8 月 12 日,第八屆互聯(lián)網(wǎng)安全大會(ISC2020)信創(chuàng)安全論壇在線舉行。統(tǒng)信軟件高級副總經(jīng)理、總工程師張磊受邀發(fā)表《統(tǒng)信操作系統(tǒng)安全設計與規(guī)劃》演講,分享了對于操作系統(tǒng)安全體系建設的思考和統(tǒng)信 UOS 安全體系建設實踐經(jīng)驗。
應用程序處于整個系統(tǒng)的外圍,代碼量巨大,極易受到黑客的攻擊。據(jù)統(tǒng)計,在 CVE 安全漏洞庫中,應用程序的安全漏洞占比超過 95%。所以,應用安全在整個操作系統(tǒng)中至關重要。
那么,Linux 操作系統(tǒng)現(xiàn)有的應用治理方式是怎樣的?
首先,在應用分發(fā)上,Linux 系統(tǒng)的軟件分發(fā)方式多且復雜:
- 通過源代碼進行直接編譯安裝
- 通過 deb 包或者 rpm 包安裝
- 各種開發(fā)語言自有的軟件安裝方式
- 在服務器上基于容器鏡像進行安裝
其次,在應用治理上,應用軟件和系統(tǒng)沒有隔離(包括分區(qū)),所有軟件數(shù)據(jù)是存在一個目錄下,所以它的治理是一體化的。在權限管理上,開發(fā)者可以通過多種方式獲得 Linux 操作系統(tǒng)的 Root 權限,造成嚴重的安全隱患。
最后,Linux 操作系統(tǒng)中的應用程序廣泛使用了動態(tài)鏈接,造成了非常復雜的網(wǎng)狀軟件治理體系,導致牽一發(fā)而動全身。
統(tǒng)信操作系統(tǒng)的安全設計
結合 Windows、MacOS、Android、iOS 等知名操作系統(tǒng)對于應用治理的方式,構建良好的操作系統(tǒng)的應用治理體系,應該考慮到:
- 普通用戶是行為能力限制人
- 系統(tǒng)需要與應用隔離,應用需與應用隔離
- 應用需要建立全生命周期的治理體系
那么,統(tǒng)信 UOS 是如何進行安全設計的呢?
限制超級用戶
IT之家了解到,統(tǒng)信 UOS 對所有特權程序進行了處理,包括 setuid 權限和 capabilities 的可執(zhí)行程序。前端應用程序都去掉了這些特權,只有通過后端有特權的服務器獲取相應的功能。
前端應用程序和后端服務器之間的通信主要是通過 dbus 進行保證,而 dbus 本身也可以通過 polkit 的方式進行權限限制。
這樣,普通用戶就不會輕易獲得特殊權限,從而不會輕易的破壞系統(tǒng)安全性,形成系統(tǒng)安全漏洞,造成不必要的損失。
應用簽名
通過開發(fā)者簽名、商店簽名和企業(yè)簽名的機制保證應用安全管理。
開發(fā)者簽名:驗證應用所有權,避免進行偽造
每一個應用程序都會在它的文件里內(nèi)置一個簽名,首先是應用開發(fā)商,所有的軟件開發(fā)者,在提交軟件之前,都會對自己的軟件進行簽名,這樣的話,應用商店也可以保證得到的軟件就是開發(fā)者提交的軟件。
商店簽名:限制軟件分發(fā)權力,避免傳播過程中被修改
商店會對所有應用程序進行審核,當然也包括安全審核,統(tǒng)信 UOS 的應用安全審核是和各個安全合作伙伴一起合作進行的。只有通過安全審核后,應用才可以在商店里進行上架。
在應用商店在上架之前,也會進行簽名,得到了簽名之后,終端操作系統(tǒng)才能確認應用的安全性,最終用戶才能安裝、運行這些應用。
企業(yè)簽名:提供私有化部署的分發(fā)支持,支持內(nèi)網(wǎng)應用商店
考慮到各個企業(yè)的內(nèi)部軟件分發(fā)與管理的需求,統(tǒng)信 UOS 應用商店支持私有化的分發(fā)部署方式。
此外,統(tǒng)信 UOS 的應用簽名證書同時支持 RSA 與國密算法,在未來的空間里具有比較好的擴展性。
軟硬一體
除了應用商店的簽名之外,統(tǒng)信軟件也和處理器、固件廠商也進行了合作,一起推動制定了安全啟動方面的規(guī)范。實現(xiàn)了在硬件和固件層面對不同 loader/kernel 進行管理性的簽名校驗,這樣就從啟動時就保證了軟件的安全性。
其他安全措施
除了限制超級用戶、應用簽名、軟硬一體的安全體系外,統(tǒng)信軟件還和安全廠商進行聯(lián)合安全攻防演練,在版本發(fā)布前和發(fā)布后的各個階段可以及時獲取安全漏洞信息,進行及時修補。
此外,統(tǒng)信操作系統(tǒng)支持終端域管平臺,可以實現(xiàn)對各個終端進行安全策略的管理和集中式的分發(fā),可為用戶提供一個快捷的、統(tǒng)一的安全管理體系。
統(tǒng)信安全應急響應中心(src.uniontech.com)
另外,統(tǒng)信 UOS 終端安全中心和安全應急響應中心可以支持動態(tài)的系統(tǒng)安全漏洞檢測和及時收集各種安全漏洞信息,全方位多層次的進行系統(tǒng)安全防護。
統(tǒng)信操作系統(tǒng)的安全規(guī)劃
統(tǒng)信操作系統(tǒng)下一步的安全規(guī)劃包括繼續(xù)加強應用治理和安全軟件治理。
通過沙箱機制等方式保證運行中的各應用程序之間有比較良好的隔離性。通過探索構建應用能力規(guī)范、弱依賴格式和應用 IPC 規(guī)范等方式,提升軟件權限的管理粒度,讓用戶可以更好的進行權限定制與管理,有效防止權限擴散,保證系統(tǒng)的安全性。
同時,統(tǒng)信軟件還將繼續(xù)探索下一代固件的設計,構建動態(tài)的軟硬件一體化的安全機制等規(guī)劃,繼續(xù)完善現(xiàn)有的安全體系設計。
