主機白名單管理軟件
一、 概述
主機白名單管理軟件提供了進程可信白名單、移動存儲管理、訪問控制、文件完整性保護、系統(tǒng)基線等實用功能,只允許操作系統(tǒng)運行受信任的對象,能有效的防止未知惡意程序(病毒、木馬及其變種)的運行。從而實現(xiàn)從啟動、加載到持續(xù)運行過程全生命周期的安全保障,它尤其適用于車道控制器服務器工控環(huán)境,能為車道控制服務器提供全面的安全管理、檢測、防御和安全加固。
二、 功能實現(xiàn)
主機白名單管理軟件是由客戶端軟件和管理端軟件兩部分組成的系統(tǒng),在車道控制服務器上部署客戶端軟件,在總中心上部署管理軟件進行統(tǒng)一管理。
1 客戶端功能說明
1.1 登錄
1、使用正確有效的一次性口令(只允許使用機器碼生成的設(shè)備)進行登錄;登錄成功后,按照設(shè)置的可操作項進行操作;
2、登錄成功后,顯示可用時間倒計時;
3、可信白名單:工具中的新增、掃描(上報權(quán)限)一次性口令登錄成功后,可操作功能的開閉;;
4、移動存儲功能:工具中的添加(上報權(quán)限);登錄成功后,可操作功能的開閉;
5、網(wǎng)絡訪問控制:工具中的新增策略(上報權(quán)限);登錄成功后,可操作功能的開閉;
6、文件防篡改:工具中的新增策略(上報權(quán)限);登錄成功后,可操作功能的開閉;
7、運行退出:登錄成功后,可操作客戶端軟件退出;
8、運行安裝新進程:登錄成功后,輸入正確的一次口令、進程名、指紋、大小、校驗碼后,可直接把進程添加到客戶端白名單庫中;安裝完添加的軟件程序后,自動把此軟件釋放的所有進程加到白名單庫;把添加進程的指紋信息主動上報給服務器;根據(jù)設(shè)置是否把安裝軟件釋放的所有進程是否上報給服務器;
9、允許卸載:登錄成功后,可不需要安全管理員審核成功即可卸載客戶端軟件;
1.2 程序白名單
1、頁面展示功能開啟情況、進程名、大小、進程指紋、來源等;
2、支持刷新功能;
3、支持對列表進行排序、拖動功能;
4、工具:新增、掃描功能,掃描可針對正在運行的進程或選擇盤符進行掃描;對掃描出的進程可進行上報服務器操作;
5、告警、學習、審計數(shù)據(jù)自動上報給服務器;
1.3 移動存儲管理
1、頁面展示功能開啟情況、PID、VID、SN、設(shè)備標簽、設(shè)備種類等;
2、支持刷新功能;
3、支持對列表進行排序、拖動功能;
4、工具:添加功能,添加可針對在未開啟保護模式前已使用的移動存儲設(shè)備或手動添加的移動存儲設(shè)備信息,進行上報服務器處理;
5、告警數(shù)據(jù)、審計數(shù)據(jù)主動、學習數(shù)據(jù)主動上報給服務器;
1.4 網(wǎng)絡訪問控制策略(網(wǎng)絡白名單)
1、頁面展示功能開啟情況、規(guī)則類型、協(xié)議類型、訪問方向、IP類型、本地IP/范圍、本地端口/范圍、目標IP/范圍、目標端口/范圍、進程信息等;
2、支持刷新功能;
3、支持對列表進行排序、拖動功能;
5、工具:新增功能,對使用規(guī)則類型、協(xié)議類型、訪問方向、IP類型、本地IP/范圍、本地端口/范圍、目標IP/范圍、目標端口/范圍操作后的信息進行上報服務器處理;
6、告警數(shù)據(jù)、審計數(shù)據(jù)自動上報各級服務器,學習數(shù)據(jù)存儲在本地,支持手動上傳給服務器;
1.5 文件防篡改
1、頁面展示功能開啟情況、文件名、文件路徑、后綴名、進程名等;
2、支持刷新功能;
3、支持對列表進行排序、拖動功能;
4、工具:可支持使用選擇本機文件/目錄、手動填寫(文件全路徑信息),對列表顯示的信息進行上報服務器處理;
5、告警、審計數(shù)據(jù)自動上報給服務器;
1.6 操作系統(tǒng)基線
1、頁面展示策略ID、基線名稱、當前值、配置值等;
2、支持刷新功能;
1.7 日志
1、頁面展示各功能的審計日志信息;
2、支持刷新功能;
