安恒工控主机安全及管理系统是安恒信息在深入分析与研究常见黑客入侵技术的基础上,总结归纳大量的安全漏洞信息和攻击方式后,研制开发的新一代终端安全防护产品。由管理控制中心和监控端组成,把多个监控端信息集中于一体,便于集中管理、应急和配置安全策略,聚合监控端情报信息。
进程启动时的主动防御机制,在进程启动、文件创建时自动触发,拦截恶意程序运行。开启进程白名单,通过配置进程白名单,只允许受信任的进程启动,对其他进程可以做仅记录、阻断并记录两种设置
可对指定目录进行设置,扫描完成后可对病毒文件进行信任、隔离;添加到信任列表里的文件在下次扫描时不在进行扫描,添加到隔离列表里的文件,会从当前目录移到隔离区域,并可在隔离区域进行删除操作。病毒库会进行不定时更新,可将更新的病毒库放置在中心指定目录下,各端点会主动到中心指定目录下获取病毒更新包。
勒索病毒使用高强度非对称加密算法对用户关键数据加密并索取赎金,勒索防御功能通过对恶意进程、弱口令、系统漏洞、高危端口的检测,给出感染勒索病毒的可能性,并且通过双重防御引擎,阻断勒索软件的启动和加密行为,实时抵御勒索病毒。
挖矿病毒会大量消耗系统运行资源非法挖矿,挖矿防御功能通过对弱口令、系统漏洞、资源占用、恶意进程、dns历史查询和异常外联几项的检测,给出感染挖矿病毒的可能性,并通过主动防御机制,实时阻断挖矿病毒的运行
依赖管理平台的强大推送功能,能够及时检测及安装官方发布的系统补丁,使操作系统免受黑客攻击。对操作系统进行全面漏洞扫描,并对漏洞补丁进行一键修复或单个修复
对终端的cpu、内存、磁盘及网络入站、出站流量进行监控,并在达到用户配置的阈值时及时发出告警,防止系统资源耗尽
采用内核级网络防火墙技术,对不同的业务之间的流量进行精准识别、针对非法流量可以精准阻断
可对系统账户登录进行精准的策略设置,支持对访问来源(账户、地理位置、远程ip或域名、远程计算机名)、访问时间的配置实时阻断非法登录。以及采用系统级插件技术,及时发现并阻断暴力破解行为,不依赖系统日志
为了防止对终端服务器上端口进行恶意探测,某个ip在指定时间内对某个端口进行恶意探测超过设置次数,将恶意探测ip地址进行锁定,防止其对终端服务器有下一步的恶意行为开启防违规外联功能,配置白名单ip,除白名单ip以外禁止连接,能支持实时阻断并记录
选择一个在线资产,开始录制用户操作,最终生成一个配置模板。从模板列表中选择一个配置模板,然后针对一批在线资产,应用这个配置模板。适用于资产较多需要统一安全配置的的场景下
设置需要定期批量执行的检测任务,内容包括任务名称、执行巡检的内容,要巡检的资产,执行周期和备注
监控外设的插入与拔出,控制外设的权限包括禁用、只读、放行,对外设对文件的操作进行审计。可以有效防止用户在业务系统上违规运行不合规程序和违规使用移动存储介质。减少这些行为带来的潜在威胁
文件变化审计,对监控中的文件变更操作进行记录
对终端服务器进行详细信息展示:包括网络信息、环境信息等对终端服务器上端口及运行情况进行实时监控对终端服务器所有账号及软件信息进行统计
通过资产自动发现技术,所有终端可以自动地注册到管控中心,管控中心采用软件推送技术,支持资产自动安装监控软件,并上报数据到管控中心。
通过实时汇聚各个终端的安全事件,可以形成全局的威胁情报中心。该中心还可以接受其他情报源,结合整体态势,对资产的安全状态进行检测和识别。
威胁情报中心对资产做出安全状态评估以后,可以自动的更新资产的安全策略。
针对用户规模和网络情况,同时支持云端管控和用户本地管控两种模式。
系统自带大量的配置模板,可以批量地应用到指定的资产上。支持建立自动巡检任务,定时对资产的安全状态进行遍历。
云计算场景下,容器虚拟化终端已经广泛流行。本产品可以针对容器安全进行有效监测和防御。
支持各种主流操作系统,包括:windows全系列产品、linux全系列产品、国产操作系统、unix操作系统等。 支持各类web服务器,包括:tomcat、iis、apache、weblogic、websphere、jboss等。 支持各类cpu体系架构,包括:x86全系列、arm全系列、ppc、mips、国产cpu等。