【 摘 要 】 服務(wù)器操作系統(tǒng)作為關(guān)鍵業(yè)務(wù)應(yīng)用和重要信息數(shù)據(jù)的承載平臺，在信息安全保障體系中處于核心位置。與以往人們認(rèn)知的安全產(chǎn)品不同，椒圖科技研發(fā)出的椒圖主機(jī)安全環(huán)境系統(tǒng)（JHSE），擁有多項國家發(fā)明專利和200多項全新技術(shù)，通過重構(gòu)操作系統(tǒng)的安全子系統(tǒng)（SSOOS），對現(xiàn)有服務(wù)器操作系統(tǒng)的安全等級進(jìn)行動態(tài)、透明地提升。JHSE的安裝、使用不會影響原有應(yīng)用的業(yè)務(wù)邏輯和業(yè)務(wù)連續(xù)性，甚至不需要重新啟動服務(wù)器，是一款適用于金融、電信、海關(guān)、稅務(wù)等各領(lǐng)域的通用型安全操作系統(tǒng)。

【 關(guān)鍵詞 】 椒圖科技；JHSE；安全操作系統(tǒng)；主機(jī)安全環(huán)境；操作系統(tǒng)安全子系統(tǒng)（SSOOS）

JOWTOJHSEEstablishedthree-classSecurityEnviroment

Li Ke

（JOWTO Technology company limitedGuangdongShenzhen 518057）

【 Abstract 】 Acting as a load-bearing platform for key business applications and important information data, the server operating system is at the core of information security guarantee system. Being different from those security products which have been cognized by the people, JOWTO Host Security Environment System (JHSE) is developed by JOWTO based on multiple national patents of invention and more than 200 brand-new technologies. It is intended to upgrade the security class of the existing server operating system in a dynamic and transparent manner by reconstructing the security subsystem of operating system (SSOOS). The installation and use of JHSE will unlikely affect the service logic and continuity of the original applications, and even does not need to restart the server. Therefore, it is a general purpose security operating system being applicable to various public service sectors such as finance, telecommunication, customs and tax administration.

【 Keywords 】 JOWTO;JHSE;security operating system;host security environment; security subsystem of operating system（SSOOS）

0 引言

椒圖主機(jī)安全環(huán)境系統(tǒng)(簡稱：椒圖科技JHSE）擁有多項國家發(fā)明專利和200多項全新技術(shù)，與傳統(tǒng)安全加固產(chǎn)品只能滿足部分系統(tǒng)層安全需求不同，JHSE完全滿足我國等級保護(hù)標(biāo)準(zhǔn)《GB/T20272-2006 信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》對三級操作系統(tǒng)的要求，大幅地提升用戶信息系統(tǒng)的安全等級。JHSE通過對服務(wù)器操作系統(tǒng)的安全子系統(tǒng)（SSOOS）進(jìn)行重構(gòu)和擴(kuò)充，能夠?qū)F(xiàn)有操作系統(tǒng)的安全等級進(jìn)行動態(tài)、透明地提升，是國內(nèi)首款通過國標(biāo)三級檢測的通用型安全操作系統(tǒng)，填補(bǔ)了我國信息安全領(lǐng)域的一項空白。

椒圖科技JHSE擁有三大安全模型、八項關(guān)鍵技術(shù)及九大核心安全功能，通過對服務(wù)器操作系統(tǒng)的安全子系統(tǒng)進(jìn)行重構(gòu)和擴(kuò)充，建立起多維度的安全防護(hù)體系，徹底免疫惡意代碼執(zhí)行、越權(quán)訪問、數(shù)據(jù)泄露、破壞數(shù)據(jù)完整性等攻擊行為，為用戶信息系統(tǒng)正常、高效運(yùn)行保駕護(hù)航。

