椒圖主機平安環境系統JHSE平安解決方案目錄1背景42平安事件回憶43面臨的平安問題54系統平安防護設計64.1符合等級保護標準第三級64.2身份鑒別64.3訪問控制64.4免疫惡意代碼74.5免疫黑客攻擊74.6防止信息泄露74.7解決補丁滯后性問題74.8系統審計84.9數據平安84.10剩余信息保護94.11集中管理95JHSE主機平安環境系統95.1JHSE產品介紹95.2JHSE實現原理10增強型DTE模型11增強型RBAC模型11增強型BLP模型125.3JHSE關鍵技術13雙重身份認證13三權分立14可視化虛擬平安域15動態拓撲生成16用戶數據保密性保護16用戶數據完整性保護16日志抗抵賴17平安運行測試176JHSE主要功能和特點186.1雙重身份鑒別186.2強制訪問控制18文件對象訪問監控器18進程對象訪問監控器19效勞對象訪問監控器20網絡共享對象訪問監控器20磁盤對象訪問監控器21端口對象訪問監控器21注冊表對象訪問監控器216.3剩余信息保護226.4網頁防篡改22被動防御網頁篡改22主動防御網頁篡改236.5惡意代碼防范236.6平安審計237JHSE部署方案248成功案例258.1中國石化集團網站實施案例258.2國電大渡河流域水電開發實施案例279客戶價值289.1JHSE特點29不更改原有的系統和應用29同時保護電力業務應用系統和應用29變“被動〞為“主動〞的防御29變“脆弱〞為“強壯〞的系統2910JHSE相關資質30背景隨著計算機的普及和網絡的開展，人類社會已經進入信息化時代，信息資源得到最大程度的整合和共享，這不僅改變了生產方式和生活方式，還使整個世界經濟正在迅速地融為一體，而整個國家猶如一部巨大的網絡機器。計算機網絡已經成為國家的經濟根底和命脈。計算機網絡在經濟和生活的各個領域正在迅速普及，整個社會對網絡的依賴程度越來越大。眾多的企業、組織、政府部門與機構都在組建和開展自己的網絡，并連接到Internet上，以充分共享、利用網絡的信息和資源來處理各項業務，脫離網絡的電腦單機幾乎已經不復存在。從某種意義上講，信息系統已經成為社會、經濟和軍事開展強大動力，其地位越來越重要。信息系統的崛起和廣泛應用，加速了軍隊的科研和信息化建設，但同時也凸現出日益嚴峻的信息系統平安問題，這個問題已經成為各個國家和軍隊關注的重要領域之一。作為不同信息系統載體的操作系統成為了信息系統平安的核心，了解操作系統系統面臨的各種威脅，防范和消除這些威脅，提高信息系統整體平安性，成為保障信息系統平安，實現信息化開展最重要的事情。平安事件回憶目前電力企業越來越重視信息平安保障，許多用戶已經部署了防火墻、IDS、防病毒，但仍然出現了平安事故和憂患，例如：1.北京時間2023年11月12日消息，俄羅斯著名平安專家尤金-卡巴斯基(EugeneKaspersky)披露，臭名昭著的“震網〞病毒感染了俄羅斯的一座核電廠。據說這家俄羅斯核電廠并未接入互聯網。另一事件中，一名俄羅斯宇航員攜帶的優盤已經導致國際空間站感染病毒。卡巴斯基表示，這一事件說明，不接入互聯網也不能讓你逃避被病毒感染的風險。雖然并未對主流用戶產生太大影響，但“震網〞已經成為有史以來最臭名昭著的病毒之一。雖然美國和以色列政府從未成認，但外界普遍認為，“震網〞是這兩國政府聯手開發的，目的是破壞伊朗核設施，阻止該國開發核武器。由于伊朗納坦茲核反響堆也沒有接入互聯網，所以該病毒同樣是通過優盤傳播的。它可以令離心機的旋轉失去控制，導致工廠出現物理損壞。2.據韓國平安行政部消息，2023今年上半年，針對韓國中央行政機構的黑客攻擊約為1.3萬起，預計全年將超過2萬起，近幾年年均遭受黑客攻擊達2萬多起，包括韓國電力公司在內的電力系統也未能幸免。根據韓聯社報道，上述黑客攻擊次數在2023年為2.9275萬起，2023年降為1.4039萬起，2023年升至1.7559萬起，年均遭受攻擊約達2萬起。韓國平安行政部遭受到的攻擊最為頻繁，其次為國家報勛處、產業通商資源部和外交部。自2023年以來，通過韓國國內IP地址對韓國中央機構進行攻擊的案例最多，為3.7185萬起，其次為中國〔2.0691萬起〕和美國〔4551起〕。攻擊手段包括通過網絡盜取信息、植入惡意代碼、分布式DOS攻擊和網絡監聽等。