超级军网麒麟的官方反击-----麒麟操作系统层次式内核简介
来源:百度文库 编辑:超级军网 时间:2024/04/28 18:28:15
http://bbs.lemote.com/viewthread.php?tid=24361&extra=&highlight=&page=1
麒麟操作系统借鉴了 Linux、FreeBSD、Mach和 K42 等操作系统内核技术 ,结合高性能计算、网络服务、 安全应用的需求 ,兼顾宏内核和微内核结构的优点 ,充分利用当今CPU多态的支持 ,自主设计了层次式内核结构 ,
该结构由基本内核层和系统服务层组成 ,如图1所示。基本内核层包括硬件初始化、 基本任务管理、 基本存储管理、 中断与异常处理等。基本内核层向下提供对硬件平台的抽象管理 ,向上为系统服务层提供任务管理、 中断处理、 存储管理等功能。基本内核层采用模块化设计 ,具有结构清晰、 模块间依赖关系较弱、 代码精简等特点 ,便于操作系统内核的维护和移植。
系统服务层基于 FreeBSD进行改进和优化 ,为用户提供工业标准的网络、 文件系统等服务接口 ,实现了Linux二进制兼容模块、 高可用模块和各种内核安全机制等 ,充分利用BSD操作系统的稳定性和丰富的工业标准接口。
核外工具环境基于Linux开发 ,采用 X2Window作为系统的基本图形环境 ,支持 Gnome 或 K DE桌面环境 ,设Windows风格的桌面环境和控制面板 ,提供简单友好的安装界面 ,支持基于BP S结构的图形化管理工具。
与传统的微内核结构不同 ,麒麟操作系统的基本内核层运行在 0 态 ,系统服务层运行在 1 态 ,核外工具环境运行在3态 ,这种新的三态内核结构充分利用了 CPU 的保护技术 ,保证了系统的安全性 ,提高了系统的性能。
麒麟层次式内核结构设计兼顾了宏内核和微内核结构的优点,具有可扩展性好、 安全性强、 高可用等优点。层次式内核结构与硬件相关部分是在基本内核层实现的 ,并采用模块化设计思想 ,便于移植到新的硬件平台。与微内核操作系统不同 ,麒麟的基本内核层提供了较丰富的接口原语 ,可根据需要灵活支持系统服务层 ,并可与未来的可信硬件平台
有机结合 ,形成自主的可信平台。目前国际上正基于微内核技术或虚拟机技术构建可信的操作系统平台 ,如 Stanford大学的 Terra 微软的NGSCB 等。随着网络时代服务器 “集约化” 的发展趋势 ,课题组将基于麒麟特有的层次式内核结构 ,在动态资源管理、 系统高可用、 高安全等方面开展工作 ,力争早日实现具有自己特色的高可信网络化服务器操作系统平台
http://bbs.lemote.com/viewthread.php?tid=24361&extra=&highlight=&page=1
麒麟操作系统借鉴了 Linux、FreeBSD、Mach和 K42 等操作系统内核技术 ,结合高性能计算、网络服务、 安全应用的需求 ,兼顾宏内核和微内核结构的优点 ,充分利用当今CPU多态的支持 ,自主设计了层次式内核结构 ,
该结构由基本内核层和系统服务层组成 ,如图1所示。基本内核层包括硬件初始化、 基本任务管理、 基本存储管理、 中断与异常处理等。基本内核层向下提供对硬件平台的抽象管理 ,向上为系统服务层提供任务管理、 中断处理、 存储管理等功能。基本内核层采用模块化设计 ,具有结构清晰、 模块间依赖关系较弱、 代码精简等特点 ,便于操作系统内核的维护和移植。
系统服务层基于 FreeBSD进行改进和优化 ,为用户提供工业标准的网络、 文件系统等服务接口 ,实现了Linux二进制兼容模块、 高可用模块和各种内核安全机制等 ,充分利用BSD操作系统的稳定性和丰富的工业标准接口。
核外工具环境基于Linux开发 ,采用 X2Window作为系统的基本图形环境 ,支持 Gnome 或 K DE桌面环境 ,设Windows风格的桌面环境和控制面板 ,提供简单友好的安装界面 ,支持基于BP S结构的图形化管理工具。
与传统的微内核结构不同 ,麒麟操作系统的基本内核层运行在 0 态 ,系统服务层运行在 1 态 ,核外工具环境运行在3态 ,这种新的三态内核结构充分利用了 CPU 的保护技术 ,保证了系统的安全性 ,提高了系统的性能。
麒麟层次式内核结构设计兼顾了宏内核和微内核结构的优点,具有可扩展性好、 安全性强、 高可用等优点。层次式内核结构与硬件相关部分是在基本内核层实现的 ,并采用模块化设计思想 ,便于移植到新的硬件平台。与微内核操作系统不同 ,麒麟的基本内核层提供了较丰富的接口原语 ,可根据需要灵活支持系统服务层 ,并可与未来的可信硬件平台
有机结合 ,形成自主的可信平台。目前国际上正基于微内核技术或虚拟机技术构建可信的操作系统平台 ,如 Stanford大学的 Terra 微软的NGSCB 等。随着网络时代服务器 “集约化” 的发展趋势 ,课题组将基于麒麟特有的层次式内核结构 ,在动态资源管理、 系统高可用、 高安全等方面开展工作 ,力争早日实现具有自己特色的高可信网络化服务器操作系统平台
银河麒麟是国际上第一个通过Free Standards Group组织LSB认证的非Linux内核操作系统,也是我国第一个通过结构化保护级、EAL3安全保证级和军队B+级安全认证的操作系统。银河麒麟在政务、金融和军队等行业得到广泛应用,典型应用包括:陕西省建行特色业务平台、腾讯QQ堂游戏服务器系统,华北电力电网实时数据管理与综合数据挖掘系统、湘财证券网上行情系统、蓬莱电子政务系统、天津市高等教育自学考试信息管理系统,沈阳军区信息发布系统、商务部援外出口,出口埃及, 列入商务部援外操作系统名录,所有援外服务器必须预装麒麟操作系统
麒麟这个系统还不错,服务器领域的,非民用。
此消息来自5月13日法新社,现编译如下,仅供参考。
美国《华盛顿时报》(The Washington Times)星期二报道说,为了防范黑客攻击,中国在政府部门和军队系统部署了全新开发的“麒麟操作系统”(Kylin),这是一种完全独立于 Linux, UNIX和 Windows的全新操作系统,能够有效防范美国军方和情报部分侵入中国敏感信息系统。
这是美国信息安全专家Kevin Coleman上周在美国国会就网络安全问题举行的听证会上透露的消息。《华盛顿时报》的报道中说,这是一种全面改进的系统,尤其在网络技术方面安全性能大为提升。Kevin Coleman说:“这种操作系统为网络访问提供了硬件密钥,单纯依靠黑客程序已经无法侵入该系统。”他说:“这具有重大意义,意味着美国军方和情报部门已经无法通过网络间谍程序对中国实施监视。”
