可信衛(wèi)士,可獨(dú)立安裝運(yùn)行在工作站上的客戶(hù)端軟件，能監(jiān)控分析應(yīng)用程序和人工操作的行為特征，生成白名單，控制惡意程序和操作的執(zhí)行；統(tǒng)一管理企業(yè)內(nèi)部所有可信衛(wèi)士客戶(hù)端，并收集、匯總、更新、同步單獨(dú)客戶(hù)端的黑白名單數(shù)據(jù)庫(kù)，統(tǒng)一管理企業(yè)消息推送，統(tǒng)一管理企業(yè)自建可信應(yīng)用信譽(yù)庫(kù)，并與威努特可信網(wǎng)關(guān)聯(lián)動(dòng)；利用漏洞挖掘技術(shù)、智能分析技術(shù)建立的全球性應(yīng)用信譽(yù)系統(tǒng)，可有效分析不同操作系統(tǒng)、不同應(yīng)用廠家、不同工業(yè)行業(yè)的應(yīng)用可信性，并針對(duì)不同行業(yè)、不同應(yīng)用場(chǎng)景形成配置模板，能方便、有效的適配各種工作場(chǎng)景。

可信衛(wèi)士定位為工作站、服務(wù)器提供全生命周期的**管理，保障工作站、服務(wù)器的可用性、可靠性和可信性：

(1)事前部署
人員資產(chǎn)匹配管理：對(duì)工程師站進(jìn)行權(quán)責(zé)明確的資產(chǎn)管理，確保工作站系統(tǒng)、可信衛(wèi)士、控制軟件只有特定的管理人員才可以操作，支持分權(quán)分域設(shè)計(jì)，對(duì)管理員的操作記錄記入日志服務(wù)器供事后審計(jì)。
工作站白名單生成：可通過(guò)自動(dòng)掃描、軟件安裝跟蹤、軟件升級(jí)跟蹤、自定義添加等手段生成工作站應(yīng)用、腳本的白名單。
廠商白名單庫(kù)導(dǎo)入：可自動(dòng)從可信網(wǎng)絡(luò)管理平臺(tái)導(dǎo)入威努特廠商白名單庫(kù)，如和利時(shí)軟件白名單庫(kù)、西門(mén)子軟件白名單庫(kù)、中控軟件白名單庫(kù)等。
行業(yè)白名單庫(kù)匹配：對(duì)垂直管理的主要工控行業(yè)，如石化、石油、電力、**、鐵路、核能等，可自動(dòng)從可信網(wǎng)絡(luò)管理平臺(tái)導(dǎo)入威努特行業(yè)白名單庫(kù)，減少現(xiàn)場(chǎng)添加白名單的工作量。
主機(jī)接口管理： 管理員可以配置管理工作站對(duì)外接口如，USB接口、光驅(qū)、串口等，接口上的操作如插入U(xiǎn)SB接口拷入軟件，都可配置記錄和審計(jì)。
行為軟件配置：配置工作站主要運(yùn)行的核心軟件，如石化SCADA自動(dòng)化監(jiān)控系統(tǒng)，可信衛(wèi)士自動(dòng)監(jiān)控分析核心軟件的數(shù)據(jù)行為模型，對(duì)異常行為數(shù)據(jù)根據(jù)策略配置進(jìn)行監(jiān)控、告警或阻止。
控制策略配置：根據(jù)企業(yè)**管控政策，配置可信衛(wèi)士策略，如針對(duì)白名單外的程序運(yùn)行是提示還是阻止，是否允許USB設(shè)備接入，針對(duì)核心軟件異常行為是進(jìn)行告警、提示還是阻止等。
**配置模板定制：企業(yè)針對(duì)運(yùn)行特定任務(wù)的工作站，可以綜合運(yùn)用多種方法配置白名單，*后將白名單和控制策略等保存為模板，相同工作站可以一鍵式調(diào)用，減少配置工作量。

企業(yè)自建可信應(yīng)用信譽(yù)庫(kù)：建立企業(yè)內(nèi)部的可信應(yīng)用信譽(yù)庫(kù)，為企業(yè)可信應(yīng)用提供認(rèn)證、下載和升級(jí)服務(wù)，可防止被惡意軟件感染的工作軟件通過(guò)U盤(pán)拷貝等方式在企業(yè)內(nèi)傳播，管理員可以進(jìn)行應(yīng)用的推薦、強(qiáng)制安裝或卸載等操作。

