信创安全 | 麒麟天御安全管控系统解决方案
点击 新型基础设施建设 并设为星标⭐️ 及时获取最新资讯
编者按:经过三十余年的不断探索,国产操作系统在易用性、稳定性和生态完善性等诸多方面,正在从“可用”向“好用”加速发展。目前以麒麟软件、飞腾、奇安信为代表的国产厂商,实现了完整的软硬件安全生态链,通过多个金融项目实践,已完全具备数据中心建设、安全防护建设、分布式核心业务建设等成体系的安全建设能力,可为金融客户提供全国产化的技术支撑和解决方案。
编辑|新型基础设施建设公众号(ID:morlight20)出品 | 安东工作室来源|麒麟软件转载|请注明出处
01
解决方案基本特点
麒麟软件作为国内领先的操作系统厂商,提供产业数字化的技术“底座”,协同合作伙伴为客户提供定制化的解决方案,助力数字新业态高质量发展。
行业应用共创解决方案合作平台不仅囊括了金融领域的关键技术和产品解决方案,也列入了基于麒麟操作系统的各类应用解决方案。在关键技术领域不断突破创新的同时,持续推动与行业应用合作伙伴的深度融合,深入用户业务场景和实际需求,坚持开放、融合的技术路线,与行业合作伙伴打造性能优化的解决方案,并结合产品深度适配、落地案例的沉淀经验进一步优化方案性能,为金融行业的创新发展提供可借鉴的思路和方案,助力金融行业用户发展。
操作系统作为基础软件中的核心构成,是金融行业各类终端设备和业务系统高效稳定运行的基座,所以金融领域对操作系统的安全及稳定性要求极高,而 Linux作为一种重要的操作系统,不仅具有高效、灵活、开放等许多的优点,同时在安全性方面也处于领先地位,在金融领域的应用越来越广泛,作用也越来越大。经过三十余年的不断探索,国产操作系统在易用性、稳定性和生态完善性等诸多方面,正在从“可用”向“好用”加速发展。
目前,国内企业已经开发出了一系列基于国产CPU和麒麟OS的自助取款机、自助存取款一体机、自助查询终端、排队机、自助缴费终端、可视柜台、智能柜台、移动柜台等终端设备,以及分布式备份平台、数字化办公系统、金融核心业务系统,证券交易系统。
信息安全对金融行业至关重要,尤其随着金融行业信息化创新工作的不断深入,金融业务模式不断创新,安全风险的形态、路径和安全边界均发生了较大变化,数据安全、隐私保护等问题更为突出且日趋复杂。传统的安全防护机制针对金融基础设施、业务系统和数据资产防护能力渐弱,无法处理的不可预知风险越来越多,因此急需构建全面的平台型、系统型金融行业安全防护体系。
金融行业信息化创新的安全体系建设,一方面要随着行业自主创新工作的开展,将金融IT基础设施、基础软件、应用软件、信息安全、业务系统等在内的信息技术和产品,变成可掌控、可研究、可发展与可生产的,实现安全创新。充分发挥国产软硬件厂商、自研单位和安全厂商的自主创新能力,针对相关产品和业务系统持续进行迁移替代、完善升级和安全加固;另一方面要将零信任架构、云原生安全、区块链、AI、大数据、隐私计算等新型技术和理念与金融行业的业务系统进行深度融合应用,综合提升风险防控水平,不断完善安全体系,做到能够对金融业务进行系统、智能、体系化地监控和防护,精准处置重点领域安全威胁,防范化解金融风险。
02
解决方案基本内容
(1)解决方案基本概述:
9月26日,国产操作系统代表企业麒麟软件重磅发布《金融行业应用解决方案白皮书》(以下简称《白皮书》)。《白皮书》共分为六个部分,以操作系统基础软件长远发展的视角,通过回顾金融行业历程、发掘产业侧技术特点、展现基础软件独特色彩提供行业成熟案例及解决方案,系统地解答上述问题为金融行业的创新发展提供了可借鉴的思路和方案。
《白皮书》指出,截至2021年年底,金融领域在操作系统、中间件、数据库、办公软件、网络安全、终端外设等应用环节均有实践落地产品和解决方案,并且在不同的金融场景都已出现较为成熟的替换技术路线。随着越来越多金融机构和科技厂商的参与,金融行业自主创新将在2022年实现全面推广,在2025年有望实现大范围应用落地。以中国电子、中国电科、华为、浪潮为代表的产业侧企业将不断打破核心技术壁垒,在国家科技创新的引领下一步步撬动技术受制于人的市场桎梏。