Kevin Coleman向《华盛顿时报》表示,中国从2001年开始研发麒麟操作系统,到2007年政府部门和军队系统已经部署完毕。这种全新的操作系统对基于Linux,UNIX和 Windows系统的病毒和间谍程序具有完全免疫力。如果没有硬件密钥,外部计算机根本无法进入该系统。
随着网络攻击案件的增多,各国政府对信息系统安全性的重视程度也开始增多。中国军方早在数十年前就意识到使用微软 Windows操作系统的安全风险。
Kevin Coleman说,中国政府部门和军队系统的内部网络完全不同于当今使用最广泛的国际互联网,两者之间是完全断开的,这意味着常见的网络攻击、木马程序和计算机病毒等对其完全无效。他说,这是一种为防范战争或其他特殊情况而采取的策略,在安全性能上中国的麒麟操作系统已经完全可以与美国和俄罗斯的计算机系统相媲美(此消息来自法新社)。
====这种全新的操作系统对基于Linux,UNIX和 Windows系统的病毒和间谍程序具有完全免疫力。如果没有硬件密钥,外部计算机根本无法进入该系统。
硬件密钥支持好像在免费版上没有吧
美国《华盛顿时报》(The Washington Times)星期二报道说,为了防范黑客攻击,中国在政府部门和军队系统部署了全新开发的“麒麟操作系统”(Kylin),这是一种完全独立于 Linux, UNIX和 Windows的全新操作系统,能够有效防范美国军方和情报部分侵入中国敏感信息系统。
这是美国信息安全专家Kevin Coleman上周在美国国会就网络安全问题举行的听证会上透露的消息。《华盛顿时报》的报道中说,这是一种全面改进的系统,尤其在网络技术方面安全性能大为提升。Kevin Coleman说:“这种操作系统为网络访问提供了硬件密钥,单纯依靠黑客程序已经无法侵入该系统。”他说:“这具有重大意义,意味着美国军方和情报部门已经无法通过网络间谍程序对中国实施监视。”
Kevin Coleman向《华盛顿时报》表示,中国从2001年开始研发麒麟操作系统,到2007年政府部门和军队系统已经部署完毕。这种全新的操作系统对基于Linux,UNIX和 Windows系统的病毒和间谍程序具有完全免疫力。如果没有硬件密钥,外部计算机根本无法进入该系统。
随着网络攻击案件的增多,各国政府对信息系统安全性的重视程度也开始增多。中国军方早在数十年前就意识到使用微软 Windows操作系统的安全风险。
Kevin Coleman说,中国政府部门和军队系统的内部网络完全不同于当今使用最广泛的国际互联网,两者之间是完全断开的,这意味着常见的网络攻击、木马程序和计算机病毒等对其完全无效。他说,这是一种为防范战争或其他特殊情况而采取的策略,在安全性能上中国的麒麟操作系统已经完全可以与美国和俄罗斯的计算机系统相媲美(此消息来自法新社)。
====这种全新的操作系统对基于Linux,UNIX和 Windows系统的病毒和间谍程序具有完全免疫力。如果没有硬件密钥,外部计算机根本无法进入该系统。
硬件密钥支持好像在免费版上没有吧
国产LINUX系统在金融领域的重大应用示范”课题深入研究了基于中标普华LINUX和银河麒麟操作系统的大规模银行应用程序跨平台移植技术及系统集成技术,形成了基于国产操作系统的面向金融领域的整体解决方案。
该课题移植开发了基于国产LINUX系统的建设银行前端软件版本,并在建行陕西省分行、山西省分行、海南省分行得到大规模地应用。课题移植开发的基于中标普华LINUX和银河麒麟操作系统的陕西省建行中间业务和电话银行服务系统,移植开发的基于银河腾跃服务器和银河麒麟操作系统的特色业务系统,在建行陕西省分行成功投入生产应用。该课题完成的整体解决方案和示范平台第一次在金融领域完全采用自主知识产权的国产操作系统、硬件设备和网络设备,首开国产软硬件全面替代国外同类产品之先河。
目前,中国建设银行陕西省分行428个营业网点的3600多个柜员的柜面业务,9个地市的电话银行、中间业务均采用中标普华国产LINUX操作系统。大前置主机、前置机服务器、网络设备分别采用银河腾跃超级服务器、浪潮服务器、华为交换机和路由器,服务器均采用银河麒麟国产服务器操作系统。国产软硬件在金融领域重大应用示范的成功,标志着国产软硬件已全面进入到银行的核心业务系统,为国产软硬件产品进入金融、证券、保险、电信等行业开辟了新纪元,对中国信息产业的发展具有重要的社会和经济意义
该课题移植开发了基于国产LINUX系统的建设银行前端软件版本,并在建行陕西省分行、山西省分行、海南省分行得到大规模地应用。课题移植开发的基于中标普华LINUX和银河麒麟操作系统的陕西省建行中间业务和电话银行服务系统,移植开发的基于银河腾跃服务器和银河麒麟操作系统的特色业务系统,在建行陕西省分行成功投入生产应用。该课题完成的整体解决方案和示范平台第一次在金融领域完全采用自主知识产权的国产操作系统、硬件设备和网络设备,首开国产软硬件全面替代国外同类产品之先河。
目前,中国建设银行陕西省分行428个营业网点的3600多个柜员的柜面业务,9个地市的电话银行、中间业务均采用中标普华国产LINUX操作系统。大前置主机、前置机服务器、网络设备分别采用银河腾跃超级服务器、浪潮服务器、华为交换机和路由器,服务器均采用银河麒麟国产服务器操作系统。国产软硬件在金融领域重大应用示范的成功,标志着国产软硬件已全面进入到银行的核心业务系统,为国产软硬件产品进入金融、证券、保险、电信等行业开辟了新纪元,对中国信息产业的发展具有重要的社会和经济意义
麒麟3.0,采用Linux
http://www.kylin-os.com/products/
简介
结构化保护级KYLIN Linux安全操作系统应用场景
2009年04月08日
打补丁、补漏洞是我们通常对操作系统提升安全能力的主要手段,但是这些都属于“事后行为”。许多业内专家都有这样的共识,“亡羊补牢”即“事后防范”造成的损失可能是“事前防范”所投资金额的几十倍,甚至更多,有些核心机密数据的丢失将无法用金钱衡量,甚至造成一些恶劣的影响。所以,部署一个具有结构化保护级的操作系统,可以显著改善系统运营的安全性。
麒麟Linux安全操作系统具备结构化保护能力,这个能力通俗地说,就是将系统的权限或者权能分配得更细,相互制约,不能“一股独大”。利用角色权能、进程权能和文件权能,使得不同用户执行相同的文件可能有不同的权限,同一个用户执行不同的文件也有不同的权限,从而可以明确各个进程运行时的权限,使其仅具有完成其功能所必需的能力,实现最小特权。
基于麒麟Linux安全操作系统的这种最小特权的设计思想,我们就可以将root用户的权限划分得更小,而“缓冲区溢出攻击”,通常是利用了应用软件的漏洞获得了超能力权限而对系统进行攻击攻击,而麒麟可以把root权限降到最低,即使黑客拿到root用户,也无法达到攻击目的,从而保护系统。
