在國(guó)產(chǎn)系統(tǒng)還沒(méi)有推出之前,我們只能使用國(guó)外的微軟系統(tǒng)。國(guó)外的微軟系統(tǒng)成熟且穩(wěn)定,但對(duì)于國(guó)人來(lái)說(shuō),最擔(dān)心的莫過(guò)于安全性的問(wèn)題。用于承載國(guó)家安全機(jī)密的系統(tǒng)到底會(huì)不會(huì)泄密?用于企業(yè)內(nèi)部記錄重大商業(yè)機(jī)密的系統(tǒng),到底會(huì)不會(huì)把核心資料泄露出去?直到銀河麒麟系統(tǒng)的誕生,徹底打破了國(guó)外應(yīng)用系統(tǒng)壟斷的局面。緊接著,統(tǒng)信UOS系統(tǒng)的崛起,也被譽(yù)為是國(guó)貨系統(tǒng)的新興之秀。那么問(wèn)題來(lái)了,國(guó)產(chǎn)操作系統(tǒng)到底能不能取代國(guó)外的系統(tǒng),在國(guó)內(nèi)獨(dú)當(dāng)一面,扛起信息安全這面大旗呢?它又是如何運(yùn)作?又有什么判斷標(biāo)準(zhǔn)呢?

9月17日,中關(guān)村產(chǎn)業(yè)技術(shù)聯(lián)盟聯(lián)合會(huì)攜手中關(guān)村可信計(jì)算產(chǎn)業(yè)聯(lián)盟在線(xiàn)上舉辦技術(shù)護(hù)航行動(dòng)之“新基建,新動(dòng)能,新挑戰(zhàn)——國(guó)家等級(jí)保護(hù)2.0和可信計(jì)算3.0聯(lián)合應(yīng)用系列主題培訓(xùn)(第四期)”。統(tǒng)信軟件就受邀參與演講,并在會(huì)上分享了統(tǒng)信操作系統(tǒng)在安全性方面的設(shè)計(jì)思路與未來(lái)規(guī)劃。

統(tǒng)信軟件技術(shù)有限公司操作系統(tǒng)安全總監(jiān)閆博文在演講中表示,統(tǒng)信操作現(xiàn)有的安全設(shè)計(jì)是通過(guò)限制超級(jí)用戶(hù),應(yīng)用簽名,開(kāi)發(fā)者簽名,商店簽名等多層限制、層層關(guān)卡來(lái)確定用戶(hù)信息的安全性。

與統(tǒng)信類(lèi)似,銀河麒麟非但擁有多級(jí)安全控制審核,還擁有行業(yè)最高等級(jí)的安全認(rèn)證。目前,銀河麒麟操作系統(tǒng)是我國(guó)通過(guò)認(rèn)證的安全等級(jí)最高的操作系統(tǒng),也就是順利通過(guò)《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T 20272》第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)(以下簡(jiǎn)稱(chēng)“GB/T 20272 等保四級(jí)”)認(rèn)證。

GB/T 20272用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全保護(hù)等級(jí)操作系統(tǒng),其中等保四級(jí)要求企業(yè)通過(guò)安全設(shè)備和技術(shù)手段實(shí)現(xiàn)身份鑒別、自主訪(fǎng)問(wèn)、標(biāo)記、強(qiáng)制訪(fǎng)問(wèn)、數(shù)據(jù)流、安全審計(jì)、用戶(hù)數(shù)據(jù)安全、可信路徑等安全防護(hù)措施,實(shí)現(xiàn)操作系統(tǒng)的全方位安全防護(hù)。GB/T 20272是評(píng)測(cè)國(guó)內(nèi)的操作系統(tǒng)安全等級(jí)資格的標(biāo)準(zhǔn),它依據(jù)GB17859-1999五個(gè)安全等級(jí)劃分及相關(guān)制度規(guī)定,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)國(guó)內(nèi)的操作系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行認(rèn)可及評(píng)定。而銀河麒麟通過(guò)這個(gè)認(rèn)證,也再次說(shuō)明作為國(guó)防安全系統(tǒng)出身的麒麟系統(tǒng)在安全性方面實(shí)力不容小覷。

