喜马拉雅-PC端文章正文页面顶部通栏2.22&2.23

OpenHarmony操作系统到底安不安全?这次有了权威性的认证

LightBeeOS通过国家网安中心EAL 4+认证,证明了OpenHarmony具备相关的信息安全保障能力。

1

当下,网络技术正处于一个升级换代的时刻,这一次的革新也将引领万物智联时代的到来。新的时代,往往伴随着新的需求,同样也需要一个新的数字底座,自研操作系统,成为近几年国内科技界热议的话题。

2020年,华为将智能终端操作系统基础能力相关代码贡献给开放原子开源基金会,OpenHarmony由此诞生。四年后的今天,OpenHarmony社区已拥有超210家伙伴,构建了42款发行版。日前,证通电子基于OpenHarmony打造的LightBeeOS获得了CCRC EAL 4+证书,而这也是首个获此证书的OpenHarmony行业发行版。

“这个认证本身就很复杂,认证通过也证明了OpenHarmony底座具备相关的信息安全保障能力,”OpenHarmony安全委员会产业安全使能与标准化工作组副组长翟世俊对钛媒体APP表示,“LightBeeOS获得了CCRC EAL 4+证书,一定程度上也打消了客户在安全上的顾虑,可以支撑我们的生态厂商开发更多的发行版,进入到更多对安全要求比较高的领域”。

万物智联时代,既要生态也要安全

未来,数据是最宝贵的资产。万物智联时代,交互的设备更多,相应用户“暴露”的数据也更多。无论是软件还是硬件,安全已成为一个刚性的要求,更别提操作系统了。

基于开源的特性,外界对于开源操作系统安全性一直存在担忧,认为开源的漏洞可能会比较多。但是,有一个概念需要搞清楚——开源和开放是两个不同的问题,开源可以是封闭的,不开源也可以是开放的。

翟世俊认为,安全是相对的,不是绝对的,开源在一定程度上对安全反而有好处,因为代码会公开,大家会进行一个充分的研究,隐藏的安全问题相对也会少一点。“OpenHarmony还设有安全委员会,来保障代码的安全,以及对漏洞进行应急响应。”

作为金融行业中的一员,证通电子更是对安全有着深刻的理解。“金融安全至关重要,丰富的多形态的金融数字终端,需要真正安全的数字底座承载”,证通电子董事、安全支付事业部总经理、OpenHarmony研究院院长程胜春说道。

交流中,钛媒体App了解到,多年来金融领域的终端设备一直使用的国外操作系统,这对我国金融信息安全造成一定风险, 国家也一直在强调和号召要打好科技仪器设备、操作系统和基础软件国产化攻坚战,鼓励科研机构、高校同企业开展联合攻关,提升国产化替代水平和应用规模。

“OpenHarmony作为面向分布式全场景协同的开源智能终端操作系统基座和生态系统,正好与我们的目标契合,因此我们选择了它作为LightBeeOS系统的底座。”

据了解,证通电子围绕系统性本质安全,采用多种机制与技术手段让LightBeeOS操作系统整体上达到金融级安全标准。OpenHarmony的底座也提升了证通电子整个金融安全的业务逻辑,过去都是基于部件类、组建类的安全,现在则是在操作系统级别有了安全的加持。

“让金融行业的数字终端设备长在真正中国自己的数字底座上”,这是程胜春认为OpenHarmony给金融机构带来的独特价值,“OpenHarmony在生态上的开放开源包容,以及一次开发、多端部署等特质,迎合了互联互通场景的需求,也轻量化了我们网点应用业务流程的再造。”

操作系统获得CCRC EAL 4+认证难在哪里?

加入OpenHarmony,给程胜春带来最大的感受就是找到组织了。过往,基于国外操作系统的开发,需要做一些剪裁,但是很难得到专业上的支持,都是摸着石头过河。现如今,开放原子开源基金会OpenHarmony项目组、技术专家和开源社区等都会提供全方位的支持和帮助,包括项目运营、生态构建、开发资源和工具提供、技术支持以及安全策略、知识产权保护等方面。

程胜春透露,在OpenHarmony项目组的帮助下,系统的开发大大提速。此前原本以为需要半年才能攻关的问题,现在两三周就解决了。用他的话来说,如果没有这些支持,LightBeeOS获得CCRC EAL 4+认证也会更加艰难。而在翟世俊看来,金融领域对安全要求很高,在攻关的过程中,也是对OpenHarmony的反哺,可以不断提升平台的竞争力。