当然,麒麟的结构化保护能力不仅仅只削弱root权限,还有更多实用安全技术可以帮助用户构筑“坚不可摧”的系统。我们根据实际用户实际实用整理几个典型的应用场景。
一、削弱超级用户权限,避免系统管理员信息泄密
权威安全专家分析,近年来许多企事业单位的设计文档泄密、用户数据泄密、业务数据泄密等信息泄密事件许多都是系统管理员(root)泄密造成的,使用麒麟可以将root用户设计成不参与业务数据管理的模式,而核心业务数据可以按照数据的种类划分对应的专门的数据管理员管理,通过审计管理员监督和记录系统行为,真正做到技防。
二、限定业务进程权限,避免木马植入泄密
木马植入,可能是软件公司无意造成的,也可能是出于某些利益有意设计的,发现的时候可能已经造成损失。虽然,可以要求ISV提供所有的源代码,但是,一个大型业务系统动辄数十万行代码,复杂的技术处理,还有使用第三方无源代码的类或者库,让用户看清楚每一行代码,显然是不可行的,这些都为用户的运行埋下“炸弹”。而使用麒麟系统,可以在部署的时候,限定运行进程的“活动范围”,即使出现木马攻击,也可以控制在设计的范围内,不会造成灾难性的损失。
三、关键文件保护,防止篡改
网站被黑了,就是黑客把主页文件,如index.html,换成相当“雷人”的页面。目前市场上的防篡改技术,大多是在应用层解决的,如果通过溢出攻击,拿到root权限,一样可以篡改;而使用麒麟系统,可以使用“强制完整性控制”和“ 数据完整性检查”两个内核级功能,配合对进程和角色、文件权能的管理,真正达到保护主页,这也是资深安全专家建议政府网站的使用结构化保护级操作系统的原因。
四、多密级安全保护,适用军队、政府和大型央企的文件多密级管理
多级安全技术主要目的是实现系统的机密性,禁止上读下写,即保护高机密信息不能向低机密信息流动。对系统的用户及信息进行等级划分,上级用户可以读取下级用户的机密数据与信息,而下级用户则无权读取上级的机密数据与信息,不同部门之间的用户、机密信息隔离。市场上的许多OA产品在应用层进行权限管理和划分,显然可以通过观察数据库权限机制或者通过root察看基础数据,获得高级别权限,从而可以为所欲为。而麒麟提供的核内“多密级安全保护机制”,采用进程安全级与用户安全级分离技术,更方便的实现多级安全策略(MLS)和BLP 禁止上读下写的规则。
五、防止木马病毒扫垃圾
有些木马会读取进程删除的临时文件或者读取主体残留在内存中的信息,俗称“扫垃圾”,木马可能在“垃圾”中发现及其重要的数据,造成信息泄密。麒麟的客体重用机制保证在主体活动结束后,主体占用的存储客体中的信息将不能被另一个主体使用,麒麟实现了内存和磁盘文件的客体重用。文件客体重用用于防止在文件被删除或截断时,原有文件内容被非法访问。麒麟安全操作系统在释放磁盘数据块之前,首先覆盖数据块的内容,然后才释放,从而保证磁盘块中不会残留先前文件的内容。
http://www.kylin-os.com/products/
简介
结构化保护级KYLIN Linux安全操作系统应用场景
2009年04月08日
打补丁、补漏洞是我们通常对操作系统提升安全能力的主要手段,但是这些都属于“事后行为”。许多业内专家都有这样的共识,“亡羊补牢”即“事后防范”造成的损失可能是“事前防范”所投资金额的几十倍,甚至更多,有些核心机密数据的丢失将无法用金钱衡量,甚至造成一些恶劣的影响。所以,部署一个具有结构化保护级的操作系统,可以显著改善系统运营的安全性。
麒麟Linux安全操作系统具备结构化保护能力,这个能力通俗地说,就是将系统的权限或者权能分配得更细,相互制约,不能“一股独大”。利用角色权能、进程权能和文件权能,使得不同用户执行相同的文件可能有不同的权限,同一个用户执行不同的文件也有不同的权限,从而可以明确各个进程运行时的权限,使其仅具有完成其功能所必需的能力,实现最小特权。
基于麒麟Linux安全操作系统的这种最小特权的设计思想,我们就可以将root用户的权限划分得更小,而“缓冲区溢出攻击”,通常是利用了应用软件的漏洞获得了超能力权限而对系统进行攻击攻击,而麒麟可以把root权限降到最低,即使黑客拿到root用户,也无法达到攻击目的,从而保护系统。
当然,麒麟的结构化保护能力不仅仅只削弱root权限,还有更多实用安全技术可以帮助用户构筑“坚不可摧”的系统。我们根据实际用户实际实用整理几个典型的应用场景。
一、削弱超级用户权限,避免系统管理员信息泄密
权威安全专家分析,近年来许多企事业单位的设计文档泄密、用户数据泄密、业务数据泄密等信息泄密事件许多都是系统管理员(root)泄密造成的,使用麒麟可以将root用户设计成不参与业务数据管理的模式,而核心业务数据可以按照数据的种类划分对应的专门的数据管理员管理,通过审计管理员监督和记录系统行为,真正做到技防。
二、限定业务进程权限,避免木马植入泄密
木马植入,可能是软件公司无意造成的,也可能是出于某些利益有意设计的,发现的时候可能已经造成损失。虽然,可以要求ISV提供所有的源代码,但是,一个大型业务系统动辄数十万行代码,复杂的技术处理,还有使用第三方无源代码的类或者库,让用户看清楚每一行代码,显然是不可行的,这些都为用户的运行埋下“炸弹”。而使用麒麟系统,可以在部署的时候,限定运行进程的“活动范围”,即使出现木马攻击,也可以控制在设计的范围内,不会造成灾难性的损失。
三、关键文件保护,防止篡改
网站被黑了,就是黑客把主页文件,如index.html,换成相当“雷人”的页面。目前市场上的防篡改技术,大多是在应用层解决的,如果通过溢出攻击,拿到root权限,一样可以篡改;而使用麒麟系统,可以使用“强制完整性控制”和“ 数据完整性检查”两个内核级功能,配合对进程和角色、文件权能的管理,真正达到保护主页,这也是资深安全专家建议政府网站的使用结构化保护级操作系统的原因。
四、多密级安全保护,适用军队、政府和大型央企的文件多密级管理
多级安全技术主要目的是实现系统的机密性,禁止上读下写,即保护高机密信息不能向低机密信息流动。对系统的用户及信息进行等级划分,上级用户可以读取下级用户的机密数据与信息,而下级用户则无权读取上级的机密数据与信息,不同部门之间的用户、机密信息隔离。市场上的许多OA产品在应用层进行权限管理和划分,显然可以通过观察数据库权限机制或者通过root察看基础数据,获得高级别权限,从而可以为所欲为。而麒麟提供的核内“多密级安全保护机制”,采用进程安全级与用户安全级分离技术,更方便的实现多级安全策略(MLS)和BLP 禁止上读下写的规则。
五、防止木马病毒扫垃圾
