近期,统信UOS携手openEuler社区成功打造了创新性动态完整性度量技术。该技术能够有效地检测针对内存代码段的恶意注入或篡改等各种攻击行为,为系统安全注入了全新的活力,也为广大客户构建了一个更加安全可靠的数字底座。
提升数据安全 需要一场变革
在数字化时代,数据的完整性不仅是企业运营的基石,也是个人隐私的守护者。在数据传输和存储过程中,为了确保数据不被篡改、损坏或意外修改,操作系统需要具备全面的防护措施和机制。因此,数据完整性保护技术迅速崛起并得以广泛应用。
数据完整性保护技术旨在解决数据非授权篡改问题。它从系统启动到运行的整个过程中,逐级对各个组件进行完整性校验,并最终构建一条端到端的完整性信任链路。根据所保护对象的不同,完整性保护技术可细分为静态完整性保护和动态完整性保护。
静态完整性保护是对静态数据(如程序文件等)进行度量或校验,目前业界已有相对成熟的安全启动、可信启动和IMA等技术可供使用。
然而,对于存储于内存中的动态数据,目前还缺乏有效的保护措施。同时,在《信息安全技术网络安全等级保护要求》中,也提出了对应用程序进行动态可信验证的要求。因此,我们迫切需要一种能够对动态数据进行度量和保护的技术。
统信UOS保障数据无忧
随着信息产业的快速发展,为了应对日益增长的数据安全挑战,统信UOS基于openEuler社区的DIM(Dynamic Integrity Measurement)开源特性进行了进一步的探索和研发,最终打造了动态完整性度量技术,以确保动态数据的完整性。
该技术作为操作系统的基础安全机制,能够对用户态进程、内核模块和内核的代码段进行全面的完整性度量,从而判断存储在内存中的数据是否遭到了恶意篡改。
通过使用该技术,我们可以有效地检测出可能的攻击行为,并及时采取相应的对策,以确保操作系统免受未经授权的破坏或篡改。
动态完整性度量技术采用了双模块度量架构,即dim_core和dim_monitor。
dim_core和dim_monitor模块均提供了对内存数据的度量功能,它们具备两个核心流程,即动态基线流程和动态度量流程。
- 动态基线流程:通过dim_core模块读取并解析策略和静态基线文件,对目标进程执行代码段度量,并将度量结果以动态基线的形式存放在内存中。然后,将动态基线数据和静态基线数据进行对比,并将对比结果记录在度量日志中。同时,dim_monitor模块会对dim_core模块的代码段和关键数据进行度量,并将度量结果作为动态基线,然后记录在度量日志中。
- 动态度量流程:通过dim_core和dim_monitor模块对目标进程执行度量操作,并将度量结果与动态基线值进行对比。如果对比结果不一致,系统会将这些度量结果记录在度量日志中。
dim_core负责度量用户配置的目标内存数据;dim_monitor负责度量dim_core的代码段和关键数据,一定程度上可防止由于dim_core被篡改而导致度量功能失效。
积极贡献开源 共建自主生态
作为中国操作系统领域的开拓者和领军者,统信软件一直积极拥抱开源、贡献开源,致力于推进自主操作系统的开源生态建设,为世界提供更加丰富多样的选择。
作为openEuler社区理事会成员单位,统信软件以极大的热情和积极的姿态深度融入社区发展,同心共建充满创新力的生态系统。统信软件在技术委员会、品牌委员会和用户委员会中都有专职人员支持社区发展,展示了对社区建设的高度重视。
此次,统信软件更是把最新研发的动态完整性度量技术同步到了openEuler社区,旨在融合更多的创新思维和开源力量,为客户提供更加安全可靠的操作系统。这一举措不仅将为客户带来更好的使用体验,还将推动自主操作系统的发展和壮大。
更多详情请参见:
https://gitee.com/openeuler/dim
https://gitee.com/openeuler/dim_tools
目前,统信软件已完成动态完整性度量相关软件包的集成,并计划在2024年的统信UOS服务器版(1070)版本中正式亮相,敬请期待!
统信UOS服务器版汲取国内外主流社区技术栈优势,深入技术底层结合国内外设计标准与规范以及各类客户业务应用需求,积极开展技术创新,全面支持国内外主流CPU架构和处理器厂商,在各种应用环境中,满足强安全、高稳定、高性能、易维护以及泛兼容等要求,是一款构建信息化设施环境的基础软件产品:
◈强安全:
- 等保四级GB/T 20272-2019认证
- 商密二级GM/T 0028认证
- 全栈生态链支持国密
- 国际知名安全社区OpenSCAP官方首批支持的中国操作系统
- 21天推送一次补丁更新,每周进行漏洞修复推送
◈高稳定:
- 稳定版 Linux 4.19&5.10双内核
- 热补丁升级机制
- LTP 7*24小时测试用例通过率超98%
- 长时高负荷运行,卸荷后60秒内实现系统及各应用流畅运行
◈高性能:
- 内存拷贝页技术,拷贝性能提升超70%,满并发优化提升10%
- 多种自研性能优化成果:文件读写性能提升4%、调度延迟减少10%、多并发锁竞争场景性能提升5%……
- 相比同类产品,UnixBench等测试全面领先
◈易维护:
- 提供自研统信服务器系统迁移软件有易
- 提供自研统信服务器运维监管平台有幄
- 提供面向场景的AI系统调优能力
◈泛兼容:
- 历史版本兼容性>98%,提供平滑升级方案
- 组件模块化设计,为用户最大限度解决底层依赖问题
- 全面通过整机适配兼容性测试(多种不同型号的整机)
统信软件服务器操作系统与云计算产线总经理孟杰表示,动态完整性度量技术的成功研发是对客户需求的真实反馈,也进一步证明了统信软件在安全技术领域的强大实力。未来,我们将继续秉持开放合作的理念,与各界合作伙伴共同推动技术的创新和发展,为客户提供更加优质的解决方案和服务。
©统信软件技术有限公司。访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。除此以外,将本网站任何内容或服务进行转载,须备注:该文档出自【faq.uniontech.com】统信软件知识分享平台。否则统信软件将追究相关版权责任。
