産品特點

可信

“可信”即以可信認證爲基礎，構建一(yī)個可信的業務系統執行環境，即平台、程序、進程都是可信的，确保病毒無法執行、入侵行爲無法成功。可信的環境保證業務系統永遠都按照設計預期的方式執行，不會出現非預期的流程，從而保漳了(le)業務系統安全可信。

執行程序可信

基于可信計算(suàn)技術，采用白名單機制，提供執行程序可信度量，阻止非授權及不符合預期的執行程序運行，實現對已知／未知惡意代碼的主動防禦，降低(dī)操作(zuò)系統完整性及可用性被破壞的風險。

惡意代碼防禦

提供基于可信計算(suàn)技術的惡意代碼防禦機制，對執行程序進行可信檢測，确保惡意程序或與業務無關的程序無法在服務器(qì)中運行。

可信目錄标識

保障系統安全前提下(xià)也(yě)需要易用性，構建可信目錄模塊可以保證運行某些(xiē)程序時産生(shēng)的臨時文件的正常運行，通過路(lù)徑識别将可信目錄下(xià)的所有進程版時加入白名單。

可控

“可控”即以IP、端口訪問控制技術爲核心，實現遠程登錄控制。同時基千白名單技術，實現對程序的運行控制。保證所有的執行操作(zuò)行爲均在可控範圍之内進行，在防範内部攻擊的同時有效防止了(le)從外部發起的攻擊行爲。對核心進程，關鍵目錄進行防護，可以确保系統中的核心資源不被篡改，保證了(le)核心資源的安全可控。

強制訪問控制

本産品提供基于BLP模型的強制訪問控制，BLP模型的基本安全策略是 “上(shàng)讀下(xià)寫＂，安全策略保證了(le)數據流向中的所有數據隻能(néng)按照安全級别從低(dī)到高的流向流動，從而保證了(le)敏感數據不洩露。

關鍵目錄保護

對關鍵目錄提供基于文件級的目錄保護機制，提供關鍵目錄的專項保護策略，防止目錄及其下(xià)的文件（夾）被惡意類改，防止目錄内容的添加及修改。保證關鍵目錄的正常訪問。

外設存儲控制

提供移動介質授權管理(lǐ)，移動介質在使用前均須經過授權；禁止非授權外設存儲的接入。有效防止由于非授權移動存儲接入而産生(shēng)的攻擊。

網絡通信控制

按照等保2.0的要求提供基于IP，端口，協議的多維網絡通信控制，提供網絡訪問控制，IP白名單和IP黑名單三種控制規則。

可管

“可管”即通過構建集中管控、最小權限管理(lǐ)與三權分(fēn)立的管理(lǐ)平台，爲管理(lǐ)員創建一(yī)個丁作(zuò)平台，使其可以進行技術平台支撐下(xià)的安全策略管理(lǐ)，從而保證信息系統安全可管。

節點管理(lǐ)

節點管理(lǐ)模塊是給系統管理(lǐ)人(rén)員提供—個節點資産維護的統一(yī)視角，通過該模塊，運維人(rén)能(néng)夠方便的查看某台主機服務器(qì)名稱、操作(zuò)系統、在線狀态、位置、資産标簽等信息，同時平台可提供對主機資産的統計管理(lǐ)。

文件分(fēn)發

爲方便系統内文件分(fēn)發，建立文件分(fēn)發模塊該模塊可通過管理(lǐ)中心，将文件或目錄下(xià)發到各個被加固終端，并将可執行程序自動加入白名單内。告警日志的功能(néng)。

安全狀态展示

提供對整體環境的安全現狀展示，展示數據動态實時更新(xīn)。提供注冊資産總數、異常資産總數等資産信息，最新(xīn)安全事(shì)件及詳細信息、待辦安全事(shì)項、持續攔截威脅總數等信息。爲整體運行環境安全風險分(fēn)析提供參考。

安全審計

本産品提供操作(zuò)系統審計功能(néng)，審計内容包括：提供用戶登錄審計、程序運行控制審計、文件訪問控制審計等同時支持日志的檢索和導出功能(néng)。系統還提供了(le)向特定郵箱發送告警曰志的功能(néng)。