根据最新的网络安全等级保护标准,通过分析金融行业的安全需求,结合其业务信息的实际特性,麒麟软件在建设操作系统安全体系的同时,也在抓紧构建金融行业生态安全体系。一方面加强安全产品的研发力度,推出终端安全管控平台等产品,另外也着力完善SDK标准化接口规范,积极推动与网络安全厂商进行产品兼容适配和融合对接,紧抓行业需求痛点,打造立足全领域、全场景的联合安全解决方案。
金融行业在国外操作系统环境下终端安全管控体系为AD域与第三方安全软件结合,实现统一账号管理、病毒防护、安全策略下发等功能。随着IT信息化创新发展,用户基于国外操作系统的终端系统大量替换为以银河麒麟操作系统为代表的国产系统,为了提高银河麒麟操作系统终端安全性与管理效率,麒麟软件推出了麒麟天御安全管控系统解决方案。该方案是一款致力于终端设备监控和安全管控的平台软件,主要从“管人”和“管物”两个维度出发,提供如用户认证、软件管理、外设管控等功能,提高终端的安全性、可用性,帮助用户提升终端管理效率,及时发现和解决问题,为用户提供有力的终端安全管理保障。
为了加强与安全厂商的合作,麒麟软件持续建设和规范SDK接口体系,覆盖操作系统类接口和管控平台服务类接口。操作系统类接口包含系统基础功能、配置、UI等通用基础接口、桌面安全管理类接口以及系统自带的麒麟安全组件接口;管控平台服务类接口依托麒麟天御安全管控平台,提供如身份认证、域管理、点登录、安全策略管控、日志审计、软件管理、权限任务管理、agent组件等相关接口。通过将这些接口统一化、规范化,可以有效地将麒麟软件自身的操作系统安全、域安全管理等安全能力与安全厂商的边界安全、身份安全、端点安全、应用安全、数据安全、安全运维、云安全、物联网安全和移动安全等能力相融合,整合出零信任、数据安全治理、威胁管理、安全运营、安全访问等一系列安全联合方案,为金融行业客户提供全方位的安全保障和防护体系。
(2)解决方案总体架构
金融行业涉及领域包含银行、证券、保险、信托、期货、基金六大分类,所涉及信息系统复杂度高、专业度强以及场景种类繁多,近些年来金融业按照信息化创新产业布局将现有的业务应用场景划分为办公系统、金融机具、一般业务系统、核心业务系统四个大类,行业内各机构以此展开深入技术研究和创新工作。
(3)解决方案安全功能模块介绍
金融数据中心对于算力要求普遍较高,同时数据中心技术朝着绿色节能、高效运行、智能运维的方向发展。在数字经济加速发展的驱动下,数据中心逐步向算力中心演进。金融行业大型数据中心已基本形成了“两地三中心”的架构,实现数据中心“双活”、“多活”等形式部署,然而随着各种各样新应用迭代上线,金融数据中心需求过载、资源不足、能效较低等问题频现,与其他行业企业类似的是,金融机构对于数据中心的诉求不仅局限于通过虚拟化技术提升资源使用率和业务弹性,而是更关心在单位能耗下数据中心支撑应用所需的运算性能,对算力的需求更加突出。
操作系统是连接硬件和数据库、中间件、应用软件的纽带,向下适配硬件系统、发挥终端硬件性能,向上支撑应用软件功能、影响用户的最终体验,起到了承上启下的关键作用,是构建国产IT底层生态环境的重要组成部分。主流操作系统有Windows、Linux、MacOS等;目前国产操作系统均采用开源Linux内核。
03
提供基于操作系统安全体系的能力保障
操作系统作为基础软件中的核心构成,是金融行业各类终端设备和业务系统安全稳定运行的基座。麒麟软件从操作系统的系统安全、数据安全、网络安全、生态安全等方面构建银河麒麟操作系统安全体系。系统安全模块包括系统安全机制和应用安全加固两部分,系统安全机制提供多安全机制联合控制框架,为系统安全提供机密性和完整性保护,应用安全加固是通过设置系统安全配置、制定应用服务增强策略和提供服务安全加固等方案提高操作系统自身安全性;数据安全模块通过数据加密、数据备份等有效方法保障用户数据的机密性和安全性;网络安全模块有效保障主机在网络环境下数据传输的安全性;安全生态方面则通过与国内安全厂商相互认证与适配,提供完备可靠的操作系统安全应用生态。
通过多年的技术沉淀和艰苦研发,银河麒麟操作系统安全体系建设初见成效,可利用多种自研安全机制和安全产品,从多方面有效保障系统的安全性:
操作系统身份认证机制