面臨的平安問題綜述上述的平安事件，原因是：在核心的主機系統沒有做平安防護，為什么要在核心的主機系統部署防護產品？因為：1.美國出口中國的操作系統的平安級別低，只是C2級別的，更高級別的操作系統不出口中國，這種C2級別系統本身就有很多的漏洞，入侵者很容易通過這些系統漏洞侵入主機。2.用戶只在邊界做了防護,部署了防火墻、入侵檢測系統、VPN等產品，這些產品確實解決了網絡平安中的一局部問題,但是它們是獨立于用戶當前的網絡與系統之外的,既不能完全阻止外部人員的入侵行為,也沒法杜絕內部人員的誤操作或非法操作。3.在信息化建設的過程中，接觸主機的外部人員多(如設備的調試安裝)，對信息平安造成一定威脅。4.主機上運行的是用戶的重要數據、文件和關鍵的業務、進程，對系統可靠性要求更高。5.一旦出現了事故，入侵者在離開前修改或刪除日志，事后無法追查、判斷責任，無法迅速找到解決方案。綜上所述:要保證重要的數據和文件不被更改、刪除、非法拷貝;關鍵業務、進程不被非法停止,必須在主機上部署防護產品。一個由網絡邊界到核心的多層次的縱深的多層次防護體系，才是一個完整的平安防護體系。圖3-1木桶原那么系統平安防護設計符合等級保護標準第三級嚴格按照《GB/T20272-2006信息平安技術-操作系統平安技術要求》三級操作系統平安標準，使操作系統平安到達身份鑒別、強制訪問控制、平安審計、剩余信息保護、入侵防范、惡意代碼防范，資源控制等標準。身份鑒別計算機不會識別管理人員是否合法，只會識別系統當中的賬戶，一旦非法人員獲取到系統的最高管理員賬戶，可對操作系統任意修改、破壞。要實現登陸操作系統的用戶是否合法，需對用戶進行身份鑒別，保證用戶的唯一性。訪問控制系統層訪問控制主要為了保證用戶對主機資源合法使用。非法用戶可能企圖假冒合法用戶的身份進入系統，低權限的合法用戶也可能企圖執行高權限用戶的操作，這些行為將給主機系統和應用系統帶來了很大的平安風險。用戶必須擁有合法的用戶標識符，在制定好的訪問控制策略下進行操作，杜絕越權非法操作。系統設計實現屬主型自主訪問控制和強制訪問控制。控制的客體范圍，包括文件、進程、效勞、共享資源、磁盤、端口、注冊表(僅windows)等；主體包括用戶、進程和IP，同時支持用戶與進程的綁定，可以控制到指定用戶的指定進程。實現權限最小原那么：對于制定的訪問控制規那么要能清楚的覆蓋資源訪問相關的主體、客體及它們之間的操作。對于不同的用戶授權原那么是進行能夠完成工作的最小化授權，防止授權范圍過大，并在它們之間形成相互制約的關系。訪問控制的實現主要采取兩種方式：采用平安操作系統，或對操作系統進行平安增強改造，且使用效果要到達以上要求。免疫惡意代碼病毒是由代碼編寫，這樣的代碼被成為惡意代碼，惡意代碼感染系統，要寫入文件，感染進程，增加或修改系統效勞，修改注冊表，這個是惡意代碼的危害，傳統的殺毒軟件會通過特征匹配來查殺病毒，無法對未知的惡意代碼進行防范。要實現系統對惡意代碼免疫，需要系統提升至強制訪問控制阻斷惡意代碼觸發條件，采用增強型DTE、RBAC對系統資源進行全方位的保護免疫黑客攻擊任何系統都有可能存在漏洞，黑客通過漏洞拿到系統權限后，可以任意拷貝文件、刪除文件、安裝后門、添加隱藏賬號、格式化磁盤。需將現有的系統通過合規自主訪問控制與強制訪問控制相結合，即使黑客利用漏洞拿到超級管理員，也無權限破壞系統。防止信息泄露惡意軟件、數據濫用和社會工程學都可造成數據泄露，輕那么可以危害個人隱私、商業秘密，嚴重甚至會危害到國家的平安。為防止信息泄露，采用增強型DTE、RBAC和BLP平安模型，使用虛擬化技術實現可視化平安域，讓主客體都參加了敏感標記，對數據進行保密性保護，防止數據被盜取，而即使數據被竊取，竊取的數據仍不可用。解決補丁滯后性問題當前，解決系統平安的主要途徑是更新補丁，即使及時更新補丁，然而操作系統新漏洞還總是不斷出現，這些漏洞都是操作系統平安的潛在威脅。針對未公開漏洞的攻擊代碼〔0day〕，廠商沒有補丁，平安問題無法解決；物理隔離或內網中的效勞器，很難及時更新補丁，即使更新，也可能導致新漏洞出現；局部補丁安裝后需要計算機重啟方可生效，這也會造成業務系統中斷的為難。采用增強型DTE、RBAC對系統中重要文件、用戶、進程、效勞、磁盤、共享、配額、IP、端口、注冊表〔僅Windows〕等資源進行保護，即使黑客根據漏洞獲取到超級管理員權限，也無法對保護的資源進行拷貝、更改、刪除、格式化等操作。