可信卫士

可信卫士,可独立安装运行在工作站上的客户端软件，能监控分析应用程序和人工操作的行为特征，生成白名单，控制恶意程序和操作的执行；统一管理企业内部所有可信卫士客户端，并收集、汇总、更新、同步单独客户端的黑白名单数据库，统一管理企业消息推送，统一管理企业自建可信应用信誉库，并与威努特可信网关联动；利用漏洞挖掘技术、智能分析技术建立的全球性应用信誉系统，可有效分析不同操作系统、不同应用厂家、不同工业行业的应用可信性，并针对不同行业、不同应用场景形成配置模板，能方便、有效的适配各种工作场景。

可信卫士定位为工作站、服务器提供全生命周期的**管理，保障工作站、服务器的可用性、可靠性和可信性：

(1)事前部署
人员资产匹配管理：对工程师站进行权责明确的资产管理，确保工作站系统、可信卫士、控制软件只有特定的管理人员才可以操作，支持分权分域设计，对管理员的操作记录记入日志服务器供事后审计。
工作站白名单生成：可通过自动扫描、软件安装跟踪、软件升级跟踪、自定义添加等手段生成工作站应用、脚本的白名单。
厂商白名单库导入：可自动从可信网络管理平台导入威努特厂商白名单库，如和利时软件白名单库、西门子软件白名单库、中控软件白名单库等。
行业白名单库匹配：对垂直管理的主要工控行业，如石化、石油、电力、**、铁路、核能等，可自动从可信网络管理平台导入威努特行业白名单库，减少现场添加白名单的工作量。
主机接口管理： 管理员可以配置管理工作站对外接口如，USB接口、光驱、串口等，接口上的操作如插入USB接口拷入软件，都可配置记录和审计。
行为软件配置：配置工作站主要运行的核心软件，如石化SCADA自动化监控系统，可信卫士自动监控分析核心软件的数据行为模型，对异常行为数据根据策略配置进行监控、告警或阻止。
控制策略配置：根据企业**管控政策，配置可信卫士策略，如针对白名单外的程序运行是提示还是阻止，是否允许USB设备接入，针对核心软件异常行为是进行告警、提示还是阻止等。
**配置模板定制：企业针对运行特定任务的工作站，可以综合运用多种方法配置白名单，*后将白名单和控制策略等保存为模板，相同工作站可以一键式调用，减少配置工作量。

企业自建可信应用信誉库：建立企业内部的可信应用信誉库，为企业可信应用提供认证、下载和升级服务，可防止被恶意软件感染的工作软件通过U盘拷贝等方式在企业内传播，管理员可以进行应用的推荐、强制安装或卸载等操作。

(2)事中监控
白名单运行控制：监控系统运行情况，只允许运行白名单中的程序(正常系统程序、授权的组态软件、办公软件等)、脚本和插件，恶意软件/病毒/未授权安装的软件等都被阻止运行，软件的变动(增加、卸载、白名单的程序试图运行等)都被记录和审计。
业务软件行为分析及控制：可信卫士已经配置的核心工作软件的运行监控，调用可信网络管理平台综合智能分析模块生成数据行为模型，对异常行为数据根据策略配置进行告警、提示或阻止。
操作系统完整性监控：发现工作站操作系统完整性被破坏时进行告警，防止操作系统被篡改和植入后门。
进程内存空间保护：保护运行进程的内存空间的完整性，防止缓冲区溢出等攻击。
配置文件完整性保护：监控和报告关键配置文件的更改，需要监控的配置文件可以由管理员定制添加。
注册表保护：监控和报告操作系统关键注册表项的更改，需要监控的注册表项可以由管理员定制添加。
移动存储设备控制：只有经过认证的特定USB设备才可以在特定的主机上运行，根据策略执行是否允许所有或特定移动存储设备操作(如只允许USB键鼠设备运行)，可细分为允许读、允许写、允许读写；可配置禁止USB存储设备自动执行，防止恶意程序利用漏洞自动运行。

