服務器操作系統作為關鍵業務應用和重要信息數據的承載平臺，在信息安全保障體系中處于非常關鍵的位置。作為我國信息安全領域的標桿型企業，椒圖科技一直重視核心安全技術及產品的研發，并基于多項國家發明專利和180多項全新技術研發出了椒圖主機安全環境系統（即JHSE）。與以往人們認知的安全操作系統不同，椒圖科技JHSE是對服務器操作系統的安全等級進行動態、透明地提升，不會影響原有應用的業務邏輯和業務連續性，甚至不需要重新啟動服務器，從而打造出能夠在金融、電信、海關、稅務等各領域實現通用的安全操作系統。另一方面，對于傳統服務器操作系統安全加固產品只能滿足部分檢測要求的情況，椒圖科技不僅融合了原有加固產品的功能，而且對安全技術、模型等進行了體系化地設計和開發，從而使擁有180多項全新技術點的JHSE產品完全滿足我國等級保護標準《GB/T20272-2006 信息安全技術-操作系統安全技術要求》對三級操作系統的全項要求，大幅提升用戶信息系統的安全等級，填補了我國信息安全領域的一大空白。

椒圖科技JHSE擁有三大安全模型、八項關鍵技術及九大核心安全功能，通過對服務器操作系統的安全子系統（SSOOS）進行重構和擴充，建立起多維度的安全防護體系，徹底免疫惡意代碼執行、越權訪問、數據泄露、破壞數據完整性等攻擊行為，為用戶信息系統正常、高效運行保駕護航。

三大模型構筑安全屏障

根據國家標準《GB/T20272-2006 信息安全技術-操作系統安全技術要求》（以下簡稱“操作系統安全國標”）的等級劃分標準，目前普遍采用的商業服務器操作系統如AIX、HP-UX、Solaris、Windows 2000/2003/2008等僅僅達到第二級系統審計保護級的部分技術要求，其特點是超級用戶權力過于集中，并且權限可以自主地轉授，一旦超級用戶賬號被盜竊或者系統中某個應用被入侵，將可能導致其他應用無法正常運行，甚至給操作系統帶來致命性的毀壞。為此，椒圖科技在JHSE產品中設立了增強型DTE、RBAC、BLP三種訪問控制安全模型，利用增強型DTE生成安全域，并將增強型RBAC模型植入每個安全域，實現資源的動態隔離和強制訪問控制，增強型BLP的應用則確保了數據流向的精準控制。通過三種安全模型相輔相成地協同運作，使系統本身及其內部的業務應用更加“健壯”。

椒圖科技JHSE提供的增強型DTE可以在系統內部構建多個虛擬的安全域，與傳統DTE不同，增強型DTE能夠同時分配主體和客戶，使不同域內的主客體訪問達到多對多的訪問關系，解決現有DTE模型存在的安全目標不準確、系統的安全性難以控制等問題。通過配置嚴格的隔離策略，阻止安全域內、外部主體對客體的越權訪問，從而實現保密性、完整性、最小特權等安全保護。

RBAC模型是基于角色的訪問控制（Role-Based Access Control），在RBAC中，權限與角色相關聯，用戶通過成為適當角色成員而得到這些角色的權限。增強型RBAC模型支持細粒度的配置，主體包括用戶、進程、IP等等，客體為文件、端口、進程、服務、網絡共享、磁盤及注冊表（僅windows），主體與客體通過訪問策略建立關系。

BLP模型的基本安全策略是“上讀下寫”，高安全級別主體對低級別客體具有“只讀”權限，低安全級別主體則對高級別客體擁有“只寫”權限，同級別主客體間可讀寫，“上讀下寫”的安全策略保證了數據流向中的所有數據只能按照安全級別從低到高的流向流動，從而保證了敏感數據不泄露。增強型BLP模型更注重對讀和寫的權限進行細粒度地控制，讀權限包括讀數據、讀ACL等，寫權限包括寫數據、追加寫、寫ACL等。

正是憑借著增強型DTE、RBAC、BLP三種模型的高效應用以及模型間的相互支撐、制約，椒圖科技JHSE才能在服務器操作系統上構筑堅固的安全屏障，使系統能夠免疫病毒、木馬等惡意軟件及黑客的攻擊，確保系統中信息和系統自身的安全性，為操作系統的保密性、完整性、可用性及可靠性提供重要支撐。

八項關鍵技術聯動防御

椒圖科技JHSE是具有自主知識產權的主機安全環境系統，擁有多項國家發明專利和180多項創新技術，特別是通過雙重身份認證、三權分立、可視化虛擬安全域等八項關鍵技術的聯動防御，支撐服務器操作系統高效運行。

在黑客攻擊技術飛速發展和攻擊方式日益豐富的今天，系統管理員賬號、密碼被盜竊的情況頻頻發生。為此，椒圖科技JHSE采用了USBKEY和密碼雙重身份認證，為系統增加了“兩把鎖”。其中，USBKEY是一個硬件設備，由管理員直接掌控，是無法通過入侵、滲透等技術手段獲取的。在系統資源控制方面，椒圖科技JHSE設立了系統管理員、安全管理員、審計管理員三個角色，通過管理員之間的相互獨立、監督和制約，實現“三權分立”的管理機制，最大限度地確保系統安全。

