椒图科技JHSE主机安全环境系统

　　JHSE椒图主机安全环境系统（JOWTO Host Security Environment System）是椒图科技自主研发的跨平台服务器安全加固产品，是目前市场上唯一完美支持Windows、Liunx、AIX、Hpux、Solaris异构网络部署的服务器安全方案。可对服务器系统安全涉及的控制点（如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防和资源控制等）形成立体防护，解决操作系统层面面临的恶意代码执行、越权访问、数据泄露、破坏数据机密性、完整性等各种攻击行为，以保障数据及业务系统的保密性、完整性、可用性、可靠性。

　　传统系统层安全解决方案，虽然产品众多，但安全事件依然频发，究其原因是其只能解决系统中某“点” 的安全(如HIDS、HIPS、安全审计、文档安全、杀毒软件等产品的相应作用)，即使联合使用多种产品，也只能分别解决相应几“点”的安全。因设计体系上的问题，即使“点”的安全解决再多也很难连成“面”，所以无法从根本上解决系统层的安全问题。

　　JHSE可对服务器操作系统的安全子系统(SSOOS)进行重构和扩充，重构后的安全子系统(SSOOS)可利用增强型DTE生成安全域，每个安全域中均具备增强型RBAC、BLP模型，以实现资源的动态隔离和强制访问控制。JHSE含有专利技术的剩余信息清除可完全透明实现，瞬间达到客体重用要求，保障了数据的保密性;而完整性检测、备份、还原等功能则保障了数据的完整性。更加细化主客体的控制粒度使操作系统的安全保护更加精确，并配合操作系统层面的入侵检测来判断所有访问操作，违反安全规则的操作最终会被记录在抗抵赖日志服务器中，强化多样的审计功能可以联动其他防护模块，针对威胁进行处理。

　　JHSE具有多项国家发明专利，拥有200多项全新技术，JHSE完全遵循安全操作系统理念，打造系统层的立体防护体系，将现有操作系统透明提升至安全操作系统。解决操作系统层面所面临的恶意代码执行、越权访问、数据泄露、破坏数据完整性等各种攻击行为。

　　八大核心价值

* 使操作系统免疫恶意代码的执行

* 使操作系统免疫已知、未知的黑客攻击

* 完全自主知识产权，达到等级保护三级标准

* 无需采购其他主机安全软件，节约采购、维护及建设成本

* 完全兼容现有环境，无需重构设备

* 安装过程不影响现有业务流程的连续性

* 可对事故做深度分析，精确事故源，使责任到人

* 颠覆传统操作观念，安装、培训、使用一切便捷

实现原理

　　JHSE利用增强型DTE、RBAC、BLP三种访问控制安全模型组合，重构操作系统的安全子系统(SSOOS)，通过三种模型的相互作用和制约，确保系统中信息和系统自身安全性，以保障操作系统的保密性、完整性、可用性、可靠性。JHSE的安全保护，可对系统安全涉及的控制点(如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等)，形成立体防护，以确保安全操作系统的实现。

　　增强型DTE模型

　　DTE (Domain and Type Enforcement)模型的特点是通过严格的隔离，阻止安全域内、外部主体对客体的越权访问，实现保密性、完整性、最小特权等安全保护。

增强型DTE域内不仅分配主体也可以分配客体，使不同域内的主客体访问达到多对多的访问关系。定义不同域的主客体访问权限，解决现有DTE模型存在安全目标不准确，系统的安全性难以控制等问题。

　　增强型RBAC模型

　　基于角色的访问控制(Role-Based Access Control)模型的特点是权限与角色相关联，用户通过成为适当角色成员而得到这些角色的权限。增强型RBAC模型可以支持细粒度的配置，主客体对应关系，如下图所示：

　　增强型BLP模型

　　BLP模型的基本安全策略是“上读下写”，保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动。而增强型BLP模型读和写的权限更注重细粒度的控制，读权限包括读数据、读ACL等。写权限包括写数据、追加写，写ACL等。

　　关键技术

　　双重身份认证

　　JHSE用户采用USBKEY和密码双重身份认证方式，只有插入USBKEY输入正确的口令才能登录，否则无法登陆。

　　三权分立

　　为了对系统资源进行安全、合理控制，JHSE采用了三个管理角色：系统管理员、安全管理员和审计管理员，不同管理员之间相互独立、相互监督、相互制约，每个角色各司其职，共同保障服务器系统的安全，从而实现三权分立。示意图如下：

　　系统管理员：可以对服务器日常维护，其权限受到安全管理员约束，不再是传统操作系统管理员一权独大。

　　安全管理员：可以根据实际需求导入策略文件，可以开启或者关闭JHSE系统。

　审计管理员：可以监督系统管理员、安全管理员的行为，和对非法操作进行审计。

　　可视化虚拟安全域

　　JHSE采用虚拟化技术，在现有操作系统空间中根据不同的用户应用分别创建出多个虚拟空间，实现用户与用户之间的隔离，应用与应用之间的隔离，该虚拟空间被称作“安全域”，每个安全域均具备增强型RBAC、BLP安全机制。用户可将需要保护应用的用户、进程，所需资源(例如：文件、进程、服务、磁盘、设备、通信端口等)，添加进被保护应用所对应的安全域内，分别成为该安全域的域内主体、域内客体以及安全属性，实现用户与系统之间的隔离。对于原有应用来说都是完全透明的，这也意味着对于原有应用的业务不会有丝毫改变。

　　安全域原理图如下：

　　动态拓扑生成：按用户角色自动生成拓扑图。用户可以根据实际情况进行分组管理。

　　用户数据保密性保护：安全域的隔离机制让出入域的主体权限最小化，BLP有效控制数据流、核心层的动态透明加解密技术，保证了数据的保密性。

　　用户数据完整性保护：文件、账户、服务、注册表(仅windows)完整性保护以及还原功能。

　　日志抗抵赖：采用高可信时间戳技术，保证日志的完整性和可靠性。

　　安全运行测试：SSF安全模型测试、SFP功能测试、SSOOS完整性测试。

　　主要功能

　　双重身份鉴别：默认使用强化口令鉴别(USBKEY)，加用户名密码鉴别方式 。

　　敏感标记：遵循BLP的安全模型原则，标记主体和客体相应的权限，保证了数据携带标记的游走，敏感数据不会被泄露，使数据的安全得到有效地保证。

　　强制访问控制：根据等级保护《GB/T 20272-2006信息安全技术-操作系统安全技术要求》规定，JHSE实行强制访问控制，JHSE将主机资源各个层面紧密结合，可根据实际需要对资源进行合理控制，实现权限最小原则。

　　剩余信息保护：动态接管原系统删除动作，完全清除存储空间中的信息，该操作对于用户来说完全透明。

　　入侵防范：入侵检测策略管理、入侵检测分析、入侵检测响应。

　　恶意代码防范：恶意代码无法对安全域内的资源进行访问，对于域外资源，安全域的隔离机制会剥离恶意代码的访问权限，使其无法对域外资源进行修改，有效地遏制了恶意代码的生存空间。

　　资源控制：可以对每一个用户的磁盘使用情况进行跟踪和控制。

　　安全审计：违规日志、系统日志、完整性检测日志、入侵检测日志、JHSE自身日志、日志管理。

　　报警工作站：接收处理错误操作、入侵行为、服务器的状态问题等引发的报警。