有些木马会读取进程删除的临时文件或者读取主体残留在内存中的信息,俗称“扫垃圾”,木马可能在“垃圾”中发现及其重要的数据,造成信息泄密。麒麟的客体重用机制保证在主体活动结束后,主体占用的存储客体中的信息将不能被另一个主体使用,麒麟实现了内存和磁盘文件的客体重用。文件客体重用用于防止在文件被删除或截断时,原有文件内容被非法访问。麒麟安全操作系统在释放磁盘数据块之前,首先覆盖数据块的内容,然后才释放,从而保证磁盘块中不会残留先前文件的内容。
与微内核操作系统不同 ,麒麟的基本内核层提供了较丰富的接口原语 ,可根据需要灵活支持系统服务层
===3.0版把系统服务层由FreeBSD换成linux
===3.0版把系统服务层由FreeBSD换成linux
国产LINUX系统在金融领域的重大应用示范”课题深入研究了基于中标普华LINUX和银河麒麟操作系统的大规模银行应用程序跨平台移植技术及系统集成技术,形成了基于国产操作系统的面向金融领域的整体解决方案。
该课题移植开发了基于国产LINUX系统的建设银行前端软件版本,并在建行陕西省分行、山西省分行、海南省分行得到大规模地应用。课题移植开发的基于中标普华LINUX和银河麒麟操作系统的陕西省建行中间业务和电话银行服务系统,移植开发的基于银河腾跃服务器和银河麒麟操作系统的特色业务系统,在建行陕西省分行成功投入生产应用。该课题完成的整体解决方案和示范平台第一次在金融领域完全采用自主知识产权的国产操作系统、硬件设备和网络设备,首开国产软硬件全面替代国外同类产品之先河。
目前,中国建设银行陕西省分行428个营业网点的3600多个柜员的柜面业务,9个地市的电话银行、中间业务均采用中标普华国产LINUX操作系统。大前置主机、前置机服务器、网络设备分别采用银河腾跃超级服务器、浪潮服务器、华为交换机和路由器,服务器均采用银河麒麟国产服务器操作系统。国产软硬件在金融领域重大应用示范的成功,标志着国产软硬件已全面进入到银行的核心业务系统,为国产软硬件产品进入金融、证券、保险、电信等行业开辟了新纪元,对中国信息产业的发展具有重要的社会和经济意义
该课题移植开发了基于国产LINUX系统的建设银行前端软件版本,并在建行陕西省分行、山西省分行、海南省分行得到大规模地应用。课题移植开发的基于中标普华LINUX和银河麒麟操作系统的陕西省建行中间业务和电话银行服务系统,移植开发的基于银河腾跃服务器和银河麒麟操作系统的特色业务系统,在建行陕西省分行成功投入生产应用。该课题完成的整体解决方案和示范平台第一次在金融领域完全采用自主知识产权的国产操作系统、硬件设备和网络设备,首开国产软硬件全面替代国外同类产品之先河。
目前,中国建设银行陕西省分行428个营业网点的3600多个柜员的柜面业务,9个地市的电话银行、中间业务均采用中标普华国产LINUX操作系统。大前置主机、前置机服务器、网络设备分别采用银河腾跃超级服务器、浪潮服务器、华为交换机和路由器,服务器均采用银河麒麟国产服务器操作系统。国产软硬件在金融领域重大应用示范的成功,标志着国产软硬件已全面进入到银行的核心业务系统,为国产软硬件产品进入金融、证券、保险、电信等行业开辟了新纪元,对中国信息产业的发展具有重要的社会和经济意义
希望做的更好。
今天几个城市的工行系统发生故障。
今天几个城市的工行系统发生故障。
能把BSD和LINUX理解透
再加上自己的一些东西
努力推广 才是王道
其它什么“自主知识产权”之类的最好少说
总觉得有点名不正言不顺
再加上自己的一些东西
努力推广 才是王道
其它什么“自主知识产权”之类的最好少说
总觉得有点名不正言不顺
希望做的更好。
今天几个城市的工行系统发生故障。
开始动IBM的蛋糕了,浪潮天梭K1高端服务器开始在中国邮政储蓄银行推广
===
http://lt.cjdby.net/forum.php?mod=viewthread&tid=1587605&extra
今天几个城市的工行系统发生故障。
开始动IBM的蛋糕了,浪潮天梭K1高端服务器开始在中国邮政储蓄银行推广
===
http://lt.cjdby.net/forum.php?mod=viewthread&tid=1587605&extra
概述
麒麟操作系统是在国家”863”计划重大专项、国家“核高基”重大科技专项和国家发改委产业化专项推动下,开发的具有自主知识产权的国产操作系统产品。麒麟操作系统V3产品是湖南麒麟信息工程技术有限公司推出的麒麟操作系统产品化最新版本。麒麟操作系统V3兼容Linux系统,达到国内外主流Linux产品同等技术水平,支持主流的硬件平台和应用软件,并具有高安全、高性能、高可靠的特点,支持多种国产CPU和国产基础软件。
麒麟操作系统已应用于国防、政府、电信、金融、电力、邮政、教育、大型企业等众多领域,为我国的信息化建设保驾护航。
麒麟操作系统系列产品
麒麟操作系统系列产品包括:麒麟安全操作系统、麒麟操作系统服务器版、麒麟操作系统桌面版。
麒麟安全操作系统
国内最高安全等级的操作系统,通过了公安部信息安全产品检测中心第四级结构化保护级安全认证。
麒麟操作系统服务器版
支持的硬件架构最多,包括x86、x86_64、IA64、SPARC、PowerPC、MIPS、银河飞腾、龙芯、众志等;支持国内外主流数据库、中间件和Linux应用软件。
麒麟操作系统桌面版
简单易用,界面友好,良好的中文支持,是办公电脑、业务终端、上网本的首选。
麒麟操作系统取得了20多项软件著作权及软件产品认证
麒麟操作系统是在国家”863”计划重大专项、国家“核高基”重大科技专项和国家发改委产业化专项推动下,开发的具有自主知识产权的国产操作系统产品。麒麟操作系统V3产品是湖南麒麟信息工程技术有限公司推出的麒麟操作系统产品化最新版本。麒麟操作系统V3兼容Linux系统,达到国内外主流Linux产品同等技术水平,支持主流的硬件平台和应用软件,并具有高安全、高性能、高可靠的特点,支持多种国产CPU和国产基础软件。
麒麟操作系统已应用于国防、政府、电信、金融、电力、邮政、教育、大型企业等众多领域,为我国的信息化建设保驾护航。
麒麟操作系统系列产品
麒麟操作系统系列产品包括:麒麟安全操作系统、麒麟操作系统服务器版、麒麟操作系统桌面版。
麒麟安全操作系统
国内最高安全等级的操作系统,通过了公安部信息安全产品检测中心第四级结构化保护级安全认证。
麒麟操作系统服务器版
支持的硬件架构最多,包括x86、x86_64、IA64、SPARC、PowerPC、MIPS、银河飞腾、龙芯、众志等;支持国内外主流数据库、中间件和Linux应用软件。
麒麟操作系统桌面版
简单易用,界面友好,良好的中文支持,是办公电脑、业务终端、上网本的首选。
麒麟操作系统取得了20多项软件著作权及软件产品认证
支持国货,国产CPU好像不能与国外的系统直接接驳才是最厉害的