身份认证是银河麒麟操作系统的主要安全机制之一,支持多种系统登录安全限制功能,加强系统登录认证的安全性。以用户UID唯一性机制,确保系统遗留用户文件的安全隔离。同时提供用户密码强度的检查方案和多种密码算法支持,为系统账户安全提供保障。
操作系统自主访问控制机制
银河麒麟操作系统遵循“Posix 1003.1e”标准,实现了基于访问控制列表(Access Control List,简称ACL)的自主访问控制策略,可以针对文件、目录、软连接等文件系统进行有效关联和权限继承配置等更细粒度的访问控制。
操作系统强制访问控制机制
为了防范系统因缺乏数据隔离的安全措施,导致应用中的安全机制被篡改或旁路,使系统安全受到威胁。银河麒麟操作系统设计实现了基于类型增强(TE)的强制访问控制策略。该强制访问控制策略针对系统主客体不同的应用划分为不同的类型域,并定义类型之间的转换规则和访问控制规则,保障系统数据的安全隔离。
KYSEC 安全机制
KYSEC是麒麟软件自主研发的一款操作系统安全防护机制,该体系在白名单控制和强制执行控制策略框架下,其主要包括应用安装控制、应用执行控制、应用联网控制、内核模块防卸载保护、进程防杀死保护、文件只读保护等安全防护策略。
操作系统可信支持
银河麒麟操作系统采用软、硬可信根的内生安全主动防御体系化设计,实现了基于可信固件、可信引导、可信计算组件和安全内核与可信驱动组成的兼容各CPU架构的安全可信体系研制。既可以基于麒麟Kysec机制实现软可信度量体系;同时也可以基于CPU或可信硬件设备实现硬可信度量。
操作系统安全审计
安全审计是银河麒麟操作系统的一个重要安全机制,它为系统进行事故原因的查询、定位、事故发生前的预测报警以及事故发生后的实时处理提供详细可靠的依据和支持。安全审计可对用户身份鉴别、自主访问控制、强制访问控制、文件、事件类型等进行审计;支持审计报警、审计查阅功能;能够保护审计数据,严格限制未经授权的用户访问;提升对审计跟踪管理功能的保护,使之可以完成审计跟踪的创建、腾空。
操作系统网络安全
银河麒麟操作系统从防火墙、网络标记、网络加密传输等多个方面保障网络安全。防火墙方面,适配了ipv4和ipv6协议的网络防火墙,提供了iptables和ip6tables机制,支持按照网络类型或自建分类来添加网络中信任的设备或允许的服务;网络标记方面,将强制访问控制扩展到不同的网络客体,通过对网络对象和网络报文进行安全标记,能够对网络应用及其数据传输实施细粒度强制访问控制;网络加密传输方面,银河麒麟操作系统提供一个可信的网络通道,即使通信内容被截获,没有相应的密钥,也不能对加密的信息解密,即实现信源加密。
操作系统数据保护
银河麒麟操作系统的数据保护主要通过“加密”和“备份”来实现,数据对象针对系统数据和用户数据。数据加密保护方面,银河麒麟操作系统支持LUKS(Linux Unified Key Setup-on-disk-format)磁盘加密技术并实现全卷加密,采用GnuPG(GPG)加密技术实现文件加密。既可以通过全卷加密,以最大化保障磁盘内数据安全,也可以通过文件加密在实现对磁盘文件加密,确保网络传输数据的加密,保障数据完整性,还可以弥补全卷加密技术对已开机状态下文件数据保护不力的问题。数据备份方面,银河麒麟操作系统提供系统级备份还原功能,通过创建还原点,实现历史节点的快速回退;当系统异常时可还原到可用的系统状态。
操作系统安全加固
银河麒麟桌面操作系统在系统安全的基础上,实现对系统配置的安全检查和应用服务加固保护功能。系统配置加固包括对系统账户安全、用户鉴别、最小化服务、数据访问控制、网络访问控制、系统日志策略、系统漏洞检查更新等方面的配置检测和安全加固保护;应用服务安全加固是指对特定的服务应用进行安全加速行业信息化创新的建议策略定制,使其必须以指定的安全属性运行,并被隔离在一个固定的域空间,实现更严谨的保护。
操作系统客体重用机制
银河麒麟桌面操作系统实现了内存和磁盘文件的客体重用。内存客体重用用于防止新主体获得先前主体残留在内存中的信息,内存客体重用在分配内存时实施,它对内存进行覆写,以达到禁止重用目的;文件客体重用用于防止在文件被删除或截断时,原有文件内容被非法访问,系统在释放磁盘数据块之前,首先覆盖数据块的内容,然后才释放,从而保证磁盘块中不会残留先前文件的内容。
