服務(wù)器操作系統(tǒng)作為關(guān)鍵業(yè)務(wù)應(yīng)用和重要信息數(shù)據(jù)的承載平臺(tái)，在信息安全保障體系中處于非常關(guān)鍵的位置。作為我國(guó)信息安全領(lǐng)域的標(biāo)桿型企業(yè)，椒圖科技一直重視核心安全技術(shù)及產(chǎn)品的研發(fā)，并基于多項(xiàng)國(guó)家發(fā)明專利和180多項(xiàng)全新技術(shù)研發(fā)出了椒圖主機(jī)安全環(huán)境系統(tǒng)（即JHSE）。與以往人們認(rèn)知的安全操作系統(tǒng)不同，椒圖科技JHSE是對(duì)服務(wù)器操作系統(tǒng)的安全等級(jí)進(jìn)行動(dòng)態(tài)、透明地提升，不會(huì)影響原有應(yīng)用的業(yè)務(wù)邏輯和業(yè)務(wù)連續(xù)性，甚至不需要重新啟動(dòng)服務(wù)器，從而打造出能夠在金融、電信、海關(guān)、稅務(wù)等各領(lǐng)域?qū)崿F(xiàn)通用的安全操作系統(tǒng)。另一方面，對(duì)于傳統(tǒng)服務(wù)器操作系統(tǒng)安全加固產(chǎn)品只能滿足部分檢測(cè)要求的情況，椒圖科技不僅融合了原有加固產(chǎn)品的功能，而且對(duì)安全技術(shù)、模型等進(jìn)行了體系化地設(shè)計(jì)和開發(fā)，從而使擁有180多項(xiàng)全新技術(shù)點(diǎn)的JHSE產(chǎn)品完全滿足我國(guó)等級(jí)保護(hù)標(biāo)準(zhǔn)《GB/T20272-2006 信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》對(duì)三級(jí)操作系統(tǒng)的全項(xiàng)要求，大幅提升用戶信息系統(tǒng)的安全等級(jí)，填補(bǔ)了我國(guó)信息安全領(lǐng)域的一大空白。

椒圖科技JHSE擁有三大安全模型、八項(xiàng)關(guān)鍵技術(shù)及九大核心安全功能，通過(guò)對(duì)服務(wù)器操作系統(tǒng)的安全子系統(tǒng)（SSOOS）進(jìn)行重構(gòu)和擴(kuò)充，建立起多維度的安全防護(hù)體系，徹底免疫惡意代碼執(zhí)行、越權(quán)訪問(wèn)、數(shù)據(jù)泄露、破壞數(shù)據(jù)完整性等攻擊行為，為用戶信息系統(tǒng)正常、高效運(yùn)行保駕護(hù)航。

三大模型構(gòu)筑安全屏障

根據(jù)國(guó)家標(biāo)準(zhǔn)《GB/T20272-2006 信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》（以下簡(jiǎn)稱“操作系統(tǒng)安全國(guó)標(biāo)”）的等級(jí)劃分標(biāo)準(zhǔn)，目前普遍采用的商業(yè)服務(wù)器操作系統(tǒng)如AIX、HP-UX、Solaris、Windows 2000/2003/2008等僅僅達(dá)到第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的部分技術(shù)要求，其特點(diǎn)是超級(jí)用戶權(quán)力過(guò)于集中，并且權(quán)限可以自主地轉(zhuǎn)授，一旦超級(jí)用戶賬號(hào)被盜竊或者系統(tǒng)中某個(gè)應(yīng)用被入侵，將可能導(dǎo)致其他應(yīng)用無(wú)法正常運(yùn)行，甚至給操作系統(tǒng)帶來(lái)致命性的毀壞。為此，椒圖科技在JHSE產(chǎn)品中設(shè)立了增強(qiáng)型DTE、RBAC、BLP三種訪問(wèn)控制安全模型，利用增強(qiáng)型DTE生成安全域，并將增強(qiáng)型RBAC模型植入每個(gè)安全域，實(shí)現(xiàn)資源的動(dòng)態(tài)隔離和強(qiáng)制訪問(wèn)控制，增強(qiáng)型BLP的應(yīng)用則確保了數(shù)據(jù)流向的精準(zhǔn)控制。通過(guò)三種安全模型相輔相成地協(xié)同運(yùn)作，使系統(tǒng)本身及其內(nèi)部的業(yè)務(wù)應(yīng)用更加“健壯”。