3、支持對列表進行排序、拖動功能;
4、支持對可信白名單、移動存儲管理、網(wǎng)絡訪問控制、文件防竄改生成的審計/告警日志進行批量上傳到終端上報中的功能;
5、支持對全局的模糊搜索功能;
6、各功能項產(chǎn)生的保護告警、審計信息自動上報給服務器;
2 管理端功能說明
管理端分為安全管理員、操作管理員、審計管理員,嚴格執(zhí)行
2.1 首頁顯示
首頁顯示當前安全告警信息、終端注冊數(shù)狀態(tài)分析、安全態(tài)勢記錄、待處理數(shù)據(jù)展示(操作管理員提交的數(shù)據(jù)、終端上報的數(shù)據(jù)),支持點擊后頁面跳轉(zhuǎn)到信息頁面;
頁面顯示數(shù)據(jù)正確;信息顯示完整;待審核數(shù)據(jù)默認顯示終端主動上報信息;
注冊;
2.2 注冊終端管理
? 終端列表
1、頁面展示所有已注冊終端信息,包含IP、MAC、計算機名稱、操作系統(tǒng)、組織架構(gòu)、注冊時間、同步狀態(tài)、安裝客戶端軟件狀態(tài)、描述信息、功能操作(修改、同步(服務器信息發(fā)生改變時)、模塊設(shè)置(對各功能項的開關(guān)模式進行操作)、同步失敗次數(shù)(默認同步間隔為15分鐘,三次同步失敗后,增加再次同步時間)等操作者;
2、支持批量操作模塊設(shè)置(支持復選終端主機列),可對選中的終端進行統(tǒng)一各功能項的開關(guān)模式進行設(shè)置;
3、支持批量同步。支持復選的終端主機進行統(tǒng)一下發(fā)更改信息;
? 注冊分組
1、頁面顯示操作管理員上報的功能分組審核提交信息,頁面顯示操作員電腦IP、MAC、操作功能項、白名單名稱、操作、詳情、審核狀態(tài)、操作(通過、拒絕)等信息;頁面顯示無異常;
2、支持操作審批分類顯示(審核中、通過、未通過),默認顯示審核中的數(shù)據(jù);
3、支持對IP、mac、功能項、白名單名稱、操作(增加、刪除、修改白名單組)等信息進行搜索;操作成功后,頁面顯示正確信息;
? 臨時口令
1、頁面顯示添加過的臨時口令數(shù)據(jù),包括機器特征碼、用戶名、使用時長、可操作的功能項、起始時間(允許開始使用的時間)、結(jié)束時間(最晚開始使用的截止時間)、一次性登錄密碼、狀態(tài)、允許安裝進程數(shù)量、操作(詳情、添加進程),臨時口令條目統(tǒng)計等;頁面顯示無異常;
2、支持數(shù)據(jù)狀態(tài)分類顯示(全部、審核中、通過、未通過),默認為全部顯示;
3、支持以用戶名進行全局搜索功能;
4、支持直接添加功能;填寫機器特征碼、用戶名、使用時長、可操作性功能項等進行添加生成一次性口令;客戶端上使用生成的一次性口令正常操作;
5、生成成功后,生成的一次性口令只能用于填寫機器碼來源的設(shè)備可進行使用;客戶端只能對設(shè)置時的功能項進行操作;
6、若沒有選擇允許添加程序功能,不用顯示添加進程按鈕;
2.3 工控功能分組
1、頁面展示各功能項的分組名稱,內(nèi)容包括組名、所屬功能分類、分組描述介紹、操作(刪除(名單下無內(nèi)容時)、可對名稱進行修改等操作)、白名單總數(shù)統(tǒng)計顯示等;頁面顯示無異常;
2、修改、刪除成功后,頁面顯示修改后的信息,并自動關(guān)聯(lián)到使用此策略名單庫的終端模塊設(shè)置中;
3、默認的分組名稱不可進行修改;
2.4 可信白名單
? 終端數(shù)據(jù)
1、頁面顯示所有終端的信息,包括客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)、名單中包含的進程數(shù)量、操作(查看詳情等信息;
2、展示總條目數(shù);
3、支持以客戶端IP、mac、計算機名稱進行查詢,支持模糊查詢;
4、支持導入功能;在客戶端主機系統(tǒng)、使用功能一致的情況下,選擇一臺已處理的主機條目,使用導入功能可將選擇主機的白名單信息同步給選擇的主機列表中;支持批量進行導入;導入成功后,自動把數(shù)據(jù)同步下發(fā)給客戶端;