從而讓系統在沒有補丁的情況下依然處于平安穩定的狀態。系統審計對于登陸主機后的操作行為那么需要進行主機審計。對于效勞器和重要主機需要進行嚴格的行為控制，對用戶的行為、使用的命令等進行必要的記錄審計，便于日后的分析、調查、取證，標準主機使用行為。而對于應用系統同樣提出了應用審計的要求，即對應用系統的使用行為進行審計。重點審計系統層與業務系統的運轉流程。能夠為平安事件提供足夠的信息，與身份認證與訪問控制聯系緊密，為相關事件提供審計記錄。平安審計功能應與身份鑒別、自主訪問控制、標記、強制訪問控制及完整性控制等平安功能緊密結合；提供審計日志、實時報警生成，潛在侵害分析、基于異常檢測，根本審計查閱、有限審計查閱和可選審計查閱，平安審計事件選擇，以及受保護的審計蹤跡存儲和審計數據的可用性確保等功能；能夠生成、維護及保護審計過程，使其免遭修改、非法訪問及破壞，特別要保護審計數據，要嚴格限制未經授權的用戶訪問；能夠創立并維護一個對受保護系統資源訪問的審計跟蹤，保護審計記錄不被未授權的訪問、修改和破壞；每個事件的數據記錄，應包括的信息有：事件發生的日期和時間、觸發事件的用戶、事件的類型、事件成功或失敗等。對于身份標識和鑒別事件，應記錄請求的源〔如末端號或網絡地址〕；對于創立和刪除客體的事件，應記錄客體的名字和客體的平安屬性；應提供一個受保護的翻開和關閉審計的機制。數據平安信息泄密事件會危害到國家的平安。減少泄密的風險，打造平安操作系統是防止信息泄密的根底。數據平安主要指數據的完整性與保密性。數據是信息資產的直接表達。所有的措施最終無不是為了業務數據的平安。因此數據的備份十分重要，是必須考慮的問題。采用增強型DTE、RBAC和BLP平安模型，并對主機中的主客體都添加敏感標記，對數據進行保密性保護，防止數據被盜取，而即使數據被竊取，竊取的數據仍不可用。剩余信息保護對于正常使用中的主機操作系統經常需要對用戶的鑒別信息、文件、目錄、數據庫記錄等進行臨時或長期存儲，在這些存儲資源重新分配前，如果不對其原使用者的信息進行去除，將會引起用戶信息泄漏的平安風險，應通過增強操作系統平安性，需要確保系統內的用戶鑒別信息文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全去除集中管理需要對分布于各機房的效勞器進行集中管理，按效勞器角色自動生成動態拓撲圖，并可以根據實際情況進行分組管理。JHSE主機平安環境系統JHSE主機平安環境系統，針對以上描述的問題，在現有的平安解決方案的技術上，實現了系統層的平安解決方案，提升信息系統平安“木桶中〞系統層面的“短板〞。JHSE產品介紹目前，國內所使用的計算機操作系統一直由國外產品壟斷，雖然我國也正在研究自主知識產權的操作系統，但是由于軟硬件的移植工作非常龐大，并且國有操作系統的市場成熟度不高，造成國有操作系統無法代替國外產品的局面，而針對微軟的操作系統，一直以來除了廠商提供補丁，其他第三方均無法對計算機系統平安提供切實有效的解決方案，傳統解決方案中更新補丁、安裝殺毒都是在與攻擊技術進行不斷博弈，一來屬于滯后性的解決方案，也就是先有攻擊，再有防御，二來信息系統一直無法到達國家等級保護中所要求的第三級強制訪問控制。計算機系統層正面臨著越來越多的平安問題，為此椒圖科技率先研制出新一代的主機平安環境系統，簡稱：JHSE〔JOWTOHostSecurityEnvironment的縮寫〕。JHSE以國家等級保護標準為依據，對效勞器操作系統的平安子系統〔SSOOS〕進行重構和擴充，重構后的平安子系統打造了系統層的立體防護體系，將現有操作系統透明提升至平安操作系統。JHSE是針對效勞器操作系統存在的平安隱患而提供的平安操作系統解決方案，解決操作系統層面所面臨的惡意代碼執行、越權訪問、數據泄露、破壞數據完整性等各種攻擊行為，能夠通過虛擬化技術將每個應用或者功能單獨劃分成平安域，各平安域之間如同獨立的主機相互隔離，利用增強型DTE所生成的每個平安域中均具備增強型RBAC平安機制，可對域內資源進行強制訪問控制，讓每個域的平安性非常健壯。