IT之家 12 月 24 日消息，統(tǒng)信軟件近期發(fā)布了《統(tǒng)信 UOS 服務(wù)器安全使用指南》，統(tǒng)信服務(wù)器操作系統(tǒng) V20 (簡稱：統(tǒng)信有岳，UMountain。寓意著直入云霄的山岳，為客戶提供穩(wěn)定可靠的數(shù)字發(fā)展基石) 是一款用于構(gòu)建信息化基礎(chǔ)設(shè)施環(huán)境的平臺級軟件，提供全棧服務(wù)器操作系統(tǒng)豐富生態(tài)。統(tǒng)信 UOS 家族中的服務(wù)器 UOS V20 在安全方面做了大量工作，為客戶的業(yè)務(wù)提供加固后的 OS 安全底座。

(相關(guān)資料圖)

01 補丁推送

服務(wù)器 OS 這種大型的軟件系統(tǒng)，其包含了許多軟件組件，不免出現(xiàn)各種問題缺陷或安全漏洞。為持續(xù)保證服務(wù)器的安全穩(wěn)定運行，統(tǒng)信軟件每 21 天會推送一次更新公告，包含一系列安全更新、缺陷更新等:

UTSA，Uniontech Security Advisory，即安全更新公告 UTBA，Uniontech Bugfix Advisory, 即缺陷修復(fù)更新公告

用戶可以在服務(wù)器 UOS 中連接軟件倉庫，進(jìn)行公告查詢，補丁修復(fù)等操作。更新公告工具提供以下功能：

查詢公告信息 —— 列出已發(fā)布的公告，并可指定特定公告號進(jìn)行查詢，包含危險程度、公告號、CVE 信息、BUG 信息等。 指定 CVE 更新 —— 指定公告中的某個特定 CVE 進(jìn)行更新，將更新所有包含該 CVE 的多個軟件包。 指定公告號更新 —— 指定某個特定公告號進(jìn)行整體更新，將更新該公告號包含的所有軟件包。

對于內(nèi)網(wǎng)用戶，使用 reposync 將 DNF 遠(yuǎn)程倉庫的包同步到本地目錄，在本地制作遠(yuǎn)程倉庫的副本，也可在內(nèi)網(wǎng)環(huán)境中接收到補丁推送。

已發(fā)布的 CVE 修復(fù)信息，可在統(tǒng)信安全應(yīng)急響應(yīng)中心 (USRC) 進(jìn)行搜索和查看。

02 內(nèi)核熱補丁機制

內(nèi)核熱補丁是一種在不重啟操作系統(tǒng)或插拔內(nèi)核模塊的前提下，修復(fù)內(nèi)核或內(nèi)核模塊中缺陷的一種技術(shù)。服務(wù)器 UOS 提供內(nèi)核熱補丁機制，可實現(xiàn)在不重啟操作系統(tǒng)和不中斷業(yè)務(wù)的前提下修改內(nèi)核或內(nèi)核模塊中的函數(shù)，達(dá)到動態(tài)替換內(nèi)核或內(nèi)核模塊中函數(shù)的目的。使用場景舉例如下:

在操作系統(tǒng)出現(xiàn)安全漏洞時，可以將缺陷函數(shù)或者安全補丁制作成內(nèi)核熱補丁打入到系統(tǒng)中。實現(xiàn)業(yè)務(wù)不中斷的情況下修復(fù)漏洞。

在開發(fā)內(nèi)核或內(nèi)核模塊的過程中，需要向某個函數(shù)添加打印信息，可以通過內(nèi)核熱補丁的形式實現(xiàn)，而不需要重新編譯內(nèi)核或內(nèi)核模塊、安裝、重啟。

03 系統(tǒng)安全軟件 UHarden

統(tǒng)信系統(tǒng)安全軟件 (簡稱：統(tǒng)信有固，UHarden)，是統(tǒng)信軟件自研的安全加固和安全配置工具。統(tǒng)信有固可以一鍵開啟三權(quán)分立、完整性度量等安全模塊；并允許用戶一鍵切換系統(tǒng)安全等級。

UHarden 遵照《GB / T 20272-2019 操作系統(tǒng)安全技術(shù)要求》和《GB / T 22239-2019 網(wǎng)絡(luò)安全等級保護基本要求》進(jìn)行設(shè)計，提供多級別的安全加固方案 (低、標(biāo)準(zhǔn)、嚴(yán)格等)，初始默認(rèn)“標(biāo)準(zhǔn)”級別，用戶也可根據(jù)需求一鍵切換到其他系統(tǒng)安全等級。并且 UHarden 適配了 CentOS 7/8，為停服背景下，使用 CentOS 7/8 為底座的業(yè)務(wù)環(huán)境進(jìn)行安全加固，進(jìn)一步提高系統(tǒng)安全。

04 安全運行環(huán)境 UOE

統(tǒng)信安全運行環(huán)境軟件 (簡稱：統(tǒng)信有全，UOE)，是統(tǒng)信軟件自研的安全隔離環(huán)境軟件。它允許開發(fā)者在統(tǒng)信服務(wù)器操作系統(tǒng) V20 上直接運行一個 Linux 環(huán)境，包括運行命令行工具、組件和應(yīng)用等。

