|
一.背景 近年发生的“微软黑屏门”、“微软操作系统停更”、“棱镜门”等安全事件,一再为我国信息技术产业敲响警钟,解决信息技术产业自制可靠和信息安全问题已刻不容缓。国家“十四五”规划纲要提出加强原创性科技攻关,提高高端芯片、操作系统、人工智能等关键领域研发突破与迭代应用,建设自制可靠的信创操作系统,提升自制可靠能力,已成为国家重要战略之一。随着信创产业逐步深入,信创操作系统在重要单位以及金融、电力、能源、教育等关键行业应用落地,也从项目制试验性应用逐步向规模化应用转变。由此国家及产业链深刻认识并加快强化推动信创化操作系统创新生态建设,以满足各行业场景中信创操作系统规模化应用的需求。
随着信创操作系统的规模化应用,建设完善生态体系已成为重要发展目标。目前适用于信创操作系统的生态体系面临“碎片化”现状和问题,应用软件来源广泛、软件种类和版本众多、使用场景呈多元化且使用人群复杂,而信创操作系统在各个行业领域高度分散,缺乏统一的软件开发标准和生态应用平台,生态适配技术难以实现共享,造成了行业内、行业间生态割裂,严重阻碍数字化进程。当前,企业正处于数字化转型的关键时期,其业务形态逐渐丰富、规模不断扩大,陆续上线各类数字化、信息化系统以满足实际场景需求。基于信创操作系统生态现状及问题,以及企业对应用软件的合规性、安全性要求,针对信创操作系统生态予以汇聚和整合,并提供标准化、模块化、平台化的应用软件安全管理方案显得尤为重要。 二.现状分析
在当前信创发展背景下,随着重要单位及关键行业用户数字化转型逐步推进,对应用软件的安装、管理、分发、安全、升级等提出了更高要求,需求主要包括: (1)安装便捷
当前信创操作系统主要基于 Linux 二次开发,软件安装通常有以下几种方法:①源代码编译安装;②软件仓库包管理器(如 apt、yum、pacman、zypper等)安装;③离线包(如 deb、rpm 等)安装;④外网应用商店安装。对于普通用户,其中方法①、②需要具备一定的技术基础,通过命令行执行安装;方法③离线包的来源分散获取不便;方法④最为便捷。针对私有网络场景,需要类似的便捷安装方式。 (2)集中管理
用户实际应用场景大多处于与互联网物理隔离的私有网络环境,私有网络环境下大量应用软件如何实现分类管理、保证版本的连续性,如何准确安装所需版本,后续如何升级维护都是亟待解决的问题,解决这些问题过程繁琐,经常占据管理员的大量时间和资源。随着业务规模扩大,终端应用数量增多,安装、更新、维护的需求量增加,致使应用管理问题加剧,运维成本增高。因此需要实现对应用软件集中管理,降低运维成本,提高管理效率。 (3)专属分发渠道
应用软件的上传、下载一般采用 FTP 或共享文件夹等方式,软件缺乏专属分发渠道;此外,行业用户还需要对规模较大的专属软件进行分发和一包多传,传统分发方式影响用户下载使用效率,因此需要提供便捷的软件分发、同步管理的分发渠道,提高用户体验。
(4)安全合规
在私有网络环境下,用户信息系统通常需要遵循“安全分区、网络专用、横向隔离、纵向认证”的安全策略,而用户应用软件有多种来源,如自研软件、第三方厂商软件、众多开源社区的原生软件等,可能存在病毒、木马等安全隐患和系统兼容性问题,会导致数据丢失或系统崩溃,且无法追溯问题来源。因此需要对应用软件提供一种安全检测机制,确保其安全合规、可追溯。因此,应用软件的高效管理、安全等需求迫在眉睫。统信通过深入调研,结合统信操作系统产品特性,自制研发了企业级应用商店,满足了重要单位及关键行业用户对软件便捷安装、集中管理、分发同步、安全合规的需求,同时为用户提供应用软件适配、安装部署、升级维护等服务支撑。 三.产品介绍
3.1.产品简介
统信企业级应用商店(简称:“应用商店”)是一个图形化的软件管理软件产品。通过客户端为用户提供覆盖软件搜索、下载、安装、更新、卸载等功能,并支持常用软件和精选软件推荐功能。通过管理端提供应用管理、应用同步、数据分析、安全签名、权限管理、日志管理等功能。应用商店为重要单位以及金融、电力、能源、教育等关键行业用户提供一站式软件管理服务,帮助用户实现自制可靠、安全、高效的软件全生命周期管理。 3.2.总体架构
3.2.1.系统结构 应用商店由客户端和管理端组成,客户端具有图形化操作界面,为用户提供软件应用获取及安装更新等功能,管理端为管理员提供应用软件集中管理能力,实现企业应用软件全生命周期管理。 3.2.2.技术架构