2

若受审产品获得了EAL 4增强级认证,则表明该受审产品在信息及网络安全领域中具备较高的安全能力。同时,相比较单个模块或者子系统,CCRC EAL 4+认证对操作系统的安全提出了非常高的要求,需要对系统的安全架构进行全面严格的审核。翟世俊指出,“系统越复杂,面临的攻击路径就越多,要保证安全难度就越大,更需要一个完善的治理体系。”

据介绍,从代码上链的那一刻起,就需要对启动后的整个链条做校验,保证代码不存在被篡改的。运行阶段,要保证数据在设备上的存储安全,不同的数据也需要提供不同的安全保障机制。而在更新的过程中,则是要保证来源于可信的地方。比如说证通电子的操作系统都是从证通电子的服务器上下载更新,保证资源来源的安全性。

鉴于如此复杂的安全要求,在获得CCRC EAL 4+认证前,中国网络安全审查技术与认证中心首先会对LightBeeOS的安全功能进行全面测评,并结合详细设计、源码审计、渗透测试、现场审核等对LightBeeOS安全进行全面评估。

程胜春表示,“拿通用的整套操作系统,而且是国产自主的基于OpenHarmony的操作系统,进行这么高级别的安全认证是首次。”

目前,证通电子的LightBeeOS发行版应用于小型设备和标准带屏富设备,已先后研发商用10余款物联终端、行业服务设备。多个金融级智能终端已通过中国银联银行卡收单设备和国密等相关认证。

千行百业数字化转型,有了更安全的数字底座

现在的竞争,早已不局限于硬件的争夺,更是系统、生态互联的比拼。翟世俊表示,“此次LightBeeOS获得CCRC EAL 4+认证,不仅仅是对证通电子的认可,也是对OpenHarmony数字底座安全能力的证明。”

值得注意的是,做CCRC EAL 4+认证,对OpenHarmony的安全能力、竞争力和生态发展也非常有帮助。 其一, EAL认证遵循国家标准《GB/T18336》,具有一定的权威性,若受审产品获得了EAL 4增强级认证,则表明该受审产品在信息及网络安全领域中具备较高的安全能力。“我们希望用CCRC EAL 4+认证的权威性,来证明我们的产品确实达到了一定的安全能力。”

其二,在做认证的过程中,也是对OpenHarmony和LightBeeOS的一次深度测验,对于操作系统本身也是一个提升的过程。

其三,给千行百业数字化转型的企业信心。众所周知,金融行业对安全的要求特别高,此次LightBeeOS获得CCRC EAL 4+认证后,打消了客户的疑虑,可以放心的去开发更多的发行版,同时也能吸引更多对安全要求比较高的客户加入。

3

开源三年来,OpenHarmony系统能力快速成熟。日前,OpenHarmony 4.0 Release版也正式对外发布,开发套件升级到API 10,相较前序版本新增4000多个API接口。另外,新版本在用户交互体验、组件能力、分布式硬件支持范围和安全及隐私方面的能力也得到进一步增强。

程胜春认为,站在“巨人”的肩膀上,基于优秀的基因持续迭代进化,LightBeeOS也会成为更加卓越的行业操作系统。(本文首发钛媒体App,作者/杜志强,编辑/钟毅)

转载请注明出处、作者和本文链接
声明:文章内容仅供参考、交流、学习、不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容
  • OpenHarmony没有微内核,没有形式化验证,没有确定时延引擎,甚至有一个版本用的还是“代码庞大冗余、难以保证不同终端体验流畅”的Linux内核,“难以保障用户体验”,以华为的标准,说它是垃圾可能有一点点过分,说它是个落伍的东西,不过分吧

    回复 2023.11.12 · via iphone
  • OpenHarmony 和 鸿蒙不完全是一个东西

    回复 2023.11.12 · via android
  • 信息安全是OpenHarmony操作系统的优势之一

    回复 2023.11.11 · via h5
  • 开源版的OpenHarmony本质上是面向物联网设备的操作系统,手机反而不是它的主要应用场景

    回复 2023.11.10 · via iphone
40
4
31

扫描下载App