硬件兼容性
凝思系统V6.0.60支持x86、x86_64、PPC等CPU,IDE、RAID、USB和SCSI控制器,HBA控制器,NVIDIA、ATI显卡,能在主流厂商的服务器、PC、公共机及笔记本上正常运行。
软件兼容性
凝思安全操作系统V6.0.60上可稳定运行多种应用软件。
软件包管理机制
凝思安全操作系统V6.0.60采用deb包管理方式,能够更好地处理软件依赖关系,便于本地管理以及远程升级软件包。
网络部署
凝思安全操作系统V6.0.60提供网络部署模块,支持全自动网络安装,提高大规模部署的工作效率,降低安装出错几率。
能量控制
在能量控制研究方面,经过仔细分析计算机中CPU、硬盘、显卡等硬件的耗电情况,根据实际应用要求,最终确定以控制CPU频率、内核节电配置和用内存盘缓存硬盘读写的方案实现能耗的降低。通过方案的实施,达到了相对原有系统能耗降低0.5%的目标。
速率优化
在速率优化方面,分别针对AMD和Intel的体系结构进行了研究。主要在内核中针对不同体系结构的选项进行筛选,在编译系统的过程中,为不同的体系结构配置了不同的编译选项。
凝思安全机制
强制访问控制(Mandatory Access Control,简称MAC)
在6.0.42系统实现的强制访问控制功能中,强制访问控制策略中的规则是固定的,数据流动需同时满足BLP策略和BIBA 策略。规则固定,主体和客体标签的含义也是固定的,分别代表BLP级别(category)、BLP类别(class)以及BIBA 的完整性级别(integrity)。而6.0.60系统中实现的强制访问控制的规则是可以配置的,标签的含义也是可以配置的,并且可以配置为完全覆盖6.0.42系统的强制访问控制机制。另外,与6.0.42不同的是,6.0.60的标签是全系统的,每个主体或客体都带有标签。
强制行为控制(Mandatory Behavior Control,简称MBC)
MBC是6.0.42系统中MEC(Mandatory Execution Control,强制运行控制)的增强。MEC是对进程执行系统调用execve进行控制,允许或拒绝进程execve某些程序文件。MBC在MEC的基础上将控制的行为从执行扩展到读、写、和执行。
强制能力控制(Mandatory Capability Control,简称MCC)
MCC利用能力,针对传统UNIX模型进行优化,将特权细分成不同的能力,从而可以避免因挟持特权进程而产生的安全威胁。这和6.0.42系统的目的是一致的,但是我们采用了完全不一样的实现方式。