应用商店技术架构自下而上依次包括集成开发环境、数据层、服务层以及表示层四个层次。 (1)集成开发环境
集成开发环境是系统开发使用的集成框架,主要包括开发环境、容器、持续集成工具、版本控制管理工具和语言软件开发工具包。客户端和管理端使用NG-ZORRO 和 Angular UI 组件库,实现良好的人机交互方式;管理端使用Golang 和 Gin 微服务框架,具有运行速度快、支持高并发的特点,保障整体运行稳定并且兼容多种架构。 (2)数据层
数据层承担着数据存储、数据分析的核心功能。针对不同业务数据提供不同存储方案,集成大文件存储能力。支持 PostgreSQL、MariaDB 存储业务信息、Redis 存储缓存临时信息、MinIO 存储二进制文件,具有高扩展、高可用、高统信企业级应用商店性能、可横向扩展等特点。 (3)服务层
服务层以开源框架、应用服务引擎为主。应用服务引擎包括管理服务、发布/订阅服务、仓库服务、签名服务、检索服务、缓存服务等。同时提供数据连接服务、消息服务、基础框架、访问协议等。
接口鉴权:运用 OAuth2.0 认证鉴权协议,实现对业务接口鉴权及用户登录认证的统一管理,确保用户访问的系统自制可靠。
服务协议:采用 HTTP API 和 gRPC API 服务等多种服务形式,实现应用软件服务接口,兼容 JSON、XML 等多格式数据。
消息服务:为提升系统异步处理效率,解决资源匹配的问题及处理瓶颈问题,系统引用消息通道技术(NSQ),按需实现事务模式和消息持久化。 (4)表示层
表示层用于支撑页面的开发维护和运行。管理端基于 HTML5 展示,集成了应用管理、包格式检查、软件签名等功能;客户端采用 Qt、WebEngine 和HTML5,通过 DBus 调用管理端服务实现软件的查询、安装、卸载和更新功能,使得客户端无需 Root 权限即可进行软件管理。 3.3.技术实现
3.3.1.安全签名机制
应用商店安全签名基于国家消息安全等级保护相关规范要求设计,支持 AES加密算法、国密算法、RSA 非对称加密技术,主要包含密钥生成、软件签名、签名验证等环节,由可信第三方和用户联合生成公私密钥,保障安全性,通过管理端进行软件签名(支持在线签名和离线签名),客户端对已签名认证的软件自动验签,保障软件签名安全高效。 3.3.2.应用分片同步
在应用商店中,除了应用管理外,使用最多的就是应用商店客户端和服务之间的应用同步上传与下载。应用上架过程需上传应用软件包,此环节受到网络状态、传输协议、请求时间及文件大小限制等因素影响可能导致上传过程缓慢或报错,造成系统处理效率低下、用户体验不佳。应用商店采用分片方式进行数据同步,支持手动、自动同步,实时、定时同步功能。应用商店软件上传环节基于对象存储MinIO的MultipartUpload特性,结合前端Vue.js + elementUI”和后端 FastAPI 实现大文件分片上传,分片后的文件通过并发的方式传输至服务端,上传文件过程中可显示上传进度。应用软件下载环节,应用商店客户端调用系统 DBus 方法进行分片下载。采用分片同步技术,可实现文件分片间采用并发方式传输,大幅提高大文件同步的处理速度。通过以上机制高效完成应用商店软件数据的上传和下载,有效提升用户体验。 3.3.3.数据存储策略
应用商店为海量软件数据存储需求提供分布式数据存储方案,通过统一存储管理、多用户隔离、混合存储形态等机制,满足灵活的多源异构数据存储需求。针对业务数据采用 PostgreSQL、MariaDB、Redis、MinIO 存储不同类型数据,通过多种存储能力的协同配合为应用商店提供数据可靠性保障。针对集群场景采用 GlusterFS 分布式存储,提供横向拓展能力。GlusterFS 支持有状态存储,存储节点互为镜像复制,数据冗余备份保证容灾性,确保部分节点发生故障存储集群仍可正常提供服务。 3.3.4.高可用快速部署
