主机白名单管理软件
一、 概述
主机白名单管理软件提供了进程可信白名单、移动存储管理、访问控制、文件完整性保护、系统基线等实用功能,只允许操作系统运行受信任的对象,能有效的防止未知恶意程序(病毒、木马及其变种)的运行。从而实现从启动、加载到持续运行过程全生命周期的安全保障,它尤其适用于车道控制器服务器工控环境,能为车道控制服务器提供全面的安全管理、检测、防御和安全加固。
二、 功能实现
主机白名单管理软件是由客户端软件和管理端软件两部分组成的系统,在车道控制服务器上部署客户端软件,在总中心上部署管理软件进行统一管理。
1 客户端功能说明
1.1 登录
1、使用正确有效的一次性口令(只允许使用机器码生成的设备)进行登录;登录成功后,按照设置的可操作项进行操作;
2、登录成功后,显示可用时间倒计时;
3、可信白名单:工具中的新增、扫描(上报权限)一次性口令登录成功后,可操作功能的开闭;;
4、移动存储功能:工具中的添加(上报权限);登录成功后,可操作功能的开闭;
5、网络访问控制:工具中的新增策略(上报权限);登录成功后,可操作功能的开闭;
6、文件防篡改:工具中的新增策略(上报权限);登录成功后,可操作功能的开闭;
7、运行退出:登录成功后,可操作客户端软件退出;
8、运行安装新进程:登录成功后,输入正确的一次口令、进程名、指纹、大小、校验码后,可直接把进程添加到客户端白名单库中;安装完添加的软件程序后,自动把此软件释放的所有进程加到白名单库;把添加进程的指纹信息主动上报给服务器;根据设置是否把安装软件释放的所有进程是否上报给服务器;
9、允许卸载:登录成功后,可不需要安全管理员审核成功即可卸载客户端软件;
1.2 程序白名单
1、页面展示功能开启情况、进程名、大小、进程指纹、来源等;
2、支持刷新功能;
3、支持对列表进行排序、拖动功能;
4、工具:新增、扫描功能,扫描可针对正在运行的进程或选择指定盘符进行扫描;对扫描出的进程可进行上报服务器操作;
5、告警、学习、审计数据自动上报给服务器;
1.3 移动存储管理
1、页面展示功能开启情况、PID、VID、SN、设备标签、设备种类等;
2、支持刷新功能;
3、支持对列表进行排序、拖动功能;
4、工具:添加功能,添加可针对在未开启保护模式前已使用的移动存储设备或手动添加的移动存储设备信息,进行上报服务器处理;
5、告警数据、审计数据主动、学习数据主动上报给服务器;
1.4 网络访问控制策略(网络白名单)
1、页面展示功能开启情况、规则类型、协议类型、访问方向、IP类型、本地IP/范围、本地端口/范围、目标IP/范围、目标端口/范围、进程信息等;
2、支持刷新功能;
3、支持对列表进行排序、拖动功能;
5、工具:新增功能,对使用规则类型、协议类型、访问方向、IP类型、本地IP/范围、本地端口/范围、目标IP/范围、目标端口/范围操作后的信息进行上报服务器处理;
6、告警数据、审计数据自动上报各级服务器,学习数据存储在本地,支持手动上传给服务器;
1.5 文件防篡改
1、页面展示功能开启情况、文件名、文件路径、后缀名、进程名等;
2、支持刷新功能;
3、支持对列表进行排序、拖动功能;
4、工具:可支持使用选择本机文件/目录、手动填写(文件全路径信息),对列表显示的信息进行上报服务器处理;
5、告警、审计数据自动上报给服务器;
1.6 操作系统基线
1、页面展示策略ID、基线名称、当前值、配置值等;
2、支持刷新功能;
1.7 日志
1、页面展示各功能的审计日志信息;
2、支持刷新功能;
3、支持对列表进行排序、拖动功能;
4、支持对可信白名单、移动存储管理、网络访问控制、文件防窜改生成的审计/告警日志进行批量上传到终端上报中的功能;
5、支持对全局的模糊搜索功能;
6、各功能项产生的保护告警、审计信息自动上报给服务器;
2 管理端功能说明
管理端分为安全管理员、操作管理员、审计管理员,严格执行三权分立
2.1 首页显示
首页显示当前安全告警信息、终端注册数状态分析、安全态势记录、待处理数据展示(操作管理员提交的数据、终端上报的数据),支持点击后页面跳转到信息页面;
页面显示数据正确;信息显示完整;待审核数据默认显示终端主动上报信息;
注册;
2.2 注册终端管理
Ø 终端列表