而增強型DTE那么隔離了域與域之間的訪問，即便管理員忘記對某個域進行平安配置，出現了平安事故，所產生的影響也僅局限在該域內，不會影響和擴散到其他域。這種默認的最小化平安訪問機制，有效地隔離了、未知攻擊和惡意代碼對系統與應用資源的訪問，確保了系統資源的保密性和完整性，從而也提供了高可用和高可靠的業務連續性。JHSE實現原理操作系統平安主要包括以下幾個方面：保密性、完整性、可用性、可靠性。JHSE利用增強型DTE、RBAC、BLP三種訪問控制平安模型組合，重構操作系統的平安子系統，用重構后的“強化平安子系統監控器〞監控資源訪問的行為。遵循增強型DTE、RBAC、BLP模型來實現系統的平安策略。通過三種模型的相互作用和制約，確保系統中信息和系統自身平安性，以保障操作系統的保密性、完整性、可用性、可靠性。JHSE的平安保護，可對主機系統平安涉及的控制點〔如身份鑒別、敏感標記、強制訪問控制、平安審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等〕形成立體防護，以確保平安操作系統的實現。圖5.2-1JHSE原理圖增強型DTE模型DTE〔DomainandTypeEnforcement〕模型是有效實施細粒度強制訪問控制的平安策略機制，其中平安域隔離技術作為構建可信系統的根本要求之一，是操作系統核心強制執行的一種訪問控制機制，特點是通過嚴格的隔離，阻止平安域內、外部主體對客體的越權訪問，實現保密性、完整性、最小特權等平安保護。增強型DTE是在傳統DTE模型根底之上進行擴充，實現域內不僅分配主體也可以分配客體，使不同域內的主客體訪問到達多對多的訪問關系。定義不同域的主客體訪問權限，解決現有DTE模型存在平安目標不準確，系統的平安性難以控制等問題。通過配置嚴格的隔離策略，阻止平安域內、外部主體對客體的越權訪問，從而實現保密性、完整性、最小特權等平安保護。為域間通信提供平安可靠的可信管道機制，從而得出系統處于可信狀態的形式定義。采用增強型DTE平安域可以根據平安需求將應用和功能劃分到不同的域，使進入域的主體權限得到有效控制，離開域的主體權限最小化。圖5.2.1-1增強型DTE模型增強型RBAC模型基于角色的訪問控制〔Role-BasedAccessControl〕作為傳統訪問控制〔自主訪問，強制訪問〕有前景的代替，受到廣泛關注。在RBAC中，權限與角色相關聯，用戶通過成為適當角色成員而得到這些角色的權限。這就極大地簡化了權限的管理。在一個組織中，角色是為了完成各種工作而創造的，用戶那么依據它的責任和資格來被指派相應的角色，用戶可以很容易地從一個角色被指派到另一個角色。角色可依新的需求和系統的合并而賦予新的權限，而權限也可根據需要從某角色中回收。角色與角色的關系可以建立起來以囊括更廣泛的客觀情況。增強型RBAC模型可以支持細粒度的配置，主客體對應關系，如下列圖所示：圖5.2.2-1增強型RBAC模型增強型BLP模型BLP模型的根本平安策略是“上讀下寫〞，高平安級別主體只可以讀平安級別比它低的客體，低平安級別主體只可以寫平安級別比它高的客體，同級別主客體間可讀寫，“上讀下寫〞的平安策略保證了數據流向中的所有數據只能按照平安級別從低到高的流向流動，從而保證了敏感數據不泄露。增強型BLP模型讀和寫的權限更注重細粒度的控制，讀權限包括讀數據、讀ACL等。寫權限包括寫數據、追加寫，寫ACL等。BLP模型示意圖如下：圖5.2.3-1增強型BLP模型JHSE關鍵技術雙重身份認證JHSE用戶采用USBKEY和密碼雙重身份認證的方式，只有插入USBKEY輸入正確的口令才能登錄，否那么無法登陸。登陸驗證流程見下列圖：圖5.3.1-1登錄驗證流程圖三權分立為了對系統資源進行平安、合理控制，JHSE采用了三個管理角色：系統管理員、平安管理員和審計管理員，不同管理員之間相互獨立、相互監督、相互制約，每個角色各司其職，共同保障效勞器系統的平安，從而實現三權分立。示意圖如下：圖5.3.2-1三權分立系統管理員：可以對效勞器日常維護，其權限受到平安管理員的約束，不再是傳統操作系統管理員一權獨大。平安管理員：可以根據實際需求導入策略文件，可以開啟或者關閉JHSE系統。審計管理員：可以監督系統管理員、平安管理員的行為，和對非法操作進行審計。