服务热线:010-65014696

产品与解决方案

椒图关注 FOCUS ON JOWTO

JMAC椒图强制访问控制系统

[2014-04-08]

椒图强制访问控制系统(以下简称JMAC)是由椒图科技自主研发的基于保护操作系统内核的安全软件。通过新的强制访问策略库对系统与用户的操作进行限制,从而打造安全的系统环境。JMAC将操作系统权限进行合理分散,对系统文件、进程、服务、注册表(仅Windows)进行细粒度控制,让超级管理员也无法任意创建客体,从而彻底免疫恶意代码的侵袭,保护操作系统安全。

操作系统补丁满天飞?黑客攻击手段日新月异?信息系统不达标是我们永无宁日的根源所在。

无论是病毒还是木马感染系统的先决条件是具有一定的生存环境,这里所指的生存环境主要有文件、进程、服务、注册表(仅Windows)等。只有这样的生存环境得到控制,恶意代码才无法生存,如果真正做到这一点,只能通过操作系统内核来实现。我们不可能去重新构造一个全新的操作系统,只能在不影响应用的情况下,在服务器操作系统安全技术领域引入强制访问控制体系。

椒图强制访问控制系统(以下简称JMAC)是由椒图科技自主研发的基于保护操作系统内核的安全软件。通过新的强制访问策略库对系统与用户的操作进行限制,从而打造安全的系统环境。JMAC将操作系统权限进行合理分散,对系统文件、进程、服务、注册表(仅Windows)进行细粒度控制,让超级管理员也无法任意创建客体,从而彻底免疫恶意代码的侵袭,保护操作系统安全。

JMAC通过对主机的身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等,对操作系统达到纵深防御。


六大安全理由

1.变“脆弱”为“强壮”

在没有更新操作系统补丁的前提下,操作系统的安全漏洞就成为最致命的攻击目标。JMAC能够将“脆弱”的操作系统透明提升,使其有能力对抗目前二级操作系统下的任何攻击手法,对已知和未知的攻击形成免疫。

2.变“修补”为“免疫”

木马病毒若要感染系统,就必须通过写入文件、修改注册表、增加或修改服务来实现;黑客通过漏洞拿到系统权限后,就可以进行拷贝文件、删除文件、安装后门、添加隐藏账号、破坏系统等操作。JMAC能变“修补”为“免疫”,在操作系统层面实现主动防御不可信的行为,从而实现最严格的操作系统层保护。

3.真正实现三权分立

系统管理员、安全管理员和审计管理员,不同管理员之间相互独立、相互监督、相互制约,即使系统管理员密码泄露或者被暴力破解,攻击者也是无法对JMAC保护的资源进行操作。

4.细粒度判别安全行为

JMAC标记了主体和客体的相应权限,权限由系统客观具有的属性以及用户本身具有的属性决定,主体不能随意更改。这使非法访问受到限制,从而增加了访问控制的粒度。

5.不改变现有业务流程

我们无需重新构造一个全新的操作系统,在不影响客户现有程序使用的情况下,可直接在现有操作系统上安装JMAC并无需重启。

6.安装、操作、教学,一切便捷

便捷性是JMAC开发理念之一,JMAC的安装、操作和教学均非常便捷。

  

JMAC实现原理

JMAC原理是在系统上加装控制模块,拦截所有内核访问路径,实现强制访问控制功能,其达到的安全效果和重构LINUX内核源代码技术相仿,与后者相比较,优势在于不会影响现有系统业务连续性,甚至不需要重启操作系统,并支持现有系统的所有应用,可在操作系统粒度上保证上层应用的安全,是系统层安全标准的技术基础。

                           

\

  

JMAC主要功能

JMAC由内核拦截模块、策略配置模块、登录模块、控制模块、日志模块五部分组成,从而得以进一步实现JMAC强大的产品功能。系统总体设计如下:

双重认证:用户在登录操作系统时,除了要验证其账号的密码外,还要通过JMAC的USBKEY认证。

防止程序非法终止:JMAC防止未经授权的超级用户(Administrator)非法终止重要进程及后台守护进程,这就保护了关键进程不被有意或无意的异常终止,从而保障了系统的连续性和可靠性。

文件强制访问控制:可以细化和严格定义用户对文件的访问权限(取消超级用户),也可以结合证书定义用户对文件的访问权限。

进程强制访问控制:可以保护指定进程,如系统进程、应用进程,防止非法终止等操作,可以控制某进程对其它进程的操作权限。

注册表强制访问控制(仅Windows):注册表强制访问控制模块,可以精确到某进程,可以对某注册表项进行所有操作,其它进程则不能进行添加和删除。

服务强制访问控制:经过JMAC保护后,不准随意增加、删除、更改服务状态。

日志审计:JMAC对在内核层生成的系统调用提供日志记录功能,可对安全管理员登陆、违规日志等进行日志审计。

产品安装和卸载无需重启:JMAC在安装和卸载产品时均不需要重启操作系统,能够为客户提供持续稳定的服务。

策略文件灵活多用:灵活配置策略文件,配置和使用非常方便;相同业务系统的计算机中,导入策略文件即可使用。

程序自身保护功能:通过内核密封(Kernel Sealing),可防止内核模块的Loading/Uploading阻断恶意的内核攻击;通过隐藏自身的安全模块(Kernel Stealth),使其尽可能避免由于安全产品暴露所导致的黑客攻击,以保证提供持续的安全功能。

  

JMAC核心技术

*双重身份认证技术

*内核级文件强制访问控制技术

*内核级进程强制访问控制技术

*内核级服务强制访问控制技术

*内核级注册表强制访问控制技术(仅Windows)

*策略配置拖拽技术

*策略容错保护技术

               

\