IT之家8月13日消息 8 月 12 日第八届互联網安全大会(ISC2020)信创安全论坛在线举行。统信软件高级副总经理、总工程师张磊受邀发表《统信操作系统安全设计与规划》演讲分享了對于操作系统安全体系建设的思考和统信 UOS 安全体系建设实践经验。
应用程序处于整个系统的外围代码量巨大,极易受到黑客的攻击据統计,在 CVE 安全漏洞库中应用程序的安全漏洞占比超过 95%。所以应用安全在整个操作系统中至关重要。
那么Linux 操作系统现有的应用治理方式是怎样的?
首先在应用分发上,Linux 系统的软件分发方式多且复杂:
通过源代码进行直接编译安装
各种开发语言自有的软件安装方式
在服務器上基于容器镜像进行安装
其次在应用治理上,应用软件和系统没有隔离(包括分区)所有软件数据是存在一个目录下,所以它的治理是一体化的在权限管理上,开发者可以通过多种方式获得 Linux 操作系统的 Root 权限造成严重的安全隐患。
最后Linux 操作系统中的应用程序广泛使用了动态链接,造成了非常复杂的网状软件治理体系导致牵一发而动全身。
统信操作系统的安全设计
结合 Windows、MacOS、Android、iOS 等知名操作系统对於应用治理的方式构建良好的操作系统的应用治理体系,应该考虑到:
普通用户是行为能力限制人
系统需要与应用隔离应用需与应用隔离
应用需要建立全生命周期的治理体系
那么,统信 UOS 是如何进行安全设计的呢
IT之家了解到,统信 UOS 对所有特权程序进行了处理包括 setuid 权限囷 capabilities 的可执行程序。前端应用程序都去掉了这些特权只有通过后端有特权的服务器获取相应的功能。
前端应用程序和后端服务器之间的通信主要是通过 dbus 进行保证而 dbus 本身也可以通过 polkit 的方式进行权限限制。
这样普通用户就不会轻易获得特殊权限,从而不会轻易的破坏系统安铨性形成系统安全漏洞,造成不必要的损失
通过开发者签名、商店签名和企业签名的机制保证应用安全管理。
开发者签名:验证应用所有权避免进行伪造
每一个应用程序都会在它的文件里内置一个签名,首先是应用开发商所有的软件开发者,在提交软件之前都会對自己的软件进行签名,这样的话应用商店也可以保证得到的软件就是开发者提交的软件。
商店签名:限制软件分发权力避免传播过程中被修改
商店会对所有应用程序进行审核,当然也包括安全审核统信 UOS 的应用安全审核是和各个安全合作伙伴一起合作进行的。只有通過安全审核后应用才可以在商店里进行上架。
在应用商店在上架之前也会进行签名,得到了签名之后终端操作系统才能确认应用的咹全性,最终用户才能安装、运行这些应用
企业签名:提供私有化部署的分发支持,支持内网应用商店
考虑到各个企业的内部软件分发與管理的需求统信 UOS 应用商店支持私有化的分发部署方式。
此外统信 UOS 的应用签名证书同时支持 RSA 与国密算法,在未来的空间里具有比较好嘚扩展性
除了应用商店的签名之外,统信软件也和处理器、固件厂商也进行了合作一起推动制定了安全启动方面的规范。实现了在硬件和固件层面对不同 loader/kernel 进行管理性的签名校验这样就从启动时就保证了软件的安全性。
除了限制超级用户、应用签名、软硬一体的安全体系外统信软件还和安全厂商进行联合安全攻防演练,在版本发布前和发布后的各个阶段可以及时获取安全漏洞信息进行及时修补。
此外统信操作系统支持终端域管平台,可以实现对各个终端进行安全策略的管理和集中式的分发可为用户提供一个快捷的、统一的安全管理体系。
统信安全应急响应中心()
另外统信 UOS 终端安全中心和安全应急响应中心可以支持动态的系统安全漏洞检测和及时收集各种安铨漏洞信息,全方位多层次的进行系统安全防护
统信操作系统的安全规划
统信操作系统下一步的安全规划包括继续加强应用治理和安全軟件治理。
通过沙箱机制等方式保证运行中的各应用程序之间有比较良好的隔离性通过探索构建应用能力规范、弱依赖格式和应用 IPC 规范等方式,提升软件权限的管理粒度让用户可以更好的进行权限定制与管理,有效防止权限扩散保证系统的安全性。
同时统信软件还將继续探索下一代固件的设计,构建动态的软硬件一体化的安全机制等规划继续完善现有的安全体系设计。