统信服务器操作系统 V20(1070u1)年度更新!安全性、兼容性及用户体验等全面升级,尤其是搭载了统信软件自研的 KVSP 内核漏洞主动防护技术的安全增强版,具备高级持续威胁对抗能力,达到业界领先的安全防护水平。
内核漏洞主动防御,安全能力“独步天下”
Linux 系统的内核漏洞是其安全短板,CVE 官网每年披露的操作系统各个组件的漏洞榜单中,内核漏洞始终高居榜首。据 KSPP 报告显示,Linux 内核高危及以上漏洞的平均修复周期长达 5 年半,对系统安全威胁极大;内存安全也是安全漏洞风险的关键,据微软、谷歌、Qemu 等企业与开源社区的漏洞分析报告,其核心软件中内存安全相关漏洞占比高达 70%。
统信服务器操作系统安全增强版拥有三大关键技术:
内核漏洞安全防护技术(简称KVSP):可实时监控和阻断已知和未知(0day)内核漏洞利用链路,提供运行时保护,具备后渗透漏洞利用检测能力和自防护能力;
以安全编程语言重新开发的核心组件:在保障功能、性能基线的前提下,提供更强的安全性,有效消除缓冲区溢出和悬空指针等内存安全风险,并且实现了相关组件的全自主演进;
自研的内核强制访问控制模块:进一步提升了易用性,并预置一系列场景配置基线,降低安全配置的复杂度。实现完全自主可控的同时相比 SELinux 更轻量化,并提供统一的 DBUS 接口对接厂商安全套件,更加易用。
这些能力不依赖补丁和安全运营,并对未知漏洞同样有效,因此统信服务器操作系统安全增强版具备“原生”防御能力。
在内部安全测试中,基于 KVSP 技术加持的统信服务器操作系统安全增强版在没有针对性安全补丁的情况下可以加固操作系统内核,防御包括堆喷、绕过、白名单覆写、ROP 攻击等多种类型占比达 75% 的针对内核的漏洞利用。
基于安全语言重新开发的核心组件,不仅不会受历史 CVE 的影响,经静态代码安全测试,以及面向 C 与 Rust 实现的模糊测试验证对比,其漏洞密度也大幅降低。
需长期稳定运行的场景下——可实时保护内核完整性并减少内存漏洞,显著提升系统健壮性,赋予用户在不升级内核的情况下对抗相当部分内核漏洞利用攻击的能力,也可消除对应组件大部分内存安全漏洞,有效减少相关的宕机维护时间;
关基保护场景下——0day 漏洞利用阻断和后渗透攻击阻断能力,助力遏制 APT 攻击,有效保护关键基础设施;
攻防演练场景下——细颗粒度访问控制、内核漏洞防护和内存漏洞消除,可阻断绝大部分内核漏洞利用的同时有效减少攻击面,极大降低防守方的压力。
更多特性
新平台:引进华为鲲鹏 920b(7270z)、海光 Hygon5380/Hygon7380、飞腾 S5000C-E、申威 SW 8A、Intel 六代至强等最新 CPU 型号。
新板卡:适配支持了包括华为 DPU、华为网卡/智能网卡、华为 Raid 卡等在内的一系列板卡。
新软件:适配 GreatSQL 数据库以及 OceanBase 新版本 LTS 4.2.1.9;预装 numactl 系统调优绑核工具;适配 Pure-Ftpd FTP 服务器软件、SysMonitor 系统资源监控工具以及 Bcache 块缓冲工具等。
新生态:统信 UOS 服务器版持续进行生态适配,目前已支持超过百万种兼容适配组合。详情参见:https://ecology.chinauos.com
更新发布后,统信服务器操作系统 V20 具备更加强大的技术能力、更加完善的应用生态。未来,统信软件将继续引领操作系统创新能力的发展,为数字经济夯实基础设施底座。
统信软件
统信UOS