在国产系统还没有推出之前,我们只能使用国外的微软系统。国外的微软系统成熟且稳定,但对于国人来说,最担心的莫过于安全性的问题。用于承载国家安全机密的系统到底会不会泄密?用于企业内部记录重大商业机密的系统,到底会不会把核心资料泄露出去?直到银河麒麟系统的诞生,彻底打破了国外应用系统垄断的局面。紧接着,统信UOS系统的崛起,也被誉为是国货系统的新兴之秀。那么问题来了,国产操作系统到底能不能取代国外的系统,在国内独当一面,扛起信息安全这面大旗呢?它又是如何运作?又有什么判断标准呢?
9月17日,中关村产业技术联盟联合会携手中关村可信计算产业联盟在线上举办技术护航行动之“新基建,新动能,新挑战——国家等级保护2.0和可信计算3.0联合应用系列主题培训(第四期)”。统信软件就受邀参与演讲,并在会上分享了统信操作系统在安全性方面的设计思路与未来规划。
统信软件技术有限公司操作系统安全总监闫博文在演讲中表示,统信操作现有的安全设计是通过限制超级用户,应用签名,开发者签名,商店签名等多层限制、层层关卡来确定用户信息的安全性。
与统信类似,银河麒麟非但拥有多级安全控制审核,还拥有行业最高等级的安全认证。目前,银河麒麟操作系统是我国通过认证的安全等级最高的操作系统,也就是顺利通过《信息安全技术操作系统安全技术要求GB/T 20272》第四级结构化保护级(以下简称“GB/T 20272 等保四级”)认证。
GB/T 20272用以指导设计者如何设计和实现具有所需要的安全保护等级操作系统,其中等保四级要求企业通过安全设备和技术手段实现身份鉴别、自主访问、标记、强制访问、数据流、安全审计、用户数据安全、可信路径等安全防护措施,实现操作系统的全方位安全防护。GB/T 20272是评测国内的操作系统安全等级资格的标准,它依据GB17859-1999五个安全等级划分及相关制度规定,按照管理规范和技术标准,对国内的操作系统安全等级保护状况进行认可及评定。而银河麒麟通过这个认证,也再次说明作为国防安全系统出身的麒麟系统在安全性方面实力不容小觑。
那么下面以银河麒麟为例,详细说下国货银河麒麟系统到底是如何维护机构、企业和高端用户对信息的安全需求。
增强身份认证
银河麒麟操作系统提供用户UID唯一性保护功能,确保系统遗留用户的文件的安全隔离;提供用户密码强度的检查方案、多种密码算法支持,为系统帐户安全提供安全保障;另外银河麒麟操作系统主要采用强化口令管理和指纹识别相结合的双因子认证机制增强用户身份认证,强化管理的口令鉴别可通过设置密码的强度来进行安全保护,指纹认证配合专业的指纹识别工具,先在系统录入指纹后,重启开机,在登录页面进行指纹认证鉴别。
执行控制机制
通过对系统应用程序标记,实现对执行程序的识别和行为约束,确保应用程序来源的可靠性和程序本身的完整性,该机制可通过安全中心“应用执行控制”模块进行图形化管理;
多级安全控制:为防止高机密信息不能向低机密信息流动,通过对不同的系统用户及信息进行密级标识,高密级用户可以读取低密级级用户的机密数据与信息,而低密级级用户则无权读取高密级用户的机密数据与信息,实现多级安全控制。这个功能可以有效保护政党部门、相关机构、大型国企的重要机密只掌握在少数高层手里。其安全防护性高,相比国外的安全系统,更能让国人放心。
管理员分权
为防止超级用户权限可能被滥用或窃取,按照功能将超级管理员权限分成系统管理员、安全管理员和审计管理员。系统管理员负责用户管理、网络管理等系统管理操作;安全管理员负责安全策略配置、用户权限管理、安全标记管理等安全管理操作;审计管理员负责审计配置、审计分析等审计管理操作。三个管理员各负其责,形成分权和相互制约的关系。该项功能一经宣布,立刻虏获了国内不少大型跨国企业的青睐。曾有国内500强企业的负责人就表示,银河麒麟这个功能,无疑了拯救了他们企业。他们目前最需要的就是这种分权和相互制约的关系,能够降低人才流失带来的机密泄露。也正因此,目前国内有超过50多家资产过十亿的大型企业跟银河麒麟签订定制型系统订单。
数据完整性保护
银河麒麟操作系统通过强制完整性控制策略,在全系统内实时地保护数据的完整性。通过强制完整性控制策略,系统保证了高级别的文件、进程等不会被低级别进程破坏,在全系统内实时地保护数据的完整性。
数据隔离保护
基于容器的数据隐藏隔离保护机制对用户数据的隔离保护,限制其他用户,特别是管理员对用户私有数据的访问权限,确保用户数据的安全隔离等,银河麒麟操作系统通过文件保护箱工具实现数据隔离保护控制图形化。
在强制访问机制框架之外,为了进一步增强系统的安全可信性,银河麒麟操作系统提供可信路径和安全审计功能。
可信路径能够确保用户和系统间的通信数据免遭修改和泄漏。当用户登录系统时,系统提供了一条用户与可信计算基之间的可信通信路径,保证用户的帐号信息不会被任何实体监控和篡改。
安全审计
安全审计可对用户身份鉴别、自主访问控制、强制访问控制、文件、事件类型等进行审计,提供审计日志、实时报警生产和违例进程终止,潜在分析基于异常检测和简单攻击探测,对受保护的审计踪迹存储、审计数据的可用性确保和防止审计数据丢失的措施等功能。银河麒麟操作系通过日志管理工具对系统审计内容进行图形化管理。
从上述的多层审计中,我们也不难看出,银河麒麟系统在企业和个人用户安全信息方面的把控能力,不愧是被誉为国货之光的高端高标准安全系统。作为抗其国产系统安全防护这面大旗人,行业大佬银河麒麟是当之无愧的领头人。当然,单从国家安全等级认证来看,后起之秀统信系统有很大的进步空间。接下来的日子,就让我们共同期待,行业老大哥银河麒麟在专业领域有更大的突破。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