可視化虛擬平安域JHSE采用虛擬化技術，在現有操作系統空間中根據不同的用戶應用分別創立出多個虛擬空間，實現用戶與用戶之間的隔離，應用與應用之間的隔離，該虛擬空間被稱作“平安域〞，每個平安域均具備增強型RBAC平安機制。用戶可將需要保護應用的用戶、進程，所需資源〔例如：文件、進程、效勞、磁盤、設備、通信端口等〕，添加進被保護應用所對應的平安域內，分別成為該平安域的域內主體、域內客體以及平安屬性，實現用戶與系統之間的隔離。JHSE通過對現有操作系統的“平安子系統〔SSOOS〕〞進行重構，利用重構后的“強化平安子系統監控器〞監控資源訪問的行為，實現最小化權限。通過嚴格的隔離，阻止域內和域外的非授權訪問，無論是平安域的劃分或域內主客體及其平安屬性的添加，還是對應用請求行為的監控，對于原有應用來說都是完全透明的，這也意味著對于原有應用的業務邏輯不會有絲毫改變。平安域原理圖如下：圖5.3.3-1可視化虛擬平安域動態拓撲生成安裝JHSE后，配置平安管理中心效勞器IP地址，然后自動連接到JHSE平安管理中心效勞器。JHSE采用動態拓撲生成技術，按用戶角色自動生成拓撲圖。用戶可以根據實際情況進行分組管理。用戶數據保密性保護JHSE數據保密性保護采用增強型DTE、RBAC、BLP技術，平安域的隔離機制讓出入域的主體權限最小化，BLP有效控制數據流，平安子系統〔SSOOS〕的重構和擴充提供了數據保護的更多平安屬性，如：核心層的動態透明加解密技術。通過以上幾種技術的相互配合可以有效防止數據泄露，保證了數據的保密性。用戶數據完整性保護JHSE擁有強大的文件、賬戶、效勞、注冊表〔僅windows〕完整性保護功能。文件完整性檢測：JHSE可以指定需要完整性保護的文件或目錄，并自動記錄其屬性和內容校驗值，可對修改正的文件，進行完整性審計，并報告出修改的日期和內容，同時提供完整性復原操作。賬戶完整性檢測：JHSE可對系統賬戶信息進行完整性保護，當系統賬戶出現增、刪、改等情況時，完整性審計可報告修改日期和內容，同時提供完整性復原操作。效勞完整性檢測：JHSE可對系統效勞進行完整性保護，當系統效勞出現新增、刪除、更改效勞執行路徑等情況時，完整性審計可報告修改日期和內容，同時提供完整性復原操作。注冊表〔僅windows〕完整性檢測：JHSE可對注冊表進行完整性保護，當注冊表出現增、刪、改等情況時，完整性審計可報告修改日期和內容，同時提供完整性復原操作。日志抗抵賴JHSE日志抗抵賴采用高可信時間戳技術，生成日志的同時做冗余備份。如果刪除日志，冗余備份日志會記錄刪除日志的動作，具有不可抵賴性。同時冗余日志中參加了時間同步技術，更改系統時間也不會影響日志的準確性。日志如果被刪除，可通過冗余日志對其進行復原，保證日志的完整性和可靠性平安運行測試SSF平安模型測試：JHSE可以對SSOOS整體平安模型進行檢測，檢測各SSF，如：增強型DTE、RBAC、BLP平安模型是否工作正常，防止模塊產生錯誤，從而保證應用和系統的正常運行。如果某個SSF模塊出現了問題，會及時記錄日志并發送信息或郵件至報警工作站。SFP功能測試：JHSE可以對SFP的策略進行檢測，檢測各個功能模塊運行是否正常，檢測SFP是否有效，保證SSF的各項平安功能都能正常使用。如果SFP出現了問題，會及時記錄日志并發送信息或郵件至報警工作站。SSOOS完整性測試：JHSE帶有SSOOS完整性檢測功能，檢測組成SSOOS的SSP是否被篡改，保證SSOOS的正常運行。如果SSOOS自身出現了問題，會及時記錄日志并發送信息或郵件至報警工作站。JHSE主要功能和特點雙重身份鑒別根據等級保護《GB/T20272-2006信息平安技術-操作系統平安技術要求》規定，JHSE采用雙重身份認證鑒別技術，默認使用強化口令鑒別〔USBKEY〕，加用戶名密碼鑒別方式。通過全部身份認證后，才可以對系統進行管理和維護，如果連續鑒別失敗超過一定數量〔數量可配置〕，系統將自動鎖定，在一定時間后〔時間可配置〕才可以繼續進行鑒別和登陸操作。密碼認證：JHSE系統內部內置兩個用戶分別為平安管理員和審計管理員，平安管理員和審計管理員各司其職，可以設置成不同的登陸密碼。采用強密碼認證，密碼必須符合復雜性策略。USBKEY認證：USBKEY是一個小巧的硬件設備，需要和主機硬件信息進行綁定，然后分別授權給平安管理員和審計管理員，登陸和管理JHSE時，需要USBKEY進行身份認證，否那么無法登陸到JHSE以及操作系統。強制訪問控制根據等級保護《GB/T20272-2006信息平安技術-操作系統平安技術要求》規定，JHSE實行強制訪問控制，控制的客體范圍，包括文件、進程、效勞、共享資源、磁盤、端口、注冊表(僅windows)等；主體包括用戶、進程和IP，同時支持用戶與進程的綁定，可以控制到指定用戶的指定進程。JHSE將主機資源各個層面緊密的結合，可以根據實際需要對資源進行合理控制，實現權限最小原那么。JHSE主客體如下：