麒麟安全操作系统是麒麟操作系统的安全版本,主要面向服务器安全需求市场,为用户提供高安全、高可用、高性能的服务器安全操作系统。麒麟安全操作系统先后通过了公安部信息安全产品检测中心、中国信息安全产品测评中心和解放军信息安全测评认证中心三家权威认证机构的检测和安全认证,达到了结构化保护级(四级)安全要求。麒麟安全操作系统是目前国内通过认证的安全等级最高的操作系统。
基于麒麟安全操作系统,可为用户提供安全Web服务器、安全Email服务器、安全DNS服务器、安全OA服务器、安全文件服务器、安全数据库服务器等应用。
产品特色
增强的用户身份认证
采用基于智能卡的用户身份认证,使得只有持有系统发放的智能卡的合法用户才能登录访问系统。
细粒度的自主访问控制
客体的拥有着可以通过ACL访问控制列表按照单用户/用户组的粒度而不是传统的属主/属组/其他的粒度来指定权限。
信息机密性保护
通过禁止“上读下写”的多级安全强制访问控制保护信息的机密性,防止木马攻击非法获取密级信息。
信息完整性保护
通过强制完整性访问控制策略,保护信息的完整性不被破坏,有效防止浏览器劫持等攻击。
进程权能控制
实现了最小特权,保证应用或进程仅具有完成其功能所必需的权能。
进程域隔离
将系统主客体根据不同的应用目的划分为不同类型,并限制进程的作用域范围,保障系统数据的安全隔离,做到攻击威胁最小化。
管理员分权
系统管理员、安全管理员、审计管理员各司其责,相互制约,实现彻底的三权分立。
安全审计
只有审计管理员才恩那个进行审计管理工作。提供详细的审计日志,友好的图形化审计管理工具。
通过进程权能控制、进程域隔离等安全机制的协同工作,可有效防止缓冲区溢出攻击
系统还实现了安全目录保护、客体重用、可信路径等安全功能。
权威认证
麒麟安全操作系统通过了公安部计算机信息系统安全产品质量监督检验中心的安全认证,符合《GB/T 20272-2006 信息安全技术 操作系统安全技术要求》第四级结构化保护级的要求,是目前我国通过认证的安全等级最高的操作系统。
基于麒麟安全操作系统,可为用户提供安全Web服务器、安全Email服务器、安全DNS服务器、安全OA服务器、安全文件服务器、安全数据库服务器等应用。
产品特色
增强的用户身份认证
采用基于智能卡的用户身份认证,使得只有持有系统发放的智能卡的合法用户才能登录访问系统。
细粒度的自主访问控制
客体的拥有着可以通过ACL访问控制列表按照单用户/用户组的粒度而不是传统的属主/属组/其他的粒度来指定权限。
信息机密性保护
通过禁止“上读下写”的多级安全强制访问控制保护信息的机密性,防止木马攻击非法获取密级信息。
信息完整性保护
通过强制完整性访问控制策略,保护信息的完整性不被破坏,有效防止浏览器劫持等攻击。
进程权能控制
实现了最小特权,保证应用或进程仅具有完成其功能所必需的权能。
进程域隔离
将系统主客体根据不同的应用目的划分为不同类型,并限制进程的作用域范围,保障系统数据的安全隔离,做到攻击威胁最小化。
管理员分权
系统管理员、安全管理员、审计管理员各司其责,相互制约,实现彻底的三权分立。
安全审计
只有审计管理员才恩那个进行审计管理工作。提供详细的审计日志,友好的图形化审计管理工具。
通过进程权能控制、进程域隔离等安全机制的协同工作,可有效防止缓冲区溢出攻击
系统还实现了安全目录保护、客体重用、可信路径等安全功能。
权威认证
麒麟安全操作系统通过了公安部计算机信息系统安全产品质量监督检验中心的安全认证,符合《GB/T 20272-2006 信息安全技术 操作系统安全技术要求》第四级结构化保护级的要求,是目前我国通过认证的安全等级最高的操作系统。
废尽脑力。空无一物。
中科院和军方的差距有五年
方德方舟安全操作系统通过四级安全测评
2011-02-17 11:21 来源:华军资讯 作者:厂商投递 RSS复制链接打印
近日,中科方德软件有限公司旗下产品“方德方舟安全操作系统NFSARK V2.0”顺利通过 “公安部计算机信息系统安全产品质量监督检验中心”的检测,基本功能符合“GB/T 20272信息安全技术操作系统安全技术要求”(第四级)测试项目所有要求。通过此次测试,标志着方德方舟安全操作系统已成为信息安全领域获得权威认证的产品。
公安部计算机信息系统安全产品质量监督检验中心是于1998年7月6日通过国家技术监督局的计量认证和公安部审查认可,成为国家法定的检测机构;并于2001年4月28日经中国实验室国家认可委员会评定,成为公安部第三研究所安全防范和计算机安全产品检验实验室。依据GB 17859-1999的五个安全保护等级的划分,根据操作系统在信息系统中的作用,“GB/T 20272信息安全技术操作系统安全技术要求”规定了各个安全等级的操作系统所需要的安全技术要求,由高到低依次为:第一级:用户自主保护级 、第二级:系统审计保护级、第三级:安全标记保护级、第四级:结构化保护级、第五级:访问验证保护级。
【PDF】关于银河麒麟操作系统的说明
文件格式DF/Adobe Acrobat - HTML版
的安全审计为维护系统的安全提供了有效的依据.目前银河麒麟操作系统安全版已经通过公安部计算机信息系统安全产品质量监督检验中心认证,是国内唯一通过第四级结构化保护级...
bbs.whnet.edu.cn/f/Linux/1165450821/speci ... 2006-12-7
方德方舟安全操作系统通过四级安全测评
2011-02-17 11:21 来源:华军资讯 作者:厂商投递 RSS复制链接打印
近日,中科方德软件有限公司旗下产品“方德方舟安全操作系统NFSARK V2.0”顺利通过 “公安部计算机信息系统安全产品质量监督检验中心”的检测,基本功能符合“GB/T 20272信息安全技术操作系统安全技术要求”(第四级)测试项目所有要求。通过此次测试,标志着方德方舟安全操作系统已成为信息安全领域获得权威认证的产品。
公安部计算机信息系统安全产品质量监督检验中心是于1998年7月6日通过国家技术监督局的计量认证和公安部审查认可,成为国家法定的检测机构;并于2001年4月28日经中国实验室国家认可委员会评定,成为公安部第三研究所安全防范和计算机安全产品检验实验室。依据GB 17859-1999的五个安全保护等级的划分,根据操作系统在信息系统中的作用,“GB/T 20272信息安全技术操作系统安全技术要求”规定了各个安全等级的操作系统所需要的安全技术要求,由高到低依次为:第一级:用户自主保护级 、第二级:系统审计保护级、第三级:安全标记保护级、第四级:结构化保护级、第五级:访问验证保护级。
【PDF】关于银河麒麟操作系统的说明
文件格式DF/Adobe Acrobat - HTML版
的安全审计为维护系统的安全提供了有效的依据.目前银河麒麟操作系统安全版已经通过公安部计算机信息系统安全产品质量监督检验中心认证,是国内唯一通过第四级结构化保护级...
