李先生是一位连锁酒店的IT部负责人,之前一直很苦恼。2017年5月,A市爆发了勒索病毒感染事件,该连锁酒店不幸中招。病毒迅速封锁了该酒店的结算系统和客户信息系统,在造成酒店业务损失的同时,使得该酒店客户信息大规模泄露,给酒店带来巨大的声誉损失。2017年末,该酒店采用了浙大网新推出的企业信息安全产品——白盾。作为一款基于白名单机制的杀毒软件,白盾对该酒店的应用程序进行严格管理,在保护酒店管理系统免遭病毒感染的同时,加强对酒店重要信息的保密工作,为酒店彻底解决系统安全问题,挽回了声誉。
2018年7月2日, “白盾”升级版重磅面世。此次更新白盾推出了更为精细的文件可信度级别和运行安全级别,并且提供了安全服务、自助管控、隔离部署三种全新的运营模式,帮助企业轻松应对不同需求下的安全问题。
图1:白盾管理端主页
运行逻辑异于传统软件,白盾彻底避免零日攻击
目前市面上采用传统黑名单机制的杀毒软件只能识别符合病毒库特征的病毒,而由于病毒库无法做到实时更新,新型病毒尚未入库,因此无法避免零日攻击。而“白盾”的运行逻辑恰恰相反,安装白盾的操作系统,任何程序启动后会被立即拦截,并进行关键特征校验,只有存在于白名单中的程序才被允许运行,不在白名单中的任何病毒、木马、非法程序,即使突破了防火墙存在于计算机中,也没有运行的机会,彻底避免“勒索病毒”一类的零日攻击。
六大可信度三种安全级别,严控文件安全
此次升级,最重要的功能是增加了六个文件可信度级别和三个运行安全级别。所有文件根据可信度可划分为六个可信度级别,分别是:可信级、确认级、普通级、风险级、危险级和禁止级,安全级别逐级降低。并提供了三个运行安全级别供用户选择:高安全级、安全级和普通级,用户根据实际情况在三个运行安全级别中选择其一,不同的运行安全级别对应六个可信度级别的文件有不同的处理方法,其对应关系如下图:
从上图可以看出,普通杀毒软件只能禁止部分已知的非法程序运行。白盾即使采用了安全性相对较低的普通级安全级别,也比普通杀毒软件的安全措施要严格的多。
全新运行服务模式,方便自主管控
此次更新第二大核心功能是提供了安全服务、自主管控、隔离部署三种全新的运行和服务模式。
在安全服务模式下,用户无需配备专业安全维护人员对白盾系统进行管理,只需提供机器资源用于安装白盾服务器,在需要管控的客户机上安装白盾客户端,并保持白盾服务器和网新白盾中央服务器的链路畅通。企业白盾服务器上的级别配置、运维管理等工作均由网新专业安全服务团队提供。
白盾服务包含但不仅限于以下内容:
1、白名单库日常更新
2、待审核文件相关信息上报
3、后台人工判断、审核企业白名单库
4、远程修改企业白名单库
5、其他问题的解决
在自主管控模式下,用户需自行配备白盾安全管理员,通过Web管理端管控白盾服务器,设置安全运行级别,并在白盾提示下,自主许可部分有风险程序的安装和执行。这种模式下,仍保持企业白盾服务器和中央服务器的连接,中央服务器管理最新、最全的白名单库。企业白盾服务器保存常用软件以及该机构内所使用软件的白名单库,并将中央服务器最新的白名单库自动更新到本地。
在某些特定的场景下,用户可以选择隔离部署模式。在该种模式下,用户的白盾管理员有更高的管理权限,日常对客户机的管理方式和自主管控模式类似,最大的区别在于客户在对外网络完全物理隔离的情况下,通过白名单库离线装载的方式对白名单库进行更新维护,而不与中央服务器连接获取最新的白名单库。
从上图可以看出,普通杀毒软件只能禁止部分已知的非法程序运行。白盾即使采用了安全性相对较低的普通级安全级别,也比普通杀毒软件的安全措施要严格的多。
全新运行服务模式,方便自主管控
此次更新第二大核心功能是提供了安全服务、自主管控、隔离部署三种全新的运行和服务模式。
在安全服务模式下,用户无需配备专业安全维护人员对白盾系统进行管理,只需提供机器资源用于安装白盾服务器,在需要管控的客户机上安装白盾客户端,并保持白盾服务器和网新白盾中央服务器的链路畅通。企业白盾服务器上的级别配置、运维管理等工作均由网新专业安全服务团队提供。
白盾服务包含但不仅限于以下内容:
1、白名单库日常更新
2、待审核文件相关信息上报
3、后台人工判断、审核企业白名单库
4、远程修改企业白名单库
5、其他问题的解决
在自主管控模式下,用户需自行配备白盾安全管理员,通过Web管理端管控白盾服务器,设置安全运行级别,并在白盾提示下,自主许可部分有风险程序的安装和执行。这种模式下,仍保持企业白盾服务器和中央服务器的连接,中央服务器管理最新、最全的白名单库。企业白盾服务器保存常用软件以及该机构内所使用软件的白名单库,并将中央服务器最新的白名单库自动更新到本地。
在某些特定的场景下,用户可以选择隔离部署模式。在该种模式下,用户的白盾管理员有更高的管理权限,日常对客户机的管理方式和自主管控模式类似,最大的区别在于客户在对外网络完全物理隔离的情况下,通过白名单库离线装载的方式对白名单库进行更新维护,而不与中央服务器连接获取最新的白名单库。