解决方案 > 等级保护三级

国家计算机等级保护三级要求

目前,各行业使用的操作系统不论是大型商用Unix系列,如:AIX、HP-UX、Solaris,还是Windows Server系列或Linux Server系列基本上是C2级的,此级别要低于我国等级保护标准中的审计保护级。这个级别的操作系统基本上属于弱访问控制,操作系统管理员一权独大,没有相关的审计措施与权限制约,更没有相应的保障类要求,已经不能满足国家的安全需要,所以国家要求重要的信息系统如地市级以上国家机关、重要企事业单位内部重要的信息系统,涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统这些系统要达到国家等级保护三级的要求。如何将我国的信息系统中所使用的操作系统的安全等级达到B1级(我国等级保护标准中的安全标记保护级)以上的水平,是我国所面临的一个必须解决的问题。

安全标记保护级

本级的计算机信息系统可信计算机具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。

自主访问控制

计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。

强制访问控制

计算机信息系统可信计算机对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合。计算机信息系统可信计算机控制的所有主体对客体的访问应满足:仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类计算机信息系统可信计算机使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的计算机信息系统可信计算机外部主体的安全级和授权,受该用户的安全级和授权的控制。

身份鉴别

计算机信息系统可信计算机维护用户身份识别数据并确定用户访问权及授权数据计算机信息系统可信计算机使用这些数据鉴别用户身份,计算机信息系统可信计算机能够使用户对自己的行为负责。

数据完整性

计算机信息系统可信计算机通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。

结构化保护级

本级的计算机信息系统可信计算机建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。

隐蔽信道分析

系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信道的最大带宽。

可信路径

对用户的初始登录和鉴别,计算机信息系统可信计算机在它与用户之间提供可信通信路径。该路径上的通信只能由该用户初始化。

JHSE椒图主机安全环境系统

JHSE椒图主机安全环境系统(JOWTO Host Security Environment System)是椒图科技自主研发的跨平台服务器安全加固产品,是目前市场上唯一完美支持Windows、Liunx、AIX、Hpux、Solaris异构网络部署,完全符合国家等级保护三级的服务器安全方案。可对服务器系统安全涉及的控制点(如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等)形成立体防护,解决操作系统层面面临的恶意代码执行、越权访问、数据泄露、破坏数据机密性、完整性等各种攻击行为,以保障数据及业务系统的保密性、完整性、可用性、可靠性。


传统系统层安全解决方案,虽然产品众多,但安全事件依然频发,究其原因是其只能解决系统中某“点” 的安全(如HIDS、HIPS、安全审计、文档安全、杀毒软件等产品的相应作用),即使联合使用多种产品,也只能分别解决相应几“点”的安全。因设计体系上的问题,即使“点”的安全解决再多也很难连成“面”,所以无法从根本上解决系统层的安全问题。
JHSE可对服务器操作系统的安全子系统(SSOOS)进行重构和扩充,重构后的安全子系统(SSOOS)可利用增强型DTE生成安全域,每个安全域中均具备增强型RBAC、BLP模型,以实现资源的动态隔离和强制访问控制。JHSE含有专利技术的剩余信息清除可完全透明实现,瞬间达到客体重用要求,保障了数据的保密性;而完整性检测、备份、还原等功能则保障了数据的完整性。更加细化主客体的控制粒度使操作系统的安全保护更加精确,并配合操作系统层面的入侵检测来判断所有访问操作,违反安全规则的操作最终会被记录在抗抵赖日志服务器中,强化多样的审计功能可以联动其他防护模块,针对威胁进行处理。

JHSE具有多项国家发明专利,拥有200多项全新技术,JHSE完全遵循安全操作系统理念,打造系统层的立体防护体系,将现有操作系统透明提升至安全操作系统。解决操作系统层面所面临的恶意代码执行、越权访问、数据泄露、破坏数据完整性等各种攻击行为。

八大核心价值

实现原理

JHSE利用增强型DTE、RBAC、BLP三种访问控制安全模型组合,重构操作系统的安全子系统(SSOOS),通过三种模型的相互作用和制约,确保系统中信息和系统自身安全性,以保障操作系统的保密性、完整性、可用性、可靠性。JHSE的安全保护,可对系统安全涉及的控制点(如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等),形成立体防护,以确保安全操作系统的实现。

