椒图科技优化等保测评 细粒度保障操作系统安全

 在近期召开的“第二届全国信息安全等级保护测评体系建设会议”上，公安部网络安全保卫局、公安部第三研究所等权威机构的领导和专家齐聚一堂，总结了信息安全等级测评体系建设和等级测评工作的成绩，分析了当前面临的形势和存在的问题，对下一阶段等级测评体系建设工作进行部署，进一步推动等级保护工作深入实施。国内信息安全厂商椒图科技应邀参加了会议，其发表的操作系统测评论文受到了专家的认可，被评为“优秀论文”。

    信息安全专家陆宝华在近期接受采访时指出，目前我国使用的测评标准如《信息安全技术-信息系统安全等级保护基本要求》（GB/T22239-2008）是前几年制定的，“当时我们的安全水平和技术与现在相比有一定差距，如果标准太高，将很难达到要求。”例如操作系统安全防护方面，我国使用的操作系统基本上来自国外，在国内还没有对原有操作系统进行安全改造或全面替代的成熟产品的情况下，如果严格按照国家标准的要求进行测评，那么操作系统的安全防护水平将很难达标。

    近年来，随着国内安全技术的飞速发展和用户对操作系统安全的日益重视，针对操作系统安全防护的测评工作急需改善。为此，椒图科技发表了专业论文《服务器操作系统的测评方法》，按照国家标准对三级操作系统的要求，分别对三权分立、自主访问控制、强制访问控制、双重身份认证、剩余信息清除等测评项目提出了科学的测评建议，以期帮助用户更准确地找出自身操作系统与国标三级安全操作系统之间的差距并加以完善，促进我国等级保护测评工作顺利实施。

    在积极推进等级保护测评体系建设的同时，椒图科技非常重视安全产品与技术的研发。目前，椒图科技已经研发出专门面向操作系统层的安全产品JHSE，并根据国标《信息安全技术-操作系统安全技术要求》（GB/T20272-2006）对三级操作系统提出的八大安全功能要求，推出了双重身份鉴别、敏感标记、自主访问控制、强制访问控制、剩余信息保护等九大安全功能，完全覆盖国标三级操作系统的检测要求，帮助用户建立起全方位的操作系统层安全防护体系，为我国等级保护测评、整改等工作提供产品和技术支撑。

    首先在身份鉴别方面，JHSE产品采用强化口令鉴别（USBKEY）、用户名密码鉴别的双重鉴别技术，用户需要使用硬件设备USBKEY并输入正确口令，才能成功通过鉴别，获得管理或维护系统的权限。并且，JHSE还按照国标GB/T20272-2006的规定，设置了“不成功的鉴别尝试的值”，一旦连续鉴别失败的次数超过设定值，系统将自动锁定，从根本上杜绝了攻击者通过暴力破解等方式侵入系统造成的危害。其次在访问控制方面，针对现有主流操作系统（C2级）在自主访问控制上的缺陷，JHSE完全按照等保三级操作系统要求，实现了宿主型自主访问控制机制，为每个受保护的IT资源如文件、进程、服务等设置一个拥有者，后者对相应的IT资料拥有全部控制权，但无法将控制权转让给其他主体，保证了受保护IT资源控制权的唯一性。对于强制访问控制，JHSE对主客体进行了更加细粒度的管理，控制客体除了文件、进程、服务、共享资源等，还加入了对磁盘的重点防护，防止了恶意程序通过直接读写磁盘等操作绕过强制访问控制对数据进行破坏；主体包括用户、进程和IP，并支持用户与进程的绑定，可以控制到指定用户的指定进程。此外，JHSE产品还通过敏感标记、安全审计、完整性检测等各种安全功能的联动防御，从多个维度实现操作系统层面的细粒度安全保护。

 等级保护是我国信息安全保障体系建设的基本制度，内容涵盖定级、备案、测评、整改等多个环节。其中，测评工作可以发现目标信息系统存在的安全隐患和不足，找出其与国家标准要求的差距，对提高信息系统的安全保护能力具有重要的作用。作为专注于安全操作系统领域的信息安全厂商，椒图科技通过对操作系统安全测评方法的深入研究并推出JHSE产品的方式，促使我国等级保护测评工作持续深入推进，同时也能够借助专业产品的支持增强操作系统的安全保护能力，将为我国等级保护制度进一步落地实施提供“加速器”，并以此为契机提高我国重要信息系统及基础网络的安全防护水平。