东土科技工控主机安全卫士是面向工控系统设计的、提供集安全可视化、安全策略集中管理、终端状态监测、终端安全防护、预警和响应处置于一体的信息安全产品,在不影响生产业务的前提下,实现对工控终端主机的集中监控与策略配置。主要分为工控主机安全卫士代理和工控主机安全卫士管理平台两部分;工控主机安全卫士代理采用基于操作系统的驱动开发技术、确保安全防护的有效性和即时性,工控主机安全卫士管理平台采用组件化开发技术,专注于各终端的安全策略、状态统一管理和安全分析。产品支持以下功能模块:
终端资源自发现,采集终端主机的CPU、内存等资源信息。
可对终端主机进行统一管理,提供统一事件管理、统一安全策略管理、运行状态监测等。
安全策略支持调试模式和工作模式,调试模式产生告警事件,不阻断操作,后台静默执行;工作模式即产生告警也阻断操作。
应用程序白名单防护,提供自定义应用程序白名单功能,支持应用程序白名单的管理,工控主机安全卫士代理对应用程序的启动、运行进行监控,如果发现不在白名单范围内的程序企图启动或者运行,代理根据运行模式采取不同的动作。
可移动存储设备管控,提供USB类型可移动存储设备的注册管理、外设访问控制和拦截功能。
关键文件保护,提供配置关键文件或路径的防护策略功能,并根据配置策略进行访问控制和拦截功能。
注册表保护,提供配置重要注册表项的防护策略功能,并根据配置策略进行访问控制和拦截功能。
终端日志收集功能,支持收集终端本地应用程序日志,也支持将自身日志发送给管理端。
代理自我保护功能,代理运行后具备不被其他进程(如杀毒软件,恶意软件)杀死和用户手动关闭功能。
通过禁止或允许移动存储设备在终端主机上使用,有效防止移动存储设备的随意接入对终端主机系统的安全威胁。提供移动介质授权管理功能,移动介质在使用前均须经过授权,只有注册过的授信USB可移动存储设备方可接入主机;禁止非授权外设存储的接入,支持细粒度的移动存储设备管控,如访问、执行、写入权限。终端代理采用驱动层面技术捕获USB设备接入行为,根据设备的标识判断该USB设备是否是已注册安全设备,进而根据策略配置进行设备接入行为操作响应。
系统基于应用程序白名单技术实现对应用程序的保护,纳入程序白名单的程序是安全可信的。工控主机安全卫士代理端根据应用程序白名单策略禁止非白名单应用程序的运行、安装,从而有效控制非法程序运行、安装带来的主机安全威胁。
智能化机器自学习生成进程级可信应用程序白名单,支持人工增加、删除、编辑、查询白名单列表,支持导入导出白名单,支持调试模式,调试模式状态下模拟生效白名单策略,仅记录违规告警不实际阻断进程运行。
支持进程指纹级防护,进程指纹包括MD5加密算法和数字签名。支持白名单策略分组,支持模板化白名单策略。
文件夹监测
系统提供对关键目录基于文件级的目录保护机制,提供关键目录的专项保护策略,防止目录及其下的文件(夹)被恶意篡改,防止目录内容的添加及修改,保证关键目录的正常访问。终端安全代理在驱动层面监控用户操作,当用户操作目录时会有相关的操作信息,当发现对受保护文件(夹)进行修改、创建、重命名、删除、移动、等操作时,无论是在本机的操作还是通过网络进行的操作,都能够根据相应的响应策略产生告警或者阻断操作行为。
注册表项监测
系统提供对Windows注册表项保护功能,支持注册表路径递归防护,防止关键注册表项被恶意软件或者人为损毁。终端安全代理当发现对受保护注册表项进行修改、创建、重命名、删除等操作时,能够根据相应的响应策略产生告警或者阻断操作行为。
系统支持syslog转发第三方日志服务器。系统内置多种常规报表记录,包括违规报警、审计信息等报表,方便管理人员快速查询;为方便用户根据实际管理要求及有目标的查询管理报表,还提供自定义报表管理,可自定义设置筛选查询条件,快速生成统计信息。
系统的日志管理功能记录终端报警审计日志、系统用户操作日志等日志信息,管理人员可进行查看和检索。
终端代理运行后具备不被其他进程(如杀毒软件,恶意软件)杀死和用户手动关闭的功能,同时也具备不被用户或者其他软件强行卸载的功能。代理在驱动层面监控自身进程的销毁,采用多进程互拉取的技术手段实现自我保护。
终端安全代理操作系统支持 | ||
