在今年召开的首届全国信息安全等级保护技术大会上，来自产、学、研等各领域的代表齐聚一堂，共同研讨等级保护关键技术、理论和工程化方法，构建以等级保护为核心的信息安全技术支撑体系，积极推动国家信息安全等级保护工作的深入开展。安全专家指出，等级保护作为我国信息安全保障工作的基本制度，同时也是一系列基本标准、技术标准的集合，涉及操作系统、数据库、服务器等众多技术领域，因此，用户需要按照相关标准推进信息安全建设，通过信息系统合规性的全面提升确保等级保护工作顺利实施。 

    等保工作亟须全面合规 

    众所周知，信息安全建设是一项长期而复杂的系统工程，涉及服务器、操作系统、业务系统等多个层面，只有从各层面建立起了完整的安全保护体系，才能真正保证整个信息系统的安全性。为此，我国在等级保护方面推出了《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》（以下简称“GB/T 22239-2008”），规定了每一级信息系统在物理安全、网络安全、主机安全（包括操作系统、数据库等）、应用安全、数据安全等五个层面的基本技术要求。在等级保护工作中，用户通过部署并配置软硬件的方式，使各个层面都符合相关标准制定的技术规范，从而提升信息系统的安全等级。 

    从GB/T 22239-2008的内容上看，信息系统各层面又分解成多个不同的安全功能，其中包括访问控制、安全审计、入侵防范、安全标记等等，借助各安全功能的联动防御，为信息系统提供全面的安全防护。由此可见，要使系统整体安全保护能力达到等级保护的要求，就必须保证各个层面的安全功能符合相应的规范，例如第三级信息系统的身份鉴别功能，就要求网络、主机、应用等层面采用“两种或两种以上组合的鉴别技术”。一旦某个安全功能的强度减弱，整体安全保护能力将可能大打折扣，无形中为信息系统埋下了安全隐患，等级保护工作也无法达到预期的效果。 

    操作系统成安全“短板” 

    业内人士指出，自2007年《信息安全等级保护管理办法》实施以来，等级保护工作就开始在政府、电信、金融等多个领域全面展开，成为推动我国信息安全建设事业快速发展的重要抓手。然而，从近年来密集爆发的信息安全事件来看，国内信息安全现状不容乐观，同时也从某种程度上表明等级保护工作还没有真正发挥出全面提升整体安全保护能力的作用。究其缘由，其中一个很重要的原因就在于操作系统安全防护环节的不完善，根据“木桶理论”，操作系统是最短的“木板”，决定了整个信息系统的安全保护水平。 

    在操作系统安全防护方面，我国专门发布了技术标准《GB/T 20272-2006信息安全技术 操作系统安全技术要求》（以下简称“GB/T 20272-2006”），将操作系统划分为五个等级，并从低到高逐级提升操作系统的安全技术要求和安全保护要求。其中，安全技术要求涵盖身份鉴别、自主访问控制等安全功能，安全保护要求则是为确保安全功能达到预期的安全性而提出的，涉及操作系统安全子系统（SSOOS）自身安全保护、设计和实现、安全管理等方面，共同构成了操作系统层面的安全防护体系。 

    在实际工作中，国内用户普遍使用的商用服务器操作系统低于第二级操作系统的要求，存在着超级管理员权限被非法使用、恶意代码执行等安全隐患，难以为保证整体信息系统的安全运行。造成这种现状的原因主要来自如下两个方面：首先，传统的操作系统安全加固技术或措施只是对某些功能点进行防护，例如打补丁、修改默认配置等，不能完全满足相关国家标准的要求；其次，国内自主开发的安全操作系统虽然符合国标对操作系统的检测要求，但不能很好地兼容原有的业务系统，客观上降低了用户替换操作系统的积极性。随着等级保护工作的持续深入推进，市场对通用型安全操作系统的需求越来越迫切。 

    JHSE专业铸造三级操作系统 

    椒图科技是我国最早开展安全操作系统研究的信息安全厂商之一，一直专注于推动操作系统安全技术的进步，在技术创新和产品研发方面积累了深厚的实践经验。根据等级保护国家标准对三级操作系统的要求，椒图科技开发出JHSE椒图安全环境系统，该产品集成了双重身份鉴别、三权分立、强制访问控制等九大核心功能，在覆盖原有加固产品功能的基础上，更加细化主客体的控制粒度，使操作系统的安全防护更加精确，构建出更加全面的安全防护体系。 

    JHSE是严格按照GB/T 20272—2006中三级操作系统安全标准进行产品研发的，在等级保护操作系统安全合规性方面表现十分突出，使操作系统在身份鉴别、敏感标记、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面完全达到了三级安全标准，为信息系统提供纵深防御体系，对主机环境【包括：用户、文件、进程、服务、磁盘、共享、配额、IP、端口、注册表（仅Windows）等系统资源】进行全方位的立体防护。 

    JHES满足等保三级要求的合规性功能 

    在安全保护要求方面，JHSE通过采用多项国家发明专利和200多项全新技术，重构和扩充操作系统安全子系统（SSOOS），满足GB/T 20272-2006对“SSOOS设计和实现”的要求。同时，JHSE还可以对SSOOS整体安全模型、SFP安全功能策略、SSP安全策略等进行测试，确保SSOOS正常运行。此外，JHSE构建的安全防护体系，是对操作系统安全等级进行动态、透明的提升，不会影响原操作系统和操作系统上业务应用的正常运行，适用于AIX、HP-UX、Solaris、Linux Server、Windows Server等主流商用服务器操作系统，是国内首款通过国标三级检测的通用型安全操作系统。 

    业内专家指出，在等级保护工作中，第三级系统属于重要信息系统，涉及地市级以上国家机关、重要企事业单位内部重要的信息系统，对国民经济和社会发展具有重要的影响，更需要从服务器、操作系统、网络等多个层面加强安全保护。JHSE构建的操作系统安全防护体系，拥有领先的安全技术和丰富的安全功能，完全符合国标对三级操作系统的安全技术要求和安全保护要求，从操作系统层面提高用户信息系统的合规性，填补了国内在这一领域的安全“短板”，为用户务实、深入开展等级保护工作提供助力。