椒圖科技還創造性地將可視化虛擬安全域技術（ASVE）植入JHSE產品，在現有操作系統中創建多個虛擬空間（即“安全域”），每個安全域內均具備增強型RBAC安全機制，從而實現用戶與用戶、應用與應用之間的隔離。另一方面，基于可視化虛擬安全域技術構建的安全功能及應用對原有應用來說是完全透明的，不會對原有的業務邏輯產生絲毫改變，從而實現業務應用連續性與信息安全的“兩者兼得”。

在用戶數據保護方面，椒圖科技JHSE采用的增強型DTE、RBAC、BLP技術，使出入安全域的主體權限最小化，并有效控制數據流，通過對安全子系統（SSOOS）的重構和擴充，增加數據的安全屬性，可以有效防止數據泄露，保證了數據的保密性。同時，椒圖科技JHSE還可以對文件、賬戶、服務提供完整性保護，當受保護對象出現增、刪、改等情況時，完整性檢查可報告修改日期和內容，同時提供完整性還原操作，確保了用戶數據的完整性。

日志保護方面，椒圖科技JHSE采用高可信時間戳技術，增強日志抗抵賴的能力，確保日志的完整性和可靠性。

此外，椒圖科技JHSE還具備安全運行測試技術，可以對SSF安全模型（如增強型DTE等）、SFP功能、SSOOS完整性進行測試，確保系統正常運行。同時， JHSE還集成了動態拓撲生成技術，使用戶能夠更方便地進行分組管理。安全運行測試技術和動態拓撲生成技術的應用，為JHSE產品和信息系統的正常、高效運行提供了“雙重籌碼”。

九大核心功能鑄造多維防護體系

等級保護是我國促進信息安全保障體系建設的重要工作之一，經過這幾年在全國范圍內開展的定級工作，目前等級保護工作已進入全面整改階段，對信息安全產品和服務有著強烈的需求。椒圖科技JHSE嚴格按照操作系統安全國標的要求，強勢推出了雙重身份鑒別、安全審計、剩余信息保護等九大核心功能，在覆蓋原有加固產品功能的基礎上，大幅擴充安全防護內容并細化防護粒度，構建出更加全面的安全防護體系，使服務器操作系統真正達到三級安全標準。

根據操作系統安全國標對三級操作系統提出的八項硬性指標，椒圖科技JHSE分別做了相應的功能設計。首先在身份鑒別上，椒圖科技JHSE采用USBKEY和用戶名密碼雙重身份認證鑒別技術，管理員必須通過全部身份認證后，才能對系統進行管理和維護；其次是敏感標記方面，椒圖科技JHSE主、客體基于增強型RBAC角色訪問控制，并且遵循BLP的安全模型原則，標記主體和客體相應的權限，使數據的安全得到有效地保證；訪問控制方面，椒圖科技JHSE實行強制訪問控制，控制的客體范圍包括文件、進程等等，主體包括用戶、進程及IP，實現了細粒度強制訪問控制；剩余信息保護方面，椒圖科技JHSE提供了“剩余信息保護”模塊，避免用戶數據被惡意恢復，增強了數據的保密性；入侵防范方面，椒圖科技JHSE通過入侵檢測策略管理、分析、響應等環節，防范和阻止入侵、攻擊等行為；惡意代碼防范方面，椒圖科技JHSE采用可視化安全域技術，遏制了惡意代碼的生存空間；資源控制方面，椒圖科技JHSE采用了強制磁盤、內存、外設等配額訪問控制的方式，對每個用戶的資源使用情況進行跟蹤和控制，避免由于磁盤空間、內存、外設等資源使用失控造成的系統、應用程序崩潰等問題；在安全審計方面，椒圖科技JHSE提供違規日志、系統日志、完整性檢測日志等全面的安全審計功能，有利于追溯威脅產生的原因，并聯動其他安全模塊全面提升防護水平。

此外，椒圖科技JHSE還設立了“報警工作站”安全模塊，一旦發生重要的錯誤操作、入侵等行為，將自動觸發報警機制，并通過郵件、短信方式及時發送到報警工作站。椒圖科技JHSE通過雙重身份認證、敏感標記、強制訪問控制等功能的協同運作，構建出多維度的安全防護體系，大幅提升操作系統的安全等級。

隨著我國信息化建設的深入推進，信息安全在國民經濟和社會發展中占據著越來越重要的位置，這就需要信息安全廠商加大對安全產品及技術創新的投入力度，為用戶提供更完善的信息安全產品及解決方案。椒圖科技JHSE的成功推出，填補了傳統信息安全解決方案在系統層面的安全短板。通過對安全子系統進行重構和擴充，椒圖科技JHSE打造出通用型的三級安全操作系統，使用戶信息系統免疫病毒、木馬等惡意軟件及黑客的攻擊，并解決了操作系統補丁滯后性帶來的安全隱患，為服務器操作系統提供全方位的立體防護。