几种安全操作系统介绍.docx

1中标麒麟安全操作系统V5产品类别: 服务器产品加入时间: 10/12/27说明文件:中标麒麟安全操作系统是为满足政府、军队、电力、金融、证券、涉密机构等领域，以及企业电子商务和关键应用对操作系统平台和互联网应用的安全需求开发的自主可控高等级的安全操作系统；系统关注访问控制、网络安全、数据安全、安全认证、易用的安全策略配置管理，提供可持续性的安全保障，防止关键数据被篡改被窃取，系统免受攻击；并提供针对特定应用的安全策略定制和系统定制；兼容主流的硬件和软件（包括数据库、中间件和用户应用等），保障运行于其上的关键应用能够安全、可控和稳定对外提供服务，为政府、企业等用户提供全方位的操作系统和应用安全保护。中标麒麟安全操作系统基于LSM机制的SELinux安全子系统框架，按三权分立机制提供权限集管理功能，并可根据用户需求对系统安全进行定制；系统提供统一的安全管理中心SMC，支持安全管理模式切换、核心数据加密存储、特权用户管理、基于双因子认证体系的身份鉴别、进程级最小权限、结合角色的基于类型的访问控制、网络安全防护、细粒度的安全审计、安全删除等多项安全功能，为政府和企业用户提供全方位的操作系统级安全保护。主要特性高等级安全操作系统中标麒麟安全操作系统V5严格遵照最新安全操作系统的国家标准GB/T 20272-2006技术要求和CC国际安全统一标准进行开发。该产品通过公安部信息安全产品检测中心基于GB/T 20272-2006第三级(安全标记保护级)技术要求的强制性认证，并获得销售许可证。集中式安全管理系统提供图形化、集中式的安全管理软件-安全管理中心（SMC），它不仅为管理员提供了灵活、易用、高效的安全管理界面，同时也有利于管理员对权限职责的配置和划分。SMC从主机防护、数据防护、应用防护以及网络防护四个方面对系统进行了集中式管理，其主要功能如图所示：1、身份鉴别：特权用户拥有自己的shadow机制，可以防止一般的shadow攻击来获取特权用户权限，并且可采用双因子认证进行鉴别。2、设备管理：可设置三个特权用户的角色控制mount的权限，对插入内核模块进行管理。（系统管理员使用）3、安全保密箱：存储核心数据，保护数据安全。（所有用户可使用）4、安全粉碎：彻底销毁数据，防止数据泄密。（所有用户可使用）5、安全防护：支持防病毒和其他网络安全工具（防火墙、网络扫描、网络监测等），可以使系统有效抵御网络攻高强度访问控制系统采用SELinux作为安全操作系统的子系统，并实现了高强度的强制访问控制（MAC）体制。系统管理采用三权分立机制，并提供基于数据机密性和数据完整性的信息隔离，能对抗欺骗和试图旁路安全机制的威胁，限制了因恶意代码和应用程序缺陷而造成的危害。SELinux支持多种安全策略模型，支持策略的灵活改变，使用类型增强（TE）、基于角色的访问控制（RBAC）和多级安全技术（MLS）保证系统安全。三权分立机制：将系统超级用户（root）划分为具有不同权限的三个管理员角色，即安全管理员（secadm）、系统管理员（sysadm）以及审计管理员（auditadm）。类型增强（Type Enforcement，TE）：采用SELinux的类型增强策略，将系统主客体根据不同的应用目的划分为不同的类型域，并定义类型之间的转换规则和访问控制规则，保障系统数据的安全隔离。基于角色访问控制（RBAC）：通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离，基于角色的策略极大的方便了权限管理。多级安全机制（MLS）：多级安全技术主要目的是实现系统的机密性，禁止上读下写，即保护高机密信息不能向低机密信息流动。细粒度进程管理：进程只赋予了最小运行权限，程序只能执行完成任务所需的操作。安全策略灵活配置基于Linux安全框架应用多种访问控制模型，实现动态灵活的策略配置，并提供多种图形化管理工具；支持不同安全强度的切换和认证机制；用户可以根据自己的需求定制安全策略。针对用户特定的安全需求，中标软件有限公司还提供系统定制服务。