应用商店针对大规模终端使用场景,通过搭建负载均衡器(Server LoadBalancer,SLB)、高可用存储(GlusterFS)、容器集群(Docker Swarm)完成部署,并支持横向拓展,可为后续终端规模的增长提供稳定服务保障。 应用商店通过 SLB 负载均衡服务,可同时提供轮询、加权轮询、加权最小连接数、IP_HASH 等算法,合理分配服务端资源。基于 Docker 容器完成应用服务部署,容器支持对应用封装、分发、部署、运行等生命周期管理。DockerSwarm 内置加密分布式集群存储、加密网络、公用 TLS、安全集群接入令牌等,通过水平扩展可以迅速复制出相同的应用部署在集群上,不需额外配置,实现业务高可用部署。采用 GlusterFS 分布式存储实现数据存储服务高可用,备份节点磁盘损坏可以从另一个节点全量恢复数据。 3.4.产品功能
应用商店产品主要包括客户端和管理端,下面分别描述其产品功能。 3.4.1.客户端
应用商店客户端采用图形化界面,可视化展示热门推荐、最新上架、热门应用、下载排行、软件推荐及分类显示等,支持应用的搜索、查看、下载安装、更新及卸载等功能。应用商店支持数千款应用软件,软件数量不断增加中,更多应用软件可查看 https://www.uniontech.com/adapter-list。
应用搜索:支持应用全局搜索、精确搜索、模糊搜索等,以方便用户快速找到需要的应用。
应用详情查看:可查看应用详情的下载量、分类、版本、软件包大小、更新日期,以及应用标签、来源、简介等信息。
应用下载安装:支持对搜索出的应用软件一键下载、一键暂停、取消安装;应用下载完成后自动开始安装。
应用卸载:支持对已安装的应用软件一键卸载。
应用更新:支持对有版本更新的应用进行一键更新,可自动执行应用软件包下载及安装。 3.4.2.管理端
3.4.2.1.应用管理
应用商店应用管理包括应用创建、应用上架、应用更新、应用下架、应用删除、应用同步等功能,方便管理员统一管理应用。管理端支持上架的应用软件来源主要包括自研软件、第三方厂商软件、众多开源社区的原生软件,上架过程需经过包格式检测、安全检测、安全签名等环节,确保应用软件安全合规。 应用创建:提供应用创建功能,支持应用软件的信息维护,包括基本信息、图片信息、版本日志等,维护后的信息将同步到应用商店客户端。
应用上架:支持包格式检测、安全检测、包签名、应用推仓(应用软件提交到管理端软件仓库);支持应用推仓自动重试机制,应用推仓成功后提示上架发布成功,如失败则通过站内信提示推仓失败错误原因。包格式检测支持过滤无效应用包;支持上架不同来源的软件,支持上架用户自有软件。
应用更新:支持更新版本等;更新后,可在客户端查看更新的应用。
应用下架:管理端支持对不常用的应用软件或不合规的应用进行下架,下架后应用商店客户端不再显示该应用软件。
应用删除:支持管理员通过管理端删除已下架应用软件,为防止误删采用二次确认机制。
应用同步:管理端提供数据同步功能,方便将外网应用商店的软件同步到用户私有网络管理端,保障私有网络用户使用到版本最新、稳定可靠的应用软件。 3.4.2.2.安全签名
应用商店把控应用来源,仅允许安装用户信任的应用软件,通过安全签名支持应用防篡改,保障各种软件来源的安全、合规、完整。管理端支持在线自动签名和离线签名,客户端针对已签名认证的软件可自动验签,完成软件下载安装。
在线自动签名:管理端在应用创建和提交发布后,按照用户签名证书完成软件在线自动签名,同时进行自动推仓。
离线签名:可在创建应用时,使用签名工具对应用软件手动签名,再上传到管理端。
3.4.2.3.应用分发
应用商店提供完备的应用分发机制,满足企业内部应用灵活分配的需求。管理员通过管理端页面配置分发对象,可依据实际场景需要针对部门和分组进行分发,按需分发避免敏感应用面向全员发布造成的应用安全风险;用户可通过客户端快速获取工作相关应用,无需在海量应用中手工检索。应用商店支持对不同的终端或用户配置差异化权限,包括应用展示、下载、卸载权限。通过限制用户的应用操作权限,有效避免越权下载无关应用、卸载必装应用等行为。通过以上机制,满足企业应用灰度发布、应用权限差异化管理的需求。 3.4.2.4.数据分析
应用商店提供对应用基本信息、数据统计和图形化报表分析与展示,主要包括:统计视图多维展示、应用问题展示、应用数据检索、日志报表展示。例如:数据统计支持查看应用搜索量、下载量、使用量、使用时长等。 3.4.2.5.个性化配置
