统信uos服务器操作系统安全使用指南发布

12月24日消息，统信软件近期发布了《统信UOS服务器安全使用指南》，统信服务器操作系统V20(简称：统信有岳，UMountain。寓意着直入云霄的山岳，为客户提供稳定可靠的数字发展基石)是一款用于构建信息化基础设施环境的平台级软件，提供全栈服务器操作系统丰富生态。统信UOS家族中的服务器UOSV20在安全方面做了大量工作，为客户的业务提供加固后的OS安全底座。

01补丁推送

服务器OS这种大型的软件系统，其包含了许多软件组件，不免出现各种问题缺陷或安全漏洞。为持续保证服务器的安全稳定运行，统信软件每21天会推送一次更新公告，包含一系列安全更新、缺陷更新等:

UTSA，UniontechSecurityAdvisory，即安全更新公告

UTBA，UniontechBugfixAdvisory,即缺陷修复更新公告

用户可以在服务器UOS中连接软件仓库，进行公告查询，补丁修复等操作。更新公告工具提供以下功能：

查询公告信息——列出已发布的公告，并可指定特定公告号进行查询，包含危险程度、公告号、CVE信息、BUG信息等。

指定CVE更新——指定公告中的某个特定CVE进行更新，将更新所有包含该CVE的多个软件包。

指定公告号更新——指定某个特定公告号进行整体更新，将更新该公告号包含的所有软件包。

对于内网用户，使用reposync将DNF远程仓库的包同步到本地目录，在本地制作远程仓库的副本，也可在内网环境中接收到补丁推送。

已发布的CVE修复信息，可在统信安全应急响应中心(USRC)进行搜索和查看。02内核热补丁机制

内核热补丁是一种在不重启操作系统或插拔内核模块的前提下，修复内核或内核模块中缺陷的一种技术。服务器UOS提供内核热补丁机制，可实现在不重启操作系统和不中断业务的前提下修改内核或内核模块中的函数，达到动态替换内核或内核模块中函数的目的。使用场景举例如下:

在操作系统出现安全漏洞时，可以将缺陷函数或者安全补丁制作成内核热补丁打入到系统中。实现业务不中断的情况下修复漏洞。

在开发内核或内核模块的过程中，需要向某个函数添加打印信息，可以通过内核热补丁的形式实现，而不需要重新编译内核或内核模块、安装、重启。03系统安全软件UHarden

统信系统安全软件(简称：统信有固，UHarden)，是统信软件自研的安全加固和安全配置工具。统信有固可以一键开启三权分立、完整性度量等安全模块；并允许用户一键切换系统安全等级。

UHarden遵照《GB/T20272-2019操作系统安全技术要求》和《GB/T22239-2019网络安全等级保护基本要求》进行设计，提供多级别的安全加固方案(低、标准、严格等)，初始默认“标准”级别，用户也可根据需求一键切换到其他系统安全等级。并且UHarden适配了CentOS7/8，为停服背景下，使用CentOS7/8为底座的业务环境进行安全加固，进一步提高系统安全。04安全运行环境UOE

统信安全运行环境软件(简称：统信有全，UOE)，是统信软件自研的安全隔离环境软件。它允许开发者在统信服务器操作系统V20上直接运行一个Linux环境，包括运行命令行工具、组件和应用等。

UOE非常轻巧，用户可以轻松运行数十个实例，并对其进行管理。05全栈国密

统信软件遵循《GM/T0028-2014密码模块安全技术要求》设计要求，设计UOS密码模块。统信软件提供全栈国密方案，系统内置完整的国密基础设施，支持开箱即用的国密基础设施和应用开发工具包。包括：

内核模块签名——调用国密算法，实现对内核模块签名

IMA安全机制——使用国密算法改造IMA签名方式

开源软件改造——使用国密算法对9个基础组件进行改造

国密站点访问——实现通过OpenSSL访问国密证书站点

安装器改造——安装器支持国密算法加密06等保2.0

统信UOS是业界率先通过等保2.0最新标准020272-2019信息安全技术操作系统安全技术要求》(第四级)的产品。统信服务器操作系统V20满足等保四级，实现身份鉴别、访问控制、安全审计、可信验证等等保要求。07内核安全接口USKI

统信内核安全接口(UniontechSecurityKernelInter-face,简称：USKI)，提供以LKM(LoadableKernelModule)形式动态构造第三方安全模块的接口。作为内核安全机制的一部分，USKI对外提供第三方安全模块接口，USKI对三方安全模块进行安全检查，成功注册的三方安全模块与内核编译阶段选定的安全模块功能无异。

USKI对外提供简洁的hook注册/注销接口，该接口面向安全开发厂商或有安全运维能力的用户，用户仅需要按照开发规范调用接口完成注册。

客户基于uos-kernel开发的应用，只需要适配USKI接口，无需考虑内核版本变化和相关依赖内核的接口API变动。并且即使相关内容发生变动，客户应用也无需重新适配升级。大大提高了客户的开发效率，以及与UOS的应用兼容性。USKI具备以下优点：

高兼容——基于uos-kernel开发，适配USKI接口的应用，无需考虑之后内核版本变化和相关依赖内核的接口API变动。

易扩充——支持同时运行多个安全模块，易于扩充。

易理解——接口简洁，易于理解和使用。

模块化——便于以模块方式开发安全模块，易于开发和调试。

轻量级——性能开销低，基于LSMLinux安全模块)实现，运行高效。08UOS主动安全防护计划UAPP

为更好地推动信息技术应用创新网络安全产业发展，保障网络安全，提升基础软件安全防护水平，统信软件与工业和信息化部网络安全技术与产业发展重点实验室，共同联合国内多家头部安全厂商全面发布UOS主动安全防护计划UAPP(UOSActiveProtectionsProgram)，打造具备世界顶级安全水平的操作系统。

安全应用持续兼容子计划——制定安全接口标准与规范，帮助安全厂商提升安全应用持续兼容能力。

安全响应子计划——帮助安全伙伴提前获得漏洞信息，便于更快速的提供安全更新。

计算机病毒信息共享子计划——基于安全伙伴的核心安全能力赋能，提升操作系统防护能力水平。

，以上功能均已在近期发布的统信服务器操作系统V20(1050u2)商业版上实现，除此之外还有其他安全改进，如支持UEFI安全启动、文件保险箱、防火墙和杀毒、Rust重写基础组件等等。