1 三大模型構(gòu)筑安全屏障

根據(jù)國家標(biāo)準(zhǔn)《GB/T20272-2006 信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》（簡稱“操作系統(tǒng)安全國標(biāo)”）的等級劃分標(biāo)準(zhǔn)，目前普遍采用的商業(yè)服務(wù)器操作系統(tǒng)如AIX、HP-UX、Solaris、Windows Server、Linux Server等僅達(dá)到第二級系統(tǒng)審計保護(hù)級的部分技術(shù)要求，其特點(diǎn)是超級用戶權(quán)力過于集中，并且權(quán)限可以自主地轉(zhuǎn)授，一旦超級用戶賬號被盜竊或者系統(tǒng)中某個應(yīng)用被入侵，將可能導(dǎo)致其他應(yīng)用無法正常運(yùn)行，甚至給操作系統(tǒng)帶來毀壞。為此，椒圖科技在JHSE產(chǎn)品中設(shè)立了增強(qiáng)型DTE、RBAC、BLP三種訪問控制安全模型，利用DTE生成安全域，并將RBAC模型植入每個安全域，實現(xiàn)資源的動態(tài)隔離和強(qiáng)制訪問控制，增強(qiáng)型BLP的應(yīng)用則確保了數(shù)據(jù)流向的精準(zhǔn)控制。通過三種安全模型相輔相成地協(xié)同運(yùn)作，使系統(tǒng)本身及其內(nèi)部的業(yè)務(wù)應(yīng)用更加“健壯”。

JHSE提供的DTE可以在系統(tǒng)內(nèi)部構(gòu)建多個虛擬安全域，與傳統(tǒng)DTE不同，增強(qiáng)型DTE能夠同時分配主體和客戶，使不同域內(nèi)的主客體訪問達(dá)到多對多的訪問關(guān)系，解決現(xiàn)有DTE模型存在的安全目標(biāo)不準(zhǔn)確、系統(tǒng)的安全性難以控制等問題。通過配置嚴(yán)格的隔離策略，阻止安全域內(nèi)、外部主體對客體的越權(quán)訪問，從而實現(xiàn)保密性、完整性、最小特權(quán)等安全保護(hù)。

RBAC模型是基于角色的訪問控制（Role-Based Access Control），在RBAC中，權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色成員而得到這些角色的權(quán)限。增強(qiáng)型RBAC模型支持細(xì)粒度的配置，主體包括用戶、進(jìn)程、IP等，客體為文件、端口、進(jìn)程、服務(wù)、網(wǎng)絡(luò)共享、磁盤及注冊表（僅Windows），主體與客體通過訪問策略建立關(guān)系。

BLP模型的基本安全策略是“上讀下寫”，高安全級別主體對低級別客體具有“讀”權(quán)限，低安全級別主體則對高級別客體擁有“寫”權(quán)限，同級別主客體間可讀寫，“上讀下寫”的安全策略保證了數(shù)據(jù)流向中的所有數(shù)據(jù)只能按照安全級別從低到高的流向流動，從而保證了敏感數(shù)據(jù)不泄露。增強(qiáng)型BLP模型更注重對讀和寫的權(quán)限進(jìn)行細(xì)粒度地控制，讀權(quán)限包括讀數(shù)據(jù)、讀ACL等，寫權(quán)限包括寫數(shù)據(jù)、追加寫、寫ACL等。

正是憑借著增強(qiáng)型DTE、RBAC、BLP三種模型的高效應(yīng)用以及模型間的相互支撐、制約，JHSE才能在服務(wù)器操作系統(tǒng)上構(gòu)筑堅固的安全屏障，使系統(tǒng)能夠免疫病毒、木馬等惡意軟件及黑客的攻擊，確保系統(tǒng)中信息和系統(tǒng)自身的安全性，為操作系統(tǒng)的保密性、完整性、可用性及可靠性提供重要支撐。

2 八項關(guān)鍵技術(shù)聯(lián)動防御

JHSE通過雙重身份認(rèn)證、三權(quán)分立、可視化虛擬安全域等八項關(guān)鍵技術(shù)的聯(lián)動防御，可以支撐服務(wù)器操作系統(tǒng)高效運(yùn)行。在黑客攻擊技術(shù)飛速發(fā)展和攻擊方式日益多樣的今天，系統(tǒng)管理員賬號、密碼被盜竊的情況頻頻發(fā)生。為此，JHSE采用了USB-Key和密碼雙重身份認(rèn)證，為系統(tǒng)增加了“兩把鎖”。其中，USB-Key是一個硬件設(shè)備，由管理員直接掌控，是無法通過入侵、滲透等技術(shù)手段獲取的。在系統(tǒng)資源控制方面，JHSE設(shè)立了系統(tǒng)管理員、安全管理員、審計管理員三個角色，通過管理員之間的相互獨(dú)立、監(jiān)督和制約，實現(xiàn)“三權(quán)分立”的管理機(jī)制，最大限度地確保系統(tǒng)安全。