那么下面以銀河麒麟為例,詳細(xì)說(shuō)下國(guó)貨銀河麒麟系統(tǒng)到底是如何維護(hù)機(jī)構(gòu)、企業(yè)和高端用戶(hù)對(duì)信息的安全需求。

增強(qiáng)身份認(rèn)證

銀河麒麟操作系統(tǒng)提供用戶(hù)UID唯一性保護(hù)功能,確保系統(tǒng)遺留用戶(hù)的文件的安全隔離;提供用戶(hù)密碼強(qiáng)度的檢查方案、多種密碼算法支持,為系統(tǒng)帳戶(hù)安全提供安全保障;另外銀河麒麟操作系統(tǒng)主要采用強(qiáng)化口令管理和指紋識(shí)別相結(jié)合的雙因子認(rèn)證機(jī)制增強(qiáng)用戶(hù)身份認(rèn)證,強(qiáng)化管理的口令鑒別可通過(guò)設(shè)置密碼的強(qiáng)度來(lái)進(jìn)行安全保護(hù),指紋認(rèn)證配合專(zhuān)業(yè)的指紋識(shí)別工具,先在系統(tǒng)錄入指紋后,重啟開(kāi)機(jī),在登錄頁(yè)面進(jìn)行指紋認(rèn)證鑒別。

執(zhí)行控制機(jī)制

通過(guò)對(duì)系統(tǒng)應(yīng)用程序標(biāo)記,實(shí)現(xiàn)對(duì)執(zhí)行程序的識(shí)別和行為約束,確保應(yīng)用程序來(lái)源的可靠性和程序本身的完整性,該機(jī)制可通過(guò)安全中心“應(yīng)用執(zhí)行控制”模塊進(jìn)行圖形化管理;

多級(jí)安全控制:為防止高機(jī)密信息不能向低機(jī)密信息流動(dòng),通過(guò)對(duì)不同的系統(tǒng)用戶(hù)及信息進(jìn)行密級(jí)標(biāo)識(shí),高密級(jí)用戶(hù)可以讀取低密級(jí)級(jí)用戶(hù)的機(jī)密數(shù)據(jù)與信息,而低密級(jí)級(jí)用戶(hù)則無(wú)權(quán)讀取高密級(jí)用戶(hù)的機(jī)密數(shù)據(jù)與信息,實(shí)現(xiàn)多級(jí)安全控制。這個(gè)功能可以有效保護(hù)政黨部門(mén)、相關(guān)機(jī)構(gòu)、大型國(guó)企的重要機(jī)密只掌握在少數(shù)高層手里。其安全防護(hù)性高,相比國(guó)外的安全系統(tǒng),更能讓國(guó)人放心。

管理員分權(quán)

為防止超級(jí)用戶(hù)權(quán)限可能被濫用或竊取,按照功能將超級(jí)管理員權(quán)限分成系統(tǒng)管理員、安全管理員和審計(jì)管理員。系統(tǒng)管理員負(fù)責(zé)用戶(hù)管理、網(wǎng)絡(luò)管理等系統(tǒng)管理操作;安全管理員負(fù)責(zé)安全策略配置、用戶(hù)權(quán)限管理、安全標(biāo)記管理等安全管理操作;審計(jì)管理員負(fù)責(zé)審計(jì)配置、審計(jì)分析等審計(jì)管理操作。三個(gè)管理員各負(fù)其責(zé),形成分權(quán)和相互制約的關(guān)系。該項(xiàng)功能一經(jīng)宣布,立刻虜獲了國(guó)內(nèi)不少大型跨國(guó)企業(yè)的青睞。曾有國(guó)內(nèi)500強(qiáng)企業(yè)的負(fù)責(zé)人就表示,銀河麒麟這個(gè)功能,無(wú)疑了拯救了他們企業(yè)。他們目前最需要的就是這種分權(quán)和相互制約的關(guān)系,能夠降低人才流失帶來(lái)的機(jī)密泄露。也正因此,目前國(guó)內(nèi)有超過(guò)50多家資產(chǎn)過(guò)十億的大型企業(yè)跟銀河麒麟簽訂定制型系統(tǒng)訂單。

