中标麒麟

中标麒麟操作系统采用强化的Linux内核，分成桌面版、通用版、高级版和安全版等，满足不同客户的要求，已经广泛的使用在能源、金融、交通、*、央企等行业领域。中标麒麟增强安全操作系统采用银河麒麟KACF强制访问控制框架和RBA角色权限管理机制，支持以模块化方式实现安全策略，提供多种访问控制策略的统一平台，是一款真正超越“多权分立”的B2级结构化保护操作系统产品。中标麒麟增强安全操作系统从多个方面提供安全保障，包括管理员分权、最小特权、结合角色的基于类型的访问控制、细粒度的自主访问控制、多级安全(即禁止上读下写)等多项安全功能，从内核到应用提供全方位的安全保护。中标麒麟安全操作系统符合Posix系列标准，兼容联想、浪潮、曙光等公司的服务器硬件产品，兼容达梦、人大金仓数据库、湖南上容数据库（SRDB)、Oracle9i/10g/11g和Oracle9i/10g/11gRAC数据库、IBMWebsphere、DB2UDB数据、MQ、BeaWeblogic、BakBone备份软件等系统软件。

中文名：中标麒麟

外文名：NeoKylin

开发发行商：上海中标软件有限公司

1、产品简介

品牌产生

2010年12月16日，两大国产操作系统——民用的“中标Linux”操作系统和解放军研制的“银河麒麟”操作系统，在上海正式宣布合并，双方今后将共同以“中标麒麟”的新品牌统一出现在市场上，并将开发军民两用的操作系统。

两大操作系统的开发方中标软件有限公司和国防科技大学同日缔结了战略合作协议。双方今后将共同开发操作系统，共同成立操作系统研发中心，共同开拓市场，并将在“中标麒麟”的统一品牌下发布统一的操作系统产品。

政策支持

2010年10月确定的核高基项目名单中“中标麒麟”共计获得了约2.5亿元的“核高基”专项经费，名列基础软件扶持资金第一。按照“核高基”政策规定，项目所在地上海市也将按照1:1的比例拿出不少于此的资金扶持。而另一大国产操作系统厂商中科红旗也获得了为数不少的“核高基”经费支持。“核高基”是对核心电子器件、高端通用芯片及基础软件产品的简称，是2006年国务院发布的《国家中长期科学和技术发展规划纲要(2006-2020年)》中与载人航天、探月工程并列的16个重大科技专项之一。

中标麒麟

本次“核高基”项目的确定再次给国产操作系统提供了大笔资金支持。

企业拿到这笔“核高基”资金后需要承担更高的考核目标压力，负责核高基实施的*部委要求国产操作系统厂商尽快实现产业化目标，卖多少套产品出去，实现多少产值，并形成一定的市场竞争力。这一考核目标为期两年，并在“十二五”计划时重新评定项目。

“国产操作系统确实迎来了一个很好的发展机遇。”中标软件总经理、国家“核高基”专家组成员韩乃平2010年12月16日接受采访时表示。

企业合作

2014年8月2日，戴尔宣布与国内操作系统厂商中标软件有限公司签署合作协议，计划在戴尔商用电脑系列产品预装中标麒麟（NeoKylin）操作系统。戴尔表示，首批预装中标麒麟的产品包括戴尔Latitude商用笔记本电脑、OptiPlex商用台式机电脑、Precision工作站等终端产品。随着合作的深入，戴尔陆续将该操作系统预装延伸至其他产品线包括Vostro系列等。

2、产品标示

标识以中国传统神兽“麒麟”为造型，是对中标麒麟品牌内涵深刻与全面的诠释。

●“麒麟”是中华民族的象征，对“麒麟”造型的应用，宣誓了品牌“立足中国，以国产操作系统研发、推广为己任”的品牌理念。

●“麒麟”是中国的守护神兽，千年来警示国家得失、预兆盛世来临。而国产操作系统作为一切软硬件应用的基础系统平台，正是守护信息化安全的基础。对“麒麟”造型的应用，诠释了品牌“打造国家信息安全基石”的重要责任。

●“麒麟”以红、黄相兼为主色，是对“火”的演绎。象征着“激情与生命力”的品牌文化。

●“麒麟”造型“昂首阔步”，象征着品牌以国产操作系统为核心不断发展、不断创新，打造“国产操作系统*”的品牌愿景。

3、系统介绍

桌面操作系统

中标麒麟桌面操作系统是一款面向桌面应用的图形化桌面操作系统，针对X86及龙芯、申威、众志、飞腾等国产CPU平台进行自主开发，率先实现了对X86及国产CPU平台的支持，提供性能最优的操作系统产品。通过进一步对硬件外设的适配支持、对桌面应用的移植优化和对应用场景解决方案的构建，完全满足项目支撑，应用开发和系统定制的需求。

该系统除了具备基本功能外，还可以根据客户的具体要求，针对特定软硬件环境，提供定制化解决方案，实现性能优化和个性化功能定制。

中标麒麟桌面操作系统是国家重大专项的核心组成部分，是民用、军用“核高基”项目桌面操作系统项目的重要研究成果，该系统成功通过了多个国家权威部门的测评，为实现操作系统领域“自主可控”的战略目标做出了重大贡献。在国产操作系统领域市场占有率稳居第一。

