統信官方版：一文看懂 UOS 操作系統安全體系設計思路，限制超級用戶 ...

IT前沿8月13日消息8 月 12 日，第八屆互聯網安全大會（ISC2020）信創安全論壇在線舉行。統信軟件高級副總經理、總工程師張磊受邀發表《統信操作系統安全設計與規劃》演講，分享了對于操作系統安全體系建設的思考和統信 UOS 安全體系建設實踐經驗。

應用程序處于整個系統的外圍，代碼量巨大，極易受到黑客的攻擊。據統計，在 CVE 安全漏洞庫中，應用程序的安全漏洞占比超過 95%。所以，應用安全在整個操作系統中至關重要。

那么，Linux 操作系統現有的應用治理方式是怎樣的？

首先，在應用分發上，Linux 系統的軟件分發方式多且復雜：

通過源代碼進行直接編譯安裝

通過 deb 包或者 rpm 包安裝

各種開發語言自有的軟件安裝方式

在服務器上基于容器鏡像進行安裝

其次，在應用治理上，應用軟件和系統沒有隔離（包括分區），所有軟件數據是存在一個目錄下，所以它的治理是一體化的。在權限管理上，開發者可以通過多種方式獲得 Linux 操作系統的 Root 權限，造成嚴重的安全隱患。

最后，Linux 操作系統中的應用程序廣泛使用了動態鏈接，造成了非常復雜的網狀軟件治理體系，導致牽一發而動全身。

統信操作系統的安全設計

結合 Windows、MacOS、Android、iOS 等知名操作系統對于應用治理的方式，構建良好的操作系統的應用治理體系，應該考慮到：

普通用戶是行為能力限制人

系統需要與應用隔離，應用需與應用隔離

應用需要建立全生命周期的治理體系

那么，統信 UOS 是如何進行安全設計的呢？

限制超級用戶

IT前沿了解到，統信 UOS 對所有特權程序進行了處理，包括 setuid 權限和 capabilities 的可執行程序。前端應用程序都去掉了這些特權，只有通過后端有特權的服務器獲取相應的功能。

前端應用程序和后端服務器之間的通信主要是通過 dbus 進行保證，而 dbus 本身也可以通過 polkit 的方式進行權限限制。

這樣，普通用戶就不會輕易獲得特殊權限，從而不會輕易的破壞系統安全性，形成系統安全漏洞，造成不必要的損失。

應用簽名

通過開發者簽名、商店簽名和企業簽名的機制保證應用安全管理。

開發者簽名：驗證應用所有權，避免進行偽造

每一個應用程序都會在它的文件里內置一個簽名，首先是應用開發商，所有的軟件開發者，在提交軟件之前，都會對自己的軟件進行簽名，這樣的話，應用商店也可以保證得到的軟件就是開發者提交的軟件。

商店簽名：限制軟件分發權力，避免傳播過程中被修改

商店會對所有應用程序進行審核，當然也包括安全審核，統信 UOS 的應用安全審核是和各個安全合作伙伴一起合作進行的。只有通過安全審核后，應用才可以在商店里進行上架。

在應用商店在上架之前，也會進行簽名，得到了簽名之后，終端操作系統才能確認應用的安全性，最終用戶才能安裝、運行這些應用。

企業簽名：提供私有化部署的分發支持，支持內網應用商店

考慮到各個企業的內部軟件分發與管理的需求，統信 UOS 應用商店支持私有化的分發部署方式。

此外，統信 UOS 的應用簽名證書同時支持 RSA 與國密算法，在未來的空間里具有比較好的擴展性。

軟硬一體

除了應用商店的簽名之外，統信軟件也和處理器、固件廠商也進行了合作，一起推動制定了安全啟動方面的規范。實現了在硬件和固件層面對不同 loader/kernel 進行管理性的簽名校驗，這樣就從啟動時就保證了軟件的安全性。

其他安全措施

除了限制超級用戶、應用簽名、軟硬一體的安全體系外，統信軟件還和安全廠商進行聯合安全攻防演練，在版本發布前和發布后的各個階段可以及時獲取安全漏洞信息，進行及時修補。

此外，統信操作系統支持終端域管平臺，可以實現對各個終端進行安全策略的管理和集中式的分發，可為用戶提供一個快捷的、統一的安全管理體系。

統信安全應急響應中心（src.uniontech.com）

另外，統信 UOS 終端安全中心和安全應急響應中心可以支持動態的系統安全漏洞檢測和及時收集各種安全漏洞信息，全方位多層次的進行系統安全防護。

統信操作系統的安全規劃

統信操作系統下一步的安全規劃包括繼續加強應用治理和安全軟件治理。

通過沙箱機制等方式保證運行中的各應用程序之間有比較良好的隔離性。通過探索構建應用能力規范、弱依賴格式和應用 IPC 規范等方式，提升軟件權限的管理粒度，讓用戶可以更好的進行權限定制與管理，有效防止權限擴散，保證系統的安全性。

同時，統信軟件還將繼續探索下一代固件的設計，構建動態的軟硬件一體化的安全機制等規劃，繼續完善現有的安全體系設計。