|
从“震网病毒(Stuxnet)”面世以来,能源、电力、交通和制造行业出现了大量影响范围较大的恶意攻击事件,如何构建主机安全环境已成为企业以及国家安全所面临的严峻挑战,受到越来越多的企业及政府重视。
目前的主流方案有以下几种:
注:零日漏洞(0day)通常是指还没有补丁的安全漏洞,从该漏洞被检测到系统被修改完善期间,系统是处于风险之中的。
1、进程黑白名单
进程黑白名单是通过HOOK函数监控和拦截进程创建过程来控制程序是否可以运行的技术。
因为这种技术是以进程名称(文件名)或进程路径为判断标识的,所以不管是修改文件名称还是修改文件内容,控制系统都不会识别,无法有效防止恶意软件,存在一定的风险和漏洞。
2、文件白名单
文件白名单是一种安全方法,通过计算文件的哈希值,定义文件的白名单列表,对白名单列表中的文件允许加载执行,对非白名单列表中的文件阻止加载执行。确保该操作系统不加载已被修改的文件,防止恶意代码(也称为恶意软件)在系统上执行。
例如当黑客或恶意软件将一个文件添加到计算机中并运行它时,文件白名单机制会阻止其运行。通过这种方式保护系统,防止零日漏洞(0day)的威胁。
而文件白名单系统又分为单机版和网络版,各自特点如下表:
关于内控王文件白名单系统
内控王文件白名单系统采用了文件白名单(网络版)的机制,它能够确保只有授权的应用程序(例如程序、软件库、脚本和安装程序)才能执行,对操作系统中重要的文件进行完整性保护,构建出一个严格受控的主机安全环境。即使恶意代码利用漏洞获取了系统的权限,也不能破坏系统文件和植入木马,降低了从“零日漏洞”发现到用户打上补丁之间这段“真空期”的安全风险,同时允许用户延迟补丁部署,推迟到定期修补周期进行修补。
产品特点
有效阻止非法程序运行
内控王文件白名单的防护机制,可以识别、阻止任何白名单外的程序运行,对通过网络、U盘等传入系统的病毒、恶意程序以及木马具有阻止运行、阻止传播、分析识别的能力,保障终端、服务器等重要设备安全稳定运行。虽然文件白名单的主要目的是防止恶意代码的执行和传播,但它同时也可以防止安装或使用未经授权的应用程序和软件。
业务运行“0影响”
区别于对文件加载速度影响较大的HOOK方式,内控王文件白名单采用了先进的Windows底层文件驱动技术阻止恶意代码执行,具备良好的系统兼容性,对主机资源占用小,对系统的监控软件和组态软件等正常使用“0影响”。
统一管理、集中管控
内控王文件白名单采用灵活便捷的网络版模式。
集中采集:具有相同生产环境的终端可批量采集,将数据传回服务器后统一建立白名单库。支持多类型采集库,可以依照操作系统版本或业务软件类型建立白名单库;
集中更新:新安装的程序可以随时采集并添加到白名单库中,管理员根据主机的实际需求灵活设置和更新策略。
告警日志:在管理端可统一查看告警日志,分析终端用户行为。
|
