東土科技工控主機安全衛士是面向工控系統設計的、提供集安全可視化、安全策略集中管理、終端狀態監測、終端安全防護、預警和響應處置于一體的信息安全產品,在不影響生產業務的前提下,實現對工控終端主機的集中監控與策略配置。主要分為工控主機安全衛士代理和工控主機安全衛士管理平臺兩部分;工控主機安全衛士代理采用基于操作系統的驅動開發技術、確保安全防護的有效性和即時性,工控主機安全衛士管理平臺采用組件化開發技術,專注于各終端的安全策略、狀態統一管理和安全分析。產品支持以下功能模塊:
終端資源自發現,采集終端主機的CPU、內存等資源信息。
可對終端主機進行統一管理,提供統一事件管理、統一安全策略管理、運行狀態監測等。
安全策略支持調試模式和工作模式,調試模式產生告警事件,不阻斷操作,后臺靜默執行;工作模式即產生告警也阻斷操作。
應用程序白名單防護,提供自定義應用程序白名單功能,支持應用程序白名單的管理,工控主機安全衛士代理對應用程序的啟動、運行進行監控,如果發現不在白名單范圍內的程序企圖啟動或者運行,代理根據運行模式采取不同的動作。
可移動存儲設備管控,提供USB類型可移動存儲設備的注冊管理、外設訪問控制和攔截功能。
關鍵文件保護,提供配置關鍵文件或路徑的防護策略功能,并根據配置策略進行訪問控制和攔截功能。
注冊表保護,提供配置重要注冊表項的防護策略功能,并根據配置策略進行訪問控制和攔截功能。
終端日志收集功能,支持收集終端本地應用程序日志,也支持將自身日志發送給管理端。
代理自我保護功能,代理運行后具備不被其他進程(如殺毒軟件,惡意軟件)殺死和用戶手動關閉功能。
通過禁止或允許移動存儲設備在終端主機上使用,有效防止移動存儲設備的隨意接入對終端主機系統的安全威脅。提供移動介質授權管理功能,移動介質在使用前均須經過授權,只有注冊過的授信USB可移動存儲設備方可接入主機;禁止非授權外設存儲的接入,支持細粒度的移動存儲設備管控,如訪問、執行、寫入權限。終端代理采用驅動層面技術捕獲USB設備接入行為,根據設備的標識判斷該USB設備是否是已注冊安全設備,進而根據策略配置進行設備接入行為操作響應。
系統基于應用程序白名單技術實現對應用程序的保護,納入程序白名單的程序是安全可信的。工控主機安全衛士代理端根據應用程序白名單策略禁止非白名單應用程序的運行、安裝,從而有效控制非法程序運行、安裝帶來的主機安全威脅。
智能化機器自學習生成進程級可信應用程序白名單,支持人工增加、刪除、編輯、查詢白名單列表,支持導入導出白名單,支持調試模式,調試模式狀態下模擬生效白名單策略,僅記錄違規告警不實際阻斷進程運行。
支持進程指紋級防護,進程指紋包括MD5加密算法和數字簽名。支持白名單策略分組,支持模板化白名單策略。
文件夾監測
系統提供對關鍵目錄基于文件級的目錄保護機制,提供關鍵目錄的專項保護策略,防止目錄及其下的文件(夾)被惡意篡改,防止目錄內容的添加及修改,保證關鍵目錄的正常訪問。終端安全代理在驅動層面監控用戶操作,當用戶操作目錄時會有相關的操作信息,當發現對受保護文件(夾)進行修改、創建、重命名、刪除、移動、等操作時,無論是在本機的操作還是通過網絡進行的操作,都能夠根據相應的響應策略產生告警或者阻斷操作行為。
注冊表項監測
系統提供對Windows注冊表項保護功能,支持注冊表路徑遞歸防護,防止關鍵注冊表項被惡意軟件或者人為損毀。終端安全代理當發現對受保護注冊表項進行修改、創建、重命名、刪除等操作時,能夠根據相應的響應策略產生告警或者阻斷操作行為。
系統支持syslog轉發第三方日志服務器。系統內置多種常規報表記錄,包括違規報警、審計信息等報表,方便管理人員快速查詢;為方便用戶根據實際管理要求及有目標的查詢管理報表,還提供自定義報表管理,可自定義設置篩選查詢條件,快速生成統計信息。
系統的日志管理功能記錄終端報警審計日志、系統用戶操作日志等日志信息,管理人員可進行查看和檢索。
終端代理運行后具備不被其他進程(如殺毒軟件,惡意軟件)殺死和用戶手動關閉的功能,同時也具備不被用戶或者其他軟件強行卸載的功能。代理在驅動層面監控自身進程的銷毀,采用多進程互拉取的技術手段實現自我保護。
| 終端安全代理操作系統支持 | ||
| 支持Linux系統 | CentOs6及以上,ubuntu16.04及以上, Redhat6及以上,SUSE11及以上 | |
