說(shuō)起國(guó)產(chǎn)操作系統(tǒng)的重點(diǎn)和難點(diǎn)，除了生態(tài)，就是安全了，畢竟……你懂的。

8月12日，第八屆互聯(lián)網(wǎng)安全大會(huì)（ISC 2020）信創(chuàng)安全論壇在線舉行，統(tǒng)信軟件高級(jí)副總經(jīng)理、總工程師張磊受邀發(fā)表《統(tǒng)信操作系統(tǒng)安全設(shè)計(jì)與規(guī)劃》演講，分享了對(duì)操作系統(tǒng)安全體系建設(shè)的思考，以及統(tǒng)信UOS安全體系建設(shè)實(shí)踐經(jīng)驗(yàn)。

統(tǒng)信UOS底層基于開源的Linux，它本身雖然在安全方面就有諸多考慮，但仍存在嚴(yán)重不足，比如軟件分發(fā)方式多且復(fù)雜，應(yīng)用軟件和系統(tǒng)沒(méi)有隔離，應(yīng)用程序廣泛使用動(dòng)態(tài)鏈接造成了非常復(fù)雜的網(wǎng)狀軟件治理體系。

[[337728]]

統(tǒng)信UOS的安全設(shè)計(jì)主要有四大方面：

1、限制超級(jí)用戶

統(tǒng)信UOS對(duì)所有特權(quán)程序進(jìn)行了處理，包括setuid權(quán)限和capabilities的可執(zhí)行程序。前端應(yīng)用程序都去掉了這些特權(quán)，只有通過(guò)后端有特權(quán)的服務(wù)器獲取相應(yīng)的功能。

前端應(yīng)用程序和后端服務(wù)器之間的通信主要是通過(guò)dbus進(jìn)行保證，而dbus本身也可以通過(guò)polkit的方式進(jìn)行權(quán)限限制。

這樣，普通用戶就不會(huì)輕易獲得特殊權(quán)限，不會(huì)輕易的破壞系統(tǒng)安全性、形成系統(tǒng)安全漏洞，造成不必要的損失。

[[337729]]

2、應(yīng)用簽名

統(tǒng)信UOS通過(guò)開發(fā)者簽名、商店簽名、企業(yè)簽名的三重機(jī)制，保證應(yīng)用安全管理。

開發(fā)者簽名：驗(yàn)證應(yīng)用所有權(quán)，避免進(jìn)行偽造

每一個(gè)應(yīng)用程序都會(huì)在它的文件里內(nèi)置一個(gè)簽名，首先是應(yīng)用開發(fā)商，所有的軟件開發(fā)者在提交軟件之前，都會(huì)對(duì)自己的軟件進(jìn)行簽名，應(yīng)用商店就可以保證得到的軟件就是開發(fā)者提交的軟件。

商店簽名：限制軟件分發(fā)權(quán)力，避免傳播過(guò)程中被修改

商店會(huì)對(duì)所有應(yīng)用程序進(jìn)行審核，當(dāng)然也包括安全審核。統(tǒng)信UOS的應(yīng)用安全審核是和各個(gè)安全合作伙伴一起合作進(jìn)行的。只有通過(guò)安全審核后，應(yīng)用才可以在商店里進(jìn)行上架。

在應(yīng)用商店在上架之前也會(huì)進(jìn)行簽名，得到了簽名之后，終端操作系統(tǒng)才能確認(rèn)應(yīng)用的安全性，最終用戶才能安裝、運(yùn)行這些應(yīng)用。

企業(yè)簽名：提供私有化部署的分發(fā)支持，支持內(nèi)網(wǎng)應(yīng)用商店

考慮到各個(gè)企業(yè)的內(nèi)部軟件分發(fā)與管理的需求，統(tǒng)信UOS應(yīng)用商店支持私有化的分發(fā)部署方式。

此外，統(tǒng)信UOS的應(yīng)用簽名證書同時(shí)支持RSA與國(guó)密算法，在未來(lái)的空間里具有比較好的擴(kuò)展性。

3、軟硬一體

統(tǒng)信軟件和處理器、固件廠商進(jìn)行合作，一起推動(dòng)制定了安全啟動(dòng)方面的規(guī)范，實(shí)現(xiàn)了在硬件和固件層面對(duì)不同loader/kernel進(jìn)行管理性的簽名校驗(yàn)，從啟動(dòng)時(shí)就保證了軟件的安全性。

4、其他安全措施

統(tǒng)信軟件還和安全廠商進(jìn)行聯(lián)合安全攻防演練，在版本發(fā)布前和發(fā)布后的各個(gè)階段可以及時(shí)獲取安全漏洞信息，進(jìn)行及時(shí)修補(bǔ)。

統(tǒng)信UOS還支持終端域管平臺(tái)，可以實(shí)現(xiàn)對(duì)各個(gè)終端進(jìn)行安全策略的管理和集中式的分發(fā)，為用戶提供一個(gè)快捷的、統(tǒng)一的安全管理體系。

另外，統(tǒng)信UOS終端安全中心和安全應(yīng)急響應(yīng)中心可以支持動(dòng)態(tài)的系統(tǒng)安全漏洞檢測(cè)，及時(shí)收集各種安全漏洞信息，全方位多層次的進(jìn)行系統(tǒng)安全防護(hù)。

下一步，統(tǒng)信UOS計(jì)劃繼續(xù)加強(qiáng)應(yīng)用治理和安全軟件治理。

通過(guò)沙箱機(jī)制等方式保證運(yùn)行中的各應(yīng)用程序之間有比較良好的隔離性。

通過(guò)探索構(gòu)建應(yīng)用能力規(guī)范、弱依賴格式和應(yīng)用IPC規(guī)范等方式，提升軟件權(quán)限的管理粒度，讓用戶可以更好的進(jìn)行權(quán)限定制與管理，有效防止權(quán)限擴(kuò)散，保證系統(tǒng)的安全性。

統(tǒng)信軟件還將繼續(xù)探索下一代固件的設(shè)計(jì)，構(gòu)建動(dòng)態(tài)的軟硬件一體化的安全機(jī)制等規(guī)劃，繼續(xù)完善現(xiàn)有的安全體系設(shè)計(jì)。

[[337732]]