bbs.whnet.edu.cn/f/Linux/1165450821/speci ... 2006-12-7
按这个时间来看,军方的第五级访问验证保护级操作系统今年应该在军方使用了,要不然麒麟也不会转民用
《计算机科学》 2010年12期 加入收藏 获取最新
面向访问验证保护级的安全VMM形式化原型系统设计和实现
易秋萍 刘剑 武术
【摘要】:操作系统是计算机软件系统的基础,具有控制逻辑复杂、安全性和可靠性要求高等特点。在国内外高等级安全操作系统的规范和标准中,都提出了对内核进行形式化规范和验证的要求。近年来国内相关研究机构相继开发了满足GB 17859-1999"强制访问控制级"和"结构化保护级"的安全操作系统原型,但对更高级别的安全操作系统的研发尚属空白。在"面向访问验证保护级安全操作系统"课题的研究中,设计并实现了一个基于Haskell的安全VMM原型系统——CASVisor。CASVisor严格定义了系统的形式化规范,可用于指导高性能的C程序的实现,并为形式化的分析和验证打下基础,同时CASVisor具备模拟功能,以便实施基于快速原型的开发方法。
【作者单位】: 中国科学院软件研究所;中国科学院研究生院;中国科学院计算机科学国家重点实验室;
【关键词】: 安全操作系统 VMM Haskell Monad 形式化原型
【基金】:中国科学院知识创新工程重要方向项目“面向访问验证保护级的安全操作系统原型系统研发(KGCX2-YW-125)” 北京市科技创新项目“安全可信操作系统研制(Z08000102000801)” 计算机科学国家重点实验室开放课题“面向高等级安全操作系统的形式化保证技术研究(SYSKF0909)”资助
【分类号】:TP311.52
【正文快照】:
1引言操作系统是计算机软件系统的基础,具有控制逻辑复杂、对安全性和可靠性要求高等特点。高等级安全操作系统是近年来基础软件和软件高可信技术研究的热点,也是国家信息安全等级保护战略的迫切需要。在国内外高等级安全操作系统标准和相关项目的研发中,形式化保证技术都占
《计算机科学》 2010年12期 加入收藏 获取最新
面向访问验证保护级的安全VMM形式化原型系统设计和实现
易秋萍 刘剑 武术
【摘要】:操作系统是计算机软件系统的基础,具有控制逻辑复杂、安全性和可靠性要求高等特点。在国内外高等级安全操作系统的规范和标准中,都提出了对内核进行形式化规范和验证的要求。近年来国内相关研究机构相继开发了满足GB 17859-1999"强制访问控制级"和"结构化保护级"的安全操作系统原型,但对更高级别的安全操作系统的研发尚属空白。在"面向访问验证保护级安全操作系统"课题的研究中,设计并实现了一个基于Haskell的安全VMM原型系统——CASVisor。CASVisor严格定义了系统的形式化规范,可用于指导高性能的C程序的实现,并为形式化的分析和验证打下基础,同时CASVisor具备模拟功能,以便实施基于快速原型的开发方法。
【作者单位】: 中国科学院软件研究所;中国科学院研究生院;中国科学院计算机科学国家重点实验室;
【关键词】: 安全操作系统 VMM Haskell Monad 形式化原型
【基金】:中国科学院知识创新工程重要方向项目“面向访问验证保护级的安全操作系统原型系统研发(KGCX2-YW-125)” 北京市科技创新项目“安全可信操作系统研制(Z08000102000801)” 计算机科学国家重点实验室开放课题“面向高等级安全操作系统的形式化保证技术研究(SYSKF0909)”资助
【分类号】:TP311.52
【正文快照】:
1引言操作系统是计算机软件系统的基础,具有控制逻辑复杂、对安全性和可靠性要求高等特点。高等级安全操作系统是近年来基础软件和软件高可信技术研究的热点,也是国家信息安全等级保护战略的迫切需要。在国内外高等级安全操作系统标准和相关项目的研发中,形式化保证技术都占
废尽脑力。空无一物。
希望美国军方也这么想
希望美国军方也这么想
希望美国军方也这么想
我不管美国军方怎么想,你想管美国军方怎么想的,你尽管去管好了。
我管好我自已怎么想就行了。
我不管美国军方怎么想,你想管美国军方怎么想的,你尽管去管好了。
我管好我自已怎么想就行了。
lz,,要不是看日期我以为谁又在挖化石了,麒麟早都改成纯linux了,现在更是给ubuntu挂名了。你们争论的东西早都进博物馆了,还官方反击。
ertert 发表于 2013-6-23 22:34 
我不管美国军方怎么想,你想管美国军方怎么想的,你尽管去管好了。
我管好我自已怎么想就行了。
假如你是业内,那么请自主研制一款,研制不了,你喷的就是你的阴暗心理。假如不是业内,还有啥好说的?
我不管美国军方怎么想,你想管美国军方怎么想的,你尽管去管好了。
我管好我自已怎么想就行了。
假如你是业内,那么请自主研制一款,研制不了,你喷的就是你的阴暗心理。假如不是业内,还有啥好说的?
lz,,要不是看日期我以为谁又在挖化石了,麒麟早都改成纯linux了,现在更是给ubuntu挂名了。你们争论的东西 ...
麒麟操作系统系列产品包括:麒麟安全操作系统、麒麟操作系统服务器版、麒麟操作系统桌面版。
麒麟操作系统系列产品包括:麒麟安全操作系统、麒麟操作系统服务器版、麒麟操作系统桌面版。
bf109k6 发表于 2013-6-23 23:04
lz,,要不是看日期我以为谁又在挖化石了,麒麟早都改成纯linux了,现在更是给ubuntu挂名了。你们争论的东西 ...
与微内核操作系统不同 ,麒麟的基本内核层提供了较丰富的接口原语 ,可根据需要灵活支持系统服务层
系统服务层基于 FreeBSD进行改进和优化 ,为用户提供工业标准的网络、 文件系统等服务接口 ,实现了Linux二进制兼容模块、 高可用模块和各种内核安全机制等 ,充分利用BSD操作系统的稳定性和丰富的工业标准接口。
与传统的微内核结构不同 ,麒麟操作系统的基本内核层运行在 0 态 ,系统服务层运行在 1 态 ,核外工具环境运行在3态 ,这种新的三态内核结构充分利用了 CPU 的保护技术 ,保证了系统的安全性 ,提高了系统的性能
bf109k6 发表于 2013-6-23 23:04
lz,,要不是看日期我以为谁又在挖化石了,麒麟早都改成纯linux了,现在更是给ubuntu挂名了。你们争论的东西 ...
与微内核操作系统不同 ,麒麟的基本内核层提供了较丰富的接口原语 ,可根据需要灵活支持系统服务层
系统服务层基于 FreeBSD进行改进和优化 ,为用户提供工业标准的网络、 文件系统等服务接口 ,实现了Linux二进制兼容模块、 高可用模块和各种内核安全机制等 ,充分利用BSD操作系统的稳定性和丰富的工业标准接口。
与传统的微内核结构不同 ,麒麟操作系统的基本内核层运行在 0 态 ,系统服务层运行在 1 态 ,核外工具环境运行在3态 ,这种新的三态内核结构充分利用了 CPU 的保护技术 ,保证了系统的安全性 ,提高了系统的性能
选在合并了,叫中标麒麟操作系统。
有人反对也很正常吧,好好做好自己的就行了,有多少人打娘胎里出来就会编系统?unix在纸面的时候咱还阶级斗争呢
打开淘宝订购页面居然卖拖鞋~
银河麒麟一听就是国防科大搞的来自: iPhone客户端
楼主,第一楼的图贴出来看看,还有链接是自己的帖子啊,这不是有效链接吧?
听着类似虚拟机技术,核心层直接控制硬件,将bsd或linux直接移植过来作为服务层,向上支撑应用程序。
这也就可以解释为什么对用户来说,他看到的就是百分百的bsd或linux,完全不知道最高权限其实在核心层
这也就可以解释为什么对用户来说,他看到的就是百分百的bsd或linux,完全不知道最高权限其实在核心层
文化的影子 发表于 2013-6-23 23:52
楼主,第一楼的图贴出来看看,还有链接是自己的帖子啊,这不是有效链接吧?
去龙芯论坛注个册可以下载原文
楼主,第一楼的图贴出来看看,还有链接是自己的帖子啊,这不是有效链接吧?