| 支持老舊windows系統(XP、2000等) | windows XP,widnows7,window8,windows10,windows Server 2003及其以上版本 | |
| 終端注冊和資源自發現 | ||
| 注冊 | 終端安全代理可以注冊到管理端。 | |
| 資源自發現 | 終端安全代理可以收集CPU、內存等資源信息并反饋給管理端,頁面上自動生成主機并顯示該主機的CPU、內存等資產信息 | |
| 進程基線自學習 | 進程基線自學習 | 支持主機進程白名單的自學習,通過智能算法自動生成進程基線;同時支持對自學習的進程基線進行人工編輯 |
| 進程白名單防護 | ||
| 終端安全代理進程白名單防護 | 終端安全代理根據白名單進程策略對進程的啟動、運行進行監控,如果發現不在白名單范圍內的程序企圖啟動或者運行,代理應根據運行模式采取不同的動作 調試模式:產生告警事件,不需要阻斷運行,后臺靜默執行即可 工作模式:既要產生告警事件,也要阻斷進程的運行 |
|
| 進程運行前攔截 | 阻斷功能達到的效果應該是不僅要阻止程序白名單之外進程的啟動,還要自動殺死已運行的白名單之外的進程(加載白名單時執行) 不允許非法進程執行任何指令 |
|
| 進程白名單管理 | 可以對進程白名單進行新增、修改、刪除等操作 單條進程白名單含進程名、文件指紋等信息 |
|
| 外設管控 | ||
| 外設注冊管理 | 可以在管理端頁面注冊外設的訪問方式,包括讀取、寫入、執行 | |
| 外設攔截 | 終端安全代理根據注冊信息對外設進行訪問控制和攔截 | |
| 關鍵目錄保護 | ||
| 關鍵目錄策略配置 | 可以在管理端頁面配置文件或文件夾的訪問方式,包括讀取、寫入、執行 | |
| 關鍵目錄保護 | 終端安全代理根據關鍵目錄保護策略進行訪問控制和攔截 | |
| 注冊表保護 | ||
| 注冊表策略配置 | 可以在管理端頁面配置注冊表項或注冊表值的訪問方式,包括只讀、讀寫 | |
| 注冊表保護 | 終端安全代理根據注冊表保護策略進行訪問控制和攔截 | |
| 集中配置管理 | 集中配置管理 | 可以分布式部署安裝多臺終端安全代理 可以在服務端中集中管理主機并配置主機策略 |
| 與安全統一管理平臺交互 | ||
| 界面集成 | 工控安全管理平臺采用弱集成方式實現對工控主機安全衛士的界面管理,在安管平臺提供跳過登錄界面,直接進入工控主機安全衛士管理頁面的入口 修改工控主機安全衛士實現界面顏色布局、元素等風格與安管平臺一致 |
|
| 告警/日志上傳 | 工控主機安全衛士可將本系統產生的告警、日志通過接口發送給安全管理平臺 | |
| 系統自身監測 | 工控主機安全衛士實現對系統自身的可用性檢測并展示,包括CPU負荷、內存占用、硬盤占用狀態 | |
| 單點登錄 | 由安管平臺提供單點登錄服務,工控主機安全衛士支持單點登錄 | |
| 權限統一管理 | 安管平臺提供對用戶、角色、授權的管理功能,工控主機安全衛士接收安管平臺的統一權限管理 | |
| 產品規格 | ||
| 性能 | 客戶端管理授權(默認/最大):10/200 | |
| 接口 | USB: 2*USB Type-A接口 Console: 1*RJ45接口 網口: 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口 |
|
| 機械結構 | 外殼:金屬 重量:7kg 尺寸(WxHxD):430mm×44mm×360mm 安裝方式:1U機架安裝 |
|
| 電源 | 電壓:H3-H3=220VAC 雙電源輸入 功率:120W |
|
| 質保 | 質保期:1年(升級版3年) |
工控主機安全衛士:
工控主機安全衛士推薦型號:
|
產品型號 |
型號說明 |
|
Agate7002-4GX6GE-H3-H3 |
4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
工控主機安全衛士推薦服務:
|
服務型號 |
型號說明 |
|
Agate7002-uTERMINAL |
安全衛士客戶端授權升級服務 |
Kyland-Agate7002-Datasheet-CN 工控主機安全衛士_用戶手冊