进程级独立的安全审计安全审计与安全数据库系统结合，提供进程级独立安全审计功能，包括提供审计日志、实时报警生成，潜在侵害分析、基于异常检测，基本审计查阅、有限审计查阅和可选审计查阅，安全审计事件选择，受保护的审计踪迹存储，审计数据的可用性确保，审计数据的安全备份以及审计数据的访问控制等功能。良好的兼容性中标麒麟安全操作系统V5适用于从服务器应用到桌面办公等各种环境，支持各类通用和专业应用；并内置默认的安全策略，实现系统安全和易用的结合，具有良好的软、硬件兼容性。系统支持32位 和64位应用程序，提供丰富的硬件驱动程序，中标软件有限公司还可协助第三方硬件厂商完成驱动程序的研发和移植，实现专用和特定硬件设备的支持。系统要求Pentium 4以上CPU512MB物理RAM（推荐使用1G以上RAM）6G以上可用磁盘空间800x600显示分辨率（推荐采用1024x768或更高分辨率）支持的硬件平台X86Intel X86-64（AMD64）Itanium2IBM Power系列成功应用上海市互联网信息中心杭州西软科技有限公司普华基础软件股份有限公司中国软件技术与服务股份有限公司2凝思磐石安全操作系统凝思磐石安全操作系统遵循国内外安全操作系统GB17859、GB/T18336、GJB4936、 GJB4937、GB/T20272以及POSIX、TCSEC、ISO15408等标准进行设计和实现，为我国用户提供拥有自主知识产权、高安全、高可 用和高效的操作系统平台。凝思科技经过多年的研究，开发出的凝思磐石安全操作系统具有以下主要特点.主要特点高安全性安全性是凝思磐石安全操作系统的主要特征，充分结合凝思科技的独有技术与国内外多项安全标准的要求，在操作系统和应用程序的各个层次进行安全增强，使系统成为安全的有机整体。主要安全机制有以下几点： 强制运行机制（MEC）操作系统内核监视受限进程的行为范围，防止用“代码注入”的方法获得系统的最高控制权，充分抵御网络攻击。 强制能力控制（MCC）消除系统中不受限制的进程，只赋予每个特权进程能够完成其功能的最小能力，实现“最小特权”原则。 访问控制列表（ACL）实现细粒度自主访问控制，能够以特定用户或特定组为单位分配访问许可，防止文件许可范围的不必要扩散。 强制访问控制（MAC）基于BLP模型实现，系统内核根据主客体安全属性进行访问许可决策。可有效控制敏感信息的流动，保护信息的私密性。 四权分立的系统管理为消除系统管理员带来的安全隐患，凝思磐石安全操作系统去除了系统中的超级用户，并将其权力分别分配给四个管理员进行系统管理，防止管理员的恶意或偶然操作破坏系统安全。上述安全机制的合理配置和综合应用可实现多种安全策略，有效防止网络攻击对服务器造成的破坏，防止病毒的感染和传播，避免木马植入引起的敏感信息流失，大大减少系统安全隐患，提高系统的安全性。高可用性凝思磐石安全操作系统发布前进行了长时间的压力测试，能够保证高内存和CPU负载环境下的稳定运行，为各类应用提供稳定运行平台。为进一步提高操作系统稳定性，凝思磐石安全操作系统还提供多种冗余容错机制，降低部件故障引起的整机失效。这些机制包括： 磁盘冗余技术提高软RAID技术，通过磁盘冗余减低磁盘故障引起的系统风险。支持在线重建，减少系统恢复时间，提高系统稳定性。 网卡冗余技术提供网卡的负载均衡和冗余备份，当两块网卡自身及其链路正常时，另一网卡仍可继续提供服务，提高网络的整体可靠性。 磁盘阵列卡冗余技术支持磁盘阵列卡的主备机制，当主卡或其通信链路发生故障时，凝思磐石安全操作系统将自动切换至备份卡进行设备访问，保证磁盘阵列数据的连续性。 软件固化技术支持关键操作系统数据只读存储于电子盘中，防止恶意或偶然操作破坏系统数据安全性。支持无硬盘工作模式，系统在基于电子盘的环境中运行，进一步提高系统稳定性。 双机热备和服务热切换机制支持分布式双机数据热备份和服务热切换机制，当主服务器宕机时服务将自动漂移至辅服务器，由于数据实现实时同步，在服务器单点故障时，服务仍不会终止，系统的整体稳定性得以充分保障。上述安全机制的合理配置和综合应用可实现多种安全策略，有效防止网络攻击对服务器造成的破坏，防止病毒的感染和传播，避免木马植入引起的敏感信息流失，大大减少系统安全隐患，提高系统的安全性。