可信卫士
产品简介
可信卫士,可独立安装运行在工作站上的客户端软件,能监控分析应用程序和人工操作的行为特征,生成白名单,控制恶意程序和操作的执行;统一管理企业内部所有可信卫士客户端,并收集、汇总、更新、同步单独客户端的黑白名单数据库,统一管理企业消息推送,统一管理企业自建可信应用信誉库,并与威努特可信网关联动;利用漏洞挖掘技术、智能分析技术建立的全球性应用信誉系统,可有效分析不同操作系统、不同应用厂家、不同工业行业的应用可信性,并针对不同行业、不同应用场景形成配置模板,能方便、有效的适配各种工作场景。
产品详细信息
可信卫士定位为工作站、服务器提供全生命周期的**管理,保障工作站、服务器的可用性、可靠性和可信性:
人员资产匹配管理:对工程师站进行权责明确的资产管理,确保工作站系统、可信卫士、控制软件只有特定的管理人员才可以操作,支持分权分域设计,对管理员的操作记录记入日志服务器供事后审计。
工作站白名单生成:可通过自动扫描、软件安装跟踪、软件升级跟踪、自定义添加等手段生成工作站应用、脚本的白名单。
厂商白名单库导入:可自动从可信网络管理平台导入威努特厂商白名单库,如和利时软件白名单库、西门子软件白名单库、中控软件白名单库等。
行业白名单库匹配:对垂直管理的主要工控行业,如石化、石油、电力、**、铁路、核能等,可自动从可信网络管理平台导入威努特行业白名单库,减少现场添加白名单的工作量。
主机接口管理: 管理员可以配置管理工作站对外接口如,USB接口、光驱、串口等,接口上的操作如插入USB接口拷入软件,都可配置记录和审计。
行为软件配置:配置工作站主要运行的核心软件,如石化SCADA自动化监控系统,可信卫士自动监控分析核心软件的数据行为模型,对异常行为数据根据策略配置进行监控、告警或阻止。
控制策略配置:根据企业**管控政策,配置可信卫士策略,如针对白名单外的程序运行是提示还是阻止,是否允许USB设备接入,针对核心软件异常行为是进行告警、提示还是阻止等。
**配置模板定制:企业针对运行特定任务的工作站,可以综合运用多种方法配置白名单,*后将白名单和控制策略等保存为模板,相同工作站可以一键式调用,减少配置工作量。
企业自建可信应用信誉库:建立企业内部的可信应用信誉库,为企业可信应用提供认证、下载和升级服务,可防止被恶意软件感染的工作软件通过U盘拷贝等方式在企业内传播,管理员可以进行应用的推荐、强制安装或卸载等操作。
白名单运行控制:监控系统运行情况,只允许运行白名单中的程序(正常系统程序、授权的组态软件、办公软件等)、脚本和插件,恶意软件/病毒/未授权安装的软件等都被阻止运行,软件的变动(增加、卸载、白名单的程序试图运行等)都被记录和审计。
业务软件行为分析及控制:可信卫士已经配置的核心工作软件的运行监控,调用可信网络管理平台综合智能分析模块生成数据行为模型,对异常行为数据根据策略配置进行告警、提示或阻止。
操作系统完整性监控:发现工作站操作系统完整性被破坏时进行告警,防止操作系统被篡改和植入后门。
进程内存空间保护:保护运行进程的内存空间的完整性,防止缓冲区溢出等攻击。
配置文件完整性保护:监控和报告关键配置文件的更改,需要监控的配置文件可以由管理员定制添加。
注册表保护:监控和报告操作系统关键注册表项的更改,需要监控的注册表项可以由管理员定制添加。
移动存储设备控制:只有经过认证的特定USB设备才可以在特定的主机上运行,根据策略执行是否允许所有或特定移动存储设备操作(如只允许USB键鼠设备运行),可细分为允许读、允许写、允许读写;可配置禁止USB存储设备自动执行,防止恶意程序利用漏洞自动运行。
自身**性保护:防止非法卸载、停止本软件的应用程序、服务及驱动,并对执行此类操作的行为进行记录、告警。
日志、告警记录:丰富、**的日志记录,可以根据策略记录允许执行的管理员、应用程序名、时间、证书、公司名等;如果不允许执行,记录管理员、应用程序名、时间、失败原因;记录违反**策略的行为。支持syslog接口,可以将日志输出到第三方日志服务器。
大数据**关联分析:可信网络管理平台对企业内各**卫士产生的日志和告警进行综合分析,深度挖掘**事件,如某款不在白名单中的软件在多台工作站试图安装,某个账号在多台终端试图登录等,生成**事件告警,并定期输出企业**度检查报告与威努特可信应用信用库进行同步,及时获得业界*新**态势和*新的可信应用库。
**态势分析报表:定期生成企业**态势分析报表,对近期企业**事件、风险和管理进行分析和汇报。
(1)智能机器匹配白名单生成技术
软件安装、升级智能跟踪;
软件证书、签名智能匹配;
白名单智能冲突检测。
只有经过认证的特定USB设备才可以在特定的主机上运行;
策略可配置是否允许移动存储设备操作,可细分为允许读、允许写、允许读写;
可配置禁止USB存储设备自动执行。
进程运行内存空间的完整性保护;
防止缓冲区溢出攻击;
防止操作系统被篡改和置入后门。
针对未知软件进行系统级**沙盒隔离分析;
基于人机工程学的行为分析模型;
工控协议报文应用层深度解析;
基于5W1H的多维度行为关联分析。
专用工程站纯净系统,只能运行特定软件;
开机自启动,不允许切出、关闭;
系统主机外设通道关闭;
系统升级,配置更改只能通过可信网络管理平台。
(1)工作站、服务器等工控主机的病毒、木马及恶意程序攻击防护
可信卫士可以识别、阻止任何白名单外的程序、脚本运行,对通过网络、U盘等传入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别的能力。可以关闭无关的主机外设通道,有效防止无线连接、外接手机等情况下的数据外泄。
通过业务软件行为分析及控制技术,可信卫士可以识别操作人员对业务软件的异常操作,比如异常关闭重要阀门,在非工作时间对系统的操作等,进行提示、告警、阻断等操作,能够有效防范类似离职人员恶意攻击,操作员误操作带来的**风险。
利用大数据分析平台,综合分析整网**态势,定期生成企业**态势分析报表,对近期企业**事件、风险和管理进行分析和汇报,协助完善企业**生成管理策略。
针对用途单一的工作站系统,运行专门的纯净系统模式,开机即运行特定业务软件,之外的任何软件、网络都不允许访问,特别针对和互联网有交互的柜员机、工作站,有效的防止工作站被用于工作无关的事情,或恶意人员利用涉外终端攻击企业内部的事件发生。
典型部署
可信卫士部署方案
可信卫士部署位置如图中所示,在企业内部每台工程师站、操作员站、服务器部署可信卫士客户端,和部署在服务器区的可信网络管理平台形成整体解决方案。不但可以联合工作,还支持单台工作站离线运行,形成针对网络孤岛设备的防护。
可以采用URL地址访问可信网络管理平台下载地址,下载可信卫士客户端;
也可以通过光盘方式安装。
管理员扫描工作站,生成本地白名单;
管理员可选择下载行业白名单模板、厂家白名单模板,将其和本地白名单进行合并;
配置管理员策略、白名单策略、外设策略;
可选择将白名单、策略保存为自有模板,通过可信网络管理平台下发给制定终端;
自有模板文件可以导出到U盘,在工作站中导入。
通过U盘、光盘等导入离线升级包升级;
通过可信网络管理平台统一升级。