(2)事中監(jiān)控
白名單運(yùn)行控制：監(jiān)控系統(tǒng)運(yùn)行情況，只允許運(yùn)行白名單中的程序(正常系統(tǒng)程序、授權(quán)的組態(tài)軟件、辦公軟件等)、腳本和插件，惡意軟件/病毒/未授權(quán)安裝的軟件等都被阻止運(yùn)行，軟件的變動(dòng)(增加、卸載、白名單的程序試圖運(yùn)行等)都被記錄和審計(jì)。
業(yè)務(wù)軟件行為分析及控制：可信衛(wèi)士已經(jīng)配置的核心工作軟件的運(yùn)行監(jiān)控，調(diào)用可信網(wǎng)絡(luò)管理平臺(tái)綜合智能分析模塊生成數(shù)據(jù)行為模型，對(duì)異常行為數(shù)據(jù)根據(jù)策略配置進(jìn)行告警、提示或阻止。
操作系統(tǒng)完整性監(jiān)控：發(fā)現(xiàn)工作站操作系統(tǒng)完整性被破壞時(shí)進(jìn)行告警，防止操作系統(tǒng)被篡改和植入后門(mén)。
進(jìn)程內(nèi)存空間保護(hù)：保護(hù)運(yùn)行進(jìn)程的內(nèi)存空間的完整性，防止緩沖區(qū)溢出等攻擊。
配置文件完整性保護(hù)：監(jiān)控和報(bào)告關(guān)鍵配置文件的更改，需要監(jiān)控的配置文件可以由管理員定制添加。
注冊(cè)表保護(hù)：監(jiān)控和報(bào)告操作系統(tǒng)關(guān)鍵注冊(cè)表項(xiàng)的更改，需要監(jiān)控的注冊(cè)表項(xiàng)可以由管理員定制添加。
移動(dòng)存儲(chǔ)設(shè)備控制：只有經(jīng)過(guò)認(rèn)證的特定USB設(shè)備才可以在特定的主機(jī)上運(yùn)行，根據(jù)策略執(zhí)行是否允許所有或特定移動(dòng)存儲(chǔ)設(shè)備操作(如只允許USB鍵鼠設(shè)備運(yùn)行)，可細(xì)分為允許讀、允許寫(xiě)、允許讀寫(xiě)；可配置禁止USB存儲(chǔ)設(shè)備自動(dòng)執(zhí)行，防止惡意程序利用漏洞自動(dòng)運(yùn)行。

自身**性保護(hù)：防止非法卸載、停止本軟件的應(yīng)用程序、服務(wù)及驅(qū)動(dòng)，并對(duì)執(zhí)行此類(lèi)操作的行為進(jìn)行記錄、告警。

(3)事后審計(jì)
日志、告警記錄：豐富、**的日志記錄，可以根據(jù)策略記錄允許執(zhí)行的管理員、應(yīng)用程序名、時(shí)間、證書(shū)、公司名等；如果不允許執(zhí)行，記錄管理員、應(yīng)用程序名、時(shí)間、失敗原因；記錄違反**策略的行為。支持syslog接口，可以將日志輸出到第三方日志服務(wù)器。
大數(shù)據(jù)**關(guān)聯(lián)分析：可信網(wǎng)絡(luò)管理平臺(tái)對(duì)企業(yè)內(nèi)各**衛(wèi)士產(chǎn)生的日志和告警進(jìn)行綜合分析，深度挖掘**事件，如某款不在白名單中的軟件在多臺(tái)工作站試圖安裝，某個(gè)賬號(hào)在多臺(tái)終端試圖登錄等，生成**事件告警，并定期輸出企業(yè)**度檢查報(bào)告與威努特可信應(yīng)用信用庫(kù)進(jìn)行同步，及時(shí)獲得業(yè)界*新**態(tài)勢(shì)和*新的可信應(yīng)用庫(kù)。

**態(tài)勢(shì)分析報(bào)表：定期生成企業(yè)**態(tài)勢(shì)分析報(bào)表，對(duì)近期企業(yè)**事件、風(fēng)險(xiǎn)和管理進(jìn)行分析和匯報(bào)。

產(chǎn)品優(yōu)勢(shì)
(1)智能機(jī)器匹配白名單生成技術(shù)
軟件安裝、升級(jí)智能跟蹤；
軟件證書(shū)、簽名智能匹配；

白名單智能沖突檢測(cè)。

(2)高**外部設(shè)備控制
只有經(jīng)過(guò)認(rèn)證的特定USB設(shè)備才可以在特定的主機(jī)上運(yùn)行；
策略可配置是否允許移動(dòng)存儲(chǔ)設(shè)備操作，可細(xì)分為允許讀、允許寫(xiě)、允許讀寫(xiě)；

可配置禁止USB存儲(chǔ)設(shè)備自動(dòng)執(zhí)行。

(3)進(jìn)程完整性保護(hù)和操作系統(tǒng)完整性保護(hù)
進(jìn)程運(yùn)行內(nèi)存空間的完整性保護(hù)；
防止緩沖區(qū)溢出攻擊；