椒圖科技JHSE提供的增強(qiáng)型DTE可以在系統(tǒng)內(nèi)部構(gòu)建多個(gè)虛擬的安全域，與傳統(tǒng)DTE不同，增強(qiáng)型DTE能夠同時(shí)分配主體和客戶，使不同域內(nèi)的主客體訪問(wèn)達(dá)到多對(duì)多的訪問(wèn)關(guān)系，解決現(xiàn)有DTE模型存在的安全目標(biāo)不準(zhǔn)確、系統(tǒng)的安全性難以控制等問(wèn)題。通過(guò)配置嚴(yán)格的隔離策略，阻止安全域內(nèi)、外部主體對(duì)客體的越權(quán)訪問(wèn)，從而實(shí)現(xiàn)保密性、完整性、最小特權(quán)等安全保護(hù)。

RBAC模型是基于角色的訪問(wèn)控制（Role-Based Access Control），在RBAC中，權(quán)限與角色相關(guān)聯(lián)，用戶通過(guò)成為適當(dāng)角色成員而得到這些角色的權(quán)限。增強(qiáng)型RBAC模型支持細(xì)粒度的配置，主體包括用戶、進(jìn)程、IP等等，客體為文件、端口、進(jìn)程、服務(wù)、網(wǎng)絡(luò)共享、磁盤及注冊(cè)表（僅windows），主體與客體通過(guò)訪問(wèn)策略建立關(guān)系。

BLP模型的基本安全策略是“上讀下寫”，高安全級(jí)別主體對(duì)低級(jí)別客體具有“只讀”權(quán)限，低安全級(jí)別主體則對(duì)高級(jí)別客體擁有“只寫”權(quán)限，同級(jí)別主客體間可讀寫，“上讀下寫”的安全策略保證了數(shù)據(jù)流向中的所有數(shù)據(jù)只能按照安全級(jí)別從低到高的流向流動(dòng)，從而保證了敏感數(shù)據(jù)不泄露。增強(qiáng)型BLP模型更注重對(duì)讀和寫的權(quán)限進(jìn)行細(xì)粒度地控制，讀權(quán)限包括讀數(shù)據(jù)、讀ACL等，寫權(quán)限包括寫數(shù)據(jù)、追加寫、寫ACL等。

正是憑借著增強(qiáng)型DTE、RBAC、BLP三種模型的高效應(yīng)用以及模型間的相互支撐、制約，椒圖科技JHSE才能在服務(wù)器操作系統(tǒng)上構(gòu)筑堅(jiān)固的安全屏障，使系統(tǒng)能夠免疫病毒、木馬等惡意軟件及黑客的攻擊，確保系統(tǒng)中信息和系統(tǒng)自身的安全性，為操作系統(tǒng)的保密性、完整性、可用性及可靠性提供重要支撐。

八項(xiàng)關(guān)鍵技術(shù)聯(lián)動(dòng)防御

椒圖科技JHSE是具有自主知識(shí)產(chǎn)權(quán)的主機(jī)安全環(huán)境系統(tǒng)，擁有多項(xiàng)國(guó)家發(fā)明專利和180多項(xiàng)創(chuàng)新技術(shù)，特別是通過(guò)雙重身份認(rèn)證、三權(quán)分立、可視化虛擬安全域等八項(xiàng)關(guān)鍵技術(shù)的聯(lián)動(dòng)防御，支撐服務(wù)器操作系統(tǒng)高效運(yùn)行。

在黑客攻擊技術(shù)飛速發(fā)展和攻擊方式日益豐富的今天，系統(tǒng)管理員賬號(hào)、密碼被盜竊的情況頻頻發(fā)生。為此，椒圖科技JHSE采用了USBKEY和密碼雙重身份認(rèn)證，為系統(tǒng)增加了“兩把鎖”。其中，USBKEY是一個(gè)硬件設(shè)備，由管理員直接掌控，是無(wú)法通過(guò)入侵、滲透等技術(shù)手段獲取的。在系統(tǒng)資源控制方面，椒圖科技JHSE設(shè)立了系統(tǒng)管理員、安全管理員、審計(jì)管理員三個(gè)角色，通過(guò)管理員之間的相互獨(dú)立、監(jiān)督和制約，實(shí)現(xiàn)“三權(quán)分立”的管理機(jī)制，最大限度地確保系統(tǒng)安全。