高兼容性凝思磐石安全操作系统系列产品包括安全服务器版、安全工作站版、安全专用设备版和安全桌面版，适用于从大型计算到桌面办公等各种环境，支持各类通用和专业应用，具有良好的软、硬件兼容性。凝思磐石安全操作系统的API接口和实用工具完全遵循POSIX标准，并支持LSB和FHS等Linux相关标准，能够进行二进制兼容各类为Linux系统 开发的应用软件，并可在二进制保持与其他Linux发行版的兼容。支持基于Java的跨平台软件，可实现基于多款中间件软件的Web应用系统。支持32位 和64位应用程序，使用户在32位系统上开发的软件可直接运行于64位系统，缩短用户应用系统的研发周期。凝思磐石安全操作系统提供丰富的驱动程序，支持各类主流磁盘驱动器、网卡驱动器和显示控制器等硬件设备。兼容国内外各大主流厂商的多款服务器和桌面计算机。凝思科技还可协助第三方硬件厂商完成驱动程序的研发和移植，实现加密卡等专用硬件设备支持。高效性凝思磐石安全操作系统的每一款产品均针对服务器、工作站、专用设备和桌面环境进行特别优化，能够获得比通用操作系统更高的运行效率。在特定项目的应用环境中，凝思科技还可针对应用系统的特性对操作系统做进一步的优化，使系统的运行效率最大化。各个操作系统内核组件的定制和优化，可充分发挥硬件平台的性能，对应用程序提供最佳支持，构建稳定和高效的计算环境。定制的内容包括： 定制和剪裁最小应用软件运行环境，保证系统组件的可控性，提高系统的运行效率和可用性。 定制进程调度策略，减少调度开销，提高操作系统和应用程序的响应速度和运行效率。 定制文件系统类型和存储模式，提供可靠和有效的文件系统支持，使应用程序能够快速访问文件数据。 定制驱动程序，实现用户程序对设备数据的快速访问，降低设备访问的系统资源开销，提高应用系统的数据处理能力。易维护性凝思磐石安全操作系统的配置、使用和维护方法与传统UNIX和Linux保持一致，提供丰富的管理和维护软件，既可通过命令行工具完成系统配置和维护，又可通过图形界面完成相关操作，简化用户操作步骤，减少系统管理员的维护工作量。支持键盘/显示器、串口和网络等多种接入方式，便于系统管理员的本地和远程管理。基于网络的远程管理支持加密通道的远程登录，可使用命令行方式管理远程系统；同时支持远程图形化管理和远程桌面重定向，为系统管理员和用户提供图形界面的系统维护和操作。服务自启动功能使系统无须人工干预即可自动进入服务提供状态，减少系统故障恢复时间，提高系统可获得性。丰富的审计日志使系统管理员能够准确分析并定位各类系统故障，为快速派出问题，恢复系统正常运行提供支持。凝思磐石安全操作系统还提供状态显示、声音报警、邮件和短信通知等多种报警机制，使系统管理员能够及时掌握系统的运行状态，第一时间获取系统紧急故障和安全性信息。3麒麟安全操作系统概述目前国内操作系统几乎都是采用国外通用操作系统，由于缺乏国内自主产权的安全操作系统，导致信息系统存在安全等级不高、安全功能不完整、安全服务不配套、安全防护强度不足等安全隐患。银麟操作系统针对网络环境下各种攻击技术的特点，开发了能有效防御缓冲区溢出攻击、病毒攻击的关键技术，并采取强制安全策略、简化安全配置等措施，大大提高了系统的安全性和易用性。KylinOS操作系统在安全设计方面采用内核与应用一体化的安全机制，采用多策略与动态策略的安全框架，支持以模块化方式实现安全策略，提供多种访问控制策略的统一平台。麒麟安全操作系统提供细粒度的自主访问控制、进程权能控制、结合角色的基于类型的访问控制、客体重用、可信路径、管理员分权、数据完整性和安全目录保护等多项安全功能，从内核到应用层提供全方位的安全防护。系统在KylinOS安全框架下实现RBA一级模块和RTE、SPD、CAP等二级模块。麒麟安全操作系统符合POSIX系列标准，并兼容Linux目标代码，Linux平台上的大型应用如图形环境、Oracle数据库服务等都可以直接运行在麒麟安全操作系统平台上，有力拓展了麒麟安全操作系统的应用面。麒麟安全操作系统符合GB/T 20272-2006 信息安全技术 操作系统安全技术要求第四级结构化保护级的要求，是目前我国通过认证的安全等级最高的操作系统。