份鉴别、访问控制、安全审计、可信验证等等保要求。
07 内核安全接口 USKI
统信内核安全接口 Uniontech Security Kernel Inter- face, 简称:USKI),提供以 LKM Loadable Kernel Module) 形式动态构造第三方安全模块的接口。作为内核安全机制的一部分,USKI 对外提供第三方安全模块接口,USKI 对三方安全模块进行安全检查,成功注册的三方安全模块与内核编译阶段选定的安全模块功能无异。
USKI 对外提供简洁的 hook 注册 / 注销接口,该接口面向安全开发厂商或有安全运维能力的用户,用户仅需要按照开发规范调用接口完成注册。
客户基于 uos-kernel 开发的应用,只需要适配 USKI 接口,无需考虑内核版本变化和相关依赖内核的接口 API 变动。并且即使相关内容发生变动,客户应用也无需重新适配升级。大大提高了客户的开发效率,以及与 UOS 的应用兼容性。USKI 具备以下优点:
-
高兼容 —— 基于 uos-kernel 开发,适配 USKI 接口的应用,无需考虑之后内核版本变化和相关依赖内核的接口 API 变动。
-
易扩充 —— 支持同时运行多个安全模块,易于扩充。
-
易理解 —— 接口简洁,易于理解和使用。
-
模块化 —— 便于以模块方式开发安全模块,易于开发和调试。
-
轻量级 —— 性能开销低,基于 LSM Linux 安全模块) 实现,运行高效。
08 UOS 主动安全防护计划 UAPP
为更好地推动信息技术应用创新网络安全产业发展,保障网络安全,提升基础软件安全防护水平,统信软件与工业和信息化部网络安全技术与产业发展重点实验室,共同联合国内多家头部安全厂商全面发布 UOS 主动安全防护计划 UAPP UOS Active Protections Program),打造具备世界顶级安全水平的操作系统。
-
安全应用持续兼容子计划 —— 制定安全接口标准与规范,帮助安全厂商提升安全应用持续兼容能力。
-
安全响应子计划 —— 帮助安全伙伴提前获得漏洞信息,便于更快速的提供安全更新。
-
计算机病毒信息共享子计划 —— 基于安全伙伴的核心安全能力赋能,提升操作系统防护能力水平。
了解到,以上功能均已在近期发布的统信服务器操作系统 V20 1050u2) 商业版上实现,除此之外还有其他安全改进,如支持 UEFI 安全启动、文件保险箱、防火墙和杀毒、Rust 重写基础组件等等。