IT之家 12 月 24 日消息，統(tǒng)信軟件近期發(fā)布了《統(tǒng)信 UOS 服務器安全使用指南》，統(tǒng)信服務器操作系統(tǒng) V20 (簡稱：統(tǒng)信有岳，UMountain。寓意著直入云霄的山岳，為客戶提供穩(wěn)定可靠的數(shù)字發(fā)展基石) 是一款用于構建信息化基礎設施環(huán)境的平臺級軟件，提供全棧服務器操作系統(tǒng)豐富生態(tài)。統(tǒng)信 UOS 家族中的服務器 UOS V20 在安全方面做了大量工作，為客戶的業(yè)務提供加固后的 OS 安全底座。

01 補丁推送

服務器 OS 這種大型的軟件系統(tǒng)，其包含了許多軟件組件，不免出現(xiàn)各種問題缺陷或安全漏洞。為持續(xù)保證服務器的安全穩(wěn)定運行，統(tǒng)信軟件每 21 天會推送一次更新公告，包含一系列安全更新、缺陷更新等:

• UTSA，Uniontech Security Advisory，即安全更新公告

• UTBA，Uniontech Bugfix Advisory, 即缺陷修復更新公告

用戶可以在服務器 UOS 中連接軟件倉庫，進行公告查詢，補丁修復等操作。更新公告工具提供以下功能：

• 查詢公告信息 —— 列出已發(fā)布的公告，并可指定特定公告號進行查詢，包含危險程度、公告號、CVE 信息、BUG 信息等。

• 指定 CVE 更新 —— 指定公告中的某個特定 CVE 進行更新，將更新所有包含該 CVE 的多個軟件包。

• 指定公告號更新 —— 指定某個特定公告號進行整體更新，將更新該公告號包含的所有軟件包。

對于內網(wǎng)用戶，使用 reposync 將 DNF 遠程倉庫的包同步到本地目錄，在本地制作遠程倉庫的副本，也可在內網(wǎng)環(huán)境中接收到補丁推送。

已發(fā)布的 CVE 修復信息，可在統(tǒng)信安全應急響應中心 (USRC) 進行搜索和查看。

02 內核熱補丁機制

內核熱補丁是一種在不重啟操作系統(tǒng)或插拔內核模塊的前提下，修復內核或內核模塊中缺陷的一種技術。服務器 UOS 提供內核熱補丁機制，可實現(xiàn)在不重啟操作系統(tǒng)和不中斷業(yè)務的前提下修改內核或內核模塊中的函數(shù)，達到動態(tài)替換內核或內核模塊中函數(shù)的目的。使用場景舉例如下:

在操作系統(tǒng)出現(xiàn)安全漏洞時，可以將缺陷函數(shù)或者安全補丁制作成內核熱補丁打入到系統(tǒng)中。實現(xiàn)業(yè)務不中斷的情況下修復漏洞。

在開發(fā)內核或內核模塊的過程中，需要向某個函數(shù)添加打印信息，可以通過內核熱補丁的形式實現(xiàn)，而不需要重新編譯內核或內核模塊、安裝、重啟。

03 系統(tǒng)安全軟件 UHarden

統(tǒng)信系統(tǒng)安全軟件 (簡稱：統(tǒng)信有固，UHarden)，是統(tǒng)信軟件自研的安全加固和安全配置工具。統(tǒng)信有固可以一鍵開啟三權分立、完整性度量等安全模塊；并允許用戶一鍵切換系統(tǒng)安全等級。

UHarden 遵照《GB / T 20272-2019 操作系統(tǒng)安全技術要求》和《GB / T 22239-2019 網(wǎng)絡安全等級保護基本要求》進行設計，提供多級別的安全加固方案 (低、標準、嚴格等)，初始默認“標準”級別，用戶也可根據(jù)需求一鍵切換到其他系統(tǒng)安全等級。并且 UHarden 適配了 CentOS 7/8，為停服背景下，使用 CentOS 7/8 為底座的業(yè)務環(huán)境進行安全加固，進一步提高系統(tǒng)安全。

04 安全運行環(huán)境 UOE

統(tǒng)信安全運行環(huán)境軟件 (簡稱：統(tǒng)信有全，UOE)，是統(tǒng)信軟件自研的安全隔離環(huán)境軟件。它允許開發(fā)者在統(tǒng)信服務器操作系統(tǒng) V20 上直接運行一個 Linux 環(huán)境，包括運行命令行工具、組件和應用等。

