01-正文
本章节下载: 01-正文 (3.85 MB)
随着工业互联网的发展以及中国制造2025的推进,传统的工业控制网络安全问题已成为企业及国家安全面临的严峻挑战,受到越来越多的工业控制相关企业的关注。
针对安全防护技术在工控网络的弱点,“工控主机安全卫士”创新性的将应用程序白名单管理技术引入工控网络安全防护。“白名单”是指规则中设置的允许使用的名单列表,其意义是“好的”、“被允许的”,“应用程序白名单”是一组应用程序名单列表,只有在此列表中的应用程序是被允许在系统中运行,之外的任何程序都不被允许运行。
工控主机安全卫士的主要功能主要为以下五个方面:
· 工作站病毒、木马、恶意程序攻击防护
工控主机安全卫士可以识别、阻止任何白名单外的病毒、木马等恶意程序、不信任的进程运行,只允许信任的、经过授权的程序运行,从而大大增强了系统的稳定性。能够有效抵御各类已知和未知的病毒、木马等恶意程序。
· 白名单运行控制
监控系统运行情况,只允许运行白名单中的程序(正常系统程序、授权的组态软件、办公软件等),恶意软件/病毒/未授权安装的软件等都被阻止运行,软件的变动(增加、卸载、白名单的程序试图运行等)都被记录和审计。
· USB存储设备管控
工控主机安全卫士可对移动存储介质进行全生命周期管理,严格控制终端随意使用USB存储设备来传递数据,跟踪移动存储介质的行为,实现对移动存储的可信管理;系统可对终端的例外设备及例外设备的终端进行删减。
· 外设管理
工控主机安全卫士可对计算机外设进行管理,可管理的外设种类包含光驱、刻录机、网卡、软驱、串口、并口、蓝牙等,可统一或单独设定终端设备的可用状态,方便管理。
· 终端自我防护
工控主机安全卫士具有强大的自我防护能力,支持程序防卸载、文件防删除、服务防关闭、进程防关闭等功能,可以通过各功能手段禁止用户的常规操作,以及误操作等情况发生,保障了终端计算机在工业环境中的安全运行。
1: 申请白名单变更 |
2: 申请USB例外设备 |
3: 申请卸载终端 |
4: 消息盒子 |
5: 关闭窗口 |
|
图1-2 控制台页面
1: 功能导航栏 |
2: 页面内容 |
3:账号设置 |
4:消息盒子 |
5:关闭页面 |
|
客户端可交互的页面分为两部分:申请页面与管理员登录页面,软件打开后会默认进入申请页面。
页面样式如图:
图2-1 软件打开的默认页面
通过客户端可以发起白名单变更申请,重新生成本地白名单,或将特定文件加白。具体操作流程如下:
(1) 在申请页面点击白名单申请选项,页面上会弹出白名单变更申请窗口。
图2-2 白名单变更申请
(2) 本页面需填写的信息及详细说明,参见下方表格:
表2-1 白名单变更申请信息填写
名称 |
说明 |
申请人 |
该终端的使用者 |
申请类型 |
拓展白名单或生成新的白名单 |
白名单类型 |
普通白名单:上传PE文件。通配符白名单:录入通配符 |
白名单项 |
根据白名单类型的选择,在这里上传文件或者录入通配符 |
申请原因 |
录入申请原因,100字以内 |
(3) 信息录入完成后点击申请按钮,即可提交申请。
通过客户端可以发起USB存储设备添加例外申请,将USB设备添加信任。具体操作流程如下:
(1) 在申请页面点击USB存储设备添加例外申请选项,页面上会弹出USB存储设备申请窗口。
图2-3 USB存储设备申请
(2) 本页面需填写的信息及详细说明,参见下方表格:
表2-2 USB存储设备申请信息填写
名称 |
说明 |
申请人 |
该终端的使用者 |
设备名称 |
录入设备的名称,如“王大雄的U盘“ |
存储设备 |
选择要添加例外设备的U盘,通过刷新按钮可以刷新当前设备列表 |
申请原因 |
录入申请原因,100字以内 |
(3) 信息录入完成后点击申请按钮,即可提交申请。
通过客户端提出终端卸载申请,等待管理员通过之后即可自动卸载。具体操作流程如下:
(1) 在申请页面点击终端卸载申请选项,页面上会弹出终端卸载申请窗口。
图2-4 终端卸载申请
(2) 本页面需填写的信息及详细说明,参见下方表格:
表2-3 终端卸载申请信息填写
名称 |
说明 |
申请人 |
该终端的使用者 |
申请原因 |
录入申请原因,100字以内 |
(3) 信息录入完成后点击申请按钮,即可提交申请。
通过客户端申请页面右侧的白色箭头,可以跳转至管理员登录页面。输入用户名密码即可登录。
