方案简介

工控终端防护方案通过工控终端防护系统来实现终端安全防护，系统提供了多层次防御、多手段管理相结合的终端安全解决方案。

系统采用控制台、客户端的两层防护架构设计和一体化部署模式，可轻松实现超大规模终端用户多级可视化管理。

功能特点

 安全策略合规检查：检查系统是否为合规的操作系统版本、是否安装了操作系统补丁、是否安装了防病毒软件及指定软件的运行情况等，若不合规，则自动引导至修复区进行修复。

 外联管理：系统可通过拨号管理（ADSL、VPN、3G、手机）、随身WiFi代理外联互联网、使用代理软件等方式监测终端的非法外联行为并限制外联带宽。

 移动存储管理：基于操作系统底层管控移动存储外设的接入，结合安全U盘杜绝业务数据非法外泄，控制恶意程序通过U盘侵入系统。

 终端防火墙：支持从IP、端口、协议、域名、进程等多个方面对系统终端进行防火墙设置，可有效阻止网络通讯；也支持对RDP、FTP协议内容进行分析并可有效阻止，即使修改通讯端口后仍可识别并阻止。

 全面安全审计：系统采用B/S架构部署，支持对各类信息、行为进行集中审计，如：文件审计、移动存储设备使用审计、应用程序使用审计、操作系统账号审计、通讯端口审计、网站访问审计等。

 进程白名单管控：基于进程白名单机制保障终端运行安全环境，实现终端程序可靠、可信运行，有效防范工控环境恶意代码执行。

方案优势

 技术优势

基于大规模软件系统架构、大规模网络并发系统设计、海量数据存储、驱动级设备控制、网络通信加密、802.1X等技术，大大提升系统性能。

 平台优势

系统稳定、可靠；脚本驱动、灵活、易扩展；准确识别客户机；系统资源占用小；端口占用少；支持跨网管理客户端。

 性能优势

采用高性能的网络通讯机制，在大规模网络中能够高效、快速的进行终端管理，为快速应对突发的安全事件提供了高效的技术机制保障。

 兼容性优势

方案通过微软WHQL方案测试，满足极端情况下的使用，兼容20多家主流杀毒软件方案。

支持主流Linux操作系统上部署工控终端防护代理程序，满足多种应用场景需求。

对于不能联网的工控终端，提供离线部署方式，通过离线更新策略库和定期离线上传防护日志的方式，同样满足集中管理的要求。

结构部署