UOE 非常輕巧，用戶可以輕松運行數(shù)十個實例，并對其進行管理。

05 全棧國密

統(tǒng)信軟件遵循《GM / T 0028-2014 密碼模塊安全技術要求》設計要求，設計 UOS 密碼模塊。統(tǒng)信軟件提供全棧國密方案，系統(tǒng)內置完整的國密基礎設施，支持開箱即用的國密基礎設施和應用開發(fā)工具包。包括：

• 內核模塊簽名 —— 調用國密算法，實現(xiàn)對內核模塊簽名

• IMA 安全機制 —— 使用國密算法改造 IMA 簽名方式

• 開源軟件改造 —— 使用國密算法對 9 個基礎組件進行改造

• 國密站點訪問 —— 實現(xiàn)通過 OpenSSL 訪問國密證書站點

• 安裝器改造 —— 安裝器支持國密算法加密

06 等保 2.0

統(tǒng)信 UOS 是業(yè)界率先通過等保 2.0 最新標準 020272-2019 信息安全技術 操作系統(tǒng)安全技術要求》(第四級) 的產(chǎn)品。統(tǒng)信服務器操作系統(tǒng) V20 滿足等保四級，實現(xiàn)身份鑒別、訪問控制、安全審計、可信驗證等等保要求。

07 內核安全接口 USKI

統(tǒng)信內核安全接口 (Uniontech Security Kernel Inter- face, 簡稱：USKI)，提供以 LKM (Loadable Kernel Module) 形式動態(tài)構造第三方安全模塊的接口。作為內核安全機制的一部分，USKI 對外提供第三方安全模塊接口，USKI 對三方安全模塊進行安全檢查，成功注冊的三方安全模塊與內核編譯階段選定的安全模塊功能無異。

USKI 對外提供簡潔的 hook 注冊 / 注銷接口，該接口面向安全開發(fā)廠商或有安全運維能力的用戶，用戶僅需要按照開發(fā)規(guī)范調用接口完成注冊。

客戶基于 uos-kernel 開發(fā)的應用，只需要適配 USKI 接口，無需考慮內核版本變化和相關依賴內核的接口 API 變動。并且即使相關內容發(fā)生變動，客戶應用也無需重新適配升級。大大提高了客戶的開發(fā)效率，以及與 UOS 的應用兼容性。USKI 具備以下優(yōu)點：

• 高兼容 —— 基于 uos-kernel 開發(fā)，適配 USKI 接口的應用，無需考慮之后內核版本變化和相關依賴內核的接口 API 變動。

• 易擴充 —— 支持同時運行多個安全模塊，易于擴充。

• 易理解 —— 接口簡潔，易于理解和使用。

• 模塊化 —— 便于以模塊方式開發(fā)安全模塊，易于開發(fā)和調試。

• 輕量級 —— 性能開銷低，基于 LSM Linux 安全模塊) 實現(xiàn)，運行高效。

08 UOS 主動安全防護計劃 UAPP

為更好地推動信息技術應用創(chuàng)新網(wǎng)絡安全產(chǎn)業(yè)發(fā)展，保障網(wǎng)絡安全，提升基礎軟件安全防護水平，統(tǒng)信軟件與工業(yè)和信息化部網(wǎng)絡安全技術與產(chǎn)業(yè)發(fā)展重點實驗室，共同聯(lián)合國內多家頭部安全廠商全面發(fā)布 UOS 主動安全防護計劃 UAPP (UOS Active Protections Program)，打造具備世界頂級安全水平的操作系統(tǒng)。

• 安全應用持續(xù)兼容子計劃 —— 制定安全接口標準與規(guī)范，幫助安全廠商提升安全應用持續(xù)兼容能力。

• 安全響應子計劃 —— 幫助安全伙伴提前獲得漏洞信息，便于更快速的提供安全更新。

• 計算機病毒信息共享子計劃 —— 基于安全伙伴的核心安全能力賦能，提升操作系統(tǒng)防護能力水平。

IT之家了解到，以上功能均已在近期發(fā)布的統(tǒng)信服務器操作系統(tǒng) V20 (1050u2) 商業(yè)版上實現(xiàn)，除此之外還有其他安全改進，如支持 UEFI 安全啟動、文件保險箱、防火墻和殺毒、Rust 重寫基礎組件等等。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。