主體用戶進程IP用戶與進程綁定客體文件進程網絡共享效勞磁盤端口注冊表〔僅windows〕表7.3-1JHSE主客體文件對象訪問監控器JHSE的文件對象訪問監控器，可以控制用戶為主體對文件/目錄的訪問，也可以控制進程為主體對文件/目錄的訪問，具體平安屬性如下：平安權限文件目錄權限描述只讀√√只具有讀取的權限寫入√√具有修改的權限完全控制√√全部的功能控制權限禁止訪問√√禁止訪問權限刪除√√具有刪除權限修改ACL√√允許對訪問控制列表進行修改讀文件數據√對文件的數據只具有讀取的權限寫文件數據√對文件的數據具有修改的權限源文件重命名√√允許修改源文件的名稱執行文件√允許執行文件創立硬鏈接源文件√√允許源文件創立硬鏈接創立硬鏈接到目標文件√√允許目標文件創立硬鏈接保密性保護√動態透明加解密遍歷目錄√允許遍歷目錄目標文件重命名√允許修改目標文件的名稱在目錄下創立子目錄√允許在目錄中創立子目錄列出目錄下子項√允許目錄下的子項被列出在目錄下創立文件√允許在目錄中創立新文件進程對象訪問監控器在JHSE的進程對象訪問監控器中，進程既可以作為主體，也可以作為客體，具體平安屬性如下：平安權限主體〔進程〕客體〔進程〕權限描述只讀√只具有讀取的權限寫入√具有修改的權限完全控制√全部的功能控制權限禁止訪問√禁止訪問權限終止進程√允許進程被終止創立線程√允許遠程線程被創立設置進程信息√允許進程信息的修改修改內存屬性√允許修改內存的屬性讀內存數據√允許讀取內存的數據寫內存數據√允許修改內存的數據復制進程句柄√允許進程句柄被復制查詢進程信息√允許進程信息被查詢掛起及恢復進程√允許進程被掛起、恢復提升至TCB權限√允許權限被提升至操作系統權限創立主令牌√允許主令牌的創立獲得操作系統對象的所有權√允許獲得操作系統對象的所有權對該主體開放內核√允許內核對當前主體開放調試進程√允許對進程進行調試直接讀寫系統內核內存√允許系統內核內存被直接讀寫備份系統資源√允許系統資源的備份恢復系統資源√允許系統資源被恢復效勞對象訪問監控器JHSE的效勞對象訪問監控器，可控制系統效勞不被新增、刪除、修改效勞程序執行路徑，具體平安屬性如下平安權限權限描述防止指定效勞新增禁止增加新的效勞防止指定效勞刪除禁止刪除已有效勞防止修改效勞啟動路徑禁止修改效勞的可執行文件路徑網絡共享對象訪問監控器網絡共享對象訪問監控器可控制指定IP、用戶對共享資源的訪問，具體平安屬性如下：平安權限文件目錄權限描述只讀√√只具有讀取的權限寫入√√具有修改的權限完全控制√√全部的功能控制權限禁止訪問√√禁止訪問權限修改ACL√√允許訪問控制列表的修改刪除√√允許內容被刪除源文件重命名√√允許修改源文件的名稱列出目錄下子項√允許目錄下的子項被列出遍歷目錄√允許遍歷目錄在目錄下創立文件√允許在目錄下創立新文件在目錄下創立子目錄√允許在目錄下創立子目錄讀文件數據√只可以讀取文件的數據寫文件數據√允許修改文件的數據執行文件√允許執行文件磁盤對象訪問監控器磁盤對象訪問監控器可控制指定物理磁盤與邏輯卷的訪問，具體平安屬性如下：平安權限權限描述防邏輯磁盤格式化防止磁盤被非法格式化防直接邏輯磁盤讀寫防止直接對邏輯磁盤進行讀寫操作防直接物理磁盤方式讀寫防止直接對物理磁盤的讀寫防總線物理設備方式讀寫防止跳過總線設備對磁盤進行讀寫支持雙機CLUSTER支持雙機備份支持邏輯卷改名支持對邏輯卷進行改名支持邏輯磁盤MOUNTPOINT變更支持邏輯卷的掛載點變更端口對象訪問監控器端口對象訪問監控器可控制指定IP、端口的訪問，也可以控制全局對象的訪問，具體平安屬性如下：平安權限指定對象〔IP、端口〕全局對象〔所有網絡〕權限描述監聽√√允許端口進入監聽狀態連接√√允許通過端口進行連接完全