麒麟安全操作系统已广泛应用于军工、政府、金融、电力、教育、大型企业等众多领域，为我国的信息化建设保驾护航。产品路线图产品安全认证麒麟安全操作系统是目前我国通过认证的安全等级最高的操作系统，先后通过了公安部、国家测评中心等权威认证机构的安全认证。 2004年12月，麒麟安全操作系统通过了公安部计算机信息系统安全产品质量监督检验中心的结构化保护级检验，是国内第一个通过结构化保护级检验的安全操作系统，是该中心通过检验的最高安全等级的操作系统。 2005年1月，麒麟安全操作系统通过了中国信息安全产品测评认证中心的EAL3认证，也是国内第一个通过EAL3认证的安全操作系统。 2009 年3月，麒麟安全操作系统通过了公安部计算机信息系统安全产品质量监督检验中心的安全认证，符合GB/T 20272-2006 信息安全技术 操作系统安全技术要求第四级结构化保护级的要求，是目前我国通过认证的安全等级最高的操作系统。安全架构麒麟操作系统的安全架构如下图所示：RBA在控制框架下提供角色定权功能，并结合MLS、CAP、RTE 策略完成强制访问控制功能；AUDIT负责进行安全审计：启动审计服务，完成审计记录；ACL通过访问控制列表实现细粒度的自主访问控制；OBR实现内存和硬盘文件的客体重用；IDENT完成用户的身份标识与鉴别，为RBA和ACL的使用提供基础；可信路径提供安全注意键，启动可信的登录流程；Tripware为进行文件完整性检查的工具；KIC为系统强制完整性控制，实现系统的强制完整性保护；SPD对安全数据进行保护，缺省保护安全配置文件，安全管理员可以根据需要进行配置，实现对其他目录文件的安全保护功能；SMT提供安全管理工具，提供方便的安全配置与管理，包括对强制访问控制的管理，定义角色的安全策略属性，定义文件的强制访问控制安全属性，定义文件的访问控制列表，定义审计配置和审计日志文件。强制访问控制框架的目的是将访问控制实施与访问控制决策分离，访问控制实施部分由框架本身完成，并在涉及访问控制标记和决策的关键点提供一系列的钩子函数，通过这些钩子函数，由访问控制决策部分完成访问控制逻辑。通过访问控制框架，提供了以下几个好处：1)极大简化了访问控制策略的开发，访问控制策略研究人员不需要将过多的精力投入到内核的开发，而可以更加专注于访问控制逻辑本身；2)使系统支持多访问控制策略；3)使系统支持策略的灵活改变，而不需要改动内核。强制访问控制框架除了包括访问控制实施功能外，还包括安全标记、钩子函数和全局访问策略列表等组成部分。安全标记是内核对象在各个安全策略下的安全属性；全局访问策略列表是强制访问控制框架描述每个访问控制策略的关键结构，该列表中的每一项表示一个策略模块，存放策略名、钩子函数对应的真实处理函数地址等信息；钩子函数是统一的函数接口，它负责自动遍历所有安全策略模块，调用模块相应的处理函数，完成策略模块的注册、初始化和销毁、标记处理，访问控制检查和实现系统调用等功能。与其它强制访问控制框架不同的是，KACF在内核增加了角色的概念，系统用户不再直接赋予标记，而是对角色赋予标记。麒麟的角色是系统会话或进程组的固有属性，并将角色设计成所有访问控制策略的用户标记的集合。进程没有角色概念，因此角色不会直接参加访问控制决策，每个进程在执行二进制映像时，角色标记是每个访问控制策略生成进程标记的重要决定因素。这样设计的好处是：1)角色逻辑上很简单，它只是强制访问控制策略的主体标记集合，而且只影响进程标记的生成，这样角色具有非常好的可扩性，任何强制访问控制策略很容易就实现成基于角色的强制访问控制策略；2)角色成为用户权限的真正代表，用户不再直接具有强制访问控制标记，因此用户只有与角色关联，才会具有相应的强制访问控制权限，也因此，我们将系统的这种角色权限管理机制称之为角色定权机制(RBA);3)不会复杂化强制访问控制逻辑，除了进程安全标记生成逻辑介入角色因素外，没有任何逻辑的改变；4)拥有RBAC的所有优点，包括简化安全配置，基于角色的管理员分权，而且具有RBAC不具有的基于角色的多策略灵活融合的优点。KACF提供的角色相关接口有两部分：RBA主体授权函数接口和外部接口。