全域”，每個安全域均具備增強型RBAC、BLP安全機制。用戶可將需要保護應用的用戶、進程，所需資源（例如：文件、進程、服務、磁盤、設備、通信端口等），添加進被保護應用所對應的安全域內，分別成為該安全域的域內主體、域內客體以及安全屬性，實現用戶與系統之間的隔離。對于原有應用來說都是完全透明的，這也意味著對于原有應用的業務不會有絲毫改變。

　　安全域原理圖如下：

　　動態拓撲生成：按用戶角色自動生成拓撲圖。用戶可以根據實際情況進行分組管理。

　　用戶數據保密性保護：安全域的隔離機制讓出入域的主體權限最小化，BLP有效控制數據流、核心層的動態透明加解密技術，保證了數據的保密性。

　　用戶數據完整性保護：文件、賬戶、服務、注冊表（僅windows）完整性保護以及還原功能。

　　日志抗抵賴：采用高可信時間戳技術，保證日志的完整性和可靠性。

　　安全運行測試：SSF安全模型測試、SFP功能測試、SSOOS完整性測試。

·主要功能

　　雙重身份鑒別：默認使用強化口令鑒別（USBKEY），加用戶名密碼鑒別方式 。

　　敏感標記：遵循BLP的安全模型原則，標記主體和客體相應的權限，保證了數據攜帶標記的游走，敏感數據不會被泄露，使數據的安全得到有效地保證。

　　強制訪問控制：根據等級保護《GB/T 20272-2006信息安全技術-操作系統安全技術要求》規定，JHSE實行強制訪問控制，JHSE將主機資源各個層面緊密結合，可根據實際需要對資源進行合理控制，實現權限最小原則。

　　剩余信息保護：動態接管原系統刪除動作，完全清除存儲空間中的信息，該操作對于用戶來說完全透明。

　　入侵防范：入侵檢測策略管理、入侵檢測分析、入侵檢測響應。

　　惡意代碼防范：惡意代碼無法對安全域內的資源進行訪問，對于域外資源，安全域的隔離機制會剝離惡意代碼的訪問權限，使其無法對域外資源進行修改，有效地遏制了惡意代碼的生存空間。

　　資源控制：可以對每一個用戶的磁盤使用情況進行跟蹤和控制。

　　安全審計：違規日志、系統日志、完整性檢測日志、入侵檢測日志、JHSE自身日志、日志管理。

　　報警工作站：接收處理錯誤操作、入侵行為、服務器的狀態問題等引發的報警。

　　產品部署

　　JHSE的部署由安全管理中心、審計中心、安全服務器、控制臺、報警工作站五個邏輯部分組成。用戶原有業務系統提升為“安全服務器”后受“安全管理中心”集中控管，安全管理員登錄“安全管理中心”進行統一管理，審計管理員登錄“審計中心”統一審計。

　　重構后的安全子系統

　　文件對象訪問監控器

　　JHSE的文件對象訪問監控器，可以控制用戶為主體對文件/目錄的訪問，也可以控制進程為主體對文件/目錄的訪問，具體安全屬性如下：

　　端口對象訪問監控器

　　端口對象訪問監控器可控制指定IP、端口的訪問，也可以控制全局對象的訪問，具體安全屬性如下：

　　進程對象訪問監控器

　　在JHSE的進程對象訪問監控器中，進程既可以作為主體，也可以作為客體，具體安全屬性如下：

　　服務對象訪問監控器

　　JHSE的服務對象訪問監控器，可控制系統服務不被新增、刪除、修改服務程序執行路徑，具體安全屬性如下：

　　網絡共享對象訪問監控器

　　網絡共享對象訪問監控器可控制指定IP、用戶對共享資源的訪問，具體安全屬性如下：

　　磁盤對象訪問監控器

　　磁盤對象訪問監控器可控制指定物理磁盤與邏輯卷的訪問，具體安全屬性如下：

　　注冊表對象訪問監控器

　　注冊表（僅windows）訪問監控器，可控制主體為進程對注冊表鍵/鍵值的訪問；也可控制主體為用戶對注冊表鍵/鍵值的訪問，具體安全屬性如下：

　　主客體對象表

　　具體安全屬性如下：