5、頁面顯示無異常;
? 審核狀態(tài)
1、頁面數(shù)據(jù)為操作管理員提交需要審核數(shù)據(jù)的終端信息,內(nèi)容包括客戶端主機IP、MAC、操作系統(tǒng)、計算機名稱、組織架構(gòu)、需要處理的數(shù)量信息、操作(查看詳情);
2、展示全部條目信息匯總;
3、支持使用客戶端IP、進行搜索,支持模糊搜索功能;
? 終端上報
1、頁面展示有上報數(shù)據(jù)的終端信息,信息為客戶端上報的需要處理的進程信息,包括客戶端IP、mac、操作系統(tǒng)、計算機名稱、組織架構(gòu)、需要處理的數(shù)量、操作(查看詳情);
2、展示總條目數(shù);
3、支持使用客戶端IP、mac、計算機名稱進行搜索,支持模糊搜索功能;搜索結(jié)果正確;
? 程序指紋庫
1、頁面展示所有終端主機上報的進程中已做通過審核的所有進行信息,內(nèi)容包括進程名、進程大小、指紋信息操作(刪除);
2、支持使用進程名稱、進程指紋進行模糊搜索
3、支持添加功能,彈出頁面輸入進行名稱、大小、指紋信息可進行提交添加;
4、刪除成功后,自動關(guān)聯(lián)到相應終端的白名單庫中;
5、頁面顯示無異常;
6、支持批量操作(刪除);
2.5 移動存儲管理
? 分組數(shù)據(jù)
1、頁面顯示所有終端的信息,包括客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)、名單中包含的進程數(shù)量、操作(查看詳情等信息;
2、展示總條目數(shù);
3、支持以客戶端IP、mac、計算機名稱進行查詢,支持模糊查詢;
4、支持導入功能;在客戶端主機系統(tǒng)、使用功能一致的情況下,選擇一臺已處理的主機條目,使用導入功能可將選擇主機的白名單信息同步給選擇的主機列表中;支持批量進行導入;導入成功后,自動把數(shù)據(jù)同步下發(fā)給客戶端;
5、頁面顯示無異常;
? 審核狀態(tài)
1、頁面數(shù)據(jù)為操作管理員提交需要審核數(shù)據(jù)的終端信息,信息為使用操作員進行提交需要審核的數(shù)據(jù)信息。內(nèi)容包括客戶端主機IP、MAC、操作系統(tǒng)、計算機名稱、組織架構(gòu)、需要處理的數(shù)量信息、操作(查看詳情);
2、展示全部條目信息匯總;
3、支持使用客戶端IP、進行搜索,支持模糊搜索功能;
? 終端上報
1、頁面顯示有上報數(shù)據(jù)的終端信息,內(nèi)容包括客戶端主機IP、MAC、操作系統(tǒng)、計算機名稱、組織架構(gòu)、需要處理的數(shù)量信息、操作(查看詳情);
2、展示全部條目信息匯總;
3、支持使用客戶端IP、進行搜索,支持模糊搜索功能;
2.6 網(wǎng)絡訪問控制
? 分組數(shù)據(jù)
1、頁面顯示所有終端的信息,包括客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)、名單中包含的進程數(shù)量、操作(查看詳情等信息;
2、展示總條目數(shù);
3、支持以客戶端IP、mac、計算機名稱進行查詢,支持模糊查詢;
4、支持導入功能;在客戶端主機系統(tǒng)、使用功能一致的情況下,選擇一臺已處理的主機條目,使用導入功能可將選擇主機的白名單信息同步給選擇的主機列表中;支持批量進行導入;導入成功后,自動把數(shù)據(jù)同步下發(fā)給客戶端;
5、頁面顯示無異常;
? 審核狀態(tài)
1、頁面數(shù)據(jù)為有操作管理員提交需要審核數(shù)據(jù)的終端信息,包括客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)、名單中包含的數(shù)量、操作(查看詳情)等信息;頁面顯示無異常;
2、展示總條目數(shù);