RBA主体授权函数是依据角色确定进程权限的相关函数接口。KACF框架提供的一套外部接口，供安全管理工具使用，实现一般安全标记的管理，也实现对角色的安全标记管理。 麒麟安全操作系统在基于角色定权的访问控制框架下，实现了不同安全目的强制访问控制策略，包括：体现最小权限管理的进程权能控制策略；实现安全域隔离的基于类型的访问控制策略等。安全操作系统的所有强制访问控制都是基于角色的访问控制策略，以实现不同安全目的的。功能特点1、增强的身份认证麒麟安全操作系统采用了多种系统登录限制手段加强系统的安全性，其中最主要的手段就是通过口令和智能卡相结合的双重认证机制来判定一个用户是否是系统合法的用户。智能卡认证方式要求用户不但要知道什么（智能卡的 PIN 值），而且拥有什么（智能卡），两者缺一不可，因而称为双因素认证。麒麟安全操作系统采用基于智能卡的双因素身份认证技术，采用非对称密码算法实现认证协议，保证较高的安全性。麒麟安全操作系统基于 PAM 框架实现了基于口令和USBKey 的两种认证方式。不同的认证方式，赋予不同的权限。2、细粒度的自主访问控制自主访问控制是一种“谁能访问什么”的控制机构。麒麟安全操作系统遵循 “POSIX 1003.1e”标准，实现了基于访问控制列表（ACL）的自主访问控制策略。3、角色定权类 UNIX 操作系统中通常只有两类用户：超级用户和普通用户，超级用户具有管理系统的全部权利。一旦用户被攻破，将可能对系统造成极大的损害。麒麟操作系统引入了角色定权技术，通过角色与权限关联、用户与角色关联，实现对用户权限的设置，最终实现对主体（进程）的权限设置。与传统的 RBAC 不同，Kylin 操作系统角色定权与系统实现的强制访问控制相结合，角色的权限包含 CAP 属性和 MLS 属性，CAP 属性决定角色的特权，MLS 属性决定角色的安全级，亦即角色所代表信息的最高机密级。另外，系统中的当前角色可以影响 TE 策略下进程类型的转换。通过角色定权技术，Kylin 操作系统中不再存在无所不能的超级用户，超级用户的权限被一分为三，分别是系统管理员、安全管理员和审计管理员。系统管理员负责用户管理、网络管理等系统的日常管理工作；安全管理员负责与安全配置、管理相关的工作，包括：角色创建与删除、角色权限设置与修改、用户角色设置与修改、文件安全属性的修改以及智能卡的发放与管理等；审计管理员负责安全审计工作。4、进程权能控制目前主流的计算机操作系统都存在一个无所不能的超级用户。这个超级用户虽然为使用系统带来了极大的方便，但也是一个巨大的安全隐患。为此，人们提出了最小特权的概念，即应用或进程仅具有完成其功能所必需的权限。草案标准POSIX1003.1e所定义的权能机制正是实施最小特权的一种有效措施。麒麟安全操作系统将超级用户的特权抽象为各种各样的权能（CAP），不同的权能代表不同的特权。进程权能控制技术基本遵循posix.1e草案标准，又有所扩展，不但支持赋予进程和文件权能，还引入角色权能，使最小特权管理和操作系统的基于角色定权的强制访问控制框架融为一体，极大提高了系统的可配置性和易用性。另外，利用角色权能的概念，可以方便地将操作系统原来的超级用户划分成多个相互制约的管理员，如系统管理员、安全管理员、审计管理员等，实现管理员分权，从而大大降低超级用户所带来的安全威胁。麒麟安全操作系统的主体是进程，进程只有具有了权能，才能够代表用户进行特权操作。权能机制作为强制访问控制的一部分，挂接在基于角色定权的强制访问控制框架KACF下，通过KACF框架内的HOOK函数实现访问控制功能。用户所拥有的权能由用户所关联角色的权能决定，用户与代表用户的进程所拥有的权限由其拥有的权能决定，当用户或进程欲执行某项特权操作时，系统将检查主体是否具有相应的权能，如果具有相应的权能，则允许执行该项操作，否则拒绝。缺省情况下，普通用户和进程不具有任何权能，因此，其权限也是最低的。进程权能控制技术与角色定权技术结合，麒麟安全操作系统方便地实现了管理员分权功能。