强基铸魂 长扬安全操作系统赋能行业“信创”

一、概述

2020年12月，CentOS社区宣布CentOS服务器操作系统8和7系列分别于2021年底和2024年6月底停止服务。停服将导致系统安全漏洞无社区支持，给部署在服务器上的业务系统带来严重的安全隐患。安全层面：漏洞更新停止，关键漏洞无法及时修复，安全和维护服务缺位，业务系统安全得不到有效保障。维护层面：社区版本缺少持续维护支持；突发故障处理与业务系统扩展功能适配存在较大风险。

对于广泛使用存量运行 CentOS 系统的用户而言，这样的事实可能引来连带影响。如果系统因为一些 bug 导致不稳定、宕机甚至不可用的情况，很难获得及时修复。同时，由于潜在的安全漏洞没有及时修复，这些漏洞可能对使用 CentOS 的用户，特别是企业用户的系统安全和数据安全构成重大威胁。

操作系统负责管理计算机的硬件资源、软件资源和数据资源，向下同硬件进行通信，向上供用户交付使用。如果想要上层用户软件高效运行同时确保信息的完整性和安全性，都需要操作系统来提供底层支撑。为了加强我国操作系统技术与产业实力，助力提升网络空间竞争力，为行业信创落地实施、实现网络强国战略添砖加瓦，长扬软件推出了长扬安全操作系统，并陆续迭代更新至3.0版本。

图1 产品界面

二、长扬安全操作系统

长扬安全操作系统是国内首批基于国产CPU整机平台送测通过公安部操作系统等级保护第四级（结构化保护级 GB/T 20272-2019）的自主型安全操作系统产品，该产品基于国内主流操作系统社区同源开发，全面支持 CentOS/Ubuntu应用生态迁移适配，源代码可控，自主研发，并且通过了信通院泰尔实验室“自主自研”测评；首批通过了《信息技术 中文编码字符集（GB18030-2022）》3级测评。

长扬安全操作系统依据GB/T 20272-2019 第四级结构化保护级需求，对安全子系统、可信子系统和国密算法子系统进行了深入研究及代码实现。

图2 系统结构

（一）安全子系统

为了从根本上完善系统安全措施，针对网络化环境下信息安全攻击技术特点，研究能有效防御缓冲区溢出攻击、病毒攻击的特色技术,并采取缺省安全、简化安全配置等措施，增强安全操作系统的易用性，保障信息处理系统的安全。在安全设计方面采用内核与应用一体化的安全机制，采用多策略与动态策略的安全框架，支持以模块化方式实现安全策略，提供多种访问控制策略的统一平台。长扬安全操作系统从多个方面提供安全保障，提供了身份认证、细粒度的自主访问控制、安全标记、最小特权、客体重用、可信路径、三权分立、强制访问控制和安全审计等安全功能，为用户提供了从内核到应用的全方位安全防护。

安全子系统主要包括如下几个模块：

1.身份认证模块

验证主体的身份，使用唯一标识符识别，系统依据这个标识才能进行各种访问控制。

2. 访问控制列表模块

针对每个客体对象，通常为文件或目录，按三类用户来设置访问许可权，这三类用户是“拥有者’、“拥有者用户组’和“其它’。需要该权限的用户或用户组获得其不应拥有的权限。

3. 用户能力模块

能力模块，包括用户能力的设置和动态调整，并提供外部接口。

4. 细粒度强制访问控制

针对系统所有进程和文件的控制，支持IACRBAC、MLS相结合的安全策略。

5. 安全审计

审计系统提供了一种记录系统安全信息的方法，为审计管理员在用户违反系统安全法则时提供及时的警告信息。审计系统可以将记录系统内部发生的事件的信息根据用户的需求，提供不同的报表功能，从而实现对系统信息的追踪、审查、统计和报告等功能。

6. 可信路径

可信路径确保用户通过和TSF直接交互来执行功能。可信路径通常用于初始标识和/或鉴别这样的用户行为，但也可用在用户会话的其他时机。用户响应经过可信路径时，保证不会被不可信应用修改或泄漏给它。

7. 禁止客体重用

通过内存申请时覆盖实现禁止内存客体重用，提供磁盘擦写工具实现禁止磁盘客体重用。

8. 加密文件系统

加密文件系统建立在已存在文件系统上的栈，利用国密TPM2.0 和国密算法，处理数据的加密和解密对应用程序透明。

（二）可信子系统

可信子系统为系统提供可信保护能力，支持基于可信芯片的可信引导、可信启动、可信验证、可信路径和可信恢复。可信子系统模块设计包含可信密码模块硬件适配、可信计算系统核心模块和应用可信支撑机制三个模块。

可信密码模块硬件适配包括硬件平台适配和可信密码模块设备驱动适配，实现各类硬件平台驱动开发和优化。硬件平台适配实现基于国产 CPU 架构平台上的可信计算芯片驱动适配。

可信计算系统核心模块由可信引导、可信内核等安全度量组成，这些可信设施可以有效确保系统基础安全可信。安全度量是应用可信的保证和支撑，度量判读应用或文件完整性的主要部件。

应用可信支撑在两个可信操作系统之间提供一条可信通信信道，其在逻辑上与其他通信信道隔离，并能保护通信数据免遭修改、泄露。可信网络基于 TNC 协议规范，实现IMC与IMV 插件，可直接被符合 TNC 规范的插件、客户端、服务端调用。

（三）国密算法子系统

为增强操作系统密码服务的安全性，实现密码算法的自主可控，将国密算法默认集成到操作系统中，在内核层支持国密算法，在应用层OpenSSL支持国密算法调用，从而为系统安全全面提供国密算法支撑。

长扬软件依托操作系统核心安全专家和密码专家团队，对国密算法和系统内核进行了深入研究，实现国密算法与操作系统原有算法的无缝对接，主要在内核加密 API 和上层密码算法库 OpenSSL 处融入国密算法，将原有系统密码服务兼容国密算法，提升系统整体安全防护能力。同时，在硬件芯片中，系统使用了国密技术提供的 TPM2.0芯片，该芯片支持 SM2、SM3 和 SM4 等国密算法。确保系统使用的一切密钥,都通过存储在该可信芯片中的根密钥进行加密保护，保证密钥的安全可信。

三、系统应用场景

长扬安全操作系统广泛应用于冶金、智能制造、石油石化、电力、烟草、金融、教育、医疗等领域的服务器、控制终端、上位机/下位机、安全设备、工控系统等场景，打造工业控制自主可控信息技术体系和产业生态。长扬安全技术团队对底层的核心安全问题进行了深度的研究和探索，验证了一系列的系统安全机制，并构建了操作系统全生命周期的安全模型。操作系统版本维护团队目前已建立并形成独立版本维护体系，可根据行业/用户需要通过自动化版本编译形成专用化产品版本，版本自主化能力通过了公安部现场评测。组建了国内顶尖的技术服务团队，可为用户提供全生命周期的技术服务。研发团队具备安全漏洞分析、修复和持续改进能力，并通过信通院认证。

四、产品生态

长扬安全操作系统生态链不断完善。不仅能兼容X86、ARM等国外CPU架构，同时还能兼容国内主流的飞腾、海光、鲲鹏、龙芯、申威等CPU芯片；兼容国内外主流的数据库、中间件；兼容行业主流的软硬件；同时适配国内主流的整机。

五、小结

长扬软件将不断钻研，持续为应用合作伙伴提供更完善的生态、更安全的策略服务、更专业的定制安全操作系统和更核心的共享式联调联试服务。