JHSE椒圖主機(jī)安全環(huán)境系統(tǒng)
全域”,每個(gè)安全域均具備增強(qiáng)型RBAC、BLP安全機(jī)制。用戶可將需要保護(hù)應(yīng)用的用戶、進(jìn)程,所需資源(例如:文件、進(jìn)程、服務(wù)、磁盤、設(shè)備、通信端口等),添加進(jìn)被保護(hù)應(yīng)用所對(duì)應(yīng)的安全域內(nèi),分別成為該安全域的域內(nèi)主體、域內(nèi)客體以及安全屬性,實(shí)現(xiàn)用戶與系統(tǒng)之間的隔離。對(duì)于原有應(yīng)用來說都是完全透明的,這也意味著對(duì)于原有應(yīng)用的業(yè)務(wù)不會(huì)有絲毫改變。
安全域原理圖如下:
動(dòng)態(tài)拓?fù)渖桑喊从脩艚巧詣?dòng)生成拓?fù)鋱D。用戶可以根據(jù)實(shí)際情況進(jìn)行分組管理。
用戶數(shù)據(jù)保密性保護(hù):安全域的隔離機(jī)制讓出入域的主體權(quán)限最小化,BLP有效控制數(shù)據(jù)流、核心層的動(dòng)態(tài)透明加解密技術(shù),保證了數(shù)據(jù)的保密性。
用戶數(shù)據(jù)完整性保護(hù):文件、賬戶、服務(wù)、注冊(cè)表(僅windows)完整性保護(hù)以及還原功能。
日志抗抵賴:采用高可信時(shí)間戳技術(shù),保證日志的完整性和可靠性。
安全運(yùn)行測(cè)試:SSF安全模型測(cè)試、SFP功能測(cè)試、SSOOS完整性測(cè)試。
·主要功能
雙重身份鑒別:默認(rèn)使用強(qiáng)化口令鑒別(USBKEY),加用戶名密碼鑒別方式 。
敏感標(biāo)記:遵循BLP的安全模型原則,標(biāo)記主體和客體相應(yīng)的權(quán)限,保證了數(shù)據(jù)攜帶標(biāo)記的游走,敏感數(shù)據(jù)不會(huì)被泄露,使數(shù)據(jù)的安全得到有效地保證。
強(qiáng)制訪問控制:根據(jù)等級(jí)保護(hù)《GB/T 20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》規(guī)定,JHSE實(shí)行強(qiáng)制訪問控制,JHSE將主機(jī)資源各個(gè)層面緊密結(jié)合,可根據(jù)實(shí)際需要對(duì)資源進(jìn)行合理控制,實(shí)現(xiàn)權(quán)限最小原則。
剩余信息保護(hù):動(dòng)態(tài)接管原系統(tǒng)刪除動(dòng)作,完全清除存儲(chǔ)空間中的信息,該操作對(duì)于用戶來說完全透明。
入侵防范:入侵檢測(cè)策略管理、入侵檢測(cè)分析、入侵檢測(cè)響應(yīng)。
惡意代碼防范:惡意代碼無法對(duì)安全域內(nèi)的資源進(jìn)行訪問,對(duì)于域外資源,安全域的隔離機(jī)制會(huì)剝離惡意代碼的訪問權(quán)限,使其無法對(duì)域外資源進(jìn)行修改,有效地遏制了惡意代碼的生存空間。
資源控制:可以對(duì)每一個(gè)用戶的磁盤使用情況進(jìn)行跟蹤和控制。
安全審計(jì):違規(guī)日志、系統(tǒng)日志、完整性檢測(cè)日志、入侵檢測(cè)日志、JHSE自身日志、日志管理。
報(bào)警工作站:接收處理錯(cuò)誤操作、入侵行為、服務(wù)器的狀態(tài)問題等引發(fā)的報(bào)警。
產(chǎn)品部署
JHSE的部署由安全管理中心、審計(jì)中心、安全服務(wù)器、控制臺(tái)、報(bào)警工作站五個(gè)邏輯部分組成。用戶原有業(yè)務(wù)系統(tǒng)提升為“安全服務(wù)器”后受“安全管理中心”集中控管,安全管理員登錄“安全管理中心”進(jìn)行統(tǒng)一管理,審計(jì)管理員登錄“審計(jì)中心”統(tǒng)一審計(jì)。
重構(gòu)后的安全子系統(tǒng)
文件對(duì)象訪問監(jiān)控器
JHSE的文件對(duì)象訪問監(jiān)控器,可以控制用戶為主體對(duì)文件/目錄的訪問,也可以控制進(jìn)程為主體對(duì)文件/目錄的訪問,具體安全屬性如下:
端口對(duì)象訪問監(jiān)控器
端口對(duì)象訪問監(jiān)控器可控制指定IP、端口的訪問,也可以控制全局對(duì)象的訪問,具體安全屬性如下:
進(jìn)程對(duì)象訪問監(jiān)控器
在JHSE的進(jìn)程對(duì)象訪問監(jiān)控器中,進(jìn)程既可以作為主體,也可以作為客體,具體安全屬性如下:
服務(wù)對(duì)象訪問監(jiān)控器
JHSE的服務(wù)對(duì)象訪問監(jiān)控器,可控制系統(tǒng)服務(wù)不被新增、刪除、修改服務(wù)程序執(zhí)行路徑,具體安全屬性如下:
網(wǎng)絡(luò)共享對(duì)象訪問監(jiān)控器
網(wǎng)絡(luò)共享對(duì)象訪問監(jiān)控器可控制指定IP、用戶對(duì)共享資源的訪問,具體安全屬性如下:
磁盤對(duì)象訪問監(jiān)控器
磁盤對(duì)象訪問監(jiān)控器可控制指定物理磁盤與邏輯卷的訪問,具體安全屬性如下:
注冊(cè)表對(duì)象訪問監(jiān)控器
注冊(cè)表(僅windows)訪問監(jiān)控器,可控制主體為進(jìn)程對(duì)注冊(cè)表鍵/鍵值的訪問;也可控制主體為用戶對(duì)注冊(cè)表鍵/鍵值的訪問,具體安全屬性如下:
主客體對(duì)象表
具體安全屬性如下:

責(zé)任編輯:和碩涵
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》