IT之家8月13日訊息 8 月 12 日,第八屆網際網路安全大會(ISC2020)信創安全論壇線上舉行。統信軟體高階副總經理、總工程師張磊受邀發表《統信作業系統安全設計與規劃》演講,分享了對於作業系統安全體系建設的思考和統信 UOS 安全體系建設實踐經驗。
應用程式處於整個系統的外圍,程式碼量巨大,極易受到駭客的攻擊。據統計,在 CVE 安全漏洞庫中,應用程式的安全漏洞佔比超過 95%。所以,應用安全在整個作業系統中至關重要。
那麼,Linux 作業系統現有的應用治理方式是怎樣的?
首先,在應用分發上,Linux 系統的軟體分發方式多且複雜:
透過原始碼進行直接編譯安裝
透過 deb 包或者 rpm 包安裝
各種開發語言自有的軟體安裝方式
在伺服器上基於容器映象進行安裝
其次,在應用治理上,應用軟體和系統沒有隔離(包括分割槽),所有軟體資料是存在一個目錄下,所以它的治理是一體化的。在許可權管理上,開發者可以透過多種方式獲得 Linux 作業系統的 Root 許可權,造成嚴重的安全隱患。
最後,Linux 作業系統中的應用程式廣泛使用了動態連結,造成了非常複雜的網狀軟體治理體系,導致牽一髮而動全身。
統信作業系統的安全設計
結合 Windows、MacOS、Android、iOS 等知名作業系統對於應用治理的方式,構建良好的作業系統的應用治理體系,應該考慮到:
普通使用者是行為能力限制人
系統需要與應用隔離,應用需與應用隔離
應用需要建立全生命週期的治理體系
那麼,統信 UOS 是如何進行安全設計的呢?
限制超級使用者
IT之家瞭解到,統信 UOS 對所有特權程式進行了處理,包括 setuid 許可權和 capabilities 的可執行程式。前端應用程式都去掉了這些特權,只有通過後端有特權的伺服器獲取相應的功能。
前端應用程式和後端伺服器之間的通訊主要是透過 dbus 進行保證,而 dbus 本身也可以透過 polkit 的方式進行許可權限制。
這樣,普通使用者就不會輕易獲得特殊許可權,從而不會輕易的破壞系統安全性,形成系統安全漏洞,造成不必要的損失。
應用簽名
透過開發者簽名、商店簽名和企業簽名的機制保證應用安全管理。
開發者簽名:驗證應用所有權,避免進行偽造
每一個應用程式都會在它的檔案裡內建一個簽名,首先是應用開發商,所有的軟體開發者,在提交軟體之前,都會對自己的軟體進行簽名,這樣的話,應用商店也可以保證得到的軟體就是開發者提交的軟體。
商店簽名:限制軟體分發權力,避免傳播過程中被修改
商店會對所有應用程式進行稽核,當然也包括安全稽核,統信 UOS 的應用安全稽核是和各個安全合作伙伴一起合作進行的。只有透過安全稽核後,應用才可以在商店裡進行上架。
在應用商店在上架之前,也會進行簽名,得到了簽名之後,終端作業系統才能確認應用的安全性,終端使用者才能安裝、執行這些應用。
企業簽名:提供私有化部署的分發支援,支援內網應用商店
考慮到各個企業的內部軟體分發與管理的需求,統信 UOS 應用商店支援私有化的分發部署方式。
此外,統信 UOS 的應用簽名證書同時支援 RSA 與國密演算法,在未來的空間裡具有比較好的擴充套件性。
軟硬一體
除了應用商店的簽名之外,統信軟體也和處理器、韌體廠商也進行了合作,一起推動制定了安全啟動方面的規範。實現了在硬體和韌體層面對不同 loader/kernel 進行管理性的簽名校驗,這樣就從啟動時就保證了軟體的安全性。
其他安全措施
除了限制超級使用者、應用簽名、軟硬一體的安全體系外,統信軟體還和安全廠商進行聯合安全攻防演練,在版本釋出前和釋出後的各個階段可以及時獲取安全漏洞資訊,進行及時修補。
此外,統信作業系統支援終端域管平臺,可以實現對各個終端進行安全策略的管理和集中式的分發,可為使用者提供一個快捷的、統一的安全管理體系。
統信安全應急響應中心(src.uniontech.com)
另外,統信 UOS 終端安全中心和安全應急響應中心可以支援動態的系統安全漏洞檢測和及時收集各種安全漏洞資訊,全方位多層次的進行系統安全防護。
統信作業系統的安全規劃
統信作業系統下一步的安全規劃包括繼續加強應用治理和安全軟體治理。
透過沙箱機制等方式保證執行中的各應用程式之間有比較良好的隔離性。透過探索構建應用能力規範、弱依賴格式和應用 IPC 規範等方式,提升軟體許可權的管理粒度,讓使用者可以更好的進行許可權定製與管理,有效防止許可權擴散,保證系統的安全性。
同時,統信軟體還將繼續探索下一代韌體的設計,構建動態的軟硬體一體化的安全機制等規劃,繼續完善現有的安全體系設計。