雲湧主機安全加固系統
産品概述
本産品從保障服務器橾作系統安全的角度出發,以可信計算爲基礎、訪間控制爲核心,圍繞“可信、可控、可管”三個維度構建服務器主動防禦體系,從源頭上保證服務器安全。
産品在安裝部署後,提供操作系統内核級加固、核心進程防護、關鍵目錄保護等安全機制,逐步建立完善的服務器操作系統級安全管理體系,給予服務器主動防禦的能力,保障服務器的運行安全、數據安全及安全管理,爲服務器提供全面的安全防護。
産品特點
可信
“可信”即以可信認證爲基礎,構建一個可信的業務系統執行環境,即平台、程序、進程都是可信的,确保病毒無法執行、入侵行爲無法成功。可信的環境保證業務系統永遠都按照設計預期的方式執行,不會出現非預期的流程,從而保漳了業務系統安全可信。
執行程序可信
基于可信計算技術,采用白名單機制,提供執行程序可信度量,阻止非授權及不符合預期的執行程序運行,實現對已知/未知惡意代碼的主動防禦,降低操作系統完整性及可用性被破壞的風險。
惡意代碼防禦
提供基于可信計算技術的惡意代碼防禦機制,對執行程序進行可信檢測,确保惡意程序或與業務無關的程序無法在服務器中運行。
可信目錄标識
保障系統安全前提下也需要易用性,構建可信目錄模塊可以保證運行某些程序時産生的臨時文件的正常運行,通過路徑識别将可信目錄下的所有進程版時加入白名單。
可控
“可控”即以IP、端口訪問控制技術爲核心,實現遠程登錄控制。同時基千白名單技術,實現對程序的運行控制。保證所有的執行操作行爲均在可控範圍之内進行,在防範内部攻擊的同時有效防止了從外部發起的攻擊行爲。對核心進程,關鍵目錄進行防護,可以确保系統中的核心資源不被篡改,保證了核心資源的安全可控。
強制訪問控制
本産品提供基于BLP模型的強制訪問控制,BLP模型的基本安全策略是 “上讀下寫",安全策略保證了數據流向中的所有數據隻能按照安全級别從低到高的流向流動,從而保證了敏感數據不洩露。
關鍵目錄保護
對關鍵目錄提供基于文件級的目錄保護機制,提供關鍵目錄的專項保護策略,防止目錄及其下的文件(夾)被惡意類改,防止目錄内容的添加及修改。保證關鍵目錄的正常訪問。
外設存儲控制
提供移動介質授權管理,移動介質在使用前均須經過授權;禁止非授權外設存儲的接入。有效防止由于非授權移動存儲接入而産生的攻擊。
網絡通信控制
按照等保2.0的要求提供基于IP,端口,協議的多維網絡通信控制,提供網絡訪問控制,IP白名單和IP黑名單三種控制規則。
可管
“可管”即通過構建集中管控、最小權限管理與三權分立的管理平台,爲管理員創建一個丁作平台,使其可以進行技術平台支撐下的安全策略管理,從而保證信息系統安全可管。
節點管理
節點管理模塊是給系統管理人員提供—個節點資産維護的統一視角,通過該模塊,運維人能夠方便的查看某台主機服務器名稱、操作系統、在線狀态、位置、資産标簽等信息,同時平台可提供對主機資産的統計管理。
文件分發
爲方便系統内文件分發,建立文件分發模塊該模塊可通過管理中心,将文件或目錄下發到各個被加固終端,并将可執行程序自動加入白名單内。告警日志的功能。
安全狀态展示
提供對整體環境的安全現狀展示,展示數據動态實時更新。提供注冊資産總數、異常資産總數等資産信息,最新安全事件及詳細信息、待辦安全事項、持續攔截威脅總數等信息。爲整體運行環境安全風險分析提供參考。
安全審計
本産品提供操作系統審計功能,審計内容包括:提供用戶登錄審計、程序運行控制審計、文件訪問控制審計等同時支持日志的檢索和導出功能。系統還提供了向特定郵箱發送告警曰志的功能。
