产 品
安全接入防护系统
- 需求分析
- 产品简介
- 核心功能
- 产品优势
- 典型应用
| 需求分析
随着的发展,大量的设备接入到企业的核心网络,设备包括非智能终端(也称“哑终端”,一般没有数据处理的能力,只能通过网络上报传感数据,或接受操控数据。例如打印机、视频摄像头、ETC等,该类终端功能单一,从硬件到软件都已经固化,无法进行改造和扩充,智能程度微弱)和智能终端设备(该类终端功能强大,有专用的操作系统,可以调整内部的软件、应用参数设置,或者重新改造来满足不同的应用需求。例如工业机器人、业务一体机、智能平板等),这些改变引发了betway88w彩票游戏新的重大挑战,安全风险存在并不局限于:
(1)终端众多,资产情况难以掌握,存在违规接入的风险,同时缺失运维手段、事件监测通报以及应急处理机制;
(2)终端在户外、分散安装、易被接触到而又没有纳入管理,导致物理攻击、篡改和仿冒;
(3)终端普遍存在弱口令、维护后门、漏洞和大量开放端口等安全风险,容易被恶意代码感染形成僵尸主机,进而构成僵尸网络。
| 产品简介
安全接入防护系统IoT-VBox是一款专门为解决现存于终端安全问题设计的产品,可识别传统PC,哑终端、智能设备等多类型终端指纹,实现终端特征、行为准入控制。
该产品具备终端识别、终端认证、准入控制,行为基线建立、行为控制、集中管理等安全能力,能够解决冒用接入、入侵控制、行为异常、海量IP管理等安全问题,全方位协助用户构建安全可控的络终端环境,可广泛应用于平安城市、智能交通、电力、能源、医疗、生产自动化等行业,解决终端接入安全问题。
| 核心功能
终端识别能力:可通过主动探测和流量学习两种方式对终端进行学习、识别,获取指纹信息实现对终端设备的唯一标识,为终端认证、准入控制等安全能力提供依据。
准入管控白名单:根据指纹学习结果形成终端接入控制白名单,有效阻断非业务终端访问网络,对终端提供有效的身份识别及准入控制。
智能建立行为基线:可自动化的学习业务终端的日常行为,并智能化生成每个终端的行为基线作为判断终端正常是否正常提供长时间样本参考模型。
终端行为控制:根据行为基线可自动或手动生成行为管控策略,并根据策略规范终端行为,达到屏蔽终端异常动作、指令、行为等访问的目的,有效防止被感染终端实施违法操作。
提供纯旁路部署:支持串行部署及管控的同时,提供一种纯旁路部署及管控方式,在不产生单点故障的同时,满足用户对终端的管控要求。
集中监控展示:提供终端安全状态整实时监控、展示管理平台。针对终端,支持实时状态展示、分区展示、单机状态展示、安全接入统计、非安全事件报警等;针对接入系统集中管理,提供统一升级、统一日志存储、统一配置、远程管理等。
强大的网络适应性:支持NAT、PAT、路由功能、VLAN(trunk对接)、镜像流量接入等。
恶劣环境适应能力:可支持宽温、防尘、防水硬件,可部署在户外、山区、管道、厂房等恶劣环境,并提供硬件定制服务。
| 产品优势
1、白名单管控机制,通常终端访问有效区分为2类,即业务终端数据和非业务终端数据,并在允许业务类数据通过的同时,有效阻断非业务数据访问用户网络。
相比黑名单机制,白名单具备明显的安全优势。非业务数据具备范围大、不能准确预测的特点。白名单仅允许合法业务通过,可以有效阻断非法业务请求;而黑名单机制准确率依托于特征库是,一般均具有不完善、滞后的特点,无法有效覆盖安全威胁,也就无法全面阻断非业务类数据访问。
2、终端行为基线自学习,能够通过终端流经设备的日常流量内容的分析,自动形成终端行为基线,当终端遭遇攻击侵入、病毒感染、非法控制、指纹冒用等情况,无法通过指纹准入进行防范时形成第二道安全防线,仅允许终端发起的符合行为基线的操作通过设备,阻断非法操作行为,在入侵者控制了终端设备的情况下也无法进行非法的入侵操作。
3、支持纯旁路部署,设备可以串行部署,也支持物理、逻辑上的双重纯旁路部署方式,在纯旁路和串行2种部署方式下,实现对终端设备的指纹识别和准入管控。
4、主被动终端指纹学习机制,提供主动探测、被动流量学习两种方式对终端进行学习识别。该机制也是确保旁路模式下有效识别终端及管控终端的关键机制。
5、具备深度状态展示能力,通过集中收集进一步整合终端安全状态数据,分层次、分区域、从整体到每一终端详细分析、展示终端安全状态,并进行有效展示;具备完善数据接口,与多种集控平台、系统具备无缝对接整合能力。
| 典型应用
安全接入防护系统IoT-VBox,支持串行、旁路两种部署模式
旁路部署
纯旁路(物理、逻辑均非串行)方式部署,对终端进行指纹学习同时实现终端的准入控制
串行部署
串行方式部署,提供行为基线学习、非法行为控制、终端指纹学习、接入控制
betway88w彩票游戏网御星云信息betway88w彩票游戏有限公司