新账户首次登录后会强制要求用户修改登录密码,以保证账户的安全性。
登录后十五分钟不进行任何操作,系统将对账户进行自动登出操作,以保证系统的安全性。
管理端操作需要在登录页面通过用户名密码进行登录,我们根据不同的账户类型,限定了不同的角色所拥有的操作权限。当前系统用户分为以下三种角色:
· 超级管理员:拥有系统的所有权限
· 终端管理员:拥有终端管理以及审批管理权限(不包括终端分组管理)。可对负责的终端进行管理,并且审批管理终端上报的申请。
· 日志审计员:拥有日志管理权限。可对管理员操作日志以及终端运行日志进行管理。
超级管理员拥有所有权限,包含终端管理员与日志管理员所拥有的权限,在此对超级管理员独有的功能权限进行说明
模块说明:在本模块可以进行上传新的升级包、升级包编辑、升级包删除、查看升级包信息、以及导出升级包信息等操作。
(1) 上传新升级包
a. 点击上传新包按钮,弹出上传窗口
图3-1 点击上传新包
b. 选择升级包,录入描述内容,并点击确定按钮。
图3-2 上传新包窗口
c. 上传成功后,会显示在列表中
图3-3 升级包列表
(2) 编辑升级包描述
a. 点击编辑按钮,弹出升级包编辑窗口
图3-4 编辑按钮
b. 录入更新说明,并点击确定按钮以修改描述
图3-5 编辑按钮
c. 修改完成后,将显示在列表中
图3-6 升级包列表
(3) 删除升级包
a. 点击删除按钮,弹出升级包删除提示窗
图3-7 升级包删除按钮
b. 点击确定按钮,以删除升级包
图3-8 升级包删除提示窗
(4) 删除升级包
a. 点击查看按钮,弹出升级包查看窗口
图3-9 升级包查看按钮
b. 点击关闭按钮,以返回上级页面
图3-10 升级包查看窗口
模块说明:在本模块可以进行更换许可证、增量授权、复制机器码等操作。
图3-11 许可证管理页面
模块说明:在本模块可以对用户账户进行管理、如新增、删除、启用、禁用等操作。
(1) 新建用户
a. 点击新建用户按钮,弹出新建用户窗口
图3-12 新建用户按钮
b. 填写相关信息,并点击提交按钮
图3-13 新建用户窗口
c. 用户创建后将显示在列表中
图3-14 用户列表
(2) 重置密码
a. 点击重置密码按钮,弹出重置密码提示窗
图3-15 重置密码按钮
b. 点击确认按钮将所选账户密码重置
图3-16 重置密码提示窗
(3) 状态编辑
a. 点击状态编辑按钮,弹出状态编辑窗口
图3-17 状态编辑按钮
b. 选择变更的状态后,点击确定按钮,将所选账户的状态进行变更
图3-18 状态编辑窗口
(4) 用户查询
a. 根据输入的筛选条件对用户列表进行查询
图3-19 用户查询
(5) 编辑用户
a. 点击编辑按钮,弹出编辑用户窗口
图3-20 编辑按钮
b. 修改用户信息,并点击提交按钮
图3-21 编辑用户窗口
c. 用户信息编辑后将显示在列表中
图3-22 用户列表
(6) 删除用户
a. 点击删除按钮,弹出删除用户窗口
图3-23 删除按钮
b. 点击确定以完成删除操作
图3-24 删除用户窗口
(7) 导出用户列表
a. 点击导出按钮,弹出路径选择框
图3-25 导出按钮
b. 选择路径后点击保存按钮,以生成文件
图3-26 路径选择框
模块说明:在本模块可以对系统配置进行调整,如密码复杂度,登录安全配置,备份配置等内容。
图3-27 系统配置
模块说明:在本模块可以对终端分组进行查询、新建、删除、修改等管理操作。
(1) 分组查询
通过关键字对分组列表进行筛选
图3-28 分组查询
(2) 新建分组
点击分组列表中的新建按钮,创建新分组
图3-29 新建分组
(3) 删除分组
点击分组后的删除按钮,删除当前分组
图3-30 删除分组
(4) 更换终端分组
选择终端并点击更换分组按钮,以更换分组
图3-31 更换分组
终端管理员可以进行终端策略修改,终端申请审批等操作。详细操作说明如下:
模块说明:在本模块可对终端进行集中的管理,包括激活、禁用、升级等操作。下面逐一进行说明:
(1) 终端信息查询
通过关键字对终端列表进行筛选
图3-32 终端信息查询
(2) 终端升级
a. 选择终端,并点击升级按钮
图3-33 升级按钮
b. 在弹出的窗口中选择升级包,并点击确定以升级到指定版本。
图3-34 终端升级功能
(3) 终端卸载
a. 选择终端,并点击卸载按钮
图3-35 终端卸载按钮
b. 弹出卸载确认窗口,点击确认以卸载终端
