专注研发  科技创新

八大核心产品线  保障工业互联  构筑关键信息基础设施网络安全空间

返回列表

工业终端安全卫士

产品概述

工业终端安全卫士是一款基于国家网络安全等级保护2.0标准打造的安全加固和审计系统,具备外设访问控制、安全审计、基线核查修复、病毒扫描、文件完整性、进程动态库白名单和访问控制等功能。


工业终端安全卫士

产品特点

资产管理功能


系统具备资产梳理功能,通过自动识别上线资产,并完成资产基本信息的填写。管理员也可以手工添加资产信息。添加成功后,就可以在实时资产上查看资产状态信息,包括上下线状态、CPU、内存、资产配置的脆弱程度和信任级别等信息。实现了资产的自动识别和安全管理。

可信计算功能


可信计算功能是基于国产密码算法,对系统启动过程和系统运行过程进行全过程可信度量。基于软/硬件可信根实现对操作系统引导程序、系统程序、应用程序、重要配置参数的可信验证。可信计算功能对操作系统、业务系统来说应是透明的,在正常情况下应不对操作系统和业务系统的功能产生影响。可信安全管理中心实现对多个可信计算节点的集中管理,提升管控效率。

主机防火墙功能


可以通过管理界面对主机防火墙策略进行配置管理,基于IP五元组方式对主机网络数据包在入栈和出栈方向进行过滤,并会将拦截事件上报到后台供用户分析。

双因子认证功能


提供基于硬件UKey(内置证书)+用户口令的双因子接入控制检查,通过软硬件相结合的手段对登录设备的用户进行双重身份验证。最大限度防止非法用户通过弱口令或者暴力破解密码方式登录系统,提高系统的接入安全性。

病毒查杀功能


具备专业杀毒引擎技术,可以定期或实时对特定目录进行扫描,通过静态和动态查杀两种方式,检测目录文件中是否包含恶意代码,生成事件警告并提示用户是否查杀或者隔离;同时支持对特定目录添加到信任区的操作。
文件/网络访问控制功能


通过安全访问控制域(具有相同访问等级和访问策略的集合),将操作系统对象分为主体和客体。通过授权主体(用户、组)特定的访问级别,以及授予文件客体(文件、可执行程序、数据库等)或者网络客体(IP、端口、协议等)特定访问级别,只有符合已知策略的主客体才允许执行、删除和读写操作,从而确保了数据的完整性、机密性。目前支持DTE/BLP/BIBA这几种模式策略。

技术优势


部署灵活

基于C/S架构,支持网络版和单机版两种部署方式,用户可以根据实际拓扑环境选择相应的部署方式。 网络版:分为服务端和客户端,其中客户端负责安全加固和审计功能,服务端负责收集事件并与UI管理界面进行交互。 单机版:支持单机部署方式,并提供界面实现自管理。


支持基于国密算法的可信计算技术

基于软/硬件可信根的可信计算技术,可以对系统启动过程进行可信度量,一旦发现关键系统文件完整性被破坏,则可以终止启动过程并告警。同时还将可信启动过程与可信白名单技术进行结合,为系统建立安全可信的运行环境。


先进的白名单智能学习技术
系统支持四种工作模式:学习模式、普通模式、严格模式和维护模式。在学习模式下,系统通过智能学习技术自动生成当前主机的进程和动态库白名单。用户可以一键式部署,极大降低了系统配置的复杂度。

基于文件和网络的访问控制技术
支持DTE/BLP/BIBA等多种访问控制策略,实现对关键文件的有效保护。 支持外设接入访问控制,可以对U盘等外设设置挂载权限和读写权限。

安装和卸载方便
安装和卸载产品时均不需要重启操作系统,占用的系统资源少,对系统影响小。可以保障一些重要的服务器不怠机,为客户提供持续稳定的服务。

自主研发,自主可控
工业终端安全卫士产品完全国产化,软件全部自主研发,完全达到可控。

应用场景

工业终端安全卫士应用方案(LINUX)

工业终端安全卫士目前运用于各行业主机操作系统中,它优良的用户体验效果和兼容性使得工业终端安全卫士在众多工控企业深入使用,强有力的保护主机终端安全。

工业终端安全卫士应用方案(LINUX)

本应用方案采用C/S部署方案,可以有效灵活适配各种网络拓扑环境,将数据汇总到server端后也方便进行导出分析。