防止操作系統(tǒng)被篡改和置入后門(mén)。

(4)未知軟件分析沙盒技術(shù)
針對(duì)未知軟件進(jìn)行系統(tǒng)級(jí)**沙盒隔離分析；
基于人機(jī)工程學(xué)的行為分析模型；
工控協(xié)議報(bào)文應(yīng)用層深度解析；

基于5W1H的多維度行為關(guān)聯(lián)分析。

(5)針對(duì)專(zhuān)用工作站的純凈系統(tǒng)技術(shù)
專(zhuān)用工程站純凈系統(tǒng)，只能運(yùn)行特定軟件；
開(kāi)機(jī)自啟動(dòng)，不允許切出、關(guān)閉；
系統(tǒng)主機(jī)外設(shè)通道關(guān)閉；

系統(tǒng)升級(jí)，配置更改只能通過(guò)可信網(wǎng)絡(luò)管理平臺(tái)。

主要應(yīng)用場(chǎng)景
(1)工作站、服務(wù)器等工控主機(jī)的病毒、木馬及惡意程序攻擊防護(hù)

可信衛(wèi)士可以識(shí)別、阻止任何白名單外的程序、腳本運(yùn)行，對(duì)通過(guò)網(wǎng)絡(luò)、U盤(pán)等傳入系統(tǒng)的病毒、木馬、惡意程序具有阻止運(yùn)行、阻止傳播、分析識(shí)別的能力。可以關(guān)閉無(wú)關(guān)的主機(jī)外設(shè)通道，有效防止無(wú)線(xiàn)連接、外接手機(jī)等情況下的數(shù)據(jù)外泄。

(2)操作員違規(guī)、危險(xiǎn)操作防護(hù)

通過(guò)業(yè)務(wù)軟件行為分析及控制技術(shù)，可信衛(wèi)士可以識(shí)別操作人員對(duì)業(yè)務(wù)軟件的異常操作，比如異常關(guān)閉重要閥門(mén)，在非工作時(shí)間對(duì)系統(tǒng)的操作等，進(jìn)行提示、告警、阻斷等操作，能夠有效防范類(lèi)似離職人員惡意攻擊，操作員誤操作帶來(lái)的**風(fēng)險(xiǎn)。

(3)工控網(wǎng)絡(luò)**態(tài)勢(shì)感知

利用大數(shù)據(jù)分析平臺(tái)，綜合分析整網(wǎng)**態(tài)勢(shì)，定期生成企業(yè)**態(tài)勢(shì)分析報(bào)表，對(duì)近期企業(yè)**事件、風(fēng)險(xiǎn)和管理進(jìn)行分析和匯報(bào)，協(xié)助完善企業(yè)**生成管理策略。

(4)配置專(zhuān)用工作站

針對(duì)用途單一的工作站系統(tǒng)，運(yùn)行專(zhuān)門(mén)的純凈系統(tǒng)模式，開(kāi)機(jī)即運(yùn)行特定業(yè)務(wù)軟件，之外的任何軟件、網(wǎng)絡(luò)都不允許訪(fǎng)問(wèn)，特別針對(duì)和互聯(lián)網(wǎng)有交互的柜員機(jī)、工作站，有效的防止工作站被用于工作無(wú)關(guān)的事情，或惡意人員利用涉外終端攻擊企業(yè)內(nèi)部的事件發(fā)生。

典型部署

可信衛(wèi)士部署方案

(1)部署方案及原理

可信衛(wèi)士部署位置如圖中所示，在企業(yè)內(nèi)部每臺(tái)工程師站、操作員站、服務(wù)器部署可信衛(wèi)士客戶(hù)端，和部署在服務(wù)器區(qū)的可信網(wǎng)絡(luò)管理平臺(tái)形成整體解決方案。不但可以聯(lián)合工作，還支持單臺(tái)工作站離線(xiàn)運(yùn)行，形成針對(duì)網(wǎng)絡(luò)孤島設(shè)備的防護(hù)。

(2)安裝方法
可以采用URL地址訪(fǎng)問(wèn)可信網(wǎng)絡(luò)管理平臺(tái)下載地址，下載可信衛(wèi)士客戶(hù)端；

也可以通過(guò)光盤(pán)方式安裝。

(3)軟件配置
管理員掃描工作站，生成本地白名單；
管理員可選擇下載行業(yè)白名單模板、廠家白名單模板，將其和本地白名單進(jìn)行合并；
配置管理員策略、白名單策略、外設(shè)策略；
可選擇將白名單、策略保存為自有模板，通過(guò)可信網(wǎng)絡(luò)管理平臺(tái)下發(fā)給制定終端；

自有模板文件可以導(dǎo)出到U盤(pán)，在工作站中導(dǎo)入。

(4)升級(jí)維護(hù)
通過(guò)U盤(pán)、光盤(pán)等導(dǎo)入離線(xiàn)升級(jí)包升級(jí)；
通過(guò)可信網(wǎng)絡(luò)管理平臺(tái)統(tǒng)一升級(jí)。