統信服務器操作系統 V20 (簡稱：統信有岳，UMountain

　　12 月 24 日消息：統信軟件近期發布了《統信 UOS 服務器安全使用指南》，統信服務器操作系統 V20 (簡稱：統信有岳，UMountain。寓意著直入云霄的山岳，為客戶提供穩定可靠的數字發展基石) 是一款用于構建信息化基礎設施環境的平臺級軟件，提供全棧服務器操作系統豐富生態。統信 UOS 家族中的服務器 UOS V20 在安全方面做了大量工作，為客戶的業務提供加固后的 OS 安全底座。

　　01 補丁推送

　　服務器 OS 這種大型的軟件系統，其包含了許多軟件組件，不免出現各種問題缺陷或安全漏洞。為持續保證服務器的安全穩定運行，統信軟件每 21 天會推送一次更新公告，包含一系列安全更新、缺陷更新等:

　　UTSA，Uniontech Security Advisory，即安全更新公告

　　UTBA，Uniontech Bugfix Advisory, 即缺陷修復更新公告

　　用戶可以在服務器 UOS 中連接軟件倉庫，進行公告查詢，補丁修復等操作。更新公告工具提供以下功能：

　　查詢公告信息 —— 列出已發布的公告，并可指定特定公告號進行查詢，包含危險程度、公告號、CVE 信息、BUG 信息等。

　　指定 CVE 更新 —— 指定公告中的某個特定 CVE 進行更新，將更新所有包含該 CVE 的多個軟件包。

　　指定公告號更新 —— 指定某個特定公告號進行整體更新，將更新該公告號包含的所有軟件包。

　　對于內網用戶，使用 reposync 將 DNF 遠程倉庫的包同步到本地目錄，在本地制作遠程倉庫的副本，也可在內網環境中接收到補丁推送。

　　已發布的 CVE 修復信息，可在統信安全應急響應中心 (USRC) 進行搜索和查看。

　　02 內核熱補丁機制

　　內核熱補丁是一種在不重啟操作系統或插拔內核模塊的前提下，修復內核或內核模塊中缺陷的一種技術。服務器 UOS 提供內核熱補丁機制，可實現在不重啟操作系統和不中斷業務的前提下修改內核或內核模塊中的函數，達到動態替換內核或內核模塊中函數的目的。使用場景舉例如下:

　　在操作系統出現安全漏洞時，可以將缺陷函數或者安全補丁制作成內核熱補丁打入到系統中。實現業務不中斷的情況下修復漏洞。

　　在開發內核或內核模塊的過程中，需要向某個函數添加打印信息，可以通過內核熱補丁的形式實現，而不需要重新編譯內核或內核模塊、安裝、重啟。

　　03 系統安全軟件 UHarden

　　統信系統安全軟件 (簡稱：統信有固，UHarden)，是統信軟件自研的安全加固和安全配置工具。統信有固可以一鍵開啟三權分立、完整性度量等安全模塊;并允許用戶一鍵切換系統安全等級。

　　UHarden 遵照《GB / T 20272-2019 操作系統安全技術要求》和《GB / T 22239-2019 網絡安全等級保護基本要求》進行設計，提供多級別的安全加固方案 (低、標準、嚴格等)，初始默認“標準”級別，用戶也可根據需求一鍵切換到其他系統安全等級。并且 UHarden 適配了 CentOS 7/8.為停服背景下，使用 CentOS 7/8 為底座的業務環境進行安全加固，進一步提高系統安全。

　　04 安全運行環境 UOE

　　統信安全運行環境軟件 (簡稱：統信有全，UOE)，是統信軟件自研的安全隔離環境軟件。它允許開發者在統信服務器操作系統 V20 上直接運行一個 Linux 環境，包括運行命令行工具、組件和應用等。

　　UOE 非常輕巧，用戶可以輕松運行數十個實例，并對其進行管理。

　　05 全棧國密

　　統信軟件遵循《GM / T 0028-2014 密碼模塊安全技術要求》設計要求，設計 UOS 密碼模塊。統信軟件提供全棧國密方案，系統內置完整的國密基礎設施，支持開箱即用的國密基礎設施和應用開發工具包。包括：

　　內核模塊簽名 —— 調用國密算法，實現對內核模塊簽名

　　IMA 安全機制 —— 使用國密算法改造 IMA 簽名方式

　　開源軟件改造 —— 使用國密算法對 9 個基礎組件進行改造

　　國密站點訪問 —— 實現通過 OpenSSL 訪問國密證書站點

　　安裝器改造 —— 安裝器支持國密算法加密

　　06 等保 2.0

　　統信 UOS 是業界率先通過等保 2.0 最新標準 020272-2019 信息安全技術 操作系統安全技術要求》(第四級) 的產品。統信服務器操作系統 V20 滿足等保四級，實現身份鑒別、訪問控制、安全審計、可信驗證等等保要求。

　　07 內核安全接口 USKI

　　統信內核安全接口 (Uniontech Security Kernel Inter- face, 簡稱：USKI)，提供以 LKM (Loadable Kernel Module) 形式動態構造第三方安全模塊的接口。作為內核安全機制的一部分，USKI 對外提供第三方安全模塊接口，USKI 對三方安全模塊進行安全檢查，成功注冊的三方安全模塊與內核編譯階段選定的安全模塊功能無異。

　　USKI 對外提供簡潔的 hook 注冊 / 注銷接口，該接口面向安全開發廠商或有安全運維能力的用戶，用戶僅需要按照開發規范調用接口完成注冊。

　　客戶基于 uos-kernel 開發的應用，只需要適配 USKI 接口，無需考慮內核版本變化和相關依賴內核的接口 API 變動。并且即使相關內容發生變動，客戶應用也無需重新適配升級。大大提高了客戶的開發效率，以及與 UOS 的應用兼容性。USKI 具備以下優點：

　　高兼容 —— 基于 uos-kernel 開發，適配 USKI 接口的應用，無需考慮之后內核版本變化和相關依賴內核的接口 API 變動。

　　易擴充 —— 支持同時運行多個安全模塊，易于擴充。

　　易理解 —— 接口簡潔，易于理解和使用。

　　模塊化 —— 便于以模塊方式開發安全模塊，易于開發和調試。

　　輕量級 —— 性能開銷低，基于 LSM Linux 安全模塊) 實現，運行高效。

　　08 UOS 主動安全防護計劃 UAPP

　　為更好地推動信息技術應用創新網絡安全產業發展，保障網絡安全，提升基礎軟件安全防護水平，統信軟件與工業和信息化部網絡安全技術與產業發展重點實驗室，共同聯合國內多家頭部安全廠商全面發布 UOS 主動安全防護計劃 UAPP (UOS Active Protections Program)，打造具備世界頂級安全水平的操作系統。

　　安全應用持續兼容子計劃 —— 制定安全接口標準與規范，幫助安全廠商提升安全應用持續兼容能力。

　　安全響應子計劃 —— 幫助安全伙伴提前獲得漏洞信息，便于更快速的提供安全更新。

　　計算機病毒信息共享子計劃 —— 基于安全伙伴的核心安全能力賦能，提升操作系統防護能力水平。

　　了解到，以上功能均已在近期發布的統信服務器操作系統 V20 (1050u2) 商業版上實現，除此之外還有其他安全改進，如支持 UEFI 安全啟動、文件保險箱、防火墻和殺毒、Rust 重寫基礎組件等等。