工控主机卫士（ISG）是为工控主机量身打造的一款防护产品。它能够监控主机的进程状态、USB端口状态，采用文件加载执行控制、强制访问控制、完整性保护等技术手段，对操作系统进行安全功能增强，弥补通用操作系统安全性不高的缺陷，提高操作系统的安全保护能力，构建严格受控的主机安全环境。

产品特性

系统加固

对指定目录中的文件进行完整性保护，防止恶意程序篡改或误操作对目标文件进行注入、修改或删除。

可指定注册表信息，对其进行完整性保护，防止被篡改。

一键式阻止各种勒索病毒及其变种。

应用程序防护

应用程序白名单、禁止白名单以外的程序加载执行。

程序完整性检查

通过证书、版本、校验值等指纹数据确认程序的完整性，从而阻止被病毒感染、篡改的程序运行。

白名单管理

白名单生成、通过自动扫描功能，建立白名单。

白名单导入导出、提供白名单的导入导出功能。

白名单更新

需要运行新的程序、添加新的网络服务和USB设备时，可以很方便地将这些新的设置更新到白名单中。

安全U盘

基于加密芯片的移动存储设备，需配合工控主机卫士使用。

安全U盘有两个分区，公共区和加密区。

公共区数据明文存储，可被所有机器读写，该区用于与外网交换数据。

加密区数据加密存储，只能被装有主机卫士的机器读写，实现专区专用。

移动存储介质管控

移动存储介质连接会产生安全事件。

可对移动存储介质进行白名单管理、读、写、及禁用授权管理。

移动存储介质连接及数据拷贝产生审计记录。

客户价值

可信应用程序的白名单防护

基于可信白名单机制、应用程序签名、证书等多种检查机制相配合，任何程序在加载前接受特征检查，仅符合白名单特征的程序才能进入运行状态，从而在恶意程序启动前将其终止。

移动存储介质的白名单控制

限制未经授权的USB外设在特定的主机上运行，仅允许经过授权的可信USB设备能够在主机上使用，防御利用移动存储介质类型的攻击。移动存储介质安全策略， 可细分为读写、禁止等。

特定对象的完整性保护

应用程序完整性保护和操作系统完整性保护，保护运行环境和进程空间的运行安全，防止运行环境被篡改和后门利用、缓冲区溢出。

工控环境的攻击防护

能有效阻止震网、Havex、沙虫等工控病毒及其变种，利用移动存储介质对工控主机的攻击也能被阻止。

应用场景

工控主机卫士（ISG）主要部署在过程监控层上位机、工程师站、HMI操作员站等主机上，其次部署在生产管理层主机及服务器上。

采用白名单方式对主机进行防护。