摘要: 产品概述威努特可信卫士产品主要具有以下三个部分功能:一是应用程序和操作性的监控和分析;二是应用程序和操作行为的访问控制;三是应用程序和操作行为特征信誉库的建立。威努特可信卫士主要有以下三个产品组件:(1)威努特可信卫士客户端,可独立安装运行...
产品概述
威努特可信卫士产品主要具有以下三个部分功能:一是应用程序和操作性的监控和分析;二是应用程序和操作行为的访问控制;三是应用程序和操作行为特征信誉库的建立。
威努特可信卫士主要有以下三个产品组件:
(1)威努特可信卫士客户端,可独立安装运行在工作站上的客户端软件,能监控分析应用程序和人工操作的行为特征,生成白名单,控制恶意程序和操作的执行;
(2)威努特可信网络管理平台,统一管理企业内部所有可信卫士客户端,并收集、汇总、更新、同步单独客户端的黑白名单数据库,统一管理企业消息推送,统一管理企业自建可信应用信誉库,并与威努特可信网关联动;
(3)威努特可信应用信誉库,利用漏洞挖掘技术、智能分析技术建立的全球性应用信誉系统,可有效分析不同操作系统、不同应用厂家、不同工业行业的应用可信性,并针对不同行业、不同应用场景形成配置模板,能方便、有效的适配各种工作场景。
威努特可信卫士定位为工作站、服务器提供全生命周期的安全管理,保障工作站、服务器的可用性、可靠性和可信性:
(1)事前部署
- 人员资产匹配管理:对工程师站进行权责明确的资产管理,确保工作站系统、可信卫士、控制软件只有特定的管理人员才可以操作,支持分权分域设计,对管理员的操作记录记入日志服务器供事后审计。
- 工作站白名单生成:可通过自动扫描、软件安装跟踪、软件升级跟踪、自定义添加等手段生成工作站应用、脚本的白名单。
- 厂商白名单库导入:可自动从可信网络管理平台导入威努特厂商白名单库,如和利时软件白名单库、西门子软件白名单库、中控软件白名单库等。
- 行业白名单库匹配:对垂直管理的主要工控行业,如石化、石油、电力、烟草、铁路、核能等,可自动从可信网络管理平台导入威努特行业白名单库,减少现场添加白名单的工作量。
- 主机接口管理: 管理员可以配置管理工作站对外接口如,USB接口、光驱、串口等,接口上的操作如插入USB接口拷入软件,都可配置记录和审计。
- 行为软件配置:配置工作站主要运行的核心软件,如石化SCADA自动化监控系统,可信卫士自动监控分析核心软件的数据行为模型,对异常行为数据根据策略配置进行监控、告警或阻止。
- 控制策略配置:根据企业安全管控政策,配置可信卫士策略,如针对白名单外的程序运行是提示还是阻止,是否允许USB设备接入,针对核心软件异常行为是进行告警、提示还是阻止等。
- 安全配置模板定制:企业针对运行特定任务的工作站,可以综合运用多种方法配置白名单,最后将白名单和控制策略等保存为模板,相同工作站可以一键式调用,减少配置工作量。
- 企业自建可信应用信誉库:建立企业内部的可信应用信誉库,为企业可信应用提供认证、下载和升级服务,可防止被恶意软件感染的工作软件通过U盘拷贝等方式在企业内传播,管理员可以进行应用的推荐、强制安装或卸载等操作。
(2)事中监控
- 白名单运行控制:监控系统运行情况,只允许运行白名单中的程序(正常系统程序、授权的组态软件、办公软件等)、脚本和插件,恶意软件/病毒/未授权安装的软件等都被阻止运行,软件的变动(增加、卸载、白名单的程序试图运行等)都被记录和审计。
- 业务软件行为分析及控制:可信卫士已经配置的核心工作软件的运行监控,调用可信网络管理平台综合智能分析模块生成数据行为模型,对异常行为数据根据策略配置进行告警、提示或阻止。
- 操作系统完整性监控:发现工作站操作系统完整性被破坏时进行告警,防止操作系统被篡改和植入后门。
- 进程内存空间保护:保护运行进程的内存空间的完整性,防止缓冲区溢出等攻击。
- 配置文件完整性保护:监控和报告关键配置文件的更改,需要监控的配置文件可以由管理员定制添加。
- 注册表保护:监控和报告操作系统关键注册表项的更改,需要监控的注册表项可以由管理员定制添加。
- 移动存储设备控制:只有经过认证的特定USB设备才可以在特定的主机上运行,根据策略执行是否允许所有或特定移动存储设备操作(如只允许USB键鼠设备运行),可细分为允许读、允许写、允许读写;可配置禁止USB存储设备自动执行,防止恶意程序利用漏洞自动运行。
