服務器操作系統(tǒng)作為關鍵業(yè)務應用和重要信息數(shù)據(jù)的承載平臺，在信息安全保障體系中處于非常關鍵的位置。作為我國信息安全領域的標桿型企業(yè)，椒圖科技一直重視核心安全技術及產品的研發(fā)，并基于多項國家發(fā)明專利和180多項全新技術研發(fā)出了椒圖主機安全環(huán)境系統(tǒng)（即JHSE）。與以往人們認知的安全操作系統(tǒng)不同，椒圖科技JHSE是對服務器操作系統(tǒng)的安全等級進行動態(tài)、透明地提升，不會影響原有應用的業(yè)務邏輯和業(yè)務連續(xù)性，甚至不需要重新啟動服務器，從而打造出能夠在金融、電信、海關、稅務等各領域實現(xiàn)通用的安全操作系統(tǒng)。另一方面，對于傳統(tǒng)服務器操作系統(tǒng)安全加固產品只能滿足部分檢測要求的情況，椒圖科技不僅融合了原有加固產品的功能，而且對安全技術、模型等進行了體系化地設計和開發(fā)，從而使擁有180多項全新技術點的JHSE產品完全滿足我國等級保護標準《GB/T20272-2006 信息安全技術-操作系統(tǒng)安全技術要求》對三級操作系統(tǒng)的全項要求，大幅提升用戶信息系統(tǒng)的安全等級，填補了我國信息安全領域的一大空白。

椒圖科技JHSE擁有三大安全模型、八項關鍵技術及九大核心安全功能，通過對服務器操作系統(tǒng)的安全子系統(tǒng)（SSOOS）進行重構和擴充，建立起多維度的安全防護體系，徹底免疫惡意代碼執(zhí)行、越權訪問、數(shù)據(jù)泄露、破壞數(shù)據(jù)完整性等攻擊行為，為用戶信息系統(tǒng)正常、高效運行保駕護航。

三大模型構筑安全屏障

根據(jù)國家標準《GB/T20272-2006 信息安全技術-操作系統(tǒng)安全技術要求》（以下簡稱“操作系統(tǒng)安全國標”）的等級劃分標準，目前普遍采用的商業(yè)服務器操作系統(tǒng)如AIX、HP-UX、Solaris、Windows 2000/2003/2008等僅僅達到第二級系統(tǒng)審計保護級的部分技術要求，其特點是超級用戶權力過于集中，并且權限可以自主地轉授，一旦超級用戶賬號被盜竊或者系統(tǒng)中某個應用被入侵，將可能導致其他應用無法正常運行，甚至給操作系統(tǒng)帶來致命性的毀壞。為此，椒圖科技在JHSE產品中設立了增強型DTE、RBAC、BLP三種訪問控制安全模型，利用增強型DTE生成安全域，并將增強型RBAC模型植入每個安全域，實現(xiàn)資源的動態(tài)隔離和強制訪問控制，增強型BLP的應用則確保了數(shù)據(jù)流向的精準控制。通過三種安全模型相輔相成地協(xié)同運作，使系統(tǒng)本身及其內部的業(yè)務應用更加“健壯”。

椒圖科技JHSE提供的增強型DTE可以在系統(tǒng)內部構建多個虛擬的安全域，與傳統(tǒng)DTE不同，增強型DTE能夠同時分配主體和客戶，使不同域內的主客體訪問達到多對多的訪問關系，解決現(xiàn)有DTE模型存在的安全目標不準確、系統(tǒng)的安全性難以控制等問題。通過配置嚴格的隔離策略，阻止安全域內、外部主體對客體的越權訪問，從而實現(xiàn)保密性、完整性、最小特權等安全保護。

RBAC模型是基于角色的訪問控制（Role-Based Access Control），在RBAC中，權限與角色相關聯(lián)，用戶通過成為適當角色成員而得到這些角色的權限。增強型RBAC模型支持細粒度的配置，主體包括用戶、進程、IP等等，客體為文件、端口、進程、服務、網(wǎng)絡共享、磁盤及注冊表（僅windows），主體與客體通過訪問策略建立關系。