UOE 非常輕巧，用戶可以輕松運行數(shù)十個實例，并對其進(jìn)行管理。

05 全棧國密

統(tǒng)信軟件遵循《GM / T 0028-2014 密碼模塊安全技術(shù)要求》設(shè)計要求，設(shè)計 UOS 密碼模塊。統(tǒng)信軟件提供全棧國密方案，系統(tǒng)內(nèi)置完整的國密基礎(chǔ)設(shè)施，支持開箱即用的國密基礎(chǔ)設(shè)施和應(yīng)用開發(fā)工具包。包括：

內(nèi)核模塊簽名 —— 調(diào)用國密算法，實現(xiàn)對內(nèi)核模塊簽名 IMA 安全機制 —— 使用國密算法改造 IMA 簽名方式 開源軟件改造 —— 使用國密算法對 9 個基礎(chǔ)組件進(jìn)行改造 國密站點訪問 —— 實現(xiàn)通過 OpenSSL 訪問國密證書站點 安裝器改造 —— 安裝器支持國密算法加密 06 等保 2.0

統(tǒng)信 UOS 是業(yè)界率先通過等保 2.0 最新標(biāo)準(zhǔn) 020272-2019 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(第四級) 的產(chǎn)品。統(tǒng)信服務(wù)器操作系統(tǒng) V20 滿足等保四級，實現(xiàn)身份鑒別、訪問控制、安全審計、可信驗證等等保要求。

07 內(nèi)核安全接口 USKI

統(tǒng)信內(nèi)核安全接口 (Uniontech Security Kernel Inter- face, 簡稱：USKI)，提供以 LKM (Loadable Kernel Module) 形式動態(tài)構(gòu)造第三方安全模塊的接口。作為內(nèi)核安全機制的一部分，USKI 對外提供第三方安全模塊接口，USKI 對三方安全模塊進(jìn)行安全檢查，成功注冊的三方安全模塊與內(nèi)核編譯階段選定的安全模塊功能無異。

USKI 對外提供簡潔的 hook 注冊 / 注銷接口，該接口面向安全開發(fā)廠商或有安全運維能力的用戶，用戶僅需要按照開發(fā)規(guī)范調(diào)用接口完成注冊。

客戶基于 uos-kernel 開發(fā)的應(yīng)用，只需要適配 USKI 接口，無需考慮內(nèi)核版本變化和相關(guān)依賴內(nèi)核的接口 API 變動。并且即使相關(guān)內(nèi)容發(fā)生變動，客戶應(yīng)用也無需重新適配升級。大大提高了客戶的開發(fā)效率，以及與 UOS 的應(yīng)用兼容性。USKI 具備以下優(yōu)點：

高兼容 —— 基于 uos-kernel 開發(fā)，適配 USKI 接口的應(yīng)用，無需考慮之后內(nèi)核版本變化和相關(guān)依賴內(nèi)核的接口 API 變動。 易擴充 —— 支持同時運行多個安全模塊，易于擴充。 易理解 —— 接口簡潔，易于理解和使用。 模塊化 —— 便于以模塊方式開發(fā)安全模塊，易于開發(fā)和調(diào)試。 輕量級 —— 性能開銷低，基于 LSM Linux 安全模塊) 實現(xiàn)，運行高效。 08 UOS 主動安全防護計劃 UAPP

為更好地推動信息技術(shù)應(yīng)用創(chuàng)新網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展，保障網(wǎng)絡(luò)安全，提升基礎(chǔ)軟件安全防護水平，統(tǒng)信軟件與工業(yè)和信息化部網(wǎng)絡(luò)安全技術(shù)與產(chǎn)業(yè)發(fā)展重點實驗室，共同聯(lián)合國內(nèi)多家頭部安全廠商全面發(fā)布 UOS 主動安全防護計劃 UAPP (UOS Active Protections Program)，打造具備世界頂級安全水平的操作系統(tǒng)。

安全應(yīng)用持續(xù)兼容子計劃 —— 制定安全接口標(biāo)準(zhǔn)與規(guī)范，幫助安全廠商提升安全應(yīng)用持續(xù)兼容能力。 安全響應(yīng)子計劃 —— 幫助安全伙伴提前獲得漏洞信息，便于更快速的提供安全更新。 計算機病毒信息共享子計劃 —— 基于安全伙伴的核心安全能力賦能，提升操作系統(tǒng)防護能力水平。

IT之家了解到，以上功能均已在近期發(fā)布的統(tǒng)信服務(wù)器操作系統(tǒng) V20 (1050u2) 商業(yè)版上實現(xiàn)，除此之外還有其他安全改進(jìn)，如支持 UEFI 安全啟動、文件保險箱、防火墻和殺毒、Rust 重寫基礎(chǔ)組件等等。

標(biāo)簽： 操作系統(tǒng) 內(nèi)核模塊