项目背景

在电力监控系统的生产运维中，经常会用到移动存储介质，但是移动存储介质中的病毒存在传染性强、隐蔽性高、破坏力强等特点，大部分控制工控系统的入侵都是通过U盘摆渡进行入侵，对生产运行所带来巨大威胁。 主要安全隐患包括：

1)  没有针对病毒传播的防控机制，一旦用户使用已被感染病毒、木马等恶意程序的移动存储介质，会使这些恶意程序在调度数据网传播，导致较大的安全风险。

2)  缺少接入介质的认证机制，无法管控移动存储介质随意接入带来的管理风险，无法保障用户数据传输行为的合规性；

3)  用户在终端上数据传输行为，没有审计机制，引发安全问题甚至数据泄露后无法回溯定位；

解决方案

现场部署示意图

在移动介质与系统之间部署USB安全隔离保护系统，实现以下防护及管理功能：

·  杀毒隔离

基于传输数据特征码及检测算法进行格式分析和病毒识别，杜绝病毒通过移动存储设备传播和影响内网安全。支持多台 PC 机同时使用，支持多 U 盘同时查杀。

·  访问控制

可精细到读写层面，基于下发策略实现对 USB 存储设备中的文件进行如读、写、删除、重命名，移动，上传文件等多方面的安全操作，可多人同时使用同一个隔离设备，对移动存储设备进行访问。

·  安全白名单

支持自动、手动方式生成白名单检查规则，未加入白名单的非法文件和应用程序无法通过安全检验，有效阻止各类未知恶意文件的感染、运行和扩散，确保将病毒、木马以及恶意软件阻挡在内网运行环境之外。

·  介质管控

对移动存储介质采取身份认证和权限控制，只有经过授权的移动存储介质才能被 USB 安全隔离保护系统识别，防止非法 U 盘的接入，独有的介质管控技术，安全系数更高。

·  共享区

提供公共的存储空间供用户使用，做文件存储。

·  灵活访问

支持 SFTP、Web 等操作系统自带的文件访问方式对存储介质高效访问。

·  权限控制

系统可划分不同的安全管理角色进行合理的权限分配，授权用户能够根据预定义的策略访问相应资源。可针对 IP 进行锁定设置，非合法 IP 段内访问都将被禁止操作。

·  三权分立

符合安全合规要求，采用三权分立的用户管理方式，分为系统管理员、操作管理员和审计管理员。系统管理员负责设备管理及策略管理，操作管理员负责对 U 盘授权、隔离区、白名单及用户进行管理，审计管理员负责事后审计信息的管理，三者权限各自独立，互不干涉。

·  审计日志

实时监控 USB 接口接入，对系统管理员和操作管理员及普通用户的登录和操作进行记录，详实记录移动存储设备接入后的执行动作，包括发生的日期和时间、事件主体身份、事件描述，供用户进行日志审计和行为追溯。

支持实时查看 USB 存储设备插入/拔出的告警，支持查看历史告警记录。

USB 安全隔离保护系统安装 agent（凝思）将移动存储介质（插拔状态、USB的接口号、设备名称、厂商名称、设备编号、厂商编号、接口编号、接口协议）审计信息通过 II 型装置上报网安平台。

综合优势

a)  专业的杀毒引擎

采用国网认可恶意代码查杀引擎，对接入的移动存储介质进行扫描过滤，基于传输数据特征码及深度检测算法进行格式分析和病毒识别，杜绝病毒通过移动存储介质传播和影响内网安全。

b)  安全高效数据摆渡

无需在主机上安装任何驱动，设备安全稳定随时可进行过滤访问，解决了USB口禁用导致数据摆渡低效问题的同时，又保障了内网安全性。

c)  效益分级保障安全环境

采用USB接口和网络接口进行USB安全隔离和行为管理，有效杜绝移动介质病毒传播，安全有效的对内外网进行隔离，有效保障数据交互安全性。

d)  严格的身份认证

USB安全隔离保护系统采取身份认证和权限控制，以“白名单”形式对终端采取信任、禁止、放行操作。

e)  强大的一机多杀

支持多台工作站同时使用，支持多U盘同时查杀。