BLP模型的基本安全策略是“上讀下寫”，高安全級別主體對低級別客體具有“只讀”權限，低安全級別主體則對高級別客體擁有“只寫”權限，同級別主客體間可讀寫，“上讀下寫”的安全策略保證了數(shù)據(jù)流向中的所有數(shù)據(jù)只能按照安全級別從低到高的流向流動，從而保證了敏感數(shù)據(jù)不泄露。增強型BLP模型更注重對讀和寫的權限進行細粒度地控制，讀權限包括讀數(shù)據(jù)、讀ACL等，寫權限包括寫數(shù)據(jù)、追加寫、寫ACL等。

正是憑借著增強型DTE、RBAC、BLP三種模型的高效應用以及模型間的相互支撐、制約，椒圖科技JHSE才能在服務器操作系統(tǒng)上構筑堅固的安全屏障，使系統(tǒng)能夠免疫病毒、木馬等惡意軟件及黑客的攻擊，確保系統(tǒng)中信息和系統(tǒng)自身的安全性，為操作系統(tǒng)的保密性、完整性、可用性及可靠性提供重要支撐。

八項關鍵技術聯(lián)動防御

椒圖科技JHSE是具有自主知識產權的主機安全環(huán)境系統(tǒng)，擁有多項國家發(fā)明專利和180多項創(chuàng)新技術，特別是通過雙重身份認證、三權分立、可視化虛擬安全域等八項關鍵技術的聯(lián)動防御，支撐服務器操作系統(tǒng)高效運行。

在黑客攻擊技術飛速發(fā)展和攻擊方式日益豐富的今天，系統(tǒng)管理員賬號、密碼被盜竊的情況頻頻發(fā)生。為此，椒圖科技JHSE采用了USBKEY和密碼雙重身份認證，為系統(tǒng)增加了“兩把鎖”。其中，USBKEY是一個硬件設備，由管理員直接掌控，是無法通過入侵、滲透等技術手段獲取的。在系統(tǒng)資源控制方面，椒圖科技JHSE設立了系統(tǒng)管理員、安全管理員、審計管理員三個角色，通過管理員之間的相互獨立、監(jiān)督和制約，實現(xiàn)“三權分立”的管理機制，最大限度地確保系統(tǒng)安全。

椒圖科技還創(chuàng)造性地將可視化虛擬安全域技術（ASVE）植入JHSE產品，在現(xiàn)有操作系統(tǒng)中創(chuàng)建多個虛擬空間（即“安全域”），每個安全域內均具備增強型RBAC安全機制，從而實現(xiàn)用戶與用戶、應用與應用之間的隔離。另一方面，基于可視化虛擬安全域技術構建的安全功能及應用對原有應用來說是完全透明的，不會對原有的業(yè)務邏輯產生絲毫改變，從而實現(xiàn)業(yè)務應用連續(xù)性與信息安全的“兩者兼得”。

在用戶數(shù)據(jù)保護方面，椒圖科技JHSE采用的增強型DTE、RBAC、BLP技術，使出入安全域的主體權限最小化，并有效控制數(shù)據(jù)流，通過對安全子系統(tǒng)（SSOOS）的重構和擴充，增加數(shù)據(jù)的安全屬性，可以有效防止數(shù)據(jù)泄露，保證了數(shù)據(jù)的保密性。同時，椒圖科技JHSE還可以對文件、賬戶、服務提供完整性保護，當受保護對象出現(xiàn)增、刪、改等情況時，完整性檢查可報告修改日期和內容，同時提供完整性還原操作，確保了用戶數(shù)據(jù)的完整性。

日志保護方面，椒圖科技JHSE采用高可信時間戳技術，增強日志抗抵賴的能力，確保日志的完整性和可靠性。

此外，椒圖科技JHSE還具備安全運行測試技術，可以對SSF安全模型（如增強型DTE等）、SFP功能、SSOOS完整性進行測試，確保系統(tǒng)正常運行。同時， JHSE還集成了動態(tài)拓撲生成技術，使用戶能夠更方便地進行分組管理。安全運行測試技術和動態(tài)拓撲生成技術的應用，為JHSE產品和信息系統(tǒng)的正常、高效運行提供了“雙重籌碼”。

