項目背景

在電力監(jiān)控系統(tǒng)的生產(chǎn)運(yùn)維中，經(jīng)常會用到移動存儲介質(zhì)，但是移動存儲介質(zhì)中的病毒存在傳染性強(qiáng)、隱蔽性高、破壞力強(qiáng)等特點(diǎn)，大部分控制工控系統(tǒng)的入侵都是通過U盤擺渡進(jìn)行入侵，對生產(chǎn)運(yùn)行所帶來巨大威脅。 主要安全隱患包括：

1)  沒有針對病毒傳播的防控機(jī)制，一旦用戶使用已被感染病毒、木馬等惡意程序的移動存儲介質(zhì)，會使這些惡意程序在調(diào)度數(shù)據(jù)網(wǎng)傳播，導(dǎo)致較大的安全風(fēng)險。

2)  缺少接入介質(zhì)的認(rèn)證機(jī)制，無法管控移動存儲介質(zhì)隨意接入帶來的管理風(fēng)險，無法保障用戶數(shù)據(jù)傳輸行為的合規(guī)性；

3)  用戶在終端上數(shù)據(jù)傳輸行為，沒有審計機(jī)制，引發(fā)安全問題甚至數(shù)據(jù)泄露后無法回溯定位；

解決方案

現(xiàn)場部署示意圖

在移動介質(zhì)與系統(tǒng)之間部署USB安全隔離保護(hù)系統(tǒng)，實(shí)現(xiàn)以下防護(hù)及管理功能：

·  殺毒隔離

基于傳輸數(shù)據(jù)特征碼及檢測算法進(jìn)行格式分析和病毒識別，杜絕病毒通過移動存儲設(shè)備傳播和影響內(nèi)網(wǎng)安全。支持多臺 PC 機(jī)同時使用，支持多 U 盤同時查殺。

·  訪問控制

可精細(xì)到讀寫層面，基于下發(fā)策略實(shí)現(xiàn)對 USB 存儲設(shè)備中的文件進(jìn)行如讀、寫、刪除、重命名，移動，上傳文件等多方面的安全操作，可多人同時使用同一個隔離設(shè)備，對移動存儲設(shè)備進(jìn)行訪問。

·  安全白名單

支持自動、手動方式生成白名單檢查規(guī)則，未加入白名單的非法文件和應(yīng)用程序無法通過安全檢驗，有效阻止各類未知惡意文件的感染、運(yùn)行和擴(kuò)散，確保將病毒、木馬以及惡意軟件阻擋在內(nèi)網(wǎng)運(yùn)行環(huán)境之外。

·  介質(zhì)管控

對移動存儲介質(zhì)采取身份認(rèn)證和權(quán)限控制，只有經(jīng)過授權(quán)的移動存儲介質(zhì)才能被 USB 安全隔離保護(hù)系統(tǒng)識別，防止非法 U 盤的接入，獨(dú)有的介質(zhì)管控技術(shù)，安全系數(shù)更高。

·  共享區(qū)

提供公共的存儲空間供用戶使用，做文件存儲。

·  靈活訪問

支持 SFTP、Web 等操作系統(tǒng)自帶的文件訪問方式對存儲介質(zhì)高效訪問。

·  權(quán)限控制

系統(tǒng)可劃分不同的安全管理角色進(jìn)行合理的權(quán)限分配，授權(quán)用戶能夠根據(jù)預(yù)定義的策略訪問相應(yīng)資源。可針對 IP 進(jìn)行鎖定設(shè)置，非合法 IP 段內(nèi)訪問都將被禁止操作。

·  三權(quán)分立

符合安全合規(guī)要求，采用三權(quán)分立的用戶管理方式，分為系統(tǒng)管理員、操作管理員和審計管理員。系統(tǒng)管理員負(fù)責(zé)設(shè)備管理及策略管理，操作管理員負(fù)責(zé)對 U 盤授權(quán)、隔離區(qū)、白名單及用戶進(jìn)行管理，審計管理員負(fù)責(zé)事后審計信息的管理，三者權(quán)限各自獨(dú)立，互不干涉。

·  審計日志

實(shí)時監(jiān)控 USB 接口接入，對系統(tǒng)管理員和操作管理員及普通用戶的登錄和操作進(jìn)行記錄，詳實(shí)記錄移動存儲設(shè)備接入后的執(zhí)行動作，包括發(fā)生的日期和時間、事件主體身份、事件描述，供用戶進(jìn)行日志審計和行為追溯。

支持實(shí)時查看 USB 存儲設(shè)備插入/拔出的告警，支持查看歷史告警記錄。

USB 安全隔離保護(hù)系統(tǒng)安裝 agent（凝思）將移動存儲介質(zhì)（插拔狀態(tài)、USB的接口號、設(shè)備名稱、廠商名稱、設(shè)備編號、廠商編號、接口編號、接口協(xié)議）審計信息通過 II 型裝置上報網(wǎng)安平臺。

綜合優(yōu)勢

a)  專業(yè)的殺毒引擎

采用國網(wǎng)認(rèn)可惡意代碼查殺引擎，對接入的移動存儲介質(zhì)進(jìn)行掃描過濾，基于傳輸數(shù)據(jù)特征碼及深度檢測算法進(jìn)行格式分析和病毒識別，杜絕病毒通過移動存儲介質(zhì)傳播和影響內(nèi)網(wǎng)安全。

b)  安全高效數(shù)據(jù)擺渡

無需在主機(jī)上安裝任何驅(qū)動，設(shè)備安全穩(wěn)定隨時可進(jìn)行過濾訪問，解決了USB口禁用導(dǎo)致數(shù)據(jù)擺渡低效問題的同時，又保障了內(nèi)網(wǎng)安全性。

c)  效益分級保障安全環(huán)境

采用USB接口和網(wǎng)絡(luò)接口進(jìn)行USB安全隔離和行為管理，有效杜絕移動介質(zhì)病毒傳播，安全有效的對內(nèi)外網(wǎng)進(jìn)行隔離，有效保障數(shù)據(jù)交互安全性。

d)  嚴(yán)格的身份認(rèn)證

USB安全隔離保護(hù)系統(tǒng)采取身份認(rèn)證和權(quán)限控制，以“白名單”形式對終端采取信任、禁止、放行操作。

e)  強(qiáng)大的一機(jī)多殺

支持多臺工作站同時使用，支持多U盤同時查殺。