工业网络环境下USB移动存储介质的安全防护

　　一、应用背景

　　工业控制系统是工业生产运行的基础核心，广泛应用于工业生产的各个行业领域。工业企业为避免和阻断网络攻击，保障工业控制系统的运行安全与稳定，通常采用内网隔离的方式使其独立于其他网络，只采用USB接口的移动存储介质作为数据交换的载体。

　　近年来，伴随信息技术的飞速发展，专门利用USB、移动存储介质对工控系统开展攻击的事件日渐增多。据霍尼韦尔工业USB威胁报告数据显示，目前生产设施中USB设备的使用增加了30%，是数据交换的主要载体。37%的威胁是专门为利用USB可移动介质而设计的，在OT环境中79%的关键业务中断来自USB设备或可移动媒体的网络威胁。利用USB设备搭载病毒、恶意程序进而实施攻击的方式已成为攻击者们的常用手段之一。

　　以电力行业为例，电力监控系统通常以内网隔离的方式，封闭独立于其他网络。电力运维人员现场作业时使用USB移动存储设备对文件进行导入或导出，以便收集工程师站和操作员站的数据信息，对电力监控系统进行维护。虽然电力企业采用了专人专管、粘贴封条和拷贝数据前格式化等制度化方式对USB移动存储介质进行管理，但主要依靠员工自觉的制度管理方式无法完全避免非授权、非安全移动介质接入系统，也不能从根本上保障系统的安全。

　　在工业环境下，如何实现对USB移动存储介质的安全防护是工业企业亟待解决的安全难题。

　　二、USB移动存储介质“防护伞”

　　面对新型多变莫测的攻击方式，工业企业应重点采取“预防”为主的防护方式，提前构建USB移动存储介质的“防护伞”和“保护罩”，为内网安全筑起坚实防线。

　　珞安科技作为国内工控安全领域技术先进、实力深厚的优秀企业，针对USB移动存储介质防护难题，自主研发USB安全管理系统，通过技术手段与管理制度相结合来加强移动介质的管控，实现移动介质的权限控制、无毒验证、操作审计等方面的全流程管控，满足工业企业USB移动存储介质安全管理需求。

　　三、产品简介

　　USB安全管理系统是一款防止USB移动存储设备滥用导致病毒传播的产品。它通过控制USB移动存储设备的使用、病毒检查，实现对USB移动存储设备的“认证、授权、杀毒、审计”等功能，既满足用户通过USB移动存储设备进行文件资料高速、便捷传输，又保证了文件资料的安全性、可靠性，有效阻止未知病毒文件在用户业务系统内的传播，保障用户业务系统安全。

　　四、产品配套

　　1、C/S客户端

　　针对安全性要求高的客户(如：电网客户)，提供了C/S架构的USB安全管理系统专用客户端，采用基于国密算法的加密通道进行U盘文件的访问，支持Windows7及以上版本和常用Linux系统(兼容如：凝思6.0.60、红帽6.6和6.8、centos6以上等10余种linux版本浏览器)。

　　2、安全U盘

　　安全U盘采用金属材质的外壳定制，确保了U盘的耐用性和稳定性，使用通用USB协议实现数据交互，依据策略和标签配置控制用户对U盘的读写行为，并由USB安全隔离装置进行U盘的行为审计与日志记录，实现对U盘访问的安全控制。

　　3、终端端口管控

　　对于电力监控系统中的主机类终端，可部署终端端口管控程序，在操作系统内核层实现对USB设备的接入过滤管控，确保非法USB设备无法接入受保护的主机设备中。

　　五、技术优势

　　专业扫毒引擎

　　采用自研高速扫描引擎和标准病毒库对U盘进行病毒扫描，拥有强劲的文件深度分析、提取、解码能力，以及丰富多样、针对性强的恶意软件识别技术，支持病毒库持续更新。

　　白+黑双重过滤

　　采用“白名单+黑名单”双重过滤技术，实现对入网高风险文件的自动过滤以及对拷出的重要文件的过滤检查，减少潜在的病毒入侵攻击面，防范敏感信息外泄。

　　三重可信防护

　　USB安全管理系统通过用户身份可信、U盘授信、文件传输可信三重管控机制，同时支持完整的审计操作记录、严格的授权操作和安全可靠的病毒防护措施，实现三重安全防护，确保用户业务系统的安全性。

　　文件加密传输

　　提供C/S模式的专用客户端，实现基于国密算法进行加密文件传输，满足高安全场景的安全防护需求;支持基于SFTP加密传输协议的文件访问，满足通用场景下的文件安全传输。

　　全流程日志记录

　　从USB存储设备的接入、病毒扫描、加载使用，到文件的拷入、拷出、修改、删除等操作，再到设备的弹出，全程记录设备的每一步操作日志，确保安全问题可追踪溯源。

　　六、客户价值