管理员可通过服务端管理后台完成应用商店客户端首页的个性化配置,自定义配置展示的模块和模块中推荐的应用,客户端首页可通过多种样式来展示推荐的应用,支持的页面配置项包括导航菜单、分类配置、首页配置、专题管理。企业可依据业务场景和需求进行个性化配置,展示企业专用应用,打造个性化应用商店客户端,彰显企业风格。
导航菜单:支持配置客户端导航栏内容,包括导航名、图标、展示内容等元素。
分类配置:支持配置应用分类,通过应用分类展示帮助用户快速获取应用。
首页配置:支持配置首页展示内容,可增加不同样式的栏目及展示的应用列表,在配置页面可对栏目进行编辑、拖拽排列、删除等操作,实现首页样式的个性化配置。
专题管理:支持配置专题内容,包括名称、封面图、背景图、字体及颜色等元素,通过专题方式进行应用展示和宣传。 3.5.产品配置要求
3.5.1.兼容性说明
3.5.2.硬件配置
四.产品优势
4.1.操作便捷
应用商店承继了统信桌面操作系统优异的交互体验,提供了应用软件展示、搜索、安装、下载管理等全图形化操作界面,提供数千款应用软件,覆盖网络应用,社交沟通、办公学习、系统功能、游戏娱乐等常用应用软件。软件的搜索和安装方便快捷,用户可以在应用商店中轻松搜索需要的软件,支持模糊搜索和一键安装;每款应用软件都经过严格的验证和运行测试来保证用户体验。 4.2.全生命周期管理
应用商店管理端支持应用创建、应用上架、应用同步、签名校验、应用更新、应用下架、应用删除等全流程应用管理。客户端支持展示、搜索、下载、更新、卸载等功能,为用户带来自制、安全、高效的应用全生命周期管理。应用商店管理端提供应用同步功能,通过统信官方认证的外网应用支持一键同步到私有网络,支持分片同步和断点续传,确保数据的连续、稳定同步。为用户提供应用软件专属分发渠道、规范的上下架流程和签名校验,解决应用软件使用及安全管理问题。 4.3.多重安全机制
应用商店采用多重安全机制。应用安全方面,采用应用签名授权机制,支持在线、离线签名满足不同应用场景需求,通过包格式检测、安全签名等机制保障应用安全运行,确保只分发经过认证的应用软件;权限管控方面,基于角色的访问控制和设置应用访问规则,提供应用黑白名单限制功能;安全审计方面,支持记录用户关键操作日志,包括访问时长、异常信息等,支持日志筛选、关键字检索和安全审计,便于在出现问题时进行定位和回溯。 此外,应用商店支持对接统信集中域管平台(简称:“域管平台”),通过域管平台身份认证模块,对应用商店的登录用户进行身份标识和鉴别,实现身份认证的统一管理,确保用户访问安全;通过域管平台帐号管理模块,实现针对用户的应用分级展示,管理员可灵活调整访问权限,实现精细化应用安全管控。 通过以上安全机制,保证系统安全,降低管理风险。同时产品设计充分考虑后期迭代与优化,确保可持续性与连续性,保障用户安全使用产品同时获得专业且优质的服务。 4.4.数据综合展示
应用商店提供对应用基本信息、使用结果数据的综合可视化展示,为用户应用软件有效合规使用提供数据支撑,例如:统计视图多维展示、应用问题展示、应用数据检索、应用分类统计显示(搜索量、下载量、使用量、使用时长等)。此外,支持可视化展示热门应用推荐、最新上架、热门应用、下载排行等,按照应用的关注度或者常用应用分类进行摆放。支持对样式、内容、布局、颜色、字体、名称等进行个性化配置,以符合用户自身使用习惯。 五.服务与支持
5.1.服务方案
统信建立了完善的产品售前、售中、售后技术服务体系,通过有效的组织运作机制和过硬的技术实力,为用户提供标准化、规范化、专业化的技术服务支持。统信拥有一支高素质、高学历,经验丰富、技术突出且覆盖全国的专业技术支持服务团队,可为用户提供远程支持、现场支持、培训认证、顾问咨询和系统定制等一系列服务支持。能够满足用户快速响应、及时处理并修复问题的要求,还可以按照用户的个性化需求提供订制服务,满足不同用户在各复杂业务应用场景的需要。详细服务可详见:https://www.uniontech.com/next/support/guide/1。 5.2.联系我们
统信软件技术有限公司
Uniontech Software Technology Co.,Ltd. 总部地址:北京经济技术开发区科谷一街 10 号院 12 号楼
www.uniontech.com 400-8588-488
| 
私信
