統(tǒng)信官方版：一文看懂 UOS 操作系統(tǒng)安全體系設(shè)計思路，限制超級用戶 ...

8月13日消息 8 月 12 日，第八屆互聯(lián)網(wǎng)安全大會（ISC2020）信創(chuàng)安全論壇在線舉行。統(tǒng)信軟件高級副總經(jīng)理、總工程師張磊受邀發(fā)表演講，分享了對于操作系統(tǒng)安全體系建設(shè)的思考和統(tǒng)信 UOS 安全體系建設(shè)實(shí)踐經(jīng)驗(yàn)。

應(yīng)用程序處于整個系統(tǒng)的外圍，代碼量巨大，極易受到黑客的攻擊。據(jù)統(tǒng)計，在 CVE 安全漏洞庫中，應(yīng)用程序的安全漏洞占比超過 95%。所以，應(yīng)用安全在整個操作系統(tǒng)中至關(guān)重要。

那么，Linux 操作系統(tǒng)現(xiàn)有的應(yīng)用治理方式是怎樣的？

首先，在應(yīng)用分發(fā)上，Linux 系統(tǒng)的軟件分發(fā)方式多且復(fù)雜：

通過源代碼進(jìn)行直接編譯安裝

通過 deb 包或者 rpm 包安裝

各種開發(fā)語言自有的軟件安裝方式

在服務(wù)器上基于容器鏡像進(jìn)行安裝

其次，在應(yīng)用治理上，應(yīng)用軟件和系統(tǒng)沒有隔離（包括分區(qū)），所有軟件數(shù)據(jù)是存在一個目錄下，所以它的治理是一體化的。在權(quán)限管理上，開發(fā)者可以通過多種方式獲得 Linux 操作系統(tǒng)的 Root 權(quán)限，造成嚴(yán)重的安全隱患。

最后，Linux 操作系統(tǒng)中的應(yīng)用程序廣泛使用了動態(tài)鏈接，造成了非常復(fù)雜的網(wǎng)狀軟件治理體系，導(dǎo)致牽一發(fā)而動全身。

統(tǒng)信操作系統(tǒng)的安全設(shè)計

結(jié)合 Windows、MacOS、Android、iOS 等知名操作系統(tǒng)對于應(yīng)用治理的方式，構(gòu)建良好的操作系統(tǒng)的應(yīng)用治理體系，應(yīng)該考慮到：

普通用戶是行為能力限制人

系統(tǒng)需要與應(yīng)用隔離，應(yīng)用需與應(yīng)用隔離

應(yīng)用需要建立全生命周期的治理體系

那么，統(tǒng)信 UOS 是如何進(jìn)行安全設(shè)計的呢？

限制超級用戶

了解到，統(tǒng)信 UOS 對所有特權(quán)程序進(jìn)行了處理，包括 setuid 權(quán)限和 capabilities 的可執(zhí)行程序。前端應(yīng)用程序都去掉了這些特權(quán)，只有通過后端有特權(quán)的服務(wù)器獲取相應(yīng)的功能。

前端應(yīng)用程序和后端服務(wù)器之間的通信主要是通過 dbus 進(jìn)行保證，而 dbus 本身也可以通過 polkit 的方式進(jìn)行權(quán)限限制。

這樣，普通用戶就不會輕易獲得特殊權(quán)限，從而不會輕易的破壞系統(tǒng)安全性，形成系統(tǒng)安全漏洞，造成不必要的損失。

應(yīng)用簽名

通過開發(fā)者簽名、商店簽名和企業(yè)簽名的機(jī)制保證應(yīng)用安全管理。

開發(fā)者簽名：驗(yàn)證應(yīng)用所有權(quán)，避免進(jìn)行偽造

每一個應(yīng)用程序都會在它的文件里內(nèi)置一個簽名，首先是應(yīng)用開發(fā)商，所有的軟件開發(fā)者，在提交軟件之前，都會對自己的軟件進(jìn)行簽名，這樣的話，應(yīng)用商店也可以保證得到的軟件就是開發(fā)者提交的軟件。

商店簽名：限制軟件分發(fā)權(quán)力，避免傳播過程中被修改

商店會對所有應(yīng)用程序進(jìn)行審核，當(dāng)然也包括安全審核，統(tǒng)信 UOS 的應(yīng)用安全審核是和各個安全合作伙伴一起合作進(jìn)行的。只有通過安全審核后，應(yīng)用才可以在商店里進(jìn)行上架。

在應(yīng)用商店在上架之前，也會進(jìn)行簽名，得到了簽名之后，終端操作系統(tǒng)才能確認(rèn)應(yīng)用的安全性，最終用戶才能安裝、運(yùn)行這些應(yīng)用。

企業(yè)簽名：提供私有化部署的分發(fā)支持，支持內(nèi)網(wǎng)應(yīng)用商店

考慮到各個企業(yè)的內(nèi)部軟件分發(fā)與管理的需求，統(tǒng)信 UOS 應(yīng)用商店支持私有化的分發(fā)部署方式。

此外，統(tǒng)信 UOS 的應(yīng)用簽名證書同時支持 RSA 與國密算法，在未來的空間里具有比較好的擴(kuò)展性。

軟硬一體

除了應(yīng)用商店的簽名之外，統(tǒng)信軟件也和處理器、固件廠商也進(jìn)行了合作，一起推動制定了安全啟動方面的規(guī)范。實(shí)現(xiàn)了在硬件和固件層面對不同 loader/kernel 進(jìn)行管理性的簽名校驗(yàn)，這樣就從啟動時就保證了軟件的安全性。

其他安全措施

除了限制超級用戶、應(yīng)用簽名、軟硬一體的安全體系外，統(tǒng)信軟件還和安全廠商進(jìn)行聯(lián)合安全攻防演練，在版本發(fā)布前和發(fā)布后的各個階段可以及時獲取安全漏洞信息，進(jìn)行及時修補(bǔ)。

此外，統(tǒng)信操作系統(tǒng)支持終端域管平臺，可以實(shí)現(xiàn)對各個終端進(jìn)行安全策略的管理和集中式的分發(fā)，可為用戶提供一個快捷的、統(tǒng)一的安全管理體系。

統(tǒng)信安全應(yīng)急響應(yīng)中心（src.uniontech.com）

另外，統(tǒng)信 UOS 終端安全中心和安全應(yīng)急響應(yīng)中心可以支持動態(tài)的系統(tǒng)安全漏洞檢測和及時收集各種安全漏洞信息，全方位多層次的進(jìn)行系統(tǒng)安全防護(hù)。

統(tǒng)信操作系統(tǒng)的安全規(guī)劃

統(tǒng)信操作系統(tǒng)下一步的安全規(guī)劃包括繼續(xù)加強(qiáng)應(yīng)用治理和安全軟件治理。

通過沙箱機(jī)制等方式保證運(yùn)行中的各應(yīng)用程序之間有比較良好的隔離性。通過探索構(gòu)建應(yīng)用能力規(guī)范、弱依賴格式和應(yīng)用 IPC 規(guī)范等方式，提升軟件權(quán)限的管理粒度，讓用戶可以更好的進(jìn)行權(quán)限定制與管理，有效防止權(quán)限擴(kuò)散，保證系統(tǒng)的安全性。

同時，統(tǒng)信軟件還將繼續(xù)探索下一代固件的設(shè)計，構(gòu)建動態(tài)的軟硬件一體化的安全機(jī)制等規(guī)劃，繼續(xù)完善現(xiàn)有的安全體系設(shè)計。