項目背景

在電力監控系統的生產運維中，經常會用到移動存儲介質，但是移動存儲介質中的病毒存在傳染性強、隱蔽性高、破壞力強等特點，大部分控制工控系統的入侵都是通過U盤擺渡進行入侵，對生產運行所帶來巨大威脅。 主要安全隱患包括：

1)  沒有針對病毒傳播的防控機制，一旦用戶使用已被感染病毒、木馬等惡意程序的移動存儲介質，會使這些惡意程序在調度數據網傳播，導致較大的安全風險。

2)  缺少接入介質的認證機制，無法管控移動存儲介質隨意接入帶來的管理風險，無法保障用戶數據傳輸行為的合規性；

3)  用戶在終端上數據傳輸行為，沒有審計機制，引發安全問題甚至數據泄露后無法回溯定位；

解決方案

現場部署示意圖

在移動介質與系統之間部署USB安全隔離保護系統，實現以下防護及管理功能：

·  殺毒隔離

基于傳輸數據特征碼及檢測算法進行格式分析和病毒識別，杜絕病毒通過移動存儲設備傳播和影響內網安全。支持多臺 PC 機同時使用，支持多 U 盤同時查殺。

·  訪問控制

可精細到讀寫層面，基于下發策略實現對 USB 存儲設備中的文件進行如讀、寫、刪除、重命名，移動，上傳文件等多方面的安全操作，可多人同時使用同一個隔離設備，對移動存儲設備進行訪問。

·  安全白名單

支持自動、手動方式生成白名單檢查規則，未加入白名單的非法文件和應用程序無法通過安全檢驗，有效阻止各類未知惡意文件的感染、運行和擴散，確保將病毒、木馬以及惡意軟件阻擋在內網運行環境之外。

·  介質管控

對移動存儲介質采取身份認證和權限控制，只有經過授權的移動存儲介質才能被 USB 安全隔離保護系統識別，防止非法 U 盤的接入，獨有的介質管控技術，安全系數更高。

·  共享區

提供公共的存儲空間供用戶使用，做文件存儲。

·  靈活訪問

支持 SFTP、Web 等操作系統自帶的文件訪問方式對存儲介質高效訪問。

·  權限控制

系統可劃分不同的安全管理角色進行合理的權限分配，授權用戶能夠根據預定義的策略訪問相應資源。可針對 IP 進行鎖定設置，非合法 IP 段內訪問都將被禁止操作。

·  三權分立

符合安全合規要求，采用三權分立的用戶管理方式，分為系統管理員、操作管理員和審計管理員。系統管理員負責設備管理及策略管理，操作管理員負責對 U 盤授權、隔離區、白名單及用戶進行管理，審計管理員負責事后審計信息的管理，三者權限各自獨立，互不干涉。

·  審計日志

實時監控 USB 接口接入，對系統管理員和操作管理員及普通用戶的登錄和操作進行記錄，詳實記錄移動存儲設備接入后的執行動作，包括發生的日期和時間、事件主體身份、事件描述，供用戶進行日志審計和行為追溯。

支持實時查看 USB 存儲設備插入/拔出的告警，支持查看歷史告警記錄。

USB 安全隔離保護系統安裝 agent（凝思）將移動存儲介質（插拔狀態、USB的接口號、設備名稱、廠商名稱、設備編號、廠商編號、接口編號、接口協議）審計信息通過 II 型裝置上報網安平臺。

綜合優勢

a)  專業的殺毒引擎

采用國網認可惡意代碼查殺引擎，對接入的移動存儲介質進行掃描過濾，基于傳輸數據特征碼及深度檢測算法進行格式分析和病毒識別，杜絕病毒通過移動存儲介質傳播和影響內網安全。

b)  安全高效數據擺渡

無需在主機上安裝任何驅動，設備安全穩定隨時可進行過濾訪問，解決了USB口禁用導致數據擺渡低效問題的同時，又保障了內網安全性。

c)  效益分級保障安全環境

采用USB接口和網絡接口進行USB安全隔離和行為管理，有效杜絕移動介質病毒傳播，安全有效的對內外網進行隔離，有效保障數據交互安全性。

d)  嚴格的身份認證

USB安全隔離保護系統采取身份認證和權限控制，以“白名單”形式對終端采取信任、禁止、放行操作。

e)  強大的一機多殺

支持多臺工作站同時使用，支持多U盤同時查殺。