去龙芯论坛注个册可以下载原文
楼主长篇大论实际上都是些高层修改,底层还是明明白白的舶来品。
我帮楼主总结下吧,麒麟舍弃了FreeBSD内核,改用Linux的Ubuntu内核。而且这次是花了买路钱拿到了开发授权。至少不用担心给人戳着骂是抄袭了。
然后可能是自己开发了一个虚拟机,把买来的Linux内核系统挂在那个虚拟机上,就实现了所谓硬件层面的安全性。这可能是楼主这篇长篇大论中最有价值的部分。
剩下整个楼层的安全体系介绍根本不涉及系统内核,无非是在Linux的用户权限设定里自行更改了部分定义,让用户无法轻易拿到完全的root权限。然后又取得了如何多的用户如何。
至于那个兼容性扩展,大多数是原内核自带来的,只有对龙芯MIPS的支援是自行开发的,MIPS本身就是和TD类似的玩意,在国外竞争失败,被我们捡来抚养了,甚至还不如,因为移动的TD当初的专利是很清晰的,龙芯被人发现抄袭还吃了官司才摆平。
我帮楼主总结下吧,麒麟舍弃了FreeBSD内核,改用Linux的Ubuntu内核。而且这次是花了买路钱拿到了开发授权。至少不用担心给人戳着骂是抄袭了。
然后可能是自己开发了一个虚拟机,把买来的Linux内核系统挂在那个虚拟机上,就实现了所谓硬件层面的安全性。这可能是楼主这篇长篇大论中最有价值的部分。
剩下整个楼层的安全体系介绍根本不涉及系统内核,无非是在Linux的用户权限设定里自行更改了部分定义,让用户无法轻易拿到完全的root权限。然后又取得了如何多的用户如何。
至于那个兼容性扩展,大多数是原内核自带来的,只有对龙芯MIPS的支援是自行开发的,MIPS本身就是和TD类似的玩意,在国外竞争失败,被我们捡来抚养了,甚至还不如,因为移动的TD当初的专利是很清晰的,龙芯被人发现抄袭还吃了官司才摆平。
麒麟弄了这么多年,写了这么多字,其实关键就是那个所谓的系统接口,那个东西很可能是一个非常简陋的系统内核,或者说功能更接近于一个虚拟机。这才是真正的麒麟核心,从文中看,用C语言书写。但是这个核心太过原始而且麒麟也没有从头建立应用层的决心。于是直接在上面虚拟Linux核心,这样大量的应用就有了。然后又整出一堆高层应用,安全之类,就是目前的状况了。
麒麟弄了这么多年,写了这么多字,其实关键就是那个所谓的系统接口,那个东西很可能是一个非常简陋的系统内核 ...
关键这个基本内核层根本就没有公布,你的上述结论就出来了,莫非你是开发者之一?
关键这个基本内核层根本就没有公布,你的上述结论就出来了,莫非你是开发者之一?
楼主我就问你一句话,民用应用,麒麟的稳定性如何,敢不敢和Unix甚至就是它爹Ubuntu在世界范围内抢企业市场?
军用应用,注重自主,保密两字,麒麟既然有开发C语言内核的能力,迄今也花了15年,国家投资无数。敢不敢推倒重做,抛弃美国掌控的Linux和FreeBSD,自己独立开发应用层,反正是军政使用,根本不用考虑兼容性。Linux最初的系统内核从构思到发布也不超过10年,第一个发行版到今天也只有22年,麒麟也用了15年了,敢不敢抛开老美自己走路?
军用应用,注重自主,保密两字,麒麟既然有开发C语言内核的能力,迄今也花了15年,国家投资无数。敢不敢推倒重做,抛弃美国掌控的Linux和FreeBSD,自己独立开发应用层,反正是军政使用,根本不用考虑兼容性。Linux最初的系统内核从构思到发布也不超过10年,第一个发行版到今天也只有22年,麒麟也用了15年了,敢不敢抛开老美自己走路?
期待民用那天
关键这个基本内核层根本就没有公布,你的上述结论就出来了,莫非你是开发者之一?
你我也不用在这个问题上纠缠不休,我明明白白的告诉你以上全是猜测,全是一派胡言,麒麟再怎么不济,国家也掏了15年的腰包,好几亿的真金白银了,起码的保密等级肯定有。这种事我不说是猜测,难道是泄密?
军事论坛就这样,一旦深入,就没得谈,你转载长篇大论,我帮你缩到一楼,我的猜测和建议也都指出了,只怕国内环境如此,举国之力做系统,Linux内核做得,麒麟为何做不得?何况这又不是什么根本的技术创新,只要从头开发个类Unix内核,也省了今天的风言风语。
你我也不用在这个问题上纠缠不休,我明明白白的告诉你以上全是猜测,全是一派胡言,麒麟再怎么不济,国家也掏了15年的腰包,好几亿的真金白银了,起码的保密等级肯定有。这种事我不说是猜测,难道是泄密?
军事论坛就这样,一旦深入,就没得谈,你转载长篇大论,我帮你缩到一楼,我的猜测和建议也都指出了,只怕国内环境如此,举国之力做系统,Linux内核做得,麒麟为何做不得?何况这又不是什么根本的技术创新,只要从头开发个类Unix内核,也省了今天的风言风语。
期待民用那天
已经有民用版了,那服务器版和桌面版都是普通公司可以随便购买的。使用上Ubuntu区别有限,你可以想象成一个国产Ubuntu,或者拿360和卡巴斯基做个类比。
已经有民用版了,那服务器版和桌面版都是普通公司可以随便购买的。使用上Ubuntu区别有限,你可以想象成一个国产Ubuntu,或者拿360和卡巴斯基做个类比。
你我也不用在这个问题上纠缠不休,我明明白白的告诉你以上全是猜测,全是一派胡言,麒麟再怎么不济,国家 ...