控制√√全部的功能控制權限禁止訪問√√禁止訪問權限注冊表對象訪問監控器注冊表〔僅windows〕訪問監控器，可控制主體為進程對注冊表鍵/鍵值的訪問；也可控制主體為用戶對注冊表鍵/鍵值的訪問，具體平安屬性如下：平安權限鍵鍵值權限描述只讀√√只具有讀取的權限寫入√√具有修改的權限完全控制√√全部的功能控制權限禁止訪問√√禁止訪問權限查詢注冊表鍵值信息√√允許注冊表的鍵值信息被查詢刪除注冊表鍵值信息√√允許注冊表的鍵值信息被刪除設置注冊表鍵值信息√√允許注冊表的鍵值信息被修改創立注冊表鍵√允許注冊表鍵被創立刪除注冊表鍵√允許注冊表鍵被刪除重命名注冊表鍵√允許修改注冊表鍵的名稱枚舉子鍵√允許在注冊表中枚舉子鍵枚舉鍵值√允許在注冊表中枚舉鍵值修改注冊表ACL√允許修改注冊表的訪問控制列表查詢注冊表鍵信息√允許注冊表鍵信息被查詢在注冊表鍵上加載HIVE文件√允許HIVE文件在注冊表鍵上被加載將注冊表鍵保存到HIVE文件√允許將注冊表鍵保存到HIVE文件中從HIVE文件恢復注冊表鍵√允許將注冊表鍵從HIVE文件中恢復用HIVE文件替換注冊表鍵√允許使用HIVE文件替換注冊表鍵6.3剩余信息保護根據《GB/T20272-2006信息平安技術-操作系統平安技術要求》規定，保護用戶所在存儲空間在去除后分配給其他用戶之前必須完全去除。通過現有操作系統本身的“刪除〞功能，刪除的文件其存儲空間并沒有完全去除，很多第三方工具正是利用了這些“剩余信息〞來實現恢復功能。JHSE通過對現有操作系統的平安子系統〔SSOOS〕進行重構和擴充，當擴充后的SSOOS的“文件對象訪問監控器〞監測到系統有刪除動作時，會自動啟用“剩余信息保護〞模塊來動態接管原系統的刪除動作，“剩余信息保護〞模塊，會完全去除存儲空間中的信息。“剩余信息保護〞模塊的工作對于用戶來說是完全透明的，這意味著在不必改變任何原有的業務流程的情況下，確保了用戶數據不被惡意恢復。網頁防篡改被動防御網頁篡改JHSE的網頁防篡改采用完整性檢測功能，針對網站的文件、用戶、效勞、注冊表〔僅windows〕進行數據信息收集，生成網站信息數據收集時間點；當網站相關文件、效勞、注冊表〔僅windows〕及擁有修改網站權限的用戶發生更改時，可手動與信息收集時間點的文件數據進行比對，如在信息收集后網站數據文件發生更改，可檢測出進行更改操作的具體文件、用戶、效勞、注冊表〔僅windows〕以及進行更改操作的用戶、操作時間、操作類型〔修改、新建、刪除等〕；對非授權的更改可進行恢復，將文件、用戶、效勞、注冊表〔僅windows〕恢復至信息收集時間點時的狀態。主動防御網頁篡改網頁防篡改主要目的是保證文件數據的完整性，可通過可視化虛擬平安域將網站相關數據文件、文件夾、進程、注冊表〔僅windows〕進行權限控制，只有授權的用戶或進程才能夠對網站相關的文件、進程等進行操作，而非授權用戶或進程無法進行違反平安策略的操作。通過ASVE可視化虛擬平安域功能，使網站相關的文件、文件夾、進程、注冊表〔僅windows〕位于獨立的平安域中，保證網站數據及進程的完整性；將網站的應用文件、進程作為客體放入單獨的平安域中，并將網站應用自身運行所需要的用戶進程作為主體添加進同一平安域；可保證網站應用正常運行，但是無法對網站的頁面、文件進行修改，調試進程；從而防止對網站進行非授權的修改，大大提高了網站的平安性，同時不會影響網站正常運行及使用。還可結合用戶的具體運維方式，對平安策略進行調試。從而保證網站數據文件內容不被修改、網站進程不被非授權終止。6.5惡意代碼防范JHSE的惡意代碼防范采用可視化平安域技術，平安域遵循權限最小化原那么，根據應用或者資源的平安屬性進行獨立劃分，惡意代碼無法對平安域內的資源進行訪問，對于域外資源，平安域的隔離機制會剝離惡意代碼的訪問權限，使其無法對域外資源進行修改，有效地遏制了惡意代碼的生存空間。從而保證系統不會遭受惡意代碼的侵害。平安審計違規日志：JHSE的違規日志記錄所有與訪問控制策略不匹配的動作和越權訪問行為，記錄事件的主體、客體、發生的時間和違規動作等信息。系統日志：JHSE可以對系統內的效勞器的系統日志進行查看和管理。完整性檢測日志：JHSE的完整性檢測日志包含文件、用戶、效勞、注冊表〔僅windows〕完整性檢測的日志信息，其中包括檢測的時間、檢測的目標文件、檢測的結果等，以及對恢復等操作進行日志記錄。