利用角色权能、进程权能和文件权能，使得不同用户执行相同的文件可能有不同的权限，同一个用户执行不同的文件也有不同的权限，从而可以明确各个进程运行时的权限，使其仅具有完成其功能所必需的能力，实现最小特权。5、类型实施强制访问控制为了保证系统安全，信息系统必须能够实施满足机密性和完整性需求的信息安全隔离。操作系统安全机制是提供这类安全隔离的基础。然而，目前大多数操作系统缺乏实施安全隔离的强有力的安全措施，导致应用中的安全机制容易被篡改或旁路，使系统安全受到威胁。为了解决这一问题，麒麟安全操作系统设计实现角色相关的基于类型的访问控制（Role Type Enforcement，TE）策略。该策略基于强制访问控制框架实现，对系统主客体根据不同的应用目的划分为不同的类型域，并定义类型之间的转换规则和访问控制规则，保障系统数据的安全隔离。RTE策略为系统中的主客体定义了类型属性，并且在类型定义的基础上定义访问控制规则和类型转换规则。主体访问客体时，策略将根据访问控制矩阵判断是否允许此次访问发生；进程改变执行映像时，将根据TE策略的类型转换规则，判断进程类型是否发生转换。为了达到根据角色对应用进行执行控制的目标，麒麟安全操作系统中RTE策略与角色定权机制相结合，针对不同角色登录情况进行不同的权限控制。初始情况下，用户登录系统时进程具有相同的类型。当用户继续执行某个具体应用时，进程类型根据当前登录的角色转换至不同类型，从而改变该进程在后续访问中所具有的权限，实现根据登录角色控制进程执行流程控制。传统RTE策略中限制对缺省类型的访问，即如果某客体为缺省类型，则不允许任何主体对该客体的任何访问，导致对系统的任何访问都需要对TE策略进行配置，否则访问就被拒绝。即便用户只需要控制某几类应用，也必须在全系统范围内进行配置，而全系统范围的策略配置必将是一项十分烦杂的工作。为此，麒麟安全操作系统将对缺省类型的访问处理为允许其访问，而对其他类型的访问则必须具有相应的访问控制规则允许。这样，用户可以集中对所需要控制的应用进行配置，而其他应用在缺省情况下即可正常运行，简化配置难度。6、多级安全多级安全技术主要目的是实现系统的机密性，禁止上读下写，即保护高机密信息不能向低机密信息流动。对系统的用户及信息进行等级划分，上级用户可以读取下级用户的机密数据与信息，而下级用户则无权读取上级的机密数据与信息，不同部门之间的用户、机密信息隔离。该策略是基于上级用户比下级用户拥有更多机密，而下级用户应该对上级用户完全透明的假定。多级安全策略基于著名的 BLP 模型，在强制访问控制框架下实现多级安全策略。在 Kylin 操作系统实现的多级安全策略（MLS）中，主体和客体均包含 MLS 安全属性标记，主体主要包括用户、角色、进程等，系统作访问控制检查时，主体就是代表用户行为的进程；客体主要包括正规文件、目录、设备文件、符号连接等。目前国际国内实现的多级安全强制访问控制机制存在的最大问题是可用性差，对于图形环境和大型应用，往往存在一些临时文件，不同安全级用户使用这些应用时，就会出现安全属性冲突，导致应用无法执行。以往解决这个问题的方法是采用多级目录，但多级目录方法在实际的系统上，配置与管理维护相当困难，离实用还有距离。为了更加符合实际使用情况，Kylin 操作系统提出了进程安全级与用户安全级分离技术，提出密级应用的概念。应用执行时，无论用户的安全级是多少，应用对应的进程安全级初始为low，当访问高安全级文件时，进程安全级在用户安全级允许的范围内调整，并满足信息流向禁止由高安全级向低安全级流动。同时提供了密级应用，用户使用密级应用创建的客体与用户当前角色的安全级相同。使用上述技术后，多级安全策略可以很好地支持图形环境和应用，同时不违背 BLP 禁止上读下写的规则。7、客体重用客体重用机制保证在主体活动结束后，主体占用的存储客体中的信息将不能被另一个主体使用。在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤消该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。麒麟安全操作系统实现了内存和磁盘文件的客体重用。内存客体重用用于防止新主体获得先前主体残留在内存中的信息。