- 论坛徽章:
- 6
|
强林系列之——Chini 安全操作系统
产品简介
强林Chini-Linux安全操作系统借鉴国际最新安全操作系统研究设计思想,结合自主信息安全技术,从系统的整体安全性出发,在操作系统内核、用户管理、日志审计、系统应用等多个方面,对安全性进行了全面地增强和改造,最新版本安全性已达到了我国计算机信息系统安全保护等级划分准则第三级(B1级操作系统标准),产品具有卓越的性能、良好的实用性和兼容性,在操作系统核心结构的层次上,为用户应用软件和信息系统提供强大的安全基础支持。我们之所以给它命名为“强林Linux安全操作系统”,是衷心地希望它能在强手如林的信息安全界脱颖而出,为广大用户的信息系统建设提供安全的操作系统平台。
研发背景
操作系统安全是长期困扰我国信息安全界的两大难题之一 。本公司的控股单位信息产业部电子第三十研究所作为国内最早引入TCSEC概念的研究机构,在80年代就开始了操作系统安全的研究,先后承担了:
国家863信息安全应急启动项目“操作系统安全技术”研究项目
国家863信息安全技术主题“安全增强操作系统”研究项目
国家计委“增强型安全操作系统高技术产业化示范工程”项目等
在国内发布了第一个安全操作系统—强林Linux1.0版,并于2000年产品先后获得了:
国家公安部颁发的计算机信息系统安全专用产品“销售许可证”证书
中国国家信息安全测评认证中心颁发的“产品质量证书”
中国人民解放军信息安全测评中心颁发的“军用信息安全产品”认证证书
产品特色
◆安全的登录认证方式
产品采用了先进的智能(IC)卡,USB Key等安全介质对用户登录进行控制,安全介质中记录了用户信息,PIN密码以及计算机随机产生的密钥,无论用户是本地登录或远程登录,任何一种方式下,都需要发卡中心发放的硬件令牌(IC卡或USB Key)和合法帐号及口令。
在用户认证方法上,采用了高强度随机数密钥加密,大大加强了系统的安全性。系统上不再保存用户密码,从根本上克服了仅凭口令登录的弱点。系统同时还支持对用户登录时间,登录主机范围进行控制。
◆IPSEC提供网络安全功能
用户可以选择国际标准加密算法或者主管部门审批的自主加密算法对网络上传输的IP数据包进行加密传输。系统提供的IPSEC支持系统主机与主机之间,主机和网关之间以及网关和网关之间等多种连接方式,使计算机在任何情况下都保证对网络IP层上的数据进行安全传输,并提供了IPSEC图形化配置工具,避免记忆众多复杂的配置命令。
◆安全的审计系统
强林Linux安全审计在Linux日志系统的基础上,采用密码体系中的认证技术,在系统产生日志文件的同时产生相应的完整性保护文件,给系统的审计分析提供可靠,真实的分析数据。
安全审计系统由审计程序,验证程序和日志文件分析程序组成,审计程序收集系统有关的事件,产生预定的日志文件和验证文件;验证程序实现对审计程序所产生的日志文件完整性检验;日志文件分析程序对日志文件进行分析处理。审计程序将为您的每一条日志信息与前一条信息做相关运算,防止对审计记录的篡改。系统采用了高强度的加密处理,保障日志信息的完整性。
◆通用的加密接口
在核心层和用户层都提供了通用的加密接口,该接口是应用程序和算法模块之间的桥梁,算法模块可选择国际标准算法或主管部门批准的自主加密算法,支持软件或硬件加/解密算法。应用软件开发商无需精通密码学知识就可以在应用程序中实现加密功能,同时还支持用户现场替换算法模块。
◆来自核心深处的保护
系统的安全功能深入到Linux的内核,各种特权的控制都在内核中判断和完成。系统控制每一个用户程序对系统调用的访问,为系统中每一个用户,每一个可执行的程序分配其系统调用的访问权限,并且和现有的所有程序兼容。这样,即可以很好地控制进程和用户的权限,又不妨碍用户使用系统现有的功能,从而使系统安全性进一步得到提高,ChiniLinux操作系统核心在安全方面有如下几个增强功能:
系统审计
强林安全操作系统目前支持最多可达64种系统审计事件,是由操作系统核心产生的审计信息,对系统中的敏感操作均可做审计记录。系统和用户各有一个审计事件Mask,系统的Mask级别高于用户,不论系统审计事件是否开启,用户所有的操作均进入审计记录。
细致的访问控制表(ACL)
强林安全操作系统支持对文件,目录的ACL访问控制,比传统UNIX的“OWNER/GROUP/OTHER”访问模式更加细致、控制更加灵活,可以指定单个用户,单个组对文件,目录的访问模式,能满足更复杂运用环境的需求。
强制访问控制(MAC)[ ChiniLinux2.0(B1)版特有 ]
强林安全操作系统支持强制访问控制(MAC),最多可以支持256个敏感级别和64个类别集合。
用户的MAC标签由安全管理员设置,具有当前MAC标签和允许的最大MAC标签,用户以当前MAC标签进入系统,必要的时候可以改变MAC标签。系统以当前MAC标签作为访问控制判断的依据,符合匹配规则则允许访问,否则拒绝访问。同时,为了保证系统的兼容性,系统启动时不为任何文件、用户设置MAC标签,系统启动后MAC标签的设置由系统安全管理员决定。客体(OBJECT)的拥有者/创建者,不能再随心所欲的指定用户(进程)对该客体的访问模式,而是由系统的安全策略强制指定,只有在MAC和自主访问控制(DAC)都满足的条件下才能对客体进行访问,高安全级的信息不能流向低安全级的进程,系统的安全性得到大大的加强。
◆确保数据不被修改
为了确保操作系统关键数据不被非法修改,系统提供了完整性保护功能,它是系统管理员和用户用于监视被指定保护文件或目录是否发生改变的完整性检测工具,利用这个工具可以检测系统被保护文件是否遭到恶意的破坏,包括文件的删除,添加和修改。
◆安全文件系统
在操作系统中构造了安全文件系统,该文件系统对所有文件进行加密处理,使用户的文件系统更加安全,即使硬盘丢失,也不会泄漏任何信息,从而彻底保证用户数据安全。由于安全文件系统的容器文件是受相互独立口令保护,使得它对应用程序透明、具有良好的兼容性,核心加密技术的高效率使得在安全文件系统上的读写与在普通文件系统上几乎没有差别。
支持的数据库产品:Oracle 8i, IBM DB2 V7.3、MySQL3.23、PostgresSQL、Infomix
支持的开发工具:附带多种高级语言,如C/C++、JAVA(支持J2EE和JSP)、Perl、PHP4、Python等
支持的其他应用:Lotus Notes,Weblogic,Tomat等JSP应用服务器
安全接口:提供具有自主知识产权及专利的,方便用户开发安全应用软件
产品系列:
强林安全操作系统2.0(C2版) 强林安全操作系统2.0(B1版) 强林安全操作系统3.0(B2版)
典型应用
◆ 基于强林Linux安全操作系统的网络服务器
在信息化日益普及的今天,政府、企业、部门上网和办公自动化越来越普及,对用户而言就面临着投入成本与产出效益的矛盾,同时也面临着效率的提高和信息安全风险的增加的矛盾,如何解决这些矛盾,基于强林Linux安全操作系统的低成本、高效、安全的Internet/Intranet解决方案为您找到了适当的平衡点。
强林Linux安全操作系统提供丰富的网络服务,支持大量网络应用,可以为用户构建软件防火墙、WWW服务器、EMAIL邮件服务器、DNS域名服务器、FTP文件传输服务器、数据库服务器、文件打印及共享服务器等。 |
|
免费注册
发表于 2003-07-04 10:34