椒圖科技還創(chuàng)造性地將可視化虛擬安全域技術(shù)（ASVE）植入JHSE產(chǎn)品，在現(xiàn)有操作系統(tǒng)中創(chuàng)建多個(gè)虛擬空間（即“安全域”），每個(gè)安全域內(nèi)均具備增強(qiáng)型RBAC安全機(jī)制，從而實(shí)現(xiàn)用戶與用戶、應(yīng)用與應(yīng)用之間的隔離。另一方面，基于可視化虛擬安全域技術(shù)構(gòu)建的安全功能及應(yīng)用對(duì)原有應(yīng)用來(lái)說(shuō)是完全透明的，不會(huì)對(duì)原有的業(yè)務(wù)邏輯產(chǎn)生絲毫改變，從而實(shí)現(xiàn)業(yè)務(wù)應(yīng)用連續(xù)性與信息安全的“兩者兼得”。

在用戶數(shù)據(jù)保護(hù)方面，椒圖科技JHSE采用的增強(qiáng)型DTE、RBAC、BLP技術(shù)，使出入安全域的主體權(quán)限最小化，并有效控制數(shù)據(jù)流，通過(guò)對(duì)安全子系統(tǒng)（SSOOS）的重構(gòu)和擴(kuò)充，增加數(shù)據(jù)的安全屬性，可以有效防止數(shù)據(jù)泄露，保證了數(shù)據(jù)的保密性。同時(shí)，椒圖科技JHSE還可以對(duì)文件、賬戶、服務(wù)提供完整性保護(hù)，當(dāng)受保護(hù)對(duì)象出現(xiàn)增、刪、改等情況時(shí)，完整性檢查可報(bào)告修改日期和內(nèi)容，同時(shí)提供完整性還原操作，確保了用戶數(shù)據(jù)的完整性。

日志保護(hù)方面，椒圖科技JHSE采用高可信時(shí)間戳技術(shù)，增強(qiáng)日志抗抵賴的能力，確保日志的完整性和可靠性。

此外，椒圖科技JHSE還具備安全運(yùn)行測(cè)試技術(shù)，可以對(duì)SSF安全模型（如增強(qiáng)型DTE等）、SFP功能、SSOOS完整性進(jìn)行測(cè)試，確保系統(tǒng)正常運(yùn)行。同時(shí)， JHSE還集成了動(dòng)態(tài)拓?fù)渖杉夹g(shù)，使用戶能夠更方便地進(jìn)行分組管理。安全運(yùn)行測(cè)試技術(shù)和動(dòng)態(tài)拓?fù)渖杉夹g(shù)的應(yīng)用，為JHSE產(chǎn)品和信息系統(tǒng)的正常、高效運(yùn)行提供了“雙重籌碼”。

九大核心功能鑄造多維防護(hù)體系

等級(jí)保護(hù)是我國(guó)促進(jìn)信息安全保障體系建設(shè)的重要工作之一，經(jīng)過(guò)這幾年在全國(guó)范圍內(nèi)開展的定級(jí)工作，目前等級(jí)保護(hù)工作已進(jìn)入全面整改階段，對(duì)信息安全產(chǎn)品和服務(wù)有著強(qiáng)烈的需求。椒圖科技JHSE嚴(yán)格按照操作系統(tǒng)安全國(guó)標(biāo)的要求，強(qiáng)勢(shì)推出了雙重身份鑒別、安全審計(jì)、剩余信息保護(hù)等九大核心功能，在覆蓋原有加固產(chǎn)品功能的基礎(chǔ)上，大幅擴(kuò)充安全防護(hù)內(nèi)容并細(xì)化防護(hù)粒度，構(gòu)建出更加全面的安全防護(hù)體系，使服務(wù)器操作系統(tǒng)真正達(dá)到三級(jí)安全標(biāo)準(zhǔn)。