虚拟机我并不存在异议,中科院的第五安全等级也是用的虚拟机,吴泉源也承认
==
基于虚拟机的可信操作系统关键技术随着信息社会的不断发展,信息系统对操作系统等基础软件的依赖程度日益增长,处于国防和经济支撑系统关键部位的操作系统一旦被破坏或失效,将会导致灾难性的后果,如何提高操作系统的安全性、可靠性、可用性,已成为国内外可信操作系统研究的热点。 传统操作系统存在内核代码量大、故障隔离性差、可信硬件支持弱等问题,既难以充分利用硬件体系结构的新技术,也较难满足目前系统对可信性的需求。 如果摒弃已有操作系统的成果,重新设计一套全新的可信操作系统,将会缺乏大量的应用和硬件设备驱动,更难以有效支撑现有信息系统。本文针对传统操作系统中存在的安全性、可靠性、可用性等问题,结合作者在研制国产银河麒麟高性能安全操作系统中积累的技术与实践经验,基于虚拟机监控器(VMM:VirtualMachine Monitor),围绕可信操作系统的体系结构、高可信设备驱动及操作系统运行监控等关键技术进行研究,设计了一个基于虚拟机的可信操作系统VTKylin。主要工作与贡献如下: 1、在综合分析国际上几种典型的可信操作系统技术和虚拟机技术基础上,提出了一种具有两维三态拓扑结构、基于CPU 虚拟化的可信操作系统模型VTOS(VirtuAlmachine based Trusted Operating System)。VTOS 具有隔离性好、可信硬件支持强,且兼容现有应用好等特点。理论分析表明,VTOS 可信操作系统模型在防御恶意代码攻击的安全性方面明显优于传统的操作系统。 2、在深入研究可信操作系统完整性保护技术基础上,建立了可信操作系统四种信任度量模式,提出了完整性验证、证据认证和行为监测相结合的VTOS 完整性防护方法。测试结果表明,VTOS在可信启动方面具有良好的完整性防护能力。 3、针对传统操作系统在设备驱动方面存在的不可靠因素,在VTOS中提出了一种基于虚拟机设备驱动分离技术的设备驱动框架Vharden。其中,域间双页传送算法IDDPT(Inter-Domain Double Pages Transfer)兼有可靠与快速的特点,基于内存保护的驱动隔离机制提供了独立的、不受他人故障干扰的运行空间。测试结果表明,Vharden 可有效提高操作系统的驱动程序可靠性。 4、为了提高操作系统对恶意代码的防范能力,研究了VTOS中的实时运行监控技术,提出了一种指令流和进程访存双视角监控、且面向不同安全等级的多域安全的操作系统运行监控方法。其中,在指令级行为监控中,设计了一种基于代码段的敏感指令运行时扫描算法BSISA(Block-based Sensetive Instruction ScanAlgorithm),在进程级行为监控中,设计了隐藏进程检测策略VHPDS(VMM-basedHidden Process Detecting Strategy)。典型Rootkit的测试表明,该运行监控机制可有效发现系统的恶意代码攻击,明显提高系统的安全性。 5、在国产银河麒麟操作系统平台上,基于VTOS 可信操作系统模型,自主设计了基于虚拟机的可信操作系统VTKylin,该系统能有效支持国际主流虚拟化CPU,并兼容国产操作系统现有的典型应用,经UnixBench、Netperf、Sysbench-OLTP、LTP等标准测试,VTKylin与国际主流XenServer、KVM 虚拟机的操作系统总体性能相当,而在安全性、可靠性方面有明显优势。 论文研究工作得到国家863 计划目标导向类课题“多域安全虚拟个人计算机系统”(2007AA01Z177)、国家自然科学基金重点项目“基于虚拟机架构的可信计算环境与可信软件设计”(90718040)的资助和支持。论文研究成果已经得到成功应用,取得了良好效果。
虚拟机我并不存在异议,中科院的第五安全等级也是用的虚拟机,吴泉源也承认
==
基于虚拟机的可信操作系统关键技术随着信息社会的不断发展,信息系统对操作系统等基础软件的依赖程度日益增长,处于国防和经济支撑系统关键部位的操作系统一旦被破坏或失效,将会导致灾难性的后果,如何提高操作系统的安全性、可靠性、可用性,已成为国内外可信操作系统研究的热点。 传统操作系统存在内核代码量大、故障隔离性差、可信硬件支持弱等问题,既难以充分利用硬件体系结构的新技术,也较难满足目前系统对可信性的需求。 如果摒弃已有操作系统的成果,重新设计一套全新的可信操作系统,将会缺乏大量的应用和硬件设备驱动,更难以有效支撑现有信息系统。本文针对传统操作系统中存在的安全性、可靠性、可用性等问题,结合作者在研制国产银河麒麟高性能安全操作系统中积累的技术与实践经验,基于虚拟机监控器(VMM:VirtualMachine Monitor),围绕可信操作系统的体系结构、高可信设备驱动及操作系统运行监控等关键技术进行研究,设计了一个基于虚拟机的可信操作系统VTKylin。主要工作与贡献如下: 1、在综合分析国际上几种典型的可信操作系统技术和虚拟机技术基础上,提出了一种具有两维三态拓扑结构、基于CPU 虚拟化的可信操作系统模型VTOS(VirtuAlmachine based Trusted Operating System)。VTOS 具有隔离性好、可信硬件支持强,且兼容现有应用好等特点。理论分析表明,VTOS 可信操作系统模型在防御恶意代码攻击的安全性方面明显优于传统的操作系统。 2、在深入研究可信操作系统完整性保护技术基础上,建立了可信操作系统四种信任度量模式,提出了完整性验证、证据认证和行为监测相结合的VTOS 完整性防护方法。测试结果表明,VTOS在可信启动方面具有良好的完整性防护能力。 3、针对传统操作系统在设备驱动方面存在的不可靠因素,在VTOS中提出了一种基于虚拟机设备驱动分离技术的设备驱动框架Vharden。其中,域间双页传送算法IDDPT(Inter-Domain Double Pages Transfer)兼有可靠与快速的特点,基于内存保护的驱动隔离机制提供了独立的、不受他人故障干扰的运行空间。测试结果表明,Vharden 可有效提高操作系统的驱动程序可靠性。 4、为了提高操作系统对恶意代码的防范能力,研究了VTOS中的实时运行监控技术,提出了一种指令流和进程访存双视角监控、且面向不同安全等级的多域安全的操作系统运行监控方法。其中,在指令级行为监控中,设计了一种基于代码段的敏感指令运行时扫描算法BSISA(Block-based Sensetive Instruction ScanAlgorithm),在进程级行为监控中,设计了隐藏进程检测策略VHPDS(VMM-basedHidden Process Detecting Strategy)。典型Rootkit的测试表明,该运行监控机制可有效发现系统的恶意代码攻击,明显提高系统的安全性。 5、在国产银河麒麟操作系统平台上,基于VTOS 可信操作系统模型,自主设计了基于虚拟机的可信操作系统VTKylin,该系统能有效支持国际主流虚拟化CPU,并兼容国产操作系统现有的典型应用,经UnixBench、Netperf、Sysbench-OLTP、LTP等标准测试,VTKylin与国际主流XenServer、KVM 虚拟机的操作系统总体性能相当,而在安全性、可靠性方面有明显优势。 论文研究工作得到国家863 计划目标导向类课题“多域安全虚拟个人计算机系统”(2007AA01Z177)、国家自然科学基金重点项目“基于虚拟机架构的可信计算环境与可信软件设计”(90718040)的资助和支持。论文研究成果已经得到成功应用,取得了良好效果。
hswz 发表于 2013-6-24 00:55
虚拟机我并不存在异议,中科院的第五安全等级也是用的虚拟机,吴泉源也承认
==
基于虚拟机的可信操作系统 ...
我对麒麟裤衩太白的原因是,15年的时间,而且有国家级的财政和科技支持,完全可以从头到尾自行开发一个类Unix的操作系统,彻底撇清和Linux和FreeBSD的关系,何苦来哉的又是虚拟机,又是多态,概念谈了一堆,还是解决不了高层应用工作再Linux发行版上的问题。
你要知道Linux从GNU计划开始到第一个发行版之间不过8年,而且最初的只是一个概念性的计划,资金来源并不充裕。
虚拟机我并不存在异议,中科院的第五安全等级也是用的虚拟机,吴泉源也承认
==
基于虚拟机的可信操作系统 ...
我对麒麟裤衩太白的原因是,15年的时间,而且有国家级的财政和科技支持,完全可以从头到尾自行开发一个类Unix的操作系统,彻底撇清和Linux和FreeBSD的关系,何苦来哉的又是虚拟机,又是多态,概念谈了一堆,还是解决不了高层应用工作再Linux发行版上的问题。
你要知道Linux从GNU计划开始到第一个发行版之间不过8年,而且最初的只是一个概念性的计划,资金来源并不充裕。
虚拟机我并不存在异议,中科院的第五安全等级也是用的虚拟机,吴泉源也承认
==
基于虚拟机的可信操作系统 ...
你只会抄一些拷贝,那位才是真行家。
中国科研除了少数人大多是骗钱,军内的更是,因为
军内人才近亲繁殖,和地方差距交大。
==
基于虚拟机的可信操作系统 ...
你只会抄一些拷贝,那位才是真行家。
中国科研除了少数人大多是骗钱,军内的更是,因为
军内人才近亲繁殖,和地方差距交大。