說起國產(chǎn)操作系統(tǒng)的重點和難點，除了生態(tài)，就是安全了，畢竟……你懂的。

8月12日，第八屆互聯(lián)網(wǎng)安全大會（ISC 2020）信創(chuàng)安全論壇在線舉行，統(tǒng)信軟件高級副總經(jīng)理、總工程師張磊受邀發(fā)表《統(tǒng)信操作系統(tǒng)安全設計與規(guī)劃》演講，分享了對操作系統(tǒng)安全體系建設的思考，以及統(tǒng)信UOS安全體系建設實踐經(jīng)驗。

統(tǒng)信UOS底層基于開源的Linux，它本身雖然在安全方面就有諸多考慮，但仍存在嚴重不足，比如軟件分發(fā)方式多且復雜，應用軟件和系統(tǒng)沒有隔離，應用程序廣泛使用動態(tài)鏈接造成了非常復雜的網(wǎng)狀軟件治理體系。

統(tǒng)信UOS的安全設計主要有四大方面：

1、限制超級用戶

統(tǒng)信UOS對所有特權(quán)程序進行了處理，包括setuid權(quán)限和capabilities的可執(zhí)行程序。前端應用程序都去掉了這些特權(quán)，只有通過后端有特權(quán)的服務器獲取相應的功能。

前端應用程序和后端服務器之間的通信主要是通過dbus進行保證，而dbus本身也可以通過polkit的方式進行權(quán)限限制。

這樣，普通用戶就不會輕易獲得特殊權(quán)限，不會輕易的破壞系統(tǒng)安全性、形成系統(tǒng)安全漏洞，造成不必要的損失。

2、應用簽名

統(tǒng)信UOS通過開發(fā)者簽名、商店簽名、企業(yè)簽名的三重機制，保證應用安全管理。

開發(fā)者簽名：驗證應用所有權(quán)，避免進行偽造

每一個應用程序都會在它的文件里內(nèi)置一個簽名，首先是應用開發(fā)商，所有的軟件開發(fā)者在提交軟件之前，都會對自己的軟件進行簽名，應用商店就可以保證得到的軟件就是開發(fā)者提交的軟件。

商店簽名：限制軟件分發(fā)權(quán)力，避免傳播過程中被修改

商店會對所有應用程序進行審核，當然也包括安全審核。統(tǒng)信UOS的應用安全審核是和各個安全合作伙伴一起合作進行的。只有通過安全審核后，應用才可以在商店里進行上架。

在應用商店在上架之前也會進行簽名，得到了簽名之后，終端操作系統(tǒng)才能確認應用的安全性，最終用戶才能安裝、運行這些應用。

企業(yè)簽名：提供私有化部署的分發(fā)支持，支持內(nèi)網(wǎng)應用商店

考慮到各個企業(yè)的內(nèi)部軟件分發(fā)與管理的需求，統(tǒng)信UOS應用商店支持私有化的分發(fā)部署方式。

此外，統(tǒng)信UOS的應用簽名證書同時支持RSA與國密算法，在未來的空間里具有比較好的擴展性。

3、軟硬一體

統(tǒng)信軟件和處理器、固件廠商進行合作，一起推動制定了安全啟動方面的規(guī)范，實現(xiàn)了在硬件和固件層面對不同loader/kernel進行管理性的簽名校驗，從啟動時就保證了軟件的安全性。

4、其他安全措施

統(tǒng)信軟件還和安全廠商進行聯(lián)合安全攻防演練，在版本發(fā)布前和發(fā)布后的各個階段可以及時獲取安全漏洞信息，進行及時修補。

統(tǒng)信UOS還支持終端域管平臺，可以實現(xiàn)對各個終端進行安全策略的管理和集中式的分發(fā)，為用戶提供一個快捷的、統(tǒng)一的安全管理體系。

另外，統(tǒng)信UOS終端安全中心和安全應急響應中心可以支持動態(tài)的系統(tǒng)安全漏洞檢測，及時收集各種安全漏洞信息，全方位多層次的進行系統(tǒng)安全防護。

下一步，統(tǒng)信UOS計劃繼續(xù)加強應用治理和安全軟件治理。

通過沙箱機制等方式保證運行中的各應用程序之間有比較良好的隔離性。

通過探索構(gòu)建應用能力規(guī)范、弱依賴格式和應用IPC規(guī)范等方式，提升軟件權(quán)限的管理粒度，讓用戶可以更好的進行權(quán)限定制與管理，有效防止權(quán)限擴散，保證系統(tǒng)的安全性。

統(tǒng)信軟件還將繼續(xù)探索下一代固件的設計，構(gòu)建動態(tài)的軟硬件一體化的安全機制等規(guī)劃，繼續(xù)完善現(xiàn)有的安全體系設計。