數(shù)據(jù)完整性保護(hù)

銀河麒麟操作系統(tǒng)通過(guò)強(qiáng)制完整性控制策略,在全系統(tǒng)內(nèi)實(shí)時(shí)地保護(hù)數(shù)據(jù)的完整性。通過(guò)強(qiáng)制完整性控制策略,系統(tǒng)保證了高級(jí)別的文件、進(jìn)程等不會(huì)被低級(jí)別進(jìn)程破壞,在全系統(tǒng)內(nèi)實(shí)時(shí)地保護(hù)數(shù)據(jù)的完整性。

數(shù)據(jù)隔離保護(hù)

基于容器的數(shù)據(jù)隱藏隔離保護(hù)機(jī)制對(duì)用戶(hù)數(shù)據(jù)的隔離保護(hù),限制其他用戶(hù),特別是管理員對(duì)用戶(hù)私有數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限,確保用戶(hù)數(shù)據(jù)的安全隔離等,銀河麒麟操作系統(tǒng)通過(guò)文件保護(hù)箱工具實(shí)現(xiàn)數(shù)據(jù)隔離保護(hù)控制圖形化。

在強(qiáng)制訪(fǎng)問(wèn)機(jī)制框架之外,為了進(jìn)一步增強(qiáng)系統(tǒng)的安全可信性,銀河麒麟操作系統(tǒng)提供可信路徑和安全審計(jì)功能。

可信路徑能夠確保用戶(hù)和系統(tǒng)間的通信數(shù)據(jù)免遭修改和泄漏。當(dāng)用戶(hù)登錄系統(tǒng)時(shí),系統(tǒng)提供了一條用戶(hù)與可信計(jì)算基之間的可信通信路徑,保證用戶(hù)的帳號(hào)信息不會(huì)被任何實(shí)體監(jiān)控和篡改。

安全審計(jì)

安全審計(jì)可對(duì)用戶(hù)身份鑒別、自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制、文件、事件類(lèi)型等進(jìn)行審計(jì),提供審計(jì)日志、實(shí)時(shí)報(bào)警生產(chǎn)和違例進(jìn)程終止,潛在分析基于異常檢測(cè)和簡(jiǎn)單攻擊探測(cè),對(duì)受保護(hù)的審計(jì)蹤跡存儲(chǔ)、審計(jì)數(shù)據(jù)的可用性確保和防止審計(jì)數(shù)據(jù)丟失的措施等功能。銀河麒麟操作系通過(guò)日志管理工具對(duì)系統(tǒng)審計(jì)內(nèi)容進(jìn)行圖形化管理。

從上述的多層審計(jì)中,我們也不難看出,銀河麒麟系統(tǒng)在企業(yè)和個(gè)人用戶(hù)安全信息方面的把控能力,不愧是被譽(yù)為國(guó)貨之光的高端高標(biāo)準(zhǔn)安全系統(tǒng)。作為抗其國(guó)產(chǎn)系統(tǒng)安全防護(hù)這面大旗人,行業(yè)大佬銀河麒麟是當(dāng)之無(wú)愧的領(lǐng)頭人。當(dāng)然,單從國(guó)家安全等級(jí)認(rèn)證來(lái)看,后起之秀統(tǒng)信系統(tǒng)有很大的進(jìn)步空間。接下來(lái)的日子,就讓我們共同期待,行業(yè)老大哥銀河麒麟在專(zhuān)業(yè)領(lǐng)域有更大的突破。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。