1、页面展示所有已注册终端信息,包含IP、MAC、计算机名称、操作系统、组织架构、注册时间、同步状态、安装客户端软件状态、描述信息、功能操作(修改、同步(服务器信息发生改变时)、模块设置(对各功能项的开关模式进行操作)、同步失败次数(默认同步间隔为15分钟,三次同步失败后,增加再次同步时间)等操作者;
2、支持批量操作模块设置(支持复选终端主机列),可对选中的终端进行统一各功能项的开关模式进行设置;
3、支持批量同步。支持复选的终端主机进行统一下发更改信息;
Ø 注册分组
1、页面显示操作管理员上报的功能分组审核提交信息,页面显示操作员电脑IP、MAC、操作功能项、白名单名称、操作、详情、审核状态、操作(通过、拒绝)等信息;页面显示无异常;
2、支持操作审批分类显示(审核中、通过、未通过),默认显示审核中的数据;
3、支持对IP、mac、功能项、白名单名称、操作(增加、删除、修改白名单组)等信息进行搜索;操作成功后,页面显示正确信息;
Ø 临时口令
1、页面显示添加过的临时口令数据,包括机器特征码、用户名、使用时长、可操作的功能项、起始时间(允许开始使用的时间)、结束时间(最晚开始使用的截止时间)、一次性登录密码、状态、允许安装进程数量、操作(详情、添加进程),临时口令条目统计等;页面显示无异常;
2、支持数据状态分类显示(全部、审核中、通过、未通过),默认为全部显示;
3、支持以用户名进行全局搜索功能;
4、支持直接添加功能;填写机器特征码、用户名、使用时长、可操作性功能项等进行添加生成一次性口令;客户端上使用生成的一次性口令正常操作;
5、生成成功后,生成的一次性口令只能用于填写机器码来源的设备可进行使用;客户端只能对设置时的功能项进行操作;
6、若没有选择允许添加程序功能,不用显示添加进程按钮;
2.3 工控功能分组
1、页面展示各功能项的分组名称,内容包括组名、所属功能分类、分组描述介绍、操作(删除(名单下无内容时)、可对名称进行修改等操作)、白名单总数统计显示等;页面显示无异常;
2、修改、删除成功后,页面显示修改后的信息,并自动关联到使用此策略名单库的终端模块设置中;
3、默认的分组名称不可进行修改;
2.4 可信白名单
Ø 终端数据
1、页面显示所有终端的信息,包括客户端IP、mac、计算机名称、操作系统信息、组织架构、名单中包含的进程数量、操作(查看详情等信息;
2、展示总条目数;
3、支持以客户端IP、mac、计算机名称进行查询,支持模糊查询;
4、支持导入功能;在客户端主机系统、使用功能一致的情况下,选择一台已处理的主机条目,使用导入功能可将选择主机的白名单信息同步给选择的主机列表中;支持批量进行导入;导入成功后,自动把数据同步下发给客户端;
5、页面显示无异常;
Ø 审核状态
1、页面数据为操作管理员提交需要审核数据的终端信息,内容包括客户端主机IP、MAC、操作系统、计算机名称、组织架构、需要处理的数量信息、操作(查看详情);
2、展示全部条目信息汇总;
3、支持使用客户端IP、进行搜索,支持模糊搜索功能;
Ø 终端上报
1、页面展示有上报数据的终端信息,信息为客户端上报的需要处理的进程信息,包括客户端IP、mac、操作系统、计算机名称、组织架构、需要处理的数量、操作(查看详情);
2、展示总条目数;
3、支持使用客户端IP、mac、计算机名称进行搜索,支持模糊搜索功能;搜索结果正确;
Ø 程序指纹库
1、页面展示所有终端主机上报的进程中已做通过审核的所有进行信息,内容包括进程名、进程大小、指纹信息操作(删除);
2、支持使用进程名称、进程指纹进行模糊搜索
3、支持添加功能,弹出页面输入进行名称、大小、指纹信息可进行提交添加;
4、删除成功后,自动关联到相应终端的白名单库中;
5、页面显示无异常;
6、支持批量操作(删除);
2.5 移动存储管理
Ø 分组数据
1、页面显示所有终端的信息,包括客户端IP、mac、计算机名称、操作系统信息、组织架构、名单中包含的进程数量、操作(查看详情等信息;
2、展示总条目数;
3、支持以客户端IP、mac、计算机名称进行查询,支持模糊查询;
4、支持导入功能;在客户端主机系统、使用功能一致的情况下,选择一台已处理的主机条目,使用导入功能可将选择主机的白名单信息同步给选择的主机列表中;支持批量进行导入;导入成功后,自动把数据同步下发给客户端;