JHSE使用了自主研發(fā)的可視化虛擬安全域技術(shù)（ASVE），在現(xiàn)有操作系統(tǒng)中創(chuàng)建多個虛擬空間（即“安全域”），每個安全域內(nèi)均具備增強(qiáng)型RBAC安全機(jī)制，從而實現(xiàn)用戶與用戶、應(yīng)用與應(yīng)用之間的隔離?；诳梢暬摂M安全域技術(shù)構(gòu)建的安全功能及應(yīng)用對原有應(yīng)用來說是完全透明的，不會對原有的業(yè)務(wù)邏輯產(chǎn)生改變，從而實現(xiàn)業(yè)務(wù)應(yīng)用連續(xù)性與信息安全的“兼得”。

在用戶數(shù)據(jù)保護(hù)方面，椒圖科技JHSE采用的增強(qiáng)型DTE、RBAC、BLP技術(shù)，使出入安全域的主體權(quán)限最小化，并有效控制數(shù)據(jù)流，通過對安全子系統(tǒng)的重構(gòu)和擴(kuò)充，增加數(shù)據(jù)的安全屬性，可以有效防止數(shù)據(jù)泄露，保證了數(shù)據(jù)的保密性。同時，JHSE還可以對文件、賬戶、服務(wù)提供完整性保護(hù)，當(dāng)受保護(hù)對象出現(xiàn)增、刪、改等情況時，完整性檢查可報告修改日期和內(nèi)容，提供完整性還原操作，確保了用戶數(shù)據(jù)的完整性。在日志保護(hù)方面，JHSE采用了高可信時間戳技術(shù)，增強(qiáng)了日志抗抵賴的能力，確保了日志的完整性和可靠性。此外，JHSE還具備安全運(yùn)行測試技術(shù)，可以對SSF安全模型（如增強(qiáng)型DTE等）、SFP功能、SSOOS完整性進(jìn)行測試，確保系統(tǒng)正常運(yùn)行。同時， JHSE還集成了動態(tài)拓?fù)渖杉夹g(shù)，使用戶能夠更方便地進(jìn)行分組管理。安全運(yùn)行測試技術(shù)和動態(tài)拓?fù)渖杉夹g(shù)的應(yīng)用，為JHSE產(chǎn)品和信息系統(tǒng)的正常、高效運(yùn)行提供了“雙重籌碼”。

3 九大核心功能鑄造多維防護(hù)體系

目前等級保護(hù)工作已進(jìn)入全面整改階段，對信息安全產(chǎn)品和服務(wù)有著強(qiáng)烈的需求。椒圖科技JHSE嚴(yán)格按照操作系統(tǒng)安全國標(biāo)的要求，強(qiáng)勢推出了雙重身份鑒別、安全審計、剩余信息保護(hù)等九大核心功能，在覆蓋原有加固產(chǎn)品功能的基礎(chǔ)上，大幅擴(kuò)充安全防護(hù)內(nèi)容并細(xì)化防護(hù)粒度，構(gòu)建出更加全面的安全防護(hù)體系，使服務(wù)器操作系統(tǒng)達(dá)到三級安全標(biāo)準(zhǔn)。根據(jù)操作系統(tǒng)安全國標(biāo)對三級操作系統(tǒng)提出的八項硬性指標(biāo)，JHSE做了相應(yīng)的功能設(shè)計。

