産品特點

可(kě)信

“可(kě)信”即以可(kě)信認證爲基礎，構建一個(gè)可(kě)信的(de)業務系統執行環境，即平台、程序、進程都是可(kě)信的(de)，确保病毒無法執行、入侵行爲無法成功。可(kě)信的(de)環境保證業務系統永遠(yuǎn)都按照(zhào)設計預期的(de)方式執行，不會出現非預期的(de)流程，從而保漳了(le)業務系統安全可(kě)信。

執行程序可(kě)信

基于可(kě)信計算(suàn)技術，采用(yòng)白名單機制，提供執行程序可(kě)信度量，阻止非授權及不符合預期的(de)執行程序運行，實現對(duì)已知／未知惡意代碼的(de)主動防禦，降低操作系統完整性及可(kě)用(yòng)性被破壞的(de)風險。

惡意代碼防禦

提供基于可(kě)信計算(suàn)技術的(de)惡意代碼防禦機制，對(duì)執行程序進行可(kě)信檢測，确保惡意程序或與業務無關的(de)程序無法在服務器中運行。

可(kě)信目錄标識

保障系統安全前提下(xià)也(yě)需要易用(yòng)性，構建可(kě)信目錄模塊可(kě)以保證運行某些程序時(shí)産生的(de)臨時(shí)文件的(de)正常運行，通(tōng)過路徑識别将可(kě)信目錄下(xià)的(de)所有進程版時(shí)加入白名單。

可(kě)控

“可(kě)控”即以IP、端口訪問控制技術爲核心，實現遠(yuǎn)程登錄控制。同時(shí)基千白名單技術，實現對(duì)程序的(de)運行控制。保證所有的(de)執行操作行爲均在可(kě)控範圍之内進行，在防範内部攻擊的(de)同時(shí)有效防止了(le)從外部發起的(de)攻擊行爲。對(duì)核心進程，關鍵目錄進行防護，可(kě)以确保系統中的(de)核心資源不被篡改，保證了(le)核心資源的(de)安全可(kě)控。

強制訪問控制

本産品提供基于BLP模型的(de)強制訪問控制，BLP模型的(de)基本安全策略是 “上讀下(xià)寫＂，安全策略保證了(le)數據流向中的(de)所有數據隻能按照(zhào)安全級别從低到高(gāo)的(de)流向流動，從而保證了(le)敏感數據不洩露。

關鍵目錄保護

對(duì)關鍵目錄提供基于文件級的(de)目錄保護機制，提供關鍵目錄的(de)專項保護策略，防止目錄及其下(xià)的(de)文件（夾）被惡意類改，防止目錄内容的(de)添加及修改。保證關鍵目錄的(de)正常訪問。

外設存儲控制

提供移動介質授權管理(lǐ)，移動介質在使用(yòng)前均須經過授權；禁止非授權外設存儲的(de)接入。有效防止由于非授權移動存儲接入而産生的(de)攻擊。

網絡通(tōng)信控制

按照(zhào)等保2.0的(de)要求提供基于IP，端口，協議(yì)的(de)多(duō)維網絡通(tōng)信控制，提供網絡訪問控制，IP白名單和(hé)IP黑(hēi)名單三種控制規則。

可(kě)管

“可(kě)管”即通(tōng)過構建集中管控、最小權限管理(lǐ)與三權分(fēn)立的(de)管理(lǐ)平台，爲管理(lǐ)員(yuán)創建一個(gè)丁作平台，使其可(kě)以進行技術平台支撐下(xià)的(de)安全策略管理(lǐ)，從而保證信息系統安全可(kě)管。

節點管理(lǐ)

節點管理(lǐ)模塊是給系統管理(lǐ)人(rén)員(yuán)提供—個(gè)節點資産維護的(de)統一視角，通(tōng)過該模塊，運維人(rén)能夠方便的(de)查看某台主機服務器名稱、操作系統、在線狀态、位置、資産标簽等信息，同時(shí)平台可(kě)提供對(duì)主機資産的(de)統計管理(lǐ)。

文件分(fēn)發

爲方便系統内文件分(fēn)發，建立文件分(fēn)發模塊該模塊可(kě)通(tōng)過管理(lǐ)中心，将文件或目錄下(xià)發到各個(gè)被加固終端，并将可(kě)執行程序自動加入白名單内。告警日志的(de)功能。

安全狀态展示

提供對(duì)整體環境的(de)安全現狀展示，展示數據動态實時(shí)更新。提供注冊資産總數、異常資産總數等資産信息，最新安全事件及詳細信息、待辦安全事項、持續攔截威脅總數等信息。爲整體運行環境安全風險分(fēn)析提供參考。

安全審計

本産品提供操作系統審計功能，審計内容包括：提供用(yòng)戶登錄審計、程序運行控制審計、文件訪問控制審計等同時(shí)支持日志的(de)檢索和(hé)導出功能。系統還(hái)提供了(le)向特定郵箱發送告警曰志的(de)功能。