5、页面显示无异常;
Ø 审核状态
1、页面数据为操作管理员提交需要审核数据的终端信息,信息为使用操作员进行提交需要审核的数据信息。内容包括客户端主机IP、MAC、操作系统、计算机名称、组织架构、需要处理的数量信息、操作(查看详情);
2、展示全部条目信息汇总;
3、支持使用客户端IP、进行搜索,支持模糊搜索功能;
Ø 终端上报
1、页面显示有上报数据的终端信息,内容包括客户端主机IP、MAC、操作系统、计算机名称、组织架构、需要处理的数量信息、操作(查看详情);
2、展示全部条目信息汇总;
3、支持使用客户端IP、进行搜索,支持模糊搜索功能;
2.6 网络访问控制
Ø 分组数据
1、页面显示所有终端的信息,包括客户端IP、mac、计算机名称、操作系统信息、组织架构、名单中包含的进程数量、操作(查看详情等信息;
2、展示总条目数;
3、支持以客户端IP、mac、计算机名称进行查询,支持模糊查询;
4、支持导入功能;在客户端主机系统、使用功能一致的情况下,选择一台已处理的主机条目,使用导入功能可将选择主机的白名单信息同步给选择的主机列表中;支持批量进行导入;导入成功后,自动把数据同步下发给客户端;
5、页面显示无异常;
Ø 审核状态
1、页面数据为有操作管理员提交需要审核数据的终端信息,包括客户端IP、mac、计算机名称、操作系统信息、组织架构、名单中包含的数量、操作(查看详情)等信息;页面显示无异常;
2、展示总条目数;
3、支持使用客户端IP、mac、计算机名称、操作系统信息、组织架构进行模糊搜索;
Ø 终端上报
1、页面展示有上报数据的终端信息,包括客户端IP、mac、计算机名称、操作系统信息、组织架构、名单中包含的数量、操作(查看详情)等信息;页面显示无异常;
2、展示总条目数;
3、支持使用客户端IP、mac、计算机名称、操作系统信息、组织架构进行模糊搜索;
2.7 文件防篡改
Ø 分组数据
1、页面展示所有终端数据,内容包括客户端IP、mac、计算机名称、操作系统信息、组织架构、名单中包含的数量、操作(查看详情)等信息;页面显示无异常;
2、支持使用客户端IP、mac、计算机名称、操作系统信息、组织架构进行模糊搜索;
Ø 审核状态
1、页面数据有操作员提交需要审核数据的有终端信息,内容包括客户端IP、mac、计算机名称、操作系统信息、组织架构、名单中包含的数量、操作(查看详情)等信息;页面显示无异常;
2、支持使用客户端IP、mac、计算机名称、操作系统信息、组织架构进行模糊搜索;
Ø 终端上报
1、页面展示有上报数据的终端信息,内容包括客户端IP、mac、计算机名称、操作系统信息、组织架构、名单中包含的数量、操作(查看详情)等信息;页面显示无异常;
2、支持使用客户端IP、mac、计算机名称、操作系统信息、组织架构进行模糊搜索;
2.8 操作系统基线
Ø 分组数据
1、页面显示所有所有策略组,展示模板名称、描述、策略数量、创建时间修改时间、操作(查看详情、修改、导出、删除)等;
2、支持导入、添加功能;导入直接从页面进行导入。添加为选择需要执行的策略项,可进行自定义各项策略;支持自定义名称、描述信息;
3、修改成功后,自动关联到使用此策略组的终端中;
4、展示总条目数;
5、支持使用模板名称、描述进行模糊搜索;
Ø 审核状态
1、页面展示模板名称、描述、创建时间、修改时间、操作类型、审核状态、操作(查看详情、通过、不通过)等;
2、支持使用模板名称、时间范围、操作类型基线模糊搜索;
3、查看详情弹出新页面,内容为策略组的详细信息,包括包含的规则、规则名称、状态、操作等信息;
4、通过成功后,自动关联到使用策略组的终端中;
2.9 终端文件分发
Ø 分组数据
1、页面展示所有分组信息,内容包含分组名、分组描述介绍、名单中内容数量、操作(查看详情);
2、展示总条目数;
3、支持使用分组名称、分组描述介绍进行模糊搜索;
Ø 审核状态
1、页面展示的为使用操作管理员账户提交需要审核的信息,内容包括软件名、软件大小、处理方式、执行权限、命令行、上传时间、分组名、操作类型、审核状态、操作(通过、不通过)等信息;
2、支持使用软件名、软件大小、处理方式、执行权限、时间范围等进行搜索,支持模糊搜索功能;
3、点击通过后,自动关联到使用此名单的终端中;
4、展示总条目数;