支持Linux系统 | CentOs6及以上,ubuntu16.04及以上, Redhat6及以上,SUSE11及以上 | |
支持老旧windows系统(XP、2000等) | windows XP,widnows7,window8,windows10,windows Server 2003及其以上版本 | |
终端注册和资源自发现 | ||
注册 | 终端安全代理可以注册到管理端。 | |
资源自发现 | 终端安全代理可以收集CPU、内存等资源信息并反馈给管理端,页面上自动生成主机并显示该主机的CPU、内存等资产信息 | |
进程基线自学习 | 进程基线自学习 | 支持主机进程白名单的自学习,通过智能算法自动生成进程基线;同时支持对自学习的进程基线进行人工编辑 |
进程白名单防护 | ||
终端安全代理进程白名单防护 | 终端安全代理根据白名单进程策略对进程的启动、运行进行监控,如果发现不在白名单范围内的程序企图启动或者运行,代理应根据运行模式采取不同的动作 调试模式:产生告警事件,不需要阻断运行,后台静默执行即可 工作模式:既要产生告警事件,也要阻断进程的运行 |
|
进程运行前拦截 | 阻断功能达到的效果应该是不仅要阻止程序白名单之外进程的启动,还要自动杀死已运行的白名单之外的进程(加载白名单时执行) 不允许非法进程执行任何指令 |
|
进程白名单管理 | 可以对进程白名单进行新增、修改、删除等操作 单条进程白名单含进程名、文件指纹等信息 |
|
外设管控 | ||
外设注册管理 | 可以在管理端页面注册外设的访问方式,包括读取、写入、执行 | |
外设拦截 | 终端安全代理根据注册信息对外设进行访问控制和拦截 | |
关键目录保护 | ||
关键目录策略配置 | 可以在管理端页面配置文件或文件夹的访问方式,包括读取、写入、执行 | |
关键目录保护 | 终端安全代理根据关键目录保护策略进行访问控制和拦截 | |
注册表保护 | ||
注册表策略配置 | 可以在管理端页面配置注册表项或注册表值的访问方式,包括只读、读写 | |
注册表保护 | 终端安全代理根据注册表保护策略进行访问控制和拦截 | |
集中配置管理 | 集中配置管理 | 可以分布式部署安装多台终端安全代理 可以在服务端中集中管理主机并配置主机策略 |
与安全统一管理平台交互 | ||
界面集成 | 工控安全管理平台采用弱集成方式实现对工控主机安全卫士的界面管理,在安管平台提供跳过登录界面,直接进入工控主机安全卫士管理页面的入口 修改工控主机安全卫士实现界面颜色布局、元素等风格与安管平台一致 |
|
告警/日志上传 | 工控主机安全卫士可将本系统产生的告警、日志通过接口发送给安全管理平台 | |
系统自身监测 | 工控主机安全卫士实现对系统自身的可用性检测并展示,包括CPU负荷、内存占用、硬盘占用状态 | |
单点登录 | 由安管平台提供单点登录服务,工控主机安全卫士支持单点登录 | |
权限统一管理 | 安管平台提供对用户、角色、授权的管理功能,工控主机安全卫士接收安管平台的统一权限管理 | |
产品规格 | ||
性能 | 客户端管理授权(默认/最大):10/200 | |
接口 | USB: 2*USB Type-A接口 Console: 1*RJ45接口 网口: 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口 |
|
机械结构 | 外壳:金属 重量:7kg 尺寸(WxHxD):430mm×44mm×360mm 安装方式:1U机架安装 |
|
电源 | 电压:H3-H3=220VAC 双电源输入 功率:120W |
|
质保 | 质保期:1年(升级版3年) |
工控主机安全卫士:
工控主机安全卫士推荐型号:
产品型号 |
型号说明 |
Agate7002-4GX6GE-H3-H3 |
4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
工控主机安全卫士推荐服务:
服务型号 |
型号说明 |
Agate7002-uTERMINAL |
安全卫士客户端授权升级服务 |