软件说明
凝思磐石安全操作系统遵循国内外安全操作系统GB17859、GB/T18336、GJB4936、 GJB4937、GB/T20272以及POSIX、TCSEC、ISO15408等标准进行设计和实现,为我国用户提供拥有自主知识产权、高安全、高可用和高效的操作系统平台。凝思科技经过多年的研究,开发出的凝思磐石安全操作系统具有以下主要特点:
- 高安全性
安全性是凝思磐石安全操作系统的主要特征,充分结合凝思科技的独有技术与国内外多项安全标准的要求,在操作系统和应用程序的各个层次进行安全增强,使系统成为安全的有机整体。主要安全机制有以下几点:
- 强制运行机制(MEC)
操作系统内核监视受限进程的行为范围,防止用“代码注入”的方法获得系统的最高控制权,充分抵御网络攻击。
- 强制能力控制(MCC)
消除系统中不受限制的进程,只赋予每个特权进程能够完成其功能的最小能力,实现“最小特权”原则。
- 访问控制列表(ACL)
实现细粒度自主访问控制,能够以特定用户或特定组为单位分配访问许可,防止文件许可范围的不必要扩散。
- 强制访问控制(MAC)
基于BLP模型实现,系统内核根据主客体安全属性进行访问许可决策。可有效控制敏感信息的流动,保护信息的私密性。
- 四权分立的系统管理
为消除系统管理员带来的安全隐患,凝思磐石安全操作系统去除了系统中的超级用户,并将其权力分别分配给四个管理员进行系统管理,防止管理员的恶意或偶然操作破坏系统安全。
上述安全机制的合理配置和综合应用可实现多种安全策略,有效防止网络攻击对服务器造成的破坏,防止病毒的感染和传播,避免木马植入引起的敏感信息流失,大大减少系统安全隐患,提高系统的安全性。
- 高可用性
凝思磐石安全操作系统发布前进行了长时间的压力测试,能够保证高内存和CPU负载环境下的稳定运行,为各类应用提供稳定运行平台。
为进一步提高操作系统稳定性,凝思磐石安全操作系统还提供多种冗余容错机制,降低部件故障引起的整机失效。这些机制包括:
- 磁盘冗余技术
提高软RAID技术,通过磁盘冗余减低磁盘故障引起的系统风险。支持在线重建,减少系统恢复时间,提高系统稳定性。
- 网卡冗余技术
提供网卡的负载均衡和冗余备份,当两块网卡自身及其链路正常时,另一网卡仍可继续提供服务,提高网络的整体可靠性。
- 磁盘阵列卡冗余技术
支持磁盘阵列卡的主备机制,当主卡或其通信链路发生故障时,凝思磐石安全操作系统将自动切换至备份卡进行设备访问,保证磁盘阵列数据的连续性。
- 软件固化技术
支持关键操作系统数据只读存储于电子盘中,防止恶意或偶然操作破坏系统数据安全性。支持无硬盘工作模式,系统在基于电子盘的环境中运行,进一步提高系统稳定性。
- 双机热备和服务热切换机制
支持分布式双机数据热备份和服务热切换机制,当主服务器宕机时服务将自动漂移至辅服务器,由于数据实现实时同步,在服务器单点故障时,服务仍不会终止,系统的整体稳定性得以充分保障。
上述安全机制的合理配置和综合应用可实现多种安全策略,有效防止网络攻击对服务器造成的破坏,防止病毒的感染和传播,避免木马植入引起的敏感信息流失,大大减少系统安全隐患,提高系统的安全性。
- 高兼容性
凝思磐石安全操作系统系列产品包括安全服务器版、安全工作站版、安全专用设备版和安全桌面版,适用于从大型计算到桌面办公等各种环境,支持各类通用和专业应用,具有良好的软、硬件兼容性。
凝思磐石安全操作系统的API接口和实用工具完全遵循POSIX标准,并支持LSB和FHS等Linux相关标准,能够进行二进制兼容各类为Linux系统 开发的应用软件,并可在二进制保持与其他Linux发行版的兼容。支持基于Java的跨平台软件,可实现基于多款中间件软件的Web应用系统。支持32位 和64位应用程序,使用户在32位系统上开发的软件可直接运行于64位系统,缩短用户应用系统的研发周期。
凝思磐石安全操作系统提供丰富的驱动程序,支持各类主流磁盘驱动器、网卡驱动器和显示控制器等硬件设备。兼容国内外各大主流厂商的多款服务器和桌面计算机。凝思科技还可协助第三方硬件厂商完成驱动程序的研发和移植,实现加密卡等专用硬件设备支持。
- 高效性
凝思磐石安全操作系统的每一款产品均针对服务器、工作站、专用设备和桌面环境进行特别优化,能够获得比通用操作系统更高的运行效率。
在特定项目的应用环境中,凝思科技还可针对应用系统的特性对操作系统做进一步的优化,使系统的运行效率更大化。各个操作系统内核组件的定制和优化,可充分发挥硬件平台的性能,对应用程序提供更佳支持,构建稳定和高效的计算环境。定制的内容包括:
- 定制和剪裁最小应用软件运行环境,保证系统组件的可控性,提高系统的运行效率和可用性。
- 定制进程调度策略,减少调度开销,提高操作系统和应用程序的响应速度和运行效率。
- 定制文件系统类型和存储模式,提供可靠和有效的文件系统支持,使应用程序能够快速访问文件数据。
- 定制驱动程序,实现用户程序对设备数据的快速访问,降低设备访问的系统资源开销,提高应用系统的数据处理能力。
- 易维护性
凝思磐石安全操作系统的配置、使用和维护方法与传统UNIX和Linux保持一致,提供丰富的管理和维护软件,既可通过命令行工具完成系统配置和维护,又可通过图形界面完成相关操作,简化用户操作步骤,减少系统管理员的维护工作量。
支持键盘/显示器、串口和网络等多种接入方式,便于系统管理员的本地和远程管理。基于网络的远程管理支持加密通道的远程登录,可使用命令行方式管理远程系统;同时支持远程图形化管理和远程桌面重定向,为系统管理员和用户提供图形界面的系统维护和操作。
服务自启动功能使系统无须人工干预即可自动进入服务提供状态,减少系统故障恢复时间,提高系统可获得性。
丰富的审计日志使系统管理员能够准确分析并定位各类系统故障,为快速派出问题,恢复系统正常运行提供支持。
凝思磐石安全操作系统还提供状态显示、声音报警、邮件和短信通知等多种报警机制,使系统管理员能够及时掌握系统的运行状态,第一时间获取系统紧急故障和安全性信息。