云涌主机安全加固系统
产品概述
本产品从保障服务器橾作系统安全的角度出发,以可信计算为基础、访间控制为核心,围绕“可信、可控、可管”三个维度构建服务器主动防御体系,从源头上保证服务器安全。
产品在安装部署后,提供操作系统内核级加固、核心进程防护、关键目录保护等安全机制,逐步建立完善的服务器操作系统级安全管理体系,给予服务器主动防御的能力,保障服务器的运行安全、数据安全及安全管理,为服务器提供全面的安全防护。
产品特点
可信
“可信”即以可信认证为基础,构建一个可信的业务系统执行环境,即平台、程序、进程都是可信的,确保病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保漳了业务系统安全可信。
执行程序可信
基于可信计算技术,采用白名单机制,提供执行程序可信度量,阻止非授权及不符合预期的执行程序运行,实现对已知/未知恶意代码的主动防御,降低操作系统完整性及可用性被破坏的风险。
恶意代码防御
提供基于可信计算技术的恶意代码防御机制,对执行程序进行可信检测,确保恶意程序或与业务无关的程序无法在服务器中运行。
可信目录标识
保障系统安全前提下也需要易用性,构建可信目录模块可以保证运行某些程序时产生的临时文件的正常运行,通过路径识别将可信目录下的所有进程版时加入白名单。
可控
“可控”即以IP、端口访问控制技术为核心,实现远程登录控制。同时基千白名单技术,实现对程序的运行控制。保证所有的执行操作行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对核心进程,关键目录进行防护,可以确保系统中的核心资源不被篡改,保证了核心资源的安全可控。
强制访问控制
本产品提供基于BLP模型的强制访问控制,BLP模型的基本安全策略是 “上读下写",安全策略保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动,从而保证了敏感数据不泄露。
关键目录保护
对关键目录提供基于文件级的目录保护机制,提供关键目录的专项保护策略,防止目录及其下的文件(夹)被恶意类改,防止目录内容的添加及修改。保证关键目录的正常访问。
外设存储控制
提供移动介质授权管理,移动介质在使用前均须经过授权;禁止非授权外设存储的接入。有效防止由于非授权移动存储接入而产生的攻击。
网络通信控制
按照等保2.0的要求提供基于IP,端口,协议的多维网络通信控制,提供网络访问控制,IP白名单和IP黑名单三种控制规则。
可管
“可管”即通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个丁作平台,使其可以进行技术平台支撑下的安全策略管理,从而保证信息系统安全可管。
节点管理
节点管理模块是给系统管理人员提供—个节点资产维护的统一视角,通过该模块,运维人能够方便的查看某台主机服务器名称、操作系统、在线状态、位置、资产标签等信息,同时平台可提供对主机资产的统计管理。
文件分发
为方便系统内文件分发,建立文件分发模块该模块可通过管理中心,将文件或目录下发到各个被加固终端,并将可执行程序自动加入白名单内。告警日志的功能。
安全状态展示
提供对整体环境的安全现状展示,展示数据动态实时更新。提供注册资产总数、异常资产总数等资产信息,最新安全事件及详细信息、待办安全事项、持续拦截威胁总数等信息。为整体运行环境安全风险分析提供参考。
安全审计
本产品提供操作系统审计功能,审计内容包括:提供用户登录审计、程序运行控制审计、文件访问控制审计等同时支持日志的检索和导出功能。系统还提供了向特定邮箱发送告警曰志的功能。