- 自身安全性保护:防止非法卸载、停止本软件的应用程序、服务及驱动,并对执行此类操作的行为进行记录、告警。
(3)事后审计
- 日志、告警记录:丰富、全面的日志记录,可以根据策略记录允许执行的管理员、应用程序名、时间、证书、公司名等;如果不允许执行,记录管理员、应用程序名、时间、失败原因;记录违反安全策略的行为。支持syslog接口,可以将日志输出到第三方日志服务器。
- 大数据安全关联分析:可信网络管理平台对企业内各安全卫士产生的日志和告警进行综合分析,深度挖掘安全事件,如某款不在白名单中的软件在多台工作站试图安装,某个账号在多台终端试图登录等,生成安全事件告警,并定期输出企业安全度检查报告与威努特可信应用信用库进行同步,及时获得业界最新安全态势和最新的可信应用库。
- 安全态势分析报表:定期生成企业安全态势分析报表,对近期企业安全事件、风险和管理进行分析和汇报。
产品优势
(1)智能机器匹配白名单生成技术
- 软件安装、升级智能跟踪;
- 软件证书、签名智能匹配;
- 白名单智能冲突检测。
(2)高安全外部设备控制
- 只有经过认证的特定USB设备才可以在特定的主机上运行;
- 策略可配置是否允许移动存储设备操作,可细分为允许读、允许写、允许读写;
- 可配置禁止USB存储设备自动执行。
(3)进程完整性保护和操作系统完整性保护
- 进程运行内存空间的完整性保护;
- 防止缓冲区溢出攻击;
- 防止操作系统被篡改和置入后门。
(4)未知软件分析沙盒技术
- 针对未知软件进行系统级安全沙盒隔离分析;
- 基于人机工程学的行为分析模型;
- 工控协议报文应用层深度解析;
- 基于5W1H的多维度行为关联分析。
(5)针对专用工作站的纯净系统技术
- 专用工程站纯净系统,只能运行特定软件;
- 开机自启动,不允许切出、关闭;
- 系统主机外设通道关闭;
- 系统升级,配置更改只能通过可信网络管理平台。
主要应用场景
(1)工作站、服务器等工控主机的病毒、木马及恶意程序攻击防护
可信卫士可以识别、阻止任何白名单外的程序、脚本运行,对通过网络、U盘等传入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别的能力。可以关闭无关的主机外设通道,有效防止无线连接、外接手机等情况下的数据外泄。
(2)操作员违规、危险操作防护
通过业务软件行为分析及控制技术,可信卫士可以识别操作人员对业务软件的异常操作,比如异常关闭重要阀门,在非工作时间对系统的操作等,进行提示、告警、阻断等操作,能够有效防范类似离职人员恶意攻击,操作员误操作带来的安全风险。
(3)工控网络安全态势感知
利用大数据分析平台,综合分析整网安全态势,定期生成企业安全态势分析报表,对近期企业安全事件、风险和管理进行分析和汇报,协助完善企业安全生成管理策略。
(4)配置专用工作站
针对用途单一的工作站系统,运行专门的纯净系统模式,开机即运行特定业务软件,之外的任何软件、网络都不允许访问,特别针对和互联网有交互的柜员机、工作站,有效的防止工作站被用于工作无关的事情,或恶意人员利用涉外终端攻击企业内部的事件发生。
典型部署
威努特可信卫士部署方案
(1)部署方案及原理
威努特可信卫士部署位置如图中所示,在企业内部每台工程师站、操作员站、服务器部署可信卫士客户端,和部署在服务器区的可信网络管理平台形成整体解决方案。不但可以联合工作,还支持单台工作站离线运行,形成针对网络孤岛设备的防护。
(2)安装方法
- 可以采用URL地址访问可信网络管理平台下载地址,下载可信卫士客户端;
- 也可以通过光盘方式安装。
(3)软件配置
- 管理员扫描工作站,生成本地白名单;
- 管理员可选择下载行业白名单模板、厂家白名单模板,将其和本地白名单进行合并;
- 配置管理员策略、白名单策略、外设策略;
- 可选择将白名单、策略保存为自有模板,通过可信网络管理平台下发给制定终端;
- 自有模板文件可以导出到U盘,在工作站中导入。
(4)升级维护
- 通过U盘、光盘等导入离线升级包升级;
- 通过可信网络管理平台统一升级。