當前位置: 首頁 > 能源互聯網 > 工業(yè)互聯網

工業(yè)網絡環(huán)境下USB移動存儲介質的安全防護

中國電力網發(fā)布時間:2024-06-18 14:14:39

  一、應用背景

  工業(yè)控制系統是工業(yè)生產運行的基礎核心,廣泛應用于工業(yè)生產的各個行業(yè)領域。工業(yè)企業(yè)為避免和阻斷網絡攻擊,保障工業(yè)控制系統的運行安全與穩(wěn)定,通常采用內網隔離的方式使其獨立于其他網絡,只采用USB接口的移動存儲介質作為數據交換的載體。

  近年來,伴隨信息技術的飛速發(fā)展,專門利用USB、移動存儲介質對工控系統開展攻擊的事件日漸增多。據霍尼韋爾工業(yè)USB威脅報告數據顯示,目前生產設施中USB設備的使用增加了30%,是數據交換的主要載體。37%的威脅是專門為利用USB可移動介質而設計的,在OT環(huán)境中79%的關鍵業(yè)務中斷來自USB設備或可移動媒體的網絡威脅。利用USB設備搭載病毒、惡意程序進而實施攻擊的方式已成為攻擊者們的常用手段之一。

  以電力行業(yè)為例,電力監(jiān)控系統通常以內網隔離的方式,封閉獨立于其他網絡。電力運維人員現場作業(yè)時使用USB移動存儲設備對文件進行導入或導出,以便收集工程師站和操作員站的數據信息,對電力監(jiān)控系統進行維護。雖然電力企業(yè)采用了專人專管、粘貼封條和拷貝數據前格式化等制度化方式對USB移動存儲介質進行管理,但主要依靠員工自覺的制度管理方式無法完全避免非授權、非安全移動介質接入系統,也不能從根本上保障系統的安全。

  在工業(yè)環(huán)境下,如何實現對USB移動存儲介質的安全防護是工業(yè)企業(yè)亟待解決的安全難題。

  二、USB移動存儲介質“防護傘”

  面對新型多變莫測的攻擊方式,工業(yè)企業(yè)應重點采取“預防”為主的防護方式,提前構建USB移動存儲介質的“防護傘”和“保護罩”,為內網安全筑起堅實防線。

  珞安科技作為國內工控安全領域技術先進、實力深厚的優(yōu)秀企業(yè),針對USB移動存儲介質防護難題,自主研發(fā)USB安全管理系統,通過技術手段與管理制度相結合來加強移動介質的管控,實現移動介質的權限控制、無毒驗證、操作審計等方面的全流程管控,滿足工業(yè)企業(yè)USB移動存儲介質安全管理需求。

  三、產品簡介

  USB安全管理系統是一款防止USB移動存儲設備濫用導致病毒傳播的產品。它通過控制USB移動存儲設備的使用、病毒檢查,實現對USB移動存儲設備的“認證、授權、殺毒、審計”等功能,既滿足用戶通過USB移動存儲設備進行文件資料高速、便捷傳輸,又保證了文件資料的安全性、可靠性,有效阻止未知病毒文件在用戶業(yè)務系統內的傳播,保障用戶業(yè)務系統安全。

  四、產品配套

  1、C/S客戶端

  針對安全性要求高的客戶(如:電網客戶),提供了C/S架構的USB安全管理系統專用客戶端,采用基于國密算法的加密通道進行U盤文件的訪問,支持Windows7及以上版本和常用Linux系統(兼容如:凝思6.0.60、紅帽6.6和6.8、centos6以上等10余種linux版本瀏覽器)。

  2、安全U盤

  安全U盤采用金屬材質的外殼定制,確保了U盤的耐用性和穩(wěn)定性,使用通用USB協議實現數據交互,依據策略和標簽配置控制用戶對U盤的讀寫行為,并由USB安全隔離裝置進行U盤的行為審計與日志記錄,實現對U盤訪問的安全控制。

  3、終端端口管控

  對于電力監(jiān)控系統中的主機類終端,可部署終端端口管控程序,在操作系統內核層實現對USB設備的接入過濾管控,確保非法USB設備無法接入受保護的主機設備中。

  五、技術優(yōu)勢

  專業(yè)掃毒引擎

  采用自研高速掃描引擎和標準病毒庫對U盤進行病毒掃描,擁有強勁的文件深度分析、提取、解碼能力,以及豐富多樣、針對性強的惡意軟件識別技術,支持病毒庫持續(xù)更新。

  白+黑雙重過濾

  采用“白名單+黑名單”雙重過濾技術,實現對入網高風險文件的自動過濾以及對拷出的重要文件的過濾檢查,減少潛在的病毒入侵攻擊面,防范敏感信息外泄。

  三重可信防護

  USB安全管理系統通過用戶身份可信、U盤授信、文件傳輸可信三重管控機制,同時支持完整的審計操作記錄、嚴格的授權操作和安全可靠的病毒防護措施,實現三重安全防護,確保用戶業(yè)務系統的安全性。

  文件加密傳輸

  提供C/S模式的專用客戶端,實現基于國密算法進行加密文件傳輸,滿足高安全場景的安全防護需求;支持基于SFTP加密傳輸協議的文件訪問,滿足通用場景下的文件安全傳輸。

  全流程日志記錄

  從USB存儲設備的接入、病毒掃描、加載使用,到文件的拷入、拷出、修改、刪除等操作,再到設備的彈出,全程記錄設備的每一步操作日志,確保安全問題可追蹤溯源。

  六、客戶價值


評論

用戶名:   匿名發(fā)表  
密碼:  
驗證碼:
最新評論0