增强型DTE模型
DTE (Domain and Type Enforcement)模型的特点是通过严格的隔离,阻止安全域内、外部主体对客体的越权访问,实现保密性、完整性、最小特权等安全保护。
增强型DTE域内不仅分配主体也可以分配客体,使不同域内的主客体访问达到多对多的访问关系。定义不同域的主客体访问权限,解决现有DTE模型存在安全目标不准确,系统的安全性难以控制等问题。

增强型RBAC模型
基于角色的访问控制(Role-Based Access Control)模型的特点是权限与角色相关联,用户通过成为适当角色成员而得到这些角色的权限。增强型RBAC模型可以支持细粒度的配置,主客体对应关系,如下图所示:

增强型BLP模型
BLP模型的基本安全策略是“上读下写”,保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动。而增强型BLP模型读和写的权限更注重细粒度的控制,读权限包括读数据、读ACL等。写权限包括写数据、追加写,写ACL等。

关键技术
双重身份认证
JHSE用户采用USBKEY和密码双重身份认证方式,只有插入USBKEY输入正确的口令才能登录,否则无法登陆。

三权分立
为了对系统资源进行安全、合理控制,JHSE采用了三个管理角色:系统管理员、安全管理员和审计管理员,不同管理员之间相互独立、相互监督、相互制约,每个角色各司其职,共同保障服务器系统的安全,从而实现三权分立。示意图如下:

系统管理员: 可以对服务器日常维护,其权限受到安全管理员约束,不再是传统操作系统管理员一权独大。
安全管理员: 可以根据实际需求导入策略文件,可以开启或者关闭JHSE系统。
审计管理员: 可以监督系统管理员、安全管理员的行为,和对非法操作进行审计。

可视化虚拟安全域
JHSE采用虚拟化技术,在现有操作系统空间中根据不同的用户应用分别创建出多个虚拟空间,实现用户与用户之间的隔离,应用与应用之间的隔离,该虚拟空间被称作“安全域”,每个安全域均具备增强型RBAC、BLP安全机制。用户可将需要保护应用的用户、进程,所需资源(例如:文件、进程、服务、磁盘、设备、通信端口等),添加进被保护应用所对应的安全域内,分别成为该安全域的域内主体、域内客体以及安全属性,实现用户与系统之间的隔离。对于原有应用来说都是完全透明的,这也意味着对于原有应用的业务不会有丝毫改变。
安全域原理图如下:

动态拓扑生成: 按用户角色自动生成拓扑图。用户可以根据实际情况进行分组管理。
用户数据保密性保护: 安全域的隔离机制让出入域的主体权限最小化,BLP有效控制数据流、核心层的动态透明加解密技术,保证了数据的保密性。
用户数据完整性保护: 文件、账户、服务、注册表(仅windows)完整性保护以及还原功能。
日志抗抵赖: 采用高可信时间戳技术,保证日志的完整性和可靠性。
安全运行测试: SSF安全模型测试、SFP功能测试、SSOOS完整性测试。

主要功能

双重身份鉴别: 默认使用强化口令鉴别(USBKEY),加用户名密码鉴别方式 。

敏感标记: 遵循BLP的安全模型原则,标记主体和客体相应的权限,保证了数据携带标记的游走,敏感数据不会被泄露,使数据的安全得到有效地保证。

强制访问控制: 根据等级保护《GB/T 20272-2006信息安全技术-操作系统安全技术要求》规定,JHSE实行强制访问控制,JHSE将主机资源各个层面紧密结合,可根据实际需要对资源进行合理控制,实现权限最小原则。

剩余信息保护: 动态接管原系统删除动作,完全清除存储空间中的信息,该操作对于用户来说完全透明。

入侵防范: 入侵检测策略管理、入侵检测分析、入侵检测响应。

恶意代码防范: 恶意代码无法对安全域内的资源进行访问,对于域外资源,安全域的隔离机制会剥离恶意代码的访问权限,使其无法对域外资源进行修改,有效地遏制了恶意代码的生存空间。

资源控制: 可以对每一个用户的磁盘使用情况进行跟踪和控制。

安全审计: 违规日志、系统日志、完整性检测日志、入侵检测日志、JHSE自身日志、日志管理。

报警工作站: 接收处理错误操作、入侵行为、服务器的状态问题等引发的报警。