3、支持使用客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)進行模糊搜索;
? 終端上報
1、頁面展示有上報數(shù)據(jù)的終端信息,包括客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)、名單中包含的數(shù)量、操作(查看詳情)等信息;頁面顯示無異常;
2、展示總條目數(shù);
3、支持使用客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)進行模糊搜索;
2.7 文件防篡改
? 分組數(shù)據(jù)
1、頁面展示所有終端數(shù)據(jù),內(nèi)容包括客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)、名單中包含的數(shù)量、操作(查看詳情)等信息;頁面顯示無異常;
2、支持使用客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)進行模糊搜索;
? 審核狀態(tài)
1、頁面數(shù)據(jù)有操作員提交需要審核數(shù)據(jù)的有終端信息,內(nèi)容包括客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)、名單中包含的數(shù)量、操作(查看詳情)等信息;頁面顯示無異常;
2、支持使用客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)進行模糊搜索;
? 終端上報
1、頁面展示有上報數(shù)據(jù)的終端信息,內(nèi)容包括客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)、名單中包含的數(shù)量、操作(查看詳情)等信息;頁面顯示無異常;
2、支持使用客戶端IP、mac、計算機名稱、操作系統(tǒng)信息、組織架構(gòu)進行模糊搜索;
2.8 操作系統(tǒng)基線
? 分組數(shù)據(jù)
1、頁面顯示所有所有策略組,展示模板名稱、描述、策略數(shù)量、創(chuàng)建時間修改時間、操作(查看詳情、修改、導出、刪除)等;
2、支持導入、添加功能;導入直接從頁面進行導入。添加為選擇需要執(zhí)行的策略項,可進行自定義各項策略;支持自定義名稱、描述信息;
3、修改成功后,自動關(guān)聯(lián)到使用此策略組的終端中;
4、展示總條目數(shù);
5、支持使用模板名稱、描述進行模糊搜索;
? 審核狀態(tài)
1、頁面展示模板名稱、描述、創(chuàng)建時間、修改時間、操作類型、審核狀態(tài)、操作(查看詳情、通過、不通過)等;
2、支持使用模板名稱、時間范圍、操作類型基線模糊搜索;
3、查看詳情彈出新頁面,內(nèi)容為策略組的詳細信息,包括包含的規(guī)則、規(guī)則名稱、狀態(tài)、操作等信息;
4、通過成功后,自動關(guān)聯(lián)到使用策略組的終端中;
2.9 終端文件分發(fā)
? 分組數(shù)據(jù)
1、頁面展示所有分組信息,內(nèi)容包含分組名、分組描述介紹、名單中內(nèi)容數(shù)量、操作(查看詳情);
2、展示總條目數(shù);
3、支持使用分組名稱、分組描述介紹進行模糊搜索;
? 審核狀態(tài)
1、頁面展示的為使用操作管理員賬戶提交需要審核的信息,內(nèi)容包括軟件名、軟件大小、處理方式、執(zhí)行權(quán)限、命令行、上傳時間、分組名、操作類型、審核狀態(tài)、操作(通過、不通過)等信息;
2、支持使用軟件名、軟件大小、處理方式、執(zhí)行權(quán)限、時間范圍等進行搜索,支持模糊搜索功能;
3、點擊通過后,自動關(guān)聯(lián)到使用此名單的終端中;
4、展示總條目數(shù);