工控安全

主机安全加固系统

主机安全加固系统是一款综合运用安全标记、访问控制、完整性保护等多层次立体式防护手段，弥补工业控制系统中通用操作系统安全性不高等固有缺陷的内核级跨平台安全加固产品。通过扩展操作系统的安全子系统，防范外部的渗透攻击，预防内部的主动泄密，解决现实世界面临的恶意代码执行、越权访问等各种异常行为，弥补传统信息安全解决方案在主机层的安全短板，提升操作系统整体的安全保护能力，满足国家等级保护的安全技术要求。

主机安全加固系统支持全系列Windows操作系统和主流Linux操作系统，产品适用于SCADA、DCS、PCS、PLC等工业控制系统中的各类终端设备，已被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统。

主要功能

身份认证

设备管理：设置硬件USBKey设备的用户名称，安全事件追踪到指定责任人。

口令重置：在硬件USBKey设备因口令错误锁定后，进行口令重置等操作后恢复使用。

用户绑定：将硬件USBKey设备与操作系统内的用户关联，一个设备仅能关联一个用户，且只有关联的用户才允许登录。

登录增强：操作系统用户在登录系统、解锁系统、切换用户等操作时，必须验证USBKey设备口令通过后，才能进行密码验证，实现登录等功能。

进程安全

程序白名单：禁止白名单以外的可执行文件、脚本文件运行，产生安全事件。

完整性检查：通过证书、校验值等确认程序的完整性，从而阻止被病毒感染、篡改的程序运行。

信任路径：允许信任路径内的可执行文件运行，方便系统运行必备的程序临时执行等。

信任进程：允许信任进程执行，其调用的子进程允许执行，方便执行权限的继承使用等。

网络安全

网络防火墙：开启防火墙，严格限制网络入栈请求，防范开放过多的端口后因系统级漏洞带来安全隐患。

网络访问例外：通过例外规则设置，允许操作系统内正常业务的网络连接请求等。

SYN攻击保护：保护操作系统不受SYN Flood攻击。

主机策略

安全策略配置：支持对操作系统的密码策略、日志策略、审核策略等安全策略的配置。

安全远程连接：限制通过远程连接登录的用户名称、IP地址、登录时间等，在保证维护便利性的前提下，提高远程登录安全性。

外设管理

普通U盘注册：接入操作系统的普通U盘无法访问，通过设备注册后，才能使用。可以限制U盘只读使用、读写使用、读写执行使用等，使用权限可以灵活切换。

普通U盘注销：将已注册的设备注销后，将无法在操作系统内使用，需要使用时必须重新进行注册。

文件安全

强制访问控制：通过设置主体及其标识、客体及其标识，依据标记、安全策略严格控制主体对客体的操作。

文件保护：设置受保护的文件或目录，仅允许对受保护的文件或受保护目录内的文件的读取操作，禁止对其进行修改或删除等。

安全审计

安全事件日志：非白名单进程运行、USB设备接入拔出、访问控制、防火墙、管理员操作等均会产生安全事件。

安全事件审计：安全事件的记录加密存储，不可删除、不可篡改。