沙箱保护机制
银河麒麟操作系统提供基于虚拟化的沙箱技术,通过配置,支持Firefox浏览器、Thunderbird邮件客户端等应用默认在沙箱中运行。沙箱可提供独立运行环境,限制应用对系统资源的调用与访问,提升系统安全隔离防护能力。
操作系统国密算法支撑
银河麒麟操作系统的内核算法模块、OpenSSL模块、PAM模块和Kysec模块均已完成对国密算法的支持,同时系统还支持多种硬件加密设备(如:密码机、密码卡、UKEY密码钥匙等)、可信芯片(如:TPM、TCM和TPCM)和处理器内置的国密加速引擎的SM2、SM3和SM4算法。
04
解决方案实施效果
金融行业涉及领域包含银行、证券、保险、信托、期货、基金六大分类,所涉及信息系统复杂度高、专业度强以及场景种类繁多。近些年来金融业按照信息化创新产业布局将现有的业务应用场景划分为办公系统、金融机具、一般业务系统、核心业务系统四个大类,行业内各机构以此展开深入技术研究和创新工作。
值得注意的是,目前各大金融机构网点在线自助设备,包含ATM、CRS、自助终端、排队机智能柜台等网点设备均采用通用X86技术路线,设备核心技术均非自主创新。因此,建立一套健全且安全的金融信息网络、具备安全可控的金融自助设备,成为金融行业变革的重点。
国产操作系统正不断缩小与国外主流操作系统的差距,且由于支持国密算法和可信计算技术,在安全性方面优于国外主流操作系统。国产操作系统支持飞腾、鲲鹏、龙芯、兆芯、海光、申威等国产CPU,并可与X86等主流计算芯片兼容,同时也适配阿里云、腾讯云、华为云等国内云计算平台,在算力方面给予多样性支撑。综上可知,国产操作系统已经可以真正作为“好用”的业务系统基座赋能金融行业客户。
我国从“七五规划”期间开始国内操作系统的规划,经历启蒙、发展、壮大、攻坚四个阶段;已经实现了从无到有、从不可用到可用的转变。近年来,随着中国在操作系统领域研发力度的持续加大,国内操作系统在政策和市场因素的共同推动下不断创新,技术和产品都完成了跨越式发展,相关产品在多个领域已进入核心应用架构,产品性能大幅提升。目前国产操作系统正逐步走向成熟好用的规模化阶段。
金融业自主创新整体解决方案正在逐步应用和完善,无论是底层芯片、整机终端、操作系统,还是上层云平台、数据库、中间件、应用软件,各类软硬件产品成熟度不断提升,为金融科技自主创新发展打下关键的基础。
05
解决方案实际应用案例
如某商业银行将其日常办公的非核心业务系统和金融交易的核心业务系统全部迁移到国产平台。目前该银行的非核心业务系统与核心业务系统均已开始基于ARM CPU与银河麒麟系统、达梦数据库进行适配,并对原系统进行了全面升级。
某商业银行基于银河麒麟操作系统深度适配调优,构建分布式信用卡核心业务系统,完成主机系统到分布式系统的数据迁移,并完成ARM和X86异构平台双轨运行,支撑应用层基于微服务的敏捷处理框架、数据层分布式作业海量数据处理平台。2020年11月15日正式上线运行,部署银河麒麟操作系统近500套,改造后的业务系统交易响应时间缩短了13%,系统生产平稳运行。
某国有企业充分利用分布式系统、数据分析、智能化及自动化等技术手段在金融领域的应用成果,推出了其于微服务的分布式国际结算系统,并与麒麟软件携手,推出基于银河麒麟操作系统的国产化基础软硬件环境的分布式国际结算系统解决方案。
麒麟软件作为国产操作系统厂商,目前麒麟操作系统已支撑超过百家金融机构的数字化、国产化应用。积极发展以国产操作系统为底座的云计算、大数据、人工智能新技术引领的金融行业数字化转型建设;顺应趋势,金融行业应推进操作系统国产化可行的技术路线;努力建立以软件供应链安全为基准的创新生态。
目前以麒麟软件、飞腾、奇安信为代表的国产厂商,实现了完整的软硬件安全生态链,通过多个金融项目实践,已完全具备数据中心建设、安全防护建设、分布式核心业务建设等成体系的安全建设能力,可为金融客户提供全国产化的技术支撑和解决方案。
06
解决方案联系人
——如果你觉得不错,点个在看吧。
END
点击图片查看完整内容: