●操作系統高安全等級
嚴格遵照可信計算技術規范(TCM/TPCM、TPM2.0)、GB/T 20272-2006技術要求和國際CC標準等進行研制開發。通過操作系統安全的國家標準GB/T 20272-2006第四級(結構化保護級)測評認證。
中標麒麟可信操作系統軟件V6.0參考ISO9001質量管理標準、CMMI5研發過程管理標準研制;產品符合POSIX標準。
●安全功能和機制全面
基于LSM的安全子系統框架,提供基于三權分立機制的多項安全功能,包括身份鑒別、自主訪問控制、強制訪問控制、數據機密性和完整性保護、安全標記、可信路徑、安全審計等。針對不同的應用場景,系統支持細粒度的強制訪問控制SELinux和輕量級強制訪問控制SMACK。
高安全性實現機制包括:強制運行機制、強制能力機制、訪問控制列表、管理員三權分立、多因子認證、運行域隔離、數據保護機制等。
強制運行機制:通過強制訪問控制、多級安全和類型標記等功能機制實現防止用惡意的方法獲得系統的最高控制權限,充分防止網絡攻擊。。
強制能力控制:實現進程級的強制訪問控制,徹底消除系統不受限制的進程,賦予進程最小運行權限。
訪問控制列表:支持自主問控制和強制訪問控制,提供細粒度訪問控制,以角色、類型或特定用戶和特定組為單位分配訪問許可,防止權限擴散。
管理員三權:從底層內核設計實現系統的三權分立,三個管理員實現系統管理(系統管理員、安全管理員、審計管理員),且相互制約;消除超級用戶;防止惡意破壞操作系統的安全。
多因子認證:支持USBKey或可信芯片和密碼結合的雙因子認證實現強身份認證。
運行域隔離:對系統中的所有文件進行劃分安全等級和標記,并定義各個安全域的授權訪問策略,使得外來的惡意程序因為受限而無效。
數據保護:提供安全保密箱功能,在不對應用程序產生任何影響的情況下,實現對應用數據的加密存儲。
通過性能對比測試,安全機制全開情況下,中標麒麟可信操作系統軟件V6.0性能影響小于10%。
●系統高可用性強
中標麒麟可信操作系統軟件V6.0結合高可用集群軟件,具有熱備、互備能力,當單點服務器發生故障時,熱備/互備服務器能夠自動接管相應的服務,并可按照工作方式切換,如主-備方式、雙主機方式。
支持磁盤冗余實現高可用,減少系統恢復時間提高可靠性;支持網卡冗余功能,供網卡綁定、負載均衡和冗余備份,提高網絡整體可靠性;支持磁盤陣列冗余,支持主機備份,保證磁盤陣列數據連續性;支持軟件固化,可將關鍵的數據存儲于電子盤中,提高穩定性。
推薦使用中標麒麟高可用集群軟件和中標麒麟可信操作系統軟件配套使用。
●系統管理配置靈活,可維護性好
內置主流數據庫、中間件和應用服務器的安全策略,同時提供多種圖形化安全策略配置和管理工具;基于圖形化的安全控制中心實現系統安全可信功能模塊化的集中配置和管理,界面友好,簡潔易用;用戶可以方便快捷完成系統的安全管理。
支持對集群系統的統一監控和管理;提供安全檢測和報警功能,對各種安全異常事件進行實時監測,為事故發生前的預測、報警及事故發生后事故原因的查詢、定位、追尋提供詳細、可靠的依據和支持;提供通過命令行工具完成系統配置和維護;提供通過圖形界面完成系統配置和維護;提供審計管理工具,增強對審計數據的保護,提供靈活的審計記錄檢索和查看功能。
●可信計算實現內核級
國內首款全面支持TCM/TPCM和TPM2.0可信計算規范的可信操作系統,支持通用和專用可信密碼芯片/模塊;通過中標軟件可信度量模塊CTMM(CS2C Trusted Measure Module)提供可信引導和可信運行控制等功能;通過信任鏈的創建傳遞過程,實現對平臺軟硬件的完整性度量。
基于可信的白名單管控,實現對系統硬件、軟件和關鍵文件的完整性保護。
通過可信網絡連接技術,實現終端設備的可信接入。對接入設備和用戶通過硬件標識進行身份識別和認證。
提供基于可信芯片的上層可信功能(認證、加密、簽名等)和圖形化的可信管理中心。
實現信任鏈從物理主機到虛擬化平臺的拓展,提供對虛擬機的完整性度量。
支持專用可信密碼模塊,并實現了x86向龍芯、申威等自主平臺可信服務器的功能移植。
●軟硬件兼容性好
支持通用、專用的可信密碼模塊/芯片和國產可信固件;
支持Intel x86-64(AMD64)、海光和兆芯平臺;
兼容主流的服務器、存儲和數據庫、中間件、高可用集群軟件等。
服務器:浪潮、曙光、華為、聯想、寶德和DELL、HPE、IBM、Intel等。
數據庫:達夢、金倉、神通、南大通用和Oracle、IBM、Sybase等。
中間件:東方通、中創、金蝶、普元和Oracle、IBM等。
云平臺:中標麒麟虛擬化平臺軟件、華為FusionSphere、華三CAS等。
支持主流高可用集群軟件,包括中標麒麟、ROSE、Lifekeeper等。
支持主流虛擬化軟件,如VMware、KVM、Hyper-V等。
支持主流通用服務器和工作站硬件設備,如國產CPU平臺和UKey、加密卡/加密機、國產TCM/TPCM芯片和TPM2.0等。
支持基于Java的跨平臺軟件,可實現基于多款中間件軟件(如WebLogic)的Web應用系統、數據庫(如Oracle 11g)等。