随着数字化时代的到来,云计算、大数据、人工智能等技术的广泛应用,操作系统承载越来越多的关键业务和数据,其安全性对于信息系统的运转和发展具有至关重要的作用。因此,加强操作系统安全防护、提高安全意识和防范能力是数字化时代的重要任务之一。
为了进一步提升操作系统的安全性,加强行业内部的交流与合作,由浪潮信息牵头,阿里云和统信软件共同参与的系统安全特别兴趣小组(SIG)正式成立。该 SIG 将深入研究系统安全领域,不断完善操作系统安全基础、增强组件和开发流程,促进安全知识的共享和交流,推动社区内的安全合作,降低安全开发运维成本,最终目标是保护用户数据和应用程序免受攻击和威胁。
SIG 地址:https://openanolis.cn/sig/syssecurity
SIG 目标
系统安全共享技术库
通过不断完善操作系统产品基础和增强要求的相关组件、工具和流程,推动社区内的安全合作,促进安全知识的共享和交流,降低安全开发运维成本。
系统安全前沿技术探索
针对操作系统的安全特性和攻击手段进行研究,提出相应的解决方案和防范措施,持续探索 eBPF 技术在安全领域的应用、AI 赋能系统安全等。
系统安全协作生态圈
建立完善的开源操作系统安全生态,影响更多的安全厂商、开发者和用户参与到龙蜥操作系统的安全建设中来,共同打造龙蜥操作系统安全环境,构建系统安全生态圈。
SIG 工作内容
为了逐步提升系统安全能力,我们采取分步执行的策略。在前期,我们主要聚焦于完善操作系统的安全基线和基础安全组件,以满足安全合规的基础要求。在这个过程中,安全技术研究将作为辅助,为未来的安全工作提供技术储备。进入中期,我们将以安全技术研究为主导,同时满足操作系统安全合规的增强要求。在这个阶段,我们还将注重完善流程制度,优化安全工具链,并促进技术共享,以提升整个团队的安全应对能力。后期,我们将进一步拓展到其他安全相关的研究和开发,以面向系统安全应用方案与参考实现为主。同时,我们也将积极推动整个龙蜥操作系统安全开源生态的协作发展,通过开源社区的合作,共同提升系统安全的整体水平。
SIG 项目介绍
KSecure
KSecure,安全组件是一款操作系统轻量化安全防御组件,采用 eBPF 技术路线,在开源云原生运行时安全软件 KubeArmor 基础上,设计和开发了安全功能,提升了操作系统检测和防御能力,在增强操作系统安全性和合规性的同时,解决传统内核模块方式带来的系统稳定性和性能问题。
(图/KSecure 技术架构)
KSMSuite
KSMSuite,国密套件。通过对系统下一些常用、重要加密库/中间件的国密算法适配开发,满足上层应用对国密算法的需求。国密套件初步包含 cryptography、gnutls、nettle等组件。
KSCLM
KSLCM,通过配置 /etc/passwd 文件中的用户 shell 路径项,将用户登录操作系统后指令执行入口引导至服务器命令行管理程序;本程序会将不同用户进行分组,并对不同的组设置不同的指令/参数名单及执行策略(黑名单或白名单),达到在允许正常业务操作的情况下过滤风险指令,达到保证操作系统安全的目的。本模块可满足权限管理、内置操作系统安全(OS)等相关安全基线要求。
security-benchmark
security-benchmark 是龙蜥下游各个厂商结合自己在安全合规/加固领域(包括国内的等保等)的大规模产品落地经验和实践打造的龙蜥社区最佳安全加固实践指南,它包括安全基线(benchmark)、扫描脚本、修复脚本、安全合规镜像制作、安全合规监控等多个方面。其中,Anolis OS 8 、Anolis OS 23 及其最佳安全基线已完成与 OpenSCAP 国际知名社区映射。
SIG 成员
| 成员 | 角色 |
| 徐峥(浪潮信息) | Owner |
| 甄鹏(浪潮信息) | Maintainer |
| 张佳(阿里云) | Maintainer |
| 张天佳(阿里云) | Maintainer |
| 曹佩庆(统信) | Maintainer |
未来,系统安全 SIG 将继续发挥引领作用,携手系统安全 SIG 的成员单位,共同推动操作系统安全技术的创新与发展。SIG 将定期举办研讨会、工作坊和培训活动,为成员单位提供一个交流经验、分享最新的研究成果的平台。我们期待与更多志同道合的伙伴携手合作,共同打造更加安全、可靠的数字生态,为行业发展注入新的活力。
加入钉钉交流群:搜索钉钉群号 74890001865 加入交流。
—— 完 ——