九大核心功能鑄造多維防護體系

等級保護是我國促進信息安全保障體系建設的重要工作之一，經(jīng)過這幾年在全國范圍內開展的定級工作，目前等級保護工作已進入全面整改階段，對信息安全產品和服務有著強烈的需求。椒圖科技JHSE嚴格按照操作系統(tǒng)安全國標的要求，強勢推出了雙重身份鑒別、安全審計、剩余信息保護等九大核心功能，在覆蓋原有加固產品功能的基礎上，大幅擴充安全防護內容并細化防護粒度，構建出更加全面的安全防護體系，使服務器操作系統(tǒng)真正達到三級安全標準。

根據(jù)操作系統(tǒng)安全國標對三級操作系統(tǒng)提出的八項硬性指標，椒圖科技JHSE分別做了相應的功能設計。首先在身份鑒別上，椒圖科技JHSE采用USBKEY和用戶名密碼雙重身份認證鑒別技術，管理員必須通過全部身份認證后，才能對系統(tǒng)進行管理和維護；其次是敏感標記方面，椒圖科技JHSE主、客體基于增強型RBAC角色訪問控制，并且遵循BLP的安全模型原則，標記主體和客體相應的權限，使數(shù)據(jù)的安全得到有效地保證；訪問控制方面，椒圖科技JHSE實行強制訪問控制，控制的客體范圍包括文件、進程等等，主體包括用戶、進程及IP，實現(xiàn)了細粒度強制訪問控制；剩余信息保護方面，椒圖科技JHSE提供了“剩余信息保護”模塊，避免用戶數(shù)據(jù)被惡意恢復，增強了數(shù)據(jù)的保密性；入侵防范方面，椒圖科技JHSE通過入侵檢測策略管理、分析、響應等環(huán)節(jié)，防范和阻止入侵、攻擊等行為；惡意代碼防范方面，椒圖科技JHSE采用可視化安全域技術，遏制了惡意代碼的生存空間；資源控制方面，椒圖科技JHSE采用了強制磁盤、內存、外設等配額訪問控制的方式，對每個用戶的資源使用情況進行跟蹤和控制，避免由于磁盤空間、內存、外設等資源使用失控造成的系統(tǒng)、應用程序崩潰等問題；在安全審計方面，椒圖科技JHSE提供違規(guī)日志、系統(tǒng)日志、完整性檢測日志等全面的安全審計功能，有利于追溯威脅產生的原因，并聯(lián)動其他安全模塊全面提升防護水平。

此外，椒圖科技JHSE還設立了“報警工作站”安全模塊，一旦發(fā)生重要的錯誤操作、入侵等行為，將自動觸發(fā)報警機制，并通過郵件、短信方式及時發(fā)送到報警工作站。椒圖科技JHSE通過雙重身份認證、敏感標記、強制訪問控制等功能的協(xié)同運作，構建出多維度的安全防護體系，大幅提升操作系統(tǒng)的安全等級。

隨著我國信息化建設的深入推進，信息安全在國民經(jīng)濟和社會發(fā)展中占據(jù)著越來越重要的位置，這就需要信息安全廠商加大對安全產品及技術創(chuàng)新的投入力度，為用戶提供更完善的信息安全產品及解決方案。椒圖科技JHSE的成功推出，填補了傳統(tǒng)信息安全解決方案在系統(tǒng)層面的安全短板。通過對安全子系統(tǒng)進行重構和擴充，椒圖科技JHSE打造出通用型的三級安全操作系統(tǒng)，使用戶信息系統(tǒng)免疫病毒、木馬等惡意軟件及黑客的攻擊，并解決了操作系統(tǒng)補丁滯后性帶來的安全隱患，為服務器操作系統(tǒng)提供全方位的立體防護。