入侵檢測日志：JHSE入侵檢測日志記錄所有關于入侵檢測的信息，包括時間、操作、入侵者的一些信息等，方便系統平安分析。JHSE自身日志：JHSE自身日志主要是記錄平安管理員登陸時間和配置策略行為等詳細的情況，同時記錄JHSE自身運行日志。日志管理：JHSE的日志管理帶有備份功能，便于存儲。同時日志也帶有恢復功能，日志采用帶時間戳的方式，保障日志完整性和平安性。JHSE部署方案JHSE采用分布式管理設計理念，分為主機加固管理平臺、平安主機、主機日志管理平臺、控制臺四個組件，示意圖如下：圖7-1分布式系統管理示意圖各組件功能描述：控制臺：各種管理角色進入JHSE的平安連接入口，登入后各種角色各自通過被賦予的功能開展自己職責內的工作。可搭配USB-key使用，消除口令遺失的隱患。主機加固管理平臺：為各種角色建立賬戶并分配權限，通過建立各種角色間的管理關系，完成各角色司職范圍的界定。建立多級管理關系。，分配“平安效勞器〞與“審計效勞器〞的管理范圍。平安主機：即需要保護的主機。通過配置平安策略進行對主機的控制，將違規操作日志和入侵檢測日志發送到審計效勞器。主機日志管理平臺：主要記錄整個系統的日志，包括違規日志、系統日志、完整性檢測日志、入侵檢測日志等。成功案例中國石化集團網站實施案例需求背景中國石化集團是國家獨資設立的國有公司、國家授權投資的機構和國家控股公司。作為一個國有特大型企業，在企業信息化建設過程中，對信息平安工作也非常重視，要求做到根底設施建設和信息平安建設的同步。集團網站作為該企業的門戶網站，是信息獲取和應用訪問的首要渠道，各下屬企業和供給商網絡成員單位可以通過企業公網或內部網登錄到網站，根據不同的用戶角色和所分配的業務權限執行瀏覽信息等相關業務操作。客戶需求：1、頁面被篡改，企業門戶網站作為企業形象的標志之一，是廣闊用戶對企業信賴的根底，門戶網站一旦被篡改，常常會引發較大的影響，嚴重時甚至會造成政治事件。2、提高企業信息門戶的可靠性和可用性，使門戶網站平臺更加平安、穩定、高效運行，進一步提升企業信息門戶整體性能。3、網站信息根據角色和權限的不同相互之間嚴格保密并且可以全程追溯。4、解決效勞器操作系統的平安隱患，到達平安操作系統標準，同時滿足國家等級保護操作系統平安三級測評要求。系統環境操作系統：WINDOWSSEVER200364BIT8臺系統應用：IIS、MOSS數據庫：SQLSever2005解決方案通過部署椒圖科技JHSE主機平安環境系統在web效勞器和數據庫效勞器上，用于保障網站效勞器操作系統及數據庫效勞器上重要數據的平安，保障集團網站業務平安和穩定的運行，保護商業秘密，為網站日常運轉提供良好根底。部署JHSE椒圖主機平安環境系統，能更好地與企業現有平安產品充分結合，構建更加完善的平安體系，共同保障和促進企業業務開展和業務目標的實現，滿足企業生產、經營和管理等方面需要。部署示意圖如下：方案效果1、保護web效勞器的網頁不被篡改，同時保護網站效勞器免疫惡意代碼，到達對未知病毒、未知漏洞攻擊的免疫效果，提升網站的信息平安保障水平，提高企業的品牌形象和客戶忠誠度。2、實現三權分立，有效地防止了超級管理員權限過大，在三權分立原那么下，即使超級管理員密碼泄漏或者被破解，黑客也無法破壞被JHSE保護的資源，并且對于任何用戶登錄實行雙重身份認證。3、保護重要數據不會被非法篡改，即使是Administrator權限，數據庫的配置文件及重要數據也不會被非法修改、復制、刪除。4、提供完善的日志審計、管理功能，可以精確到IP、MAC、用戶、進程、時間等，并統一接入企業現有審計平臺，實現業務操作可追溯。5、把操作系統透明提升到平安操作系統，且完全滿足國家等級保護操作系統三級要求。國電大渡河流域水電開發實施案例需求背景國電大渡河流域水電開發，是集水電開發建設與經營管理于一體的大型水電開發公司。如何保證電站監控應用系統、電廠生產管理信息系統的平安、正常運行非常關鍵。作為國家著名的水利發電工程，非常重視信息系統的平安。在增強信息系統平安的措施中，其在信息系統中也部署了相關的平安產品，如防火墻、代理效勞器、入侵檢測、漏洞掃描等等，但是操作系統的平安水平卻一直沒有得到提高，在其整體的信息平安