根據(jù)操作系統(tǒng)安全國(guó)標(biāo)對(duì)三級(jí)操作系統(tǒng)提出的八項(xiàng)硬性指標(biāo)，椒圖科技JHSE分別做了相應(yīng)的功能設(shè)計(jì)。首先在身份鑒別上，椒圖科技JHSE采用USBKEY和用戶名密碼雙重身份認(rèn)證鑒別技術(shù)，管理員必須通過(guò)全部身份認(rèn)證后，才能對(duì)系統(tǒng)進(jìn)行管理和維護(hù)；其次是敏感標(biāo)記方面，椒圖科技JHSE主、客體基于增強(qiáng)型RBAC角色訪問(wèn)控制，并且遵循BLP的安全模型原則，標(biāo)記主體和客體相應(yīng)的權(quán)限，使數(shù)據(jù)的安全得到有效地保證；訪問(wèn)控制方面，椒圖科技JHSE實(shí)行強(qiáng)制訪問(wèn)控制，控制的客體范圍包括文件、進(jìn)程等等，主體包括用戶、進(jìn)程及IP，實(shí)現(xiàn)了細(xì)粒度強(qiáng)制訪問(wèn)控制；剩余信息保護(hù)方面，椒圖科技JHSE提供了“剩余信息保護(hù)”模塊，避免用戶數(shù)據(jù)被惡意恢復(fù)，增強(qiáng)了數(shù)據(jù)的保密性；入侵防范方面，椒圖科技JHSE通過(guò)入侵檢測(cè)策略管理、分析、響應(yīng)等環(huán)節(jié)，防范和阻止入侵、攻擊等行為；惡意代碼防范方面，椒圖科技JHSE采用可視化安全域技術(shù)，遏制了惡意代碼的生存空間；資源控制方面，椒圖科技JHSE采用了強(qiáng)制磁盤、內(nèi)存、外設(shè)等配額訪問(wèn)控制的方式，對(duì)每個(gè)用戶的資源使用情況進(jìn)行跟蹤和控制，避免由于磁盤空間、內(nèi)存、外設(shè)等資源使用失控造成的系統(tǒng)、應(yīng)用程序崩潰等問(wèn)題；在安全審計(jì)方面，椒圖科技JHSE提供違規(guī)日志、系統(tǒng)日志、完整性檢測(cè)日志等全面的安全審計(jì)功能，有利于追溯威脅產(chǎn)生的原因，并聯(lián)動(dòng)其他安全模塊全面提升防護(hù)水平。

此外，椒圖科技JHSE還設(shè)立了“報(bào)警工作站”安全模塊，一旦發(fā)生重要的錯(cuò)誤操作、入侵等行為，將自動(dòng)觸發(fā)報(bào)警機(jī)制，并通過(guò)郵件、短信方式及時(shí)發(fā)送到報(bào)警工作站。椒圖科技JHSE通過(guò)雙重身份認(rèn)證、敏感標(biāo)記、強(qiáng)制訪問(wèn)控制等功能的協(xié)同運(yùn)作，構(gòu)建出多維度的安全防護(hù)體系，大幅提升操作系統(tǒng)的安全等級(jí)。

隨著我國(guó)信息化建設(shè)的深入推進(jìn)，信息安全在國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中占據(jù)著越來(lái)越重要的位置，這就需要信息安全廠商加大對(duì)安全產(chǎn)品及技術(shù)創(chuàng)新的投入力度，為用戶提供更完善的信息安全產(chǎn)品及解決方案。椒圖科技JHSE的成功推出，填補(bǔ)了傳統(tǒng)信息安全解決方案在系統(tǒng)層面的安全短板。通過(guò)對(duì)安全子系統(tǒng)進(jìn)行重構(gòu)和擴(kuò)充，椒圖科技JHSE打造出通用型的三級(jí)安全操作系統(tǒng)，使用戶信息系統(tǒng)免疫病毒、木馬等惡意軟件及黑客的攻擊，并解決了操作系統(tǒng)補(bǔ)丁滯后性帶來(lái)的安全隱患，為服務(wù)器操作系統(tǒng)提供全方位的立體防護(hù)。