自身**性保护：防止非法卸载、停止本软件的应用程序、服务及驱动，并对执行此类操作的行为进行记录、告警。

(3)事后审计
日志、告警记录：丰富、**的日志记录，可以根据策略记录允许执行的管理员、应用程序名、时间、证书、公司名等；如果不允许执行，记录管理员、应用程序名、时间、失败原因；记录违反**策略的行为。支持syslog接口，可以将日志输出到第三方日志服务器。
大数据**关联分析：可信网络管理平台对企业内各**卫士产生的日志和告警进行综合分析，深度挖掘**事件，如某款不在白名单中的软件在多台工作站试图安装，某个账号在多台终端试图登录等，生成**事件告警，并定期输出企业**度检查报告与威努特可信应用信用库进行同步，及时获得业界*新**态势和*新的可信应用库。

**态势分析报表：定期生成企业**态势分析报表，对近期企业**事件、风险和管理进行分析和汇报。

产品优势
(1)智能机器匹配白名单生成技术
软件安装、升级智能跟踪；
软件证书、签名智能匹配；

白名单智能冲突检测。

(2)高**外部设备控制
只有经过认证的特定USB设备才可以在特定的主机上运行；
策略可配置是否允许移动存储设备操作，可细分为允许读、允许写、允许读写；

可配置禁止USB存储设备自动执行。

(3)进程完整性保护和操作系统完整性保护
进程运行内存空间的完整性保护；
防止缓冲区溢出攻击；

防止操作系统被篡改和置入后门。

(4)未知软件分析沙盒技术
针对未知软件进行系统级**沙盒隔离分析；
基于人机工程学的行为分析模型；
工控协议报文应用层深度解析；

基于5W1H的多维度行为关联分析。

(5)针对专用工作站的纯净系统技术
专用工程站纯净系统，只能运行特定软件；
开机自启动，不允许切出、关闭；
系统主机外设通道关闭；

系统升级，配置更改只能通过可信网络管理平台。

主要应用场景
(1)工作站、服务器等工控主机的病毒、木马及恶意程序攻击防护

可信卫士可以识别、阻止任何白名单外的程序、脚本运行，对通过网络、U盘等传入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别的能力。可以关闭无关的主机外设通道，有效防止无线连接、外接手机等情况下的数据外泄。

(2)操作员违规、危险操作防护

通过业务软件行为分析及控制技术，可信卫士可以识别操作人员对业务软件的异常操作，比如异常关闭重要阀门，在非工作时间对系统的操作等，进行提示、告警、阻断等操作，能够有效防范类似离职人员恶意攻击，操作员误操作带来的**风险。

(3)工控网络**态势感知

利用大数据分析平台，综合分析整网**态势，定期生成企业**态势分析报表，对近期企业**事件、风险和管理进行分析和汇报，协助完善企业**生成管理策略。

(4)配置专用工作站

针对用途单一的工作站系统，运行专门的纯净系统模式，开机即运行特定业务软件，之外的任何软件、网络都不允许访问，特别针对和互联网有交互的柜员机、工作站，有效的防止工作站被用于工作无关的事情，或恶意人员利用涉外终端攻击企业内部的事件发生。

典型部署

可信卫士部署方案

(1)部署方案及原理

可信卫士部署位置如图中所示，在企业内部每台工程师站、操作员站、服务器部署可信卫士客户端，和部署在服务器区的可信网络管理平台形成整体解决方案。不但可以联合工作，还支持单台工作站离线运行，形成针对网络孤岛设备的防护。

(2)安装方法
可以采用URL地址访问可信网络管理平台下载地址，下载可信卫士客户端；

也可以通过光盘方式安装。

(3)软件配置
管理员扫描工作站，生成本地白名单；
管理员可选择下载行业白名单模板、厂家白名单模板，将其和本地白名单进行合并；
配置管理员策略、白名单策略、外设策略；
可选择将白名单、策略保存为自有模板，通过可信网络管理平台下发给制定终端；

自有模板文件可以导出到U盘，在工作站中导入。

(4)升级维护
通过U盘、光盘等导入离线升级包升级；
通过可信网络管理平台统一升级。