全域”，每個安全域均具備增強型RBAC、BLP安全機制。用戶可將需要保護應(yīng)用的用戶、進(jìn)程，所需資源（例如：文件、進(jìn)程、服務(wù)、磁盤、設(shè)備、通信端口等），添加進(jìn)被保護應(yīng)用所對應(yīng)的安全域內(nèi)，分別成為該安全域的域內(nèi)主體、域內(nèi)客體以及安全屬性，實現(xiàn)用戶與系統(tǒng)之間的隔離。對于原有應(yīng)用來說都是完全透明的，這也意味著對于原有應(yīng)用的業(yè)務(wù)不會有絲毫改變。

　　安全域原理圖如下：

　　動態(tài)拓?fù)渖桑喊从脩艚巧詣由赏負(fù)鋱D。用戶可以根據(jù)實際情況進(jìn)行分組管理。

　　用戶數(shù)據(jù)保密性保護：安全域的隔離機制讓出入域的主體權(quán)限最小化，BLP有效控制數(shù)據(jù)流、核心層的動態(tài)透明加解密技術(shù)，保證了數(shù)據(jù)的保密性。

　　用戶數(shù)據(jù)完整性保護：文件、賬戶、服務(wù)、注冊表（僅windows）完整性保護以及還原功能。

　　日志抗抵賴：采用高可信時間戳技術(shù)，保證日志的完整性和可靠性。

　　安全運行測試：SSF安全模型測試、SFP功能測試、SSOOS完整性測試。

·主要功能

　　雙重身份鑒別：默認(rèn)使用強化口令鑒別（USBKEY），加用戶名密碼鑒別方式 。

　　敏感標(biāo)記：遵循BLP的安全模型原則，標(biāo)記主體和客體相應(yīng)的權(quán)限，保證了數(shù)據(jù)攜帶標(biāo)記的游走，敏感數(shù)據(jù)不會被泄露，使數(shù)據(jù)的安全得到有效地保證。

　　強制訪問控制：根據(jù)等級保護《GB/T 20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》規(guī)定，JHSE實行強制訪問控制，JHSE將主機資源各個層面緊密結(jié)合，可根據(jù)實際需要對資源進(jìn)行合理控制，實現(xiàn)權(quán)限最小原則。

　　剩余信息保護：動態(tài)接管原系統(tǒng)刪除動作，完全清除存儲空間中的信息，該操作對于用戶來說完全透明。

　　入侵防范：入侵檢測策略管理、入侵檢測分析、入侵檢測響應(yīng)。

　　惡意代碼防范：惡意代碼無法對安全域內(nèi)的資源進(jìn)行訪問，對于域外資源，安全域的隔離機制會剝離惡意代碼的訪問權(quán)限，使其無法對域外資源進(jìn)行修改，有效地遏制了惡意代碼的生存空間。

　　資源控制：可以對每一個用戶的磁盤使用情況進(jìn)行跟蹤和控制。

　　安全審計：違規(guī)日志、系統(tǒng)日志、完整性檢測日志、入侵檢測日志、JHSE自身日志、日志管理。

　　報警工作站：接收處理錯誤操作、入侵行為、服務(wù)器的狀態(tài)問題等引發(fā)的報警。

　　產(chǎn)品部署

　　JHSE的部署由安全管理中心、審計中心、安全服務(wù)器、控制臺、報警工作站五個邏輯部分組成。用戶原有業(yè)務(wù)系統(tǒng)提升為“安全服務(wù)器”后受“安全管理中心”集中控管，安全管理員登錄“安全管理中心”進(jìn)行統(tǒng)一管理，審計管理員登錄“審計中心”統(tǒng)一審計。

　　重構(gòu)后的安全子系統(tǒng)

　　文件對象訪問監(jiān)控器

　　JHSE的文件對象訪問監(jiān)控器，可以控制用戶為主體對文件/目錄的訪問，也可以控制進(jìn)程為主體對文件/目錄的訪問，具體安全屬性如下：

　　端口對象訪問監(jiān)控器

　　端口對象訪問監(jiān)控器可控制指定IP、端口的訪問，也可以控制全局對象的訪問，具體安全屬性如下：

　　進(jìn)程對象訪問監(jiān)控器

　　在JHSE的進(jìn)程對象訪問監(jiān)控器中，進(jìn)程既可以作為主體，也可以作為客體，具體安全屬性如下：

　　服務(wù)對象訪問監(jiān)控器

　　JHSE的服務(wù)對象訪問監(jiān)控器，可控制系統(tǒng)服務(wù)不被新增、刪除、修改服務(wù)程序執(zhí)行路徑，具體安全屬性如下：

　　網(wǎng)絡(luò)共享對象訪問監(jiān)控器

　　網(wǎng)絡(luò)共享對象訪問監(jiān)控器可控制指定IP、用戶對共享資源的訪問，具體安全屬性如下：

　　磁盤對象訪問監(jiān)控器

　　磁盤對象訪問監(jiān)控器可控制指定物理磁盤與邏輯卷的訪問，具體安全屬性如下：

　　注冊表對象訪問監(jiān)控器

　　注冊表（僅windows）訪問監(jiān)控器，可控制主體為進(jìn)程對注冊表鍵/鍵值的訪問；也可控制主體為用戶對注冊表鍵/鍵值的訪問，具體安全屬性如下：

　　主客體對象表

　　具體安全屬性如下：