●操作系统高安全等级
严格遵照可信计算技术规范(TCM/TPCM、TPM2.0)、GB/T 20272-2006技术要求和国际CC标准等进行研制开发。通过操作系统安全的国家标准GB/T 20272-2006第四级(结构化保护级)测评认证。
中标麒麟可信操作系统软件V6.0参考ISO9001质量管理标准、CMMI5研发过程管理标准研制;产品符合POSIX标准。
●安全功能和机制全面
基于LSM的安全子系统框架,提供基于三权分立机制的多项安全功能,包括身份鉴别、自主访问控制、强制访问控制、数据机密性和完整性保护、安全标记、可信路径、安全审计等。针对不同的应用场景,系统支持细粒度的强制访问控制SELinux和轻量级强制访问控制SMACK。
高安全性实现机制包括:强制运行机制、强制能力机制、访问控制列表、管理员三权分立、多因子认证、运行域隔离、数据保护机制等。
强制运行机制:通过强制访问控制、多级安全和类型标记等功能机制实现防止用恶意的方法获得系统的最高控制权限,充分防止网络攻击。。
强制能力控制:实现进程级的强制访问控制,彻底消除系统不受限制的进程,赋予进程最小运行权限。
访问控制列表:支持自主问控制和强制访问控制,提供细粒度访问控制,以角色、类型或特定用户和特定组为单位分配访问许可,防止权限扩散。
管理员三权:从底层内核设计实现系统的三权分立,三个管理员实现系统管理(系统管理员、安全管理员、审计管理员),且相互制约;消除超级用户;防止恶意破坏操作系统的安全。
多因子认证:支持USBKey或可信芯片和密码结合的双因子认证实现强身份认证。
运行域隔离:对系统中的所有文件进行划分安全等级和标记,并定义各个安全域的授权访问策略,使得外来的恶意程序因为受限而无效。
数据保护:提供安全保密箱功能,在不对应用程序产生任何影响的情况下,实现对应用数据的加密存储。
通过性能对比测试,安全机制全开情况下,中标麒麟可信操作系统软件V6.0性能影响小于10%。
●系统高可用性强
中标麒麟可信操作系统软件V6.0结合高可用集群软件,具有热备、互备能力,当单点服务器发生故障时,热备/互备服务器能够自动接管相应的服务,并可按照工作方式切换,如主-备方式、双主机方式。
支持磁盘冗余实现高可用,减少系统恢复时间提高可靠性;支持网卡冗余功能,供网卡绑定、负载均衡和冗余备份,提高网络整体可靠性;支持磁盘阵列冗余,支持主机备份,保证磁盘阵列数据连续性;支持软件固化,可将关键的数据存储于电子盘中,提高稳定性。
推荐使用中标麒麟高可用集群软件和中标麒麟可信操作系统软件配套使用。
●系统管理配置灵活,可维护性好
内置主流数据库、中间件和应用服务器的安全策略,同时提供多种图形化安全策略配置和管理工具;基于图形化的安全控制中心实现系统安全可信功能模块化的集中配置和管理,界面友好,简洁易用;用户可以方便快捷完成系统的安全管理。
支持对集群系统的统一监控和管理;提供安全检测和报警功能,对各种安全异常事件进行实时监测,为事故发生前的预测、报警及事故发生后事故原因的查询、定位、追寻提供详细、可靠的依据和支持;提供通过命令行工具完成系统配置和维护;提供通过图形界面完成系统配置和维护;提供审计管理工具,增强对审计数据的保护,提供灵活的审计记录检索和查看功能。
●可信计算实现内核级
国内首款全面支持TCM/TPCM和TPM2.0可信计算规范的可信操作系统,支持通用和专用可信密码芯片/模块;通过中标软件可信度量模块CTMM(CS2C Trusted Measure Module)提供可信引导和可信运行控制等功能;通过信任链的创建传递过程,实现对平台软硬件的完整性度量。
基于可信的白名单管控,实现对系统硬件、软件和关键文件的完整性保护。
通过可信网络连接技术,实现终端设备的可信接入。对接入设备和用户通过硬件标识进行身份识别和认证。
提供基于可信芯片的上层可信功能(认证、加密、签名等)和图形化的可信管理中心。
实现信任链从物理主机到虚拟化平台的拓展,提供对虚拟机的完整性度量。
支持专用可信密码模块,并实现了x86向龙芯、申威等自主平台可信服务器的功能移植。
●软硬件兼容性好
支持通用、专用的可信密码模块/芯片和国产可信固件;
支持Intel x86-64(AMD64)、海光和兆芯平台;
兼容主流的服务器、存储和数据库、中间件、高可用集群软件等。
服务器:浪潮、曙光、华为、联想、宝德和DELL、HPE、IBM、Intel等。
数据库:达梦、金仓、神通、南大通用和Oracle、IBM、Sybase等。
中间件:东方通、中创、金蝶、普元和Oracle、IBM等。
云平台:中标麒麟虚拟化平台软件、华为FusionSphere、华三CAS等。
支持主流高可用集群软件,包括中标麒麟、ROSE、Lifekeeper等。
支持主流虚拟化软件,如VMware、KVM、Hyper-V等。
支持主流通用服务器和工作站硬件设备,如国产CPU平台和UKey、加密卡/加密机、国产TCM/TPCM芯片和TPM2.0等。
支持基于Java的跨平台软件,可实现基于多款中间件软件(如WebLogic)的Web应用系统、数据库(如Oracle 11g)等。