2008年之前,微软Windows操作系统在红色代码等病毒攻击中多次受挫,安全问题饱受诟病,于是微软在当年启动了一项名为MAPP(Microsoft Active Protections Program)的主动安全防护计划,这代表微软做操作系统安全思路的转变。
微软不再仅靠自己的能力,而是通过MAPP集合全球优秀的安全厂商和技术人员,平台厂商与微软之间互通有无,从Windows XP到Windows 7,安全能力大大加强。
其中不乏国内知名安全厂商的参与,操作系统级别的安全不能仅靠一家厂商,强如微软,面对安全难题也不得不合纵连横,MAPP模式对操作系统厂商和安全行业有重要的参考意义。
近日,由统信软件技术有限公司推动的“UOS主动安全防护计划(UAPP)”正式发布,同是操作系统厂商,UAPP和MAPP有相通之处,但在操作系统国产化的大背景下,统信的思路比微软更开放。
UAPP的诞生
Windows和Intel组成的Wintel联盟在事实意义上占据主导地位,近年来国际形势骤然变化,中国市场再度掀起国产化热潮,随之而来的是各种各样的难题,有技术的,也有行业的,安全问题首当其冲。
工信部网络安全产业发展中心主任付京波表示,当前网络空间已经成为大国博弈的主战场,网络安全已经上升为国家战略,接下来要着重做好如下工作:
一是持续加强基础安全关键技术研发攻关,提升体系化安全支撑能力;
二是充分发挥操作系统底层支撑和产业链带动作用,推动建立统一规范的行业标准和安全服务体系;
三是加强网络安全应用牵引,鼓励用户积极参与网安技术探索、解决方案研究、关键产品开发等工作;
四是持续推进信创网络安全产业集聚及生态创新,提升安全保障能力。
统信软件高级副总经理张磊表示,统信操作系统整体安全设计包括操作系统产品安全、应用软件安全、终端使用安全、企业安全管理和组织流程保障等部分。统信作为操作系统厂商,其安全设计本身相对完备,自主的操作系统虽然解决了底层的控制权和发展权的问题,但并不代表百分百的安全,
“只有操作系统厂商努力,硬件方面的安全没有办法得到保证,只有硬件和操作系统厂商努力,软件方面的安全也没有办法得到满足,所以安全是一个整体架构设计问题。”张磊提到。
业务数据对于攻击者来说,具有最高的价值,比如银行卡号和密码、各种访问权限等,这需要产业链厂商在应用治理方面做出比较大的革新。
UAPP主要针对的就是软件治理层面,操作系统是各种应用的载体,也是软件供应链的重要一环,由统信推动UAPP成立再合适不过。
UAPP主要包括三个子计划:安全应用持续兼容子计划——制定安全接口标准与规范,帮助安全厂商提升安全应用持续兼容能力;安全响应子计划——帮助安全伙伴提前获得漏洞信息,便于更快速的提供安全更新;计算机病毒信息联盟子计划——基于安全伙伴的核心安全能力赋能,提升操作系统防护能力水平。
加入UOS主动安全防护计划(UAPP)的安全厂商,将基于UOS操作系统平台在反病毒、漏洞信息共享、补丁发布验证机制、操作系统安全性提升、UKSI安全接口规范标准、安全应用持续兼容等方面开展探讨研究,满足用户对系统安全、网络安全的深层次需求。
首批加入UAPP的厂商包括安恒信息、北信源、360、绿盟科技、天融信、安天、知道创宇、亚信安全、奇安信、启明星辰、瑞星等公司。
统信操作系统界面
用体系化思路实现整体安全
UOS基于开源Linux开发,而Linux在诞生之初就开放了充分的自由度,开发者可以进行源码级别的查看和修改等操作,虽然这给予了开发人员二次开发最大的可控性,但开源软件松散式开发的模式,也面临着版本分化过度、标准难以统一、组织协调困难的挑战。
统信软件生态中心总经理朱建忠对钛媒体App表示,统信和国内安全厂商一开始就有各种合作,但是不够体系化,随着国产生态市占率越来越高,行业需要一个体系化的组织,协调各方面的工作。
据了解,仅统信终端操作系统出货已经超过300万套,预计在未来几年,可能超过千万套规模,覆盖了中国主要政府、部委以及关键行业领域。
“这是信创发展两年多以来,我们提出来这个计划的主要原因,用更加体系化的思路去解决安全方面的协同问题。”朱建忠说。
“从某种角度来讲,微软MAPP计划对统信有一定的参考,操作系统和安全厂商之间面临的问题是一样的,通过标准的开放、漏洞和安全问题的响应机制等,实现从被动的生态响应,到高质量的生态建设,是安全标准化生态建设的一个非常重要的尝试。
国内安全厂商对标准的认知也经历了一个过程,起初国产操作系统的市场空间并不大,往往是出现问题再解决问题,比如操作系统安装了第三方安全软件,当操作系统版本升级时,安全软件可能出现各种意外错误,厂商们才意识到操作系统和安全厂商之间的接口标准非常重要。
对于安全伙伴来说,统信会提前将一些系统特性、系统风险信息共享给合作伙伴,合作伙伴可以第一时间支持操作系统的最新特性,解决系统的安全问题,同时统信也会全面共享威胁信息、情报等资源,帮助合作伙伴了解平台安全整体情况,随着协同机制的加强,未来操作系统厂商、硬件厂商和软件厂商,有望实现更紧密的系统级安全。
国产操作系统安全生态的不同之处
钛媒体App了解到,UAPP计划从2021年已经开始实施,和微软相比,统信目前的规模、投入和机制,肯定还有所不足,不过信创体系下的安全联盟仍然有自己的优势,主要差别在于共建。
国产操作系统开放程度更深,尤其体现在内核层面,所有安全产品都需要从操作内核来获取各种各样的信息,包括进程、服务、网络等等,同时需要调用系统内核,进行精确防御、补丁下发等操作。
如果操作系统内核标准不统一,对于终端安全软件来说,开发难度就会呈指数级上升。在UAPP,安全厂商在前期参与了UOS底层内核安全接口的相关工作,当CPU和操作系统能够开放给安全软件更大的空间,安全厂商就可以做更多的工作。
而在Windows操作系统平台上,微软MAPP虽然会吸取业内厂商的建议,但是话语权牢牢把握在自己手上,其他安全厂商并没有机会参与到实际的底层设计中,由安全厂商来参与内核层面的设计,基本上是不可能的。
此外,UAPP计划参与者都是信创领域的骨干企业,目标一致且沟通顺畅,解决问题效率高。于国家层面,也在积极探索信创环境下协同创新发展机制,建立并完善国产安全防护体系和产品技术标准,持续提升国产基础软硬件安全协同防护能力。
“微软从MAPP推出以后,极大提升了微软操作系统生态体系的安全性,我们还处于起步阶段,后续操作系统和安全厂商之间的协作内容会越来越丰富,围绕安全领域的协同沟通会越来越体系化”,朱建忠说。