内存客体重用在分配内存时实施，它对内存进行覆写，以达到禁止重用目的。文件客体重用用于防止在文件被删除或截断时，原有文件内容被非法访问。麒麟安全操作系统在释放磁盘数据块之前，首先覆盖数据块的内容，然后才释放，从而保证磁盘块中不会残留先前文件的内容。8、可信路径可信路径能够确保用户和麒麟安全操作系统之间的通信不会被窃听和篡改。当用户登录系统时，麒麟安全操作系统提供了一条它与用户之间的可信通信路径，保证用户的帐号信息不被窃取。用户启动可信路径的方式是键入安全注意键（SAK，Secure Attention Key）。无论何时，只要用户按下 SAK 键，就会陷入 SAK 句柄。SAK 句柄挂起当前终端关联的所有进程（当然包括特洛伊木马程序），然后启动可信的登录界面。麒麟安全操作系统定义的安全注意键为“Ctrl+Alt+Pause”。9、强制完整性控制计算机信息安全除了要保护信息的机密性外，还要保护信息的完整性。文件的完整性是指文件完好无损，是完整的。一旦一个文件被替换或篡改，那么文件的完整性将受到破坏。麒麟安全操作系统实现强制完整性控制策略（KIC），在全系统内实时地保护数据的完整性。通过强制完整性控制策略，麒麟安全操作系统保证了高级别的文件、进程等不会被低级别进程破坏。系统运行时，高级别进程在执行低级别文件后会降低级别，而低完整级进程不可能通过执行文件提升自己的权限。同时，为了防止通过浏览器下载导致木马运行，麒麟安全操作系统默认通过浏览器下载的客体为不可信的，因此这类客体的级别均为最低完整级 low。任何主体不允许执行完整级为 low 的客体。如果这类客体通过认证后，认为其可信，则由安全管理员将其显式设置为其他相应的完整级别后，才允许对其执行访问。10、数据完整性检查麒麟的数据完整性重点是文件存储的数据完整性，它主要通过文件完整性检查来发现系统是否被非法篡改。文件完整性检查机制包含数字文摘数据库用于存放文件的摘要或签名，并提供数字文摘生成工具和文件完整性检查工具。系统用户使用数字文摘生成命令，通过Hash/签名算法计算文件的数字文摘/数字签名并保存在数字文摘数据库中。在操作系统空闲时，完整性检查后台进程重新计算文件的数字文摘/数字签名并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。在某些特殊情况下，系统用户也可以直接运行文件完整性检查命令，手工检查系统文件完整性是否已被破坏。11、安全审计审计是对系统中所发生的事件进行记录的一种行为，它是麒麟安全操作系统的一个重要内容，审计为系统进行事故原因的查询、定位、事故发生前的预测报警以及事故发生后的实时处理提供详细可靠的依据或支持。在麒麟安全操作系统中，安全审计机制创建和维护被保护客体的访问记录，并能阻止非授权的用户对这些记录进行访问或破坏。审计管理员可以根据系统的运行状态及当前的情况来确定需要审计的事件，使用分析软件来处理日志文件。12、安全目录保护安全目录保护（SPD：Security Protected Directory）主要针对指定的目录或者文件进行保护，实现按照角色进行访问控制授权。保护的方式包括：对角色隐藏目录或者文件；设置不同的角色对指定目录具有不同的权限。安全配置文件是Kylin安全操作系统中缺省需要保护的内容， 主要是位于/security 目录下的与角色授权、角色定义以及用户角色关联相关的配置文件等信息。因此，系统缺省只允许安全管理员访问该目录。13、应用兼容麒麟安全操作系统的生命力是否顽强，在一定程度上取决于系统是否符合国际主流标准以及上层应用是否丰富。从目前应用软件的发展来看，为Linux开发的应用程序几乎覆盖了服务器的所有应用领域，这些应用程序包括数据库、Web服务器、中间件、办公软件和各类专用软件等，甚至一些商用软件开发商，如IBM、SUN、Oracle、BEA、Legato等，也在不断为Linux开发应用程序。麒麟安全操作系统实现了对Linux目标代码的兼容，使得Linux上的丰富应用软件可以不加修改地在麒麟安全操作系统上运行。