首先在身份鑒別上，JHSE采用USB-Key和用戶名密碼雙重身份認(rèn)證鑒別技術(shù)，管理員必須通過全部身份認(rèn)證后，才能對系統(tǒng)進(jìn)行管理和維護(hù)。其次是敏感標(biāo)記方面，JHSE主、客體基于增強(qiáng)型RBAC角色訪問控制，并且遵循BLP的安全模型原則，標(biāo)記主體和客體相應(yīng)的權(quán)限，使數(shù)據(jù)的安全得到有效地保證。訪問控制方面，JHSE實行強(qiáng)制訪問控制，控制的客體范圍包括文件、進(jìn)程等多種資源客體，主體包括用戶、進(jìn)程及IP，實現(xiàn)了細(xì)粒度強(qiáng)制訪問控制。在剩余信息保護(hù)方面，JHSE提供了“剩余信息保護(hù)”模塊，避免用戶數(shù)據(jù)被惡意恢復(fù)，增強(qiáng)了數(shù)據(jù)的保密性。在入侵防范方面，JHSE通過入侵檢測策略管理、分析、響應(yīng)等環(huán)節(jié)，防范和阻止入侵、攻擊等行為。在惡意代碼防范方面，JHSE采用可視化安全域技術(shù)，遏制了惡意代碼的生存空間。在資源控制方面，JHSE采用了強(qiáng)制磁盤、內(nèi)存、外設(shè)等配額訪問控制的方式，對每個用戶的資源使用情況進(jìn)行跟蹤和控制，避免由于磁盤空間、內(nèi)存、外設(shè)等資源使用失控造成的系統(tǒng)、應(yīng)用程序崩潰等問題。在安全審計方面，JHSE提供違規(guī)日志、系統(tǒng)日志、完整性檢測日志等全面的安全審計功能，有利于追溯威脅產(chǎn)生的原因，并聯(lián)動其他安全模塊全面提升防護(hù)水平。

JHSE設(shè)立了“報警工作站”安全模塊，一旦發(fā)生錯誤操作、入侵等行為，將自動觸發(fā)報警機(jī)制，并通過郵件、短信及時發(fā)送到報警工作站。JHSE通過雙重身份認(rèn)證、敏感標(biāo)記、強(qiáng)制訪問控制等功能的協(xié)同運(yùn)作，構(gòu)建出多維度的安全防護(hù)體系，大幅提升操作系統(tǒng)的安全等級。

4 總結(jié)

隨著我國信息化建設(shè)的深入推進(jìn)，信息安全在國民經(jīng)濟(jì)和社會發(fā)展中占據(jù)著越來越重要的位置，這就需要信息安全廠商加大對安全產(chǎn)品及技術(shù)創(chuàng)新的投入力度，為用戶提供更完善的信息安全產(chǎn)品及解決方案。椒圖科技JHSE的推出，填補(bǔ)了傳統(tǒng)信息安全解決方案在系統(tǒng)層面的安全短板。通過對安全子系統(tǒng)進(jìn)行重構(gòu)和擴(kuò)充，椒圖科技JHSE打造出通用型的三級安全操作系統(tǒng)，使用戶信息系統(tǒng)免疫病毒、木馬等惡意軟件及黑客的攻擊，并解決了操作系統(tǒng)補(bǔ)丁滯后性帶來的安全隱患，為服務(wù)器操作系統(tǒng)提供全方位的立體防護(hù)。

參考文獻(xiàn)

[1] 《GB/T20272-2006 信息安全技術(shù)——操作系統(tǒng)安全技術(shù)要求》.

[2] 《信息安全技術(shù)——信息系統(tǒng)安全等級保護(hù)基本要求》

（GB/T22239-2008）.

[3] 《信息安全技術(shù)——服務(wù)器安全技術(shù)要求》（GB/T21028-2007）.

作者簡介：

李科(1981-),男,中南大學(xué),本科,現(xiàn)任職于深圳市安盾椒圖科技有限公司，常務(wù)副總經(jīng)理。擁有自主知識產(chǎn)權(quán)軟件和技術(shù)專利（專利號：201110169741.9，201010526718.6），曾參與國家973課題、十二五規(guī)劃課題研究，任奧組委、世博局特聘安全專家等；研究或關(guān)注領(lǐng)域：信息安全、操作系統(tǒng)安全、等級保護(hù)。