长扬工控主机加固系统
产品概述
长扬工控主机加固系统是以系统驱动为主导,基线加固为基础,围绕强制访问控制、核心文件防护、移动介质管控、主机基线加固等功能提升操作系统的安全性,可以满足工业控制系统主机操作系统复杂,硬件配置较低,资源受限场景下操作系统安全加固的需求,减少对工业主机资源占用和业务影响,解决当下工控系统主机面对的安全现实问题,保证工控主机的安全稳定运行。
产品特性
增强型访问控制安全模型组合
主机加固系统利用BLP和BIBA访问控制安全模型组合,确保数据信息和系统自身的安全性,保障工业主机操作系统的保密性、完整性、可用性和可靠性。
主机加固系统把文件安全标记分成系统级安全标记库和应用级安全标记库。系统级安全标记库记录操作系统内主体和客体的安全标记集合,在安装之后,根据操作系统运行自动学习,并生成操作系统相关的主客体安全标记,因此,生成之后的安全标记及相应的安全策略能够允许操作系统的正常运行;应用级安全标记指操作系统之外的应用软件的主客体安全标记集合,对在操作系统之外的其他应用软件在安装之后自动生成安全标记。系统在生成应用及安全标记及其策略之后,默认会拒绝所有的应用软件使用。
多重身份认证技术
大部分信息系统使用ID和口令保护自身安全。但是单独的口令不能带来充分的保护,它们很容易被共享和猜出来。有时候,口令会遭到野蛮攻击和词典攻击。主机加固系统利用数字签名证书机制保证了用户身份识别的可靠性。
为了达到内网核心安全的目的,主机加固系统采用了数字签名证书为基础并结合访问控制的技术。当安全内核安装后,没有通过数字签名证书认证的用户,即使获得了管理员权限,也不能访问被安全内核保护的资源。
主机加固系统通过接管系统所有访问控制权限,实际上取消了“超级用户”(root)权限,通过使用数字签名证书认证机制,达到用户认证目的。用户或者其他非法入侵者即使获得了超级用户口令也无法访问系统重要资源。
对系统管理员或用户颁发数字签名证书,通过基于功能模块的认证机制完成用户登录过程。
轻量化的白名单防护
“白名单”技术是目前工控安全领域国内外工业主机安全防护系统厂商采用的主流技术。白名单可以分为文件白名单、脚本文件白名单、证书白名单等类型。
主机加固系统使用文件、证书和脚本白名单技术对主机上存在的可执行文件、证书签名、脚本文件进行扫描,建立一个可信任的白名单列表,在运行可执行文件或者脚本文件时,会根据本地存储的“白名单” 列表验证每个试图执行的应用程序或者脚本,只有在“白名单”列表上的程序或者脚本才允许运行。所以白名单防护机制能够起到只允许运行合法的软件程序或者脚本,而恶意软件或其他未经授权的程序因为不在白名单中则被阻止运行,从而可执行文件以及脚本文件白名单可以有效阻止各种恶意程序。
细粒度的外设管控
主机加固系统使用了文件系统过滤技术(如Windows系统 mini-filter,Linux中的LSM技术)对主控主机上的外设进行管理,可有效地区分出外设的访问权限是否合法合规。精细至单一设备的权限配置(细分为只读、读写、读写执行),防范U盘滥用,阻断病毒传播,对非法的外设访问权限进行拦截,并对非法访问生成审计信息。 同时提供配套的硬件级加密安全U盘,在需要数据摆渡的场景下保障数据的传输安全。
客户价值
提升主机安全级别,满足合规要求
通过对工业主机的操作系统进行安全加固,提升操作系统安全等级,有效抵御未知病毒木马等恶意代码攻击,避免因频繁
更新补丁给主机带来的风险,切断黑客的攻击途径,满足法规对主机安全防护基线的合规要去障。
解决工业环境的恶意代码防护问题
以轻量化白名单技术为核心,一键固化操作系统当前运行环境,默认拒绝未知程序和脚本的执行,有效防范已知和未知病毒
的入侵。解决传统防终端安全软件不适用于工业环境,导致工控主机运行缓慢、无法升级病毒库、关键配置文件及授权文
件等被误杀等问题。
应用场景
在企业内部工程师站、操作员站、服务器部署工控主机加固客户端,和部署在服务器区的工控安全管理平台形成整体解决方案。不但可以联合工作,还支持单台工作站离线运行,形成针对网络孤岛设备的防护。