中标麒麟桌面操作系统针对X86及龙芯、申威、众志等国产CPU平台，完成了硬件适配、软件移植、功能定制和性能优化，可以运行在台式机、笔记本、一体机、车载机等不同产品形态之上，支撑着国防、*、企业、电力和金融等各领域的应用。

安全操作系统

为满足*、国防、电力、金融、证券等领域，以及企业电子商务和互联网应用对操作系统平台的安全需求，中标软件有限公司研发的安全可控、高安全等级的操作系统平台产品——中标麒麟安全操作系统软件V5.0；为用户提供全方位的操作系统和应用安全保护，防止关键数据被篡改被窃取，系统免受攻击，保障关键应用安全、可控和稳定的对外提供服务。

安全邮件服务器

为了解决通用邮件系统安全性和保密性问题，中标软件有限公司面向*和中小企业研制推出的安全增强电子邮件服务器软件。

中标麒麟安全邮件服务器软件基于高安全等级的中标麒麟安全操作系统平台并与之集成一体化，构建“系统安全+邮件安全+管理安全+防攻击”结合的全方位立体化安全体系，确保用户能够防御来自内部人员及外部攻击的邮件窃密。

安全云操作系统

中标麒麟安全云操作系统目包含三个组件：

(1)中标麒麟安全云管理平台（NeoKylinSecurityCloudManagementPlatform，简称NeoKylinsCloudMP

(2)中标麒麟安全云虚拟化服务器（NeoKylinSecurityCloudVirtualizationServer，简称NeoKylinsCloudVS

(3)中标麒麟安全云虚拟桌面套件（NeoKylinSecurityCloudVirtualDesktopSuite，简称NeoKylinsCloudVDS

4、系统特点

优化和加固的Linux2.6内核技术：

全面改善内存、CPU(多内核系统)、输入输出和网络(IPV4/IPV6)的性能和可扩展性。

全面的审计能力：

能够记录整个系统的活动以及对整个系统所进行的修改（比如，对文件系统操作、进程系统调用、用户更改密码等操作、添加/删除/更改账户和更改配置等。

与Unix的互操作性：

支持最新的AutoFS和NFSv4，可与SunSolaris、HP-UX、IBMAIX等UNIX系统共享映射。

与MicrosoftWindows的互操作性：

Samba提供了与微软Windows文件和打印（CIFS）系统互用的功能，更好的集成和高度兼容，并与微软活动目录有更好的集成。

5、安全技术特点

KACF强制访问控制框架：

除了包括访问控制实施功能外，还包括安全标记、钩子函数和全局访问策略列表等组成部分，与其它强制访问控制框架不同的是，KACF在内核增加了角色的概念，系统用户不再直接赋予标记，而是对角色赋予标记。

管理员分权：

将传统主流操作系统的root的管理功能分解为多个角色，它们分别是：系统管理员、安全管理员和安全审计员。基于RBA机制，系统还可以灵活地定义出更多的特色管理员，所以称为“超三权”分立。

细粒度的自主访问控制：

传统的UNIX文件权限模式是一种控制粒度很粗的DAC机制。它将用户分为文件属主、同组用户和其它三类，分别指定读、写、执行权限。文件的拥有者无法指定文件只被某个具体的用户或某几个具体的用户所组成的组所访问。麒麟安全操作系统设计实现了符合国际标准的基于访问控制列表（ACL）的自主访问控制策略。

进程权能控制：

进程只有具有了权能，才能够代表用户进行特权操作。权能机制作为强制访问控制的一部分，挂接在基于角色定权的强制访问控制框架KACF下。利用角色权能、进程权能和文件权能，使得不同用户执行相同的文件可能有不同的权限，同一个用户执行不同的文件也有不同的权限，从而可以明确各个进程运行时的权限，使其仅具有完成其功能所必需的能力，实现最小特权。

类型实施强制访问控制：

为了保证系统安全，信息系统必须能够实施满足机密性和完整性需求的信息安全隔离，麒麟安全操作系统设计实现角色相关的基于类型的访问控制（RoleTypeEnforcement，TE）策略。该策略基于KACF强制访问控制框架实现，对系统主客体根据不同的应用目的划分为不同的类型域，并定义类型之间的转换规则和访问控制规则，保障系统数据的安全隔离。

客体重用：

实现了内存和磁盘文件的客体重用。内存客体重用用于防止新主体获得先前主体残留在内存中的信息。内存客体重用在分配内存时实施，它对内存进行覆写，以达到禁止重用目的。在释放磁盘数据块之前，首先覆盖数据块的内容，然后才释放，从而保证磁盘块中不会残留先前文件的内容。

强制完整性控制：

在全系统内实时地保护数据的完整性。通过强制完整性控制策略，麒麟安全操作系统保证了高级别的文件、进程等不会被低级别进程破坏。系统运行时，高级别进程在执行低级别文件后会降低级别，而低完整级进程不可能通过执行文件提升自己的权限。

多级安全：

多级安全技术主要目的是实现系统的机密性，禁止上读下写，即保护高机密信息不能向低机密信息流动。为了更加符合实际使用情况，麒麟提出了进程安全级与用户安全级分离技术，提出密级应用的概念，在整个安全框架内，比其他产品更容易实现BLP规则。

安全审计：

安全审计机制创建和维护被保护客体的访问记录，并能阻止非授权的用户对这些记录进行访问或破坏。审计管理员可以根据系统的运行状态及当前的情况来确定需要审计的事件，使用分析软件来处理日志文件。