項目背景

在電力監控系統的生產(chǎn)運維中，經(jīng)常會(huì )用到移動(dòng)存儲介質(zhì)，但是移動(dòng)存儲介質(zhì)中的病毒存在傳染性強、隱蔽性高、破壞力強等特點(diǎn)，大部分控制工控系統的入侵都是通過(guò)U盤(pán)擺渡進(jìn)行入侵，對生產(chǎn)運行所帶來(lái)巨大威脅。 主要安全隱患包括：

1)  沒(méi)有針對病毒傳播的防控機制，一旦用戶(hù)使用已被感染病毒、木馬等惡意程序的移動(dòng)存儲介質(zhì)，會(huì )使這些惡意程序在調度數據網(wǎng)傳播，導致較大的安全風(fēng)險。

2)  缺少接入介質(zhì)的認證機制，無(wú)法管控移動(dòng)存儲介質(zhì)隨意接入帶來(lái)的管理風(fēng)險，無(wú)法保障用戶(hù)數據傳輸行為的合規性；

3)  用戶(hù)在終端上數據傳輸行為，沒(méi)有審計機制，引發(fā)安全問(wèn)題甚至數據泄露后無(wú)法回溯定位；

解決方案

現場(chǎng)部署示意圖

在移動(dòng)介質(zhì)與系統之間部署USB安全隔離保護系統，實(shí)現以下防護及管理功能：

·  殺毒隔離

基于傳輸數據特征碼及檢測算法進(jìn)行格式分析和病毒識別，杜絕病毒通過(guò)移動(dòng)存儲設備傳播和影響內網(wǎng)安全。支持多臺 PC 機同時(shí)使用，支持多 U 盤(pán)同時(shí)查殺。

·  訪(fǎng)問(wèn)控制

可精細到讀寫(xiě)層面，基于下發(fā)策略實(shí)現對 USB 存儲設備中的文件進(jìn)行如讀、寫(xiě)、刪除、重命名，移動(dòng)，上傳文件等多方面的安全操作，可多人同時(shí)使用同一個(gè)隔離設備，對移動(dòng)存儲設備進(jìn)行訪(fǎng)問(wèn)。

·  安全白名單

支持自動(dòng)、手動(dòng)方式生成白名單檢查規則，未加入白名單的非法文件和應用程序無(wú)法通過(guò)安全檢驗，有效阻止各類(lèi)未知惡意文件的感染、運行和擴散，確保將病毒、木馬以及惡意軟件阻擋在內網(wǎng)運行環(huán)境之外。

·  介質(zhì)管控

對移動(dòng)存儲介質(zhì)采取身份認證和權限控制，只有經(jīng)過(guò)授權的移動(dòng)存儲介質(zhì)才能被 USB 安全隔離保護系統識別，防止非法 U 盤(pán)的接入，獨有的介質(zhì)管控技術(shù)，安全系數更高。

·  共享區

提供公共的存儲空間供用戶(hù)使用，做文件存儲。

·  靈活訪(fǎng)問(wèn)

支持 SFTP、Web 等操作系統自帶的文件訪(fǎng)問(wèn)方式對存儲介質(zhì)高效訪(fǎng)問(wèn)。

·  權限控制

系統可劃分不同的安全管理角色進(jìn)行合理的權限分配，授權用戶(hù)能夠根據預定義的策略訪(fǎng)問(wèn)相應資源?？舍槍?IP 進(jìn)行鎖定設置，非合法 IP 段內訪(fǎng)問(wèn)都將被禁止操作。

·  三權分立

符合安全合規要求，采用三權分立的用戶(hù)管理方式，分為系統管理員、操作管理員和審計管理員。系統管理員負責設備管理及策略管理，操作管理員負責對 U 盤(pán)授權、隔離區、白名單及用戶(hù)進(jìn)行管理，審計管理員負責事后審計信息的管理，三者權限各自獨立，互不干涉。

·  審計日志

實(shí)時(shí)監控 USB 接口接入，對系統管理員和操作管理員及普通用戶(hù)的登錄和操作進(jìn)行記錄，詳實(shí)記錄移動(dòng)存儲設備接入后的執行動(dòng)作，包括發(fā)生的日期和時(shí)間、事件主體身份、事件描述，供用戶(hù)進(jìn)行日志審計和行為追溯。

支持實(shí)時(shí)查看 USB 存儲設備插入/拔出的告警，支持查看歷史告警記錄。

USB 安全隔離保護系統安裝 agent（凝思）將移動(dòng)存儲介質(zhì)（插拔狀態(tài)、USB的接口號、設備名稱(chēng)、廠(chǎng)商名稱(chēng)、設備編號、廠(chǎng)商編號、接口編號、接口協(xié)議）審計信息通過(guò) II 型裝置上報網(wǎng)安平臺。

綜合優(yōu)勢

a)  專(zhuān)業(yè)的殺毒引擎

采用國網(wǎng)認可惡意代碼查殺引擎，對接入的移動(dòng)存儲介質(zhì)進(jìn)行掃描過(guò)濾，基于傳輸數據特征碼及深度檢測算法進(jìn)行格式分析和病毒識別，杜絕病毒通過(guò)移動(dòng)存儲介質(zhì)傳播和影響內網(wǎng)安全。

b)  安全高效數據擺渡

無(wú)需在主機上安裝任何驅動(dòng)，設備安全穩定隨時(shí)可進(jìn)行過(guò)濾訪(fǎng)問(wèn)，解決了USB口禁用導致數據擺渡低效問(wèn)題的同時(shí)，又保障了內網(wǎng)安全性。

c)  效益分級保障安全環(huán)境

采用USB接口和網(wǎng)絡(luò )接口進(jìn)行USB安全隔離和行為管理，有效杜絕移動(dòng)介質(zhì)病毒傳播，安全有效的對內外網(wǎng)進(jìn)行隔離，有效保障數據交互安全性。

d)  嚴格的身份認證

USB安全隔離保護系統采取身份認證和權限控制，以“白名單”形式對終端采取信任、禁止、放行操作。

e)  強大的一機多殺

支持多臺工作站同時(shí)使用，支持多U盤(pán)同時(shí)查殺。