14、完善的中文支持和友好的 Windows 风格的操作使用界面麒麟安全操作系统严格遵从国家标准GB18030-2000信息交换用汉字编码字符集基本集的扩充，提供了符合国家相关标准的中文字体，支持符合GB18030标准的打印系统，具有直接使用中文TrueType字库进行打印的功能。麒麟安全操作系统采用X Window作为本系统的基本图形环境，采用Gnome作为桌面环境，提供与Windows相似的中文操作使用界面，有效降低了麒麟安全操作系统的使用难度。15、简单易用的安装系统麒麟安全操作系统提供了友好简单的图形化安装界面。麒麟安全操作系统支持图形化安装和字符化安装两种安装方式；支持光盘安装和NFS安装两种安装途径；图形化安装方式提供了详细的中文帮助信息、美观的安装界面、简洁明了的操作步骤；安装过程中能够自动建立所需的文件系统，并自动检测和配置键盘、鼠标、网卡、显示设备（显示器、显卡）等大多数常用设备；支持多操作系统引导功能；提供了完善的用户安装指南，保证普通用户能够顺利的将系统安装到计算机中，并完成必要的配置工作。技术指标产品规格4红旗安全操作系统全新的红旗安全操作系统4.0产品面向网络互联时代数据服务器的安全需求，依照最新安全操作系统国家标准GB/T 20272-2006安全标记保护级所规定的技术要求进行开发。集成的安全特性不仅能够防范来自外部网络的入侵攻击，更能够建立内部主机安全管理的策略和机制。通过在Linux内核层完备实现经典的安全策略和访问控制，包括强化身份鉴别、最小化特权、自主访问控制、强制访问控制、运行域隔离、内核级审计跟踪、加密文件系统、异常监测与报警等，能够满足政府、军队、电力、银行、证券、涉密机关，以及企业电子商务对操作系统安全和可信计算的基础需求。信息安全，源于基础不论您的信息系统运行于内网数据中心或是在Internet网络服务器上，不论您是企业、政府或是涉密部门的IT管理者，不论您要构建网站、数据库、邮件服务还是部署自有的信息系统应用，或是为构建CA中心、PKI/PMI等安全应用选择基础可信平台，红旗安全操作系统4.0所提供的强大安全功能和良好兼容性，都将为您的信息系统应用构建决定性的安全可信支撑，解决传统架构所不能解决的基础安全问题。安全运行，高枕无忧还在担心数据泄密，网站攻破，木马肆虐？红旗安全操作系统4.0内置的安全功能，将已知和未知的安全威胁拒之门外，让不轨行为原形毕露。拥有红旗安全操作系统4.0，您将：不用担心管理员致命的超级特权引发的数据泄密和破坏跟踪一切非法操作和不轨企图让病毒、恶意代码和木马程序无法运行保护系统重要配置、可执行程序和运行库不被替换对部门和用户进行等级划分和安全保护涉密应用运行域隔离发布一个永远不会被篡改的网页黑客？没听说过！全网管理，集中控制轻松一点，即刻掌控全网安全状况。红旗安全操作系统4.0最大限度地屏蔽了安全配置和管理的复杂性，提供了直观易用的本地和远程集中化安全和审计管理界面，以及人性化的操作方式。通过内置的安全和审计管理图形控制台，管理员可以在一台授信终端上同时管理上百台安全节点，如调整安全模块的运行方式，进行安全用户及文件标记管理，系统会话和资源控制，审计系统配置和审计记录查询分析，审计事件定制和运行轨迹跟踪等。高安全性与高易用性，从此取得了良好平衡。主要技术特性：高等级安全操作系统红旗安全操作系统4.0严格遵照最新安全操作系统国家标准GB/T 20272-2006技术要求开发。通过引入安全等级、安全类别等安全标记，以业内主流的TE模型、BLP模型和RBAC模型作为强制访问控制框架，实现了全部安全标记保护级(第3级)和部分结构化保护级(第4级)所要求的等级保护功能。产品于2009年9月通过公安部信息安全产品检测中心基于GB/T 20272-2006第三级(安全标记保护级)技术要求的强制性认证，并获得销售许可证。管理特权分立红旗安全操作系统4.0产品根据“最小特权”原则采用安全角色机制对超级用户的特权进行了角色划分，除日常系统管理员角色外还单设了安全管理员和审计管理员角色。系统管理员负责系统的安装、管理和日常维护，如安装软件、增添用户帐号、数据备份等。安全管理员负责安全策略的制定和执行，安全属性的维护等。审计管理员负责审计事件配置、审计数据维护、审