图3-36 终端卸载功能
(4) 终端激活
a. 选择终端,并点击激活按钮
图3-37 终端激活按钮
b. 弹出激活确认框,并确定以激活终端
图3-38 终端激活确认
(5) 终端禁用
a. 选择终端,并点击禁用按钮
图3-39 终端禁用按钮
b. 弹出禁用确认框,点击确定按钮禁用该终端
图3-40 终端禁用按钮
。
(6) 查看终端信息
a. 点击查看按钮,弹出终端扩展信息展示框
图3-41 查看按钮
b. 信息展示框中包括系统版本、系统类别、mac地址等设备关键信息,同时会展示卸载码,可通过卸载码对终端进行卸载操作
图3-42 扩展信息展示
模块说明:在本模块可对终端分组策略统一进行配置,包括全局策略配置调整、终端自我防护配置调整、白名单策略配置调整、USB存储设备策略调整、外设策略调整。下面逐一进行说明:
(1) 全局策略开关
通过此开关可以对所有配置是否生效进行控制(包括终端自我防护配置、白名单策略配置、USB存储设备策略配置、外设策略配置等)
图3-43 全局策略开关
(2) 终端自我防护配置
通过此项配置,可对终端自我防护功能进行调整。(其中包含进程防关闭、文件防删除)
图3-44 终端自我防护配置
(3) 白名单策略配置
a. 通过此项配置,可对白名单策略配置选项进行调整。(其中包括功能开关,组白名单维护,移除白名单)
图3-45 白名单策略配置
b. 运行模式调整:白名单共有两种运行模式。执行:拦截并记录。观察:仅记录不拦截。
图3-46 白名单运行模式
c. 通过组白名单维护功能,可以对组白名单进行新增,删除,分发等操作
图3-47 组白名单维护功能
d. 通过移除白名单项功能,可以对精准路径、或通配符的形式移除本地白名单。
图3-48 移除白名单功能
(4) USB存储设备策略
a. 通过此本功能可以对USB存储策略配置进行调整。(如策略开关、运行模式、例外设备管理等)
图3-49 USB存储设备策略
b. 例外设备管理功能(对当前处于例外设备列表中的USB设备进行管理)
图3-50 例外设备管理
(5) 外设配置管理
通过本功能对外设策略配置进行管理。(各种外设是否可以使用,以及策略总开关)
图3-51 外设配置管理
模块说明:本功能可对终端白名单申请进行审批和分发的操作,详细操作如下
(1) 待审批模块
通过本模块,可对待审批的内容进行查询、审批操作
图3-52 待审批模块
(2) 已审批模块
通过本模块,可对已审批的内容进行查询、分发操作
图3-53 已审批模块
模块说明:在本功能可对终端USB例外设备申请进行审批和分发操作,详细操作说明如下:
(1) 待审批模块
通过本模块,可对待审批的内容进行查询、审批操作
图3-54 待审批模块
(2) 已审批模块
通过本模块,可对已审批的内容进行查询、分发操作
图3-55 已审批模块
模块说明:在本功能可对终端卸载申请进行审批和查看的操作,详细操作说明如下:
(1) 待审批模块
通过本模块,可对待审批的内容进行查询、审批操作
图3-56 待审批模块
(2) 已审批模块
通过本模块,可对已审批的内容进行查询操作
图3-57 已审批模块
日志审计员可以对终端日志及管理员日志进行查看、编辑、导出等操作,详细操作说明如下:
模块说明:显示所有用户的操作日志。(包括登录、登出、导出、新建、修改等等)
(1) 查询(根据搜索框提示进行查询)
通过录入的关键字、操作类型、功能名称、创建时间等信息,对日志列表进行检索查询
图3-58 查询功能
(2) 删除(可同时删除多条日志)
通过删除功能对日志进行删除操作(本功能会产生日志记录)
图3-59 删除功能
(3) 导出日志文件
将日志列表导出为Excel格式文件
图3-60 导出功能
模块说明:显示本服务器下所有通讯终端的申请日志、外设日志、USB存储设备日志、白名单拦截日志、终端升级日志等信息。。
(1) 查询(根据搜索框提示进行查询)
通过录入的关键字、IP地址、类型、结果、创建时间等信息对下方列表进行检索查询
图3-61 查询功能
(2) 删除(可同时删除多条日志)
通过删除功能对日志进行删除操作(本功能会产生日志记录)
图3-62 删除功能
(3) 导出日志文件
将日志列表导出为Excel格式文件
图3-63 导出功能
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!