行业资讯

中标麒麟操作系统简介

2017-08-24 13:59:56 176

中标麒麟操作系统采用强化的Linux内核,分成桌面版、通用版、高级版和安全版等,满足不同客户的要求,已经广泛的使用在能源、金融、交通、政府、央企等行业领域。中标麒麟增强安全操作系统采用银河麒麟KACF强制访问控制框架和RBA角色权限管理机制,支持以模块化方式实现安全策略,提供多种访问控制策略的统一平台,是一款真正超越"多权分立"B2级结构化保护操作系统产品。

中标麒麟增强安全操作系统从多个方面提供安全保障,包括管理员分权、最小特权、结合角色的基于类型的访问控制、细粒度的自主访问控制、多级安全(即禁止上读下写)等多项安全功能,从内核到应用提供全方位的安全保护。

中标麒麟安全操作系统符合Posix系列标准,兼容联想、浪潮、曙光等公司的服务器硬件产品,兼容达梦、 人大金仓数据库、湖南上容数据库(SRDB) Oracle9i/10g/11gOracle 9i/10g/11g RAC数据库、IBM WebsphereDB2 UDB数据、MQBea WeblogicBakBone备份软件等系统软件

品牌历程

品牌产生

20101216日,两大国产操作系统--民用的"中标Linux"操作系统和解放军研制的"银河麒麟"操作系统,在上海正式宣布合并,双方今后将共同以"中标麒麟"的新品牌统一出现在市场上,并将开发军民两用的操作系统。

两大操作系统的开发方中标软件有限公司和国防科技大学同日缔结了战略合作协议。双方今后将共同开发操作系统,共同成立操作系统研发中心,共同开拓市场,并将在"中标麒麟"的统一品牌下发布统一的操作系统产品。

政策支持

201010月确定的核高基项目名单中"中标麒麟"共计获得了约2.5亿元的"核高基"专项经费,名列基础软件扶持资金第一。按照"核高基"政策规定,项目所在地上海市也将按照1:1的比例拿出不少于此的资金扶持。而另一大国产操作系统厂商中科红旗也获得了为数不少的"核高基"经费支持。"核高基"是对核心电子器件、高端通用芯片及基础软件产品的简称,是2006年国务院发布的《国家中长期科学和技术发展规划纲要(2006-2020)》中与载人航天、探月工程并列的16个重大科技专项之一。

本次"核高基"项目的确定再次给国产操作系统提供了大笔资金支持。

企业拿到这笔"核高基"资金后需要承担更高的考核目标压力,负责核高基实施的中央部委要求国产操作系统厂商尽快实现产业化目标,卖多少套产品出去,实现多少产值,并形成一定的市场竞争力。这一考核目标为期两年,并在"十二五"计划时重新评定项目。

"国产操作系统确实迎来了一个很好的发展机遇。" 中标软件总经理、国家"核高基"专家组成员韩乃平20101216日接受采访时表示。

企业合作

201482日,戴尔宣布与国内操作系统厂商中标软件有限公司签署合作协议,计划在戴尔商用电脑系列产品预装中标麒麟(NeoKylin)操作系统。戴尔表示,首批预装中标麒麟的产品包括戴尔Latitude商用笔记本电脑、OptiPlex商用台式机电脑、Precision工作站等终端产品。随着合作的深入,戴尔陆续将该操作系统预装延伸至其他产品线包括Vostro系列等

系统特点

优化和加固的Linux 2.6内核技术:

全面改善内存、CPU(多内核系统)、输入输出和网络(IPV4/IPV6)的性能和可扩展性。

全面的审计能力:

能够记录整个系统的活动以及对整个系统所进行的修改(比如,对文件系统操作、进程系统调用、用户更改密码等操作、添加/删除/更改账户和更改配置等。

Unix的互操作性:

支持最新的AutoFSNFSv4,可与Sun SolarisHP-UXIBM AIXUNIX系统共享映射。

Microsoft Windows的互操作性:

Samba提供了与微软Windows文件和打印(CIFS)系统互用的功能,更好的集成和高度兼容,并与微软活动目录有更好的集成。

安全技术特点

KACF强制访问控制框架:

除了包括访问控制实施功能外,还包括安全标记、钩子函数和全局访问策略列表等组成部分,与其它强制访问控制框架不同的是,KACF内核增加了角色的概念,系统用户不再直接赋予标记,而是对角色赋予标记。

管理员分权:

将传统主流操作系统的root的管理功能分解为多个角色,它们分别是:系统管理员、安全管理员和安全审计员。基于RBA机制,系统还可以灵活地定义出更多的特色管理员,所以称为"超三权"分立。

细粒度的自主访问控制:

传统的 UNIX 文件权限模式是一种控制粒度很粗的 DAC 机制。它将用户分为文件属主、同组用户和其它三类,分别指定读、写、执行权限。文件的拥有者无法指定文件只被某个具体的用户或某几个具体的用户所组成的组所访问。麒麟安全操作系统设计实现了符合国际标准的基于访问控制列表(ACL)的自主访问控制策略。

进程权能控制:

进程只有具有了权能,才能够代表用户进行特权操作。权能机制作为强制访问控制的一部分,挂接在基于角色定权的强制访问控制框架 KACF 下。利用角色权能、进程权能和文件权能,使得不同用户执行相同的文件可能有不同的权限,同一个用户执行不同的文件也有不同的权限,从而可以明确各个进程运行时的权限,使其仅具有完成其功能所必需的能力,实现最小特权。

类型实施强制访问控制:

为了保证系统安全,信息系统必须能够实施满足机密性和完整性需求的信息安全隔离,麒麟安全操作系统设计实现角色相关的基于类型的访问控制(Role Type EnforcementTE)策略。该策略基于KACF强制访问控制框架实现,对系统主客体根据不同的应用目的划分为不同的类型域,并定义类型之间的转换规则和访问控制规则,保障系统数据的安全隔离。

客体重用:

 中标麒麟操作系统安装实现了内存和磁盘文件的客体重用。内存客体重用用于防止新主体获得先前主体残留在内存中的信息。内存客体重用在分配内存时实施,它对内存进行覆写,以达到禁止重用目的。在释放磁盘数据块之前,首先覆盖数据块的内容,然后才释放,从而保证磁盘块中不会残留先前文件的内容。

强制完整性控制

在全系统内实时地保护数据的完整性。通过强制完整性控制策略,麒麟安全操作系统保证了高级别的文件、进程等不会被低级别进程破坏。系统运行时,高级别进程在执行低级别文件后会降低级别,而低完整级进程不可能通过执行文件提升自己的权限。

多级安全:

多级安全技术主要目的是实现系统的机密性,禁止上读下写,即保护高机密信息不能向低机密信息流动。为了更加符合实际使用情况,麒麟提出了进程安全级与用户安全级分离技术,提出密级应用的概念,在整个安全框架内,比其他产品更容易实现BLP规则。

安全审计:

安全审计机制创建和维护被保护客体的访问记录,并能阻止非授权的用户对这些记录进行访问或破坏。审计管理员可以根据系统的运行状态及当前的情况来确定需要审计的事件,使用分析软件来处理日志文件。